Analisis forensik digital dari file database terenkripsi secara instan aplikasi perpesanan pada sistem operasi Windows

Kasus belajar dengan KakaoTalk, NateOn dan QQ messenger 

Analisis forensik digital dari file database terenkripsi secara instan aplikasi perpesanan pada sistem operasi Windows adalah proses untuk mengidentifikasi, menganalisis, dan mengeluarkan data dari file database aplikasi perpesanan yang terenkripsi pada sistem operasi Windows. Dalam kasus belajar ini, analisis akan dilakukan pada aplikasi perpesanan seperti KakaoTalk, NateOn, dan QQ messenger.

Analisis forensik digital sangat penting dalam investigasi kriminal, karena dapat digunakan untuk mengumpulkan bukti yang dapat digunakan dalam pengadilan. Dalam kasus belajar ini, analisis forensik digital dari file database aplikasi perpesanan dapat digunakan untuk mengumpulkan bukti yang dapat digunakan dalam investigasi kriminal yang terkait dengan aktivitas yang dilakukan melalui aplikasi perpesanan tersebut.

Salah satu tantangan dalam melakukan analisis forensik digital pada file database terenkripsi adalah memecahkan enkripsi yang digunakan untuk mengamankan data. Namun, dengan menggunakan teknik dan alat analisis yang tepat, analis dapat menemukan cara untuk memecahkan enkripsi dan mengeluarkan data yang diperlukan.

Selain itu, analis juga harus memastikan bahwa data yang diambil dari file database aplikasi perpesanan tidak merusak atau mengubah data asli. Ini dilakukan dengan menggunakan metode yang benar dan tepat untuk mengambil sampel data dari file database tanpa merusak atau mengubah data asli.

Secara keseluruhan, analisis forensik digital dari file database terenkripsi secara instan aplikasi perpesanan pada sistem operasi Windows dapat digunakan untuk mengumpulkan bukti yang dapat digunakan dalam investigasi kriminal. Namun, analis harus memastikan untuk menggunakan teknik dan alat yang tepat untuk memecahkan enkripsi dan mengambil sampel data tanpa merusak atau mengubah data asli.

Analisis ini dilakukan oleh Jusop Choi, Jaegwan Yu, Sangwon Hyun, Hyoungshick Kim. 

Aplikasi Instant Messaging (IM) seperti AIM, MSN Messenger, Google Talk, dan WhatsApp membantu orang berkomunikasi satu sama lain. Aplikasi IM telah menjadi semakin populer karena mereka memiliki beberapa keunggulan dibandingkan yang lain metode komunikasi (mis., email dan panggilan telepon). Aplikasi IM menyediakan pengiriman pesan yang andal dan tepat waktu antar pengguna. Selain itu, pengguna dapat mengirim pesan ke pengguna lain bahkan saat offline, mengarsipkan pesan sebelumnya, dan memeriksa apakah penerima pesan sudah membaca pesan yang disampaikan atau belum.

Dalam aplikasi IM, data pribadi pengguna biasanya disimpan dalam file database di perangkat (misalnya, PC atau smartphone) tempat aplikasi IM dijalankan. Secara inheren, file basis data semacam itu akan menjadi salah satu target paling menarik bagi badan intelijen, penyelidik polisi, atau penjahat dunia maya. Untuk mengevaluasi tingkat keamanan mekanisme perlindungan basis data, kami dengan hati-hati memeriksa prosedur mengenkripsi file basis data termasuk pembuatan kunci dalam messenger KakaoTalk, NateOn, dan QQ, masing-masing, melalui analisis forensik menggunakan rekayasa terbalik. Kami secara khusus menganalisis aplikasi IM yang berjalan pada sistem operasi Microsoft Windows (32/64 bit, Windows 7 dan 10).

Kontribusi utama kami dirangkum sebagai berikut. 

• Kami menyajikan metodologi analisis forensik generik untuk aplikasi IM. 
• Metodologi analisis kami menyediakan prosedur langkah demi langkah untuk menganalisis file database dalam aplikasi IM. 
• Kami secara khusus mendemonstrasikan bagaimana file database disimpan dan dilindungi untuk aplikasi KakaoTalk, NateOn dan QQ yang masing-masing berjalan pada sistem operasi Microsoft Windows. 
• Kami menemukan bahwa file database terenkripsi untuk KakaoTalk dan NateOn dapat didekripsi tanpa persetujuan pengguna (yaitu, tanpa memerlukan informasi apa pun dari pengguna). 
• Kami juga menemukan bahwa kunci enkripsi untuk aplikasi QQ dibuat di penyedia layanan, bukan di aplikasi klien, yang dapat mengakibatkan pelanggaran privasi yang serius pada aplikasi. 
• Kami menyarankan praktik keamanan terbaik untuk melindungi file database terenkripsi di perangkat lokal dari rekayasa balik.

Sisa dari makalah ini disusun sebagai berikut. Di Bagian Terkait bekerja, kami meringkas secara singkat studi sebelumnya tentang analisis forensik digital untuk aplikasi IM. Dalam metodologi Analisis Bagian, kami menyajikan metodologi umum untuk menganalisis prosedur enkripsi dan dekripsi untuk file database dalam aplikasi IM. Di Bagian Studi kasus 1: KakaoTalk, Studi kasus 2: NateOn, dan Studi kasus 3: QQ, kami menjelaskan prosedur enkripsi dan dekripsi untuk file database di messenger KakaoTalk, NateOn, dan QQ secara rinci. Di Bagian Pertimbangan etis, kami menyajikan laporan etika kami untuk memperbaiki masalah yang ditemukan dalam aplikasi IM. Terakhir, di Bagian Kesimpulan, kami menyimpulkan dengan meringkas hasil utama dari pekerjaan ini.

Case Study 1 : Kakao Talk

Aplikasi KakaoTalk membuat dan mengenkripsi satu set database disebutkan di atas untuk setiap ruang obrolan. Di antara semua basis data, basis data log obrolan menyimpan semua pesan yang dipertukarkan di antara anggota di ruang obrolan, dan tujuan kami adalah memulihkan pesan. Jadi kami fokus untuk menganalisis basis data chatLogs. Basis data chatLogs selanjutnya dibagi menjadi tiga tabel, yaitu, chatLogsDrafts, chatLog_attachment, dan chatLogs, dan semua aktivitas (termasuk pesan) di ruang obrolan disimpan ke dalam tabel chatLogs. Jadi, kami secara khusus fokus pada tabel. Tabel 2 menjelaskan arti dari masing-masing field pada tabel chatLogs.

Case Study 2 : NateOn

Tidak seperti messenger KakaoTalk, aplikasi NateOn membuat total lima file database, terlepas dari jumlah ruang obrolan yang diikuti pengguna. Sebagai gantinya, aplikasi NateOn mempertahankan tabel terpisah di basis data msginfo untuk setiap ruang obrolan. Lebih khusus lagi, ketika pengguna saat ini terlibat dalam n ruang obrolan, basis data msginfo berisi n tabel untuk setiap ruang obrolan ditambah satu tabel tambahan bernama MSGDB_DEFINE yang berisi informasi versi aplikasi NateOn yang sedang digunakan oleh pengguna. Karena basis data msginfo menyimpan semua aktivitas di setiap ruang obrolan, kami fokus menganalisis basis data ini. Tabel 4 merangkum arti dari setiap field dalam database ini.

Case Study 3 : QQ

Dengan menggunakan kunci dekripsi yang diekstraksi dalam memori, kita dapat mendekripsi aliran pesan terenkripsi dengan mengikuti proses dekripsi QQ seperti yang ditunjukkan pada Gambar. 8. Pesan yang didekripsi berisi tanda tangan untuk pesan (“MSG”), stempel waktu, fitur teks (mis., ukuran, bentuk, huruf tebal, dll.) dan pesan.

Gambar 9 menunjukkan blok informasi pesan di QQ. Blok informasi pesan berisi jenis dan ukuran data pesan, data itu sendiri, dan informasi variabel yang menyimpan data. Struktur blok informasi pesan ditunjukkan di bagian bawah Gambar. 9. Byte pertama menunjukkan jenis data. 2 byte berikutnya mewakili panjang nama variabel data, dan kemudian nama variabel itu sendiri mengikuti bidang panjang. 2 byte berikutnya mewakili ukuran data, yang diikuti oleh data itu sendiri. Nama variabel dan data dienkripsi menggunakan XOR. Pertama, operasi XOR dilakukan untuk setiap byte panjang field aliran data satu sama lain. Kemudian, operasi XOR tambahan dilakukan untuk setiap byte aliran data. Setelah mendekripsi informasi yang terkandung dalam pesan, kita dapat melihat nomor ID pengguna dan nama panggilan pengirim dan penerima.

• Diskusikan penyimpanan berisi riwayat obrolan grup. Setiap obrolan grup memiliki pengenal bilangan bulat 10 digit untuk membagi setiap grup. Mirip dengan penyimpanan sobat, pesan riwayat obrolan grup disimpan di penyimpanan diskusi dalam bentuk terenkripsi.

Kesimpulan

Dalam makalah ini, kami menyajikan analisis forensik fitur enkripsi untuk riwayat obrolan pengguna di KakaoTalk, NateOn, dan QQ yang merupakan IM paling populer di China dan Korea Selatan. Analisis forensik ini mengungkapkan bagaimana kunci enkripsi dibuat dan bagaimana file basis data riwayat obrolan disimpan dan dienkripsi secara internal di IM ini. Dalam kasus KakaoTalk dan NateOn, kami menemukan bahwa pesan obrolan pengguna dapat dipulihkan dari file basis data terenkripsi tanpa informasi rahasia apa pun (misalnya kata sandi pengguna) dari pengguna. Dalam kasus messenger QQ, kami menemukan bahwa kunci enkripsi untuk setiap aplikasi klien dibuat oleh penyedia layanan dan dikirim ke aplikasi klien. 

Rancangan manajemen kunci terpusat ini dapat menimbulkan masalah privasi lain karena penyedia layanan dapat mengakses pesan obrolan setiap pengguna tanpa batasan apa pun. Tidak seperti messenger QQ, pembuatan kunci dalam aplikasi KakaoTalk berisi informasi khusus perangkat (mis., UUID, MN, dan SN) yang tidak diekspos ke penyedia layanan. Tanpa pengetahuan tentang informasi khusus perangkat tersebut, penyedia layanan tidak dapat memperoleh kunci yang sama dengan pemilik perangkat dan akibatnya tidak dapat mendekripsi pesan obrolan pemilik perangkat dari file database terenkripsi.

Studi kami menunjukkan betapa sulitnya melindungi file data sensitif pengguna secara aman hanya dengan teknologi perangkat lunak murni terhadap penyerang canggih. Meskipun kami tidak dapat memperoleh kunci enkripsi hanya dengan menggunakan analisis aplikasi di messenger QQ, ada risiko bahwa server messenger atau pemerintah dapat memperoleh pesan pribadi pengguna karena kunci tersebut hanya dikelola oleh sisi server. Meskipun saat ini kami membatasi analisis keamanan kami hanya untuk layanan messenger KakaoTalk, NateOn, dan QQ, kami yakin jenis serangan ini juga dapat diterapkan pada aplikasi IM lainnya.

Metodologi Analisis Forensik Digital untuk Penjelajahan Pribadi: Studi Kasus Firefox dan Chrome di Linux | FORENSIK TI

Metodologi Analisis Forensik Digital untuk Penjelajahan Pribadi: Studi Kasus Firefox dan Chrome di Linux

Dalam beberapa tahun terakhir, ada beberapa peristiwa yang diangkat banyak perhatian tentang pentingnya privasi. Relevansi seperti Edward Snowden (Greenwald, 2013a; 2013b), Cambridge Skandal Analytica1, atau pelanggaran besar data Equifax (Berghel, 2017) telah memberikan dorongan besar untuk membuat dunia sadar akan level tersebut yang dicapai oleh pengumpulan data pribadi. Data pribadi dikumpulkan, dibagikan, dan dijual oleh sejumlah besar layanan online. Jasa itu, sebagian besar waktu, tidak perlu menangani jumlah yang begitu besar data pribadi untuk menjalankan fungsinyaa (Felt dan Evans , 2008 ; Krasnova et al., 2013). Namun, mereka tetap mengumpulkannya karena sangat mudah dan sangat murah untuk menyimpannya dengan alasan bisa berguna di kemudian hari. Bukan hanya itu, tapi mereka tidak berinvestasi cukup dalam melindungi informasi secara memadai, yang mengarah pada kebocoran. Kebocoran dimana korban terbesar adalah pengguna, yang data pribadinya diekspos kepada siapa pun yang memiliki akses ke internet.

Pengguna yang lebih sadar akan pentingnya privasi, semakin mereka akan menuntut alat yang membantu mereka menjaga privasi mereka. Salah satu contohnya adalah penggabungan mode privat di sebagian besar browser saat ini. Mode penjelajahan baru ini dirancang untuk mencegah informasi terkait penjelajahan disimpan di perangkat yang digunakan.

Makalah yang berbeda dapat ditemukan dalam literatur yang mengeksplorasi efektivitas mode pribadi browser yang berbeda. Namun, dalam makalah ini, browser sering diuji dengan cara yang dangkal dan tidak terstruktur, sehingga sulit untuk memverifikasi fungsi yang benar dari mode privat di lingkungan yang berbeda atau untuk membandingkan tingkat privasi yang ditawarkan oleh browser yang berbeda. Oleh karena itu, tujuan dari makalah ini adalah untuk menjelaskan metodologi yang konsisten dan menyeluruh untuk menguji mode privat browser Internet. Selain itu, metodologi ini sepenuhnya independen dari browser dan sistem operasi yang digunakan.

Setelah metodologi disajikan, itu akan diterapkan, sebagai contoh, untuk Mozilla Firefox dan Google Chrome yang berjalan di empat lingkungan berbasis Linux yang berbeda. Dalam skenario pertama, browser akan berjalan di komputer bare-metal dengan Ubuntu 20.04. Dalam skenario kedua, itu akan dijalankan pada Ubuntu yang sedikit mengeras. Dalam skenario ketiga, itu akan diluncurkan pada mesin virtual Ubuntu, dengan Ubuntu sebagai sistem host dan VirtualBox sebagai hypervisor. Terakhir, skenario keempat sama dengan skenario ketiga, tetapi menggunakanVMware sebagai hypervisor.

Alasan untuk menguji browser di lingkungan yang berbeda adalah untuk memverifikasi bahwa mode privat terus berfungsi sebagaimana mestinya, bahkan saat digunakan dalam situasi yang berbeda atau kurang umum. Sebagai sistem operasi, diputuskan untuk menggunakan distribusi Linux karena sepengetahuan kami, tidak ada pekerjaan yang berfokus pada sistem operasi berbasis Linux, selain Anuradha dkk. (2016) di mana perilaku Chrome yang berjalan di Ubuntu diuji tetapi tanpa mempelajari perilaku mode privat atau menganalisis konten RAM.

Pekerjaan Terkait

Dalam literatur, ada karya sebelumnya yang mempelajari kemungkinan kebocoran informasi dari mode privat yang disertakan dalam browser. Bagian ini membahas studi paling relevan beberapa tahun terakhir yang diurutkan dari yang terlama hingga yang terbaru.

• Calum Findlay dan Petra Leimich (Findlay dan Leimich, 2014) mempelajari perilaku Firefox dalam empat situasi berbeda: mode normal dan pribadi dengan Firefox terinstal di sistem dan mode normal dan pribadi menggunakan versi portabel Firefox. Tujuan mereka adalah menetapkan kondisi mana yang mengurangi jumlah data yang difilter, sehingga memaksimalkan privasi pengguna.
• Reza Montasari - Pekka Peltola (Official Video)Montasari dan Peltola,) mempelajari informasi apa yang dapat diekstraksi jika analisis forensik akan dilakukan di komputer setelah menjelajah dalam mode privat. Untuk tujuan ini, mereka menguji browser berikut: Chrome 26, Firefox 20, Internet Explorer 9, dan Safari 5. Semuanya berjalan di sistem operasi Windows yang berjalan di mesin virtual VirtualBox. Namun, Analisis RAM mengungkapkan hampir semua aktivitas dilakukan secara private mode, terlepas dari browser yang digunakan.
• Anuradha dkk. (2016)mempelajari informasi apa yang dapat dipulihkan dari gambar disk setelah menghapus artefak penelusuran. Browser yang dipilih untuk pengujian adalah Chrome yang berjalan di Ubuntu Sesi browsing terdiri dari menonton video di YouTube, mencari gambar di Google Images, mencari barang di Amazon, dan mengakses Gmail. Setelah sesi penjelajahan berakhir menggunakan Chrome dalam mode normal (bukan penyamaran), mereka secara manual menghapus semua artefak penjelajahan. Kemudian, mereka membuat image hard drive bekas dan melakukan serangkaian pencarian pada image disk dengan AccessData Forensic Tool Kit. Mereka dapat memulihkan banyak informasi yang dihasilkan, termasuk beberapa gambar yang ditampilkan. Namun, mereka tidak dapat memulihkan kata sandi atau video yang diputar.
• Nikolaos Tsalis dkk. (Tsalis et al., 2017) mempelajari privat mode Chrome 47, Firefox 43, Internet Explorer 11, dan Opera 34 berjalan pada mesin virtual Windows 7. Mereka melakukan analisis dari sudut pandang penyerang yang bersifat sementara akses fisik ke komputer setelah pengguna menjelajah menggunakan mode privat dan membiarkan komputer menyala. Setelah melakukan percobaan, mereka menemukan situasi di mana ada privasi pelanggaran yang seharusnya tidak terjadi dalam mode privat menurut dokumentasi browser. Dalam salah satu tes, mereka menemukan itu menyimpan bookmark di Firefox atau di Chrome menyimpan informasi tambahan yang menunjukkan bahwa itu dibuat menggunakan mode pribadi. Dalam pengujian lain, mereka menemukan bahwa Firefox menyimpan protokol OCSP tanggapan di folder cache browser, membocorkan situs web itu telah diakses. Sebagai solusi untuk menghindari kebocoran jenis ini, mereka sarankan untuk menyimpan profil browser dalam sistem file virtual yang dihosting pada media yang mudah menguap (seperti RAM).
• Graeme Horsman (Horsman, 2017) melakukan level proses analisis Chrome selama sesi penjelajahan pribadi. Chrome versi yang dianalisis adalah 55 yang berjalan di Windows 7. Untuk menunjukkan interaksi dengan sistem operasi, dia menggunakan alat yang berbeda tersedia di suite Windows Sysinternals. Secara khusus, salah satu Eksperimen yang dilakukan adalah membandingkan jumlah kejadian sistem yang dihasilkan oleh sesi normal dengan sesi penyamaran. Hasilnya adalah penurunan yang signifikan dari peristiwa di swasta sidang. Setelah analisis, dan meskipun tidak dapat memverifikasi konten beberapa file sementara yang dibuat oleh Chrome, penulis menyimpulkan bahwa cara terbaik untuk memulihkan tindakan penelusuran adalah dengan menganalisis RAM.
• Szu-Yuan Teng dkk. (Teng dan Wen, 2018) menguji enam browser berbeda dengan fungsi penyamaran berjalan pada Windows 10 tervirtualisasi: Peramban Privasi Epik, Peramban Aman, Comodo Dragon, SRWare Iron, Dooble, dan Maxthon. Secara khusus, mereka menganalisis lalu lintas jaringan yang dihasilkan saat setiap browser dibuka serta mengambil nama pengguna dan kata sandi yang digunakan untuk masuk ke situs web dari memori. Mereka menyimpulkan bahwa mode pribadi menimbulkan tantangan untuk analisis forensik, hanya mungkin untuk memulihkan informasi berharga saat mengakses konten memori yang dialokasikan ke browser.

Metodologi

a. Environment Setup

Tujuan fase ini adalah untuk merancang dan menerapkan lingkungan (atau beberapa lingkungan) tempat browser yang dipilih akan diuji. Sangat penting untuk mempertimbangkan menggunakan lebih dari satu lingkungan, karena itu memungkinkan untuk mendapatkan gambaran yang lebih luas tentang bagaimana browser berperilaku dalam berbagai situasi. Dalam hal ini, saat menggunakan banyak lingkungan, itu penting untuk mempertimbangkan karakteristik berikut:

• Sistem operasi yang berbeda atau pilihan tingkat rendah yang sama sistem operasi.
• Lingkungan bare metal dan lingkungan virtual.

Dimasukkannya lingkungan bare metal sangat penting karena tidak boleh diasumsikan bahwa informasi itu bisa diambil dari lingkungan virtual adalah sama seperti dari lingkungan bare metal. Misalnya, manajemen memori di lingkungan virtual berbeda karena penambahan

lapisan hypervisor.

Saat menyiapkan komputer untuk pengujian, saran berikut harus dipertimbangkan:

• Gunakan komputer khusus dengan pengoperasian yang baru diinstal sistem. Dengan demikian, setiap artefak yang ditemukan pasti dibuat oleh browser. Juga disarankan untuk menggunakan komputer lain untuk semua tugas analisis dan pemrosesan selanjutnya, menghindari kontaminasi pada komputer uji.

• Nonaktifkan pembaruan otomatis. Untuk mencegah versi browser dari mengubah antara eksekusi percobaan yang sama, itu diperlukan untuk menonaktifkan pembaruan otomatis. Untuk melakukan ini, ada dua opsi: 

1) Konfigurasikan sistem untuk tidak memperbarui web browser tetapi untuk memperbarui sisa paket atau 

2) Konfigurasikan sistem untuk tidak melakukan pembaruan apa pun. Masalah dengan opsi pertama adalah lebih banyak variabel diperkenalkan saat melakukan percobaan. Misalnya, jika mengulang hasil tes hasil yang berbeda, akan lebih sulit untuk menentukan apakah masalahnya ada di pengujian itu sendiri atau di perubahan versi paket tertentu. Oleh karena itu, disarankan untuk mengkonfigurasi pilihan kedua. Manfaat lain dari menonaktifkan pembaruan otomatis adalah jumlah proses latar belakang berkurang, memungkinkan isolasi yang lebih baik dari perilaku browser.

Browser Setup

Setelah lingkungan (atau lingkungan) yang akan digunakan telah diputuskan, saatnya menyiapkan browser yang dipilih. Satu-satunya persiapan yang diperlukan untuk menerapkan metodologi ini adalah

menambahkan nama pengguna dan kata sandi ke gantungan kunci browser. Namun, konfigurasi browser tertentu akan bergantung pada apa yang sedang diuji. Misalnya, metodologi ini dapat digunakan untuk menguji apakah perlu memasang ekstensi yang menghapus cookie yang dibuat oleh situs web setelah meninggalkannya. Dalam hal ini, diperlukan dua profil: satu dengan ekstensi terpasang dan satu tanpa. Ketika hasilnya dianalisis, akan diperiksa apakah ekstensi melakukan tugasnya dengan benar dan, oleh karena itu, layak dipasang.

b. Monitoring  Changes

Pada fase ini harus ditetapkan bagaimana perubahan yang dilakukan sistem file oleh browser akan dipantau dan bagaimana RAM sistem akan dibuang. Alat yang digunakan akan bervariasi tergantung pada sistem operasi yang dipilih dalam fase pengaturan lingkungan. Untuk memantau perubahan yang dilakukan pada sistem file, alat yang mencatat setiap kali file atau folder dibuat, diubah, atau dihapus didirektori dipantau harus dipilih. Opsi yang disarankan saat menentukan direktori yang akan dipantau adalah menyertakan saja folder tempat profil browser disimpan serta folder sementara. Karena banyaknya pertimbangan, alat yang memungkinkan untuk mendapatkan dump lengkap dari RAM komputer harus dipilih. Tersedia solusi perangkat keras dan perangkat lunak khusus (Kollár, 2010).

c. Browsing

Garis besar untuk sesi penjelajahan adalah sebagai berikut:

1. Akses halaman web yang menyimpan konten multimedia, seperti musik atau video. Gunakan mesin pencari dan mainkan salah satu item dikembalikan oleh pencarian. Motivasi: Apakah mungkin untuk mengambil kembali kata-kata yang dimasukkan di bidang pencarian dan nama item dimainkan?
2. Buka tab baru dan akses halaman web yang menyimpan cookie di peramban. Motivasi: Apakah mungkin untuk mengambil cookie dibuat oleh situs web?
3. Buka tab baru dan akses situs web yang menghosting file PDF. Pratinjau konten file PDF dengan browser. Motivasi: Apakah mungkin memulihkan nama dan konten file?
4. Buka tab baru dan masukkan URL di bilah alamat. Tanpa mengakses situs web itu, hapus URL tertulis. Itu penting tidak menggunakan URL yang dapat dengan mudah ditemukan di memori atau di disk. Misalnya, penggunaan URL seperti bing.com sebaiknya dihindari, karena akan menghasilkan banyak positif palsu karena memang demikian salah satu mesin pencari bawaan di sebagian besar browser. Karena itu, disarankan untuk memastikan tidak ada kecocokan saat mencari URL tersebut sebelum melakukan pengujian. Motivasi: Apakah mungkin untuk mengambil kembali URL yang dimasukkan?
5. Buka tab baru dan akses situs web tempat informasi login disimpan di gantungan kunci browser. Mencoba masuk menggunakan kredensial yang disimpan. Motivasi: Apakah mungkin untuk mengambil database lengkap login dan kata sandi dari memori?
6. Buka tab baru dan akses situs web yang berbeda dari sebelumnya yang juga memiliki halaman login. Cobalah masuk dengan memasukkan informasi yang diminta oleh halaman (nama pengguna, kata sandi...). Motivasi: Apakah mungkin untuk mengambil informasi masuk?

d. Data Acquisition (Akuisisi Data)

Tujuan dari fase ini adalah mengumpulkan data yang diperlukan dari mesin uji untuk analisis lebih lanjut. Secara khusus, tujuannya adalah untuk mendapatkan daftar perubahan yang dilakukan pada hard disk serta pembuangan RAM yang lengkap. Untuk membuat pengujian berjalan sebersih mungkin, pengambilan perubahan pada disk harus dilakukan dalam proses yang benar-benar independen sejak konten memori RAM dibuang. Selain itu, hanya satu browser yang dapat diuji dalam satu waktu. Subbagian berikut menjelaskan secara rinci bagaimana dan kapan berbagai akuisisi harus dilakukan.

Hard disk

Dalam hal ini, langkah-langkah yang harus diambil sangat sederhana:

1. Luncurkan alat pemantauan yang dipilih di Bagian Monitoring Changes.
2. Lakukan sesi navigasi yang dirancang sesuai dengan skema yang dijelaskan dalam Bagian Browsing.
3. Tutup peramban.
4. Hentikan alat pemantau.

Memory

Dalam kasus RAM, prosesnya lebih kompleks, karena bervariasi tergantung pada apakah browser berjalan di mesin virtual atau langsung di mesin. Umumnya, memori harus dibuang pada empat waktu yang berbeda:

1. Dengan browser berjalan dan setelah menyelesaikan sesi penjelajahan yang dirancang.
2. Setelah menutup browser.
3. Setelah me-reboot komputer.
4. Setelah komputer dimatikan selama 10 detik.

Seperti dalam kasus akuisisi perubahan disk, berjalan harus benar-benar terpisah. Artinya, dalam sekali jalankan memori dibuang hanya di salah satu momen yang dijelaskan di atas. Di dalam cara, dump memori "terbersih" yang mungkin diperoleh.

Gambar diatas adalah Diagram langkah-langkah yang harus dilakukan untuk mendapatkan berbagai dump memori saat browser berjalan langsung di mesin.

1. Nyalakan komputer, mulai mesin virtual, luncurkan browser dalam mode privat, lakukan sesi penelusuran, dan buang RAM.
2. Nyalakan komputer, mulai mesin virtual, luncurkan browser dalam mode privat, melakukan sesi browsing,tutup browser, matikan mesin virtual, dan membuang RAM. 
3. Nyalakan komputer, mulai mesin virtual, luncurkan browser dalam mode privat, lakukan sesi penelusuran, tutup browser, matikan mesin virtual,restart komputer, dan, setelah
4. dimulai, buang RAM.
5. Nyalakan komputer, mulai mesin virtual, luncurkan browser dalam mode privat, lakukan sesi penelusuran, tutup browser, matikan mesin virtual,matikan komputer, tunggu 10 detik, hidupkan komputer, dan setelah dimulai, buang RAM.

e. Analisis

Pada tahap ini tujuannya adalah untuk mengambil informasi sebanyak mungkin dari sesi browsing. Di satu sisi, daftar file diperoleh dengan alat yang memantau perubahan pada hard disk harus diurai. Masing-masing file ini harus diperiksa untuk memeriksa apakah adalah mungkin untuk mendapatkan informasi tentang salah satu kegiatan yang dilakukan. Di sisi lain, dump memori yang berbeda harus dianalisis, mencoba memulihkan informasi sebanyak mungkin dari masing-masing dari mereka. Untuk mengurai daftar file yang diperoleh, dimungkinkan untuk dikembangkan skrip yang melakukan pencarian kata kunci terkait dengan penelusuran yang dilakukan. 

Selain itu, saat browser dijalankan secara virtual mesin, itu juga harus dicari langsung di virtual disk. Ini memastikan bahwa browser tidak menulis ke salah satunya dari direktori yang tidak dipantau. Dalam kasus ini dump memori, penggunaan dua lintas-platform berikut alat yang direkomendasikan: Volatility Framework2 dan wxHexEditor3. Selain itu, untuk Volatility Framework ada Actaeon4 Graziano dkk. (2013) plugin yang memfasilitasi analisis dump memori yang berisi mesin virtual yang sedang berjalan. Plugin ini bisa sangat berguna saat menganalisis dump memori tempat browser berada berjalan di mesin virtual. Seperti dalam kasus file, skrip bisa ditulis untuk mengotomatisasi pencarian informasi yang berkaitan dengan navigasi. Untuk kasus khusus mengambil konten lengkap dari gantungan kunci, alat yang akan digunakan bervariasi tergantung pada browser. Namun, ada alat lintas platform, seperti HackBrowserData5, yang memungkinkan penyimpanan kata sandi, riwayat, cookie, dan bookmark dari browser yang berbeda untuk dipulihkan.

Firefox dan Chrome sebagai kasus penggunaan

Bagian ini didedikasikan untuk menunjukkan hasil penerapan metodologi yang dijelaskan dalam karya ini ke dua browser yang berbeda. Secara khusus, browser yang diuji adalah Firefox dan Chrome yang berjalan di sistem operasi Linux. Seperti disebutkan dalam pendahuluan, alasan untuk berfokus pada Linux adalah, meskipun ada karya sebelumnya yang mempelajari mode privat browser, tidak ada yang berfokus pada sistem operasi tertentu sejauh yang kami ketahui. Satu-satunya pekerjaan yang menggunakan Linux adalah Anuradha dkk. (2016), tetapi tidak mempelajari perilaku mode privat atau

menganalisis konten RAM.

Hasil

Setiap proses, baik untuk memantau perubahan disk atau untuk mendapatkan dump memori, diulangi beberapa kali untuk memverifikasi hasilnya. Di antara setiap eksekusi, tindakan pencegahan berikut dilakukan menghindari kontaminasi hasil:

• Isi ˜/.mozilla dan ∼ /.config/google-chrome folder dipulihkan dengan profil bersih. Seperti disebutkan dalam Bagian 4.1.1, satu-satunya perubahan dibuat ke profil adalah untuk menambahkan nama pengguna dan kata sandi gantungan kunci browser.
• Isi dari ∼ /.cache/mozilla/ dan ∼ /.cache/google-chrome/ folder telah dihapus.
• Dalam kasus lingkungan C dan D, snapshot bersih dari mesin virtual dipulihkan.
• Komputer dimatikan dan kabel daya dicabut dari stopkontak selama minimal 1 menit. Itu tujuannya adalah untuk mencoba memulai setiap eksekusi dengan RAM "bersih". Sebagai dijelaskan dalam Gruhn dan Müller (2013), jumlah yang benar bit yang dapat dipulihkan secara fisik dari memori DDR3 di suhu ruangan kurang dari 50% setelah hanya 10 detik. Mereka juga tunjukkan bahwa dengan jenis memori ini, satu-satunya informasi yang dapat dipulihkan setelah cold reboot adalah pola derau. Studi yang lebih baru (Bauer et al., 2016; Yitbarek et al., 2017) menunjukkan bahwa adalah mungkin untuk menguraikan isi DDR3 dan DDR4 DRAM dengan melakukan serangan boot dingin. Temuan di setiap skenario yang dijelaskan di atas ditampilkan secara rinci pada subbab berikut.

Kesimpulan

Jurnal ini menyajikan metodologi untuk menguji keefektifan mode privat yang disertakan dalam berbagai browser web. Metodologi ini terdiri dari melakukan analisis forensik komprehensif dari konfigurasi mesin yang berbeda dalam kondisi yang berbeda setelah menyelesaikan sesi penjelajahan yang telah ditentukan sebelumnya menggunakan mode privat. 

Sebagai contoh penerapan metodologi yang diusulkan, diterapkan pada Firefox dan Chrome yang berjalan di empat lingkungan Linux yang berbeda. Memori dan hard disk dianalisis untuk setiap artefak

yang dihasilkan selama sesi penjelajahan pribadi. Meskipun merupakan analisis yang ditargetkan, ini menunjukkan jumlah informasi yang dapat dipulihkan dari dump memori lengkap saat dilakukan analisis yang komprehensif dan mendalam. Juga ditemukan bahwa menjalankan Firefox atau Chrome di mesin virtual VMware dapat menurunkan tingkat privasi, memungkinkan informasi sensitif dipulihkan bahkan setelah mem-boot ulang komputer, perlu mematikan komputer untuk waktu minimum untuk menjamin memori dikosongkan.

Sebagai pekerjaan di masa depan, dapat disorot untuk menerapkan metodologi ini ke kombinasi baru sistem operasi, hypervisor, dan browser web. Selain itu, metodologi ini dapat dengan mudah diadaptasi ke platform seluler seperti Android, karena LiME dapat membuang memori perangkat Android. Salah satu area di mana cakupan metodologi dapat diperluas adalah dengan menambahkan lingkungan baru dengan jumlah RAM yang sangat terbatas. Ini akan memungkinkan untuk menguji informasi apa yang dapat diambil dari swap, karena memori swap tidak dianalisis dalam pekerjaan ini.