Metodologi Analisis Forensik Digital untuk Penjelajahan Pribadi: Studi Kasus Firefox dan Chrome di Linux | FORENSIK TI

Metodologi Analisis Forensik Digital untuk Penjelajahan Pribadi: Studi Kasus Firefox dan Chrome di Linux

Dalam beberapa tahun terakhir, ada beberapa peristiwa yang diangkat banyak perhatian tentang pentingnya privasi. Relevansi seperti Edward Snowden (Greenwald, 2013a; 2013b), Cambridge Skandal Analytica1, atau pelanggaran besar data Equifax (Berghel, 2017) telah memberikan dorongan besar untuk membuat dunia sadar akan level tersebut yang dicapai oleh pengumpulan data pribadi. Data pribadi dikumpulkan, dibagikan, dan dijual oleh sejumlah besar layanan online. Jasa itu, sebagian besar waktu, tidak perlu menangani jumlah yang begitu besar data pribadi untuk menjalankan fungsinyaa (Felt dan Evans , 2008 ; Krasnova et al., 2013). Namun, mereka tetap mengumpulkannya karena sangat mudah dan sangat murah untuk menyimpannya dengan alasan bisa berguna di kemudian hari. Bukan hanya itu, tapi mereka tidak berinvestasi cukup dalam melindungi informasi secara memadai, yang mengarah pada kebocoran. Kebocoran dimana korban terbesar adalah pengguna, yang data pribadinya diekspos kepada siapa pun yang memiliki akses ke internet.

Pengguna yang lebih sadar akan pentingnya privasi, semakin mereka akan menuntut alat yang membantu mereka menjaga privasi mereka. Salah satu contohnya adalah penggabungan mode privat di sebagian besar browser saat ini. Mode penjelajahan baru ini dirancang untuk mencegah informasi terkait penjelajahan disimpan di perangkat yang digunakan.

Makalah yang berbeda dapat ditemukan dalam literatur yang mengeksplorasi efektivitas mode pribadi browser yang berbeda. Namun, dalam makalah ini, browser sering diuji dengan cara yang dangkal dan tidak terstruktur, sehingga sulit untuk memverifikasi fungsi yang benar dari mode privat di lingkungan yang berbeda atau untuk membandingkan tingkat privasi yang ditawarkan oleh browser yang berbeda. Oleh karena itu, tujuan dari makalah ini adalah untuk menjelaskan metodologi yang konsisten dan menyeluruh untuk menguji mode privat browser Internet. Selain itu, metodologi ini sepenuhnya independen dari browser dan sistem operasi yang digunakan.

Setelah metodologi disajikan, itu akan diterapkan, sebagai contoh, untuk Mozilla Firefox dan Google Chrome yang berjalan di empat lingkungan berbasis Linux yang berbeda. Dalam skenario pertama, browser akan berjalan di komputer bare-metal dengan Ubuntu 20.04. Dalam skenario kedua, itu akan dijalankan pada Ubuntu yang sedikit mengeras. Dalam skenario ketiga, itu akan diluncurkan pada mesin virtual Ubuntu, dengan Ubuntu sebagai sistem host dan VirtualBox sebagai hypervisor. Terakhir, skenario keempat sama dengan skenario ketiga, tetapi menggunakanVMware sebagai hypervisor.

Alasan untuk menguji browser di lingkungan yang berbeda adalah untuk memverifikasi bahwa mode privat terus berfungsi sebagaimana mestinya, bahkan saat digunakan dalam situasi yang berbeda atau kurang umum. Sebagai sistem operasi, diputuskan untuk menggunakan distribusi Linux karena sepengetahuan kami, tidak ada pekerjaan yang berfokus pada sistem operasi berbasis Linux, selain Anuradha dkk. (2016) di mana perilaku Chrome yang berjalan di Ubuntu diuji tetapi tanpa mempelajari perilaku mode privat atau menganalisis konten RAM.

Pekerjaan Terkait

Dalam literatur, ada karya sebelumnya yang mempelajari kemungkinan kebocoran informasi dari mode privat yang disertakan dalam browser. Bagian ini membahas studi paling relevan beberapa tahun terakhir yang diurutkan dari yang terlama hingga yang terbaru.

• Calum Findlay dan Petra Leimich (Findlay dan Leimich, 2014) mempelajari perilaku Firefox dalam empat situasi berbeda: mode normal dan pribadi dengan Firefox terinstal di sistem dan mode normal dan pribadi menggunakan versi portabel Firefox. Tujuan mereka adalah menetapkan kondisi mana yang mengurangi jumlah data yang difilter, sehingga memaksimalkan privasi pengguna.
• Reza Montasari - Pekka Peltola (Official Video)Montasari dan Peltola,) mempelajari informasi apa yang dapat diekstraksi jika analisis forensik akan dilakukan di komputer setelah menjelajah dalam mode privat. Untuk tujuan ini, mereka menguji browser berikut: Chrome 26, Firefox 20, Internet Explorer 9, dan Safari 5. Semuanya berjalan di sistem operasi Windows yang berjalan di mesin virtual VirtualBox. Namun, Analisis RAM mengungkapkan hampir semua aktivitas dilakukan secara private mode, terlepas dari browser yang digunakan.
• Anuradha dkk. (2016)mempelajari informasi apa yang dapat dipulihkan dari gambar disk setelah menghapus artefak penelusuran. Browser yang dipilih untuk pengujian adalah Chrome yang berjalan di Ubuntu Sesi browsing terdiri dari menonton video di YouTube, mencari gambar di Google Images, mencari barang di Amazon, dan mengakses Gmail. Setelah sesi penjelajahan berakhir menggunakan Chrome dalam mode normal (bukan penyamaran), mereka secara manual menghapus semua artefak penjelajahan. Kemudian, mereka membuat image hard drive bekas dan melakukan serangkaian pencarian pada image disk dengan AccessData Forensic Tool Kit. Mereka dapat memulihkan banyak informasi yang dihasilkan, termasuk beberapa gambar yang ditampilkan. Namun, mereka tidak dapat memulihkan kata sandi atau video yang diputar.
• Nikolaos Tsalis dkk. (Tsalis et al., 2017) mempelajari privat mode Chrome 47, Firefox 43, Internet Explorer 11, dan Opera 34 berjalan pada mesin virtual Windows 7. Mereka melakukan analisis dari sudut pandang penyerang yang bersifat sementara akses fisik ke komputer setelah pengguna menjelajah menggunakan mode privat dan membiarkan komputer menyala. Setelah melakukan percobaan, mereka menemukan situasi di mana ada privasi pelanggaran yang seharusnya tidak terjadi dalam mode privat menurut dokumentasi browser. Dalam salah satu tes, mereka menemukan itu menyimpan bookmark di Firefox atau di Chrome menyimpan informasi tambahan yang menunjukkan bahwa itu dibuat menggunakan mode pribadi. Dalam pengujian lain, mereka menemukan bahwa Firefox menyimpan protokol OCSP tanggapan di folder cache browser, membocorkan situs web itu telah diakses. Sebagai solusi untuk menghindari kebocoran jenis ini, mereka sarankan untuk menyimpan profil browser dalam sistem file virtual yang dihosting pada media yang mudah menguap (seperti RAM).
• Graeme Horsman (Horsman, 2017) melakukan level proses analisis Chrome selama sesi penjelajahan pribadi. Chrome versi yang dianalisis adalah 55 yang berjalan di Windows 7. Untuk menunjukkan interaksi dengan sistem operasi, dia menggunakan alat yang berbeda tersedia di suite Windows Sysinternals. Secara khusus, salah satu Eksperimen yang dilakukan adalah membandingkan jumlah kejadian sistem yang dihasilkan oleh sesi normal dengan sesi penyamaran. Hasilnya adalah penurunan yang signifikan dari peristiwa di swasta sidang. Setelah analisis, dan meskipun tidak dapat memverifikasi konten beberapa file sementara yang dibuat oleh Chrome, penulis menyimpulkan bahwa cara terbaik untuk memulihkan tindakan penelusuran adalah dengan menganalisis RAM.
• Szu-Yuan Teng dkk. (Teng dan Wen, 2018) menguji enam browser berbeda dengan fungsi penyamaran berjalan pada Windows 10 tervirtualisasi: Peramban Privasi Epik, Peramban Aman, Comodo Dragon, SRWare Iron, Dooble, dan Maxthon. Secara khusus, mereka menganalisis lalu lintas jaringan yang dihasilkan saat setiap browser dibuka serta mengambil nama pengguna dan kata sandi yang digunakan untuk masuk ke situs web dari memori. Mereka menyimpulkan bahwa mode pribadi menimbulkan tantangan untuk analisis forensik, hanya mungkin untuk memulihkan informasi berharga saat mengakses konten memori yang dialokasikan ke browser.

Metodologi

a. Environment Setup

Tujuan fase ini adalah untuk merancang dan menerapkan lingkungan (atau beberapa lingkungan) tempat browser yang dipilih akan diuji. Sangat penting untuk mempertimbangkan menggunakan lebih dari satu lingkungan, karena itu memungkinkan untuk mendapatkan gambaran yang lebih luas tentang bagaimana browser berperilaku dalam berbagai situasi. Dalam hal ini, saat menggunakan banyak lingkungan, itu penting untuk mempertimbangkan karakteristik berikut:

• Sistem operasi yang berbeda atau pilihan tingkat rendah yang sama sistem operasi.
• Lingkungan bare metal dan lingkungan virtual.

Dimasukkannya lingkungan bare metal sangat penting karena tidak boleh diasumsikan bahwa informasi itu bisa diambil dari lingkungan virtual adalah sama seperti dari lingkungan bare metal. Misalnya, manajemen memori di lingkungan virtual berbeda karena penambahan

lapisan hypervisor.

Saat menyiapkan komputer untuk pengujian, saran berikut harus dipertimbangkan:

• Gunakan komputer khusus dengan pengoperasian yang baru diinstal sistem. Dengan demikian, setiap artefak yang ditemukan pasti dibuat oleh browser. Juga disarankan untuk menggunakan komputer lain untuk semua tugas analisis dan pemrosesan selanjutnya, menghindari kontaminasi pada komputer uji.

• Nonaktifkan pembaruan otomatis. Untuk mencegah versi browser dari mengubah antara eksekusi percobaan yang sama, itu diperlukan untuk menonaktifkan pembaruan otomatis. Untuk melakukan ini, ada dua opsi: 

1) Konfigurasikan sistem untuk tidak memperbarui web browser tetapi untuk memperbarui sisa paket atau 

2) Konfigurasikan sistem untuk tidak melakukan pembaruan apa pun. Masalah dengan opsi pertama adalah lebih banyak variabel diperkenalkan saat melakukan percobaan. Misalnya, jika mengulang hasil tes hasil yang berbeda, akan lebih sulit untuk menentukan apakah masalahnya ada di pengujian itu sendiri atau di perubahan versi paket tertentu. Oleh karena itu, disarankan untuk mengkonfigurasi pilihan kedua. Manfaat lain dari menonaktifkan pembaruan otomatis adalah jumlah proses latar belakang berkurang, memungkinkan isolasi yang lebih baik dari perilaku browser.

Browser Setup

Setelah lingkungan (atau lingkungan) yang akan digunakan telah diputuskan, saatnya menyiapkan browser yang dipilih. Satu-satunya persiapan yang diperlukan untuk menerapkan metodologi ini adalah

menambahkan nama pengguna dan kata sandi ke gantungan kunci browser. Namun, konfigurasi browser tertentu akan bergantung pada apa yang sedang diuji. Misalnya, metodologi ini dapat digunakan untuk menguji apakah perlu memasang ekstensi yang menghapus cookie yang dibuat oleh situs web setelah meninggalkannya. Dalam hal ini, diperlukan dua profil: satu dengan ekstensi terpasang dan satu tanpa. Ketika hasilnya dianalisis, akan diperiksa apakah ekstensi melakukan tugasnya dengan benar dan, oleh karena itu, layak dipasang.

b. Monitoring  Changes

Pada fase ini harus ditetapkan bagaimana perubahan yang dilakukan sistem file oleh browser akan dipantau dan bagaimana RAM sistem akan dibuang. Alat yang digunakan akan bervariasi tergantung pada sistem operasi yang dipilih dalam fase pengaturan lingkungan. Untuk memantau perubahan yang dilakukan pada sistem file, alat yang mencatat setiap kali file atau folder dibuat, diubah, atau dihapus didirektori dipantau harus dipilih. Opsi yang disarankan saat menentukan direktori yang akan dipantau adalah menyertakan saja folder tempat profil browser disimpan serta folder sementara. Karena banyaknya pertimbangan, alat yang memungkinkan untuk mendapatkan dump lengkap dari RAM komputer harus dipilih. Tersedia solusi perangkat keras dan perangkat lunak khusus (Kollár, 2010).

c. Browsing

Garis besar untuk sesi penjelajahan adalah sebagai berikut:

1. Akses halaman web yang menyimpan konten multimedia, seperti musik atau video. Gunakan mesin pencari dan mainkan salah satu item dikembalikan oleh pencarian. Motivasi: Apakah mungkin untuk mengambil kembali kata-kata yang dimasukkan di bidang pencarian dan nama item dimainkan?
2. Buka tab baru dan akses halaman web yang menyimpan cookie di peramban. Motivasi: Apakah mungkin untuk mengambil cookie dibuat oleh situs web?
3. Buka tab baru dan akses situs web yang menghosting file PDF. Pratinjau konten file PDF dengan browser. Motivasi: Apakah mungkin memulihkan nama dan konten file?
4. Buka tab baru dan masukkan URL di bilah alamat. Tanpa mengakses situs web itu, hapus URL tertulis. Itu penting tidak menggunakan URL yang dapat dengan mudah ditemukan di memori atau di disk. Misalnya, penggunaan URL seperti bing.com sebaiknya dihindari, karena akan menghasilkan banyak positif palsu karena memang demikian salah satu mesin pencari bawaan di sebagian besar browser. Karena itu, disarankan untuk memastikan tidak ada kecocokan saat mencari URL tersebut sebelum melakukan pengujian. Motivasi: Apakah mungkin untuk mengambil kembali URL yang dimasukkan?
5. Buka tab baru dan akses situs web tempat informasi login disimpan di gantungan kunci browser. Mencoba masuk menggunakan kredensial yang disimpan. Motivasi: Apakah mungkin untuk mengambil database lengkap login dan kata sandi dari memori?
6. Buka tab baru dan akses situs web yang berbeda dari sebelumnya yang juga memiliki halaman login. Cobalah masuk dengan memasukkan informasi yang diminta oleh halaman (nama pengguna, kata sandi...). Motivasi: Apakah mungkin untuk mengambil informasi masuk?

d. Data Acquisition (Akuisisi Data)

Tujuan dari fase ini adalah mengumpulkan data yang diperlukan dari mesin uji untuk analisis lebih lanjut. Secara khusus, tujuannya adalah untuk mendapatkan daftar perubahan yang dilakukan pada hard disk serta pembuangan RAM yang lengkap. Untuk membuat pengujian berjalan sebersih mungkin, pengambilan perubahan pada disk harus dilakukan dalam proses yang benar-benar independen sejak konten memori RAM dibuang. Selain itu, hanya satu browser yang dapat diuji dalam satu waktu. Subbagian berikut menjelaskan secara rinci bagaimana dan kapan berbagai akuisisi harus dilakukan.

Hard disk

Dalam hal ini, langkah-langkah yang harus diambil sangat sederhana:

1. Luncurkan alat pemantauan yang dipilih di Bagian Monitoring Changes.
2. Lakukan sesi navigasi yang dirancang sesuai dengan skema yang dijelaskan dalam Bagian Browsing.
3. Tutup peramban.
4. Hentikan alat pemantau.

Memory

Dalam kasus RAM, prosesnya lebih kompleks, karena bervariasi tergantung pada apakah browser berjalan di mesin virtual atau langsung di mesin. Umumnya, memori harus dibuang pada empat waktu yang berbeda:

1. Dengan browser berjalan dan setelah menyelesaikan sesi penjelajahan yang dirancang.
2. Setelah menutup browser.
3. Setelah me-reboot komputer.
4. Setelah komputer dimatikan selama 10 detik.

Seperti dalam kasus akuisisi perubahan disk, berjalan harus benar-benar terpisah. Artinya, dalam sekali jalankan memori dibuang hanya di salah satu momen yang dijelaskan di atas. Di dalam cara, dump memori "terbersih" yang mungkin diperoleh.

Gambar diatas adalah Diagram langkah-langkah yang harus dilakukan untuk mendapatkan berbagai dump memori saat browser berjalan langsung di mesin.

1. Nyalakan komputer, mulai mesin virtual, luncurkan browser dalam mode privat, lakukan sesi penelusuran, dan buang RAM.
2. Nyalakan komputer, mulai mesin virtual, luncurkan browser dalam mode privat, melakukan sesi browsing,tutup browser, matikan mesin virtual, dan membuang RAM. 
3. Nyalakan komputer, mulai mesin virtual, luncurkan browser dalam mode privat, lakukan sesi penelusuran, tutup browser, matikan mesin virtual,restart komputer, dan, setelah
4. dimulai, buang RAM.
5. Nyalakan komputer, mulai mesin virtual, luncurkan browser dalam mode privat, lakukan sesi penelusuran, tutup browser, matikan mesin virtual,matikan komputer, tunggu 10 detik, hidupkan komputer, dan setelah dimulai, buang RAM.

e. Analisis

Pada tahap ini tujuannya adalah untuk mengambil informasi sebanyak mungkin dari sesi browsing. Di satu sisi, daftar file diperoleh dengan alat yang memantau perubahan pada hard disk harus diurai. Masing-masing file ini harus diperiksa untuk memeriksa apakah adalah mungkin untuk mendapatkan informasi tentang salah satu kegiatan yang dilakukan. Di sisi lain, dump memori yang berbeda harus dianalisis, mencoba memulihkan informasi sebanyak mungkin dari masing-masing dari mereka. Untuk mengurai daftar file yang diperoleh, dimungkinkan untuk dikembangkan skrip yang melakukan pencarian kata kunci terkait dengan penelusuran yang dilakukan. 

Selain itu, saat browser dijalankan secara virtual mesin, itu juga harus dicari langsung di virtual disk. Ini memastikan bahwa browser tidak menulis ke salah satunya dari direktori yang tidak dipantau. Dalam kasus ini dump memori, penggunaan dua lintas-platform berikut alat yang direkomendasikan: Volatility Framework2 dan wxHexEditor3. Selain itu, untuk Volatility Framework ada Actaeon4 Graziano dkk. (2013) plugin yang memfasilitasi analisis dump memori yang berisi mesin virtual yang sedang berjalan. Plugin ini bisa sangat berguna saat menganalisis dump memori tempat browser berada berjalan di mesin virtual. Seperti dalam kasus file, skrip bisa ditulis untuk mengotomatisasi pencarian informasi yang berkaitan dengan navigasi. Untuk kasus khusus mengambil konten lengkap dari gantungan kunci, alat yang akan digunakan bervariasi tergantung pada browser. Namun, ada alat lintas platform, seperti HackBrowserData5, yang memungkinkan penyimpanan kata sandi, riwayat, cookie, dan bookmark dari browser yang berbeda untuk dipulihkan.

Firefox dan Chrome sebagai kasus penggunaan

Bagian ini didedikasikan untuk menunjukkan hasil penerapan metodologi yang dijelaskan dalam karya ini ke dua browser yang berbeda. Secara khusus, browser yang diuji adalah Firefox dan Chrome yang berjalan di sistem operasi Linux. Seperti disebutkan dalam pendahuluan, alasan untuk berfokus pada Linux adalah, meskipun ada karya sebelumnya yang mempelajari mode privat browser, tidak ada yang berfokus pada sistem operasi tertentu sejauh yang kami ketahui. Satu-satunya pekerjaan yang menggunakan Linux adalah Anuradha dkk. (2016), tetapi tidak mempelajari perilaku mode privat atau

menganalisis konten RAM.

Hasil

Setiap proses, baik untuk memantau perubahan disk atau untuk mendapatkan dump memori, diulangi beberapa kali untuk memverifikasi hasilnya. Di antara setiap eksekusi, tindakan pencegahan berikut dilakukan menghindari kontaminasi hasil:

• Isi ˜/.mozilla dan ∼ /.config/google-chrome folder dipulihkan dengan profil bersih. Seperti disebutkan dalam Bagian 4.1.1, satu-satunya perubahan dibuat ke profil adalah untuk menambahkan nama pengguna dan kata sandi gantungan kunci browser.
• Isi dari ∼ /.cache/mozilla/ dan ∼ /.cache/google-chrome/ folder telah dihapus.
• Dalam kasus lingkungan C dan D, snapshot bersih dari mesin virtual dipulihkan.
• Komputer dimatikan dan kabel daya dicabut dari stopkontak selama minimal 1 menit. Itu tujuannya adalah untuk mencoba memulai setiap eksekusi dengan RAM "bersih". Sebagai dijelaskan dalam Gruhn dan Müller (2013), jumlah yang benar bit yang dapat dipulihkan secara fisik dari memori DDR3 di suhu ruangan kurang dari 50% setelah hanya 10 detik. Mereka juga tunjukkan bahwa dengan jenis memori ini, satu-satunya informasi yang dapat dipulihkan setelah cold reboot adalah pola derau. Studi yang lebih baru (Bauer et al., 2016; Yitbarek et al., 2017) menunjukkan bahwa adalah mungkin untuk menguraikan isi DDR3 dan DDR4 DRAM dengan melakukan serangan boot dingin. Temuan di setiap skenario yang dijelaskan di atas ditampilkan secara rinci pada subbab berikut.

Kesimpulan

Jurnal ini menyajikan metodologi untuk menguji keefektifan mode privat yang disertakan dalam berbagai browser web. Metodologi ini terdiri dari melakukan analisis forensik komprehensif dari konfigurasi mesin yang berbeda dalam kondisi yang berbeda setelah menyelesaikan sesi penjelajahan yang telah ditentukan sebelumnya menggunakan mode privat. 

Sebagai contoh penerapan metodologi yang diusulkan, diterapkan pada Firefox dan Chrome yang berjalan di empat lingkungan Linux yang berbeda. Memori dan hard disk dianalisis untuk setiap artefak

yang dihasilkan selama sesi penjelajahan pribadi. Meskipun merupakan analisis yang ditargetkan, ini menunjukkan jumlah informasi yang dapat dipulihkan dari dump memori lengkap saat dilakukan analisis yang komprehensif dan mendalam. Juga ditemukan bahwa menjalankan Firefox atau Chrome di mesin virtual VMware dapat menurunkan tingkat privasi, memungkinkan informasi sensitif dipulihkan bahkan setelah mem-boot ulang komputer, perlu mematikan komputer untuk waktu minimum untuk menjamin memori dikosongkan.

Sebagai pekerjaan di masa depan, dapat disorot untuk menerapkan metodologi ini ke kombinasi baru sistem operasi, hypervisor, dan browser web. Selain itu, metodologi ini dapat dengan mudah diadaptasi ke platform seluler seperti Android, karena LiME dapat membuang memori perangkat Android. Salah satu area di mana cakupan metodologi dapat diperluas adalah dengan menambahkan lingkungan baru dengan jumlah RAM yang sangat terbatas. Ini akan memungkinkan untuk menguji informasi apa yang dapat diambil dari swap, karena memori swap tidak dianalisis dalam pekerjaan ini.