Definisi yang lebih disingkat diberikan oleh Scott Berinato dalam artikelnya berjudul, The Rise of Anti-Forensic. "Anti-forensik lebih dari teknologi. Ini adalah pendekatan dengan hacking pidana yang dapat disimpulkan seperti ini:. Buatlah bagi mereka untuk sulit menemukan Anda dan mungkin bagi mereka untuk membuktikan bahwa mereka menemukan Anda " Penulis memperhitungkan menggunakan anti-forensik metode untuk memastikan privasi data pribadi seseorang.
Sub Kategori
Metode anti-forensik sering dipecah menjadi beberapa sub-kategori untuk membuat klasifikasi dari berbagai alat dan teknik sederhana. Salah satu yang lebih diterima secara luas subkategori kerusakan dikembangkan oleh Dr Marcus Rogers. Dia telah mengusulkan sub-kategori berikut: menyembunyikan data (data hiding), menyeka artefak (artifact wiping), jejak kebingungan (trail obfuscation) dan serangan terhadap CF - attacks against the CF (Computer Forensics) proses dan alat . Serangan langsung terhadap alat forensik juga telah disebut sebagai anti Komputer Forensik.
Maksud dan tujuan (Purpose and goals) Dalam bidang forensik digital ada banyak perdebatan tentang maksud dan tujuan metode anti-forensik. Konsep umumnya adalah bahwa alat anti-forensik murni niat dan desain dalam kejahatan. Percaya bahwa alat ini harus digunakan untuk menggambarkan kekurangan dalam prosedur digital forensik, alat forensik digital, dan pendidikan forensik analisis. Sentimen ini bergema di Blackhat Conference tahun 2005 oleh penulis alat anti-forensik, James Foster dan Vinnie Liu. Mereka menyatakan bahwa dengan mengekspos masalah ini, peneliti forensik akan harus bekerja lebih keras untuk membuktikan bahwa bukti yang dikumpulkan adalah akurat dan dapat diandalkan. Mereka percaya bahwa ini akan menghasilkan alat yang lebih baik dan pendidikan bagi pemeriksa forensik.
Di Bawah Ini Beberapa Metode Anti Forensik :
- Penyembunyian data (Data hiding) : Penyembunyian data adalah proses membuat data sulit untuk menemukan sementara juga menjaga diakses untuk penggunaan masa depan. "Kebingungan dan enkripsi data memberikan musuh kemampuan untuk membatasi identifikasi dan pengumpulan bukti oleh penyidik sementara memungkinkan akses dan gunakan untuk diri mereka sendiri." Beberapa bentuk yang lebih umum dari penyembunyian data termasuk enkripsi, steganografi dan berbagai bentuk lain dari perangkat keras / lunak berbasis data penyembunyian. Setiap data metode menyembunyikan berbeda membuat pemeriksaan forensik digital sulit. Ketika metode penyembunyian data yang berbeda digabungkan, mereka dapat membuat penyelidikan forensik sukses hampir mustahil.
- Enkripsi (Encryption) : Salah satu teknik yang lebih umum digunakan untuk mengalahkan komputer forensik adalah enkripsi data. Dalam presentasi dia berikan pada enkripsi dan anti-forensik metodologi Wakil Presiden Secure Computing, Paul Henry, disebut enkripsi sebagai "mimpi buruk analis forensik". Mayoritas program enkripsi yang tersedia untuk umum memungkinkan pengguna untuk membuat disk terenkripsi virtual yang hanya bisa dibuka dengan kunci yang ditunjuk. Melalui penggunaan algoritma enkripsi modern dan berbagai teknik enkripsi program ini membuat data hampir mustahil untuk membaca tanpa kunci yang ditunjuk. Enkripsi tingkat file mengenkripsi hanya isi file. Hal ini membuat informasi penting seperti nama file, ukuran dan cap waktu tidak terenkripsi. Bagian dari isi file tersebut dapat direkonstruksi dari lokasi lain, seperti file-file sementara, swap file dan dihapus, terenkripsi salinan. Kebanyakan program enkripsi memiliki kemampuan untuk melakukan sejumlah fungsi tambahan yang membuat upaya forensik digital semakin sulit. Beberapa fungsi termasuk penggunaankeyfile , penuh volume enkripsi, dan penyangkalan yang masuk akal . Ketersediaan luas perangkat lunak yang berisi fungsi-fungsi telah menempatkan bidang forensik digital pada kerugian besar.
- Steganografi : Steganografi adalah teknik di mana informasi atau file yang tersembunyi di dalam file lain dalam upaya untuk menyembunyikan data dengan meninggalkannya di depan mata. "Steganografi menghasilkan data gelap yang biasanya dikubur dalam data yang ringan (misalnya, watermark digital non-jelas terkubur dalam foto digital)." [7] Beberapa ahli berpendapat bahwa penggunaan teknik steganografi tidak sangat luas dan karena itu Mestinya ' t diberikan banyak pemikiran. Kebanyakan ahli akan setuju steganografi yang memiliki kemampuan mengganggu proses forensik bila digunakan dengan benar. Menurut Jeffrey Carr, edisi Mujahid Teknis (sebuah publikasi teroris dua bulanan) 2007 dijelaskan pentingnya menggunakan program steganografi berjudul Rahasia Mujahidin. Menurut Carr, program ini disebut-sebut sebagai memberikan pengguna kemampuan untuk menghindari deteksi oleh arus steganalisis program. Hal ini dilakukan melalui penggunaan steganografi dalam hubungannya dengan file kompresi.
- Bentuk lain dari penyembunyian data (Other forms of data hiding) : Bentuk lain dari penyembunyian data melibatkan penggunaan alat dan teknik untuk menyembunyikan data di berbagai lokasi dalam sistem komputer. Beberapa tempat-tempat ini dapat mencakup "memori, ruang slack, direktori tersembunyi, blok buruk, data stream alternatif, (dan) partisi tersembunyi." Salah satu alat yang lebih terkenal yang sering digunakan untuk menyembunyikan data disebut Slacker (bagian dari Metasploit framework). Slacker memecah file dan menempatkan setiap bagian dari file tersebut ke dalam ruang sepi dari file lainnya, sehingga menyembunyikannya dari perangkat lunak pemeriksaan forensik. Teknik lain menyembunyikan data melibatkan penggunaan bad sector. Untuk melakukan teknik ini, pengguna mengubah sektor tertentu dari yang baik untuk data yang buruk dan kemudian ditempatkan ke dalam kluster tertentu. Keyakinan adalah bahwa alat pemeriksaan forensik akan melihat kelompok ini sebagai buruk dan melanjutkan tanpa pemeriksaan isinya.
- Menyeka artefak (Artifact wiping) : Metode yang digunakan dalam menyeka artefak bertugas menghilangkan file tertentu atau seluruh file sistem permanen. Hal ini dapat dicapai melalui penggunaan berbagai metode yang mencakup membersihkan disk utilitas, berkas utilitas menyeka dan degaussing / perusakan teknik cakram.
- Utilitas Membersihkan Disk (Disk cleaning utilities) : Utilitas Membersihkan Disk menggunakan berbagai metode untuk menimpa data yang ada pada disk (lihat remanen data ). Efektivitas membersihkan disk utilitas sebagai alat anti-forensik sering ditantang karena beberapa percaya bahwa mereka tidak sepenuhnya efektif. Para ahli yang tidak percaya bahwa utilitas membersihkan disk yang dapat diterima untuk disk yang sanitasi dasar pendapat mereka tentang kebijakan DOD saat ini, yang menyatakan bahwa satu-satunya bentuk diterima sanitasi yang degaussing. (Lihat Program Keamanan Industri Nasional .) utilitas Disk pembersihan juga dikritik karena mereka meninggalkan tanda tangan bahwa sistem berkas tersapu, yang dalam beberapa kasus tidak dapat diterima. Beberapa banyak digunakan utilitas membersihkan disk termasuk DBAN , SRM , BCWipe Jumlah WipeOut , KillDisk, PC Inspector dan CyberScrubs cyberCide. Pilihan lain yang disetujui oleh NIST dan NSA adalah CMRR Menghapus Aman, yang menggunakan Erase perintah Aman dibangun ke ATA spesifikasi.
- Utilitas Menyeka Berkas (File wiping utilities) : Utiliti untu menyeka File digunakan untuk menghapus file individual dari sistem operasi. Keuntungan file utilitas menyeka adalah bahwa mereka dapat menyelesaikan tugas mereka dalam jumlah yang relatif singkat sebagai lawan ke disk pembersihan utilitas yang memakan waktu lebih lama. Keuntungan lain dari berkas utilitas menyeka adalah bahwa mereka umumnya meninggalkan tanda tangan jauh lebih kecil daripada utilitas membersihkan disk. Ada dua kelemahan utama file utilitas menyeka, awalnya mereka memerlukan keterlibatan pengguna dalam proses dan kedua beberapa ahli percaya bahwa program menyeka file yang tidak selalu benar dan benar-benar menghapus informasi file. [1] Beberapa file yang banyak digunakan utilitas menyeka termasukBCWipe , R-Wipe & Clean, Eraser, Aevita Usap & Delete dan CyberScrubs PrivacySuite.
- Disk degaussing / perusakan teknik (Disk degaussing / destruction techniques) Disk degaussing adalah proses dimana medan magnet diterapkan ke perangkat media digital. Hasilnya adalah sebuah perangkat yang sepenuhnya bersih dari setiap data yang tersimpan sebelumnya. Degaussing jarang digunakan sebagai metode anti-forensik meskipun fakta bahwa itu adalah cara yang efektif untuk memastikan data telah dihapus. Hal ini disebabkan tingginya biaya mesin degaussing, yang sulit bagi konsumen yang rata-rata tidak mampu. Yang lebih umum digunakan teknik untuk memastikan menyeka data kerusakan fisik perangkat. The NIST merekomendasikan bahwa "kerusakan fisik dapat dilakukan dengan menggunakan berbagai metode, termasuk disintegrasi, pembakaran, penghancuran, shredding dan mencair."
- Trail kebingungan (Trail obfuscation) Tujuannya adalah untuk membingungkan, mengelirukan dan mengalihkan proses pemeriksaan forensik. Trail kebingungan meliputi berbagai teknik dan alat-alat yang termasuk "log pembersih, spoofing, informasi yang keliru, backbone melompat, rekening zombie, perintah trojan." Salah satu yang lebih dikenal luas alat kebingungan trail Timestomp (bagian dari Metasploit Framework ). Timestomp memberikan pengguna kemampuan untuk memodifikasi metadata file yang berkaitan dengan akses, penciptaan dan modifikasi kali / tanggal. Dengan menggunakan program seperti Timestomp, pengguna dapat membuat sejumlah file yang tidak berguna dalam pengaturan hukum dengan langsung memanggil mempertanyakan kredibilitas file. Terkenal Program jejak-kebingungan lain adalah Transmogrify (juga bagian dari Metasploit Framework). Dalam jenis file yang paling header dari file berisi informasi identitas. A (jpg.) Akan memiliki informasi header yang mengidentifikasi sebagai (jpg.), Seorang (doc.) Akan memiliki informasi yang mengidentifikasi sebagai (. Doc) dan sebagainya. Transmogrify memungkinkan pengguna untuk mengubah informasi header file, sehingga header (jpg.) Dapat diubah menjadi sebuah header (doc.). Jika program pemeriksaan forensik atau sistem operasi adalah untuk melakukan pencarian untuk gambar pada mesin, itu hanya akan melihat file (doc.) dan melewatkan itu.
- Serangan terhadap komputer forensik (Attacks against computer forensics) : Dalam alat anti-forensik terakhir telah berfokus pada menyerang proses forensik dengan menghancurkan data, menyembunyikan data, atau mengubah informasi penggunaan data. Anti-forensik baru-baru ini pindah ke sebuah dunia baru di mana alat-alat dan teknik yang berfokus pada menyerang alat forensik yang melakukan pemeriksaan. Metode-metode anti-forensik baru telah memperoleh manfaat dari sejumlah faktor untuk memasukkan didokumentasikan prosedur forensik pemeriksaan, dikenal secara luas kerentanan alat forensik dan digital forensik pemeriksa ketergantungan terhadap alat-alat mereka. Selama pemeriksaan forensik, pemeriksa akan membuat gambar disk komputer. Hal ini membuat komputer yang asli (bukti) dari yang tercemar oleh alat forensik. Hash diciptakan oleh perangkat lunak pemeriksaan forensik untuk memverifikasi integritas gambar. Salah satu teknik anti-alat baru-baru ini menargetkan integritas hash yang diciptakan untuk memverifikasi gambar.Dengan mempengaruhi integritas hash, bukti yang dikumpulkan selama penyelidikan selanjutnya bisa ditantang.
- Fisik (Physical) : Penggunaan sasis fitur deteksi intrusi dalam kasus komputer atau sensor (seperti photodetektor ) dicurangi dengan bahan peledak untuk penghancuran diri .
Efektivitas anti-forensik (Effectiveness of anti-forensics) Metode anti-forensik mengandalkan beberapa kelemahan dalam proses forensik termasuk:. Unsur manusia, ketergantungan pada alat, dan keterbatasan fisik / logis dari komputer Dengan mengurangi kerentanan proses forensik untuk kelemahan tersebut, pemeriksa dapat mengurangi kemungkinan metode anti-forensik berhasil mempengaruhi penyelidikan. Hal ini dapat dicapai dengan memberikan peningkatan pelatihan bagi peneliti, dan menguatkan hasil menggunakan beberapa alat.
Catatan dan referensi (Notes and references):
- ^ a b c d e f g h Rogers, D. M. (2005). Anti-Forensic Presentation given to Lockheed Martin. San Diego.
- ^ a b c d Berinato, S. (2007). The Rise of Anti Forensics. Retrieved April 19, 2008, from CSO Online: http://www.csoonline.com/article/221208/The_Rise_of_Anti_Forensics
- ^ Hartley, W. Matthew. (2007). Current and Future Threats to Digital Forensics. https://www.issa.org/Library/Journals/2007/August/Hartley-Current%20and%20Future%20Threats%20to%20Digital%20Forensics.pdf
- ^ Foster, J. C., & Liu, V. (2005). Catch me, if you can... Las Vegas: Blackhhat Briefings.
- ^ Peron, C.S.J. (n.a.). Digital anti-forensics: Emerging trends in data transformation techniques. from Seccuris: http://www.seccuris.com/documents/whitepapers/Seccuris-Antiforensics.pdf
- ^ Henry, P. A. (n.a.). Anti-Forensics: Considering a career in Computer forensics? Don't quit your day job... (n.a.): Secure Computing.
- ^ a b c Berghel, H. (2007 / Vol. 50, No. 4). Hiding Data, Forensics, and Anti-Forensics. Communications of the ACM , 15-20.
- ^ Carr, J. (2007). Anti-Forensic Methods Used by Jihadist Web Sites. Retrieved April 21, 2008, from eSecurityPlanet: http://www.esecurityplanet.com/prevention/article.php/3694711
- ^ Kissel, R., Scholl, M., Skolochenko, S., & Li, X. (2006). Guidelines for Media Sanitization. Gaithersburg: Computer Security Division, National Institute of Standards and Technology.
- ^ a b Harris, R. (2006). Arriving at an anti-forensics consensus: Examining how to define and control the anti-forensics problem. Retrieved December 9, 2010, from:http://www.dfrws.org/2006/proceedings/6-Harris.pdf