Review Tools E-mail Forensics
Senin, 17 November 2014
Revision: Tugas Internet Forensik
Email Tracker Pro
Review
Report lampiran
Facebook Forensics dengan Tools Internet Evidence Finder (IEF)
Minggu, 16 November 2014
bisa dilihat di sini.
Email Forensic : Trace IP
Jumat, 31 Oktober 2014
8. KESIMPULAN
E-mail adalah aplikasi yang banyak digunakan dan sangat didistribusikan melibatkan beberapa aktor yang memainkan peran yang berbeda. Aktor ini termasuk komponen hardware dan software, layanan dan protokol yang menyediakan interoperabilitas antara pengguna dan antara komponen-komponen di sepanjang jalur transfer. Penjahat dunia maya menempa judul e-mail atau kirimkan anonim untuk tujuan tidak sah yang menyebabkan beberapa kejahatan dan dengan demikian membuat e-mail penyelidikan forensik penting. Makalah ini menggambarkan aktor e-mail, peran dan tanggung jawab mereka. Ini digambarkan logis arsitektur e-mail dan menggarisbawahi berbagai komponen inti, modul dan protokol yang digunakan dalam sistem. Ini menyajikan meta-data yang terdapat dalam pesan e-mail dan berbagai teknik yang digunakan untuk e-mail forensik. Makalah ini juga memperkenalkan beberapa e-mail software tools forensik yang memiliki fungsi untuk secara otomatis menganalisis e-mail dan menghasilkan laporan yang menyediakan beragam informasi tentang hal itu.
TEKNIK DAN TOOLS UNTUK INVESTIGASI FORENSIK E-MAIL
Abstrak
E-mail telah muncul sebagai aplikasi yang paling penting di Internet untuk komunikasi pesan, pengiriman dokumen dan melakukan transaksi dan digunakan tidak hanya dari komputer tetapi banyak gadget elektronik lainnya seperti telepon genggam. Selama periode protokol e-mail tahun telah diamankan melalui beberapa ekstensi keamanan dan produsen, bagaimanapun, penjahat cyber terus menyalahgunakannya untuk tujuan tidak sah dengan mengirimkan spam, phishing e-mail, mendistribusikan pornografi anak, dan kebencian selain menyebarkan virus , worm, hoax dan trojan horse. Selanjutnya, penyalahgunaan infrastruktur internet melalui denial of service, pemborosan ruang penyimpanan dan sumber daya komputasi yang setiap pengguna internet biaya langsung maupun tidak langsung. Hal ini demikian penting untuk mengidentifikasi dan menghilangkan pengguna dan mesin menyalahgunakan layanan e-mail. E-mail analisis forensik digunakan untuk mempelajari sumber dan isi pesan e-mail sebagai bukti, mengidentifikasi pengirim yang sebenarnya, penerima dan tanggal dan waktu itu dikirim, dll untuk mengumpulkan bukti yang dapat dipercaya untuk membawa penjahat ke pengadilan. Tulisan ini merupakan upaya untuk menggambarkan e-mail arsitektur dari perspektif forensik. Ini menggambarkan peran dan tanggung jawab pelaku e-mail dan komponen yang berbeda, itemizes meta-data yang terdapat dalam e-mail header, dan daftar protokol dan port yang digunakan di dalamnya. Lebih lanjut menjelaskan berbagai alat dan teknik saat ini bekerja untuk melakukan penyelidikan forensik dari pesan e-mail.
5. E-MAIL TEKNIK INVESTIGASI FORENSIK
E-mail forensik mengacu pada studi tentang sumber dan isi e-mail sebagai bukti untuk mengidentifikasi pengirim yang sebenarnya dan penerima pesan, data / waktu transmisi, catatan rinci transaksi e-mail, maksud dari pengirim, dll penelitian ini melibatkan investigasi metadata, pencarian kata kunci, port scanning, dll atas ciptaan atribusi dan identifikasi penipuan e-mail. Berbagai pendekatan yang digunakan untuk e-mail forensik dijelaskan dalam [7] dan didefinisikan secara singkat di bawah:
5.1. Analisis Header
Meta data dalam pesan e-mail dalam bentuk informasi kontrol yaitu amplop dan header termasuk header di isi pesan berisi informasi tentang pengirim dan / atau jalur sepanjang yang pesan telah dilalui. Beberapa di antaranya mungkin palsu untuk menyembunyikan identitas pengirim. Sebuah analisis rinci dari header tersebut dan korelasinya dilakukan dalam analisis header.
5.2. Taktik umpan
Dalam umpan investigasi taktik e-mail dengan http: "" tag memiliki sumber gambar di beberapa komputer dipantau oleh para peneliti adalah mengirim ke pengirim e-mail diselidiki mengandung (asli) Alamat e-mail yang sebenarnya. Ketika e-mail dibuka, entri log yang berisi alamat IP dari penerima (pengirim e-mail diselidiki) dicatat pada server hosting gambar http dan dengan demikian pengirim dilacak. Namun, jika penerima (pengirim e-mail diselidiki) menggunakan server proxy maka alamat IP dari server proxy dicatat. Log on server proxy dapat digunakan untuk melacak pengirim e-mail diselidiki. Jika log proxy server tidak tersedia karena beberapa alasan, maka peneliti dapat mengirim e-mail taktik yang berisi) Tertanam Java Applet yang berjalan pada komputer penerima atau b) halaman HTML dengan Active X objek. Kedua bertujuan untuk mengekstrak alamat IP komputer penerima dan e-mail ke para peneliti.
5.3. Server Investigasi
Dalam penelitian ini, salinan disampaikan e-mail dan log server diselidiki untuk mengidentifikasi sumber pesan e-mail. E-mail dibersihkan dari klien (pengirim atau penerima) yang pemulihan tidak mungkin dapat diminta dari server (proxy atau ISP) karena kebanyakan dari mereka menyimpan salinan dari semua e-mail setelah pengiriman mereka. Selanjutnya, log dikelola oleh server dapat dipelajari untuk
melacak alamat komputer yang bertanggung jawab untuk membuat transaksi e-mail. Namun, server menyimpan salinan e-mail dan server log hanya untuk beberapa periode terbatas dan beberapa mungkin tidak bekerja sama dengan para peneliti. Selanjutnya, server SMTP yang menyimpan data seperti nomor kartu kredit dan data lainnya yang berkaitan dengan pemilik kotak surat dapat digunakan untuk mengidentifikasi orang di balik alamat e-mail.
5.4. Jaringan Investigasi Perangkat
Dalam bentuk penyelidikan e-mail, log dikelola oleh perangkat jaringan seperti router, firewall dan switch digunakan untuk menyelidiki sumber pesan e-mail. Bentuk penyelidikan kompleks dan hanya digunakan ketika log server (proxy atau ISP) tidak tersedia karena beberapa alasan, misalnya ketika ISP atau proxy tidak mempertahankan log atau kurangnya kerjasama dengan ISP atau kegagalan untuk mempertahankan rantai bukti.
5.5. Embedded software Identifiers
Beberapa informasi tentang pencipta e-mail, file lampiran atau dokumen mungkin disertakan dengan pesan oleh perangkat lunak e-mail yang digunakan oleh pengirim untuk menyusun e-mail. Informasi ini mungkin termasuk dalam bentuk header kustom atau dalam bentuk MIME konten sebagai Format Transport Neutral Encapsulation (TNEF). Investigasi e-mail untuk rincian ini dapat mengungkapkan beberapa informasi penting tentang preferensi pengirim e-mail dan pilihan yang dapat membantu sisi client gathering bukti. Penyelidikan dapat mengungkapkan nama file PST, Windows logon nama pengguna, alamat MAC, dll dari komputer klien yang digunakan untuk mengirim pesan e-mail.
5.6. Pengirim Mailer Fingerprints
Identifikasi software penanganan e-mail di server dapat terungkap dari lapangan header Diterima dan identifikasi software penanganan e-mail di client dapat dipastikan dengan menggunakan set yang berbeda dari header seperti "X-Mailer" atau setara. Header ini menjelaskan aplikasi dan versi mereka digunakan pada klien untuk mengirim e-mail. Informasi tentang komputer klien pengirim dapat digunakan untuk membantu peneliti menyusun rencana yang efektif dan dengan demikian terbukti sangat berguna.
Abstrak
E-mail telah muncul sebagai aplikasi yang paling penting di Internet untuk komunikasi pesan, pengiriman dokumen dan melakukan transaksi dan digunakan tidak hanya dari komputer tetapi banyak gadget elektronik lainnya seperti telepon genggam. Selama periode protokol e-mail tahun telah diamankan melalui beberapa ekstensi keamanan dan produsen, bagaimanapun, penjahat cyber terus menyalahgunakannya untuk tujuan tidak sah dengan mengirimkan spam, phishing e-mail, mendistribusikan pornografi anak, dan kebencian selain menyebarkan virus , worm, hoax dan trojan horse. Selanjutnya, penyalahgunaan infrastruktur internet melalui denial of service, pemborosan ruang penyimpanan dan sumber daya komputasi yang setiap pengguna internet biaya langsung maupun tidak langsung. Hal ini demikian penting untuk mengidentifikasi dan menghilangkan pengguna dan mesin menyalahgunakan layanan e-mail. E-mail analisis forensik digunakan untuk mempelajari sumber dan isi pesan e-mail sebagai bukti, mengidentifikasi pengirim yang sebenarnya, penerima dan tanggal dan waktu itu dikirim, dll untuk mengumpulkan bukti yang dapat dipercaya untuk membawa penjahat ke pengadilan. Tulisan ini merupakan upaya untuk menggambarkan e-mail arsitektur dari perspektif forensik. Ini menggambarkan peran dan tanggung jawab pelaku e-mail dan komponen yang berbeda, itemizes meta-data yang terdapat dalam e-mail header, dan daftar protokol dan port yang digunakan di dalamnya. Lebih lanjut menjelaskan berbagai alat dan teknik saat ini bekerja untuk melakukan penyelidikan forensik dari pesan e-mail.
5. E-MAIL TEKNIK INVESTIGASI FORENSIK
E-mail forensik mengacu pada studi tentang sumber dan isi e-mail sebagai bukti untuk mengidentifikasi pengirim yang sebenarnya dan penerima pesan, data / waktu transmisi, catatan rinci transaksi e-mail, maksud dari pengirim, dll penelitian ini melibatkan investigasi metadata, pencarian kata kunci, port scanning, dll atas ciptaan atribusi dan identifikasi penipuan e-mail. Berbagai pendekatan yang digunakan untuk e-mail forensik dijelaskan dalam [7] dan didefinisikan secara singkat di bawah:
5.1. Analisis Header
Meta data dalam pesan e-mail dalam bentuk informasi kontrol yaitu amplop dan header termasuk header di isi pesan berisi informasi tentang pengirim dan / atau jalur sepanjang yang pesan telah dilalui. Beberapa di antaranya mungkin palsu untuk menyembunyikan identitas pengirim. Sebuah analisis rinci dari header tersebut dan korelasinya dilakukan dalam analisis header.
5.2. Taktik umpan
Dalam umpan investigasi taktik e-mail dengan http: "" tag memiliki sumber gambar di beberapa komputer dipantau oleh para peneliti adalah mengirim ke pengirim e-mail diselidiki mengandung (asli) Alamat e-mail yang sebenarnya. Ketika e-mail dibuka, entri log yang berisi alamat IP dari penerima (pengirim e-mail diselidiki) dicatat pada server hosting gambar http dan dengan demikian pengirim dilacak. Namun, jika penerima (pengirim e-mail diselidiki) menggunakan server proxy maka alamat IP dari server proxy dicatat. Log on server proxy dapat digunakan untuk melacak pengirim e-mail diselidiki. Jika log proxy server tidak tersedia karena beberapa alasan, maka peneliti dapat mengirim e-mail taktik yang berisi) Tertanam Java Applet yang berjalan pada komputer penerima atau b) halaman HTML dengan Active X objek. Kedua bertujuan untuk mengekstrak alamat IP komputer penerima dan e-mail ke para peneliti.
5.3. Server Investigasi
Dalam penelitian ini, salinan disampaikan e-mail dan log server diselidiki untuk mengidentifikasi sumber pesan e-mail. E-mail dibersihkan dari klien (pengirim atau penerima) yang pemulihan tidak mungkin dapat diminta dari server (proxy atau ISP) karena kebanyakan dari mereka menyimpan salinan dari semua e-mail setelah pengiriman mereka. Selanjutnya, log dikelola oleh server dapat dipelajari untuk
melacak alamat komputer yang bertanggung jawab untuk membuat transaksi e-mail. Namun, server menyimpan salinan e-mail dan server log hanya untuk beberapa periode terbatas dan beberapa mungkin tidak bekerja sama dengan para peneliti. Selanjutnya, server SMTP yang menyimpan data seperti nomor kartu kredit dan data lainnya yang berkaitan dengan pemilik kotak surat dapat digunakan untuk mengidentifikasi orang di balik alamat e-mail.
5.4. Jaringan Investigasi Perangkat
Dalam bentuk penyelidikan e-mail, log dikelola oleh perangkat jaringan seperti router, firewall dan switch digunakan untuk menyelidiki sumber pesan e-mail. Bentuk penyelidikan kompleks dan hanya digunakan ketika log server (proxy atau ISP) tidak tersedia karena beberapa alasan, misalnya ketika ISP atau proxy tidak mempertahankan log atau kurangnya kerjasama dengan ISP atau kegagalan untuk mempertahankan rantai bukti.
5.5. Embedded software Identifiers
Beberapa informasi tentang pencipta e-mail, file lampiran atau dokumen mungkin disertakan dengan pesan oleh perangkat lunak e-mail yang digunakan oleh pengirim untuk menyusun e-mail. Informasi ini mungkin termasuk dalam bentuk header kustom atau dalam bentuk MIME konten sebagai Format Transport Neutral Encapsulation (TNEF). Investigasi e-mail untuk rincian ini dapat mengungkapkan beberapa informasi penting tentang preferensi pengirim e-mail dan pilihan yang dapat membantu sisi client gathering bukti. Penyelidikan dapat mengungkapkan nama file PST, Windows logon nama pengguna, alamat MAC, dll dari komputer klien yang digunakan untuk mengirim pesan e-mail.
5.6. Pengirim Mailer Fingerprints
Identifikasi software penanganan e-mail di server dapat terungkap dari lapangan header Diterima dan identifikasi software penanganan e-mail di client dapat dipastikan dengan menggunakan set yang berbeda dari header seperti "X-Mailer" atau setara. Header ini menjelaskan aplikasi dan versi mereka digunakan pada klien untuk mengirim e-mail. Informasi tentang komputer klien pengirim dapat digunakan untuk membantu peneliti menyusun rencana yang efektif dan dengan demikian terbukti sangat berguna.
6. E-MAIL FORENSIC TOOLS
Ada banyak alat-alat yang dapat membantu dalam studi sumber dan isi pesan e-mail sehingga serangan atau niat jahat dari intrusi dapat diselidiki. Alat-alat ini sambil memberikan mudah untuk menggunakan format peramban, laporan otomatis, dan fitur lainnya, membantu untuk mengidentifikasi asal dan tujuan pesan, melacak jalur yang dilalui oleh pesan; mengidentifikasi spam dan phishing jaringan, dll Bagian ini memperkenalkan beberapa alat ini.
6.1. eMailTrackerPro
eMailTrackerPro [8] menganalisis header dari e-mail untuk mendeteksi alamat IP dari mesin yang mengirim pesan sehingga pengirim dapat dilacak. Hal ini dapat melacak beberapa e-mail pada waktu yang sama dan dengan mudah melacak mereka. Lokasi geografis dari alamat IP adalah informasi penting untuk menentukan tingkat ancaman atau validitas pesan e-mail. Alat ini dapat pin titik kota yang e-mail kemungkinan besar berasal. Ini mengidentifikasi penyedia jaringan (atau ISP) pengirim dan memberikan informasi kontak untuk penyelidikan lebih lanjut. Jalan yang sebenarnya ke alamat IP pengirim dilaporkan dalam tabel routing, memberikan informasi lokasi tambahan untuk membantu menentukan lokasi sebenarnya pengirim. Fitur penyalahgunaan pelaporan dapat digunakan untuk membuat penyelidikan lebih lanjut lebih mudah. Ia memeriksa surat terhadap DNS blacklist seperti SpamCop untuk lebih menjaga terhadap spam dan email berbahaya. Mendukung Jepang, Rusia dan Cina spam filter bahasa selain bahasa Inggris. Fitur utama dari alat ini adalah penyalahgunaan pelaporan yang dapat membuat laporan yang dapat dikirim ke ISP pengirim. ISP kemudian dapat mengambil langkah-langkah untuk menuntut pemegang rekening dan membantu menghentikan spam.
6.2. EmailTracer
EmailTracer [9] merupakan upaya India di forensik cyber dengan Pusat Sumber untuk Cyber Forensik (RCCF) yang merupakan pusat utama untuk forensik maya di India. Ini mengembangkan alat forensik maya berdasarkan persyaratan lembaga penegak hukum. Di antara beberapa alat forensik digital lainnya, telah mengembangkan alat pelacak e-mail yang bernama EmailTracer. Alat ini menelusuri alamat IP yang berasal dan rincian lainnya dari e-mail header, menghasilkan laporan HTML rinci analisis Header email, menemukan rincian tingkat kota pengirim, plot rute ditelusuri melalui surat dan menampilkan lokasi geografis yang berasal dari e yang email. Selain ini, ia memiliki fasilitas pencarian kata kunci pada konten e-mail termasuk lampiran untuk klasifikasinya.
6.3. Adcomplain
Adcomplain [10] adalah alat untuk melaporkan yang tidak pantas komersial e-mail dan usenet posting, serta surat berantai dan "membuat uang cepat" posting. Secara otomatis menganalisa pesan, menyusun laporan penyalahgunaan, dan mail laporan ke penyedia layanan internet pelaku dengan melakukan analisis Header valid. Laporan ini ditampilkan untuk disetujui sebelum surat ke US Federal Trade Commission. Adcomplain dapat dipanggil dari baris perintah atau secara otomatis dari berbagai berita dan surat pembaca.
6.4. Aid4Mail Forensik
Aid4Mail Forensik [11] adalah e-mail software penyelidikan untuk analisis forensik, e-discovery, dan dukungan litigasi. Ini adalah migrasi e-mail dan konversi alat, yang mendukung berbagai format surat termasuk Outlook (PST, file MSG), Windows Live Mail, Thunderbird, Eudora, dan mbox. Hal ini dapat mencari email berdasarkan tanggal, isi header, dan dengan isi tubuh pesan. Folder email dan file dapat diproses bahkan ketika terputus (unmount) dari klien email mereka termasuk yang disimpan di CD, DVD, dan USB drive. Aid4Mail Forensik dapat mencari file PST dan semua format surat didukung, oleh rentang tanggal dan dengan kata kunci di tubuh pesan atau header. Operasi Boolean khusus yang didukung. Hal ini dapat memproses unpurged (dihapus) e-mail dari file mbox dan dapat mengembalikan e-mail unpurged selama ekspor.
6.5. AbusePipe
AbusePipe [12] analisis penyalahgunaan keluhan e-mail dan menentukan pelanggan ESP mengirimkan spam berdasarkan informasi dalam pengaduan e-mail. Secara otomatis menghasilkan laporan pelaporan pelanggan melanggar kebijakan pengguna diterima ESP sehingga tindakan untuk menutup mereka bisa segera diambil. AbusePipe dapat dikonfigurasi untuk secara otomatis membalas orang-orang yang melaporkan penyalahgunaan. Hal ini dapat membantu dalam memenuhi kewajiban hukum seperti melaporkan pelanggan terhubung ke alamat IP tertentu pada tanggal tertentu dan waktu.
6.6. AccessData di FTK
AccessData di FTK [13] adalah standar pengadilan divalidasi Platform investigasi digital forensik komputer software memberikan komputer forensik analisis, dekripsi dan password cracking dalam antarmuka yang intuitif dan disesuaikan. Memiliki kecepatan, analisis dan perusahaan-kelas skalabilitas. Hal ini dikenal dengan analisis antarmuka intuitif, e-mail-nya, data views disesuaikan dan stabilitas. Mendukung teknologi enkripsi populer, seperti Credant, SafeBoot, Utimaco, EFS, PGP, Wali Edge, Sophos Perusahaan dan S / MIME. Its jenis e-mail yang didukung saat ini adalah: Lotus Notes NSF, Outlook PST / OST, Exchange EDB, Outlook Express DBX, Eudora, EML (Microsoft Internet Mail, Earthlink, Thunderbird, Quickmail, dll), Netscape, AOL dan RFC
833.
6.7. EnCase Forensic
EnCase Forensik [14] adalah aplikasi forensik komputer yang menyediakan penyidik kemampuan untuk image drive dan melestarikannya dengan cara forensik menggunakan format EnCase berkas bukti (LEF atau E01), wadah bukti digital diperiksa oleh pengadilan di seluruh dunia. Ini berisi rangkaian lengkap dari analisis, bookmark dan pelaporan fitur. Guidance Software dan pihak ketiga vendor memberikan dukungan untuk kemampuan diperluas untuk memastikan bahwa pemeriksa forensik memiliki set paling komprehensif utilitas. Termasuk banyak penyelidikan forensik jaringan lainnya, ia juga mendukung Internet dan e-mail penyelidikan. Ini termasuk toolkit Instant Messenger untuk Microsoft Internet Explorer, Mozilla Firefox, Opera, dan Apple Safari. Dukungan e-mail termasuk untuk Outlook PSTs / OST, Outlook Express DBXs, Microsoft Exchange EDB Parser, Lotus Notes, AOL, Yahoo, Hotmail, Netscape Mail dan MBOX arsip.
6.8. FINALeMAIL
FINALeMAIL [15] dapat memulihkan file database e-mail dan menempatkan kehilangan e-mail yang tidak memiliki informasi lokasi data yang terkait dengan mereka. FINALeMAIL memiliki kemampuan memulihkan e-mail hilang ke negara asal mereka, memulihkan penuh file database e-mail bahkan ketika file tersebut diserang oleh virus atau rusak oleh format disengaja. Hal ini dapat memulihkan Pesan e-mail dan lampiran dikosongkan dari 'folder Produk Dihapus' di Microsoft Outlook Express, Netscape Mail, Eudora dan.
6.9. Sawmill-GroupWise
Sawmill-GroupWise [16] adalah GroupWise Kantor Pos Agen log analyzer yang dapat memproses file log di GroupWise Pos Format Office Agent, dan menghasilkan statistik yang dinamis dari mereka, menganalisis dan acara pelaporan. Hal ini dapat membaca log tersebut, impor mereka ke dalam MySQL, Microsoft SQL Server, atau database Oracle (atau built-in database sendiri), agregat mereka, dan menghasilkan laporan secara dinamis disaring, melalui antarmuka web. Mendukung Window, Linux, FreeBSD, OpenBSD, Mac OS, Solaris, lainnya UNIX, dan beberapa platform lainnya.
6.10. Forensik Investigasi Toolkit (FIT)
Forensik Investigasi Toolkit (FIT) [17] adalah konten forensik toolkit untuk membaca dan menganalisis isi dari data mentah Internet di capture paket (PCAP) format. FIT menyediakan keamanan administrasi petugas, auditor, penipuan dan forensik penyidik serta aparat penegak hukum kekuasaan untuk melakukan analisis isi dan rekonstruksi data mentah Internet pra-diambil dari jaringan kabel atau nirkabel. Semua protokol dan layanan dianalisis dan direkonstruksi akan ditampilkan dalam format yang dapat dibaca dengan pengguna. Keunikan lain dari FIT adalah bahwa file data mentah yang diimpor dapat segera diurai dan direkonstruksi. Mendukung fungsi manajemen kasus, informasi rinci termasuk Date-Time, Sumber IP, tujuan IP, Sumber MAC, dll, Whois dan Google Map fungsi integrasi. Menganalisis dan rekonstruksi berbagai jenis lalu lintas internet yang meliputi e-mail (POP3, SMTP, IMAP), Webmail (Baca dan Sent), IM atau Obrolan (MSN, ICQ, Yahoo, QQ, Skype Voice Panggilan Log, UT Ruang Obrolan, Gtalk , IRC Ruang Obrolan), file Transfer (FTP, P2P), Telnet, HTTP (Content, Upload / download, Video Streaming, Permintaan) dan Lainnya (SSL) dapat dilakukan dengan menggunakan toolkit ini.
6.11. Paraben (Network) E-mail Examiner
Paraben (Network) E-mail Examiner [18] memiliki fitur yang lengkap analisis, mudah bookmark dan pelaporan, pencarian Boolean maju, mencari di dalam lampiran, dan dukungan bahasa UNICODE penuh. Mendukung Amerika On-line (AOL), Microsoft Outlook (PST, OST), Thunderbird, Outlook Express, Eudora, berkas E-mail (EML), database email Windows dan lebih dari 750 Jenis MIME dan ekstensi file yang terkait. Hal ini dapat memulihkan e-mail dihapus dari Outlook (PST), Thunderbird, dll Jaringan E-mail Examiner [http://www.paraben.com/network-email-examiner.html], benar-benar dapat memeriksa Microsoft Exchange (EDB) , Lotus Notes (NSF), dan GroupWise e-mail toko. Ia bekerja dengan E-mail Examiner dan semua output kompatibel dan dapat dengan mudah diambil untuk tugas-tugas yang lebih kompleks.
Menurut Simson Garfinkel L. [19] alat forensik saat ini dirancang untuk membantu pemeriksa dalam mencari potongan khusus bukti dan tidak membantu dalam penyelidikan. Selanjutnya, alat ini diciptakan untuk memecahkan kejahatan yang dilakukan terhadap orang-orang di mana bukti berada pada komputer; mereka tidak diciptakan untuk membantu dalam memecahkan kejahatan khas yang dilakukan dengan komputer atau melawan komputer. Alat saat ini harus kembali membayangkan untuk memfasilitasi penyelidikan dan eksplorasi. Hal ini sangat penting ketika alat-alat yang digunakan di luar konteks penegakan hukum untuk kegiatan seperti cyber pertahanan dan intelijen. Pembangunan kerangka pengolahan forensik modular untuk forensik digital yang mengimplementasikan "Visibility, Filter dan Laporan" model akan menjadi langkah logis pertama dalam arah ini.
7. HUBUNGAN KERJA
Istilah "Komputer Forensik" penawaran ilmu dengan pelestarian, identifikasi, ekstraksi dan dokumentasi bukti komputer, dan seperti ilmu forensik lainnya, berkaitan hukum dan ilmu pengetahuan dan diciptakan kembali pada tahun 1991 [20]. Kara Nance et al [21] telah mengusulkan enam kategori forensik digital termasuk Jaringan Forensik. Alat dan Teknik untuk E-mail forensik jatuh di bawah kategori jaringan forensik. Banyak penelitian telah dilakukan untuk menganalisis Tools dan teknik yang digunakan dalam forensik jaringan [22, 23, 24, 25] yang juga termasuk e-mail forensik Tools dan tekniknya.
6.1. eMailTrackerPro
eMailTrackerPro [8] menganalisis header dari e-mail untuk mendeteksi alamat IP dari mesin yang mengirim pesan sehingga pengirim dapat dilacak. Hal ini dapat melacak beberapa e-mail pada waktu yang sama dan dengan mudah melacak mereka. Lokasi geografis dari alamat IP adalah informasi penting untuk menentukan tingkat ancaman atau validitas pesan e-mail. Alat ini dapat pin titik kota yang e-mail kemungkinan besar berasal. Ini mengidentifikasi penyedia jaringan (atau ISP) pengirim dan memberikan informasi kontak untuk penyelidikan lebih lanjut. Jalan yang sebenarnya ke alamat IP pengirim dilaporkan dalam tabel routing, memberikan informasi lokasi tambahan untuk membantu menentukan lokasi sebenarnya pengirim. Fitur penyalahgunaan pelaporan dapat digunakan untuk membuat penyelidikan lebih lanjut lebih mudah. Ia memeriksa surat terhadap DNS blacklist seperti SpamCop untuk lebih menjaga terhadap spam dan email berbahaya. Mendukung Jepang, Rusia dan Cina spam filter bahasa selain bahasa Inggris. Fitur utama dari alat ini adalah penyalahgunaan pelaporan yang dapat membuat laporan yang dapat dikirim ke ISP pengirim. ISP kemudian dapat mengambil langkah-langkah untuk menuntut pemegang rekening dan membantu menghentikan spam.
6.2. EmailTracer
EmailTracer [9] merupakan upaya India di forensik cyber dengan Pusat Sumber untuk Cyber Forensik (RCCF) yang merupakan pusat utama untuk forensik maya di India. Ini mengembangkan alat forensik maya berdasarkan persyaratan lembaga penegak hukum. Di antara beberapa alat forensik digital lainnya, telah mengembangkan alat pelacak e-mail yang bernama EmailTracer. Alat ini menelusuri alamat IP yang berasal dan rincian lainnya dari e-mail header, menghasilkan laporan HTML rinci analisis Header email, menemukan rincian tingkat kota pengirim, plot rute ditelusuri melalui surat dan menampilkan lokasi geografis yang berasal dari e yang email. Selain ini, ia memiliki fasilitas pencarian kata kunci pada konten e-mail termasuk lampiran untuk klasifikasinya.
6.3. Adcomplain
Adcomplain [10] adalah alat untuk melaporkan yang tidak pantas komersial e-mail dan usenet posting, serta surat berantai dan "membuat uang cepat" posting. Secara otomatis menganalisa pesan, menyusun laporan penyalahgunaan, dan mail laporan ke penyedia layanan internet pelaku dengan melakukan analisis Header valid. Laporan ini ditampilkan untuk disetujui sebelum surat ke US Federal Trade Commission. Adcomplain dapat dipanggil dari baris perintah atau secara otomatis dari berbagai berita dan surat pembaca.
6.4. Aid4Mail Forensik
Aid4Mail Forensik [11] adalah e-mail software penyelidikan untuk analisis forensik, e-discovery, dan dukungan litigasi. Ini adalah migrasi e-mail dan konversi alat, yang mendukung berbagai format surat termasuk Outlook (PST, file MSG), Windows Live Mail, Thunderbird, Eudora, dan mbox. Hal ini dapat mencari email berdasarkan tanggal, isi header, dan dengan isi tubuh pesan. Folder email dan file dapat diproses bahkan ketika terputus (unmount) dari klien email mereka termasuk yang disimpan di CD, DVD, dan USB drive. Aid4Mail Forensik dapat mencari file PST dan semua format surat didukung, oleh rentang tanggal dan dengan kata kunci di tubuh pesan atau header. Operasi Boolean khusus yang didukung. Hal ini dapat memproses unpurged (dihapus) e-mail dari file mbox dan dapat mengembalikan e-mail unpurged selama ekspor.
6.5. AbusePipe
AbusePipe [12] analisis penyalahgunaan keluhan e-mail dan menentukan pelanggan ESP mengirimkan spam berdasarkan informasi dalam pengaduan e-mail. Secara otomatis menghasilkan laporan pelaporan pelanggan melanggar kebijakan pengguna diterima ESP sehingga tindakan untuk menutup mereka bisa segera diambil. AbusePipe dapat dikonfigurasi untuk secara otomatis membalas orang-orang yang melaporkan penyalahgunaan. Hal ini dapat membantu dalam memenuhi kewajiban hukum seperti melaporkan pelanggan terhubung ke alamat IP tertentu pada tanggal tertentu dan waktu.
6.6. AccessData di FTK
AccessData di FTK [13] adalah standar pengadilan divalidasi Platform investigasi digital forensik komputer software memberikan komputer forensik analisis, dekripsi dan password cracking dalam antarmuka yang intuitif dan disesuaikan. Memiliki kecepatan, analisis dan perusahaan-kelas skalabilitas. Hal ini dikenal dengan analisis antarmuka intuitif, e-mail-nya, data views disesuaikan dan stabilitas. Mendukung teknologi enkripsi populer, seperti Credant, SafeBoot, Utimaco, EFS, PGP, Wali Edge, Sophos Perusahaan dan S / MIME. Its jenis e-mail yang didukung saat ini adalah: Lotus Notes NSF, Outlook PST / OST, Exchange EDB, Outlook Express DBX, Eudora, EML (Microsoft Internet Mail, Earthlink, Thunderbird, Quickmail, dll), Netscape, AOL dan RFC
833.
6.7. EnCase Forensic
EnCase Forensik [14] adalah aplikasi forensik komputer yang menyediakan penyidik kemampuan untuk image drive dan melestarikannya dengan cara forensik menggunakan format EnCase berkas bukti (LEF atau E01), wadah bukti digital diperiksa oleh pengadilan di seluruh dunia. Ini berisi rangkaian lengkap dari analisis, bookmark dan pelaporan fitur. Guidance Software dan pihak ketiga vendor memberikan dukungan untuk kemampuan diperluas untuk memastikan bahwa pemeriksa forensik memiliki set paling komprehensif utilitas. Termasuk banyak penyelidikan forensik jaringan lainnya, ia juga mendukung Internet dan e-mail penyelidikan. Ini termasuk toolkit Instant Messenger untuk Microsoft Internet Explorer, Mozilla Firefox, Opera, dan Apple Safari. Dukungan e-mail termasuk untuk Outlook PSTs / OST, Outlook Express DBXs, Microsoft Exchange EDB Parser, Lotus Notes, AOL, Yahoo, Hotmail, Netscape Mail dan MBOX arsip.
6.8. FINALeMAIL
FINALeMAIL [15] dapat memulihkan file database e-mail dan menempatkan kehilangan e-mail yang tidak memiliki informasi lokasi data yang terkait dengan mereka. FINALeMAIL memiliki kemampuan memulihkan e-mail hilang ke negara asal mereka, memulihkan penuh file database e-mail bahkan ketika file tersebut diserang oleh virus atau rusak oleh format disengaja. Hal ini dapat memulihkan Pesan e-mail dan lampiran dikosongkan dari 'folder Produk Dihapus' di Microsoft Outlook Express, Netscape Mail, Eudora dan.
6.9. Sawmill-GroupWise
Sawmill-GroupWise [16] adalah GroupWise Kantor Pos Agen log analyzer yang dapat memproses file log di GroupWise Pos Format Office Agent, dan menghasilkan statistik yang dinamis dari mereka, menganalisis dan acara pelaporan. Hal ini dapat membaca log tersebut, impor mereka ke dalam MySQL, Microsoft SQL Server, atau database Oracle (atau built-in database sendiri), agregat mereka, dan menghasilkan laporan secara dinamis disaring, melalui antarmuka web. Mendukung Window, Linux, FreeBSD, OpenBSD, Mac OS, Solaris, lainnya UNIX, dan beberapa platform lainnya.
6.10. Forensik Investigasi Toolkit (FIT)
Forensik Investigasi Toolkit (FIT) [17] adalah konten forensik toolkit untuk membaca dan menganalisis isi dari data mentah Internet di capture paket (PCAP) format. FIT menyediakan keamanan administrasi petugas, auditor, penipuan dan forensik penyidik serta aparat penegak hukum kekuasaan untuk melakukan analisis isi dan rekonstruksi data mentah Internet pra-diambil dari jaringan kabel atau nirkabel. Semua protokol dan layanan dianalisis dan direkonstruksi akan ditampilkan dalam format yang dapat dibaca dengan pengguna. Keunikan lain dari FIT adalah bahwa file data mentah yang diimpor dapat segera diurai dan direkonstruksi. Mendukung fungsi manajemen kasus, informasi rinci termasuk Date-Time, Sumber IP, tujuan IP, Sumber MAC, dll, Whois dan Google Map fungsi integrasi. Menganalisis dan rekonstruksi berbagai jenis lalu lintas internet yang meliputi e-mail (POP3, SMTP, IMAP), Webmail (Baca dan Sent), IM atau Obrolan (MSN, ICQ, Yahoo, QQ, Skype Voice Panggilan Log, UT Ruang Obrolan, Gtalk , IRC Ruang Obrolan), file Transfer (FTP, P2P), Telnet, HTTP (Content, Upload / download, Video Streaming, Permintaan) dan Lainnya (SSL) dapat dilakukan dengan menggunakan toolkit ini.
6.11. Paraben (Network) E-mail Examiner
Paraben (Network) E-mail Examiner [18] memiliki fitur yang lengkap analisis, mudah bookmark dan pelaporan, pencarian Boolean maju, mencari di dalam lampiran, dan dukungan bahasa UNICODE penuh. Mendukung Amerika On-line (AOL), Microsoft Outlook (PST, OST), Thunderbird, Outlook Express, Eudora, berkas E-mail (EML), database email Windows dan lebih dari 750 Jenis MIME dan ekstensi file yang terkait. Hal ini dapat memulihkan e-mail dihapus dari Outlook (PST), Thunderbird, dll Jaringan E-mail Examiner [http://www.paraben.com/network-email-examiner.html], benar-benar dapat memeriksa Microsoft Exchange (EDB) , Lotus Notes (NSF), dan GroupWise e-mail toko. Ia bekerja dengan E-mail Examiner dan semua output kompatibel dan dapat dengan mudah diambil untuk tugas-tugas yang lebih kompleks.
Menurut Simson Garfinkel L. [19] alat forensik saat ini dirancang untuk membantu pemeriksa dalam mencari potongan khusus bukti dan tidak membantu dalam penyelidikan. Selanjutnya, alat ini diciptakan untuk memecahkan kejahatan yang dilakukan terhadap orang-orang di mana bukti berada pada komputer; mereka tidak diciptakan untuk membantu dalam memecahkan kejahatan khas yang dilakukan dengan komputer atau melawan komputer. Alat saat ini harus kembali membayangkan untuk memfasilitasi penyelidikan dan eksplorasi. Hal ini sangat penting ketika alat-alat yang digunakan di luar konteks penegakan hukum untuk kegiatan seperti cyber pertahanan dan intelijen. Pembangunan kerangka pengolahan forensik modular untuk forensik digital yang mengimplementasikan "Visibility, Filter dan Laporan" model akan menjadi langkah logis pertama dalam arah ini.
7. HUBUNGAN KERJA
Istilah "Komputer Forensik" penawaran ilmu dengan pelestarian, identifikasi, ekstraksi dan dokumentasi bukti komputer, dan seperti ilmu forensik lainnya, berkaitan hukum dan ilmu pengetahuan dan diciptakan kembali pada tahun 1991 [20]. Kara Nance et al [21] telah mengusulkan enam kategori forensik digital termasuk Jaringan Forensik. Alat dan Teknik untuk E-mail forensik jatuh di bawah kategori jaringan forensik. Banyak penelitian telah dilakukan untuk menganalisis Tools dan teknik yang digunakan dalam forensik jaringan [22, 23, 24, 25] yang juga termasuk e-mail forensik Tools dan tekniknya.
8. KESIMPULAN
E-mail adalah aplikasi yang banyak digunakan dan sangat didistribusikan melibatkan beberapa aktor yang memainkan peran yang berbeda. Aktor ini termasuk komponen hardware dan software, layanan dan protokol yang menyediakan interoperabilitas antara pengguna dan antara komponen-komponen di sepanjang jalur transfer. Penjahat dunia maya menempa judul e-mail atau kirimkan anonim untuk tujuan tidak sah yang menyebabkan beberapa kejahatan dan dengan demikian membuat e-mail penyelidikan forensik penting. Makalah ini menggambarkan aktor e-mail, peran dan tanggung jawab mereka. Ini digambarkan logis arsitektur e-mail dan menggarisbawahi berbagai komponen inti, modul dan protokol yang digunakan dalam sistem. Ini menyajikan meta-data yang terdapat dalam pesan e-mail dan berbagai teknik yang digunakan untuk e-mail forensik. Makalah ini juga memperkenalkan beberapa e-mail software tools forensik yang memiliki fungsi untuk secara otomatis menganalisis e-mail dan menghasilkan laporan yang menyediakan beragam informasi tentang hal itu.
REFERENCES
[1] Suzuki, S., Nakamura, M. (2005). “Domain Name System—Past, Present and Future”, IEICE Transactions of Communication, E88b (3), pp. 857-864.
[2] Tzerefos, Smythe, Stergiou, Cvetkovic, (1997). ‘A comparative study of Simple Mail Transfer Protocol (SMTP), Post Office Protocol (POP) and X.400 Electronic Mail Protocols’ In Proceedings of the 22nd Annual IEEE Conference on Local Computer Networks, pp. 545–554.
[3] Graham, J. (1999). Enterprise wide electronic mail using IMAP, SIGUCCS '99:
Proceedings of the 27th annual ACM SIGUCCS conference on User services: Mile high expectations, November, 1999.
[4] Crocker, D. (2009). “Internet Mail Architecture”, RFC 5598, July 2009.
http://tools.ietf.org/pdf/rfc5598.pdf.
[5] Internet Assigned Numbers Authority (IANA), http://www.iana.org/assignments/port- numbers
[6] Resnick P, Ed. (2001). “Internet message format”, Internet Engineering Task Force
(IETF); 2001. RFC 2822.
[7] Marwan Al-Zarouni. (2004). “Tracing E-mail Headers”, Proceedings of Australian
Computer, Network & Information Forensics Conference on 25th November, School of
Computer and Information Science, Edith Cowan University Western Australia 2004, pp.
16-30.
[8] eMailTrackerPro, http://www.emailtrackerpro.com/ [9] EmailTracer, http://www.cyberforensics.in
[10] Adcomplain, http://www.rdrop.com/users/billmc/adcomplain.html
[11] Aid4Mail Forensic, http://www.aid4mail.com/
[12] AbusePipe, http://www.datamystic.com/abusepipe.html
[13] AccessData’s FTK, http://www.accessdata.com/
[14] EnCase Forensic, http://www.guidancesoftware.com
[15] FINALeMAIL, http://finaldata2.com
[16] Sawmill-GroupWise, http://www.sawmill.net
[17] Forensics Investigation Toolkit (FIT), http://www.edecision4u.com/FIT.html
[18] Paraben (Network) E-mail Examiner, http://www.paraben.com/email-examiner.html
[19] Simson L. Garfinkel, (2010), “Digital forensics research: The next 10 years”, Digital
Investigation, Vol. 7, pp. 64-73, doi:10.1016/j.diin.2010.05.009.
[20] New Techno logies Inc. “Computer Forensics Defined”. http://www.forensics- intl.com/def4.html.
[21] Kara Nance, Brian Hay, Matt Bishop. (2009). Digital Forensics: Defining a Research
Agenda, Proceedings of the 42nd Hawaii International Conference on System Sciences –
2009.
[22] Arthur, K. K., & Venter, H. S. (2004). An Investigation into Computer Forensic Tools.
ISSA. Pretoria: Information and Computer Security Architectures (ICSA) Research
Group.
[23] Natarajan Meghanathan, Sumanth Reddy Allam and Loretta A. Moore. (2009). Tools and Techniques For Network Forensic, International Journal of Network Security & Its Applications (IJNSA), Vol .1, No.1,April 2009.
[24] Matthew Geiger. (2005), Evaluating Commercial Counter-Forensic Tools, 2005 Digital
Forensic Research Workshop (DFRWS), New Orleans, LA.
[25] Himal Lalla, Stephen V. Flowerda. (2010). Towards a Standardised Digital Forensic Process: E-mail Forensics, Proceedings of the 2010 Information Security for South Africa (ISSA 2010) Conference 2 – 4 August 2010, Sandton Convention Centre, Sandton, South Africa, http://icsa.cs.up.ac.za/issa/2010/Proceedings/Research/05_paper.pdf
M. Tariq Banday
P. G. Department of Electronics and Instrumentation Technology University of Kashmir, Srinagar - 6, India sgrmtb@yahoo.com
sumber: http://airccse.org/journal/nsa/1111nsa17.pdf
M. Tariq Banday
P. G. Department of Electronics and Instrumentation Technology University of Kashmir, Srinagar - 6, India sgrmtb@yahoo.com
sumber: http://airccse.org/journal/nsa/1111nsa17.pdf
Internet Forensik: 4. Obfuscation (Pengelabuan)
Tumit Achilles 'dari artis Internet con adalah situs web yang mereka gunakan untuk menipu korban-korban mereka. Agar penipuan untuk fungsi, korban harus dapat mengakses situs nyata di lokasi yang ditetapkan di Internet. Tapi mengungkapkan alamat yang membuka pintu bagi peneliti, yang mengarah ke situs mereka ditutup dan mungkin untuk identitas mereka yang sebenarnya yang ditemukan.
Orang-orang jahat sangat menyadari masalah ini dan berusaha keras untuk menyamarkan, atau mengaburkan, alamat asli mereka dengan harapan sia-sia bahwa penyidik akan tertipu atau menjadi frustrasi dan menyerah pengejaran.
Selain itu, perangkat lunak spam blocking membuat semakin sulit untuk email mereka untuk bisa lolos ke kotak surat kami. Apa pun yang dapat menyamarkan alamat dan menghindarinya ditambahkan ke daftar hitam spam akan memperpanjang kehidupan seorang spammer scamso akan menggunakan setiap trik dalam buku ini.
Ini sedikit seperti perlombaan senjata, dengan tekanan dari pihak kami memaksa mereka untuk berinovasi dan datang dengan trik baru. Untungnya bagi kita, tersirat dalam bentuk kebingungan adalah kenyataan bahwa browser harus mampu mengungkapkan URL yang benar untuk menggunakannya. Jika browser dapat melakukannya, maka kita juga bisa. Bab ini mencakup berbagai trik, beberapa dari mereka cukup elegan, yang scammers gunakan untuk melempar kita dari aroma jejak mereka.
Para pengembang browser internet terus-menerus memperbarui software mereka untuk mengatasi eksploitasi keamanan, termasuk beberapa trik yang dijelaskan di sini. Akibatnya, dengan browser tertentu, beberapa trik akan bekerja dan yang lain tidak. Pada waktunya, Anda dapat mengharapkan bahwa banyak akan benar-benar diblokir. Tapi hal-hal ini memiliki cara untuk muncul kembali dalam konteks yang berbeda, jadi saya akan menjelaskan lengkap.
4.1. Anatomi URL
Berikut adalah beberapa contoh dari URL yang menggambarkan masalah:
- http://www.craic.co
- http://208.12.16.5
- http: //% 77% 77% 77% 2e% 63% 72% 61% 69% 63% 2e% 63% 6f% 6d
- http: //www.oreilly.com@www.craic.com
Semua ini membawa Anda ke situs web saya, tapi hanya yang pertama dikenali oleh pengguna biasa.
Sebagian besar varian ini menggunakan fitur yang lebih misterius dari spesifikasi URL, jadi saya akan mulaidengan review singkat itu. Sintaks umum dari URL adalah sebagai berikut:
Kami berharap URL untuk memasukkan nama host dari server web, tetapi kita dapat dengan mudah menggunakan alamat IP numerik di tempatnya. http://208.12.16.5 dan http://www.craic.com benar-benar setara. Tapi kebanyakan orang tidak ingat alamat IP dari komputer mereka sendiri, apalagi satu untuk eBay atau Citibank. Kebanyakan orang cenderung menganggap bahwa alamat IP berlaku, sedangkan nama host palsu lebih mungkin untuk menimbulkan kecurigaan. Scammers mengeksploitasi ini dan sering menggunakan alamat IP dalam URL mereka.
Ada kedua, mungkin lebih berharga, manfaat pendekatan ini. Anda dapat membuat account dengan ISP, akan diberi alamat IP, dan menyiapkan server web tanpa harus mendaftarkan nama domain. Ini membuat lebih sulit bagi orang untuk menemukan Anda, tetapi karena Anda termasuk URL dalam spam Anda, itu tidak menjadi masalah. Bahkan, itu adalah keuntungan yang signifikan.
Berikut adalah beberapa contoh:
- http://202.87.128.138/sys/index.php
- http://211.250.185.100/~bookmaul/.paypal/login.html
- http://218.244.98.8/wamu
URL dengan alamat IP mungkin tidak bekerja dengan baik jika server web mengelola beberapa virtual host. Hostname memungkinkan server untuk mengarahkan Anda ke situs yang benar, tetapi alamat IP yang ambigu, dan Anda akan melihat Situs pertama di file konfigurasi server yang sesuai dengan alamat tersebut.
4.2.1. Pengkodean Alamat IP
Alamat IP saja tidak menyamar besar, sehingga tidak mengejutkan untuk melihat lapisan lain penipuan yang ditambahkan dengan pengkodean alamat dalam beberapa cara. Pendekatan termudah adalah untuk mengkodekan karakter dalam alamat dalam heksadesimal seperti yang kita lakukan sebelumnya. Dengan cara ini http://208.12.16.5 menjadi http: //% 32% 30% 38% 2e% 31% 32% 2e% 31% 36% 2e% 35.
Sebuah alternatif yang menarik adalah dengan mengubah representasi dari alamat IP itu sendiri. Anda dapat menganggap alamat bertitik-quad sebagai angka dalam basis 256, di mana empat bagian menjadi empat berturut-turut digit. Kita dapat mengubah ini untuk angka desimal standar. Jika alamat memiliki bentuk ABCD, maka bentuk desimal dihitung sebagai berikut:
4.3. Nama pengguna dalam URL
Pengkodean yang dijelaskan di atas dapat cukup efektif menyamarkan nama host yang mendasari sebuah situs web, tetapi mereka tidak terlihat seperti URL biasa dan itu saja dapat menarik kecurigaan. Sebuah jauh lebih meyakinkan URL adalah sesuatu seperti:
http: //www.oreilly.com@www.craic.com/
Bahkan lebih baik, menggabungkan dengan beberapa pengkodean heksadesimal:
http: //www.oreilly.com@%77%77%77%2e%63%72%61%69%63%2e%63%6f%6d
Pengguna biasa akan mengambil ini menjadi link ke oreilly.com, melainkan akan membawa Anda ke
craic.com. The tanda karakter (@) adalah giveaway. Seperti disebutkan di atas, ini memisahkan nama host dan jalan bagian kanan dari username: bagian sandi ke kiri. Di sini, bukan username dan password yang valid, kita memiliki string www.oreilly.com. The craic.com web server tidak menggunakan otentikasi untuk membatasi akses, sehingga string ini hanya diabaikan. Sejauh server yang bersangkutan, Anda dapat menempatkan apa pun yang Anda inginkan di bagian tersebut. Ini adalah suatu trik luas bahwa beberapa browser sekarang mencoba untuk menangkapnya sebelum mengirim permintaan ke server web.
Mereka juga melaporkan kesalahan atau memperingatkan pengguna dan meminta mereka jika mereka
ingin melanjutkan. Ia bekerja di Safari pada Mac OS X, tetapi menghasilkan "Halaman tidak dapat ditampilkan" kesalahan dalam Internet Explorer 6 pada Windows. Firefox di Mac OS X memperingatkan Anda bahwa situs tersebut tidak memerlukan otentikasi dan menanyakan apakah Anda ingin melanjutkan (lihat Gambar 4-1).
Langkah berikutnya turun jalan ini lebih terlibat. Daripada encoding URL, pengirim mengkodekan seluruh isi pesan dengan cara yang pembaca email Anda dapat menampilkan tapi itu undecipherable untuk pengguna biasa yang ingin melihat sumber pesan. Berikut adalah contoh dari upaya phishing:
Dear e-gold user !
Our system has undergone to serious preventive maintenance,
please, check up functioning your e-gold account.
The e-gold site is at:
http://www.e-gold.com
This is automatic email.
Do not reply to this email.
Pesan ini cukup sederhana, tetapi untuk memeriksa URL yang Anda harus melihat sumber pesan. Ini dia, dengan beberapa header dihapus:
Date: Tue, 30 Mar 2004 20:15:29 -0500
To: XYZ@craic.com
From: =?windows-1251?B?QWNjb3VudFJvYm90X2Rvbm90cmVwbHlAZS1nb2
xkLmNvbQ==?=
Subject: =?windows-1251?B?QXR0ZW50aW9uIGUtZ29sZCB1c2VyICE=?=
MIME-Version: 1
Content-Transfer-Encoding.0: Base64
Content-Type: text/html; charset="windows-1251"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AQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEB AQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQFAcmV5bnNhbi5uZXRmaXJtcy5j
b20iPmh0dHA6Ly93d3cuZS1nb2xkLmNvbTwvYT48L3A+CjxwPlRoaXMgaXMg
YXV0b21hdGljIGVtYWlsLjxicj4KICBEbyBub3QgcmVwbHkgdG8gdGhpcyBl
bWFpbC48L3A+CjwvYm9keT4KPC9odG1sPgo=
Itu tidak terlihat seperti teks yang ditampilkan. Baris header ini memberitahu kita apa yang terjadi:
Content-Transfer-Encoding: Base64
Base64 mungkin merupakan metode yang paling banyak digunakan untuk mengkodekan data biner, seperti gambar, menjadi satu set karakter ASCII sehingga mereka dapat ditransfer melalui email. Meskipun ditujukan untuk encoding Halaman data yang 76binary, bekerja dengan baik dengan teks biasa.
4.5. Nama Domain serupa
Bentuk sederhana dan luas diterapkan tipu daya untuk upaya phishing adalah dengan menggunakan nama domain yang terlihat sangat mirip dengan aslinya. Berikut adalah beberapa dari banyak contoh:
Real domain name Fake domain name
citibank.com mycitibank.org
citizensbank.com citizensbankonline.com
usbank.com ussbank.net
firstusa.com firstusaonline.biz
washingtonmutual.com washingttonmutual.com
4.6. Membuat Form Look Like URL
Dalam kebanyakan browser web dan klien email, ketika anda menggerakkan mouse hyperlink, Anda akan melihat URL target yang ditampilkan di status bar di bagian bawah jendela. Ini bisa menjadi giveaway nyata untuk URL dikaburkan, sehingga beberapa upaya telah diterapkan untuk mencegah hal ini terjadi.
Salah satu pendekatan yang elegan, jika Anda dapat menggunakan istilah yang dalam konteks penipuan internet, adalah untuk mengganti hyperlink sederhana dengan bentuk HTML yang berisi hanya satu tombol SUBMIT. Dalam kebanyakan kasus ini akan tetap keluar seperti jempol sakit, tetapi melalui penggunaan atribut STYLE Anda dapat membuat tombol ini tampak persis seperti biasa jangkar HTML. Menempatkan mouse Anda ke hasil jangkar palsu dalam ada pesan di status bar. Berikut ini adalah potongan kode yang menunjukkan hal ini dalam tindakan
style="font-family: times; font-size: 12pt; color: blue;
text-decoration: underline; border-width: 0pt; padding: 0pt;
background-color: transparent;" >
Cara Anda dapat memberitahu perbedaan antara hyperlink biasa dan dimodifikasi mengirimkan buttonis oleh kursor ketika Anda mengarahkan mouse di atasnya. Hal ini berubah menjadi akrab "tangan" kursor ketika lebih dari satu hyperlink biasa, sementara tinggal sebagai pointer dasar ketika ditempatkan di atas tombol submit.
Seperti banyak trik ini, browser yang berbeda memperlakukan mereka berbeda. Yang satu ini bekerja sebagai penulis dimaksud dalam Firefox di Linux dan Internet Explorer pada Mac OS X, tetapi masih muncul seperti biasa tombol SUBMIT di Safari pada sistem Mac OS X.
4.7. Umpan dan SwitchURL Redirection
Salah satu alternatif untuk menyamarkan URL situs adalah untuk mengirim alamat situs kedua dan memiliki mengarahkan lalu lintas yang diterimanya ke alamat tujuan. Anda pikir Anda akan situs A tetapi Anda berakhir di situs B.
Hal ini membutuhkan beberapa upaya untuk ditetapkan sebagai pemilik harus memiliki kontrol dari satu atau lebih situs web proxy tersebut. Manfaat bagi mereka adalah bahwa ia menyembunyikan identitas situs web utama mereka, salah satu yang benar-benar menjual produk atau mencuri identitas Anda. Tempat di salah satu email sampah tidak alamat yang terjadi. Sebagai salah satu situs proxy akan terkena, dan alamat ditambahkan ke daftar hitam spam, mudah untuk mengatur situs proxy lain dan akan kembali dalam bisnis. Upaya dan biaya mendirikan situs ini adalah minimal dan jauh lebih mudah daripada harus memindahkan situs utama dari satu alamat yang lain.
Ada dua cara utama untuk mencapai semacam ini redirection. Anda dapat menambahkan tag khusus ke halaman web di situs proxy yang memberitahu browser Anda untuk pergi ke target. Atau, Anda dapat menambahkan baris ke file konfigurasi web server yang memotong permintaan untuk halaman tertentu dan memberitahu browser untuk mengambilnya dari lokasi target.
4.7.1. Halaman Berbasis Redirection
Cara termudah untuk menerapkan pengalihan adalah untuk membuat sebuah halaman web dan menambahkan meta tag ke bagian HEAD dokumen. meta tag digunakan untuk berbagai keperluan, seperti menambahkan kata kunci untuk mesin pencari. Salah satu kelas ini menggunakan http-equiv atribut, yang menambahkan konten ke header HTTP yang dikirim kembali ke browser segera sebelum isi halaman. Dengan menetapkan atribut http-equiv untuk menyegarkan, Anda dapat memberitahu browser untuk memuat halaman kedua pada suatu interval setelah loading halaman ini. Ini kadang-kadang digunakan untuk reload halaman web dinamis atau untuk membuat efek slide sederhana. Tapi kita bisa mengarahkan browser ke halaman yang berbeda segera jika kita mengatur waktu tunda ke nol detik dan termasuk URL target dalam atribut isi tag. Berikut adalah contoh yang memberitahu browser untuk segera mulai memuat URL target:
Jika kita berubah 0, katakanlah, 5, maka halaman saat akan ditampilkan selama 5 detik sebelum target mulai memuat.
Dalam keadaan normal Anda bahkan tidak akan melihat halaman web pertama ini. Tetapi jika hal-hal yang berjalan lambat untuk beberapa alasan, maka Anda mungkin melihat untuk satu atau dua detik sebelum target muncul. Keuntungan dari pendekatan ini adalah kesederhanaannya. Pemilik hanya perlu menyalin halaman web ke situs proxy, dan akan bekerja dengan segera.
4.7.2. Server Berbasis Redirection
Cara yang lebih baik untuk mengarahkan pengguna untuk memodifikasi file konfigurasi untuk server web. Hampir 70% dari situs di Internet menjalankan web server Apache, jadi saya hanya akan mempertimbangkan software itu di sini. Pengoperasian server dikonfigurasi dalam file httpd.conf. Server berbasis redirection dapat dicapai dalam beberapa cara berbeda. Salah satu yang paling mudah adalah dengan menyertakan satu baris Redirect direktif dalam file dan restart server. Format ini hanya:
Redirect
Lama URL adalah jalan lokal untuk dokumen HTML pada server proxy ini dan URL baru adalah URL lengkap dari halaman di situs target. Berikut adalah contoh yang akan mengambil setiap permintaan untuk redirect.html dan redirect ke halaman rumah O'Reilly:
Page 81 Redirect /redirect.html http://www.oreilly.com
Perhatikan bahwa saya tidak perlu benar-benar memiliki sebuah file yang bernama redirect.html karena server web penyadapan permintaan sebelum mencoba untuk mengambil halaman. Ini mengirimkan respon HTTP kembali ke browser, mengatakan itu halaman yang diminta tidak lagi berada di sana dan memberikan alamat baru. Browser kemudian mengirimkan permintaan kedua ke server target untuk halaman yang sebenarnya. Pengguna adalah tidak bijaksana untuk semua ini dan hanya melihat halaman target muncul. Karena satu-satunya halaman download ke browser adalah yang dimaksudkan, tidak ada resiko halaman dummy bappearing.
Kelemahan dari pendekatan ini adalah bahwa pemilik baik harus memiliki akses ke file konfigurasi Apache atau harus membujuk administrator server untuk membuat perubahan atas nama mereka. Either way, itu menuntut tingkat yang lebih tinggi kecanggihan pada bagian dari orang-orang yang bertanggung jawab untuk situs.
Pendekatan kedua yang banyak digunakan oleh situs phishing web adalah untuk menghasilkan sebuah halaman web dari server-side script, biasanya ditulis dalam Perl atau PHP. Script yang menghasilkan header HTTP untuk halaman sebelum output isi dari halaman itu sendiri. Termasuk header Lokasi akan mengarahkan browser untuk mengambil URL tertentu bukannya menampilkan konten berikut. Sebagai contoh, header berikut akan mengarahkan browser ke situs web O'Reilly:
Location: http://www.oreilly.com
4.7.3. Menentukan Mekanisme
Pengguna jeli akan tahu kapan halaman telah dialihkan karena URL di address bar browser tidak akan menjadi apa yang Anda harapkan. Anda dapat melangkah lebih jauh dan menentukan mana dari dua metode pengalihan benar-benar digunakan dalam kasus tertentu.
Cara Anda melakukan ini adalah dengan melihat header HTTP yang dikembalikan ke browser Anda dengan permintaan awal. Saya berbicara tentang header dan bagaimana untuk mengaksesnya dalam Bab 6, tapi di sini adalah rasa bagaimana berguna mereka dapat.
Dengan halaman berbasis redirection, browser menjemput halaman yang diminta dari situs proxy, dan kemudian bertindak atas refresh direktif, mengambil halaman target. Sejauh proxy server yang bersangkutan, ini adalah transaksi http biasa dan mengirim kembali respon kode angka 200. Dalam bahasa sederhana, server memberitahu browser bahwa semuanya OK dan di sini adalah konten yang Anda minta. Berikut adalah header diedit yang dikembalikan oleh wget Program ketika diberi URL yang mengarahkan menggunakan
meta tag:
HTTP request sent, awaiting response...
1 HTTP/1.1 200 OK
[...]
Dengan pengalihan berbasis server, halaman awal tidak pernah dikirim ke browser. Sebaliknya, server merespon dengan satu set header yang mencakup kode respon 302. Semua kode dalam 300 seri menandakan Server redirection dalam rasa yang sedikit berbeda. 302 singkatan dari "Pindah sementara," dan itu yang Anda akan melihat yang paling sering. Hal ini juga memasok Location header yang berisi URL target. Jadi jenis redirection menghasilkan dua set header. Yang pertama datang dari proxy, menginformasikan browser pengalihan. Yang kedua berasal dari server target, memberikan browser
Respon OK diikuti oleh konten. mereka header
terlihat seperti ini:
HTTP request sent, awaiting response...
1 HTTP/1.1 302 Found
[...]
4 Location: http://www.craic.com
Location: http://www.craic.com [following]
[...]
HTTP request sent, awaiting response...
1 HTTP/1.1 200 OK
Pola header adalah apa yang saya lihat ketika mengakses URL yang terkandung dalam banyak email yang saya terima baru-baru ini, mencoba untuk menjual replika jam tangan Rolex. Titik ini untuk berbagai situs web dengan nama samar, yang semuanya mengarahkan saya untuk online-replica-store.com.
4.7.4. Pengalihan via eBay
Ada cara ketiga untuk menangani pengalihan itu, terus terang, melampaui keyakinan. URL berikut terkandung dalam email yang tampaknya dari eBay, meminta saya untuk memperbarui nomor kartu kredit saya.
Ada dua hal yang harus Anda lakukan ketika Anda menemukan situasi seperti ini. Yang pertama adalah untuk tertawa terbahak-bahak. Yang kedua adalah untuk email perusahaan yang terlibat dan memperingatkan mereka tentang masalah, yang saya lakukan. Ternyata bahwa untuk email orang keamanan eBay, pertama Anda harus membuka rekening di eBay! Saya memberikan penjelasan rinci tentang masalah ini dan mengirimkannya di. Sejauh ini satu-satunya tanggapan yang saya terima adalah pengakuan otomatis dengan saran tentang bagaimana tempat usaha phishing, dan "Selamat Datang di eBay!" pesan.
Mungkin script telah diatur seperti ini dengan sengaja, sebagai honeypot yang dapat digunakan untuk menarik scammers. Dengan melihat URL yang diumpankan ke script, eBay dengan cepat bisa mengidentifikasi situs palsu dan menutup mereka. Tapi itu tidak bisa telah terjadi di sini karena redirect dan situs palsu keduanya bekerja dengan baik. Paling tidak, script yang harus melihat URL yang berada di luar perusahaan dan kembali peringatan halaman bahwa ini adalah phishing Page 83 upaya. Prospek scammers terlihat cerah jika kerentanan seperti ini luput dari perhatian. Pada saat penulisan, pengalihan ini masih bekerja.
4.8. JavaScript
Pada prinsipnya, aplikasi JavaScript, tertanam di halaman web, adalah cara yang bagus untuk orang-orang jahat untuk menutupi jejak mereka. Pada prinsipnya, Anda bisa menulis skrip untuk mencegah seseorang dari melihat HTML sumber untuk halaman dan untuk memanipulasi URL yang ditampilkan di status bar dan browser history. Melihat-lihat Web dan Anda akan menemukan banyak contoh script yang mengaku melakukan ini dan prestasi lain dari rekayasa. Masalahnya adalah bahwa sebagian besar dari mereka tidak bekerja.
Sementara sebagian besar browser mendukung JavaScript, dan sebagian besar memiliki dukungan diaktifkan secara default, versi terbaru cenderung untuk menonaktifkan fungsi yang mengganggu cara fungsi peramban.
Anda dapat memprogram rollovers gambar dan bentuk validasi baik-baik saja, tapi mencoba sesuatu yang lain, dan tidak dapat bekerja. Pembatasan ini merupakan respon langsung terhadap orang yang mencoba untuk mengelabui pengguna atau mengeksploitasi lubang keamanan yang memberikan mereka akses ke file dan sebagainya.
Beberapa trik masih bekerja di browser tertentu. Berikut ini adalah potongan dari HTML yang menampilkan URL palsu atas nama link dan menggunakan JavaScript untuk menulis ulang status bar dengan sama
URL.
Yang satu ini masih bekerja di Internet Explorer 6.0 di Windows. Safari pada Mac OS X menunjukkan target nyata, seperti halnya Firefox di Mac OS X, kecuali Anda secara khusus mengubah preferensi Anda untuk memungkinkan JavaScript untuk mengacaukan status bar.
Script ini hanya dapat bekerja jika dijalankan di dalam browser yang dapat menafsirkan JavaScript. Dalam sebagian besar eksplorasi kami, kami akan menggunakan browser baris perintah yang hanya menjemput HTML bagi kita. Jadi skrip ini, terlepas dari seberapa canggih mereka mungkin, menjadi tidak ada halangan untuk kami eksplorasi.
4.9. Browser dan Kebingungan
Variasi dalam perilaku antara browser ketika diberi beberapa URL ini dikaburkan frustrasi. Di satu sisi, hal itu menunjukkan bahwa pengembang alat ini menyadari masalah ini dan melakukan sesuatu tentang hal itu. Tapi di sisi lain, mereka sedang membangun browser yang tidak menerapkan spesifikasi diterima untuk URL. Sementara pilihan desain mereka dapat membantu memecahkan masalah mendesak, mereka juga akan memecahkan penggunaan yang sah dari fitur ini.
Hal ini juga jelas, dari perbedaan dalam perilaku, bahwa setiap tim pengembangan akan caranya sendiri daripada bekerja menuju tujuan bersama. Di atas ini, kita sekarang melihat sejumlah besar add-on toolbar, terutama untuk Internet Explorer, yang dapat mengingatkan pengguna untuk beberapa bentuk kebingungan. Berikut adalah tiga contoh dari mereka:
- http://toolbar.netcraft.com/
- http://www.earthlink.net/home/software/toolbar/
- http://pages.ebay.com/ebay/toolbar/
Apa yang kita butuhkan adalah revisi spesifikasi URL dikombinasikan dengan upaya yang terkoordinasi di antara para pengembang browser untuk menerapkan standar tersebut. Kami pasti akan kehilangan beberapa fitur dari spesifikasi saat ini, yang akan mengganggu beberapa orang, tetapi itu akan membuat hidup sedikit lebih keras untuk scammers
---EOF.
/#sorry terjemahin belum diperbaiki
Analisis Facebook Forensik
How Important are Facebook Artifacts?
In March 2013, Facebook reportedly had just over 1 billion users worldwide. Founded in February 2004, it can be considered one of the grandfathers of social networking. Nearly ten years later and even with hundreds of other social networking sites out there, Facebook is still a very popular social medium. With increased popularity comes the potential that Facebook will be used in a crime or at least as a secondary source of evidence providing information about the crime.As a social network, the likelihood of a suspect using Facebook as a communications medium to discuss an incident can be quite high. This whitepaper discusses the common Facebook artifacts that can be potential sources of vital evidence key to an investigation.
After reading this whitepaper you will be able to:
• Identify the common artifacts left behind when forensically examining Facebook activity
• Use digital forensics software to analyze and recover Facebook artifacts such as Chat, Messages,
Wall Posts/Comments, Pictures, and URLs
Generally there are six specific categories of artifacts that can be individually identified when examining a computer’s hard disk:
1. Facebook Chat
This artifact is most commonly found in memory as JavaScript Object Notation (JSON) text in a running computer and/or in the pagefile.sys & hiberfil.sys file(s).
2. Facebook Messages
Facebook Chat and Messages are now the same artifact, but in older versions of Facebook these were two different artifacts. This artifact is most commonly found in memory of a running computer and/or in the pagefile.sys and hiberfil.sys file(s).
3. Facebook Wall Post/Status Update/Comments
HTML that is carved from temporary internet files/web cache and memory.
Magnet Forensics - How To Uncover The Covered Tracks - 3
4. Facebook Webpage Fragment
A fragment of HTML that is carved from temporary internet files/web cache and memory.
5. Facebook Pictures
Facebook pictures have a specific filename pattern and are found in temporary internet files/web cache. The filename contains three sets of numbers like the following:
‘1221785571_1221785571_10150672801465915_n.jpg’
The second set of numbers can indicate the Facebook user ID the photo belongs to and it can be queried through
Facebook’s ‘graph’ API here: https://developers.facebook.com/tools/explorer
6. Facebook URLs
A URL in any web related (browser) artifact that references Facebook URLs. These artifacts commonly reference other
Facebook users or specific Facebook activity.
“https://www.facebook.com/photo.php?fbid=
201526933901245715&set=at.10150672801465915.448027.507140714.552175374.1221785571&type=1& theater”
201526933901245715 is the photo ID
10150672801465915 is the album ID
1221785571 is the user ID
Viewed photos will appear in the cache file with the name:
‘1221785571_1221785571_10150672801465915_n.jpg’
Viewing messages for profile currently being used:
http://www.facebook.com/messages/joey.flowes
Now that we’ve discussed the kinds of artifacts you are likely to encounter when examining evidence looking for Facebook activity or generally searching for any Facebook related activity, let’s look at how you can recover them.
Facebook can be an indispensable online resource when recovering forensic artifacts to use as digital evidence. It can provide a glimpse into an individual’s life, offer geographical information to indicate where a person was on a specific date, and can reveal the identities of close friends and family. With Facebook applications available on most mobile devices, further location data is available with GPS, making these forensic artifacts even more valuable to the investigator.
Recovering 6 Types of Facebook Forensic Artifacts
In this
whitepaper, we’ll go over the 6 most common categories of forensic artifacts that are left behind by a person’s Facebook activity. We’ll also demonstrate how our digital forensics software, IEF, can be used to analyze and recover forensic artifacts from
the
following categories:
- Facebook Chat
- Facebook Messages
- Facebook Wall Posts/Comments
- Facebook Webpage Fragment
- Facebook Pictures
- Facebook URLs
Facebook artifacts can be one of
those artifacts that may not seem to apply to your specific case, but suddenly it gets thrust into the forefront of your investigation because of
a conversation, wall post,
association or other link made solely through the user Facebook account. Like general Internet
history/activity, it’s one of those categories that you really can’t afford to not review.
Internet Evidence Finder (IEF) includes support for Facebook under the social media artifact category.
Finding & reviewing these types of artifacts are extremely simple when using Internet Evidence Finder.
There are four search types that you can use in Internet Evidence Finder when looking for Facebook
artifacts:
1.
Full Search
This is
the
default search type when using IEF to analyze NTFS, FATx, HFS+ & EXTx. This search
type allows IEF to parse the file system of each volume and identify all the various objects (files,
folders & unallocated space) to search them all. On NTFS partition, it also individually identifies file system objects such as the $MFT & $Logfile for targeted searching.
2.
Quick Search
This search type causes IEF to search specific file system objects and common files and folder locations that normally contain Internet-related artifacts. For example this type of search would target
the default locations for supported browser histories, but would not check every single file/folder.
3.
Sector Search
This is
the
default search type when examining a drive/image that contains an unknown file system. This allows IEF to search each sector for known artifacts even if the file system itself cannot be read/interpreted.
4. Custom Search
The custom search type allows the user to specify which areas of the volume to search by
selecting/deselecting the various options.
When looking for Facebook artifacts, using IEF with the “Full search” type would be the recommended
option since it would look everywhere (including unallocated space for deleted Facebook artifacts). As long as the browser history was not moved to a non-standard location, you could also use the “Quick search” option. The “Custom search” option would also work
as long as
you chose to search all files or common areas/folder locations. Once IEF is
completed with the artifact search, Facebook artifacts are individually identified and categorized separately from common web browsing artifacts.
You can then review each Facebook artifact category separately by clicking on the respective artifact subcategory and viewing the details in the table view.
Each found artifact will have a file (if
the
artifact was found in a specific file)
or physical offset (if the
artifact was found in
unallocated or when using the sector search option) displayed in
the
lower details
pane so you can find the same artifact by using other 3rd party tools for validation and additional research.
As always, if you have any comments, suggestions or
questions,
http://www.magnetforensics.com/recovering-facebook-artifacts/
Langganan:
Postingan (Atom)
