TEKNIK DAN TOOLS UNTUK INVESTIGASI FORENSIK E-MAIL
Abstrak
E-mail telah muncul sebagai aplikasi yang paling penting di Internet untuk komunikasi pesan, pengiriman dokumen dan melakukan transaksi dan digunakan tidak hanya dari komputer tetapi banyak gadget elektronik lainnya seperti telepon genggam. Selama periode protokol e-mail tahun telah diamankan melalui beberapa ekstensi keamanan dan produsen, bagaimanapun, penjahat cyber terus menyalahgunakannya untuk tujuan tidak sah dengan mengirimkan spam, phishing e-mail, mendistribusikan pornografi anak, dan kebencian selain menyebarkan virus , worm, hoax dan trojan horse. Selanjutnya, penyalahgunaan infrastruktur internet melalui denial of service, pemborosan ruang penyimpanan dan sumber daya komputasi yang setiap pengguna internet biaya langsung maupun tidak langsung. Hal ini demikian penting untuk mengidentifikasi dan menghilangkan pengguna dan mesin menyalahgunakan layanan e-mail. E-mail analisis forensik digunakan untuk mempelajari sumber dan isi pesan e-mail sebagai bukti, mengidentifikasi pengirim yang sebenarnya, penerima dan tanggal dan waktu itu dikirim, dll untuk mengumpulkan bukti yang dapat dipercaya untuk membawa penjahat ke pengadilan. Tulisan ini merupakan upaya untuk menggambarkan e-mail arsitektur dari perspektif forensik. Ini menggambarkan peran dan tanggung jawab pelaku e-mail dan komponen yang berbeda, itemizes meta-data yang terdapat dalam e-mail header, dan daftar protokol dan port yang digunakan di dalamnya. Lebih lanjut menjelaskan berbagai alat dan teknik saat ini bekerja untuk melakukan penyelidikan forensik dari pesan e-mail.
5. E-MAIL TEKNIK INVESTIGASI FORENSIK
E-mail forensik mengacu pada studi tentang sumber dan isi e-mail sebagai bukti untuk mengidentifikasi pengirim yang sebenarnya dan penerima pesan, data / waktu transmisi, catatan rinci transaksi e-mail, maksud dari pengirim, dll penelitian ini melibatkan investigasi metadata, pencarian kata kunci, port scanning, dll atas ciptaan atribusi dan identifikasi penipuan e-mail. Berbagai pendekatan yang digunakan untuk e-mail forensik dijelaskan dalam [7] dan didefinisikan secara singkat di bawah:
5.1. Analisis Header
Meta data dalam pesan e-mail dalam bentuk informasi kontrol yaitu amplop dan header termasuk header di isi pesan berisi informasi tentang pengirim dan / atau jalur sepanjang yang pesan telah dilalui. Beberapa di antaranya mungkin palsu untuk menyembunyikan identitas pengirim. Sebuah analisis rinci dari header tersebut dan korelasinya dilakukan dalam analisis header.
5.2. Taktik umpan
Dalam umpan investigasi taktik e-mail dengan http: "" tag memiliki sumber gambar di beberapa komputer dipantau oleh para peneliti adalah mengirim ke pengirim e-mail diselidiki mengandung (asli) Alamat e-mail yang sebenarnya. Ketika e-mail dibuka, entri log yang berisi alamat IP dari penerima (pengirim e-mail diselidiki) dicatat pada server hosting gambar http dan dengan demikian pengirim dilacak. Namun, jika penerima (pengirim e-mail diselidiki) menggunakan server proxy maka alamat IP dari server proxy dicatat. Log on server proxy dapat digunakan untuk melacak pengirim e-mail diselidiki. Jika log proxy server tidak tersedia karena beberapa alasan, maka peneliti dapat mengirim e-mail taktik yang berisi) Tertanam Java Applet yang berjalan pada komputer penerima atau b) halaman HTML dengan Active X objek. Kedua bertujuan untuk mengekstrak alamat IP komputer penerima dan e-mail ke para peneliti.
5.3. Server Investigasi
Dalam penelitian ini, salinan disampaikan e-mail dan log server diselidiki untuk mengidentifikasi sumber pesan e-mail. E-mail dibersihkan dari klien (pengirim atau penerima) yang pemulihan tidak mungkin dapat diminta dari server (proxy atau ISP) karena kebanyakan dari mereka menyimpan salinan dari semua e-mail setelah pengiriman mereka. Selanjutnya, log dikelola oleh server dapat dipelajari untuk
melacak alamat komputer yang bertanggung jawab untuk membuat transaksi e-mail. Namun, server menyimpan salinan e-mail dan server log hanya untuk beberapa periode terbatas dan beberapa mungkin tidak bekerja sama dengan para peneliti. Selanjutnya, server SMTP yang menyimpan data seperti nomor kartu kredit dan data lainnya yang berkaitan dengan pemilik kotak surat dapat digunakan untuk mengidentifikasi orang di balik alamat e-mail.
5.4. Jaringan Investigasi Perangkat
Dalam bentuk penyelidikan e-mail, log dikelola oleh perangkat jaringan seperti router, firewall dan switch digunakan untuk menyelidiki sumber pesan e-mail. Bentuk penyelidikan kompleks dan hanya digunakan ketika log server (proxy atau ISP) tidak tersedia karena beberapa alasan, misalnya ketika ISP atau proxy tidak mempertahankan log atau kurangnya kerjasama dengan ISP atau kegagalan untuk mempertahankan rantai bukti.
5.5. Embedded software Identifiers
Beberapa informasi tentang pencipta e-mail, file lampiran atau dokumen mungkin disertakan dengan pesan oleh perangkat lunak e-mail yang digunakan oleh pengirim untuk menyusun e-mail. Informasi ini mungkin termasuk dalam bentuk header kustom atau dalam bentuk MIME konten sebagai Format Transport Neutral Encapsulation (TNEF). Investigasi e-mail untuk rincian ini dapat mengungkapkan beberapa informasi penting tentang preferensi pengirim e-mail dan pilihan yang dapat membantu sisi client gathering bukti. Penyelidikan dapat mengungkapkan nama file PST, Windows logon nama pengguna, alamat MAC, dll dari komputer klien yang digunakan untuk mengirim pesan e-mail.
5.6. Pengirim Mailer Fingerprints
Identifikasi software penanganan e-mail di server dapat terungkap dari lapangan header Diterima dan identifikasi software penanganan e-mail di client dapat dipastikan dengan menggunakan set yang berbeda dari header seperti "X-Mailer" atau setara. Header ini menjelaskan aplikasi dan versi mereka digunakan pada klien untuk mengirim e-mail. Informasi tentang komputer klien pengirim dapat digunakan untuk membantu peneliti menyusun rencana yang efektif dan dengan demikian terbukti sangat berguna.
Abstrak
E-mail telah muncul sebagai aplikasi yang paling penting di Internet untuk komunikasi pesan, pengiriman dokumen dan melakukan transaksi dan digunakan tidak hanya dari komputer tetapi banyak gadget elektronik lainnya seperti telepon genggam. Selama periode protokol e-mail tahun telah diamankan melalui beberapa ekstensi keamanan dan produsen, bagaimanapun, penjahat cyber terus menyalahgunakannya untuk tujuan tidak sah dengan mengirimkan spam, phishing e-mail, mendistribusikan pornografi anak, dan kebencian selain menyebarkan virus , worm, hoax dan trojan horse. Selanjutnya, penyalahgunaan infrastruktur internet melalui denial of service, pemborosan ruang penyimpanan dan sumber daya komputasi yang setiap pengguna internet biaya langsung maupun tidak langsung. Hal ini demikian penting untuk mengidentifikasi dan menghilangkan pengguna dan mesin menyalahgunakan layanan e-mail. E-mail analisis forensik digunakan untuk mempelajari sumber dan isi pesan e-mail sebagai bukti, mengidentifikasi pengirim yang sebenarnya, penerima dan tanggal dan waktu itu dikirim, dll untuk mengumpulkan bukti yang dapat dipercaya untuk membawa penjahat ke pengadilan. Tulisan ini merupakan upaya untuk menggambarkan e-mail arsitektur dari perspektif forensik. Ini menggambarkan peran dan tanggung jawab pelaku e-mail dan komponen yang berbeda, itemizes meta-data yang terdapat dalam e-mail header, dan daftar protokol dan port yang digunakan di dalamnya. Lebih lanjut menjelaskan berbagai alat dan teknik saat ini bekerja untuk melakukan penyelidikan forensik dari pesan e-mail.
5. E-MAIL TEKNIK INVESTIGASI FORENSIK
E-mail forensik mengacu pada studi tentang sumber dan isi e-mail sebagai bukti untuk mengidentifikasi pengirim yang sebenarnya dan penerima pesan, data / waktu transmisi, catatan rinci transaksi e-mail, maksud dari pengirim, dll penelitian ini melibatkan investigasi metadata, pencarian kata kunci, port scanning, dll atas ciptaan atribusi dan identifikasi penipuan e-mail. Berbagai pendekatan yang digunakan untuk e-mail forensik dijelaskan dalam [7] dan didefinisikan secara singkat di bawah:
5.1. Analisis Header
Meta data dalam pesan e-mail dalam bentuk informasi kontrol yaitu amplop dan header termasuk header di isi pesan berisi informasi tentang pengirim dan / atau jalur sepanjang yang pesan telah dilalui. Beberapa di antaranya mungkin palsu untuk menyembunyikan identitas pengirim. Sebuah analisis rinci dari header tersebut dan korelasinya dilakukan dalam analisis header.
5.2. Taktik umpan
Dalam umpan investigasi taktik e-mail dengan http: "" tag memiliki sumber gambar di beberapa komputer dipantau oleh para peneliti adalah mengirim ke pengirim e-mail diselidiki mengandung (asli) Alamat e-mail yang sebenarnya. Ketika e-mail dibuka, entri log yang berisi alamat IP dari penerima (pengirim e-mail diselidiki) dicatat pada server hosting gambar http dan dengan demikian pengirim dilacak. Namun, jika penerima (pengirim e-mail diselidiki) menggunakan server proxy maka alamat IP dari server proxy dicatat. Log on server proxy dapat digunakan untuk melacak pengirim e-mail diselidiki. Jika log proxy server tidak tersedia karena beberapa alasan, maka peneliti dapat mengirim e-mail taktik yang berisi) Tertanam Java Applet yang berjalan pada komputer penerima atau b) halaman HTML dengan Active X objek. Kedua bertujuan untuk mengekstrak alamat IP komputer penerima dan e-mail ke para peneliti.
5.3. Server Investigasi
Dalam penelitian ini, salinan disampaikan e-mail dan log server diselidiki untuk mengidentifikasi sumber pesan e-mail. E-mail dibersihkan dari klien (pengirim atau penerima) yang pemulihan tidak mungkin dapat diminta dari server (proxy atau ISP) karena kebanyakan dari mereka menyimpan salinan dari semua e-mail setelah pengiriman mereka. Selanjutnya, log dikelola oleh server dapat dipelajari untuk
melacak alamat komputer yang bertanggung jawab untuk membuat transaksi e-mail. Namun, server menyimpan salinan e-mail dan server log hanya untuk beberapa periode terbatas dan beberapa mungkin tidak bekerja sama dengan para peneliti. Selanjutnya, server SMTP yang menyimpan data seperti nomor kartu kredit dan data lainnya yang berkaitan dengan pemilik kotak surat dapat digunakan untuk mengidentifikasi orang di balik alamat e-mail.
5.4. Jaringan Investigasi Perangkat
Dalam bentuk penyelidikan e-mail, log dikelola oleh perangkat jaringan seperti router, firewall dan switch digunakan untuk menyelidiki sumber pesan e-mail. Bentuk penyelidikan kompleks dan hanya digunakan ketika log server (proxy atau ISP) tidak tersedia karena beberapa alasan, misalnya ketika ISP atau proxy tidak mempertahankan log atau kurangnya kerjasama dengan ISP atau kegagalan untuk mempertahankan rantai bukti.
5.5. Embedded software Identifiers
Beberapa informasi tentang pencipta e-mail, file lampiran atau dokumen mungkin disertakan dengan pesan oleh perangkat lunak e-mail yang digunakan oleh pengirim untuk menyusun e-mail. Informasi ini mungkin termasuk dalam bentuk header kustom atau dalam bentuk MIME konten sebagai Format Transport Neutral Encapsulation (TNEF). Investigasi e-mail untuk rincian ini dapat mengungkapkan beberapa informasi penting tentang preferensi pengirim e-mail dan pilihan yang dapat membantu sisi client gathering bukti. Penyelidikan dapat mengungkapkan nama file PST, Windows logon nama pengguna, alamat MAC, dll dari komputer klien yang digunakan untuk mengirim pesan e-mail.
5.6. Pengirim Mailer Fingerprints
Identifikasi software penanganan e-mail di server dapat terungkap dari lapangan header Diterima dan identifikasi software penanganan e-mail di client dapat dipastikan dengan menggunakan set yang berbeda dari header seperti "X-Mailer" atau setara. Header ini menjelaskan aplikasi dan versi mereka digunakan pada klien untuk mengirim e-mail. Informasi tentang komputer klien pengirim dapat digunakan untuk membantu peneliti menyusun rencana yang efektif dan dengan demikian terbukti sangat berguna.
6. E-MAIL FORENSIC TOOLS
Ada banyak alat-alat yang dapat membantu dalam studi sumber dan isi pesan e-mail sehingga serangan atau niat jahat dari intrusi dapat diselidiki. Alat-alat ini sambil memberikan mudah untuk menggunakan format peramban, laporan otomatis, dan fitur lainnya, membantu untuk mengidentifikasi asal dan tujuan pesan, melacak jalur yang dilalui oleh pesan; mengidentifikasi spam dan phishing jaringan, dll Bagian ini memperkenalkan beberapa alat ini.
6.1. eMailTrackerPro
eMailTrackerPro [8] menganalisis header dari e-mail untuk mendeteksi alamat IP dari mesin yang mengirim pesan sehingga pengirim dapat dilacak. Hal ini dapat melacak beberapa e-mail pada waktu yang sama dan dengan mudah melacak mereka. Lokasi geografis dari alamat IP adalah informasi penting untuk menentukan tingkat ancaman atau validitas pesan e-mail. Alat ini dapat pin titik kota yang e-mail kemungkinan besar berasal. Ini mengidentifikasi penyedia jaringan (atau ISP) pengirim dan memberikan informasi kontak untuk penyelidikan lebih lanjut. Jalan yang sebenarnya ke alamat IP pengirim dilaporkan dalam tabel routing, memberikan informasi lokasi tambahan untuk membantu menentukan lokasi sebenarnya pengirim. Fitur penyalahgunaan pelaporan dapat digunakan untuk membuat penyelidikan lebih lanjut lebih mudah. Ia memeriksa surat terhadap DNS blacklist seperti SpamCop untuk lebih menjaga terhadap spam dan email berbahaya. Mendukung Jepang, Rusia dan Cina spam filter bahasa selain bahasa Inggris. Fitur utama dari alat ini adalah penyalahgunaan pelaporan yang dapat membuat laporan yang dapat dikirim ke ISP pengirim. ISP kemudian dapat mengambil langkah-langkah untuk menuntut pemegang rekening dan membantu menghentikan spam.
6.2. EmailTracer
EmailTracer [9] merupakan upaya India di forensik cyber dengan Pusat Sumber untuk Cyber Forensik (RCCF) yang merupakan pusat utama untuk forensik maya di India. Ini mengembangkan alat forensik maya berdasarkan persyaratan lembaga penegak hukum. Di antara beberapa alat forensik digital lainnya, telah mengembangkan alat pelacak e-mail yang bernama EmailTracer. Alat ini menelusuri alamat IP yang berasal dan rincian lainnya dari e-mail header, menghasilkan laporan HTML rinci analisis Header email, menemukan rincian tingkat kota pengirim, plot rute ditelusuri melalui surat dan menampilkan lokasi geografis yang berasal dari e yang email. Selain ini, ia memiliki fasilitas pencarian kata kunci pada konten e-mail termasuk lampiran untuk klasifikasinya.
6.3. Adcomplain
Adcomplain [10] adalah alat untuk melaporkan yang tidak pantas komersial e-mail dan usenet posting, serta surat berantai dan "membuat uang cepat" posting. Secara otomatis menganalisa pesan, menyusun laporan penyalahgunaan, dan mail laporan ke penyedia layanan internet pelaku dengan melakukan analisis Header valid. Laporan ini ditampilkan untuk disetujui sebelum surat ke US Federal Trade Commission. Adcomplain dapat dipanggil dari baris perintah atau secara otomatis dari berbagai berita dan surat pembaca.
6.4. Aid4Mail Forensik
Aid4Mail Forensik [11] adalah e-mail software penyelidikan untuk analisis forensik, e-discovery, dan dukungan litigasi. Ini adalah migrasi e-mail dan konversi alat, yang mendukung berbagai format surat termasuk Outlook (PST, file MSG), Windows Live Mail, Thunderbird, Eudora, dan mbox. Hal ini dapat mencari email berdasarkan tanggal, isi header, dan dengan isi tubuh pesan. Folder email dan file dapat diproses bahkan ketika terputus (unmount) dari klien email mereka termasuk yang disimpan di CD, DVD, dan USB drive. Aid4Mail Forensik dapat mencari file PST dan semua format surat didukung, oleh rentang tanggal dan dengan kata kunci di tubuh pesan atau header. Operasi Boolean khusus yang didukung. Hal ini dapat memproses unpurged (dihapus) e-mail dari file mbox dan dapat mengembalikan e-mail unpurged selama ekspor.
6.5. AbusePipe
AbusePipe [12] analisis penyalahgunaan keluhan e-mail dan menentukan pelanggan ESP mengirimkan spam berdasarkan informasi dalam pengaduan e-mail. Secara otomatis menghasilkan laporan pelaporan pelanggan melanggar kebijakan pengguna diterima ESP sehingga tindakan untuk menutup mereka bisa segera diambil. AbusePipe dapat dikonfigurasi untuk secara otomatis membalas orang-orang yang melaporkan penyalahgunaan. Hal ini dapat membantu dalam memenuhi kewajiban hukum seperti melaporkan pelanggan terhubung ke alamat IP tertentu pada tanggal tertentu dan waktu.
6.6. AccessData di FTK
AccessData di FTK [13] adalah standar pengadilan divalidasi Platform investigasi digital forensik komputer software memberikan komputer forensik analisis, dekripsi dan password cracking dalam antarmuka yang intuitif dan disesuaikan. Memiliki kecepatan, analisis dan perusahaan-kelas skalabilitas. Hal ini dikenal dengan analisis antarmuka intuitif, e-mail-nya, data views disesuaikan dan stabilitas. Mendukung teknologi enkripsi populer, seperti Credant, SafeBoot, Utimaco, EFS, PGP, Wali Edge, Sophos Perusahaan dan S / MIME. Its jenis e-mail yang didukung saat ini adalah: Lotus Notes NSF, Outlook PST / OST, Exchange EDB, Outlook Express DBX, Eudora, EML (Microsoft Internet Mail, Earthlink, Thunderbird, Quickmail, dll), Netscape, AOL dan RFC
833.
6.7. EnCase Forensic
EnCase Forensik [14] adalah aplikasi forensik komputer yang menyediakan penyidik kemampuan untuk image drive dan melestarikannya dengan cara forensik menggunakan format EnCase berkas bukti (LEF atau E01), wadah bukti digital diperiksa oleh pengadilan di seluruh dunia. Ini berisi rangkaian lengkap dari analisis, bookmark dan pelaporan fitur. Guidance Software dan pihak ketiga vendor memberikan dukungan untuk kemampuan diperluas untuk memastikan bahwa pemeriksa forensik memiliki set paling komprehensif utilitas. Termasuk banyak penyelidikan forensik jaringan lainnya, ia juga mendukung Internet dan e-mail penyelidikan. Ini termasuk toolkit Instant Messenger untuk Microsoft Internet Explorer, Mozilla Firefox, Opera, dan Apple Safari. Dukungan e-mail termasuk untuk Outlook PSTs / OST, Outlook Express DBXs, Microsoft Exchange EDB Parser, Lotus Notes, AOL, Yahoo, Hotmail, Netscape Mail dan MBOX arsip.
6.8. FINALeMAIL
FINALeMAIL [15] dapat memulihkan file database e-mail dan menempatkan kehilangan e-mail yang tidak memiliki informasi lokasi data yang terkait dengan mereka. FINALeMAIL memiliki kemampuan memulihkan e-mail hilang ke negara asal mereka, memulihkan penuh file database e-mail bahkan ketika file tersebut diserang oleh virus atau rusak oleh format disengaja. Hal ini dapat memulihkan Pesan e-mail dan lampiran dikosongkan dari 'folder Produk Dihapus' di Microsoft Outlook Express, Netscape Mail, Eudora dan.
6.9. Sawmill-GroupWise
Sawmill-GroupWise [16] adalah GroupWise Kantor Pos Agen log analyzer yang dapat memproses file log di GroupWise Pos Format Office Agent, dan menghasilkan statistik yang dinamis dari mereka, menganalisis dan acara pelaporan. Hal ini dapat membaca log tersebut, impor mereka ke dalam MySQL, Microsoft SQL Server, atau database Oracle (atau built-in database sendiri), agregat mereka, dan menghasilkan laporan secara dinamis disaring, melalui antarmuka web. Mendukung Window, Linux, FreeBSD, OpenBSD, Mac OS, Solaris, lainnya UNIX, dan beberapa platform lainnya.
6.10. Forensik Investigasi Toolkit (FIT)
Forensik Investigasi Toolkit (FIT) [17] adalah konten forensik toolkit untuk membaca dan menganalisis isi dari data mentah Internet di capture paket (PCAP) format. FIT menyediakan keamanan administrasi petugas, auditor, penipuan dan forensik penyidik serta aparat penegak hukum kekuasaan untuk melakukan analisis isi dan rekonstruksi data mentah Internet pra-diambil dari jaringan kabel atau nirkabel. Semua protokol dan layanan dianalisis dan direkonstruksi akan ditampilkan dalam format yang dapat dibaca dengan pengguna. Keunikan lain dari FIT adalah bahwa file data mentah yang diimpor dapat segera diurai dan direkonstruksi. Mendukung fungsi manajemen kasus, informasi rinci termasuk Date-Time, Sumber IP, tujuan IP, Sumber MAC, dll, Whois dan Google Map fungsi integrasi. Menganalisis dan rekonstruksi berbagai jenis lalu lintas internet yang meliputi e-mail (POP3, SMTP, IMAP), Webmail (Baca dan Sent), IM atau Obrolan (MSN, ICQ, Yahoo, QQ, Skype Voice Panggilan Log, UT Ruang Obrolan, Gtalk , IRC Ruang Obrolan), file Transfer (FTP, P2P), Telnet, HTTP (Content, Upload / download, Video Streaming, Permintaan) dan Lainnya (SSL) dapat dilakukan dengan menggunakan toolkit ini.
6.11. Paraben (Network) E-mail Examiner
Paraben (Network) E-mail Examiner [18] memiliki fitur yang lengkap analisis, mudah bookmark dan pelaporan, pencarian Boolean maju, mencari di dalam lampiran, dan dukungan bahasa UNICODE penuh. Mendukung Amerika On-line (AOL), Microsoft Outlook (PST, OST), Thunderbird, Outlook Express, Eudora, berkas E-mail (EML), database email Windows dan lebih dari 750 Jenis MIME dan ekstensi file yang terkait. Hal ini dapat memulihkan e-mail dihapus dari Outlook (PST), Thunderbird, dll Jaringan E-mail Examiner [http://www.paraben.com/network-email-examiner.html], benar-benar dapat memeriksa Microsoft Exchange (EDB) , Lotus Notes (NSF), dan GroupWise e-mail toko. Ia bekerja dengan E-mail Examiner dan semua output kompatibel dan dapat dengan mudah diambil untuk tugas-tugas yang lebih kompleks.
Menurut Simson Garfinkel L. [19] alat forensik saat ini dirancang untuk membantu pemeriksa dalam mencari potongan khusus bukti dan tidak membantu dalam penyelidikan. Selanjutnya, alat ini diciptakan untuk memecahkan kejahatan yang dilakukan terhadap orang-orang di mana bukti berada pada komputer; mereka tidak diciptakan untuk membantu dalam memecahkan kejahatan khas yang dilakukan dengan komputer atau melawan komputer. Alat saat ini harus kembali membayangkan untuk memfasilitasi penyelidikan dan eksplorasi. Hal ini sangat penting ketika alat-alat yang digunakan di luar konteks penegakan hukum untuk kegiatan seperti cyber pertahanan dan intelijen. Pembangunan kerangka pengolahan forensik modular untuk forensik digital yang mengimplementasikan "Visibility, Filter dan Laporan" model akan menjadi langkah logis pertama dalam arah ini.
7. HUBUNGAN KERJA
Istilah "Komputer Forensik" penawaran ilmu dengan pelestarian, identifikasi, ekstraksi dan dokumentasi bukti komputer, dan seperti ilmu forensik lainnya, berkaitan hukum dan ilmu pengetahuan dan diciptakan kembali pada tahun 1991 [20]. Kara Nance et al [21] telah mengusulkan enam kategori forensik digital termasuk Jaringan Forensik. Alat dan Teknik untuk E-mail forensik jatuh di bawah kategori jaringan forensik. Banyak penelitian telah dilakukan untuk menganalisis Tools dan teknik yang digunakan dalam forensik jaringan [22, 23, 24, 25] yang juga termasuk e-mail forensik Tools dan tekniknya.
6.1. eMailTrackerPro
eMailTrackerPro [8] menganalisis header dari e-mail untuk mendeteksi alamat IP dari mesin yang mengirim pesan sehingga pengirim dapat dilacak. Hal ini dapat melacak beberapa e-mail pada waktu yang sama dan dengan mudah melacak mereka. Lokasi geografis dari alamat IP adalah informasi penting untuk menentukan tingkat ancaman atau validitas pesan e-mail. Alat ini dapat pin titik kota yang e-mail kemungkinan besar berasal. Ini mengidentifikasi penyedia jaringan (atau ISP) pengirim dan memberikan informasi kontak untuk penyelidikan lebih lanjut. Jalan yang sebenarnya ke alamat IP pengirim dilaporkan dalam tabel routing, memberikan informasi lokasi tambahan untuk membantu menentukan lokasi sebenarnya pengirim. Fitur penyalahgunaan pelaporan dapat digunakan untuk membuat penyelidikan lebih lanjut lebih mudah. Ia memeriksa surat terhadap DNS blacklist seperti SpamCop untuk lebih menjaga terhadap spam dan email berbahaya. Mendukung Jepang, Rusia dan Cina spam filter bahasa selain bahasa Inggris. Fitur utama dari alat ini adalah penyalahgunaan pelaporan yang dapat membuat laporan yang dapat dikirim ke ISP pengirim. ISP kemudian dapat mengambil langkah-langkah untuk menuntut pemegang rekening dan membantu menghentikan spam.
6.2. EmailTracer
EmailTracer [9] merupakan upaya India di forensik cyber dengan Pusat Sumber untuk Cyber Forensik (RCCF) yang merupakan pusat utama untuk forensik maya di India. Ini mengembangkan alat forensik maya berdasarkan persyaratan lembaga penegak hukum. Di antara beberapa alat forensik digital lainnya, telah mengembangkan alat pelacak e-mail yang bernama EmailTracer. Alat ini menelusuri alamat IP yang berasal dan rincian lainnya dari e-mail header, menghasilkan laporan HTML rinci analisis Header email, menemukan rincian tingkat kota pengirim, plot rute ditelusuri melalui surat dan menampilkan lokasi geografis yang berasal dari e yang email. Selain ini, ia memiliki fasilitas pencarian kata kunci pada konten e-mail termasuk lampiran untuk klasifikasinya.
6.3. Adcomplain
Adcomplain [10] adalah alat untuk melaporkan yang tidak pantas komersial e-mail dan usenet posting, serta surat berantai dan "membuat uang cepat" posting. Secara otomatis menganalisa pesan, menyusun laporan penyalahgunaan, dan mail laporan ke penyedia layanan internet pelaku dengan melakukan analisis Header valid. Laporan ini ditampilkan untuk disetujui sebelum surat ke US Federal Trade Commission. Adcomplain dapat dipanggil dari baris perintah atau secara otomatis dari berbagai berita dan surat pembaca.
6.4. Aid4Mail Forensik
Aid4Mail Forensik [11] adalah e-mail software penyelidikan untuk analisis forensik, e-discovery, dan dukungan litigasi. Ini adalah migrasi e-mail dan konversi alat, yang mendukung berbagai format surat termasuk Outlook (PST, file MSG), Windows Live Mail, Thunderbird, Eudora, dan mbox. Hal ini dapat mencari email berdasarkan tanggal, isi header, dan dengan isi tubuh pesan. Folder email dan file dapat diproses bahkan ketika terputus (unmount) dari klien email mereka termasuk yang disimpan di CD, DVD, dan USB drive. Aid4Mail Forensik dapat mencari file PST dan semua format surat didukung, oleh rentang tanggal dan dengan kata kunci di tubuh pesan atau header. Operasi Boolean khusus yang didukung. Hal ini dapat memproses unpurged (dihapus) e-mail dari file mbox dan dapat mengembalikan e-mail unpurged selama ekspor.
6.5. AbusePipe
AbusePipe [12] analisis penyalahgunaan keluhan e-mail dan menentukan pelanggan ESP mengirimkan spam berdasarkan informasi dalam pengaduan e-mail. Secara otomatis menghasilkan laporan pelaporan pelanggan melanggar kebijakan pengguna diterima ESP sehingga tindakan untuk menutup mereka bisa segera diambil. AbusePipe dapat dikonfigurasi untuk secara otomatis membalas orang-orang yang melaporkan penyalahgunaan. Hal ini dapat membantu dalam memenuhi kewajiban hukum seperti melaporkan pelanggan terhubung ke alamat IP tertentu pada tanggal tertentu dan waktu.
6.6. AccessData di FTK
AccessData di FTK [13] adalah standar pengadilan divalidasi Platform investigasi digital forensik komputer software memberikan komputer forensik analisis, dekripsi dan password cracking dalam antarmuka yang intuitif dan disesuaikan. Memiliki kecepatan, analisis dan perusahaan-kelas skalabilitas. Hal ini dikenal dengan analisis antarmuka intuitif, e-mail-nya, data views disesuaikan dan stabilitas. Mendukung teknologi enkripsi populer, seperti Credant, SafeBoot, Utimaco, EFS, PGP, Wali Edge, Sophos Perusahaan dan S / MIME. Its jenis e-mail yang didukung saat ini adalah: Lotus Notes NSF, Outlook PST / OST, Exchange EDB, Outlook Express DBX, Eudora, EML (Microsoft Internet Mail, Earthlink, Thunderbird, Quickmail, dll), Netscape, AOL dan RFC
833.
6.7. EnCase Forensic
EnCase Forensik [14] adalah aplikasi forensik komputer yang menyediakan penyidik kemampuan untuk image drive dan melestarikannya dengan cara forensik menggunakan format EnCase berkas bukti (LEF atau E01), wadah bukti digital diperiksa oleh pengadilan di seluruh dunia. Ini berisi rangkaian lengkap dari analisis, bookmark dan pelaporan fitur. Guidance Software dan pihak ketiga vendor memberikan dukungan untuk kemampuan diperluas untuk memastikan bahwa pemeriksa forensik memiliki set paling komprehensif utilitas. Termasuk banyak penyelidikan forensik jaringan lainnya, ia juga mendukung Internet dan e-mail penyelidikan. Ini termasuk toolkit Instant Messenger untuk Microsoft Internet Explorer, Mozilla Firefox, Opera, dan Apple Safari. Dukungan e-mail termasuk untuk Outlook PSTs / OST, Outlook Express DBXs, Microsoft Exchange EDB Parser, Lotus Notes, AOL, Yahoo, Hotmail, Netscape Mail dan MBOX arsip.
6.8. FINALeMAIL
FINALeMAIL [15] dapat memulihkan file database e-mail dan menempatkan kehilangan e-mail yang tidak memiliki informasi lokasi data yang terkait dengan mereka. FINALeMAIL memiliki kemampuan memulihkan e-mail hilang ke negara asal mereka, memulihkan penuh file database e-mail bahkan ketika file tersebut diserang oleh virus atau rusak oleh format disengaja. Hal ini dapat memulihkan Pesan e-mail dan lampiran dikosongkan dari 'folder Produk Dihapus' di Microsoft Outlook Express, Netscape Mail, Eudora dan.
6.9. Sawmill-GroupWise
Sawmill-GroupWise [16] adalah GroupWise Kantor Pos Agen log analyzer yang dapat memproses file log di GroupWise Pos Format Office Agent, dan menghasilkan statistik yang dinamis dari mereka, menganalisis dan acara pelaporan. Hal ini dapat membaca log tersebut, impor mereka ke dalam MySQL, Microsoft SQL Server, atau database Oracle (atau built-in database sendiri), agregat mereka, dan menghasilkan laporan secara dinamis disaring, melalui antarmuka web. Mendukung Window, Linux, FreeBSD, OpenBSD, Mac OS, Solaris, lainnya UNIX, dan beberapa platform lainnya.
6.10. Forensik Investigasi Toolkit (FIT)
Forensik Investigasi Toolkit (FIT) [17] adalah konten forensik toolkit untuk membaca dan menganalisis isi dari data mentah Internet di capture paket (PCAP) format. FIT menyediakan keamanan administrasi petugas, auditor, penipuan dan forensik penyidik serta aparat penegak hukum kekuasaan untuk melakukan analisis isi dan rekonstruksi data mentah Internet pra-diambil dari jaringan kabel atau nirkabel. Semua protokol dan layanan dianalisis dan direkonstruksi akan ditampilkan dalam format yang dapat dibaca dengan pengguna. Keunikan lain dari FIT adalah bahwa file data mentah yang diimpor dapat segera diurai dan direkonstruksi. Mendukung fungsi manajemen kasus, informasi rinci termasuk Date-Time, Sumber IP, tujuan IP, Sumber MAC, dll, Whois dan Google Map fungsi integrasi. Menganalisis dan rekonstruksi berbagai jenis lalu lintas internet yang meliputi e-mail (POP3, SMTP, IMAP), Webmail (Baca dan Sent), IM atau Obrolan (MSN, ICQ, Yahoo, QQ, Skype Voice Panggilan Log, UT Ruang Obrolan, Gtalk , IRC Ruang Obrolan), file Transfer (FTP, P2P), Telnet, HTTP (Content, Upload / download, Video Streaming, Permintaan) dan Lainnya (SSL) dapat dilakukan dengan menggunakan toolkit ini.
6.11. Paraben (Network) E-mail Examiner
Paraben (Network) E-mail Examiner [18] memiliki fitur yang lengkap analisis, mudah bookmark dan pelaporan, pencarian Boolean maju, mencari di dalam lampiran, dan dukungan bahasa UNICODE penuh. Mendukung Amerika On-line (AOL), Microsoft Outlook (PST, OST), Thunderbird, Outlook Express, Eudora, berkas E-mail (EML), database email Windows dan lebih dari 750 Jenis MIME dan ekstensi file yang terkait. Hal ini dapat memulihkan e-mail dihapus dari Outlook (PST), Thunderbird, dll Jaringan E-mail Examiner [http://www.paraben.com/network-email-examiner.html], benar-benar dapat memeriksa Microsoft Exchange (EDB) , Lotus Notes (NSF), dan GroupWise e-mail toko. Ia bekerja dengan E-mail Examiner dan semua output kompatibel dan dapat dengan mudah diambil untuk tugas-tugas yang lebih kompleks.
Menurut Simson Garfinkel L. [19] alat forensik saat ini dirancang untuk membantu pemeriksa dalam mencari potongan khusus bukti dan tidak membantu dalam penyelidikan. Selanjutnya, alat ini diciptakan untuk memecahkan kejahatan yang dilakukan terhadap orang-orang di mana bukti berada pada komputer; mereka tidak diciptakan untuk membantu dalam memecahkan kejahatan khas yang dilakukan dengan komputer atau melawan komputer. Alat saat ini harus kembali membayangkan untuk memfasilitasi penyelidikan dan eksplorasi. Hal ini sangat penting ketika alat-alat yang digunakan di luar konteks penegakan hukum untuk kegiatan seperti cyber pertahanan dan intelijen. Pembangunan kerangka pengolahan forensik modular untuk forensik digital yang mengimplementasikan "Visibility, Filter dan Laporan" model akan menjadi langkah logis pertama dalam arah ini.
7. HUBUNGAN KERJA
Istilah "Komputer Forensik" penawaran ilmu dengan pelestarian, identifikasi, ekstraksi dan dokumentasi bukti komputer, dan seperti ilmu forensik lainnya, berkaitan hukum dan ilmu pengetahuan dan diciptakan kembali pada tahun 1991 [20]. Kara Nance et al [21] telah mengusulkan enam kategori forensik digital termasuk Jaringan Forensik. Alat dan Teknik untuk E-mail forensik jatuh di bawah kategori jaringan forensik. Banyak penelitian telah dilakukan untuk menganalisis Tools dan teknik yang digunakan dalam forensik jaringan [22, 23, 24, 25] yang juga termasuk e-mail forensik Tools dan tekniknya.
8. KESIMPULAN
E-mail adalah aplikasi yang banyak digunakan dan sangat didistribusikan melibatkan beberapa aktor yang memainkan peran yang berbeda. Aktor ini termasuk komponen hardware dan software, layanan dan protokol yang menyediakan interoperabilitas antara pengguna dan antara komponen-komponen di sepanjang jalur transfer. Penjahat dunia maya menempa judul e-mail atau kirimkan anonim untuk tujuan tidak sah yang menyebabkan beberapa kejahatan dan dengan demikian membuat e-mail penyelidikan forensik penting. Makalah ini menggambarkan aktor e-mail, peran dan tanggung jawab mereka. Ini digambarkan logis arsitektur e-mail dan menggarisbawahi berbagai komponen inti, modul dan protokol yang digunakan dalam sistem. Ini menyajikan meta-data yang terdapat dalam pesan e-mail dan berbagai teknik yang digunakan untuk e-mail forensik. Makalah ini juga memperkenalkan beberapa e-mail software tools forensik yang memiliki fungsi untuk secara otomatis menganalisis e-mail dan menghasilkan laporan yang menyediakan beragam informasi tentang hal itu.
REFERENCES
[1] Suzuki, S., Nakamura, M. (2005). “Domain Name System—Past, Present and Future”, IEICE Transactions of Communication, E88b (3), pp. 857-864.
[2] Tzerefos, Smythe, Stergiou, Cvetkovic, (1997). ‘A comparative study of Simple Mail Transfer Protocol (SMTP), Post Office Protocol (POP) and X.400 Electronic Mail Protocols’ In Proceedings of the 22nd Annual IEEE Conference on Local Computer Networks, pp. 545–554.
[3] Graham, J. (1999). Enterprise wide electronic mail using IMAP, SIGUCCS '99:
Proceedings of the 27th annual ACM SIGUCCS conference on User services: Mile high expectations, November, 1999.
[4] Crocker, D. (2009). “Internet Mail Architecture”, RFC 5598, July 2009.
http://tools.ietf.org/pdf/rfc5598.pdf.
[5] Internet Assigned Numbers Authority (IANA), http://www.iana.org/assignments/port- numbers
[6] Resnick P, Ed. (2001). “Internet message format”, Internet Engineering Task Force
(IETF); 2001. RFC 2822.
[7] Marwan Al-Zarouni. (2004). “Tracing E-mail Headers”, Proceedings of Australian
Computer, Network & Information Forensics Conference on 25th November, School of
Computer and Information Science, Edith Cowan University Western Australia 2004, pp.
16-30.
[8] eMailTrackerPro, http://www.emailtrackerpro.com/ [9] EmailTracer, http://www.cyberforensics.in
[10] Adcomplain, http://www.rdrop.com/users/billmc/adcomplain.html
[11] Aid4Mail Forensic, http://www.aid4mail.com/
[12] AbusePipe, http://www.datamystic.com/abusepipe.html
[13] AccessData’s FTK, http://www.accessdata.com/
[14] EnCase Forensic, http://www.guidancesoftware.com
[15] FINALeMAIL, http://finaldata2.com
[16] Sawmill-GroupWise, http://www.sawmill.net
[17] Forensics Investigation Toolkit (FIT), http://www.edecision4u.com/FIT.html
[18] Paraben (Network) E-mail Examiner, http://www.paraben.com/email-examiner.html
[19] Simson L. Garfinkel, (2010), “Digital forensics research: The next 10 years”, Digital
Investigation, Vol. 7, pp. 64-73, doi:10.1016/j.diin.2010.05.009.
[20] New Techno logies Inc. “Computer Forensics Defined”. http://www.forensics- intl.com/def4.html.
[21] Kara Nance, Brian Hay, Matt Bishop. (2009). Digital Forensics: Defining a Research
Agenda, Proceedings of the 42nd Hawaii International Conference on System Sciences –
2009.
[22] Arthur, K. K., & Venter, H. S. (2004). An Investigation into Computer Forensic Tools.
ISSA. Pretoria: Information and Computer Security Architectures (ICSA) Research
Group.
[23] Natarajan Meghanathan, Sumanth Reddy Allam and Loretta A. Moore. (2009). Tools and Techniques For Network Forensic, International Journal of Network Security & Its Applications (IJNSA), Vol .1, No.1,April 2009.
[24] Matthew Geiger. (2005), Evaluating Commercial Counter-Forensic Tools, 2005 Digital
Forensic Research Workshop (DFRWS), New Orleans, LA.
[25] Himal Lalla, Stephen V. Flowerda. (2010). Towards a Standardised Digital Forensic Process: E-mail Forensics, Proceedings of the 2010 Information Security for South Africa (ISSA 2010) Conference 2 – 4 August 2010, Sandton Convention Centre, Sandton, South Africa, http://icsa.cs.up.ac.za/issa/2010/Proceedings/Research/05_paper.pdf
M. Tariq Banday
P. G. Department of Electronics and Instrumentation Technology University of Kashmir, Srinagar - 6, India sgrmtb@yahoo.com
sumber: http://airccse.org/journal/nsa/1111nsa17.pdf
M. Tariq Banday
P. G. Department of Electronics and Instrumentation Technology University of Kashmir, Srinagar - 6, India sgrmtb@yahoo.com
sumber: http://airccse.org/journal/nsa/1111nsa17.pdf
0 comments:
Posting Komentar