Forensik Digital

Pertemuan 15

Forensik Mobile dan Internet of Things (IoT)

Mata Kuliah: Digital Forensic for Military Purposes | 3 SKS

🎯 Capaian Pembelajaran

Setelah pertemuan ini, mahasiswa mampu:

Menjelaskan arsitektur Android dan iOS dari perspektif forensik
Menerapkan metode akuisisi data pada perangkat mobile
Menganalisis artefak mobile: pesan, kontak, lokasi, aplikasi
Memahami prinsip forensik IoT dan protokol komunikasinya
Menginvestigasi perangkat IoT: smart home, drone, SCADA
Menyusun laporan forensik mobile/IoT dalam konteks militer

📋 Agenda Hari Ini

Bagian 1: Mobile Forensics

Arsitektur Android & iOS
Metode Akuisisi Mobile
Analisis Artefak Mobile
Backup Forensics

Bagian 2: IoT Forensics

Protokol IoT (MQTT, CoAP, Zigbee)
Smart Home & Wearable
Drone & Vehicle Forensics
ICS/SCADA Forensics

📱 Mengapa Forensik Mobile Penting?

Smartphone menyimpan volume data besar: komunikasi, lokasi, foto, catatan, dan data aplikasi yang menjadi bukti digital kritis.

Konteks Militer	Relevansi
Insider Threat	Kebocoran informasi via aplikasi pesan
Operasi Intelijen	Ekstraksi data dari perangkat sitaan
Counter-Intelligence	Deteksi spyware pada perangkat personel
Operasi Lapangan	Analisis perangkat di zona operasi

🤖 Arsitektur Android

Layer	Komponen	Relevansi Forensik
Applications	User & system apps	Data aplikasi, cache
Framework	Activity Mgr, Content Provider	Database, shared data
Libraries	SQLite, SSL, ART	Database format, enkripsi
HAL	Camera, GPS, Sensors	Metadata sensor, lokasi
Linux Kernel	File system, drivers	Partisi ext4/f2fs

📂 Struktur Partisi Android

/boot        → Kernel dan ramdisk
/system      → Sistem operasi Android
/data        → Data pengguna & aplikasi ← FOKUS FORENSIK
/cache       → Cache sistem
/recovery    → Recovery mode
/sdcard      → Penyimpanan eksternal/emulasi

⚠️ Penting: Partisi /data adalah target utama forensik karena menyimpan semua data pengguna dan aplikasi.

📍 Lokasi Data Penting Android

Data	Path
Kontak	`/data/data/com.android.providers.contacts/databases/contacts2.db`
SMS/MMS	`/data/data/com.android.providers.telephony/databases/mmssms.db`
Call Logs	`/data/data/com.android.providers.contacts/databases/calllog.db`
WhatsApp	`/data/data/com.whatsapp/databases/msgstore.db`
WiFi	`/data/misc/wifi/wpa_supplicant.conf`
Lokasi GPS	`/data/data/com.google.android.gms/databases/`

🍎 Arsitektur iOS

Layer	Komponen	Forensik
Cocoa Touch	UIKit, MapKit	Data UI, lokasi
Media	Core Audio/Image	Media files, metadata
Core Services	Core Data, SQLite	Database, penyimpanan
Core OS	Kernel, Security	Enkripsi, secure boot

🔒 Fitur Keamanan iOS

iOS memiliki keamanan lebih ketat dibanding Android:

Fitur	Dampak Forensik
Secure Enclave	Key tersimpan di hardware terpisah, tidak bisa diekstrak
Full Disk Encryption	Data terenkripsi berbasis passcode
USB Restricted Mode	USB nonaktif setelah 1 jam terkunci
Secure Boot Chain	Mencegah modifikasi OS

⚠️ Tantangan: Akuisisi fisik iOS jauh lebih sulit dibanding Android!

📊 Level Akuisisi Mobile

Level	Metode	Data
L1 Manual	Interaksi UI	Screenshot, konten layar
L2 Logical	Backup OS	File user, database
L3 File System	Root/Jailbreak	Semua file + deleted
L4 Physical	Bit-by-bit image	Raw + unallocated space
L5 Chip-off	Desolder chip	Raw NAND/eMMC

🔧 Akuisisi Android via ADB

# Cek koneksi perangkat
adb devices

# Full backup
adb backup -all -shared -apk -system backup.ab

# Pull specific databases
adb pull /data/data/com.whatsapp/databases/msgstore.db

# Daftar semua packages terinstall
adb shell pm list packages

# Screenshot
adb exec-out screencap -p > screen.png

# Info perangkat
adb shell getprop ro.product.model
adb shell getprop ro.build.version.release

📋 Prosedur Akuisisi Android

Persiapan: Aktifkan mode pesawat, cek baterai ≥50%
Dokumentasi: Foto kondisi awal, catat model & IMEI
USB Debugging: Settings → Developer Options → Enable
Verifikasi: adb devices
Backup: adb backup -all -shared
Pull data spesifik: WhatsApp, DCIM, Download
Hash: certutil -hashfile backup.ab SHA256
Chain of custody: Dokumentasi lengkap

🗄️ Analisis Database SQLite

Mayoritas data mobile tersimpan dalam SQLite:

-- Semua tabel dalam database
SELECT name FROM sqlite_master WHERE type='table';

-- Pesan SMS
SELECT address, body, date, type FROM sms 
ORDER BY date DESC;

-- WhatsApp messages
SELECT key_remote_jid, data, timestamp 
FROM messages ORDER BY timestamp DESC;

-- Call logs
SELECT number, duration, date, type 
FROM calls ORDER BY date DESC;

Tools: DB Browser for SQLite, sqlite3 CLI, Autopsy

💬 Struktur Data SMS (mmssms.db)

Kolom	Keterangan
`address`	Nomor pengirim/penerima
`body`	Isi pesan
`date`	Timestamp Unix (milliseconds)
`type`	1=Received, 2=Sent, 3=Draft
`read`	0=Unread, 1=Read

💡 Tip: Konversi timestamp: datetime(date/1000, 'unixepoch', 'localtime')

📲 Artefak Aplikasi Pesan

Aplikasi	Database	Lokasi
WhatsApp	msgstore.db	com.whatsapp/databases/
Telegram	cache4.db	org.telegram.messenger/files/
Signal	signal.db	org.thoughtcrime.securesms/databases/
LINE	naver_line	jp.naver.line.android/databases/

Semua memerlukan root access atau physical acquisition untuk akses langsung

📍 Analisis Data Lokasi

Sumber	Akurasi	Keterangan
GPS	3-5 meter	Sinyal satelit
Cell Tower	100-300 meter	Triangulasi menara seluler
WiFi	10-30 meter	Posisi WiFi access point
Bluetooth	1-3 meter	Proximity BLE beacon
Photo EXIF	Bervariasi	Metadata GPS dalam foto

📸 Analisis EXIF Metadata Foto

# Menggunakan ExifTool
exiftool -gps* photo.jpg

# Output:
# GPS Latitude  : 6 deg 10' 30.00" S
# GPS Longitude : 106 deg 49' 35.00" E
# GPS Altitude  : 15 m
# GPS Time Stamp: 14:30:00

🎖️ Konteks Militer: Foto dengan EXIF data yang menunjukkan lokasi di sekitar instalasi militer memerlukan investigasi apakah personel memiliki otorisasi untuk memotret di area tersebut.

❓ Quiz: Mobile Forensics

Database SMS pada Android tersimpan di file:

A. contacts2.db

B. mmssms.db ✅

C. msgstore.db

D. calllog.db

💾 Mobile Backup Forensics

Android Backup

ADB Backup (.ab)
Google Takeout (cloud)
Samsung Backup (.sbu)

# Konversi .ab ke .tar
java -jar abe.jar unpack \
  backup.ab backup.tar

iOS Backup

iTunes (unencrypted)
iTunes (encrypted)
iCloud (cloud)

Lokasi di Windows:
C:\Users\<user>\Apple\
  MobileSync\Backup\

🔐 iOS Backup: Encrypted vs Unencrypted

Data	Unencrypted	Encrypted
Foto, Kontak, SMS	✅	✅
Keychain (passwords)	❌	✅
Health Data	❌	✅
WiFi Passwords	❌	✅
Saved Passwords	❌	✅

💡 Encrypted backup selalu lebih bernilai untuk forensik!

🌐 Bagian 2

Forensik Internet of Things (IoT)

Tantangan baru dalam investigasi forensik digital

🌐 Apa itu Forensik IoT?

IoT Forensics adalah proses identifikasi, akuisisi, dan analisis bukti digital dari perangkat IoT yang terhubung ke internet.

Tantangan unik forensik IoT:

Heterogenitas
Beragam OS, protokol, format

Resource Terbatas
CPU, RAM, storage minimal

Volatilitas Tinggi
Data sering di-overwrite

Cloud Dependency
Data di server vendor

🏗️ Arsitektur IoT 3-Layer

APPLICATION LAYER
Dashboard, analitik, API → Log aplikasi, user activity

NETWORK LAYER
Komunikasi, routing, gateway → Traffic capture, logs

PERCEPTION LAYER
Sensor, aktuator, perangkat fisik → Firmware, storage

Setiap layer menyimpan bukti forensik yang berbeda dan memerlukan pendekatan akuisisi yang unik.

📡 Protokol Komunikasi IoT

Protokol	Transport	Penggunaan	Forensik
MQTT	TCP	Smart home, sensor	Broker log analysis
CoAP	UDP	Constrained devices	Packet capture
Zigbee	802.15.4	Home automation	RF sniffing
BLE	Bluetooth LE	Wearables	GATT analysis
Modbus	TCP/Serial	SCADA/ICS	Register analysis

📨 MQTT: Publish-Subscribe Model

         ┌──────────────────┐
         │   MQTT BROKER    │
         │  (port 1883)     │
         └──┬──────────┬────┘
            │          │
   subscribe│          │publish
            ▼          ▲
      ┌──────────┐ ┌──────────┐
      │Subscriber│ │Publisher │
      │(Monitor) │ │ (Sensor) │
      └──────────┘ └──────────┘

🔍 Forensik MQTT: Broker menyimpan log subscribe/publish yang menjadi sumber bukti. Analisis broker log dan capture traffic ke/dari broker.

🏠 Forensik Smart Home

Perangkat	Data Forensik
Smart Speaker	Histori perintah suara, activity log, connected devices
Smart Camera	Video recordings, motion events, config
Smart Lock	Access log, credentials, timestamps
Smart Thermostat	Occupancy patterns, schedule

Pendekatan: Cloud acquisition (akun pengguna) + App data (smartphone) + Network analysis (traffic capture)

⌚ Forensik Wearable Devices

Kategori	Data	Nilai Forensik
Kesehatan	Heart rate, SpO2, sleep	Kondisi fisik pada waktu tertentu
Aktivitas	Steps, distance	Rekonstruksi pergerakan
Lokasi	GPS tracks	Pelacakan posisi
Notifikasi	Mirror smartphone	Pesan, panggilan, email

🎖️ Militer: Data wearable dapat merekonstruksi timeline kejadian: heart rate, lokasi, dan fall detection sebagai bukti.

🚁 Forensik Drone (UAV)

Komponen	Data Forensik
Flight Controller	Flight logs, waypoints, GPS tracks
Gimbal/Camera	Foto, video, metadata EXIF
Remote Controller	Paired devices, flight history
Mobile App	Flight records, cached maps, account
SD Card	Media files, logs

Tools: DatCon (DJI log parser), ExifTool, Google Earth (KML visualization)

🔍 Prosedur Forensik Drone

Preservasi: Jangan nyalakan, lepas baterai, Faraday bag
Dokumentasi: Foto semua sisi, catat serial number
Akuisisi SD Card: Image menggunakan FTK Imager
Ekstraksi Flight Log: DJI Assistant / DatCon
Analisis Media: EXIF metadata dari foto/video
Rekonstruksi Rute: Export KML → Google Earth
Identifikasi Operator: DJI account, paired devices

❓ Quiz: IoT Forensics

Protokol IoT yang menggunakan model Publish-Subscribe melalui broker adalah:

A. CoAP

B. MQTT ✅

C. Modbus

D. BLE

🏭 Forensik ICS/SCADA

ICS/SCADA mengendalikan infrastruktur kritis militer: pembangkit listrik, distribusi air, dan sistem pertahanan.

Komponen	Data Forensik
HMI	Operator logs, alarm history
PLC	Program logic, config changes
Historian	Time-series process data
SCADA Server	Control commands, event logs

🔌 Protokol ICS/SCADA

Protokol	Port	Penggunaan
Modbus TCP	502	Industrial automation
DNP3	20000	Power grid, utilities
OPC UA	4840	Industrial interoperability
BACnet	47808	Building automation

# Wireshark filter untuk deteksi serangan SCADA
modbus.func_code == 6    # Write Single Register
modbus.func_code == 16   # Write Multiple Registers

🚗 Forensik Kendaraan Modern

Sistem	Data
ECU	Parameter mesin, error codes (via OBD-II)
Infotainment	Media, kontak, call log, navigasi
Event Data Recorder	Kecepatan, brake, airbag events
GPS/Telematics	Rute, lokasi, geofence violations
Bluetooth	Paired devices, call history

🛡️ Anti-Forensik Mobile

Teknik	Counter-Measure
Factory Reset	File carving, cloud recovery
Secure Messaging	Server-side data, metadata analysis
Encryption	Brute-force, memory analysis
Remote Wipe	Faraday bag, airplane mode
GPS Spoofing	Cross-check dengan cell tower
VPN/Tor	VPN app artifacts, tor cache

🔄 Recovery Setelah Factory Reset

Kondisi	Kemungkinan Recovery
Android < 6.0, tanpa FDE	Tinggi - file carving
Android 6.0+, FDE aktif	Rendah - data terenkripsi
Android 10+, FBE aktif	Sangat rendah
SD Card terpisah	Tinggi - jika tidak di-wipe

💡 Alternatif: Cloud recovery (Google Account), SIM card analysis, JTAG/chip-off untuk kasus kritis.

🧰 Tools Mobile & IoT Forensics

Open Source

Autopsy - Forensic suite
ADB - Android acquisition
ALEAPP - Android parser
iLEAPP - iOS parser
Andriller - Android tools
libimobiledevice - iOS tools

Komersial

Cellebrite UFED - Physical acq.
Magnet AXIOM - Multi-platform
MOBILedit - Data extraction
Oxygen Forensic - Cloud & mobile

📐 Framework NIST SP 800-101

Panduan Forensik Perangkat Mobile:

1. Preservation → Isolasi perangkat, Faraday bag, dokumentasi

2. Acquisition → Pilih metode akuisisi yang tepat (L1-L5)

3. Examination → Ekstraksi data menggunakan tools

4. Analysis → Interpretasi dan korelasi data

5. Reporting → Dokumentasi temuan dan kesimpulan

🎖️ Studi Kasus: Drone di Zona Militer

Drone tidak dikenal terdeteksi terbang di atas Kodam. Drone diamankan bersama smartphone diduga milik operator.

1. Preservasi
Lepas baterai drone, Faraday bag untuk smartphone

2. Akuisisi
Image SD card, ekstrak flight log, backup smartphone

3. Korelasi
Flight path ↔ location history, paired devices ↔ BT

4. Identifikasi
DJI account, foto aerial, timeline korelasi

📋 IoT Forensic Readiness (Militer)

Inventarisasi: Katalog semua perangkat IoT dan klasifikasi criticality
Logging: Implementasi logging di setiap layer (device, network, app, cloud)
Retention: Kebijakan retensi log (90-365 hari)
SOP Response: Prosedur dari detection → reporting
Training: Pelatihan forensik IoT untuk tim Cyber Defense
Simulasi: Latihan insiden berkala

❓ Quiz: Forensik Terintegrasi

Langkah pertama saat mengamankan drone tidak dikenal di zona militer adalah:

A. Menyalakan drone untuk cek flight log

B. Menghubungkan ke komputer forensik

C. Lepas baterai, simpan di Faraday bag ✅

D. Factory reset untuk membersihkan malware

📌 Rangkuman

Mobile Forensics: Android (open, SQLite-based) vs iOS (encrypted, secure enclave)
Akuisisi: 5 level dari manual hingga chip-off, sesuaikan dengan kebutuhan
Artefak Kunci: SMS, WhatsApp, lokasi GPS, EXIF foto, browser history
IoT Forensics: Heterogen, resource terbatas, protokol khusus
Drone & SCADA: Kritis untuk keamanan militer, memerlukan tools khusus
Anti-Forensik: Factory reset, encryption → counter dengan Faraday bag, cloud recovery
Framework: NIST SP 800-101 sebagai panduan investigasi mobile

📚 Referensi

Easttom, C. (2021). An In-Depth Guide to Mobile Device Forensics. CRC Press.
Casey, E. (2022). Digital Evidence and Computer Crime (4th Ed.). Chapter 16.
Johansen, G. (2020). Digital Forensics and Incident Response. Chapter 12.
NIST SP 800-101 Rev. 1: Guidelines on Mobile Device Forensics.
Harbawi, M. & Varol, A. (2017). IoT Forensic Acquisition Model. IEEE.

Terima Kasih

🔍 Forensik Digital untuk Keperluan Militer

Pertemuan 15: Forensik Mobile dan Internet of Things (IoT)

Ada pertanyaan?