Dropbox Forensics Analysis

Università degli Studi di Salerno

C.L. Magistrale in Informatica

Corso di Sicurezza – Prof. Alfredo De Santis

A.A. 2012/2013

Dropbox Forensics

Analysis and Security Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone

[email protected]

Outline

Introduzione Dropbox Dropbox Forensics Identificazione delle prove Acquisizione delle prove Analisi Post-mortem Analysis Live Analysis

Utilizzo di tecniche Anti – Forensics Problematiche di sicurezza Conclusioni

Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone

Introduzione: Cloud Computing

Ampliamento di

memorie fisiche come

gli hard disk che

aumentano in modo

sempre più rilevante la

loro capacità.

Sempre maggiore

richiesta, da parte degli

utenti, di maggior spazio

in cui poter salvare i propri

dati al minor costo

possibile e accedervi da

qualsiasi posto.



Secondo il NIST, il National Institute of Standards Technology: “un modello (architetturale) che abilita l’accesso on demand tramite la rete ad un pool condiviso di risorse di elaborazione configurabili come reti, server, storage, applicazioni e servizi che possono essere erogate e liberate in modo rapido con contenuti e attività di

gestione.”



Le soluzioni Cloud Computing stanno modificando rapidamente

le dinamiche del web con :

Nuove opportunità per

le Aziende e la Pubblica

Amministrazione

Un nuovo tipo di

struttura

scalabile ed elastica

In definitiva, Il Cloud Computing permette

• agli utenti di accedere ad applicazioni e dati e servizi risiedenti su

server in remoto e accessibili in qualsiasi momento ovunque e con

qualsiasi dispositivo (Pc, tablet o smartphone).

• di non sostenere investimenti iniziali per l'acquisto di macchine,nè

della manutenzione e dell'aggiornamento delle stesse.

http://www.interact.it/20?platform=19

http://www.interact.it/20?platform=19


Software as a Service

Platform as a Service

Hardware as a Service

Modelli di Cloud Computing

SaaS: Software as a Service:

indica una applicazione che viene offerta al cliente tramite

browser, senza la necessità di installare alcun software sul PC,

ha un modello di fatturazione solitamente “per utente”.

PaaS: Platform as a Service: PaaS significa l’erogazione al cliente finale di una intera

piattaforma cloud, alla quale lui ha accesso tramite un

determinato framework.

HaaS: Hardware as a service: In questo caso parliamo di un vero e proprio accesso, con

privilegi di amministratore, ad una architettura cloud: i clienti

possono creare più istanze virtuali (senza limiti di

numero) e usufruire delle risorse della infrastruttura

cloud per far funzionare le loro macchine.



Introduzione: Digital Forensics

“The use of scientifically derived and proven methods toward the

preservation, collection, validation, identification, analysis, interpretation,

documentation and presentation of digital evidence derived from digital

sources for the purpose of facilitating or furthering the reconstruction of events

found to be criminal, or helping to anticipate unauthorized actions shown to be

disruptive to planned operations”. (2001- DFRWS Digital Forensic Research Workshop)

“La digital forensics e la scienza che consente, attraverso l’uso di

specifiche metodologie e tools, l’individuazione, la conservazione e

l’analisi delle prove digitali. “(Scientific Working Group on Digital Evidence, 1998)

Per prova digitale si intende:

“Qualsiasi informazione, con valore probatorio,

che sia o memorizzata o trasmessa in un formato digitale” (Scientific Working Group on Digital Evidence, 1998)



Definizione

Valore probatorio

Procedure di ottenimento

Problemi aperti



1. Cosa si intende per prova digitale: qualsiasi informazione con

valore probatorio, che sia o memorizzata o trasmessa in formato

digitale.

2. Valore probatorio di una prova digitale:valore che un dato

correlato a un sistema informatico può avere in ambito giuridico o

legale.

3. Procedure di ottenimento di una prova digitale:

1) Identificazione;

2) Acquisizione;

3) Preservazione;

4) Analisi;

5) Presentazione

4. Problemi aperti: Ammissibilità degli strumenti; Ammissibilità della

prova;


Introduzione: Cloud Forensics

Cloud Forensics : di che parliamo ?

‚An interdisciplinary area between digital forensics and cloud computing, although both definitions of digital forensics and cloud computing are still under discussion.‛ (Ruan, Carthy, ‘Cloud Forensics’- 2011)

‚A mixture of traditional computer forensics, small scale digital device forensics and network forensics. ‛ (Ruan, Carthy, ‘Cloud Forensics’- 2011 Advances in Digital Forensics- Springer)

“Incident response and computer forensics in a cloud environment require fundamentally different tools, techniques and training‛. (Challenging Security Requirements for US Government Cloud Computing Adoption 2012) NIST



In pratica… I professionisti della digital forensic ‘tradizionale’ devono estendere le proprie competenze e strumenti agli ambienti cloud. Nuove problematiche legali Multi – jurisdiction and multi – tenancy Necessaria la collaborazione di enti governativi di diversi paesi.

Nuova frontiera per le investigazioni digitali.



Provider – Side Artifacts

Client – Side Artifacts

Trasparenza di locazione fisica

Acquisizione conforme alla giurisdizione

Confidentiality

Endpoints Proliferation Timelines

difficoltose

Massive crime and

investigations


Cloud Forensics Challenges


LargeScale implementation

Robustness

Miglioramento della

persistenza

Forensics as a Service


Cloud Forensics Opportunities

Outline

Introduzione

Dropbox Dropbox Forensics Identificazione delle prove Acquisizione delle prove Analisi Post-mortem Analysis Live Analysis



Dropbox


"Tutto è cominciato, nel 2007, quando nella stazione ferroviaria di Boston mi accorsi di aver dimenticato a casa la mia chiavetta USB", scrive Drew Houston, uno dei fondatori del sito. "Ancora non siamo certi se sia stato il destino od un colpo di fortuna ma quell'evento ha di fatto dato vita a Dropbox”

Dropbox


• È un software multipiattaforma cloud based, di

tipo SaaS.

• Si basa su protocollo crittografico SSL ed i file

immagazzinati, accessibili tramite passwork, sono

cifrati con AES.

Dropbox

1. È gratuito fino a 2 GB estendibili fino a 10GB (si guadagnano

250MB per ogni persona invitata che installi DropBox sul proprio PC).

1. La versione a pagamento permette di estenderlo fino a

50GB o 100GB guadagnando altro invitando altre persone.

1. Può essere usato anche via Web, caricando e visualizzando

i file tramite il browser, oppure tramite il driver locale che

sincronizza automaticamente una cartella locale del file

system con quella condivisa, notificando le sue attività all’utente.


Dropbox è tecnicamente una semplice cartella.

•

Una volta installato il programma, infatti,

verrà automaticamente creata una cartella con il

nome “Dropbox” nella quale potremo inserire tutti i files

che vogliamo vengano sincronizzati, quasi

istantaneamente, all’interno del nostro spazio virtuale.

Dropbox


Dropbox: Statistiche di utilizzo

Già nel 2012 aveva raggiunto 100 milioni di “grazie” (si legge in una sezione del sito)


Dropbox: Storage e Cifratura


Le connessioni client – server di Dropbox sono protette con SSL.

I dati sono cifrati con cifratura asimmetrica AES -256 e mantenuti su AmazonS3 il servizio di storage di AmazonEC2

La cifratura è effettuata dai servizi di AmazonEC2 e la chiave utilizzata è indipendente dall’utente.

Non sappiamo se viene utilizzata una singola chiave per ogni chunks o per ogni file

Osservazione: Cifratura e storage sono effettuati sullo stesso servizio Amazon EC2 e questo può presentare problemi di sicurezza.

Dropbox: Storage e Cifratura


IP del servizio Dropbox

Utilizzo di cloudfront di Amazon EC2

Dropbox: Interfaces


Dropbox utilizza interfacce differenti per le modalità browser e client.

Dropbox: Network Architecture


Notification Server : nel nostro caso 108.160.163.51 Meta Data Administration Server: nel nostro caso 199.47.219.159 System – Log Server: nel nostro caso 157.56.124.70 Storage Server Amazon S3 : nel nostro caso 54.227.250.123

Dropbox: Notifications


• host_int : ID univoco che identifica ogni device collegato a Dropbox. • ns_map: anche chiamato namespace, è un identificatore univoco per ogni

cartella condivisa. • user-id: ID univoco che identifica l’utente proprietario dell’account.

Outline

Introduzione Dropbox

Dropbox Forensics Identificazione delle prove Acquisizione delle prove Analisi Post-mortem Analysis Live Analysis



Dropbox Forensics


Partiamo da un caso reale…..

Un dipendente di una azienda è appena passato a lavorare per una società concorrente. Il dipartimento ricerche della sua società precedente sospetta di un furto di proprietà intellettuale da parte proprio di questo dipendente.

I supporti digitali disponibili per l’ indagine sono: - PC del dipendente - Smartphone iPhone/Android del dipendente - Valori Hash dei file sospettati di essere stati

trafugati

Dropbox Forensics


Dando una rapida occhiata alla cronologia di navigazione osserviamo che il dipendente ha effettuato l’accesso a

Dropbox…

E se il ladro avesse utilizzato Dropbox per trasferire i file?

Dropbox Forensics


Possiamo produrre delle prove forensi che dimostrino, in modo incontrovertibile che il ladro ha trasferito, proprio quei

file tramite Dropbox ad un concorrente?

Quali sono le evidenze digitali riscontrabili su una macchina / dispositivo in seguito all’utilizzo di Dropbox ?

Dropbox Forensics


Investigazione delle tracce riscontrabili in seguito all’utilizzo del client Dropbox e del browser Google Chrome.

Investigazione della tracce presenti sull’hard – disk (Post – Mortem Analysis).

Investigazione delle tracce riscontrabili nella memoria (Live - Analysis).

Dropbox Forensics


Indagine sui file eventualmente caricati / scaricati / cancellati.

Rilevamento dell’utilizzo di tecniche anti forensics.

Studio del protocollo di Dropbox.

Studio dei possibili attacchi alla sicurezza.

Dropbox Forensics


Abbiamo creato un account Dropbox su una macchina separata per non confondere i dati sulle macchine da

analizzare.

Dropbox Forensics


Sono stati creati tre file, che saranno utilizzati durante le interazioni con Dropbox e costituiranno i file sotto indagine: enron3111w.docx

enron3111.rtf

paesaggi.jpg

Dropbox Forensics


Attraverso l’utilizzo di macchine virtuali abbiamo ricreato una serie di possibili scenari operativi dell’utente, nei quali

sono state effettuate le più comuni interazioni con il servizio Dropbox.

Dropbox Forensics


Base VM

Access VM Eraser VM Download VM

Ccleaner VM

Upload VM Uninstall VM

Outline

Introduzione Dropbox Dropbox Forensics

Identificazione delle prove Acquisizione delle prove Analisi Post-mortem Analysis Live Analysis



Identificazione delle prove

Per ciascuno dei supporti individuati è necessario capire quali

sono i dati che devono essere acquisiti prima degli altri per

evitare la cancellazione o la sovrascrittura con altri dati.

Ordine di VOLATILITA’:

1. Registri di sistema

2. RAM 3. File system temporanei

4. Hard disk

5. Configurazione fisica e topologia di rete

6. Media di archiviazione e di backup(CD,DVD,etc)

Le due evidenziate sono quelle che , nel nostro caso ,

contengono la cosiddetta “smoking gun”…


Outline

Introduzione Dropbox Dropbox Forensics Identificazione delle prove

Acquisizione delle prove Analisi Post-mortem Analysis Live Analysis



Acquisizione delle prove: metodologia operativa

Nel caso generale Nel nostro caso


Metodologia

operativa

Metodologia

operativa

Smontare il supporto di memorizzazione dal computer a cui si trova collegato e collegarlo ad una macchina forense per l'acquisizione

Acquisire l'immagine del disco, utilizzando il computer oggetto di analisi come sorgente e salvare il risultato su un supporto esterno rimuovibile o su una macchina forense via rete

Abbiamo creato una macchina virtuale sulla “macchina

forense”

Abbiamo acquisito l’immagine del disco e della RAM della

macchina virtuale , contenente lo smoking gun, e salvato il

risultato sulla “macchina forense”

Acquisizione delle prove: Sistema Operativo



Sistema operativo

• I principali sistemi operativi

che offrono soluzioni

applicative per la copia

forense dei dati sono Linux e

Windows. • Per sua natura il sistema

operativo Linux sembra

essere il più indicato per una

acquisizione dei dati in ottica

forense poiché è in grado di

rendere un hard

disk accessibile solamente in

lettura, garantendo a livello

software integrità.

Sistema operativo

Acquisizione delle prove: Software di acquisizione



Software di

acquisizione

Software di

acquisizione

Linux: 1. Helix 3 Enterprise

2. DEFT

3. CAINE

4. Forlex

Windows: 1. FTK Imager

2. Encase

3. Drive Snapshot

FTK Imager



FTK Imager è un programma di acquisizione dati che può essere utilizzato per fornire una rapida anteprima del contenuto di un hard disk e, se necessario, crearne un'immagine forense.

Per garantire l'integrità della copia questo software realizza una duplicazione bit-per-bit

del dispositivo. L'immagine è in questo modo identica all'originale, incluso lo spazio non allocato e lo stack space.

Durante la fase di copia forense il programma verifica che l'hash dell'immagine realizzata e

quello dell'hard disk coincidano. Sono disponibili due funzioni di hash: Message Digest 5 (MD5) e Secure Hash Algorithm (SHA-1).

FTK Imager supporta i file system FAT12, FAT16, FAT32, NTFS, Ext2, Ext3, HFS, HFS+ e

Reiser.

Access FTK Imager



Visualizzare un’anteprima della struttura logica (partizioni, cartelle e file) dell'hard disk.

Creare un’immagine forense dell'hard disk. Visualizzare un’anteprima del contenuto di un’immagine

forense, precedentemente acquisita. Esportare file e cartelle da un’immagine forense. Calcolare l’hash (MD5 e SHA1) dell’immagine forense e di ogni

singolo file incluso nell’immagine stessa.

Access FTK Imager



Access FTK Imager

Consente l’acquisizione la creazione di copie forensi sia da un supporto fisico che da un disco virtuale (es. file VMDK e NVRAM di VMWARE).

Supporta i formati di acquisizione universalmente riconosciuti.



Access FTK Imager

Ogni immagine acquisita è stata anche verificata attraverso il calcolo dell’hash. Una volta verificata l’uguaglianza dei valori siamo sicuri di agire su una immagine che rappresenta esattamente il supporto originale



Encase Image File

Format (.E01)

Rappresenta lo standard de facto per le analisi forensi ed è un formato proprietario di Guidance Software Encase. Ogni file (.E01) contiene: Un header con le info del caso il bitstream fisico del supporto acquisito dove ogni blocco contiene 64

settori (32 KB) e per il quale viene calcolata una checksum (Adler-32) Un footer contenente l’hash MD5 dell’intero bitstream

Outline

Introduzione Dropbox Dropbox Forensics Identificazione delle prove Acquisizione delle prove

Analisi delle prove Post-mortem Analysis Live Analysis



Analisi delle prove - Autopsy


Per l’analisi delle prove utilizziamo

Analisi - Autopsy


Autopsy è una piattaforma open per l’analisi forense

e fornisce un’interfaccia grafica che permette un

facile utilizzo delle funzionalità di Sleuth Kit.

L’uso di un’interfaccia grafica permette di poter

analizzare facilmente qualsiasi disco.

Autopsy fornisce informazioni sulla cache del disco,

sulle ultime azioni effettuate, i contenuti del disco,

consentendo quindi un analisi completa a chi deve

compiere l’investigazione.

Sviluppato per sistemi Windows, Mac OS e Linux

Analisi - Autopsy


Analisi delle prove


Dropbox fornisce alcune informazioni utili ai fini investigativi

Per ogni file un elenco delle attività svolte e delle versioni di quel file

Analisi delle prove



Elenco di tutte le sessioni web dove si è rimasti autenticati per oltre 30 giorni attraverso il tasto ‘Remember me’

Analisi delle prove



Elenco di tutti i dispositivi che hanno effettuato l’accesso a Dropbox. E’ possibile visualizzare IP e versione del client utilizzato.

Registra solo l’accesso attraverso client.

Analisi delle prove



La possibilità di rinominare le macchine e di scollegarle rende queste informazioni poco attendibili.

Analisi delle prove


Analisi delle tracce riscontrabili sull’hard disk e sulla memoria centrale, dopo l’utilizzo di Dropbox. Attraverso Autopsy abbiamo effettuato una serie di query sulle immagini dei supporti acquisiti relative a keywords significative e tentativo di ricostruire una timeline delle attività utente.

Outline

Introduzione Dropbox Dropbox Forensics Identificazione delle prove Acquisizione delle prove Analisi

Post-mortem Analysis Live Analysis



Post – Mortem Analysis : Base VM


Base VM

Base VM (Windows version) - Windows 7 Professional Edition 64 bit - 1 GB RAM - 10 GB Hard Disk

Base VM (Linux Version) - Ubuntu Linux 13.04 amd-64bit - 1 GB RAM - 10 GB Hard Disk

Rappresenta la macchina ‘pulita’ dove l’utente non hai mai interagito con Dropbox in nessuna modalità e non contiene nessun file oggetto di indagine. Tuttavia ci saranno delle sorprese“..


Base VM

Occorrenze del termine ‘dropbox’ riscontrabili nei file:

- pagefile.sys - index.dat - msjint40.dll.mui

OSSERVAZIONE: il termine dropbox è presente su una macchina priva di ogni interazione con Dropbox.

Nelle investigazioni digitali non basta ricercare dei risultati, ma occorre analizzare la ragione di determinate occorrenze di keyword piuttosto che

trarre conclusioni dalla semplice presenza dei dati.

Post – Mortem Analysis : Base VM


Access VM

Attività utente - L’utente apre Google Chrome. - Si collega a www.dropbox.com - Si autentica con i dati del suo account - Apre e visualizza ogni file presente in Dropbox. - L’utente non fa il download esplicito dei file

Post – Mortem Analysis : Access VM

http://www.dropbox.com/

Post – Mortem Analysis : Access VM


Access VM

Risultati https://dl-web.dropbox.com/get/enron3111w.docx?w=

AAA6TEcB0Odk4CoKAU6AeBsZE5xq0o8OJiaYAD-rziE2gd

https://dl-web.dropbox.com/get/enron3111.rtf?w=AACeQfM7-u2i-_-eSei-7DlvlYw6enVHP03-jO-eYDnxg

https://photos-6.dropbox.com/t/0/ AABs7MOS72580CEZ6XinCbai76s2laZZ7Qi_Dt5hZjMtiA/12/165637617/jpeg/32x32/3/_/1/2/paesaggi.jpg/QVqFM51UNHM_jnCaWaDgrDttSi0NqFx9b9hfOxBfu-g?size=800x600f https://dl-web.dropbox.com/get/enron3111w.docx?w=

AAA6TEcB0Odk4CoKAU6AeBsZE5xq0o8OJiaYAD-rziE2gd

https://dl-web.dropbox.com/get/enron3111.rtf?w=AACeQfM7-u2i-_-eSei-7DlvlYw6enVHP03-jO-eYDnxg

https://dl-web.dropbox.com/get/enron3111w.docx?w









Post – Mortem Analysis : Download VM


Download VM

Attività utente - L’utente apre Google Chrome. - Si collega a www.dropbox.com - Si autentica con i dati del suo account - Scarica ogni singolo file sul suo Desktop


Post – Mortem Analysis : Download VM


Download VM

Risultati C:\Users\Sicurezza-download\Downloads\enron3111w.docx C:\Users\Sicurezzadownload\Downloads\enron3111w.docx. C:\Users\Sicurezza-download\Downloads\enron3111.rtf C:\Users\Sicurezzadownload\Downloads\enron3111.rtf. C:\Users\Sicurezzadownload\Desktop\immaginesic.jpg C:\Users\Sicurezzadownload\Desktop\immaginesic.jpg. C:\Users\Sicurezza-download\Downloads\enron3111w.docx C:\Users\Sicurezzadownload\Downloads\enron3111w.docx. C:\Users\Sicurezza-download\Downloads\enron3111.rtf C:\Users\Sicurezzadownload\Downloads\enron3111.rtf.

I file sono stati scaricati da Dropbox ed aperti (risultano nella cartella Documenti Recenti)

Post – Mortem Analysis : Upload VM


Upload

Attività utente - L’utente apre Google Chrome . - Si collega a www.dropbox.com - Scarica il client Drobpox 2.0.8 - Installa il client - Accede a Dropbox con i dati del suo account - Fa l’upload dei file su Dropbox




Upload

Analisi del file History di Google Chrome File location: /Users/Alessandro/AppData/Local/Google/Chrome/User Data/Default/History

Risultati https://www.dropbox.com/downloading?src=indexDropbox - Download di Dropbox https://dl.dropboxusercontent.com/u/17/Dropbox%202.0.8.exeG https://d1ilhw0800yew8.cloudfront.net/client/Dropbox%202.0.8.exe/ https://www.dropbox.com/download?plat=win https://www.dropbox.com/downloading?src=index https://www.dropbox.com/

L’utente ha scaricato l’eseguibile per l’installazione del client Dropbox versione Windows.

https://dl.dropboxusercontent.com/u/17/Dropbox 2.0.8.exeG

https://d1ilhw0800yew8.cloudfront.net/client/Dropbox 2.0.8.exe/

https://www.dropbox.com/download?plat=win

https://www.dropbox.com/downloading?src=index

https://www.dropbox.com/



Upload

Analisi delle directory di installazione /Users/Alessandro/AppData/Roaming/Dropbox /Users/Alessandro/AppData/Roaming/Dropbox/bin/Dropbox.exe Analisi dei link creati /Users/Alessandro/AppData/Roaming/Microsoft/Windows/Start

Menu/Programs/Dropbox /Users/Alessandro/AppData/Roaming/Microsoft/Windows/Start

Menu/Programs/Dropbox/Dropbox Website.URL



Upload

File relativi all’eseguibile del client /Windows/Prefetch/DROPBOX.EXE-3133C9A9.pf /Windows/System32/config/SYSTEM /Windows/System32/config/SOFTWARE Eccezioni del Firewall di Windows Nel seguente file : /Windows/System32/winevt/Logs/Microsoft-Windows-Windows

Firewall With Advanced Security%4Firewall.evtx è stata riscontrata la seguente eccezione :

Microsoft-Windows-Windows Firewall With Advanced

Security/Firewall {21B2B193-49FB-4661-AF5D-E90C3723025B} Dropbox C:\Users\Alessandro\AppData\Roaming\Dropbox\bin\Dropbox.exe



Upload

Files Uploaded

I file del dataset si trovano in

/Users/Alessandro/Dropbox

Nella stessa cartella ci sono anche i file di default forniti con Dropbox e che sono Guida rapida di Dropbox.pdf Boston City Flow.jpg Costa Rican Frog.jpg Pensive Parakeet.jpg

Attraverso il calcolo dell’Hash(MD5) possiamo verificare l’effettiva identità dei file caricati.

Post – Mortem: Aggregation.dbx


L’analisi del file aggregation.dbx fornisce una lista di tutte i file presenti nella cartella Dropbox e di cui è stato fatto l’upload.

File cifrato ma visualizzabile con Autopsy.

Outline

Introduzione Dropbox Dropbox Forensics Identificazione delle prove Acquisizione delle prove Analisi Post-mortem Analysis

Live Analysis Utilizzo di tecniche Anti – Forensics Problematiche di sicurezza Conclusioni


Live Analysis: Username


Nome utente dell’account in chiaro: Progetto Sicurezza

Unisa

Live Analysis: Password


Password in chiaro: 2013_projec

Live Analysis: E-mail


In caso di accesso tramite browser, l’identificazione dei dati di accesso risulta molto semplice. Le info si trovano nei tag email login_email e

password login_password

LiveAnalysis: client Request ID


Ogni utente ha uno UserID univoco che identifica

l’account.

LiveAnalysis: UserID e Server Time


Server time dell’operazione effettuata in formato Unix

Epoch

LiveAnalysis: UserID e Server Time


Ogni richiesta effettuata dal client Dropbox è identificata

da un request-id.

LiveAnalysis: Authentication Structure


La live analysis di una RAM di una macchina dove è stato eseguito l’accesso via client a Dropbox presenta questa struttura di

autenticazione

LiveAnalysis: Cache di Dropbox


Dropbox utilizza la cartella Dropbox\.dropbox.cache, creando al suo interno un file temporaneo.

Utilizzo di una cartella di cache da parte del client

Drobpox

LiveAnalysis: Cache di Dropbox


Il contenuto del file temporaneo di cache è visualizzabile, attraverso Autopsy, esaminando il file delle pagine pagefile.sys

LiveAnalysis: root_ns e host-id


root_ns : 264634628 univoco per ogni account e indipendente dall’host che accede

Namespace della cartella di root dell’account Dropbox

LiveAnalysis: root_ns e host-id


host_id che identifica il device che ha acceduto all’account

Host-id del device che accede all’account

Outline




Utilizzo di tecniche Anti-Forensics


Uninstall VM

Attività utente - Disinstalla il client Dropbox



Uninstall VM

Se il client è stato disinstallato, quali tracce possiamo riscontrare? Nella cartella /Users/Alessandro/AppData/Roaming sono ancora presenti le cartelle - /bin -/installer -/shelltext e il file DropboxExt64.19.dll. Nella cartella Dropbox sono ancora presenti i file uploaded e file di esempio di Dropbox.



Eraser VM

Attività utente - I file di Dropbox scaricati vengono

cancellati utilizzando il programma Eraser.



Eraser VM

Risultati della navigazione Internet

http://eraser.heidi.ie/download.phpEraser :Downloads

http://sourceforge.net/projects/eraser/files/Eraser%206/6.0.10/Eraser%206.0.10.2620.exe/downloadDownload Eraser from SourceForge.net

http://sourceforge.net/projects/eraser/?source=dlpEraser | Free Security & Utilities software downloads at SourceForge.net



CCleaner VM

Attività utente - Utilizzo di Ccleaner per cancellare le

attività svolte su Internet.



CCleaner VM

Risultati

http://www.piriform.com/ccleaner/downloadCCleaner - Download

http://www.piriform.com/downloadPiriform - Download

http://www.piriform.com/ccleaner/download/standardCCleaner - Standard

C:\Users\Enrico\Downloads\ccsetup401.exeC:\Users\Enrico\Downloads\ccsetup401.exe



CCleaner VM

Nonostante l’utilizzo di strumenti anti-forensics come Eraser e Ccleaner rileviamo



CCleaner VM

Nonostante l’utilizzo di strumenti anti-forensics come Eraser e Ccleaner abbiamo rilevato

Outline


Utilizzo di tecniche Anti – Forensics

Problematiche di sicurezza Conclusioni


Problematiche di sicurezza

Ci siamo chiesti

E’ possibile ricreare delle tracce fasulle che mostrino l’accesso a Dropbox anche se questo non è avvenuto?

E’ possibile nascondere le tracce dell’accesso a Dropbox?

E’ possibile alterare le tracce dell’accesso a Dropbox?

Quali sono le tecniche di attacco possibili per avere accesso ai dati di altri utenti e/o creare tracce false ?


Problematiche di sicurezza

Attacchi basati sulla deduplication e hash values.

Utilizzo di un proxy server.

Utilizzo di un fake client.

Incrimination Attack.


Problematiche di sicurezza: Attacchi basati su deduplication e hash values


Data deduplication: in caso di upload di file già presenti sui server Dropbox, il servizio richiede il trasferimento solo delle parti modificate.

Ogni file diviso in chunks di al più 4 Mb.

Quando si aggiunge un file alla cartella Dropbox, il client calcola gli hash SHA-256 di tutti i chunks di cui è composto il file e li invia al server.

I valori sono confrontati con quelli già presenti sul server e se necessario viene richiesto l’upload.

Un file già esistente sul server viene semplicemente linkato al relativo account per risparmiare traffico e costi di storage.



PROBLEMA: Il server confida nei valori calcolati dal client! Dopo l’upload di un file, Dropbox calcola gli hash del file sui propri server

per validare la corretta trasmissione, confrontando tali valori con quelli calcolati e trasmessi dal client.

Se essi coincidono il file viene linkato all’account corrispondente.



Se conosciamo il valore hash del file di un altro utente possiamo accedere ad esso.

Spoofing dell’Hash Value trasmesso dal client

Modifica della libreria Ncrypto utilizzata dal client Dropbox per il calcolo dell’hash.

Accesso al file di un utente differente.



Tale attacco, nelle modalità descritte, non è più possibile in quanto Dropbox ha adottato la single user deduplication, utilizzando gli hash per l’upload solo in relazione al singolo utente.

Sono comunque possibili attacchi in modalità diversa.

Problematiche di sicurezza: Utilizzo Proxy Server

Utilizzo di un proxy server che gestisca le connessioni con Dropbox

Assenza di riferimenti sulla macchina client che dimostrino l’interazione con Dropbox.

Distribuzione di un file, scaricato, a n utenti.



Dropbox mostrerà IP e name – machine del

proxy.



Il proxy server scarica il file per conto dell’utente A e lo

distribuisce agli utenti B e C che non risulteranno su Dropbox.


Problematiche di sicurezza: Fake Client

Sviluppo di un fake client.

Applicazione Dropbox

Creazione di tracce fasulle sulla macchina client

Utilizzo delle API di Dropbox in Python


Problematiche di sicurezza: Incrimination Attack

Dropbox non utilizza un meccanismo di validazione dell’account in fase di creazione.

L’avversario, conoscendo l’indirizzo email della vittima, può registrare un account con quel’indirizzo.

L’avversario può fare l’upload di materiale illecito utilizzando l’account della vittima.

L’avversario può avvisare le autorità circa il materiale illecito caricato oppure diffamare la vittima.


Outline


Utilizzo di tecniche Anti – Forensics Problematiche di sicurezza

Conclusioni


Conclusioni


Il nostro lavoro ha messo in luce alcune considerazioni e informazioni che sono emersi rispetto all’articolo di Quick D, Choo K.K, "Dropbox analysis: Data remnants on

user machines", 2013, Digital Investigation, vol.10, Issue 1, pp. 1-16, che risultano rilevanti per l’analisi forense e per la sicurezza:

La presenza di strutture dati e pattern ben definiti riscontrabili nella

memoria, che permettono all’investigatore digitale di risalire con precisione al nome utente del possessore dell’account, alla sua email e alla password.

L’utilizzo da parte di Dropbox di uno user-id univoco e di una request-id per ogni interazione con il server.

Conclusioni




La presenza di un file di cache in locale, analizzabile tramite Autopsy, che

consente di visualizzare i file caricati dall’utente.

L’utilizzo di un host-ID univoco per ogni dispositivo collegato all’account.

Ogni cartella dell’account è identificata da un root_ns univoco.

Conclusioni




La possibilità di estrarre informazioni rilevanti da uno dei file di database,

aggregation.dbx.

Possibili attacchi, come Incrimination Attacks, di una banalità e facilità estrema, realizzabili anche da non specialisti dell’informatica.


Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone

[email protected]

Dropbox Forensics Analysis

Technology

Transcript of Dropbox Forensics Analysis