Digital - (Anti) - Forensics, investigazione digitale ed inutilizzabilità della prova.
Dropbox Forensics Analysis
-
Upload
alessandro-della-rocca -
Category
Technology
-
view
13 -
download
0
Transcript of Dropbox Forensics Analysis
Università degli Studi di Salerno
C.L. Magistrale in Informatica
Corso di Sicurezza – Prof. Alfredo De Santis
A.A. 2012/2013
Dropbox Forensics
Analysis and Security Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Outline
Introduzione Dropbox Dropbox Forensics Identificazione delle prove Acquisizione delle prove Analisi Post-mortem Analysis Live Analysis
Utilizzo di tecniche Anti – Forensics Problematiche di sicurezza Conclusioni
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Outline
Introduzione Dropbox Dropbox Forensics Identificazione delle prove Acquisizione delle prove Analisi Post-mortem Analysis Live Analysis
Utilizzo di tecniche Anti – Forensics Problematiche di sicurezza Conclusioni
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Introduzione: Cloud Computing
Ampliamento di
memorie fisiche come
gli hard disk che
aumentano in modo
sempre più rilevante la
loro capacità.
Sempre maggiore
richiesta, da parte degli
utenti, di maggior spazio
in cui poter salvare i propri
dati al minor costo
possibile e accedervi da
qualsiasi posto.
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Introduzione: Cloud Computing
Secondo il NIST, il National Institute of Standards Technology: “un modello (architetturale) che abilita l’accesso on demand tramite la rete ad un pool condiviso di risorse di elaborazione configurabili come reti, server, storage, applicazioni e servizi che possono essere erogate e liberate in modo rapido con contenuti e attività di
gestione.”
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Introduzione: Cloud Computing
Le soluzioni Cloud Computing stanno modificando rapidamente
le dinamiche del web con :
Nuove opportunità per
le Aziende e la Pubblica
Amministrazione
Un nuovo tipo di
struttura
scalabile ed elastica
In definitiva, Il Cloud Computing permette
• agli utenti di accedere ad applicazioni e dati e servizi risiedenti su
server in remoto e accessibili in qualsiasi momento ovunque e con
qualsiasi dispositivo (Pc, tablet o smartphone).
• di non sostenere investimenti iniziali per l'acquisto di macchine,nè
della manutenzione e dell'aggiornamento delle stesse.
Introduzione: Cloud Computing
Software as a Service
Platform as a Service
Hardware as a Service
Modelli di Cloud Computing
SaaS: Software as a Service:
indica una applicazione che viene offerta al cliente tramite
browser, senza la necessità di installare alcun software sul PC,
ha un modello di fatturazione solitamente “per utente”.
PaaS: Platform as a Service: PaaS significa l’erogazione al cliente finale di una intera
piattaforma cloud, alla quale lui ha accesso tramite un
determinato framework.
HaaS: Hardware as a service: In questo caso parliamo di un vero e proprio accesso, con
privilegi di amministratore, ad una architettura cloud: i clienti
possono creare più istanze virtuali (senza limiti di
numero) e usufruire delle risorse della infrastruttura
cloud per far funzionare le loro macchine.
Introduzione: Cloud Computing
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Introduzione: Digital Forensics
“The use of scientifically derived and proven methods toward the
preservation, collection, validation, identification, analysis, interpretation,
documentation and presentation of digital evidence derived from digital
sources for the purpose of facilitating or furthering the reconstruction of events
found to be criminal, or helping to anticipate unauthorized actions shown to be
disruptive to planned operations”. (2001- DFRWS Digital Forensic Research Workshop)
“La digital forensics e la scienza che consente, attraverso l’uso di
specifiche metodologie e tools, l’individuazione, la conservazione e
l’analisi delle prove digitali. “(Scientific Working Group on Digital Evidence, 1998)
Per prova digitale si intende:
“Qualsiasi informazione, con valore probatorio,
che sia o memorizzata o trasmessa in un formato digitale” (Scientific Working Group on Digital Evidence, 1998)
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Introduzione: Digital Forensics
Definizione
Valore probatorio
Procedure di ottenimento
Problemi aperti
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Introduzione: Digital Forensics
1. Cosa si intende per prova digitale: qualsiasi informazione con
valore probatorio, che sia o memorizzata o trasmessa in formato
digitale.
2. Valore probatorio di una prova digitale:valore che un dato
correlato a un sistema informatico può avere in ambito giuridico o
legale.
3. Procedure di ottenimento di una prova digitale:
1) Identificazione;
2) Acquisizione;
3) Preservazione;
4) Analisi;
5) Presentazione
4. Problemi aperti: Ammissibilità degli strumenti; Ammissibilità della
prova;
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Introduzione: Cloud Forensics
Cloud Forensics : di che parliamo ?
‚An interdisciplinary area between digital forensics and cloud computing, although both definitions of digital forensics and cloud computing are still under discussion.‛ (Ruan, Carthy, ‘Cloud Forensics’- 2011)
‚A mixture of traditional computer forensics, small scale digital device forensics and network forensics. ‛ (Ruan, Carthy, ‘Cloud Forensics’- 2011 Advances in Digital Forensics- Springer)
“Incident response and computer forensics in a cloud environment require fundamentally different tools, techniques and training‛. (Challenging Security Requirements for US Government Cloud Computing Adoption 2012) NIST
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Introduzione: Cloud Forensics
In pratica… I professionisti della digital forensic ‘tradizionale’ devono estendere le proprie competenze e strumenti agli ambienti cloud. Nuove problematiche legali Multi – jurisdiction and multi – tenancy Necessaria la collaborazione di enti governativi di diversi paesi.
Nuova frontiera per le investigazioni digitali.
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Introduzione: Cloud Forensics
Provider – Side Artifacts
Client – Side Artifacts
Trasparenza di locazione fisica
Acquisizione conforme alla giurisdizione
Confidentiality
Endpoints Proliferation Timelines
difficoltose
Massive crime and
investigations
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Cloud Forensics Challenges
Introduzione: Cloud Forensics
LargeScale implementation
Robustness
Miglioramento della
persistenza
Forensics as a Service
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Cloud Forensics Opportunities
Outline
Introduzione
Dropbox Dropbox Forensics Identificazione delle prove Acquisizione delle prove Analisi Post-mortem Analysis Live Analysis
Utilizzo di tecniche Anti – Forensics Problematiche di sicurezza Conclusioni
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Dropbox
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
"Tutto è cominciato, nel 2007, quando nella stazione ferroviaria di Boston mi accorsi di aver dimenticato a casa la mia chiavetta USB", scrive Drew Houston, uno dei fondatori del sito. "Ancora non siamo certi se sia stato il destino od un colpo di fortuna ma quell'evento ha di fatto dato vita a Dropbox”
Dropbox
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
• È un software multipiattaforma cloud based, di
tipo SaaS.
• Si basa su protocollo crittografico SSL ed i file
immagazzinati, accessibili tramite passwork, sono
cifrati con AES.
Dropbox
1. È gratuito fino a 2 GB estendibili fino a 10GB (si guadagnano
250MB per ogni persona invitata che installi DropBox sul proprio PC).
1. La versione a pagamento permette di estenderlo fino a
50GB o 100GB guadagnando altro invitando altre persone.
1. Può essere usato anche via Web, caricando e visualizzando
i file tramite il browser, oppure tramite il driver locale che
sincronizza automaticamente una cartella locale del file
system con quella condivisa, notificando le sue attività all’utente.
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Dropbox è tecnicamente una semplice cartella.
•
Una volta installato il programma, infatti,
verrà automaticamente creata una cartella con il
nome “Dropbox” nella quale potremo inserire tutti i files
che vogliamo vengano sincronizzati, quasi
istantaneamente, all’interno del nostro spazio virtuale.
Dropbox
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Dropbox: Statistiche di utilizzo
Già nel 2012 aveva raggiunto 100 milioni di “grazie” (si legge in una sezione del sito)
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Dropbox: Storage e Cifratura
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Le connessioni client – server di Dropbox sono protette con SSL.
I dati sono cifrati con cifratura asimmetrica AES -256 e mantenuti su AmazonS3 il servizio di storage di AmazonEC2
La cifratura è effettuata dai servizi di AmazonEC2 e la chiave utilizzata è indipendente dall’utente.
Non sappiamo se viene utilizzata una singola chiave per ogni chunks o per ogni file
Osservazione: Cifratura e storage sono effettuati sullo stesso servizio Amazon EC2 e questo può presentare problemi di sicurezza.
Dropbox: Storage e Cifratura
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
IP del servizio Dropbox
Utilizzo di cloudfront di Amazon EC2
Dropbox: Interfaces
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Dropbox utilizza interfacce differenti per le modalità browser e client.
Dropbox: Network Architecture
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Notification Server : nel nostro caso 108.160.163.51 Meta Data Administration Server: nel nostro caso 199.47.219.159 System – Log Server: nel nostro caso 157.56.124.70 Storage Server Amazon S3 : nel nostro caso 54.227.250.123
Dropbox: Notifications
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
• host_int : ID univoco che identifica ogni device collegato a Dropbox. • ns_map: anche chiamato namespace, è un identificatore univoco per ogni
cartella condivisa. • user-id: ID univoco che identifica l’utente proprietario dell’account.
Outline
Introduzione Dropbox
Dropbox Forensics Identificazione delle prove Acquisizione delle prove Analisi Post-mortem Analysis Live Analysis
Utilizzo di tecniche Anti – Forensics Problematiche di sicurezza Conclusioni
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Dropbox Forensics
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Partiamo da un caso reale…..
Un dipendente di una azienda è appena passato a lavorare per una società concorrente. Il dipartimento ricerche della sua società precedente sospetta di un furto di proprietà intellettuale da parte proprio di questo dipendente.
I supporti digitali disponibili per l’ indagine sono: - PC del dipendente - Smartphone iPhone/Android del dipendente - Valori Hash dei file sospettati di essere stati
trafugati
Dropbox Forensics
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Dando una rapida occhiata alla cronologia di navigazione osserviamo che il dipendente ha effettuato l’accesso a
Dropbox…
E se il ladro avesse utilizzato Dropbox per trasferire i file?
Dropbox Forensics
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Possiamo produrre delle prove forensi che dimostrino, in modo incontrovertibile che il ladro ha trasferito, proprio quei
file tramite Dropbox ad un concorrente?
Quali sono le evidenze digitali riscontrabili su una macchina / dispositivo in seguito all’utilizzo di Dropbox ?
Dropbox Forensics
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Investigazione delle tracce riscontrabili in seguito all’utilizzo del client Dropbox e del browser Google Chrome.
Investigazione della tracce presenti sull’hard – disk (Post – Mortem Analysis).
Investigazione delle tracce riscontrabili nella memoria (Live - Analysis).
Dropbox Forensics
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Indagine sui file eventualmente caricati / scaricati / cancellati.
Rilevamento dell’utilizzo di tecniche anti forensics.
Studio del protocollo di Dropbox.
Studio dei possibili attacchi alla sicurezza.
Dropbox Forensics
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Abbiamo creato un account Dropbox su una macchina separata per non confondere i dati sulle macchine da
analizzare.
Dropbox Forensics
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Sono stati creati tre file, che saranno utilizzati durante le interazioni con Dropbox e costituiranno i file sotto indagine: enron3111w.docx
enron3111.rtf
paesaggi.jpg
Dropbox Forensics
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Attraverso l’utilizzo di macchine virtuali abbiamo ricreato una serie di possibili scenari operativi dell’utente, nei quali
sono state effettuate le più comuni interazioni con il servizio Dropbox.
Dropbox Forensics
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Base VM
Access VM Eraser VM Download VM
Ccleaner VM
Upload VM Uninstall VM
Outline
Introduzione Dropbox Dropbox Forensics
Identificazione delle prove Acquisizione delle prove Analisi Post-mortem Analysis Live Analysis
Utilizzo di tecniche Anti – Forensics Problematiche di sicurezza Conclusioni
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Identificazione delle prove
Per ciascuno dei supporti individuati è necessario capire quali
sono i dati che devono essere acquisiti prima degli altri per
evitare la cancellazione o la sovrascrittura con altri dati.
Ordine di VOLATILITA’:
1. Registri di sistema
2. RAM 3. File system temporanei
4. Hard disk
5. Configurazione fisica e topologia di rete
6. Media di archiviazione e di backup(CD,DVD,etc)
Le due evidenziate sono quelle che , nel nostro caso ,
contengono la cosiddetta “smoking gun”…
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Outline
Introduzione Dropbox Dropbox Forensics Identificazione delle prove
Acquisizione delle prove Analisi Post-mortem Analysis Live Analysis
Utilizzo di tecniche Anti – Forensics Problematiche di sicurezza Conclusioni
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Acquisizione delle prove: metodologia operativa
Nel caso generale Nel nostro caso
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Metodologia
operativa
Metodologia
operativa
Smontare il supporto di memorizzazione dal computer a cui si trova collegato e collegarlo ad una macchina forense per l'acquisizione
Acquisire l'immagine del disco, utilizzando il computer oggetto di analisi come sorgente e salvare il risultato su un supporto esterno rimuovibile o su una macchina forense via rete
Abbiamo creato una macchina virtuale sulla “macchina
forense”
Abbiamo acquisito l’immagine del disco e della RAM della
macchina virtuale , contenente lo smoking gun, e salvato il
risultato sulla “macchina forense”
Acquisizione delle prove: Sistema Operativo
Nel caso generale Nel nostro caso
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Sistema operativo
• I principali sistemi operativi
che offrono soluzioni
applicative per la copia
forense dei dati sono Linux e
Windows. • Per sua natura il sistema
operativo Linux sembra
essere il più indicato per una
acquisizione dei dati in ottica
forense poiché è in grado di
rendere un hard
disk accessibile solamente in
lettura, garantendo a livello
software integrità.
Sistema operativo
Acquisizione delle prove: Software di acquisizione
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Nel caso generale Nel nostro caso
Software di
acquisizione
Software di
acquisizione
Linux: 1. Helix 3 Enterprise
2. DEFT
3. CAINE
4. Forlex
Windows: 1. FTK Imager
2. Encase
3. Drive Snapshot
FTK Imager
Acquisizione delle prove: Software di acquisizione
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
FTK Imager è un programma di acquisizione dati che può essere utilizzato per fornire una rapida anteprima del contenuto di un hard disk e, se necessario, crearne un'immagine forense.
Per garantire l'integrità della copia questo software realizza una duplicazione bit-per-bit
del dispositivo. L'immagine è in questo modo identica all'originale, incluso lo spazio non allocato e lo stack space.
Durante la fase di copia forense il programma verifica che l'hash dell'immagine realizzata e
quello dell'hard disk coincidano. Sono disponibili due funzioni di hash: Message Digest 5 (MD5) e Secure Hash Algorithm (SHA-1).
FTK Imager supporta i file system FAT12, FAT16, FAT32, NTFS, Ext2, Ext3, HFS, HFS+ e
Reiser.
Access FTK Imager
Acquisizione delle prove: Software di acquisizione
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Visualizzare un’anteprima della struttura logica (partizioni, cartelle e file) dell'hard disk.
Creare un’immagine forense dell'hard disk. Visualizzare un’anteprima del contenuto di un’immagine
forense, precedentemente acquisita. Esportare file e cartelle da un’immagine forense. Calcolare l’hash (MD5 e SHA1) dell’immagine forense e di ogni
singolo file incluso nell’immagine stessa.
Access FTK Imager
Acquisizione delle prove: Software di acquisizione
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Access FTK Imager
Consente l’acquisizione la creazione di copie forensi sia da un supporto fisico che da un disco virtuale (es. file VMDK e NVRAM di VMWARE).
Supporta i formati di acquisizione universalmente riconosciuti.
Acquisizione delle prove: Software di acquisizione
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Access FTK Imager
Ogni immagine acquisita è stata anche verificata attraverso il calcolo dell’hash. Una volta verificata l’uguaglianza dei valori siamo sicuri di agire su una immagine che rappresenta esattamente il supporto originale
Acquisizione delle prove: Software di acquisizione
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Encase Image File
Format (.E01)
Rappresenta lo standard de facto per le analisi forensi ed è un formato proprietario di Guidance Software Encase. Ogni file (.E01) contiene: Un header con le info del caso il bitstream fisico del supporto acquisito dove ogni blocco contiene 64
settori (32 KB) e per il quale viene calcolata una checksum (Adler-32) Un footer contenente l’hash MD5 dell’intero bitstream
Outline
Introduzione Dropbox Dropbox Forensics Identificazione delle prove Acquisizione delle prove
Analisi delle prove Post-mortem Analysis Live Analysis
Utilizzo di tecniche Anti – Forensics Problematiche di sicurezza Conclusioni
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Analisi delle prove - Autopsy
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Per l’analisi delle prove utilizziamo
Analisi - Autopsy
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Autopsy è una piattaforma open per l’analisi forense
e fornisce un’interfaccia grafica che permette un
facile utilizzo delle funzionalità di Sleuth Kit.
L’uso di un’interfaccia grafica permette di poter
analizzare facilmente qualsiasi disco.
Autopsy fornisce informazioni sulla cache del disco,
sulle ultime azioni effettuate, i contenuti del disco,
consentendo quindi un analisi completa a chi deve
compiere l’investigazione.
Sviluppato per sistemi Windows, Mac OS e Linux
Analisi - Autopsy
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Analisi delle prove
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Dropbox fornisce alcune informazioni utili ai fini investigativi
Per ogni file un elenco delle attività svolte e delle versioni di quel file
Analisi delle prove
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Dropbox fornisce alcune informazioni utili ai fini investigativi
Elenco di tutte le sessioni web dove si è rimasti autenticati per oltre 30 giorni attraverso il tasto ‘Remember me’
Analisi delle prove
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Dropbox fornisce alcune informazioni utili ai fini investigativi
Elenco di tutti i dispositivi che hanno effettuato l’accesso a Dropbox. E’ possibile visualizzare IP e versione del client utilizzato.
Registra solo l’accesso attraverso client.
Analisi delle prove
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Dropbox fornisce alcune informazioni utili ai fini investigativi
La possibilità di rinominare le macchine e di scollegarle rende queste informazioni poco attendibili.
Analisi delle prove
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Analisi delle tracce riscontrabili sull’hard disk e sulla memoria centrale, dopo l’utilizzo di Dropbox. Attraverso Autopsy abbiamo effettuato una serie di query sulle immagini dei supporti acquisiti relative a keywords significative e tentativo di ricostruire una timeline delle attività utente.
Outline
Introduzione Dropbox Dropbox Forensics Identificazione delle prove Acquisizione delle prove Analisi
Post-mortem Analysis Live Analysis
Utilizzo di tecniche Anti – Forensics Problematiche di sicurezza Conclusioni
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Post – Mortem Analysis : Base VM
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Base VM
Base VM (Windows version) - Windows 7 Professional Edition 64 bit - 1 GB RAM - 10 GB Hard Disk
Base VM (Linux Version) - Ubuntu Linux 13.04 amd-64bit - 1 GB RAM - 10 GB Hard Disk
Rappresenta la macchina ‘pulita’ dove l’utente non hai mai interagito con Dropbox in nessuna modalità e non contiene nessun file oggetto di indagine. Tuttavia ci saranno delle sorprese“..
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Base VM
Occorrenze del termine ‘dropbox’ riscontrabili nei file:
- pagefile.sys - index.dat - msjint40.dll.mui
OSSERVAZIONE: il termine dropbox è presente su una macchina priva di ogni interazione con Dropbox.
Nelle investigazioni digitali non basta ricercare dei risultati, ma occorre analizzare la ragione di determinate occorrenze di keyword piuttosto che
trarre conclusioni dalla semplice presenza dei dati.
Post – Mortem Analysis : Base VM
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Access VM
Attività utente - L’utente apre Google Chrome. - Si collega a www.dropbox.com - Si autentica con i dati del suo account - Apre e visualizza ogni file presente in Dropbox. - L’utente non fa il download esplicito dei file
Post – Mortem Analysis : Access VM
Post – Mortem Analysis : Access VM
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Access VM
Risultati https://dl-web.dropbox.com/get/enron3111w.docx?w=
AAA6TEcB0Odk4CoKAU6AeBsZE5xq0o8OJiaYAD-rziE2gd
https://dl-web.dropbox.com/get/enron3111.rtf?w=AACeQfM7-u2i-_-eSei-7DlvlYw6enVHP03-jO-eYDnxg
https://photos-6.dropbox.com/t/0/ AABs7MOS72580CEZ6XinCbai76s2laZZ7Qi_Dt5hZjMtiA/12/165637617/jpeg/32x32/3/_/1/2/paesaggi.jpg/QVqFM51UNHM_jnCaWaDgrDttSi0NqFx9b9hfOxBfu-g?size=800x600f https://dl-web.dropbox.com/get/enron3111w.docx?w=
AAA6TEcB0Odk4CoKAU6AeBsZE5xq0o8OJiaYAD-rziE2gd
https://dl-web.dropbox.com/get/enron3111.rtf?w=AACeQfM7-u2i-_-eSei-7DlvlYw6enVHP03-jO-eYDnxg
Post – Mortem Analysis : Download VM
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Download VM
Attività utente - L’utente apre Google Chrome. - Si collega a www.dropbox.com - Si autentica con i dati del suo account - Scarica ogni singolo file sul suo Desktop
Post – Mortem Analysis : Download VM
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Download VM
Risultati C:\Users\Sicurezza-download\Downloads\enron3111w.docx C:\Users\Sicurezzadownload\Downloads\enron3111w.docx. C:\Users\Sicurezza-download\Downloads\enron3111.rtf C:\Users\Sicurezzadownload\Downloads\enron3111.rtf. C:\Users\Sicurezzadownload\Desktop\immaginesic.jpg C:\Users\Sicurezzadownload\Desktop\immaginesic.jpg. C:\Users\Sicurezza-download\Downloads\enron3111w.docx C:\Users\Sicurezzadownload\Downloads\enron3111w.docx. C:\Users\Sicurezza-download\Downloads\enron3111.rtf C:\Users\Sicurezzadownload\Downloads\enron3111.rtf.
I file sono stati scaricati da Dropbox ed aperti (risultano nella cartella Documenti Recenti)
Post – Mortem Analysis : Upload VM
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Upload
Attività utente - L’utente apre Google Chrome . - Si collega a www.dropbox.com - Scarica il client Drobpox 2.0.8 - Installa il client - Accede a Dropbox con i dati del suo account - Fa l’upload dei file su Dropbox
Post – Mortem Analysis : Upload VM
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Upload
Analisi del file History di Google Chrome File location: /Users/Alessandro/AppData/Local/Google/Chrome/User Data/Default/History
Risultati https://www.dropbox.com/downloading?src=indexDropbox - Download di Dropbox https://dl.dropboxusercontent.com/u/17/Dropbox%202.0.8.exeG https://d1ilhw0800yew8.cloudfront.net/client/Dropbox%202.0.8.exe/ https://www.dropbox.com/download?plat=win https://www.dropbox.com/downloading?src=index https://www.dropbox.com/
L’utente ha scaricato l’eseguibile per l’installazione del client Dropbox versione Windows.
Post – Mortem Analysis : Upload VM
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Upload
Analisi delle directory di installazione /Users/Alessandro/AppData/Roaming/Dropbox /Users/Alessandro/AppData/Roaming/Dropbox/bin/Dropbox.exe Analisi dei link creati /Users/Alessandro/AppData/Roaming/Microsoft/Windows/Start
Menu/Programs/Dropbox /Users/Alessandro/AppData/Roaming/Microsoft/Windows/Start
Menu/Programs/Dropbox/Dropbox Website.URL
Post – Mortem Analysis : Upload VM
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Upload
File relativi all’eseguibile del client /Windows/Prefetch/DROPBOX.EXE-3133C9A9.pf /Windows/System32/config/SYSTEM /Windows/System32/config/SOFTWARE Eccezioni del Firewall di Windows Nel seguente file : /Windows/System32/winevt/Logs/Microsoft-Windows-Windows
Firewall With Advanced Security%4Firewall.evtx è stata riscontrata la seguente eccezione :
Microsoft-Windows-Windows Firewall With Advanced
Security/Firewall {21B2B193-49FB-4661-AF5D-E90C3723025B} Dropbox C:\Users\Alessandro\AppData\Roaming\Dropbox\bin\Dropbox.exe
Post – Mortem Analysis : Upload VM
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Upload
Files Uploaded
I file del dataset si trovano in
/Users/Alessandro/Dropbox
Nella stessa cartella ci sono anche i file di default forniti con Dropbox e che sono Guida rapida di Dropbox.pdf Boston City Flow.jpg Costa Rican Frog.jpg Pensive Parakeet.jpg
Attraverso il calcolo dell’Hash(MD5) possiamo verificare l’effettiva identità dei file caricati.
Post – Mortem: Aggregation.dbx
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
L’analisi del file aggregation.dbx fornisce una lista di tutte i file presenti nella cartella Dropbox e di cui è stato fatto l’upload.
File cifrato ma visualizzabile con Autopsy.
Outline
Introduzione Dropbox Dropbox Forensics Identificazione delle prove Acquisizione delle prove Analisi Post-mortem Analysis
Live Analysis Utilizzo di tecniche Anti – Forensics Problematiche di sicurezza Conclusioni
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Live Analysis: Username
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Nome utente dell’account in chiaro: Progetto Sicurezza
Unisa
Live Analysis: Password
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Password in chiaro: 2013_projec
Live Analysis: E-mail
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
In caso di accesso tramite browser, l’identificazione dei dati di accesso risulta molto semplice. Le info si trovano nei tag email login_email e
password login_password
LiveAnalysis: client Request ID
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Ogni utente ha uno UserID univoco che identifica
l’account.
LiveAnalysis: UserID e Server Time
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Server time dell’operazione effettuata in formato Unix
Epoch
LiveAnalysis: UserID e Server Time
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Ogni richiesta effettuata dal client Dropbox è identificata
da un request-id.
LiveAnalysis: Authentication Structure
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
La live analysis di una RAM di una macchina dove è stato eseguito l’accesso via client a Dropbox presenta questa struttura di
autenticazione
LiveAnalysis: Authentication Structure
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
La live analysis di una RAM di una macchina dove è stato eseguito l’accesso via client a Dropbox presenta questa struttura di
autenticazione
LiveAnalysis: Cache di Dropbox
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Dropbox utilizza la cartella Dropbox\.dropbox.cache, creando al suo interno un file temporaneo.
Utilizzo di una cartella di cache da parte del client
Drobpox
LiveAnalysis: Cache di Dropbox
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Il contenuto del file temporaneo di cache è visualizzabile, attraverso Autopsy, esaminando il file delle pagine pagefile.sys
LiveAnalysis: root_ns e host-id
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
root_ns : 264634628 univoco per ogni account e indipendente dall’host che accede
Namespace della cartella di root dell’account Dropbox
LiveAnalysis: root_ns e host-id
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
host_id che identifica il device che ha acceduto all’account
Host-id del device che accede all’account
Outline
Introduzione Dropbox Dropbox Forensics Identificazione delle prove Acquisizione delle prove Analisi Post-mortem Analysis Live Analysis
Utilizzo di tecniche Anti – Forensics Problematiche di sicurezza Conclusioni
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Utilizzo di tecniche Anti-Forensics
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Uninstall VM
Attività utente - Disinstalla il client Dropbox
Utilizzo di tecniche Anti-Forensics
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Uninstall VM
Se il client è stato disinstallato, quali tracce possiamo riscontrare? Nella cartella /Users/Alessandro/AppData/Roaming sono ancora presenti le cartelle - /bin -/installer -/shelltext e il file DropboxExt64.19.dll. Nella cartella Dropbox sono ancora presenti i file uploaded e file di esempio di Dropbox.
Utilizzo di tecniche Anti-Forensics
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Eraser VM
Attività utente - I file di Dropbox scaricati vengono
cancellati utilizzando il programma Eraser.
Utilizzo di tecniche Anti-Forensics
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Eraser VM
Risultati della navigazione Internet
http://eraser.heidi.ie/download.phpEraser :Downloads
http://sourceforge.net/projects/eraser/files/Eraser%206/6.0.10/Eraser%206.0.10.2620.exe/downloadDownload Eraser from SourceForge.net
http://sourceforge.net/projects/eraser/?source=dlpEraser | Free Security & Utilities software downloads at SourceForge.net
Utilizzo di tecniche Anti-Forensics
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
CCleaner VM
Attività utente - Utilizzo di Ccleaner per cancellare le
attività svolte su Internet.
Utilizzo di tecniche Anti-Forensics
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
CCleaner VM
Risultati
http://www.piriform.com/ccleaner/downloadCCleaner - Download
http://www.piriform.com/downloadPiriform - Download
http://www.piriform.com/ccleaner/download/standardCCleaner - Standard
C:\Users\Enrico\Downloads\ccsetup401.exeC:\Users\Enrico\Downloads\ccsetup401.exe
Utilizzo di tecniche Anti-Forensics
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
CCleaner VM
Nonostante l’utilizzo di strumenti anti-forensics come Eraser e Ccleaner rileviamo
Utilizzo di tecniche Anti-Forensics
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
CCleaner VM
Nonostante l’utilizzo di strumenti anti-forensics come Eraser e Ccleaner abbiamo rilevato
Outline
Introduzione Dropbox Dropbox Forensics Identificazione delle prove Acquisizione delle prove Analisi Post-mortem Analysis Live Analysis
Utilizzo di tecniche Anti – Forensics
Problematiche di sicurezza Conclusioni
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Problematiche di sicurezza
Ci siamo chiesti
E’ possibile ricreare delle tracce fasulle che mostrino l’accesso a Dropbox anche se questo non è avvenuto?
E’ possibile nascondere le tracce dell’accesso a Dropbox?
E’ possibile alterare le tracce dell’accesso a Dropbox?
Quali sono le tecniche di attacco possibili per avere accesso ai dati di altri utenti e/o creare tracce false ?
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Problematiche di sicurezza
Attacchi basati sulla deduplication e hash values.
Utilizzo di un proxy server.
Utilizzo di un fake client.
Incrimination Attack.
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Problematiche di sicurezza: Attacchi basati su deduplication e hash values
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Data deduplication: in caso di upload di file già presenti sui server Dropbox, il servizio richiede il trasferimento solo delle parti modificate.
Ogni file diviso in chunks di al più 4 Mb.
Quando si aggiunge un file alla cartella Dropbox, il client calcola gli hash SHA-256 di tutti i chunks di cui è composto il file e li invia al server.
I valori sono confrontati con quelli già presenti sul server e se necessario viene richiesto l’upload.
Un file già esistente sul server viene semplicemente linkato al relativo account per risparmiare traffico e costi di storage.
Problematiche di sicurezza: Attacchi basati su deduplication e hash values
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
PROBLEMA: Il server confida nei valori calcolati dal client! Dopo l’upload di un file, Dropbox calcola gli hash del file sui propri server
per validare la corretta trasmissione, confrontando tali valori con quelli calcolati e trasmessi dal client.
Se essi coincidono il file viene linkato all’account corrispondente.
Problematiche di sicurezza: Attacchi basati su deduplication e hash values
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Se conosciamo il valore hash del file di un altro utente possiamo accedere ad esso.
Spoofing dell’Hash Value trasmesso dal client
Modifica della libreria Ncrypto utilizzata dal client Dropbox per il calcolo dell’hash.
Accesso al file di un utente differente.
Problematiche di sicurezza: Attacchi basati su deduplication e hash values
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Tale attacco, nelle modalità descritte, non è più possibile in quanto Dropbox ha adottato la single user deduplication, utilizzando gli hash per l’upload solo in relazione al singolo utente.
Sono comunque possibili attacchi in modalità diversa.
Problematiche di sicurezza: Utilizzo Proxy Server
Utilizzo di un proxy server che gestisca le connessioni con Dropbox
Assenza di riferimenti sulla macchina client che dimostrino l’interazione con Dropbox.
Distribuzione di un file, scaricato, a n utenti.
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Problematiche di sicurezza: Utilizzo Proxy Server
Dropbox mostrerà IP e name – machine del
proxy.
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Problematiche di sicurezza: Utilizzo Proxy Server
Il proxy server scarica il file per conto dell’utente A e lo
distribuisce agli utenti B e C che non risulteranno su Dropbox.
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Problematiche di sicurezza: Fake Client
Sviluppo di un fake client.
Applicazione Dropbox
Creazione di tracce fasulle sulla macchina client
Utilizzo delle API di Dropbox in Python
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Problematiche di sicurezza: Incrimination Attack
Dropbox non utilizza un meccanismo di validazione dell’account in fase di creazione.
L’avversario, conoscendo l’indirizzo email della vittima, può registrare un account con quel’indirizzo.
L’avversario può fare l’upload di materiale illecito utilizzando l’account della vittima.
L’avversario può avvisare le autorità circa il materiale illecito caricato oppure diffamare la vittima.
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Outline
Introduzione Dropbox Dropbox Forensics Identificazione delle prove Acquisizione delle prove Analisi Post-mortem Analysis Live Analysis
Utilizzo di tecniche Anti – Forensics Problematiche di sicurezza
Conclusioni
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Conclusioni
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Il nostro lavoro ha messo in luce alcune considerazioni e informazioni che sono emersi rispetto all’articolo di Quick D, Choo K.K, "Dropbox analysis: Data remnants on
user machines", 2013, Digital Investigation, vol.10, Issue 1, pp. 1-16, che risultano rilevanti per l’analisi forense e per la sicurezza:
La presenza di strutture dati e pattern ben definiti riscontrabili nella
memoria, che permettono all’investigatore digitale di risalire con precisione al nome utente del possessore dell’account, alla sua email e alla password.
L’utilizzo da parte di Dropbox di uno user-id univoco e di una request-id per ogni interazione con il server.
Conclusioni
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Il nostro lavoro ha messo in luce alcune considerazioni e informazioni che sono emersi rispetto all’articolo di Quick D, Choo K.K, "Dropbox analysis: Data remnants on
user machines", 2013, Digital Investigation, vol.10, Issue 1, pp. 1-16, che risultano rilevanti per l’analisi forense e per la sicurezza:
La presenza di un file di cache in locale, analizzabile tramite Autopsy, che
consente di visualizzare i file caricati dall’utente.
L’utilizzo di un host-ID univoco per ogni dispositivo collegato all’account.
Ogni cartella dell’account è identificata da un root_ns univoco.
Conclusioni
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Il nostro lavoro ha messo in luce alcune considerazioni e informazioni che sono emersi rispetto all’articolo di Quick D, Choo K.K, "Dropbox analysis: Data remnants on
user machines", 2013, Digital Investigation, vol.10, Issue 1, pp. 1-16, che risultano rilevanti per l’analisi forense e per la sicurezza:
La possibilità di estrarre informazioni rilevanti da uno dei file di database,
aggregation.dbx.
Possibili attacchi, come Incrimination Attacks, di una banalità e facilità estrema, realizzabili anche da non specialisti dell’informatica.
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone