1. Università degli Studi di Salerno
C.L. Magistrale in Informatica
Corso di Sicurezza – Prof. Alfredo De Santis
A.A. 2012/2013
Dropbox Forensics
Analysis and Security
Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
sicurezza.unisa@gmail.com
2. Outline
Introduzione
Dropbox
Dropbox Forensics
Identificazione delle prove
Acquisizione delle prove
Analisi
Post-mortem Analysis
Live Analysis
Utilizzo di tecniche Anti – Forensics
Problematiche di sicurezza
Conclusioni
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
3. Outline
Introduzione
Dropbox
Dropbox Forensics
Identificazione delle prove
Acquisizione delle prove
Analisi
Post-mortem Analysis
Live Analysis
Utilizzo di tecniche Anti – Forensics
Problematiche di sicurezza
Conclusioni
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
4. Introduzione: Cloud Computing
Ampliamento di
memorie fisiche come
gli hard disk che
aumentano in modo
sempre più rilevante la
loro capacità.
Sempre maggiore
richiesta, da parte degli
utenti, di maggior spazio
in cui poter salvare i propri
dati al minor costo
possibile e accedervi da
qualsiasi posto.
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
5. Introduzione: Cloud Computing
Secondo il NIST, il National Institute of Standards Technology:
“un modello (architetturale) che abilita l’accesso on demand tramite la rete ad un pool
condiviso di risorse di elaborazione configurabili come reti, server, storage, applicazioni e
servizi che possono essere erogate e liberate in modo rapido con contenuti e attività di
gestione.”
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
6. Introduzione: Cloud Computing
Le soluzioni Cloud Computing stanno modificando rapidamente
le dinamiche del web con :
Nuove opportunità per
le Aziende e la Pubblica
Amministrazione
Un nuovo tipo di
struttura
scalabile ed elastica
In definitiva, Il Cloud Computing permette
• agli utenti di accedere ad applicazioni e dati e servizi risiedenti su
server in remoto e accessibili in qualsiasi momento ovunque e con
qualsiasi dispositivo (Pc, tablet o smartphone).
• di non sostenere investimenti iniziali per l'acquisto di macchine,nè
della manutenzione e dell'aggiornamento delle stesse.
8. SaaS: Software as a Service:
indica una applicazione che viene offerta al cliente tramite
browser, senza la necessità di installare alcun software sul PC,
ha un modello di fatturazione solitamente “per utente”.
PaaS: Platform as a Service:
PaaS significa l’erogazione al cliente finale di una intera
piattaforma cloud, alla quale lui ha accesso tramite un
determinato framework.
HaaS: Hardware as a service:
In questo caso parliamo di un vero e proprio accesso, con
privilegi di amministratore, ad una architettura cloud: i clienti
possono creare più istanze virtuali (senza limiti di
numero) e usufruire delle risorse della infrastruttura
cloud per far funzionare le loro macchine.
Introduzione: Cloud Computing
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
9. Introduzione: Digital Forensics
“The use of scientifically derived and proven methods toward the
preservation, collection, validation, identification, analysis, interpretation,
documentation and presentation of digital evidence derived from digital
sources for the purpose of facilitating or furthering the reconstruction of events
found to be criminal, or helping to anticipate unauthorized actions shown to be
disruptive to planned operations”. (2001- DFRWS Digital Forensic Research Workshop)
“La digital forensics è la scienza che consente, attraverso l’uso di
specifiche metodologie e tools, l’individuazione, la conservazione e
l’analisi delle prove digitali. “(Scientific Working Group on Digital Evidence, 1998)
Per prova digitale si intende:
“Qualsiasi informazione, con valore probatorio,
che sia o memorizzata o trasmessa in un formato digitale”
(Scientific Working Group on Digital Evidence, 1998)
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
10. Introduzione: Digital Forensics
Definizione
Valore probatorio
Procedure di ottenimento
Problemi aperti
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
11. Introduzione: Digital Forensics
1. Cosa si intende per prova digitale: qualsiasi informazione con
valore probatorio, che sia o memorizzata o trasmessa in formato
digitale.
2. Valore probatorio di una prova digitale:valore che un dato
correlato a un sistema informatico può avere in ambito giuridico o
legale.
3. Procedure di ottenimento di una prova digitale:
1) Identificazione;
2) Acquisizione;
3) Preservazione;
4) Analisi;
5) Presentazione
4. Problemi aperti: Ammissibilità degli strumenti; Ammissibilità della
prova;
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
12. Introduzione: Cloud Forensics
Cloud Forensics : di che parliamo ?
‚An interdisciplinary area between digital forensics and cloud
computing, although both definitions of digital forensics and cloud
computing are still under discussion.‛ (Ruan, Carthy, ‘Cloud Forensics’- 2011)
‚A mixture of traditional computer forensics, small scale digital
device forensics and network forensics. ‛
(Ruan, Carthy, ‘Cloud Forensics’- 2011 Advances in Digital Forensics- Springer)
“Incident response and computer forensics in a cloud environment
require fundamentally different tools, techniques and training‛.
(Challenging Security Requirements for US Government Cloud Computing Adoption 2012) NIST
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
13. Introduzione: Cloud Forensics
In pratica…
I professionisti della digital forensic ‘tradizionale’ devono
estendere le proprie competenze e strumenti agli ambienti cloud.
Nuove problematiche legali
Multi – jurisdiction and multi – tenancy
Necessaria la collaborazione di enti governativi di diversi paesi.
Nuova frontiera per le investigazioni digitali.
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
14. Introduzione: Cloud Forensics
Provider – Side
Artifacts
Client – Side
Artifacts
Trasparenza di
locazione fisica
Acquisizione
conforme alla
giurisdizione
Confidentiality
Endpoints
ProliferationTimelines
difficoltose
Massive crime
and
investigations
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Cloud Forensics Challenges
16. Outline
Introduzione
Dropbox
Dropbox Forensics
Identificazione delle prove
Acquisizione delle prove
Analisi
Post-mortem Analysis
Live Analysis
Utilizzo di tecniche Anti – Forensics
Problematiche di sicurezza
Conclusioni
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
17. Dropbox
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
"Tutto è cominciato, nel 2007,
quando nella stazione ferroviaria
di Boston mi accorsi di aver
dimenticato a casa la mia chiavetta
USB",
scrive Drew Houston, uno dei
fondatori del sito.
"Ancora non siamo certi se sia stato
il destino od un colpo di fortuna ma
quell'evento ha di fatto dato vita
a Dropbox”
18. Dropbox
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
• È un software multipiattaforma cloud based, di
tipo SaaS.
• Si basa su protocollo crittografico SSL ed i file
immagazzinati, accessibili tramite passwork, sono
cifrati con AES.
19. Dropbox
1. È gratuito fino a 2 GB estendibili fino a 10GB (si guadagnano
250MB per ogni persona invitata che installi DropBox sul
proprio PC).
1. La versione a pagamento permette di estenderlo fino a
50GB o 100GB guadagnando altro invitando altre persone.
1. Può essere usato anche via Web, caricando e visualizzando
i file tramite il browser, oppure tramite il driver locale che
sincronizza automaticamente una cartella locale del file
system con quella condivisa, notificando le sue attività
all’utente.
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
20. Dropbox è tecnicamente una semplice cartella.
•
Una volta installato il
programma, infatti,
verrà automaticamente
creata una cartella con il
nome “Dropbox” nella quale
potremo inserire tutti i files
che vogliamo vengano
sincronizzati, quasi
istantaneamente, all’interno
del nostro spazio virtuale.
Dropbox
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
21. Dropbox: Statistiche di utilizzo
Già nel 2012 aveva raggiunto 100 milioni di “grazie”
(si legge in una sezione del sito)
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
22. Dropbox: Storage e Cifratura
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Le connessioni client – server di Dropbox sono protette con SSL.
I dati sono cifrati con cifratura asimmetrica AES -256 e mantenuti su
AmazonS3 il servizio di storage di AmazonEC2
La cifratura è effettuata dai servizi di AmazonEC2 e la chiave utilizzata è
indipendente dall’utente.
Non sappiamo se viene utilizzata una singola chiave per ogni chunks o
per ogni file
Osservazione: Cifratura e storage sono effettuati sullo stesso servizio
Amazon EC2 e questo può presentare problemi di sicurezza.
23. Dropbox: Storage e Cifratura
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
IP del servizio
Dropbox
Utilizzo di
cloudfront di
Amazon EC2
24. Dropbox: Interfaces
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Dropbox utilizza interfacce differenti per le
modalità browser e client.
25. Dropbox: Network Architecture
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Notification Server : nel nostro caso 108.160.163.51
Meta Data Administration Server: nel nostro caso 199.47.219.159
System – Log Server: nel nostro caso 157.56.124.70
Storage Server Amazon S3 : nel nostro caso 54.227.250.123
26. Dropbox: Notifications
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
• host_int : ID univoco che identifica ogni device collegato a Dropbox.
• ns_map: anche chiamato namespace, è un identificatore univoco per ogni
cartella condivisa.
• user-id: ID univoco che identifica l’utente proprietario dell’account.
27. Outline
Introduzione
Dropbox
Dropbox Forensics
Identificazione delle prove
Acquisizione delle prove
Analisi
Post-mortem Analysis
Live Analysis
Utilizzo di tecniche Anti – Forensics
Problematiche di sicurezza
Conclusioni
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
28. Dropbox Forensics
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Partiamo da un caso reale…..
Un dipendente di una azienda è
appena passato a lavorare per una
società concorrente. Il dipartimento
ricerche della sua società precedente
sospetta di un furto di proprietà
intellettuale da parte proprio di
questo dipendente.
I supporti digitali disponibili per l’ indagine sono:
- PC del dipendente
- Smartphone iPhone/Android del dipendente
- Valori Hash dei file sospettati di essere stati
trafugati
29. Dropbox Forensics
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Dando una rapida occhiata alla cronologia di navigazione
osserviamo che il dipendente ha effettuato l’accesso a
Dropbox…
E se il ladro avesse utilizzato Dropbox per trasferire i file?
30. Dropbox Forensics
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Possiamo produrre delle prove forensi che dimostrino, in
modo incontrovertibile che il ladro ha trasferito, proprio quei
file tramite Dropbox ad un concorrente?
Quali sono le evidenze digitali riscontrabili su una
macchina / dispositivo in seguito all’utilizzo di Dropbox ?
31. Dropbox Forensics
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Investigazione delle tracce riscontrabili in seguito
all’utilizzo del client Dropbox e del browser Google
Chrome.
Investigazione della tracce presenti sull’hard – disk
(Post – Mortem Analysis).
Investigazione delle tracce riscontrabili nella memoria
(Live - Analysis).
32. Dropbox Forensics
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Indagine sui file eventualmente caricati / scaricati /
cancellati.
Rilevamento dell’utilizzo di tecniche anti forensics.
Studio del protocollo di Dropbox.
Studio dei possibili attacchi alla sicurezza.
33. Dropbox Forensics
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Abbiamo creato un account Dropbox su una macchina
separata per non confondere i dati sulle macchine da
analizzare.
34. Dropbox Forensics
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Sono stati creati tre file, che saranno utilizzati durante
le interazioni con Dropbox e costituiranno i file sotto
indagine:
enron3111w.docx
enron3111.rtf
paesaggi.jpg
35. Dropbox Forensics
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Attraverso l’utilizzo di macchine virtuali abbiamo ricreato
una serie di possibili scenari operativi dell’utente, nei quali
sono state effettuate le più comuni interazioni con il
servizio Dropbox.
36. Dropbox Forensics
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Base VM
Access VM Eraser VMDownload
VM
Ccleaner
VM
Upload VM Uninstall VM
37. Outline
Introduzione
Dropbox
Dropbox Forensics
Identificazione delle prove
Acquisizione delle prove
Analisi
Post-mortem Analysis
Live Analysis
Utilizzo di tecniche Anti – Forensics
Problematiche di sicurezza
Conclusioni
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
38. Identificazione delle prove
Per ciascuno dei supporti individuati è necessario capire quali
sono i dati che devono essere acquisiti prima degli altri per
evitare la cancellazione o la sovrascrittura con altri dati.
Ordine di VOLATILITA’:
1. Registri di sistema
2. RAM
3. File system temporanei
4. Hard disk
5. Configurazione fisica e topologia di rete
6. Media di archiviazione e di backup(CD,DVD,etc)
Le due evidenziate sono quelle che , nel nostro caso ,
contengono la cosiddetta “smoking gun”…
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
39. Outline
Introduzione
Dropbox
Dropbox Forensics
Identificazione delle prove
Acquisizione delle prove
Analisi
Post-mortem Analysis
Live Analysis
Utilizzo di tecniche Anti – Forensics
Problematiche di sicurezza
Conclusioni
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
40. Acquisizione delle prove:
metodologia operativa
Nel caso generale Nel nostro caso
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Metodologia
operativa
Metodologia
operativa
Smontare il supporto di
memorizzazione dal computer a
cui si trova collegato e collegarlo
ad una macchina forense per
l'acquisizione
Acquisire l'immagine del disco,
utilizzando il computer oggetto di
analisi come sorgente e salvare il
risultato su un supporto esterno
rimuovibile o su una macchina
forense via rete
Abbiamo creato una macchina
virtuale sulla “macchina
forense”
Abbiamo acquisito l’immagine
del disco e della RAM della
macchina virtuale , contenente
lo smoking gun, e salvato il
risultato sulla “macchina
forense”
41. Acquisizione delle prove: Sistema
Operativo
Nel caso generale Nel nostro caso
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Sistema operativo
• I principali sistemi operativi
che offrono soluzioni
applicative per la copia
forense dei dati sono Linux e
Windows.
• Per sua natura il sistema
operativo Linux sembra
essere il più indicato per una
acquisizione dei dati in ottica
forense poiché è in grado di
rendere un hard
disk accessibile solamente in
lettura, garantendo a livello
software integrità.
Sistema operativo
42. Acquisizione delle prove:
Software di acquisizione
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Nel caso generale Nel nostro caso
Software di
acquisizione
Software di
acquisizione
Linux:
1. Helix 3 Enterprise
2. DEFT
3. CAINE
4. Forlex
Windows:
1. FTK Imager
2. Encase
3. Drive Snapshot
FTK Imager
43. Acquisizione delle prove: Software di
acquisizione
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
FTK Imager è un programma di acquisizione dati che può essere utilizzato per fornire una
rapida anteprima del contenuto di un hard disk e, se necessario, crearne un'immagine
forense.
Per garantire l'integrità della copia questo software realizza una duplicazione bit-per-bit
del dispositivo. L'immagine è in questo modo identica all'originale, incluso lo spazio non
allocato e lo stack space.
Durante la fase di copia forense il programma verifica che l'hash dell'immagine realizzata e
quello dell'hard disk coincidano. Sono disponibili due funzioni di hash: Message Digest 5
(MD5) e Secure Hash Algorithm (SHA-1).
FTK Imager supporta i file system FAT12, FAT16, FAT32, NTFS, Ext2, Ext3, HFS, HFS+ e
Reiser.
Access FTK Imager
44. Acquisizione delle prove: Software di
acquisizione
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Visualizzare un’anteprima della struttura logica (partizioni,
cartelle e file) dell'hard disk.
Creare un’immagine forense dell'hard disk.
Visualizzare un’anteprima del contenuto di un’immagine
forense, precedentemente acquisita.
Esportare file e cartelle da un’immagine forense.
Calcolare l’hash (MD5 e SHA1) dell’immagine forense e di ogni
singolo file incluso nell’immagine stessa.
Access FTK Imager
45. Acquisizione delle prove: Software di
acquisizione
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Access FTK Imager
Consente l’acquisizione la creazione di copie forensi sia da un supporto
fisico che da un disco virtuale (es. file VMDK e NVRAM di VMWARE).
Supporta i formati di
acquisizione universalmente
riconosciuti.
46. Acquisizione delle prove: Software di
acquisizione
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Access FTK Imager
Ogni immagine acquisita è stata anche verificata attraverso il calcolo
dell’hash. Una volta verificata l’uguaglianza dei valori siamo sicuri di agire
su una immagine che rappresenta esattamente il supporto originale
47. Acquisizione delle prove: Software di
acquisizione
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Encase Image File
Format (.E01)
Rappresenta lo standard de facto per le analisi forensi ed è un formato
proprietario di Guidance Software Encase.
Ogni file (.E01) contiene:
Un header con le info del caso
il bitstream fisico del supporto acquisito dove ogni blocco contiene 64
settori (32 KB) e per il quale viene calcolata una checksum (Adler-32)
Un footer contenente l’hash MD5 dell’intero bitstream
48. Outline
Introduzione
Dropbox
Dropbox Forensics
Identificazione delle prove
Acquisizione delle prove
Analisi delle prove
Post-mortem Analysis
Live Analysis
Utilizzo di tecniche Anti – Forensics
Problematiche di sicurezza
Conclusioni
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
49. Analisi delle prove - Autopsy
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Per l’analisi delle prove utilizziamo
50. Analisi - Autopsy
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Autopsy è una piattaforma open per l’analisi forense
e fornisce un’interfaccia grafica che permette un
facile utilizzo delle funzionalità di Sleuth Kit.
L’uso di un’interfaccia grafica permette di poter
analizzare facilmente qualsiasi disco.
Autopsy fornisce informazioni sulla cache del disco,
sulle ultime azioni effettuate, i contenuti del disco,
consentendo quindi un analisi completa a chi deve
compiere l’investigazione.
Sviluppato per sistemi Windows, Mac OS e Linux
51. Analisi - Autopsy
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
52. Analisi delle prove
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Dropbox fornisce alcune informazioni utili ai fini investigativi
Per ogni file un elenco delle attività svolte e delle versioni di quel file
53. Analisi delle prove
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Dropbox fornisce alcune informazioni utili ai fini investigativi
Elenco di tutte le sessioni web dove si è rimasti autenticati per oltre 30
giorni attraverso il tasto ‘Remember me’
54. Analisi delle prove
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Dropbox fornisce alcune informazioni utili ai fini investigativi
Elenco di tutti i dispositivi che hanno effettuato l’accesso a Dropbox.
E’ possibile visualizzare IP e versione del client utilizzato.
Registra solo l’accesso attraverso client.
55. Analisi delle prove
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Dropbox fornisce alcune informazioni utili ai fini investigativi
La possibilità di rinominare le macchine e di scollegarle rende queste
informazioni poco attendibili.
56. Analisi delle prove
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Analisi delle tracce riscontrabili sull’hard
disk e sulla memoria centrale, dopo
l’utilizzo di Dropbox.
Attraverso Autopsy abbiamo effettuato
una serie di query sulle immagini dei
supporti acquisiti relative a keywords
significative e tentativo di ricostruire una
timeline delle attività utente.
57. Outline
Introduzione
Dropbox
Dropbox Forensics
Identificazione delle prove
Acquisizione delle prove
Analisi
Post-mortem Analysis
Live Analysis
Utilizzo di tecniche Anti – Forensics
Problematiche di sicurezza
Conclusioni
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
58. Post – Mortem Analysis : Base VM
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Base VM
Base VM (Windows version)
- Windows 7 Professional Edition 64 bit
- 1 GB RAM
- 10 GB Hard Disk
Base VM (Linux Version)
- Ubuntu Linux 13.04 amd-64bit
- 1 GB RAM
- 10 GB Hard Disk
Rappresenta la macchina ‘pulita’ dove l’utente non hai mai interagito con Dropbox in
nessuna modalità e non contiene nessun file oggetto di indagine.
Tuttavia ci saranno delle sorprese“..
59. Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Base VM
Occorrenze del termine ‘dropbox’ riscontrabili nei file:
- pagefile.sys
- index.dat
- msjint40.dll.mui
OSSERVAZIONE: il termine dropbox è presente su
una macchina priva di ogni interazione con Dropbox.
Nelle investigazioni digitali non basta ricercare dei risultati, ma occorre
analizzare la ragione di determinate occorrenze di keyword piuttosto che
trarre conclusioni dalla semplice presenza dei dati.
Post – Mortem Analysis : Base VM
60. Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Access VM
Attività utente
- L’utente apre Google Chrome.
- Si collega a www.dropbox.com
- Si autentica con i dati del suo account
- Apre e visualizza ogni file presente in Dropbox.
- L’utente non fa il download esplicito dei file
Post – Mortem Analysis : Access VM
61. Post – Mortem Analysis : Access VM
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Access VM
Risultati
https://dl-web.dropbox.com/get/enron3111w.docx?w=
AAA6TEcB0Odk4CoKAU6AeBsZE5xq0o8OJiaYAD-rziE2gd
https://dl-web.dropbox.com/get/enron3111.rtf?w=AACeQfM7-u2i-_-
eSei-7DlvlYw6enVHP03-jO-eYDnxg
https://photos-6.dropbox.com/t/0/
AABs7MOS72580CEZ6XinCbai76s2laZZ7Qi_Dt5hZjMtiA/12/1656376
17/jpeg/32x32/3/_/1/2/paesaggi.jpg/QVqFM51UNHM_jnCaWaDgrDttSi
0NqFx9b9hfOxBfu-g?size=800x600f
https://dl-web.dropbox.com/get/enron3111w.docx?w=
AAA6TEcB0Odk4CoKAU6AeBsZE5xq0o8OJiaYAD-rziE2gd
https://dl-web.dropbox.com/get/enron3111.rtf?w=AACeQfM7-u2i-_-
eSei-7DlvlYw6enVHP03-jO-eYDnxg
62. Post – Mortem Analysis : Download VM
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Download VM
Attività utente
- L’utente apre Google Chrome.
- Si collega a www.dropbox.com
- Si autentica con i dati del suo account
- Scarica ogni singolo file sul suo Desktop
63. Post – Mortem Analysis : Download VM
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Download VM
Risultati
C:UsersSicurezza-downloadDownloadsenron3111w.docx
C:UsersSicurezzadownloadDownloadsenron3111w.docx.
C:UsersSicurezza-downloadDownloadsenron3111.rtf
C:UsersSicurezzadownloadDownloadsenron3111.rtf.
C:UsersSicurezzadownloadDesktopimmaginesic.jpg
C:UsersSicurezzadownloadDesktopimmaginesic.jpg.
C:UsersSicurezza-downloadDownloadsenron3111w.docx
C:UsersSicurezzadownloadDownloadsenron3111w.docx.
C:UsersSicurezza-downloadDownloadsenron3111.rtf
C:UsersSicurezzadownloadDownloadsenron3111.rtf.
I file sono stati scaricati da Dropbox ed aperti (risultano nella cartella
Documenti Recenti)
64. Post – Mortem Analysis : Upload VM
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Upload
Attività utente
- L’utente apre Google Chrome .
- Si collega a www.dropbox.com
- Scarica il client Drobpox 2.0.8
- Installa il client
- Accede a Dropbox con i dati del suo account
- Fa l’upload dei file su Dropbox
65. Post – Mortem Analysis : Upload VM
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Upload
Analisi del file History di Google Chrome
File location:
/Users/Alessandro/AppData/Local/Google/Chrome/User Data/Default/History
Risultati
https://www.dropbox.com/downloading?src=indexDropbox - Download
di Dropbox
https://dl.dropboxusercontent.com/u/17/Dropbox%202.0.8.exeG
https://d1ilhw0800yew8.cloudfront.net/client/Dropbox%202.0.8.exe/
https://www.dropbox.com/download?plat=win
https://www.dropbox.com/downloading?src=index
https://www.dropbox.com/
L’utente ha scaricato l’eseguibile per l’installazione del
client Dropbox versione Windows.
66. Post – Mortem Analysis : Upload VM
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Upload
Analisi delle directory di installazione
/Users/Alessandro/AppData/Roaming/Dropbox
/Users/Alessandro/AppData/Roaming/Dropbox/bin/Dropbox.exe
Analisi dei link creati
/Users/Alessandro/AppData/Roaming/Microsoft/Windows/Start
Menu/Programs/Dropbox
/Users/Alessandro/AppData/Roaming/Microsoft/Windows/Start
Menu/Programs/Dropbox/Dropbox Website.URL
67. Post – Mortem Analysis : Upload VM
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Upload
File relativi all’eseguibile del client
/Windows/Prefetch/DROPBOX.EXE-3133C9A9.pf
/Windows/System32/config/SYSTEM
/Windows/System32/config/SOFTWARE
Eccezioni del Firewall di Windows
Nel seguente file :
/Windows/System32/winevt/Logs/Microsoft-Windows-Windows
Firewall With Advanced Security%4Firewall.evtx
è stata riscontrata la seguente eccezione :
Microsoft-Windows-Windows Firewall With Advanced
Security/Firewall {21B2B193-49FB-4661-AF5D-E90C3723025B}
Dropbox
C:UsersAlessandroAppDataRoamingDropboxbinDropbox.exe
68. Post – Mortem Analysis : Upload VM
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Upload
Files Uploaded
I file del dataset si trovano in
/Users/Alessandro/Dropbox
Nella stessa cartella ci sono anche i file di default forniti
con Dropbox e che sono
Guida rapida di Dropbox.pdf
Boston City Flow.jpg
Costa Rican Frog.jpg
Pensive Parakeet.jpg
Attraverso il calcolo dell’Hash(MD5) possiamo
verificare l’effettiva identità dei file caricati.
69. Post – Mortem: Aggregation.dbx
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
L’analisi del file aggregation.dbx fornisce una lista di tutte i file presenti nella
cartella Dropbox e di cui è stato fatto l’upload.
File cifrato ma visualizzabile con Autopsy.
70. Outline
Introduzione
Dropbox
Dropbox Forensics
Identificazione delle prove
Acquisizione delle prove
Analisi
Post-mortem Analysis
Live Analysis
Utilizzo di tecniche Anti – Forensics
Problematiche di sicurezza
Conclusioni
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
71. Live Analysis: Username
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Nome utente dell’account in
chiaro: Progetto Sicurezza
Unisa
72. Live Analysis: Password
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Password in chiaro:
2013_projec
73. Live Analysis: E-mail
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
In caso di accesso tramite browser, l’identificazione dei dati di accesso risulta
molto semplice. Le info si trovano nei tag email login_email e
password login_password
74. LiveAnalysis: client Request ID
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Ogni utente ha uno UserID
univoco che identifica
l’account.
75. LiveAnalysis: UserID e Server Time
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Server time dell’operazione
effettuata in formato Unix
Epoch
76. LiveAnalysis: UserID e Server Time
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Ogni richiesta effettuata dal
client Dropbox è identificata
da un request-id.
77. LiveAnalysis: Authentication Structure
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
La live analysis di una RAM di una macchina dove è stato eseguito
l’accesso via client a Dropbox presenta questa struttura di
autenticazione
78. LiveAnalysis: Authentication Structure
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
La live analysis di una RAM di una macchina dove è stato eseguito
l’accesso via client a Dropbox presenta questa struttura di
autenticazione
79. LiveAnalysis: Cache di Dropbox
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Dropbox utilizza la cartella Dropbox.dropbox.cache, creando al suo
interno un file temporaneo.
Utilizzo di una cartella di
cache da parte del client
Drobpox
80. LiveAnalysis: Cache di Dropbox
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Il contenuto del file temporaneo di cache è visualizzabile, attraverso
Autopsy, esaminando il file delle pagine pagefile.sys
81. LiveAnalysis: root_ns e host-id
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
root_ns : 264634628 univoco per ogni account e indipendente
dall’host che accede
Namespace della cartella di
root dell’account Dropbox
82. LiveAnalysis: root_ns e host-id
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
host_id che identifica il device che ha acceduto all’account
Host-id del device che
accede all’account
83. Outline
Introduzione
Dropbox
Dropbox Forensics
Identificazione delle prove
Acquisizione delle prove
Analisi
Post-mortem Analysis
Live Analysis
Utilizzo di tecniche Anti – Forensics
Problematiche di sicurezza
Conclusioni
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
84. Utilizzo di tecniche Anti-Forensics
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Uninstall VM
Attività utente
- Disinstalla il client Dropbox
85. Utilizzo di tecniche Anti-Forensics
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Uninstall VM
Se il client è stato disinstallato, quali tracce possiamo
riscontrare?
Nella cartella /Users/Alessandro/AppData/Roaming
sono ancora presenti le cartelle
- /bin
-/installer
-/shelltext
e il file DropboxExt64.19.dll.
Nella cartella Dropbox sono ancora presenti i file
uploaded e file di esempio di Dropbox.
86. Utilizzo di tecniche Anti-Forensics
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Eraser VM
Attività utente
- I file di Dropbox scaricati vengono
cancellati utilizzando il programma
Eraser.
87. Utilizzo di tecniche Anti-Forensics
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Eraser VM
Risultati della navigazione Internet
http://eraser.heidi.ie/download.phpEraser
:Downloads
http://sourceforge.net/projects/eraser/files/Eraser
%206/6.0.10/Eraser%206.0.10.2620.exe/download
Download Eraser from SourceForge.net
http://sourceforge.net/projects/eraser/?source=dlp
Eraser | Free Security & Utilities software
downloads at SourceForge.net
88. Utilizzo di tecniche Anti-Forensics
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
CCleaner VM
Attività utente
- Utilizzo di Ccleaner per cancellare le
attività svolte su Internet.
89. Utilizzo di tecniche Anti-Forensics
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
CCleaner VM
Risultati
http://www.piriform.com/ccleaner/downloadCClea
ner - Download
http://www.piriform.com/downloadPiriform -
Download
http://www.piriform.com/ccleaner/download/stan
dardCCleaner - Standard
C:UsersEnricoDownloadsccsetup401.exeC:User
sEnricoDownloadsccsetup401.exe
90. Utilizzo di tecniche Anti-Forensics
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
CCleaner VM
Nonostante l’utilizzo di strumenti anti-forensics
come Eraser e Ccleaner rileviamo
91. Utilizzo di tecniche Anti-Forensics
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
CCleaner VM
Nonostante l’utilizzo di strumenti anti-forensics
come Eraser e Ccleaner abbiamo rilevato
92. Outline
Introduzione
Dropbox
Dropbox Forensics
Identificazione delle prove
Acquisizione delle prove
Analisi
Post-mortem Analysis
Live Analysis
Utilizzo di tecniche Anti – Forensics
Problematiche di sicurezza
Conclusioni
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
93. Problematiche di sicurezza
Ci siamo chiesti
E’ possibile ricreare delle tracce fasulle che mostrino l’accesso a
Dropbox anche se questo non è avvenuto?
E’ possibile nascondere le tracce dell’accesso a Dropbox?
E’ possibile alterare le tracce dell’accesso a Dropbox?
Quali sono le tecniche di attacco possibili per avere accesso ai
dati di altri utenti e/o creare tracce false ?
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
94. Problematiche di sicurezza
Attacchi basati sulla deduplication e hash values.
Utilizzo di un proxy server.
Utilizzo di un fake client.
Incrimination Attack.
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
95. Problematiche di sicurezza: Attacchi
basati su deduplication e hash values
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Data deduplication: in caso di upload di file già presenti sui server
Dropbox, il servizio richiede il trasferimento solo delle parti modificate.
Ogni file diviso in chunks di al più 4 Mb.
Quando si aggiunge un file alla cartella Dropbox, il client calcola gli hash
SHA-256 di tutti i chunks di cui è composto il file e li invia al server.
I valori sono confrontati con quelli già presenti sul server e se necessario
viene richiesto l’upload.
Un file già esistente sul server viene semplicemente linkato al relativo
account per risparmiare traffico e costi di storage.
96. Problematiche di sicurezza: Attacchi
basati su deduplication e hash values
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
PROBLEMA: Il server confida nei valori calcolati dal client!
Dopo l’upload di un file, Dropbox calcola gli hash del file sui propri server
per validare la corretta trasmissione, confrontando tali valori con quelli
calcolati e trasmessi dal client.
Se essi coincidono il file viene linkato all’account corrispondente.
97. Problematiche di sicurezza: Attacchi
basati su deduplication e hash values
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Se conosciamo il valore hash del file
di un altro utente possiamo accedere
ad esso.
Spoofing dell’Hash Value trasmesso
dal client
Modifica della libreria Ncrypto
utilizzata dal client Dropbox per il
calcolo dell’hash.
Accesso al file di un utente differente.
98. Problematiche di sicurezza: Attacchi
basati su deduplication e hash values
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Tale attacco, nelle modalità descritte,
non è più possibile in quanto Dropbox
ha adottato la single user
deduplication, utilizzando gli hash per
l’upload solo in relazione al singolo
utente.
Sono comunque possibili attacchi in
modalità diversa.
99. Problematiche di sicurezza: Utilizzo
Proxy Server
Utilizzo di un proxy server che gestisca le connessioni con
Dropbox
Assenza di riferimenti sulla macchina client che dimostrino
l’interazione con Dropbox.
Distribuzione di un file, scaricato, a n utenti.
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
100. Problematiche di sicurezza: Utilizzo
Proxy Server
Dropbox mostrerà IP e
name – machine del
proxy.
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
101. Problematiche di sicurezza: Utilizzo
Proxy Server
Il proxy server scarica il file per
conto dell’utente A e lo
distribuisce agli utenti B e C che
non risulteranno su Dropbox.
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
102. Problematiche di sicurezza: Fake Client
Sviluppo di un fake client.
Applicazione Dropbox
Creazione di tracce fasulle sulla macchina client
Utilizzo delle API di Dropbox in Python
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
103. Problematiche di sicurezza:
Incrimination Attack
Dropbox non utilizza un meccanismo di validazione dell’account in fase di
creazione.
L’avversario, conoscendo l’indirizzo email della vittima, può registrare un
account con quel’indirizzo.
L’avversario può fare l’upload di materiale illecito utilizzando l’account della
vittima.
L’avversario può avvisare le autorità circa il materiale illecito caricato oppure
diffamare la vittima.
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
104. Outline
Introduzione
Dropbox
Dropbox Forensics
Identificazione delle prove
Acquisizione delle prove
Analisi
Post-mortem Analysis
Live Analysis
Utilizzo di tecniche Anti – Forensics
Problematiche di sicurezza
Conclusioni
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
105. Conclusioni
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Il nostro lavoro ha messo in luce alcune considerazioni e informazioni che sono
emersi rispetto all’articolo di Quick D, Choo K.K, "Dropbox analysis: Data remnants on
user machines", 2013, Digital Investigation, vol.10, Issue 1, pp. 1-16, che risultano rilevanti
per l’analisi forense e per la sicurezza:
La presenza di strutture dati e pattern ben definiti riscontrabili nella
memoria, che permettono all’investigatore digitale di risalire con precisione
al nome utente del possessore dell’account, alla sua email e alla
password.
L’utilizzo da parte di Dropbox di uno user-id univoco e di una request-id
per ogni interazione con il server.
106. Conclusioni
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Il nostro lavoro ha messo in luce alcune considerazioni e informazioni che sono
emersi rispetto all’articolo di Quick D, Choo K.K, "Dropbox analysis: Data remnants on
user machines", 2013, Digital Investigation, vol.10, Issue 1, pp. 1-16, che risultano rilevanti
per l’analisi forense e per la sicurezza:
La presenza di un file di cache in locale, analizzabile tramite Autopsy, che
consente di visualizzare i file caricati dall’utente.
L’utilizzo di un host-ID univoco per ogni dispositivo collegato all’account.
Ogni cartella dell’account è identificata da un root_ns univoco.
107. Conclusioni
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Il nostro lavoro ha messo in luce alcune considerazioni e informazioni che sono
emersi rispetto all’articolo di Quick D, Choo K.K, "Dropbox analysis: Data remnants on
user machines", 2013, Digital Investigation, vol.10, Issue 1, pp. 1-16, che risultano rilevanti
per l’analisi forense e per la sicurezza:
La possibilità di estrarre informazioni rilevanti da uno dei file di database,
aggregation.dbx.
Possibili attacchi, come Incrimination Attacks, di una banalità e facilità
estrema, realizzabili anche da non specialisti dell’informatica.
108. Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
sicurezza.unisa@gmail.com