Co w Facebook’u piszczy, czyli media społecznościowe z perspektywy informatyki śledczej, facebook_forensic_semafor 2013

1,767 views
1,572 views

Published on

Co w Facebook’u piszczy, czyli media społecznościowe z perspektywy informatyki śledczej

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,767
On SlideShare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
8
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Co w Facebook’u piszczy, czyli media społecznościowe z perspektywy informatyki śledczej, facebook_forensic_semafor 2013

  1. 1. CO W FACEBOOK’U PISZCZY, CZYLI MEDIA SPOŁECZNOŚCIOWE Z PERSPEKTYWY INFORMATYKI ŚLEDCZEJ Krzysztof Bińkowski / NET COMPUTER / ISSA PL
  2. 2. Cel prezentacji Prezentacja zapozna uczestników z metodami i sposobami analizy śladów pozostawionych przez użytkowników korzystających z Facebook’a wraz z demonstracją niektórych rozwiązań ułatwiających taką analizę. Odpowiemy na pytanie czy ślady pozostawione na urządzeniu podczas korzystania z Facebook’a mogą wspomóc proces analizy informatyki śledczej. Sprawdzimy, co w Facebook’u piszczy i czy Facebook’wy protokół wymiany jest taki straszny jak go malują.
  3. 3. Agenda Wstęp Trochę teorii … • Facebook web vs Facebook Apps • Facebook Artifacts • Facebook Protocol Trochę praktyki … • Gdzie można wyszukać informacje • W jaki sposób i za pomocą jakich narzędzi • Protokół Facebook w praktyce Urządzenia mobilne … • Akwizycja danych • Analiza danych na przykładzie iOS i Android
  4. 4. Zamiast wstępu
  5. 5. Statystyki źródło: http://www.socialbakers.com/facebook-statistics/poland (25.02.2013) źródło: http://blog.sotrender.com/pl/2013/01/polski-facebook-w-2012-roku-sotrender-podsumowuje-czesc-2/
  6. 6. Najbardziej popularne sposoby korzystania z Facebook’a • Przeglądarka internetowa • Aplikacja mobilna Facebook
  7. 7. Facebook z perspektywy informatyki śledczej Ślady pozostawione przez korzystanie z Facebook’a w dowolnej formie na komputerze lub urządzeniu mobilnym Ślady zawierają informacje, które mogą być powiązane z określonym zdarzeniem, czynnością lub zachowaniem użytkownika
  8. 8. Facebook z perspektywy informatyki śledczej Co można ujawnić? Gdzie można ujawnić? W jaki sposób można ujawnić ? W jaki sposób można zaprezentować ujawnione dane ?
  9. 9. Co można ujawnić ? Wyszukiwanie znajomych Publikacja postów na własnej tablicy Komentowanie na tablicy innych osób Tworzenie wydarzeń (wysyłanie wiadomości do grupy) Wiadomości/rozmowy (chat) Zdjęcia powiązane z profilem danej osoby inne
  10. 10. Gdzie można ujawnić ślady? Komputery: • W pamięci RAM • W pamięci podręcznej (cache) przeglądarki • W plikach pagefile.sys, hyberfill.sys • W niezalokowanych obszarach dysków, slack space • W punktach przywracania systemu • Kopiach zapasowych Urządzenia mobilne: • Analiza logiczna • Analiza fizyczna (dump)
  11. 11. W jaki sposób można ujawnić ? Automatyczny – oprogramowanie komercyjne, lub parsery wspomagające analizę Ręczny – Przeszukanie danych pod kątem charakterystycznych znaczników lub URL’i
  12. 12. W jaki sposób można ujawnić ? Pomocne narzędzia komercyjne: • IEF (INTERNET EVIDENCE FINDER) • Internet Examiner (CacheBack) • AccessData Forensic Tollkit, EnCase • inne
  13. 13. W jaki sposób można zaprezentować ujawnione dane ? Raporty automatyczne Raporty ręczne TimeLine ujawnionych aktywności użytkownika
  14. 14. Facebook protocol Open Graph Protocol JSON (JavaScript Object Notation) Charakterystyczne artefakty dla wypowiedzi (feed), komentarzy (comment), wiadomości i rozmów (message,chat) Umieszczone w RAM i pamięci podręcznej przeglądarki
  15. 15. Comment Format protokołu Facebook’a ••• class="actorPic UIImageBlock_Image UIImageBlock_SMALL_Image" href="«tester’s profile URL»" tabindex="-1"><img class="uiProfilePhoto uiProfilePhotoMedium img„ src="http://static.ak.fbcdn.net/rsrc.php/v1/y9/r/IB7NOFm Pw2a.gif" alt="" /></a><div class="commentContent UIImageBlock_Content UIImageBlock_SMALL_Content"><a class="actorName" href="«tester’s profile URL»" datahovercard="/ ajax/hovercard/user.php?id=«tester’s profile id»">«tester’s full name»</a> <span datajsid=" text">u200e«content of comment»</span> ••• Źródło: Facebook Forensics - Valkyrie-X Security Research Group
  16. 16. News Feed Format protokołu Facebook’a ••• class="actorPic UIImageBlock_Image UIImageBlock_SMALL_Image" href="«helper’s profile URL»" tabindex="-1"><img class="uiProfilePhoto uiProfilePhotoMedium img" src="«helper’s profile picture»" alt="" /></a><div class="commentContent UIImageBlock_Content UIImageBlock_SMALL_Content"><a class="actorName" href="«helper’s profile URL»" datahovercard="/ ajax/hovercard/user.php?id=«helper’s profile id»">«helper’s full name»</a> <span datajsid=" text">u200e«content of reply»</span><div class="commentActions fsm fwn fcg"><abbr title="«local time»" data-date="«time in GMT-7»" class="timestamp">«last post’s time» ••• Źródło: Facebook Forensics - Valkyrie-X Security Research Group
  17. 17. Chat / Message 7"}],2],["m_jsonp_6_3",["WebMessengerApp","m_jsonp_6_2","m_jsonp_6_4"],[{"__m":"m_js onp_6_2"},{"threads":[{"thread_id":"id.160376594120062","last_action_id":"1362349785192 000000","participants":["fbid:100005302987775","fbid:1251344752"],"name":null,"snippet":" Dzien dobry wieczor, proponuje kontakt telefoniczny w dniu jutrzejszym","snippet_has_attachment":false,"is_forwarded_snippet":false,"snippet_attachm ents":[],"snippet_sender":"fbid:100005302987775","unread_count":0,"message_count":1,"i mage_src":"","timestamp_absolute":"Sunday","timestamp_relative":"11:29pm","timestamp_t ime_passed":1,"timestamp":1362349784958,"server_timestamp":1362349784958,"mute_s ettings":[],"is_canonical_user":true,"is_canonical":true,"canonical_fbid":1251344752,"is_sub scribed":true,"root_message_threading_id":"u003C1362349782015:0ea5ebcf2465e9f02u0040mail.projektitan.com>","folder":"inbox","is_archived":false,"chat_cl ear_time":1,"mode":2,"recipients_loadable":true},{"thread_id":"id.515123928526883","last_action_id":" 1362348464930000000","participants":["fbid:686593348","fbid:100005302987775"],"name": null,"snippet":"Na placu Pigalle... Zuzanna lubi je tylko jesieniu0105","snippet_has_attachment":false,"is_forwarded_snippet":false,"snippet_attac hments":[],"snippet_sender":"fbid:686593348","unread_count":0,"message_count":4,"image _src":"","timestamp_absolute":"Sunday","timestamp_relative":"11:07pm","timestamp_time_ passed":1,"timestamp":1362348464745,"server_timestamp":1362348464745,"mute_setting s":[],"is_canonical_user":true,"is_canonical":true,"canonical_fbid":686593348,"is_subscribe d":true,"root_message_threading_id":"u003C1362347053408:0-
  18. 18. Zdjęcia hdd_imag_FC_last.E01/Partition 2/NONAME [NTFS]/[root]/Users/Jan Przykladowy/AppData/Local/Microsoft/Windows/Temporary Internet Files/Low/Content.IE5/IFMBPPP7/49221_686593348_3574_q[1].jpg hdd_imag_FC_last.E01/Partition 2/NONAME [NTFS]/[root]/Users/Jan Przykladowy/AppData/Local/Microsoft/Windows/Temporary Internet Files/Low/Content.IE5/7VZUYBJS/203438_100005302987775_574473619_q[1].jpg http://www.facebook.com/profile.php?id=100005302987775
  19. 19. Przydatne metadane Metadata Field Uri fb_item_type parent_itemnum thread_id recipients recipients_id album_id post_id application client) user_img user_id account_id Description Unified resource identifier of the subject item Identifies item as Wallitem, Newsitem, Photo, etc. Parent item number - sub items are tracked to parent Unique identifier of a message thread All recipients of a message listed by name All recipients of a message listed by user id. Unique id number of a photo or video item Unique id number of a wall post application used to post to Facebook (i.e, from an iPhone or social media url where user profile image is located Unique id of the poster/author of a Facebook item Unique id of a users account
  20. 20. Przydatne metadane Metadata Field Account Name user_name created_time updated_time To to_id Link comments_num picture_url MD5 hash Ingestion Tags Description The account name to which the account_id is linked display name of poster/author of a Facebook item When a post or message was created When a post or message was revised/updated Name of user whom a wall post is directed to Unique id of user whom a wall post is directed to url of any included links Number of comments to a post url where picture is located The applicable MD5 hash value for the item The UTC date/time the item was ingested into the index The tag(s) which have been applied to this item.
  21. 21. • IEF – w praktyce • AccessData FTK w praktyce • Zdjęcia -> ID profilu
  22. 22. Urządzenia mobilne Wymagają szczególnego podejścia Akwizycja logiczna - Lista aplikacji (PLIST) Akwizycja fizyczna (dump) iOS, Android ( dość trudna i nie zawsze możliwa) -PLIST, bazy SQLite Backup iTunes, Android
  23. 23. W jaki sposób można ujawnić ? Pomocne narzędzia komercyjne: • Oxygen Forensic Analyst • MPE+ Mobile Phone Forensics • XRY • SQL Viewer, PLIST viewer • inne
  24. 24. iOS PLIST Bazy SQLlite iTunes Backup – (C:Users[user]AppDataRoamingApple ComputerMobileSyncBackup[unique identifier])
  25. 25. Android Aplikacja Baza SQLite Backup Android
  26. 26. Analiza iOS, Android • Oxygen Forensic
  27. 27. Podsumowanie Ujawnienie śladów aktywności na Facebook’u w głównej mierze zależy od: • • • • • Zabezpieczonego materiału dowodowego Rodzaju wykonanej akwizycji danych Rodzaju szukanych danych Zastosowanych narzędzi Czasu analizy …
  28. 28. Pytania ? • Dziękuję za uwagę kb@netcomputer.pl

×