SlideShare a Scribd company logo

Digital Forensics

Università Degli Studi Di Salerno
Università Degli Studi Di Salerno

Presentazione Digital Forensics

Internet
1 of 115
Browser Forensics Docente Prof. Raffaele Pizzolante Studente Giorgio Vitiello Anno Accademico 2019-2020
OUTLINE ❑ Memory Forensics ❑ Web Browser Forensics ❑ The Onion Router ❑ Google Chrome ❑ Microsoft Edge 2
1. Memory Forensics Introduzione
Memory Acquisition LIVE ANALYSIS Analisi di un Live System Live System: Sistema in fase di attività In tali sistemi potrebbero esserci prove che sarebbero difficili da acquisire nel caso il sistema venisse spento POST MORTEM ANALYSIS Analisi di un Dead System Dead System: Sistema non in fase di attività In tali sistemi i dati in RAM e Cache sono persi 4
Memory Acquisition ❑ Processo di acquisizione di un Memory dump ❑ Memory dump: istantanea del contenuto della memoria RAM ❑ Un Memory dump può essere acquisito da tool esterni Tuttavia, talvolta, è il sistema operativo stesso a produrlo 5
Memory Acquisition ❑ Memory dump in formato RAW ❑ Memory dump prodotti automaticamente dal S.O. [in sistemi Windows-based]: ❏ Memory dump prodotto in seguito ad un grave crash di sistema ❏ Memory dump prodotto dal processo di ibernazione 6
Memory Acquisition DumpIt DumpIt è utilizzabile su sistemi a 32 bit (x86) e su sistemi a 64 bit (x64). Esso è un tool con interfaccia a linea di comando, capace di acquisire memory dump, in formato RAW, e di effettuare la comparazione tramite una funzione di hash FTK Imager FTK (Forensic Toolkit) Imager è un software sviluppato da AccessData che permette di creare immagini forensi e memory dump di differenti supporti 7
Memory Analysis ❑ Processo di analisi di un Memory dump ❑ Essa viene fatta attraverso i seguenti tool: ❏ Volatility ❏ Bulk Extractor 8
Memory Acquisition Bulk Extractor Esso estrae informazioni utili senza analizzare il file system o le strutture del file system. I risultati possono essere facilmente ispezionati, analizzati o elaborati con strumenti automatizzati. Attraverso Bulk Extractor si possono individuare ed estrarre diverse tipologie di dati tra i quali: ❑ Numero di carta di credito ❑ Indirizzi e-mail ❑ URL ❑ Ricerche online ❑ Informazioni di Siti Web ❑ Profili di social network Volatility Volatility è un framework open source. Esso permette di estrarre specifiche informazioni dal memory dump, su cui si sta conducendo l’analisi, tramite l’utilizzo dei plugin. Supporta diversi formati di memory dump tra i quali: ❑ Formato RAW (estensione .dd, .img, .dmp, .mem, ...) ❑ Memory dump automaticamente prodotti da sistemi Windows-based (relativi a crash/ibernazioni) ❑ Memory dump acquisiti da Virtual Machine 9
2. Web Browser Forensics Introduzione
Web Browser Forensics I browser web sono oggi giorno utilizzati non più esclusivamente sui PC, ma anche sugli smartphone, sui tablet ecc. 11 Fonte: https://favpng.com/png_view/iphone-mobile-browser-iphone-web-browser-ipad-maxthon-png/fxsuxvpi
Web Browser Forensics 12Fonte: https://pctempo.com/migliori-browser/
Web Browser Forensics Non è possibile fornire una soluzione universale per l’analisi di più browser 13 Fonte: https://www.pngitem.com/middle/ihwTJho_solution-png-7-png-image-transparent-png/
Web Browser Forensics | Obiettivi ❑ Cronologia di navigazione ❑ Password memorizzate ❑ Cookie di sessione ❑ Cache 14 Fonte: https://www.kindpng.com/imgv/wbTwbm_goals-png-clipart-goal-icon-png-transparent-png/
3. The Onion Router TOR
The Onion Router ❑ Tor è un progetto open-source sviluppato da “The Free Haven Project” ❑ Tor è una rete di tunnel virtuali e questo suo sistema garantisce alle persone e alle organizzazioni privacy e sicurezza su Internet ❑ Protocollo utilizzato: onion routing Garantisce privacy del mittente e del ricevente 16
17 The Onion Router Fonte: https://1technation.com/tech-savvy-dark-side-onion-router/
The Onion Router ❑ Tipi di nodi: ❏ Client ❏ Middleman relay ❏ Exit relay ❏ Bridge relay 18
ESPERIMENTOTOR 19
Virtual Machine Utilizzate Edizione Windows 10 Pro Versione 1709 Build 16299.98 Tipo S.O. 64-bit 20 Edizione Kali Rolling Versione 2020.2 Tipo S.O. 64-bit
Accesso a TOR Una volta cliccato su Start Tor browser si aprirà il browser Tor con il motore di ricerca DuckDuckGo 21
Ricerca Pagine Sito Web Attività Account Utilizzato https://www.cybersecurity360.it/ Scroll pagina e apertura di una sezione “Ransomware” https://www.gazzetta.it/ Scroll pagina e apertura di una sezione “Serie A” https://thehackernews.com/ Scroll pagina e apertura di una sezione “Cyber Attacks” https://outlook.live.com/owa/ Accesso a hotmail ed apertura di un’email ricevuta giorap94@hotmail.it 22
Dump Memoria 23
Dump Memoria 24
Dump Memoria 25 Tramite il tasto “Browse” si specifica dove memorizzare il file relativo al memory dump Qui specifichiamo il nome del file relativo al memory dump Spuntando l’opzione “Include pagefile” acquisiamo anche il file di paging Mediante il tasto “Capture Memory” avviamo il processo di creazione del memory dump
Analisi dei file estratti 26 Nome file memdump.mem pagefile.sys Dimensione 2.15 GB 1.21 GB ❑ Volatility: pslist, pstree, netscan ❑ Bulk Extractor: ricerca mediante apposite stringhe ❑ Page Brute: ricerca di stringhe all’interno dell’output
Volatility | imageinfo 27 Al fine di analizzare, in maniera più accurata possibile il memory dump, è necessario conoscere il profilo del sistema operativo, ossia, la tipologia, versione, ecc.
Volatility | Pslist 28
Volatility | Pstree 29
Volatility | Netscan 30
Volatility | Risultati firefox.exe 31 Pslist Pstree Netscan Data inizio attività ⱱ ⱱ ✗ Data fine attività ✗ ✗ ✗ Totali evidenze 8 8 172
Volatility | Risultati tor.exe 32 Pslist Pstree Netscan Data inizio attività ⱱ ⱱ ⱱ Data fine attività ✗ ✗ ✗ Totali evidenze 1 1 179
Volatility | Risultati 33 Artefatti Pslist 82 Pstree 83 Netscan 438 Totale 603
Bulk Extractor 34 Il tool consente di estrarre varie informazioni su un certo file dato in input tra cui numeri di carta di credito, indirizzi email, URL, ecc.
Bulk Extractor | packets.pcap 35 Indirizzo IP da ricercare Data per la quale si supponga sia stato utilizzato l’IP specificato prima Invio Query Risultato Query
36 Bulk Extractor | domain_histogram.txt Domain N° mozilla.org 25 www.mozilla.org 1 firefox.mozilla.org 1 mozilla.com 13 addons.mozilla.org 5 developer.mozilla.org 1 support.mozilla.org 1 accounts.firefox.com 4 bugzilla.mozilla.org 1
37 Bulk Extractor | domain_histogram.txt Domain N° torproject.org 14 www.torproject.org 2 blog.torproject.org 1 trac.torproject.org 1
38 Bulk Extractor | domain_histogram.txt Domain N° cybersecurity360.it 3 gazzetta.it 39 hackernews.com 4 outlook.live.com 3 login.live.com 1
39 Bulk Extractor | email_histogram.txt ❑ Molte occorrenze email estratte da questo file ❑ Tra le evidenze spicca l’email usata per accedere a login.live.com (giorap94@hotmail.it) ❑ Sono state trovate anche gran parte delle email che hanno interagito con l’email presa in esame
40 Bulk Extractor | ip_histogram.txt ❑ Fornisce molte occorrenze di indirizzi IP ❑ IP individuato precedentemente 137.74.32.26 ❑ Tale IP corrisponde come abbiamo visto ad un nodo TOR
41 Bulk Extractor | url_histogram.txt URL N° https://www.cybersecurity360.it/nuove-minacce/ranso mware/ 12 https://www.gazzetta.it/Calcio/Serie-A/ 127 https://thehackernews.com/search/label/Cyber%20Att ack 6 https://login.live.com/login.srf?wa=wsignin1.0&rpsnv=1 3&checkda=1&ct=1592786684.43432&rver=7.1.6819.0&w p=MBI_SSL&wreply=https%3a%2f%2f 44 https://duckduckgo.com 109 https://duckduckgo.com/d.js?q=cybersecurity360&l=u s-en&s=0&dl=en&ct=IN&ss_mkt=us&vqd=3-2206166967 04541622751516102754867026351-881699296565836714 6073024105080098458&p_ent=&ex=-1&sp=1&v7exp=a& sltexp=a 1
Bulk Extractor | Risultati 42 Artefatti packets.pcap 513 domain_histogram.txt 48225 email_histogram.txt 6050 ip_histogram.txt 1026 url_histogram.txt 62054 Totale 117898
43 Analisi del pagefile.sys ❑ L’analisi di tale file verrà fatta mediante il tool Page Brute ❑ Analizza il file pagefile.sys mediante firme basate su YARA ❑ Il risultato del tool sarà una cartella contenente tante directory quante sono le firme su cui si ha avuto un match positivo con le firme date in input insieme al file di paging
Page Brute 44 Il risultato di tale comando è contenuto nella cartella PAGE_BRUTE-2020-06-23- 04-46-45-RESULTS e ci mostra la creazione di tre cartelle contenente i blocchi che hanno avuto un riscontro con le regole YARA di default
Page Brute Nella cartella webartifact_html ci sono informazioni relative agli identificatori html 45
Page Brute Tramite ricerca per stringhe come “tor” o “firefox” non è stato trovato nulla ma abbiamo tracce di siti web visitati dall’utente 46
Risultati finali | TOR 47 Artefatti Volatility 603 Bulk Extractor 117898 Page Brute 69 Totale 118570
Il browser più popolare 4. Google Chrome
Google Chrome Il browser più veloce ed utilizzato dalla popolazione mondiale Il 69,8% della popolazione utilizza chrome 49Fonte: https://www.tomshw.it/smartphone/qual-e-il-browser-piu-utilizzato-nel-2020/
Google Chrome C:UsersNomeUtenteApp DataLocalGoogleChrome UserDataDefault 50
Analisi degli artefatti di Chrome ❑ Esamineremo il contenuto della cartella Default ❑ In tale cartella sono memorizzati gli artefatti ❑ Tutti gli artefatti dell’utente vengono memorizzati sul disco del dispositivo utilizzato da quest’ultimo 51
La cronologia Il file History è un database contenente la cronologia di navigazione degli utenti. Ad esempio, contiene tabelle relative alle URL visitate, ai download, alle keyword di ricerca ecc 52
ChromeHistoryView Questo strumento consente di esaminare il file relativo alla cronologia di navigazione, ovvero History 53
MyLastSearch Tale utility effettua una scansione dei file di cache e della cronologia del browser, individuando tutte le query di ricerca effettuate mediante i motori di ricerca 54
I Cookie File che i siti web creano per archiviare informazioni di navigazione degli utenti. Tipicamente, vengono utilizzati per analizzare il traffico web e sono necessari per le funzionalità di un sito 55 Fonte: https://www.pngegg.com/en/png-zxbdl
I Cookie | Tipi ❑ First party cookies: ❏ cookie impostati dal dominio del sito ❑ Third party cookies: ❏ cookies impostati da un sito web diverso da quello che si sta attualmente visitando 56
Accedere ai cookie Selezioniamo il menu di Chrome e successivamente Settings 57
Accedere ai cookie Nella sezione Privacy and security cliccare su Cookies and other site data 58
Accedere ai cookie Scorrendo la pagina clicchiamo sulla voce See all cookies and site data 59
Accedere ai cookie Otteniamo così la pagina contenente tutti i cookie memorizzati nel browser 60
Accedere ai cookie Selezionando un cookie, ci vengono fornite informazioni relative al nome, contenuto, dominio, percorso, l’ora di creazione, scadenza, ecc. 61
I Cookie ❑ Non esiste una struttura fissa per i cookie, per cui l’analista forense potrebbe trovarsi in difficoltà quando li va ad analizzare ❑ La soluzione migliore è utilizzare strumenti di visualizzazione dei cookie come ChromeCookiesView, in modo da ottenere informazioni più dettagliate sui cookie 62
Accedere ai cookie Esecuzione del tool ChromeCookiesView sulla macchina target 63
Password in Chrome Selezioniamo il menu di Chrome e successivamente Settings 64
Password in Chrome Dalle impostazioni, dalla voce Autofill, selezioniamo Password 65
Password in Chrome Cliccando sull’icona dell’occhio ci viene chiesta la password di sistema che in un’investigazione si presume non abbiamo purtroppo 66
ChromePass Con questo tool aggiriamo il problema e visualizziamo in chiaro le password contenute nel file Login Data di Chrome 67
Il file Top Sites Questo file contiene i siti che l’utente visita più frequentemente. Mediante DB Browser for SQLite possiamo notare che mostra semplicemente l’URL, il nome ed il rank dei siti più visitati dall’utente 68
Il file Preferences Questo tipo di file, che non va confuso con i preferiti (file bookmarks), contiene i settaggi personalizzati del browser definiti dall’utente 69
I Preferiti I preferiti o segnalibri sono URI (Uniform Resource Identifier) che indicano fondamentalmente dei collegamenti alle pagine web preferite, salvate dall’utente 70
I Preferiti Per ottenere maggiori dettagli come data di aggiunta del sito tra i preferiti ecc, è possibile aprire il file Bookmarks presente nella cartella Default mediante un editor testuale 71
I Preferiti Per interpretare il campo date_added che corrisponde alla data di aggiunta ai preferiti del sito si può utilizzare il tool DCode 72
La cache La cache memorizza in maniera trasparente i dati dei siti web visitati in modo da velocizzare successive richieste degli stessi 73 Fonte: https://www.heelpbook.net/2018/attivazione-browser-caching-apache-nginx-iis/
La cache La cartella Cache di Chrome è costituita da diversi file 74
ChromeCacheView L’utility consente di visualizzare nel dettaglio i contenuti della cartella Cache di Chrome 75
Risultati finali | Google Chrome 76 Evidenze ChromeHistoryView 200 MyLastSearch 80 ChromeCookiesView 288 ChromePass 4 DB Browser for SQLite 2 ChromeCacheView 1113 Totale 1687
Evidenze individuate ❑ Il file History fornisce all’investigatore forense informazioni sufficienti a ricostruire una timeline delle possibili attività dell’utente ❑ La cache dimostra che effettivamente l’utente ha visitato determinati siti ❑ Queste informazioni sono essenziali nell’ambito di frodi elettroniche o casi di non ripudiabilità 77
Il browser basato su Chromium 5. Microsoft Edge
Microsoft Edge Microsoft ha deciso di intraprendere una nuova strada abbandonando EdgeHTML e progettando una nuova versione del browser Edge basata su Chromium 79
Microsoft Edge 80 Fonte: https://pctempo.com/migliori-browser/
Microsoft Edge | Obiettivi ❑ Rendere il browser “libero” dal sistema operativo ❑ Rendere Edge un progetto Open Source ❑ Contribuire con altri team di sviluppo per garantire un’applicazione solida ❑ Aumentare la compatibilità dei siti web sviluppati 81
Browser Forensics Edge ❑ Ogni browser può differire da un altro in termini di estrazione di evidenze digitali ❑ L’investigatore forense deve essere in grado di “processare” le diverse tipologie di browser ❑ Vedremo come estrarre artefatti da Edge Chromium nelle prossime slides 82
Edge Chromium C:UsersNomeUtenteApp DataLocalMicrosoftEdge UserDataDefault 83
ChromeHistoryView Modificare il path in cui il tool va a recuperare le informazioni dal file History 84
ChromeHistoryView Lanciando il tool e selezionando l’URL di interesse, è possibile risalire ad informazioni più precise come ad esempio la data e l’ora di visita al sito 85
Clicchiamo Settings dal menù a tendina di Edge per accedere alle impostazioni Edge Chromium | I Cookie 86
Dalla sezione Site permissions, clicchiamo la voce Cookies and site data Edge Chromium | I Cookie 87
Selezionare See all cookies and site data e, successivamente verrà mostrato l’elenco dei cookie memorizzati dal browser Edge Chromium | I Cookie 88
Infine, per accedere alle informazioni dei cookie, basta selezionare il cookie di interesse Edge Chromium | I Cookie 89
Per un’analisi più “approfondita” dei cookie, è possibile aprire il file Cookies presente nella cartella Default del browser Edge Chromium mediante il tool ChromeCookiesView Edge Chromium | I Cookie 90
Funzione anti-tracciamento ❑ Nuova modalità di anti-tracciamento implementata nel nuovo Edge Chromium ❑ Caso d’esempio la visita ad una sezione del sito www.corriere.it 91
Selezioniamo tutti i cookie e poi clicchiamo sul tasto Delete Selected Cookies Edge Chromium | I Cookie 92
Nel caso del filtro Balanced, visitando una pagina del sito il corriere, mediante il tool ChromeCookieView sono stati individuati 68 cookie Edge Chromium | I Cookie 93
Nel caso del filtro Basic, visitando una pagina del sito il corriere, mediante il tool ChromeCookieView sono stati individuati 156 cookie Edge Chromium | I Cookie 94
Nel caso del filtro Strict, visitando una pagina del sito il corriere, mediante il tool ChromeCookieView sono stati individuati 60 cookie Edge Chromium | I Cookie 95
Funzione anti-tracciamento 96 Cookies Balanced 68 Basic 156 Strict 60
La cache del browser Edge è situata nella cartella C:UsersNomeUtenteApp DataLocalMicrosoftEdge UserDataDefaultCache Edge Chromium | La Cache 97
È possibile accedere alle informazioni dei file data mediante un editor esadecimale Edge Chromium | La Cache 98
Per ottenere informazioni più dettagliate sui dati di cache, possiamo rifarci al tool ChromeCacheView Edge Chromium | La Cache 99
Inoltre, altre informazioni di cache sui siti consultati dall’utente, sono ottenibili aprendo il file delle icone Favicons presente nella cartella Default mediante DB Browser for SQLite Edge Chromium | La Cache 100
Dal file Login Data è possibile accedere ad informazioni circa le credenziali di accesso ai siti web visitati come username e password ecc.. Edge Chromium | Dati di accesso 101
Per visualizzare tutte le password memorizzate dal browser, basta compiere due passaggi Edge Chromium | Dati di accesso 102
Dalla sezione Profiles, selezionare Passwords Edge Chromium | Dati di accesso 103
A questo punto è quindi possibile visualizzare le password che l’utente ha scelto di far memorizzare al browser Edge Chromium | Dati di accesso 104
Per essere in grado di rilevare le password mediante tale tool, occorre specificare il percorso della cartella Default del browser Edge da cui il tool estrarrà e decodificherà le password Edge Chromium | Dati di accesso 105
Immettiamo il percorso della cartella Default di Edge e successivamente clicchiamo su OK Edge Chromium | Dati di accesso 106
A questo punto ci verranno mostrate tutte le info relative a email e password in chiaro salvate sul browser dell’utente Edge Chromium | Dati di accesso 107
Edge Chromium | estrarre ulteriori informazioni ❑ Bookmarks e Bookmarks.bak ❏ contiene i collegamenti ai siti web preferiti dall’utente. Sono importanti perché aiutano a capire a quale tipo di contenuto l’utente incriminato è interessato maggiormente ❑ Preferences ❏ contiene i settaggi personalizzati del browser definiti dall’utente 108
Edge Chromium | estrarre ulteriori informazioni ❑ Top Sites ❏ tale file contiene informazioni sui siti a cui l’utente accede più frequentemente ❑ Shortcuts ❏ contiene le “scorciatoie” suggerite dal browser nella barra di ricerca quando l’utente ricerca il sito di interesse 109
Edge Chromium | estrarre ulteriori informazioni ❑ Current Session e Current Tabs ❏ contengono informazioni circa la sessione di navigazione attiva ed i relativi siti web aperti sulle schede del browser ❑ Last Session e Last Tabs ❏ questi due file contengono informazioni circa l’ultima sessione di navigazione trascorsa sul browser 110
Edge Chromium | estrarre ulteriori informazioni ❑ History Provider Cache ❏ come il file History, contiene ulteriori informazioni circa la cronologia di navigazione, sui cookie di sessione ecc. 111
Risultati finali | Microsoft Edge 112 Evidenze ChromeHistoryView 33 ChromeCookiesView 114 ChromeCacheView 2489 DB Browser for SQLite [Favicons] 11 DB Browser for SQLite [Login Data] 3 ChromePass 3 Totale 2650
Evidenze individuate ❑ Il file History fornisce all’investigatore forense informazioni sufficienti a ricostruire una timeline delle possibili attività dell’utente ❑ Grazie anche agli altri file analizzati si può dimostrare la gran parte delle azioni che l’utente ha compiuto attraverso il browser, evidenziando un eventuale abuso 113
Riferimenti Bibliografici Cybercrimine: Memory Forensics del browser TOR, utilizzato per navigare nel Deep Web ❑ Capitolo 2, 3 e 4 114 Browser Forensics di Microsoft Edge basato su Chromium: il nuovo browser di default di Microsoft Windows 10 ❑ Capitolo 3 e 4
115 Grazie! Domande? Contatti: ❑ igiorgio94@gmail.com

Recommended

Smau padova 2013 gianfranco tonello
Smau padova 2013 gianfranco tonelloSmau padova 2013 gianfranco tonello
Smau padova 2013 gianfranco tonelloSMAU
 
Snort React per Webfiltering : "Soluzioni per le Leggi-Lista"
Snort React per Webfiltering : "Soluzioni per le Leggi-Lista"Snort React per Webfiltering : "Soluzioni per le Leggi-Lista"
Snort React per Webfiltering : "Soluzioni per le Leggi-Lista"Camelug Fava
 
Backup di un sito Joomla! - Procedure semplici, veloci e sicure
Backup di un sito Joomla! - Procedure semplici, veloci e sicureBackup di un sito Joomla! - Procedure semplici, veloci e sicure
Backup di un sito Joomla! - Procedure semplici, veloci e sicureMarian Tanase
 
Djangoday lt 20120420
Djangoday lt 20120420Djangoday lt 20120420
Djangoday lt 20120420WEBdeBS
 
Jvm performance Tuning
Jvm performance TuningJvm performance Tuning
Jvm performance TuningMarco Sabatini
 
Introduzione all'Information Gathering
Introduzione all'Information GatheringIntroduzione all'Information Gathering
Introduzione all'Information GatheringSalvatore Lentini
 
Back to Basics, webinar 6: Messa in esercizio
Back to Basics, webinar 6: Messa in esercizioBack to Basics, webinar 6: Messa in esercizio
Back to Basics, webinar 6: Messa in esercizioMongoDB
 
BackBox Linux: Simulazione di un Penetration Test e CTF
BackBox Linux: Simulazione di un Penetration Test e CTFBackBox Linux: Simulazione di un Penetration Test e CTF
BackBox Linux: Simulazione di un Penetration Test e CTFAndrea Draghetti
 

Recommended

Smau padova 2013 gianfranco tonello
Smau padova 2013 gianfranco tonelloSmau padova 2013 gianfranco tonello
Smau padova 2013 gianfranco tonelloSMAU
 
Snort React per Webfiltering : "Soluzioni per le Leggi-Lista"
Snort React per Webfiltering : "Soluzioni per le Leggi-Lista"Snort React per Webfiltering : "Soluzioni per le Leggi-Lista"
Snort React per Webfiltering : "Soluzioni per le Leggi-Lista"Camelug Fava
 
Backup di un sito Joomla! - Procedure semplici, veloci e sicure
Backup di un sito Joomla! - Procedure semplici, veloci e sicureBackup di un sito Joomla! - Procedure semplici, veloci e sicure
Backup di un sito Joomla! - Procedure semplici, veloci e sicureMarian Tanase
 
Djangoday lt 20120420
Djangoday lt 20120420Djangoday lt 20120420
Djangoday lt 20120420WEBdeBS
 
Jvm performance Tuning
Jvm performance TuningJvm performance Tuning
Jvm performance TuningMarco Sabatini
 
Introduzione all'Information Gathering
Introduzione all'Information GatheringIntroduzione all'Information Gathering
Introduzione all'Information GatheringSalvatore Lentini
 
Back to Basics, webinar 6: Messa in esercizio
Back to Basics, webinar 6: Messa in esercizioBack to Basics, webinar 6: Messa in esercizio
Back to Basics, webinar 6: Messa in esercizioMongoDB
 
BackBox Linux: Simulazione di un Penetration Test e CTF
BackBox Linux: Simulazione di un Penetration Test e CTFBackBox Linux: Simulazione di un Penetration Test e CTF
BackBox Linux: Simulazione di un Penetration Test e CTFAndrea Draghetti
 
Richiami su Linux - Webmin - Reti di calcolatori
Richiami su Linux - Webmin - Reti di calcolatoriRichiami su Linux - Webmin - Reti di calcolatori
Richiami su Linux - Webmin - Reti di calcolatoriFulvio Corno
 
Dominare il codice legacy
Dominare il codice legacyDominare il codice legacy
Dominare il codice legacyTommaso Torti
 
Tdd e continuous delivery sull'infrastruttura
Tdd e continuous delivery sull'infrastrutturaTdd e continuous delivery sull'infrastruttura
Tdd e continuous delivery sull'infrastrutturaCodemotion
 
(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...
(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...
(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...Team per la Trasformazione Digitale
 
TDD e Continuous Delivery sull'infrastruttura
TDD e Continuous Delivery sull'infrastrutturaTDD e Continuous Delivery sull'infrastruttura
TDD e Continuous Delivery sull'infrastrutturaFilippo Liverani
 
SESAMO (application login automator): evoluzioni applicative e considerazioni...
SESAMO (application login automator): evoluzioni applicative e considerazioni...SESAMO (application login automator): evoluzioni applicative e considerazioni...
SESAMO (application login automator): evoluzioni applicative e considerazioni...AndrijaCiric1
 
Come funzione la cifratura dell’endpoint
Come funzione la cifratura dell’endpointCome funzione la cifratura dell’endpoint
Come funzione la cifratura dell’endpointSymantec
 
Profilazione utente in ambienti virtualizzati
Profilazione utente in ambienti virtualizzatiProfilazione utente in ambienti virtualizzati
Profilazione utente in ambienti virtualizzatiPietro Corona
 
Node.js - Server Side Javascript
Node.js - Server Side JavascriptNode.js - Server Side Javascript
Node.js - Server Side JavascriptMatteo Napolitano
 
Working between the clouds
Working between the cloudsWorking between the clouds
Working between the cloudsDavide Cerbo
 
ASP.NET performance optimization
ASP.NET performance optimizationASP.NET performance optimization
ASP.NET performance optimizationAndrea Dottor
 
SQL Server Workload Profiling
SQL Server Workload ProfilingSQL Server Workload Profiling
SQL Server Workload ProfilingGianluca Hotz
 
Performance e Drupal
Performance e DrupalPerformance e Drupal
Performance e DrupalVincenzo Di Biaggio
 
Abusing HTML 5 Client-side Storage
Abusing HTML 5 Client-side StorageAbusing HTML 5 Client-side Storage
Abusing HTML 5 Client-side Storageameft
 
XPages Tips & Tricks, #dd13
XPages Tips & Tricks, #dd13XPages Tips & Tricks, #dd13
XPages Tips & Tricks, #dd13Dominopoint - Italian Lotus User Group
 
Intrusion Detection Systems
Intrusion Detection SystemsIntrusion Detection Systems
Intrusion Detection Systemsjekil
 
Working between the clouds (versione completa)
Working between the clouds (versione completa)Working between the clouds (versione completa)
Working between the clouds (versione completa)Davide Cerbo
 
Cuckoo Sandbox: Automated malware analysis
Cuckoo Sandbox: Automated malware analysisCuckoo Sandbox: Automated malware analysis
Cuckoo Sandbox: Automated malware analysisjekil
 
Webinar Italiano: Back-to-Basics: Sessione 8 - Monitoraggio e Performance Tuning
Webinar Italiano: Back-to-Basics: Sessione 8 - Monitoraggio e Performance TuningWebinar Italiano: Back-to-Basics: Sessione 8 - Monitoraggio e Performance Tuning
Webinar Italiano: Back-to-Basics: Sessione 8 - Monitoraggio e Performance TuningMongoDB
 
BackBox Linux: Simulazione di un Penetration Test
BackBox Linux: Simulazione di un Penetration TestBackBox Linux: Simulazione di un Penetration Test
BackBox Linux: Simulazione di un Penetration TestAndrea Draghetti
 
Presentazione Laurea Magistrale
Presentazione Laurea MagistralePresentazione Laurea Magistrale
Presentazione Laurea MagistraleUniversità Degli Studi Di Salerno
 
Key reinstallation attacks forcing nonce reuse in wpa2
Key reinstallation attacks forcing nonce reuse in wpa2Key reinstallation attacks forcing nonce reuse in wpa2
Key reinstallation attacks forcing nonce reuse in wpa2Università Degli Studi Di Salerno
 

More Related Content

Similar to Digital Forensics

Richiami su Linux - Webmin - Reti di calcolatori
Richiami su Linux - Webmin - Reti di calcolatoriRichiami su Linux - Webmin - Reti di calcolatori
Richiami su Linux - Webmin - Reti di calcolatoriFulvio Corno
 
Dominare il codice legacy
Dominare il codice legacyDominare il codice legacy
Dominare il codice legacyTommaso Torti
 
Tdd e continuous delivery sull'infrastruttura
Tdd e continuous delivery sull'infrastrutturaTdd e continuous delivery sull'infrastruttura
Tdd e continuous delivery sull'infrastrutturaCodemotion
 
(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...
(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...
(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...Team per la Trasformazione Digitale
 
TDD e Continuous Delivery sull'infrastruttura
TDD e Continuous Delivery sull'infrastrutturaTDD e Continuous Delivery sull'infrastruttura
TDD e Continuous Delivery sull'infrastrutturaFilippo Liverani
 
SESAMO (application login automator): evoluzioni applicative e considerazioni...
SESAMO (application login automator): evoluzioni applicative e considerazioni...SESAMO (application login automator): evoluzioni applicative e considerazioni...
SESAMO (application login automator): evoluzioni applicative e considerazioni...AndrijaCiric1
 
Come funzione la cifratura dell’endpoint
Come funzione la cifratura dell’endpointCome funzione la cifratura dell’endpoint
Come funzione la cifratura dell’endpointSymantec
 
Profilazione utente in ambienti virtualizzati
Profilazione utente in ambienti virtualizzatiProfilazione utente in ambienti virtualizzati
Profilazione utente in ambienti virtualizzatiPietro Corona
 
Node.js - Server Side Javascript
Node.js - Server Side JavascriptNode.js - Server Side Javascript
Node.js - Server Side JavascriptMatteo Napolitano
 
Working between the clouds
Working between the cloudsWorking between the clouds
Working between the cloudsDavide Cerbo
 
ASP.NET performance optimization
ASP.NET performance optimizationASP.NET performance optimization
ASP.NET performance optimizationAndrea Dottor
 
SQL Server Workload Profiling
SQL Server Workload ProfilingSQL Server Workload Profiling
SQL Server Workload ProfilingGianluca Hotz
 
Abusing HTML 5 Client-side Storage
Abusing HTML 5 Client-side StorageAbusing HTML 5 Client-side Storage
Abusing HTML 5 Client-side Storageameft
 
Intrusion Detection Systems
Intrusion Detection SystemsIntrusion Detection Systems
Intrusion Detection Systemsjekil
 
Working between the clouds (versione completa)
Working between the clouds (versione completa)Working between the clouds (versione completa)
Working between the clouds (versione completa)Davide Cerbo
 
Cuckoo Sandbox: Automated malware analysis
Cuckoo Sandbox: Automated malware analysisCuckoo Sandbox: Automated malware analysis
Cuckoo Sandbox: Automated malware analysisjekil
 
Webinar Italiano: Back-to-Basics: Sessione 8 - Monitoraggio e Performance Tuning
Webinar Italiano: Back-to-Basics: Sessione 8 - Monitoraggio e Performance TuningWebinar Italiano: Back-to-Basics: Sessione 8 - Monitoraggio e Performance Tuning
Webinar Italiano: Back-to-Basics: Sessione 8 - Monitoraggio e Performance TuningMongoDB
 
BackBox Linux: Simulazione di un Penetration Test
BackBox Linux: Simulazione di un Penetration TestBackBox Linux: Simulazione di un Penetration Test
BackBox Linux: Simulazione di un Penetration TestAndrea Draghetti
 

Similar to Digital Forensics (20)

Richiami su Linux - Webmin - Reti di calcolatori
Richiami su Linux - Webmin - Reti di calcolatoriRichiami su Linux - Webmin - Reti di calcolatori
Richiami su Linux - Webmin - Reti di calcolatori
 
Dominare il codice legacy
Dominare il codice legacyDominare il codice legacy
Dominare il codice legacy
 
Tdd e continuous delivery sull'infrastruttura
Tdd e continuous delivery sull'infrastrutturaTdd e continuous delivery sull'infrastruttura
Tdd e continuous delivery sull'infrastruttura
 
(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...
(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...
(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...
 
TDD e Continuous Delivery sull'infrastruttura
TDD e Continuous Delivery sull'infrastrutturaTDD e Continuous Delivery sull'infrastruttura
TDD e Continuous Delivery sull'infrastruttura
 
SESAMO (application login automator): evoluzioni applicative e considerazioni...
SESAMO (application login automator): evoluzioni applicative e considerazioni...SESAMO (application login automator): evoluzioni applicative e considerazioni...
SESAMO (application login automator): evoluzioni applicative e considerazioni...
 
Come funzione la cifratura dell’endpoint
Come funzione la cifratura dell’endpointCome funzione la cifratura dell’endpoint
Come funzione la cifratura dell’endpoint
 
Profilazione utente in ambienti virtualizzati
Profilazione utente in ambienti virtualizzatiProfilazione utente in ambienti virtualizzati
Profilazione utente in ambienti virtualizzati
 
Node.js - Server Side Javascript
Node.js - Server Side JavascriptNode.js - Server Side Javascript
Node.js - Server Side Javascript
 
Working between the clouds
Working between the cloudsWorking between the clouds
Working between the clouds
 
ASP.NET performance optimization
ASP.NET performance optimizationASP.NET performance optimization
ASP.NET performance optimization
 
SQL Server Workload Profiling
SQL Server Workload ProfilingSQL Server Workload Profiling
SQL Server Workload Profiling
 
Performance e Drupal
Performance e DrupalPerformance e Drupal
Performance e Drupal
 
Abusing HTML 5 Client-side Storage
Abusing HTML 5 Client-side StorageAbusing HTML 5 Client-side Storage
Abusing HTML 5 Client-side Storage
 
XPages Tips & Tricks, #dd13
XPages Tips & Tricks, #dd13XPages Tips & Tricks, #dd13
XPages Tips & Tricks, #dd13
 
Intrusion Detection Systems
Intrusion Detection SystemsIntrusion Detection Systems
Intrusion Detection Systems
 
Working between the clouds (versione completa)
Working between the clouds (versione completa)Working between the clouds (versione completa)
Working between the clouds (versione completa)
 
Cuckoo Sandbox: Automated malware analysis
Cuckoo Sandbox: Automated malware analysisCuckoo Sandbox: Automated malware analysis
Cuckoo Sandbox: Automated malware analysis
 
Webinar Italiano: Back-to-Basics: Sessione 8 - Monitoraggio e Performance Tuning
Webinar Italiano: Back-to-Basics: Sessione 8 - Monitoraggio e Performance TuningWebinar Italiano: Back-to-Basics: Sessione 8 - Monitoraggio e Performance Tuning
Webinar Italiano: Back-to-Basics: Sessione 8 - Monitoraggio e Performance Tuning
 
BackBox Linux: Simulazione di un Penetration Test
BackBox Linux: Simulazione di un Penetration TestBackBox Linux: Simulazione di un Penetration Test
BackBox Linux: Simulazione di un Penetration Test
 

More from Università Degli Studi Di Salerno

More from Università Degli Studi Di Salerno (9)

Presentazione Laurea Magistrale
Presentazione Laurea MagistralePresentazione Laurea Magistrale
Presentazione Laurea Magistrale
 
Key reinstallation attacks forcing nonce reuse in wpa2
Key reinstallation attacks forcing nonce reuse in wpa2Key reinstallation attacks forcing nonce reuse in wpa2
Key reinstallation attacks forcing nonce reuse in wpa2
 
Flyers
FlyersFlyers
Flyers
 
Sfida CTF: Nebula Level10
Sfida CTF: Nebula Level10Sfida CTF: Nebula Level10
Sfida CTF: Nebula Level10
 
Andrew File System
Andrew File SystemAndrew File System
Andrew File System
 
CPU Scheduling
CPU SchedulingCPU Scheduling
CPU Scheduling
 
Wireless Security
Wireless SecurityWireless Security
Wireless Security
 
Sviluppo di un'app Android
Sviluppo di un'app AndroidSviluppo di un'app Android
Sviluppo di un'app Android
 
CrowdMine
CrowdMineCrowdMine
CrowdMine
 

Digital Forensics

  • 2. OUTLINE ❑ Memory Forensics ❑ Web Browser Forensics ❑ The Onion Router ❑ Google Chrome ❑ Microsoft Edge 2
  • 4. Memory Acquisition LIVE ANALYSIS Analisi di un Live System Live System: Sistema in fase di attività In tali sistemi potrebbero esserci prove che sarebbero difficili da acquisire nel caso il sistema venisse spento POST MORTEM ANALYSIS Analisi di un Dead System Dead System: Sistema non in fase di attività In tali sistemi i dati in RAM e Cache sono persi 4
  • 5. Memory Acquisition ❑ Processo di acquisizione di un Memory dump ❑ Memory dump: istantanea del contenuto della memoria RAM ❑ Un Memory dump può essere acquisito da tool esterni Tuttavia, talvolta, è il sistema operativo stesso a produrlo 5
  • 6. Memory Acquisition ❑ Memory dump in formato RAW ❑ Memory dump prodotti automaticamente dal S.O. [in sistemi Windows-based]: ❏ Memory dump prodotto in seguito ad un grave crash di sistema ❏ Memory dump prodotto dal processo di ibernazione 6
  • 7. Memory Acquisition DumpIt DumpIt è utilizzabile su sistemi a 32 bit (x86) e su sistemi a 64 bit (x64). Esso è un tool con interfaccia a linea di comando, capace di acquisire memory dump, in formato RAW, e di effettuare la comparazione tramite una funzione di hash FTK Imager FTK (Forensic Toolkit) Imager è un software sviluppato da AccessData che permette di creare immagini forensi e memory dump di differenti supporti 7
  • 8. Memory Analysis ❑ Processo di analisi di un Memory dump ❑ Essa viene fatta attraverso i seguenti tool: ❏ Volatility ❏ Bulk Extractor 8
  • 9. Memory Acquisition Bulk Extractor Esso estrae informazioni utili senza analizzare il file system o le strutture del file system. I risultati possono essere facilmente ispezionati, analizzati o elaborati con strumenti automatizzati. Attraverso Bulk Extractor si possono individuare ed estrarre diverse tipologie di dati tra i quali: ❑ Numero di carta di credito ❑ Indirizzi e-mail ❑ URL ❑ Ricerche online ❑ Informazioni di Siti Web ❑ Profili di social network Volatility Volatility è un framework open source. Esso permette di estrarre specifiche informazioni dal memory dump, su cui si sta conducendo l’analisi, tramite l’utilizzo dei plugin. Supporta diversi formati di memory dump tra i quali: ❑ Formato RAW (estensione .dd, .img, .dmp, .mem, ...) ❑ Memory dump automaticamente prodotti da sistemi Windows-based (relativi a crash/ibernazioni) ❑ Memory dump acquisiti da Virtual Machine 9
  • 11. Web Browser Forensics I browser web sono oggi giorno utilizzati non più esclusivamente sui PC, ma anche sugli smartphone, sui tablet ecc. 11 Fonte: https://favpng.com/png_view/iphone-mobile-browser-iphone-web-browser-ipad-maxthon-png/fxsuxvpi
  • 12. Web Browser Forensics 12Fonte: https://pctempo.com/migliori-browser/
  • 13. Web Browser Forensics Non è possibile fornire una soluzione universale per l’analisi di più browser 13 Fonte: https://www.pngitem.com/middle/ihwTJho_solution-png-7-png-image-transparent-png/
  • 14. Web Browser Forensics | Obiettivi ❑ Cronologia di navigazione ❑ Password memorizzate ❑ Cookie di sessione ❑ Cache 14 Fonte: https://www.kindpng.com/imgv/wbTwbm_goals-png-clipart-goal-icon-png-transparent-png/
  • 16. The Onion Router ❑ Tor è un progetto open-source sviluppato da “The Free Haven Project” ❑ Tor è una rete di tunnel virtuali e questo suo sistema garantisce alle persone e alle organizzazioni privacy e sicurezza su Internet ❑ Protocollo utilizzato: onion routing Garantisce privacy del mittente e del ricevente 16
  • 17. 17 The Onion Router Fonte: https://1technation.com/tech-savvy-dark-side-onion-router/
  • 18. The Onion Router ❑ Tipi di nodi: ❏ Client ❏ Middleman relay ❏ Exit relay ❏ Bridge relay 18
  • 20. Virtual Machine Utilizzate Edizione Windows 10 Pro Versione 1709 Build 16299.98 Tipo S.O. 64-bit 20 Edizione Kali Rolling Versione 2020.2 Tipo S.O. 64-bit
  • 21. Accesso a TOR Una volta cliccato su Start Tor browser si aprirà il browser Tor con il motore di ricerca DuckDuckGo 21
  • 22. Ricerca Pagine Sito Web Attività Account Utilizzato https://www.cybersecurity360.it/ Scroll pagina e apertura di una sezione “Ransomware” https://www.gazzetta.it/ Scroll pagina e apertura di una sezione “Serie A” https://thehackernews.com/ Scroll pagina e apertura di una sezione “Cyber Attacks” https://outlook.live.com/owa/ Accesso a hotmail ed apertura di un’email ricevuta giorap94@hotmail.it 22
  • 25. Dump Memoria 25 Tramite il tasto “Browse” si specifica dove memorizzare il file relativo al memory dump Qui specifichiamo il nome del file relativo al memory dump Spuntando l’opzione “Include pagefile” acquisiamo anche il file di paging Mediante il tasto “Capture Memory” avviamo il processo di creazione del memory dump
  • 26. Analisi dei file estratti 26 Nome file memdump.mem pagefile.sys Dimensione 2.15 GB 1.21 GB ❑ Volatility: pslist, pstree, netscan ❑ Bulk Extractor: ricerca mediante apposite stringhe ❑ Page Brute: ricerca di stringhe all’interno dell’output
  • 27. Volatility | imageinfo 27 Al fine di analizzare, in maniera più accurata possibile il memory dump, è necessario conoscere il profilo del sistema operativo, ossia, la tipologia, versione, ecc.
  • 31. Volatility | Risultati firefox.exe 31 Pslist Pstree Netscan Data inizio attività ⱱ ⱱ ✗ Data fine attività ✗ ✗ ✗ Totali evidenze 8 8 172
  • 32. Volatility | Risultati tor.exe 32 Pslist Pstree Netscan Data inizio attività ⱱ ⱱ ⱱ Data fine attività ✗ ✗ ✗ Totali evidenze 1 1 179
  • 33. Volatility | Risultati 33 Artefatti Pslist 82 Pstree 83 Netscan 438 Totale 603
  • 34. Bulk Extractor 34 Il tool consente di estrarre varie informazioni su un certo file dato in input tra cui numeri di carta di credito, indirizzi email, URL, ecc.
  • 35. Bulk Extractor | packets.pcap 35 Indirizzo IP da ricercare Data per la quale si supponga sia stato utilizzato l’IP specificato prima Invio Query Risultato Query
  • 36. 36 Bulk Extractor | domain_histogram.txt Domain N° mozilla.org 25 www.mozilla.org 1 firefox.mozilla.org 1 mozilla.com 13 addons.mozilla.org 5 developer.mozilla.org 1 support.mozilla.org 1 accounts.firefox.com 4 bugzilla.mozilla.org 1
  • 37. 37 Bulk Extractor | domain_histogram.txt Domain N° torproject.org 14 www.torproject.org 2 blog.torproject.org 1 trac.torproject.org 1
  • 38. 38 Bulk Extractor | domain_histogram.txt Domain N° cybersecurity360.it 3 gazzetta.it 39 hackernews.com 4 outlook.live.com 3 login.live.com 1
  • 39. 39 Bulk Extractor | email_histogram.txt ❑ Molte occorrenze email estratte da questo file ❑ Tra le evidenze spicca l’email usata per accedere a login.live.com (giorap94@hotmail.it) ❑ Sono state trovate anche gran parte delle email che hanno interagito con l’email presa in esame
  • 40. 40 Bulk Extractor | ip_histogram.txt ❑ Fornisce molte occorrenze di indirizzi IP ❑ IP individuato precedentemente 137.74.32.26 ❑ Tale IP corrisponde come abbiamo visto ad un nodo TOR
  • 41. 41 Bulk Extractor | url_histogram.txt URL N° https://www.cybersecurity360.it/nuove-minacce/ranso mware/ 12 https://www.gazzetta.it/Calcio/Serie-A/ 127 https://thehackernews.com/search/label/Cyber%20Att ack 6 https://login.live.com/login.srf?wa=wsignin1.0&rpsnv=1 3&checkda=1&ct=1592786684.43432&rver=7.1.6819.0&w p=MBI_SSL&wreply=https%3a%2f%2f 44 https://duckduckgo.com 109 https://duckduckgo.com/d.js?q=cybersecurity360&l=u s-en&s=0&dl=en&ct=IN&ss_mkt=us&vqd=3-2206166967 04541622751516102754867026351-881699296565836714 6073024105080098458&p_ent=&ex=-1&sp=1&v7exp=a& sltexp=a 1
  • 42. Bulk Extractor | Risultati 42 Artefatti packets.pcap 513 domain_histogram.txt 48225 email_histogram.txt 6050 ip_histogram.txt 1026 url_histogram.txt 62054 Totale 117898
  • 43. 43 Analisi del pagefile.sys ❑ L’analisi di tale file verrà fatta mediante il tool Page Brute ❑ Analizza il file pagefile.sys mediante firme basate su YARA ❑ Il risultato del tool sarà una cartella contenente tante directory quante sono le firme su cui si ha avuto un match positivo con le firme date in input insieme al file di paging
  • 44. Page Brute 44 Il risultato di tale comando è contenuto nella cartella PAGE_BRUTE-2020-06-23- 04-46-45-RESULTS e ci mostra la creazione di tre cartelle contenente i blocchi che hanno avuto un riscontro con le regole YARA di default
  • 45. Page Brute Nella cartella webartifact_html ci sono informazioni relative agli identificatori html 45
  • 46. Page Brute Tramite ricerca per stringhe come “tor” o “firefox” non è stato trovato nulla ma abbiamo tracce di siti web visitati dall’utente 46
  • 47. Risultati finali | TOR 47 Artefatti Volatility 603 Bulk Extractor 117898 Page Brute 69 Totale 118570
  • 48. Il browser più popolare 4. Google Chrome
  • 49. Google Chrome Il browser più veloce ed utilizzato dalla popolazione mondiale Il 69,8% della popolazione utilizza chrome 49Fonte: https://www.tomshw.it/smartphone/qual-e-il-browser-piu-utilizzato-nel-2020/
  • 51. Analisi degli artefatti di Chrome ❑ Esamineremo il contenuto della cartella Default ❑ In tale cartella sono memorizzati gli artefatti ❑ Tutti gli artefatti dell’utente vengono memorizzati sul disco del dispositivo utilizzato da quest’ultimo 51
  • 52. La cronologia Il file History è un database contenente la cronologia di navigazione degli utenti. Ad esempio, contiene tabelle relative alle URL visitate, ai download, alle keyword di ricerca ecc 52
  • 53. ChromeHistoryView Questo strumento consente di esaminare il file relativo alla cronologia di navigazione, ovvero History 53
  • 54. MyLastSearch Tale utility effettua una scansione dei file di cache e della cronologia del browser, individuando tutte le query di ricerca effettuate mediante i motori di ricerca 54
  • 55. I Cookie File che i siti web creano per archiviare informazioni di navigazione degli utenti. Tipicamente, vengono utilizzati per analizzare il traffico web e sono necessari per le funzionalità di un sito 55 Fonte: https://www.pngegg.com/en/png-zxbdl
  • 56. I Cookie | Tipi ❑ First party cookies: ❏ cookie impostati dal dominio del sito ❑ Third party cookies: ❏ cookies impostati da un sito web diverso da quello che si sta attualmente visitando 56
  • 57. Accedere ai cookie Selezioniamo il menu di Chrome e successivamente Settings 57
  • 58. Accedere ai cookie Nella sezione Privacy and security cliccare su Cookies and other site data 58
  • 59. Accedere ai cookie Scorrendo la pagina clicchiamo sulla voce See all cookies and site data 59
  • 60. Accedere ai cookie Otteniamo così la pagina contenente tutti i cookie memorizzati nel browser 60
  • 61. Accedere ai cookie Selezionando un cookie, ci vengono fornite informazioni relative al nome, contenuto, dominio, percorso, l’ora di creazione, scadenza, ecc. 61
  • 62. I Cookie ❑ Non esiste una struttura fissa per i cookie, per cui l’analista forense potrebbe trovarsi in difficoltà quando li va ad analizzare ❑ La soluzione migliore è utilizzare strumenti di visualizzazione dei cookie come ChromeCookiesView, in modo da ottenere informazioni più dettagliate sui cookie 62
  • 63. Accedere ai cookie Esecuzione del tool ChromeCookiesView sulla macchina target 63
  • 64. Password in Chrome Selezioniamo il menu di Chrome e successivamente Settings 64
  • 65. Password in Chrome Dalle impostazioni, dalla voce Autofill, selezioniamo Password 65
  • 66. Password in Chrome Cliccando sull’icona dell’occhio ci viene chiesta la password di sistema che in un’investigazione si presume non abbiamo purtroppo 66
  • 67. ChromePass Con questo tool aggiriamo il problema e visualizziamo in chiaro le password contenute nel file Login Data di Chrome 67
  • 68. Il file Top Sites Questo file contiene i siti che l’utente visita più frequentemente. Mediante DB Browser for SQLite possiamo notare che mostra semplicemente l’URL, il nome ed il rank dei siti più visitati dall’utente 68
  • 69. Il file Preferences Questo tipo di file, che non va confuso con i preferiti (file bookmarks), contiene i settaggi personalizzati del browser definiti dall’utente 69
  • 70. I Preferiti I preferiti o segnalibri sono URI (Uniform Resource Identifier) che indicano fondamentalmente dei collegamenti alle pagine web preferite, salvate dall’utente 70
  • 71. I Preferiti Per ottenere maggiori dettagli come data di aggiunta del sito tra i preferiti ecc, è possibile aprire il file Bookmarks presente nella cartella Default mediante un editor testuale 71
  • 72. I Preferiti Per interpretare il campo date_added che corrisponde alla data di aggiunta ai preferiti del sito si può utilizzare il tool DCode 72
  • 73. La cache La cache memorizza in maniera trasparente i dati dei siti web visitati in modo da velocizzare successive richieste degli stessi 73 Fonte: https://www.heelpbook.net/2018/attivazione-browser-caching-apache-nginx-iis/
  • 74. La cache La cartella Cache di Chrome è costituita da diversi file 74
  • 75. ChromeCacheView L’utility consente di visualizzare nel dettaglio i contenuti della cartella Cache di Chrome 75
  • 76. Risultati finali | Google Chrome 76 Evidenze ChromeHistoryView 200 MyLastSearch 80 ChromeCookiesView 288 ChromePass 4 DB Browser for SQLite 2 ChromeCacheView 1113 Totale 1687
  • 77. Evidenze individuate ❑ Il file History fornisce all’investigatore forense informazioni sufficienti a ricostruire una timeline delle possibili attività dell’utente ❑ La cache dimostra che effettivamente l’utente ha visitato determinati siti ❑ Queste informazioni sono essenziali nell’ambito di frodi elettroniche o casi di non ripudiabilità 77
  • 78. Il browser basato su Chromium 5. Microsoft Edge
  • 79. Microsoft Edge Microsoft ha deciso di intraprendere una nuova strada abbandonando EdgeHTML e progettando una nuova versione del browser Edge basata su Chromium 79
  • 81. Microsoft Edge | Obiettivi ❑ Rendere il browser “libero” dal sistema operativo ❑ Rendere Edge un progetto Open Source ❑ Contribuire con altri team di sviluppo per garantire un’applicazione solida ❑ Aumentare la compatibilità dei siti web sviluppati 81
  • 82. Browser Forensics Edge ❑ Ogni browser può differire da un altro in termini di estrazione di evidenze digitali ❑ L’investigatore forense deve essere in grado di “processare” le diverse tipologie di browser ❑ Vedremo come estrarre artefatti da Edge Chromium nelle prossime slides 82
  • 84. ChromeHistoryView Modificare il path in cui il tool va a recuperare le informazioni dal file History 84
  • 85. ChromeHistoryView Lanciando il tool e selezionando l’URL di interesse, è possibile risalire ad informazioni più precise come ad esempio la data e l’ora di visita al sito 85
  • 86. Clicchiamo Settings dal menù a tendina di Edge per accedere alle impostazioni Edge Chromium | I Cookie 86
  • 87. Dalla sezione Site permissions, clicchiamo la voce Cookies and site data Edge Chromium | I Cookie 87
  • 88. Selezionare See all cookies and site data e, successivamente verrà mostrato l’elenco dei cookie memorizzati dal browser Edge Chromium | I Cookie 88
  • 89. Infine, per accedere alle informazioni dei cookie, basta selezionare il cookie di interesse Edge Chromium | I Cookie 89
  • 90. Per un’analisi più “approfondita” dei cookie, è possibile aprire il file Cookies presente nella cartella Default del browser Edge Chromium mediante il tool ChromeCookiesView Edge Chromium | I Cookie 90
  • 91. Funzione anti-tracciamento ❑ Nuova modalità di anti-tracciamento implementata nel nuovo Edge Chromium ❑ Caso d’esempio la visita ad una sezione del sito www.corriere.it 91
  • 92. Selezioniamo tutti i cookie e poi clicchiamo sul tasto Delete Selected Cookies Edge Chromium | I Cookie 92
  • 93. Nel caso del filtro Balanced, visitando una pagina del sito il corriere, mediante il tool ChromeCookieView sono stati individuati 68 cookie Edge Chromium | I Cookie 93
  • 94. Nel caso del filtro Basic, visitando una pagina del sito il corriere, mediante il tool ChromeCookieView sono stati individuati 156 cookie Edge Chromium | I Cookie 94
  • 95. Nel caso del filtro Strict, visitando una pagina del sito il corriere, mediante il tool ChromeCookieView sono stati individuati 60 cookie Edge Chromium | I Cookie 95
  • 97. La cache del browser Edge è situata nella cartella C:UsersNomeUtenteApp DataLocalMicrosoftEdge UserDataDefaultCache Edge Chromium | La Cache 97
  • 98. È possibile accedere alle informazioni dei file data mediante un editor esadecimale Edge Chromium | La Cache 98
  • 99. Per ottenere informazioni più dettagliate sui dati di cache, possiamo rifarci al tool ChromeCacheView Edge Chromium | La Cache 99
  • 100. Inoltre, altre informazioni di cache sui siti consultati dall’utente, sono ottenibili aprendo il file delle icone Favicons presente nella cartella Default mediante DB Browser for SQLite Edge Chromium | La Cache 100
  • 101. Dal file Login Data è possibile accedere ad informazioni circa le credenziali di accesso ai siti web visitati come username e password ecc.. Edge Chromium | Dati di accesso 101
  • 102. Per visualizzare tutte le password memorizzate dal browser, basta compiere due passaggi Edge Chromium | Dati di accesso 102
  • 103. Dalla sezione Profiles, selezionare Passwords Edge Chromium | Dati di accesso 103
  • 104. A questo punto è quindi possibile visualizzare le password che l’utente ha scelto di far memorizzare al browser Edge Chromium | Dati di accesso 104
  • 105. Per essere in grado di rilevare le password mediante tale tool, occorre specificare il percorso della cartella Default del browser Edge da cui il tool estrarrà e decodificherà le password Edge Chromium | Dati di accesso 105
  • 106. Immettiamo il percorso della cartella Default di Edge e successivamente clicchiamo su OK Edge Chromium | Dati di accesso 106
  • 107. A questo punto ci verranno mostrate tutte le info relative a email e password in chiaro salvate sul browser dell’utente Edge Chromium | Dati di accesso 107
  • 108. Edge Chromium | estrarre ulteriori informazioni ❑ Bookmarks e Bookmarks.bak ❏ contiene i collegamenti ai siti web preferiti dall’utente. Sono importanti perché aiutano a capire a quale tipo di contenuto l’utente incriminato è interessato maggiormente ❑ Preferences ❏ contiene i settaggi personalizzati del browser definiti dall’utente 108
  • 109. Edge Chromium | estrarre ulteriori informazioni ❑ Top Sites ❏ tale file contiene informazioni sui siti a cui l’utente accede più frequentemente ❑ Shortcuts ❏ contiene le “scorciatoie” suggerite dal browser nella barra di ricerca quando l’utente ricerca il sito di interesse 109
  • 110. Edge Chromium | estrarre ulteriori informazioni ❑ Current Session e Current Tabs ❏ contengono informazioni circa la sessione di navigazione attiva ed i relativi siti web aperti sulle schede del browser ❑ Last Session e Last Tabs ❏ questi due file contengono informazioni circa l’ultima sessione di navigazione trascorsa sul browser 110
  • 111. Edge Chromium | estrarre ulteriori informazioni ❑ History Provider Cache ❏ come il file History, contiene ulteriori informazioni circa la cronologia di navigazione, sui cookie di sessione ecc. 111
  • 112. Risultati finali | Microsoft Edge 112 Evidenze ChromeHistoryView 33 ChromeCookiesView 114 ChromeCacheView 2489 DB Browser for SQLite [Favicons] 11 DB Browser for SQLite [Login Data] 3 ChromePass 3 Totale 2650
  • 113. Evidenze individuate ❑ Il file History fornisce all’investigatore forense informazioni sufficienti a ricostruire una timeline delle possibili attività dell’utente ❑ Grazie anche agli altri file analizzati si può dimostrare la gran parte delle azioni che l’utente ha compiuto attraverso il browser, evidenziando un eventuale abuso 113
  • 114. Riferimenti Bibliografici Cybercrimine: Memory Forensics del browser TOR, utilizzato per navigare nel Deep Web ❑ Capitolo 2, 3 e 4 114 Browser Forensics di Microsoft Edge basato su Chromium: il nuovo browser di default di Microsoft Windows 10 ❑ Capitolo 3 e 4