SlideShare a Scribd company logo

Presentazione Laurea Magistrale

Università Degli Studi Di Salerno
Università Degli Studi Di Salerno

Browser Forensics di Tor, Google Chrome e Microsoft Edge Chromium-based

Technology
1 of 32
Browser Forensics di Tor, Google Chrome e Microsoft Edge Chromium-based TESI DI LAUREA MAGISTRALE UNIVERSITÀ DEGLI STUDI DI SALERNO DIPARTIMENTO DI INFORMATICA Corso di Laurea Magistrale in Informatica Curriculum in Sicurezza Informatica Relatore: Ch.Mo Prof. Raffaele Pizzolante Candidato: Giorgio Vitiello Matr. 0522500594ANNO ACCADEMICO 2019/2020
Browser Forensics I browser web sono oggi giorno utilizzati non più esclusivamente sui PC, ma anche sugli smartphone, sui tablet ecc. 2
Browser Web | Problematiche Registrano gran parte delle attività di navigazione sul sistema locale Browser utilizzati anche da cybercriminali Ricostruzione delle attività in rete di un utente 3
Browser Forensics 4 Google Chrome 69,8% Microsoft Edge 10% Google Chrome è il browser web più utilizzato ad oggi.
Browser Forensics Non è possibile fornire una soluzione universale per l’analisi di più browser. 5
Browser Forensics | Metodologia proposta 6 Post-mortem analysis abbiamo estratto artefatti una volta terminata l’attività di navigazione dell’utente.
Primo Esperimento Tor, Google Chrome e Microsoft Edge Chromium-based 1 7
Attività Utente Sito Web Attività Account Utilizzato https://www.cybersecurity360.it/ Scroll pagina e apertura di una sezione “Ransomware” http://elearning.informatica.unisa.it/ Accesso alla piattaforma e scroll della pagina utente g.vitiello24@studenti.unisa.it https://esse3web.unisa.it/ Accesso ad esse3 e scroll della pagina utente g.vitiello24@studenti.unisa.it https://outlook.live.com/owa/ Accesso a hotmail ed apertura di un’email ricevuta giorap94@hotmail.it 8
Analisi di Tor | Volatility 9 ◉ volatility –profile=Win10x6416299 -f memdump.mem pslist –output=html–output-file=pslist.html
Analisi di Tor | Bulk Extractor ◉ Molte occorrenze email sono state estratte dal file email_histogram.txt. ◉ Tra le evidenze spicca l’email usata per accedere a login.live.com (giorap94@hotmail.it). ◉ Sono state trovate anche gran parte delle email che hanno interagito con l’email presa in esame. 10
Analisi di Google Chrome | Bookmarks 11
Analisi di Microsoft Edge | La cache 12 Mediante un editor esadecimale è possibile analizzare i file contenuti nella cache del browser.
Secondo Esperimento Tor, Google Chrome e Microsoft Edge Chromium-based 2 13
Attività Utente Tor 14
Analisi di Tor | Volatility 15◉ volatility –profile=Win10x6416299 -f memdump.mem pslist –output=html–output-file=pslist.html
Analisi di Tor | Bulk Extractor ◉ Dal file url_facebook-address.txt sono state estratte delle informazioni importanti. ◉ In questo file è contenuto l’id facebook univoco di un amico con cui l’utente ha interagito, che in questo caso è giorgio.vitiello94. ◉ Inoltre nel file url_histogram.txt sono emerse anche evidenze riguardanti sottosezioni del sito Apple, in particolare la sottosezione che riguarda iPhone. 16
Attività Utente Google Chrome 17
Analisi di Chrome | ChromeHistoryView 18
Attività Utente Microsoft Edge 19
Analisi di Edge | Last Session 20 Come è possibile notare l’utente ha effettuato l’accesso ad amazon con la propria email. Tale file evidenzia l’ultima sessione di navigazione.
Terzo Esperimento Comparativa dei risultati ottenuti fra i tre browser 3 21
Attività Utente Tor 22
Analisi di Tor | HexFiend 23
Analisi di Tor | Bulk Extractor 24
Analisi di Google Chrome 25
Analisi di Microsoft Edge 26
Comparativa Primo Esperimento 27 Tor Google Chrome Edge-Chromium Data Inizio Attività ✅ ❌ ❌ Cronologia Utente ✅ ✅ ✅ Email Utilizzate ✅ ✅ ✅ Password Trovate ❌ ✅ ✅ Data Fine Attività ❌ ❌ ❌
Comparativa Secondo Esperimento 28 Tor Google Chrome Edge-Chromium Data Inizio Attività ✅ ❌ ❌ Cronologia Utente ✅ ✅ ✅ Email Utilizzate ✅ ✅ ✅ Artefatti Facebook ✅ ✅ ✅ Password Trovate ❌ ✅ ✅ Data Fine Attività ✅ ❌ ❌
Comparativa Terzo Esperimento 29 Tor Google Chrome Edge-Chromium Data Inizio Attività ❌ ❌ ❌ Cronologia Utente ✅ ✅ ✅ Email Utilizzate ✅ ✅ ✅ Contenuto Youtube ❌ ✅ ✅ Password Trovate ❌ ✅ ✅ Data Fine Attività ❌ ❌ ❌
Perchè è utile questo lavoro? La ricerca sviluppata è innovativa poichè non ci sono ricerche comparative simili in letteratura scientifica. 30
Conclusioni | Sviluppi Futuri Analizzare altri casi di studio simili alla realtà Considerare altri S.O. oltre a Windows 10 31 Utilizzare questa metodologia applicata agli smartphone
Grazie! 32

Recommended

Summary of “Measuring Security Practices and How They Impact Security”
Summary of “Measuring Security Practices and How They Impact Security”Summary of “Measuring Security Practices and How They Impact Security”
Summary of “Measuring Security Practices and How They Impact Security”
CristianFalvo
 
06 - Il browser
06 - Il browser06 - Il browser
06 - Il browser
Giuseppe Vizzari
 
Di cosa parlano?
Di cosa parlano?Di cosa parlano?
Di cosa parlano?
Davide Cerbo
 
6 - Il browser - 16/17
6 - Il browser - 16/176 - Il browser - 16/17
6 - Il browser - 16/17
Giuseppe Vizzari
 
Summary of “An Automated Approach to Auditing Disclosure of Third-Party Data ...
Summary of “An Automated Approach to Auditing Disclosure of Third-Party Data ...Summary of “An Automated Approach to Auditing Disclosure of Third-Party Data ...
Summary of “An Automated Approach to Auditing Disclosure of Third-Party Data ...
FabioDalCol
 
La Terza Rivoluzione Industriale @ CNA Emilia Romagna 14.12.2012
La Terza Rivoluzione Industriale @ CNA Emilia Romagna 14.12.2012La Terza Rivoluzione Industriale @ CNA Emilia Romagna 14.12.2012
La Terza Rivoluzione Industriale @ CNA Emilia Romagna 14.12.2012Massimo Menichinelli
 
2 esercitazione - Ricerca sul web
2 esercitazione - Ricerca sul web2 esercitazione - Ricerca sul web
2 esercitazione - Ricerca sul web
Andrea Gorrini
 
SUMMARY OF “Tales from the Porn: A Comprehensive Privacy Analysis of the Web ...
SUMMARY OF “Tales from the Porn: A Comprehensive Privacy Analysis of the Web ...SUMMARY OF “Tales from the Porn: A Comprehensive Privacy Analysis of the Web ...
SUMMARY OF “Tales from the Porn: A Comprehensive Privacy Analysis of the Web ...
FedericoRaimondi4
 

Recommended

Summary of “Measuring Security Practices and How They Impact Security”
Summary of “Measuring Security Practices and How They Impact Security”Summary of “Measuring Security Practices and How They Impact Security”
Summary of “Measuring Security Practices and How They Impact Security”
CristianFalvo
 
06 - Il browser
06 - Il browser06 - Il browser
06 - Il browser
Giuseppe Vizzari
 
Di cosa parlano?
Di cosa parlano?Di cosa parlano?
Di cosa parlano?
Davide Cerbo
 
6 - Il browser - 16/17
6 - Il browser - 16/176 - Il browser - 16/17
6 - Il browser - 16/17
Giuseppe Vizzari
 
Summary of “An Automated Approach to Auditing Disclosure of Third-Party Data ...
Summary of “An Automated Approach to Auditing Disclosure of Third-Party Data ...Summary of “An Automated Approach to Auditing Disclosure of Third-Party Data ...
Summary of “An Automated Approach to Auditing Disclosure of Third-Party Data ...
FabioDalCol
 
La Terza Rivoluzione Industriale @ CNA Emilia Romagna 14.12.2012
La Terza Rivoluzione Industriale @ CNA Emilia Romagna 14.12.2012La Terza Rivoluzione Industriale @ CNA Emilia Romagna 14.12.2012
La Terza Rivoluzione Industriale @ CNA Emilia Romagna 14.12.2012Massimo Menichinelli
 
2 esercitazione - Ricerca sul web
2 esercitazione - Ricerca sul web2 esercitazione - Ricerca sul web
2 esercitazione - Ricerca sul web
Andrea Gorrini
 
SUMMARY OF “Tales from the Porn: A Comprehensive Privacy Analysis of the Web ...
SUMMARY OF “Tales from the Porn: A Comprehensive Privacy Analysis of the Web ...SUMMARY OF “Tales from the Porn: A Comprehensive Privacy Analysis of the Web ...
SUMMARY OF “Tales from the Porn: A Comprehensive Privacy Analysis of the Web ...
FedericoRaimondi4
 
Extended summary of “Understanding the Performance Costs and Benefits of Pri...
Extended summary of “Understanding the Performance Costs and Benefits of Pri...Extended summary of “Understanding the Performance Costs and Benefits of Pri...
Extended summary of “Understanding the Performance Costs and Benefits of Pri...
RiccardoDeMonte
 
Progetto Linux va a scuola
Progetto Linux va a scuolaProgetto Linux va a scuola
Progetto Linux va a scuola
Bergamo Linux Users Group
 
Corso Web 2.0: Il Web come piattaforma
Corso Web 2.0: Il Web come piattaformaCorso Web 2.0: Il Web come piattaforma
Corso Web 2.0: Il Web come piattaforma
Roberto Polillo
 
Open Design e FabLab @ IED Milano 27.03.2013
Open Design e FabLab @ IED Milano 27.03.2013Open Design e FabLab @ IED Milano 27.03.2013
Open Design e FabLab @ IED Milano 27.03.2013Massimo Menichinelli
 
8 - Il browser
8 - Il browser8 - Il browser
8 - Il browser
Giuseppe Vizzari
 
FabLab @ Politecnico di Milano 9.10.13
FabLab @ Politecnico di Milano 9.10.13FabLab @ Politecnico di Milano 9.10.13
FabLab @ Politecnico di Milano 9.10.13Massimo Menichinelli
 
#AdUmbria2015 - workshop openness: gli open data
#AdUmbria2015 - workshop openness: gli open data#AdUmbria2015 - workshop openness: gli open data
#AdUmbria2015 - workshop openness: gli open data
Agenda digitale Umbria
 
Il browser
Il browserIl browser
Il browser
Giuseppe Vizzari
 
Slides - Progetto e realizzazione di uno strumento per la raccolta di dipende...
Slides - Progetto e realizzazione di uno strumento per la raccolta di dipende...Slides - Progetto e realizzazione di uno strumento per la raccolta di dipende...
Slides - Progetto e realizzazione di uno strumento per la raccolta di dipende...
LorenzoFabbio
 
Summary of “Measuring Security Practices and How They Impact Security” - Slides
Summary of “Measuring Security Practices and How They Impact Security” - SlidesSummary of “Measuring Security Practices and How They Impact Security” - Slides
Summary of “Measuring Security Practices and How They Impact Security” - Slides
CristianFalvo
 
Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...
Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...
Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...
EfremCherin
 
6. Il browser
6. Il browser6. Il browser
6. Il browser
Roberto Polillo
 
S.P.R.I.Te. magazine
S.P.R.I.Te. magazineS.P.R.I.Te. magazine
S.P.R.I.Te. magazineElvis London
 
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Massimiliano Cristarella
 
4 - Introduzione al Web (1/2)
4 - Introduzione al Web (1/2)4 - Introduzione al Web (1/2)
4 - Introduzione al Web (1/2)
Giuseppe Vizzari
 
10 - Ricercare nel web II
10 - Ricercare nel web II10 - Ricercare nel web II
10 - Ricercare nel web II
Giuseppe Vizzari
 
Smau Roma 2013 Morena Ragone
Smau Roma 2013 Morena RagoneSmau Roma 2013 Morena Ragone
Smau Roma 2013 Morena Ragone
SMAU
 
Modelli di business e di servizio digitali nell'industria dell'informazione
Modelli di business e di servizio digitali nell'industria dell'informazioneModelli di business e di servizio digitali nell'industria dell'informazione
Modelli di business e di servizio digitali nell'industria dell'informazione
Sara M
 
Extended Summary Of "MadDroid: Characterizing and Detecting Devious Ad Conten...
Extended Summary Of "MadDroid: Characterizing and Detecting Devious Ad Conten...Extended Summary Of "MadDroid: Characterizing and Detecting Devious Ad Conten...
Extended Summary Of "MadDroid: Characterizing and Detecting Devious Ad Conten...
AndreaPausig
 
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Matteo Makovec
 
Key reinstallation attacks forcing nonce reuse in wpa2
Key reinstallation attacks forcing nonce reuse in wpa2Key reinstallation attacks forcing nonce reuse in wpa2
Key reinstallation attacks forcing nonce reuse in wpa2
Università Degli Studi Di Salerno
 
Digital Forensics
Digital ForensicsDigital Forensics
Digital Forensics
Università Degli Studi Di Salerno
 

More Related Content

Similar to Presentazione Laurea Magistrale

Extended summary of “Understanding the Performance Costs and Benefits of Pri...
Extended summary of “Understanding the Performance Costs and Benefits of Pri...Extended summary of “Understanding the Performance Costs and Benefits of Pri...
Extended summary of “Understanding the Performance Costs and Benefits of Pri...
RiccardoDeMonte
 
Progetto Linux va a scuola
Progetto Linux va a scuolaProgetto Linux va a scuola
Progetto Linux va a scuola
Bergamo Linux Users Group
 
Corso Web 2.0: Il Web come piattaforma
Corso Web 2.0: Il Web come piattaformaCorso Web 2.0: Il Web come piattaforma
Corso Web 2.0: Il Web come piattaforma
Roberto Polillo
 
Open Design e FabLab @ IED Milano 27.03.2013
Open Design e FabLab @ IED Milano 27.03.2013Open Design e FabLab @ IED Milano 27.03.2013
Open Design e FabLab @ IED Milano 27.03.2013Massimo Menichinelli
 
8 - Il browser
8 - Il browser8 - Il browser
8 - Il browser
Giuseppe Vizzari
 
FabLab @ Politecnico di Milano 9.10.13
FabLab @ Politecnico di Milano 9.10.13FabLab @ Politecnico di Milano 9.10.13
FabLab @ Politecnico di Milano 9.10.13Massimo Menichinelli
 
#AdUmbria2015 - workshop openness: gli open data
#AdUmbria2015 - workshop openness: gli open data#AdUmbria2015 - workshop openness: gli open data
#AdUmbria2015 - workshop openness: gli open data
Agenda digitale Umbria
 
Il browser
Il browserIl browser
Il browser
Giuseppe Vizzari
 
Slides - Progetto e realizzazione di uno strumento per la raccolta di dipende...
Slides - Progetto e realizzazione di uno strumento per la raccolta di dipende...Slides - Progetto e realizzazione di uno strumento per la raccolta di dipende...
Slides - Progetto e realizzazione di uno strumento per la raccolta di dipende...
LorenzoFabbio
 
Summary of “Measuring Security Practices and How They Impact Security” - Slides
Summary of “Measuring Security Practices and How They Impact Security” - SlidesSummary of “Measuring Security Practices and How They Impact Security” - Slides
Summary of “Measuring Security Practices and How They Impact Security” - Slides
CristianFalvo
 
Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...
Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...
Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...
EfremCherin
 
6. Il browser
6. Il browser6. Il browser
6. Il browser
Roberto Polillo
 
S.P.R.I.Te. magazine
S.P.R.I.Te. magazineS.P.R.I.Te. magazine
S.P.R.I.Te. magazineElvis London
 
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Massimiliano Cristarella
 
4 - Introduzione al Web (1/2)
4 - Introduzione al Web (1/2)4 - Introduzione al Web (1/2)
4 - Introduzione al Web (1/2)
Giuseppe Vizzari
 
10 - Ricercare nel web II
10 - Ricercare nel web II10 - Ricercare nel web II
10 - Ricercare nel web II
Giuseppe Vizzari
 
Smau Roma 2013 Morena Ragone
Smau Roma 2013 Morena RagoneSmau Roma 2013 Morena Ragone
Smau Roma 2013 Morena Ragone
SMAU
 
Modelli di business e di servizio digitali nell'industria dell'informazione
Modelli di business e di servizio digitali nell'industria dell'informazioneModelli di business e di servizio digitali nell'industria dell'informazione
Modelli di business e di servizio digitali nell'industria dell'informazione
Sara M
 
Extended Summary Of "MadDroid: Characterizing and Detecting Devious Ad Conten...
Extended Summary Of "MadDroid: Characterizing and Detecting Devious Ad Conten...Extended Summary Of "MadDroid: Characterizing and Detecting Devious Ad Conten...
Extended Summary Of "MadDroid: Characterizing and Detecting Devious Ad Conten...
AndreaPausig
 
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Matteo Makovec
 

Similar to Presentazione Laurea Magistrale (20)

Extended summary of “Understanding the Performance Costs and Benefits of Pri...
Extended summary of “Understanding the Performance Costs and Benefits of Pri...Extended summary of “Understanding the Performance Costs and Benefits of Pri...
Extended summary of “Understanding the Performance Costs and Benefits of Pri...
 
Progetto Linux va a scuola
Progetto Linux va a scuolaProgetto Linux va a scuola
Progetto Linux va a scuola
 
Corso Web 2.0: Il Web come piattaforma
Corso Web 2.0: Il Web come piattaformaCorso Web 2.0: Il Web come piattaforma
Corso Web 2.0: Il Web come piattaforma
 
Open Design e FabLab @ IED Milano 27.03.2013
Open Design e FabLab @ IED Milano 27.03.2013Open Design e FabLab @ IED Milano 27.03.2013
Open Design e FabLab @ IED Milano 27.03.2013
 
8 - Il browser
8 - Il browser8 - Il browser
8 - Il browser
 
FabLab @ Politecnico di Milano 9.10.13
FabLab @ Politecnico di Milano 9.10.13FabLab @ Politecnico di Milano 9.10.13
FabLab @ Politecnico di Milano 9.10.13
 
#AdUmbria2015 - workshop openness: gli open data
#AdUmbria2015 - workshop openness: gli open data#AdUmbria2015 - workshop openness: gli open data
#AdUmbria2015 - workshop openness: gli open data
 
Il browser
Il browserIl browser
Il browser
 
Slides - Progetto e realizzazione di uno strumento per la raccolta di dipende...
Slides - Progetto e realizzazione di uno strumento per la raccolta di dipende...Slides - Progetto e realizzazione di uno strumento per la raccolta di dipende...
Slides - Progetto e realizzazione di uno strumento per la raccolta di dipende...
 
Summary of “Measuring Security Practices and How They Impact Security” - Slides
Summary of “Measuring Security Practices and How They Impact Security” - SlidesSummary of “Measuring Security Practices and How They Impact Security” - Slides
Summary of “Measuring Security Practices and How They Impact Security” - Slides
 
Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...
Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...
Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...
 
6. Il browser
6. Il browser6. Il browser
6. Il browser
 
S.P.R.I.Te. magazine
S.P.R.I.Te. magazineS.P.R.I.Te. magazine
S.P.R.I.Te. magazine
 
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
 
4 - Introduzione al Web (1/2)
4 - Introduzione al Web (1/2)4 - Introduzione al Web (1/2)
4 - Introduzione al Web (1/2)
 
10 - Ricercare nel web II
10 - Ricercare nel web II10 - Ricercare nel web II
10 - Ricercare nel web II
 
Smau Roma 2013 Morena Ragone
Smau Roma 2013 Morena RagoneSmau Roma 2013 Morena Ragone
Smau Roma 2013 Morena Ragone
 
Modelli di business e di servizio digitali nell'industria dell'informazione
Modelli di business e di servizio digitali nell'industria dell'informazioneModelli di business e di servizio digitali nell'industria dell'informazione
Modelli di business e di servizio digitali nell'industria dell'informazione
 
Extended Summary Of "MadDroid: Characterizing and Detecting Devious Ad Conten...
Extended Summary Of "MadDroid: Characterizing and Detecting Devious Ad Conten...Extended Summary Of "MadDroid: Characterizing and Detecting Devious Ad Conten...
Extended Summary Of "MadDroid: Characterizing and Detecting Devious Ad Conten...
 
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
 

More from Università Degli Studi Di Salerno

Key reinstallation attacks forcing nonce reuse in wpa2
Key reinstallation attacks forcing nonce reuse in wpa2Key reinstallation attacks forcing nonce reuse in wpa2
Key reinstallation attacks forcing nonce reuse in wpa2
Università Degli Studi Di Salerno
 
Digital Forensics
Digital ForensicsDigital Forensics
Digital Forensics
Università Degli Studi Di Salerno
 
Flyers
FlyersFlyers
Flyers
Università Degli Studi Di Salerno
 
Sfida CTF: Nebula Level10
Sfida CTF: Nebula Level10Sfida CTF: Nebula Level10
Sfida CTF: Nebula Level10
Università Degli Studi Di Salerno
 
Andrew File System
Andrew File SystemAndrew File System
Andrew File System
Università Degli Studi Di Salerno
 
CPU Scheduling
CPU SchedulingCPU Scheduling
CPU Scheduling
Università Degli Studi Di Salerno
 
Wireless Security
Wireless SecurityWireless Security
Wireless Security
Università Degli Studi Di Salerno
 
Sviluppo di un'app Android
Sviluppo di un'app AndroidSviluppo di un'app Android
Sviluppo di un'app Android
Università Degli Studi Di Salerno
 
CrowdMine
CrowdMineCrowdMine
CrowdMine
Università Degli Studi Di Salerno
 

More from Università Degli Studi Di Salerno (9)

Key reinstallation attacks forcing nonce reuse in wpa2
Key reinstallation attacks forcing nonce reuse in wpa2Key reinstallation attacks forcing nonce reuse in wpa2
Key reinstallation attacks forcing nonce reuse in wpa2
 
Digital Forensics
Digital ForensicsDigital Forensics
Digital Forensics
 
Flyers
FlyersFlyers
Flyers
 
Sfida CTF: Nebula Level10
Sfida CTF: Nebula Level10Sfida CTF: Nebula Level10
Sfida CTF: Nebula Level10
 
Andrew File System
Andrew File SystemAndrew File System
Andrew File System
 
CPU Scheduling
CPU SchedulingCPU Scheduling
CPU Scheduling
 
Wireless Security
Wireless SecurityWireless Security
Wireless Security
 
Sviluppo di un'app Android
Sviluppo di un'app AndroidSviluppo di un'app Android
Sviluppo di un'app Android
 
CrowdMine
CrowdMineCrowdMine
CrowdMine
 

Presentazione Laurea Magistrale

  • 1. Browser Forensics di Tor, Google Chrome e Microsoft Edge Chromium-based TESI DI LAUREA MAGISTRALE UNIVERSITÀ DEGLI STUDI DI SALERNO DIPARTIMENTO DI INFORMATICA Corso di Laurea Magistrale in Informatica Curriculum in Sicurezza Informatica Relatore: Ch.Mo Prof. Raffaele Pizzolante Candidato: Giorgio Vitiello Matr. 0522500594ANNO ACCADEMICO 2019/2020
  • 2. Browser Forensics I browser web sono oggi giorno utilizzati non più esclusivamente sui PC, ma anche sugli smartphone, sui tablet ecc. 2
  • 3. Browser Web | Problematiche Registrano gran parte delle attività di navigazione sul sistema locale Browser utilizzati anche da cybercriminali Ricostruzione delle attività in rete di un utente 3
  • 4. Browser Forensics 4 Google Chrome 69,8% Microsoft Edge 10% Google Chrome è il browser web più utilizzato ad oggi.
  • 5. Browser Forensics Non è possibile fornire una soluzione universale per l’analisi di più browser. 5
  • 6. Browser Forensics | Metodologia proposta 6 Post-mortem analysis abbiamo estratto artefatti una volta terminata l’attività di navigazione dell’utente.
  • 7. Primo Esperimento Tor, Google Chrome e Microsoft Edge Chromium-based 1 7
  • 8. Attività Utente Sito Web Attività Account Utilizzato https://www.cybersecurity360.it/ Scroll pagina e apertura di una sezione “Ransomware” http://elearning.informatica.unisa.it/ Accesso alla piattaforma e scroll della pagina utente g.vitiello24@studenti.unisa.it https://esse3web.unisa.it/ Accesso ad esse3 e scroll della pagina utente g.vitiello24@studenti.unisa.it https://outlook.live.com/owa/ Accesso a hotmail ed apertura di un’email ricevuta giorap94@hotmail.it 8
  • 9. Analisi di Tor | Volatility 9 ◉ volatility –profile=Win10x6416299 -f memdump.mem pslist –output=html–output-file=pslist.html
  • 10. Analisi di Tor | Bulk Extractor ◉ Molte occorrenze email sono state estratte dal file email_histogram.txt. ◉ Tra le evidenze spicca l’email usata per accedere a login.live.com (giorap94@hotmail.it). ◉ Sono state trovate anche gran parte delle email che hanno interagito con l’email presa in esame. 10
  • 11. Analisi di Google Chrome | Bookmarks 11
  • 12. Analisi di Microsoft Edge | La cache 12 Mediante un editor esadecimale è possibile analizzare i file contenuti nella cache del browser.
  • 13. Secondo Esperimento Tor, Google Chrome e Microsoft Edge Chromium-based 2 13
  • 15. Analisi di Tor | Volatility 15◉ volatility –profile=Win10x6416299 -f memdump.mem pslist –output=html–output-file=pslist.html
  • 16. Analisi di Tor | Bulk Extractor ◉ Dal file url_facebook-address.txt sono state estratte delle informazioni importanti. ◉ In questo file è contenuto l’id facebook univoco di un amico con cui l’utente ha interagito, che in questo caso è giorgio.vitiello94. ◉ Inoltre nel file url_histogram.txt sono emerse anche evidenze riguardanti sottosezioni del sito Apple, in particolare la sottosezione che riguarda iPhone. 16
  • 18. Analisi di Chrome | ChromeHistoryView 18
  • 20. Analisi di Edge | Last Session 20 Come è possibile notare l’utente ha effettuato l’accesso ad amazon con la propria email. Tale file evidenzia l’ultima sessione di navigazione.
  • 21. Terzo Esperimento Comparativa dei risultati ottenuti fra i tre browser 3 21
  • 23. Analisi di Tor | HexFiend 23
  • 24. Analisi di Tor | Bulk Extractor 24
  • 25. Analisi di Google Chrome 25
  • 27. Comparativa Primo Esperimento 27 Tor Google Chrome Edge-Chromium Data Inizio Attività ✅ ❌ ❌ Cronologia Utente ✅ ✅ ✅ Email Utilizzate ✅ ✅ ✅ Password Trovate ❌ ✅ ✅ Data Fine Attività ❌ ❌ ❌
  • 28. Comparativa Secondo Esperimento 28 Tor Google Chrome Edge-Chromium Data Inizio Attività ✅ ❌ ❌ Cronologia Utente ✅ ✅ ✅ Email Utilizzate ✅ ✅ ✅ Artefatti Facebook ✅ ✅ ✅ Password Trovate ❌ ✅ ✅ Data Fine Attività ✅ ❌ ❌
  • 29. Comparativa Terzo Esperimento 29 Tor Google Chrome Edge-Chromium Data Inizio Attività ❌ ❌ ❌ Cronologia Utente ✅ ✅ ✅ Email Utilizzate ✅ ✅ ✅ Contenuto Youtube ❌ ✅ ✅ Password Trovate ❌ ✅ ✅ Data Fine Attività ❌ ❌ ❌
  • 30. Perchè è utile questo lavoro? La ricerca sviluppata è innovativa poichè non ci sono ricerche comparative simili in letteratura scientifica. 30
  • 31. Conclusioni | Sviluppi Futuri Analizzare altri casi di studio simili alla realtà Considerare altri S.O. oltre a Windows 10 31 Utilizzare questa metodologia applicata agli smartphone

Editor's Notes

  1. I browser web sono oggi giorno utilizzati non più esclusivamente sui personal computer, ma anche sugli smartphone, sui tablet ecc. e spesso sono utilizzati non solo per una semplice ricerca o per la navigazione in rete ma possono essere usati anche per navigare attraverso il file system di un dispositivo. La cache di un browser web può contenere diversi elementi che spaziano dalle immagini ai documenti o anche file eseguibili legati all’attività dell’utente sulla rete. Dal browser è possibile risalire ad informazioni sensibili legate ad un utente che naviga in rete attraverso di esso, basti pensare ai dati inseriti nei form HTML come ad esempio username e password di account relativi a servizi di mailing o social network, informazioni finanziarie come il numero di una carta di credito ecc.
  2. E’ importante tracciare l’attività di un cybercriminale, poichè potrebbe costituire una prova digitale 2. come pagine visitate file scaricati, credenziali di accesso ecc.
  3. La maggior parte degli strumenti è progettata ad-hoc per i singoli browser ed essendo presenti diversi browser, l’utente malintenzionato può utilizzare più browser contemporaneamente per compiere l’illecito per cui l’investigatore deve avere la piena conoscenza della struttura dei diversi browser e delle differenti tipologie di artefatti prodotti. Una sfida è progettare strumenti ad-hoc in grado di favorire l’analisi contemporaneamente di più browser che siano in grado di produrre evidenze precise.
  4. Quest’analisi prevede l’estrazione e l’analisi degli artefatti memorizzati nella cartella Default nel caso di chrome ed edge e nel caso di Tor nell’analisi del dump acquisito. Sono stati analizzati i file principali che consentono la ricostruzione degli eventi legati all’attività di navigazione del cybercriminale Vantaggio: possibile analizzare le evidenze mediante tolls già esistenti; Non sono necessari strumenti ad-hoc che forniscono i medesimi risultati; Notevole risparmio di tempo.
  5. Il sistema deve essere attivo.
  6. Per prima cosa l’utente accede a Windows con il suo account, dopo aver acceduto a Tor effettua la registrazione al noto social network Facebook . Successivamente navigherà all’interno del social per qualche minuto, aprendo una chat e scambiando messaggi con un suo amico per poi effettuare il logout. Dopodichè l’utente accederà al sito https://www.apple.com ed effettuerà anche su di esso una normale navigazione. Mediante il tool FTK Imager, sarà acquisito ed analizzato il memory dump, alla ricerca di evidenze relative a nome utente, cognome, password, email, ed eventuali tracce della conversazione effettuata.
  7. L’artefatto verificato ̀e l’inizio dell’attivit̀a sia di firefox.exe alle 10:57:11 del 9 Settembre 2020 che dell’inizio dell’attività di tor.exe alle 10:57:13 del 9 Settembre 2020. Si evidenzia quindi, anche l’ordine temporale secondo cui vengono eseguiti tali applicativi all’avvio del bundle di Tor; Sarà invocato prima il processo relativo a firefox e poi quello di tor. si può notare che l’ultimo evento legato a firefox sia verso le 11:26:16 del 9 Settembre 2020 e e che gli eventi relativi a tor si susseguono nel tempo.
  8. In questa sezione verr̀a esaminato il contenuto della cartella Default in cui sono salvati gli artefatti, cos̀ı da estrapolare le evidenze che successivamente potrebbero essere utilizzate durante un processo giudiziario. Tutti gli artefatti relativi alla navigazione dell’utente vengono memorizzati sul disco del dispositivo utilizzato. Di seguito ̀e mostrato il diagramma UML delle azioni fatte dall’utente prima di procedere con l’analisi degli artefatti.
  9. In questa sezione faremo una descrizione dell’esperimento. Per prima cosa l’utente accede a Windows con il suo account, dopo aver acceduto a Tor effettua il login sulla piattaforma Youtube. Successivamente navigherà all’interno della pagina per qualche minuto, aprendo un video per poi effettuare il logout. Dopodich̀e l’utente acceder̀a al sito https://www.amazon.it/ ed effettuerà anche su di esso una normale navigazione per circa un paio di minuti effettuando il login col proprio account, e una volta terminata la sessione di navigazione effettuer̀a il logout. Successivamente l’utente entrerà nel proprio account Gmail effettuando il login col proprio account, invier̀a un’email ad un suo amico segnalando un prodotto interessante su Amazon e successivamente effettuer̀a il logout.
  10. Qui invece notiamo alcune tracce di cronologia di navigazione che riguardano l’utente. Specificatamente, ̀e possibile rilevare che l’utente ha visitato, sul sito Amazon, una pagina per l’acquisto di un paio di cuffie con microfono, un prodotto al quale probabilmente l’utente ̀e interessato. Ora, tenuto conto degli artefatti rinvenuti, effettuaremo le medesime operazioni anche per gli altri due browser e compareremo successivamente le evidenze rinvenute e mancanti per vedere se effettivamente l’utilizzo di un browser impatta dal punto di vista della memory forensics rispetto ad un altro.
  11. In conclusione comparando gli artefatti di Google Chrome e quelli di Tor, dal punto di vista del flusso di navigazione non risultano grosse differenze; siamo riusciti a risalire tranquillamente, in entrambi i casi, alla cronologia completa. Cìo non toglie che in alcune circostanze Google Chrome ̀e più ”conservativo” rispetto a Tor: per esempio le credenziali di accesso sono più difficilmente eliminabili da Chrome rispetto a Tor. Con l’analisi forense su Chrome siamo riusciti in un caso a risalire anche al tipo di contenuto che l’utente ha visualizzato su youtube, mentre su Tor non ̀e risultato alcun dettaglio circa i contenuti visionati. In conclusione, anche se di poco, Google Chrome sta perdendo (dal punto di vista dell’utente) e sta vincendo (dal punto di vista dell’investigatore forense) rispetto a Tor. Nel terzo esperimento di Microsoft Edge compareremo gli artefatti di tutti e tre i browsers per valutare quale browser impatta di più dal punto di vista della memory forensics.
  12. In conclusione comparando gli artefatti di Microsoft Edge con quelli di Google Chrome e quelli di Tor, dal punto di vista del flusso di navigazione non ci sono grosse differenze (sopratutto tra Chrome ed Edge); siamo riusciti a risalire tranquillamente in tutti e tre i casi alla cronologia completa. Cìo non toglie che in alcune circostanze Microsoft Edge e Google Chrome sono più ”conservativi” rispetto a Tor; le credenziali di accesso, ad esempio, sono più difficili da rimuovere da Edge e Chrome che da Tor. Con l’analisi forense su Edge e Chrome siamo riusciti, in un caso, a risalire anche al tipo di contenuto che l’utente ha visualizzato su youtube, mentre su Tor questo tipo di informazione non ̀e stata rinvenuta. In definitiva, anche se di poco, Edge e Google Chrome se messi a confronto col browser Tor, risultano perdenti dal punto di vista dell’utente, ma senz’altro vincenti dal punto di vista dell’investigatore forense.
  13. Nello specifico nel primo esperimento del browser di Tor siamo riusciti, mediante i tools volatility, bulk extractor a risalire a quasi tutte le attivit̀a che l’utente ha svolto durante il flusso di navigazione: ad esempio siamo riusciti a risalire alla data di inizio attivit̀a, tracce di cronologia, email relative alle attivit̀a svolte nell’esperimento Nel primo esperimento di Google Chrome, invece, abbiamo trovato mediante i vari strumenti di investigazione forense siamo riusciti a risalire a molti più artefatti mostrando ad esempio le passwords degli account che l’utente aveva salvato all’interno del proprio browser, oltre che alla cronologia il quale ci ha permesso di ricostruire una timeline abbastanza precisa relativa all’attivit̀a svolte dall’utente. Infine su Edge Chromium, sempre nel primo esperimento, abbiamo rinvenuto pressoch̀e gli stessi artefatti di Google Chrome: infatti Edge basandosi su Chromium ̀e molto simile a Chrome e non abbiamo avuto difficolt̀a nell’estrarre le evidenze con gli stessi strumenti usati per Chrome.
  14. Nel secondo esperimento, essendo uno scenario differente che riguardava anche l’utilizzo del social network Facebook, si ̀e riusciti, nel caso di Tor, a risalire all’email utilizzata in fase di registrazione a facebook ed anche con chi l’utente ha interagito col suddetto social network ed anche tracce di conversazione. Ovviamente in tutti e tre i browser abbiamo rinvenuto la maggior parte delle attivit̀a svolte dall’utente. Nello specifico in Google Chrome ed Edge Chromium, a differenza di Tor, abbiamo anche le password in chiaro degli account utilizzati per accedere a siti come Nike e Facebook.
  15. Infine nel terzo esperimento, abbiamo ancora un altro scenario differente dai primi due esperimenti; più nel dettaglio nel caso di Tor siamo riusciti a risalire, oltre a quasi tutte le attivit̀a svolte dall’utente, come ad esempio il login ed il logout delle piattaforme Youtube ed Amazon ed anche alle sottosezioni visitate degli stessi, anche con quale email e con chi l’utente ha interagito con il proprio account Gmail. Nel caso invece di Google Chrome ed Edge Chromium, oltre a cìo che ̀e stato rinvenuto in Tor, abbiamo anche le password dei vari account dell’utente, ovvero quello di Amazon, Gmail e Youtube. In conclusione, dal punto di vista del flusso di navigazione non ci sono grosse differenze, soprattutto per Chrome ed Edge che sono molto simili. In alcuni casi Tor si ̀e mostrato meno conservativo rispetto agli altri due poich̀e ad esempio non siamo riusciti a risalire alle password dei vari account dell’utente. In definitiva diciamo che Tor ̀e al primo posto in termini di privacy dell’utente mentre Google Chrome ed Edge Chromium meritano un ”secondo posto” entrambi poich̀e nessuno dei due prevale sull’altro.
  16. Può essere importante per un investigatore forense poichè già in fase di preparazione è in grado di intuire quali evidenze possono essere rinvenute.
  17. Concludendo, dato che questo lavoro di tesi si è basato sul sistema operativo Microsoft Windows 10, un ulteriore sviluppo futuro potrebbe prevedere l’estensione del lavoro trattato considerando anche altri sistemi operativi, come ad esempio Apple OS X/MacOS, Linux e così via.