Ljubljana, 2015 Zbornik Digitalna Forenzika, Seminarske Naloge 2014/2015
Total Page:16
File Type:pdf, Size:1020Kb
2014/2015 Ljubljana, 2015 Zbornik Digitalna forenzika, Seminarske naloge 2014/2015 Editors: Andrej Brodnik, Luka Krsnik, Anˇze Mikec, Nejc Novak, ˇstudenti Ljubljana : Univerza v Ljubljani, Fakulteta za raˇcunalniˇstvo in informatiko, 2015. c These proceedings are for internal purposes and under copyright of University of Ljubljana, Faculty of Computer and Information Science. Any redistribution of the contents in any form is prohibited. All rights reserved. Kazalo 1 Povzetki (abstracts) 4 1.1 Distributed filesystem forensics: XtreemFS as a case study . .4 1.2 Pregled "Asset Risk Scoring in Enterprise Network with Mutually Reinforced Reputation Propagation" . .4 1.3 Pregled analiz in gradnja kriminalnih mreˇz . .4 1.4 Uspeˇsnostkampanj z nezaˇzelenopoˇstoin botneti . .5 1.5 Forenziˇcnaanaliza z DNSSEC . .5 1.6 Preiskovanje napadov povezanih z izvornimi vrati 0 . .5 1.7 Detecting NAT gateways and differenting host devices behind NAT for purposes of digital forensic investigations . .6 1.8 Steganografija v LTE (Long Term Evolution) sistemi . .6 1.9 Overview of PeerShark and other software for detecting peer-to-peer botnets . .6 1.10 Cloud Forensics: iCloud . .6 1.11 Towards a Forencsic-Aware Database Solution: Using a secured Database Replication Protocol and Transaction Management for Digital Investigations . .7 1.12 Prednosti in slabosti ˇzive in mrtve forenziˇcneanalize . .7 1.13 VMI-PL: Jezik za nadzor navideznih platform z vpogledom v navidezne stroje . .7 1.14 Impacts of increasing volume of digital forensics data: A survey and future research chal- lenges . .8 1.15 Video Evidence as Used in Court of Law and its Source Identification . .8 1.16 Pridobivanje skritih sporoˇciliz steganografskih slik . .8 1.17 Analiza stisnjenega RAM-a na operacijskih sistemih Mac OS X in Linux . .8 1.18 Skrivanje podatkov v ˇsifriranih video vsebinah H.264/AVC s pomoˇcjozamenjave kodnih besed ...............................................9 1.19 Samodejno prepoznavanje kopiranih kriminalnih spletnih strani z metodo gruˇcenja . .9 I Digitalna forenzika na diskih 11 Distributed filesstem forensics: XtreemFS as a case study . 12 1 II Digitalna forenzika na omreˇzjih 18 Pregled "Asset Risk Scoring in Enterprise Network with Mutually Reinforced Reputation Propagation" . 19 Pregled analiz in gradenj kriminalnih mreˇz . 23 Uspeˇsnostkampanj z nezaˇzelenopoˇsto in botneti . 30 Forenziˇcnaanaliza z DNSSEC . 37 Preiskovanje napadov povezanih z izvornimi vrati 0 . 42 Detecting NAT gateways and differenting host devices behind NAT for purposes of digital forensic investigations . 51 Steganografija v LTE sistemih . 58 Overview of PeerShark and other software for detecting peer-to-peer botnets . 66 Cloud Forensics - iCloud . 72 III Digitalna forenzika na sistemih 79 Towards a Forencsic-Aware Database Solution: Using a secured Database Replication Protocol and Transaction Management for Digital Investigations . 80 Prednosti in slabosti ˇzive in mrtve forenziˇcneanalize . 87 VMI-PL: Jezik za nadzor navideznih platform z vpogledom v navidezne stroje . 94 IV Druga podroˇcjadigitalne forenzike 97 Impacts of increasing volume of digital forensics data: A survey and future research chal- lenges . 98 Video Evidence as Used in Court of Law and its Source Identification . 108 Pridobivanje skritih sporoˇciliz steganografskih slik . 116 Analiza stisnjenega RAM-a na operacijskih sistemih Mac OS X in Linux . 123 Skrivanje podatkov v ˇsifriranihvideo vsebinah H.264/AVC s pomoˇcjozamenjave kodnih besed ............................................... 131 Samodejno prepoznavanje kopiranih kriminalnih spletnih strani z metodo gruˇcanja. 138 2 Uvod Forenziˇcnaznanost je znanstvena metoda, ki zbira, prouˇcujein hrani informacije preteklosti, ki jih lahko uporabimo na sodiˇsˇcih.Z razvojem na razliˇcnih podroˇcjihse je znanost moˇcnorazˇsirila,zato najverje- tneje ne obstaja nihˇce,ki bi poznal celotno podroˇcjeforenzike. Forenziˇcnoznanost tvori veˇcpodvej. To so npr. digitalna forenzika, bioforenzika, forenziˇcnakemija itd. Zbornik se osredotoˇcana digitalno forenziko. To je veja forenziˇcneznanosti, ki se nanaˇsana materialne dokaze iz digitalnih naprav. Digitalno forenziko bi lahko dalje razdelili na raˇcunalniˇsko (datoteˇcno)fo- renziko (hranjenje in analiza raˇcunalnikov), omreˇznoforenziko (hranjenje in analiza prometa ter logov omreˇzja),mobilno forenziko (hranjenje in analiza pametnih telefonov ter sistemov GPS) in forenziko slabogramja (hranjenje in analiza zlonamerne kode). Studentjeˇ magistrskega ˇstudijaFakultete za raˇcunalniˇstvo in informatiko Univerze v Ljubljani, ki smo obiskovali predmet Digitalna forenzika, smo med ˇstudijskimletom dobili nalogo, katere rezultat je ta zbornik. Med nalogo smo bili razdeljeni v skupine z najveˇctremi ˇclani.Vsaka skupina je dobila ˇclanek, ki se je navezoval na eno izmed vej digitalne forenzike in je bil v ˇcasupisanja aktualen (veˇcinajih je izˇsla v letu 2014). Skupine so dodeljeni ˇclanekmorale prebrati, raziskati podobne ˇclanke in napisati njihovo obnovo, za boljˇsooceno pa so lahko tudi izvedle eksperiment, ki je bil opisan v ˇclanku. Vse te naloge, ki smo jih lahko napisali v slovenˇsˇciniali angleˇsˇcini,so strnjene v seminarsko nalogo. Vsak ˇstudent je po zapisani seminarski nalogi dobil dva druga ˇclanka, ki ju je moral recenzirati (kot bi rokovali s pravimi ˇclanki).Po recenziji so bile vse naloge ˇse enkrat pregledane in popravljene. Ta zbornik predstavlja skupek vseh konˇcnihseminarskih nalog, ki so bile narejene v ˇstudijskem letu 2014/2015. Namenjen je vsem, ki jih zanima podroˇcjedigitalne forenzike ali pa le specifiˇcnatema, opi- sana v zborniku. Upam, da ob prebiranju izveste kaj novega, zanimivega in uporabnega. Luka Krsnik 3 Poglavje 1 Povzetki (abstracts) 1.1 Distributed filesystem forensics: XtreemFS as a case study Clanekˇ opisuje postopek forenziˇcnepreiskave porazdeljenih datoteˇcnihsistemov v oblaku, pri ˇcemer se osredotoˇcina znan datoteˇcnisistem XtreemFS. Porazdeljeni datoteˇcnisistemi nam nudijo cenovno ugodne in efektivne reˇsitve za shranjevanje velikih koliˇcinpodatkov v oblaku. Tudi te tehnologije so lahko izkoriˇsˇcenev zlonamerne namene, zato potrebujemo postopke in orodja za digitalno forenziˇcno preiskavo. V ˇclankuavtorja uporabita predlagan sploˇsenpostopek preiskave porazdeljenih datoteˇcnih sistemov na sistemu XtreemFS, pri ˇcemerga razˇsiritas speciˇcnimilastnostmi sistema XtreemFS, ki jih je potrebno upoˇstevati pri zbiranju dokaznega gradiva. Avtorja na koncu ˇclanka tudi predlagata natanˇcen proces zbiranja digitalnih dokazov iz porazdeljenih datoteˇcnihsistemov. 1.2 Pregled "Asset Risk Scoring in Enterprise Network with Mutually Reinforced Reputation Propagation" Clanekˇ Asset Risk Scoring in Enterprise Network with Mutually Reinforced Reputation Propagation predstavlja metodo za vrednotenje ogroˇzenostiv omreˇzjuimenovano MUSE (Mutually-reinforced Un- supervised Scoring for Enterprise risk). Pregledali bomo algoritme, na katerih je metoda osnovana in podroˇcjeuporabe, ki mu je namenjena. Metoda uporablja ideje, ki so ˇzeznane iz analiz varnosti na spletu in jih uporabi za analizo omreˇzjav podjetju. Dobljene rezultate je mogoˇceuporabiti za bolj uˇcinkovito zaznavanje groˇzenjter za pomoˇcpri preiskavi. Na koncu bomo predstavili ˇsepodrobnosti same metode in njeno analizo. 1.3 Pregled analiz in gradnja kriminalnih mreˇz V zaˇcetnemdelu priˇcujoˇcegabesedila je predstavljen ˇclanekConstructing and Analyzing Criminal Ne- tworks, v katerem se avtorji ˇclanka spraˇsujejo,ali lahko s pomoˇcjojavno pridobljenih e-poˇstnih naslovov (s pomoˇcjoFacebook profilov) kriminalcev zgradijo smiselno mreˇzoin na tak naˇcinodkrijejo kriminalne 4 skupine, vodje teh skupin in osebe, ki kriminalne skupine povezujejo. V ˇclankuavtorji predstavijo me- todologijo, orodja in mere, ki so jih uporabili pri raziskovanju, vse troje pa je predstavljeno tudi v tem ˇclanku. Kratek pregled obstojeˇcih raziskav, ki je predstavljen v besedilu, zagotovo ne zajema vseh ob- javljenih del in celotnega obravnavanega podroˇcja,obsega pa dela s podroˇcjasocialnih mreˇzin analiz ter s podroˇcjakriminalnih socialnih mreˇz.Podobna metodologija, orodja in mere, kot so jih uporabljali omenjeni avtorji, so uporabljene tudi v zadnjem delu ˇclanka, ki opisuje uporabo teh orodij na mreˇzi plezalnega centra Ljubljana. 1.4 Uspeˇsnostkampanj z nezaˇzelenopoˇstoin botneti Poˇsiljanjenezaˇzelenepoˇstepovzroˇcateˇzave tako konˇcnimnaslovnikom kot tudi vmesnim ˇclenom - po- nudnikom raznih spletnih storitev, lastnikom raˇcunalnikov, ki so del botnetov in mreˇzni arhitekturi. Poˇsiljateljise posluˇzujejoveliko razliˇcnihmetod za doseganje ˇcimviˇsjeuˇcinkovitosti in uspeˇsnostioz. dostavljivosti nezaˇzelenihsporoˇcil- v tem delu smo naredili kratek pregled stanja na tem podroˇcjuin skuˇsamoizpostaviti najpomembnejˇse. Nezaˇzelenasporoˇcilase ˇsirijone le v domeni elektronske poˇste, temveˇctudi preko veliko drugih elektronskih kanalov. Za laˇzjein uˇcinkovitejˇsepoˇsiljanje se avtorji kampanj posluˇzujejobotnetov - omreˇzjaokuˇzenihraˇcunalnikov, ki sluˇzijo namenu poˇsiljanja nezaˇzelene poˇste.V delu je predstavljena arhitektura botnetov in opisan eden izmed najveˇcjih,Cutwail. 1.5 Forenziˇcnaanaliza z DNSSEC Zastrupljanje DNS predpomnilnika je pogosta oblika raˇcunalniˇskega napada, s katero je mogoˇcenadzoro- vati ˇzrtvinspletni promet, ji uvajati omejitve pri dostopu, oziroma do nje prenaˇsati ˇskodljivo programsko opremo. Njegovo obvladovanje je eden kljuˇcnihdejavnikov za zagotavljanje pravilnosti in dostopnosti internetnega omreˇzjain