Mts2009 krzysztof binkowski - praktyczne spojrzenie na zastosowanie smartca...
Co w Facebook’u piszczy, czyli media społecznościowe z perspektywy informatyki śledczej, facebook_forensic_semafor 2013
1. CO W FACEBOOK’U PISZCZY, CZYLI MEDIA
SPOŁECZNOŚCIOWE Z PERSPEKTYWY
INFORMATYKI ŚLEDCZEJ
Krzysztof Bińkowski / NET COMPUTER / ISSA PL
2. Cel prezentacji
Prezentacja zapozna uczestników z metodami i sposobami analizy śladów
pozostawionych przez użytkowników korzystających z Facebook’a wraz z
demonstracją niektórych rozwiązań ułatwiających taką analizę.
Odpowiemy na pytanie czy ślady pozostawione na urządzeniu podczas
korzystania z Facebook’a mogą wspomóc proces analizy informatyki
śledczej.
Sprawdzimy, co w Facebook’u piszczy i czy Facebook’wy protokół
wymiany jest taki straszny jak go malują.
3. Agenda
Wstęp
Trochę teorii …
• Facebook web vs Facebook Apps
• Facebook Artifacts
• Facebook Protocol
Trochę praktyki …
• Gdzie można wyszukać informacje
• W jaki sposób i za pomocą jakich narzędzi
• Protokół Facebook w praktyce
Urządzenia mobilne …
• Akwizycja danych
• Analiza danych na przykładzie iOS i Android
7. Facebook z perspektywy informatyki śledczej
Ślady pozostawione przez korzystanie z Facebook’a w
dowolnej formie na komputerze lub urządzeniu
mobilnym
Ślady zawierają informacje, które mogą być powiązane z
określonym zdarzeniem, czynnością lub zachowaniem
użytkownika
8. Facebook z perspektywy informatyki śledczej
Co można ujawnić?
Gdzie można ujawnić?
W jaki sposób można ujawnić ?
W jaki sposób można zaprezentować ujawnione dane ?
9. Co można ujawnić ?
Wyszukiwanie znajomych
Publikacja postów na własnej tablicy
Komentowanie na tablicy innych osób
Tworzenie wydarzeń (wysyłanie wiadomości do grupy)
Wiadomości/rozmowy (chat)
Zdjęcia powiązane z profilem danej osoby
inne
10. Gdzie można ujawnić ślady?
Komputery:
• W pamięci RAM
• W pamięci podręcznej (cache) przeglądarki
• W plikach pagefile.sys, hyberfill.sys
• W niezalokowanych obszarach dysków, slack space
• W punktach przywracania systemu
• Kopiach zapasowych
Urządzenia mobilne:
• Analiza logiczna
• Analiza fizyczna (dump)
11. W jaki sposób można ujawnić ?
Automatyczny – oprogramowanie komercyjne,
lub parsery wspomagające analizę
Ręczny – Przeszukanie danych pod kątem
charakterystycznych znaczników lub URL’i
12. W jaki sposób można ujawnić ?
Pomocne
narzędzia
komercyjne:
• IEF (INTERNET EVIDENCE FINDER)
• Internet Examiner (CacheBack)
• AccessData Forensic Tollkit, EnCase
• inne
13. W jaki sposób można zaprezentować ujawnione dane ?
Raporty automatyczne
Raporty ręczne
TimeLine ujawnionych aktywności użytkownika
14. Facebook protocol
Open Graph Protocol
JSON (JavaScript Object Notation)
Charakterystyczne artefakty dla wypowiedzi (feed), komentarzy
(comment), wiadomości i rozmów (message,chat)
Umieszczone w RAM i pamięci podręcznej przeglądarki
15. Comment
Format protokołu Facebook’a
••• class="actorPic UIImageBlock_Image
UIImageBlock_SMALL_Image" href="«tester’s profile URL»"
tabindex="-1"><img class="uiProfilePhoto
uiProfilePhotoMedium img„
src="http://static.ak.fbcdn.net/rsrc.php/v1/y9/r/IB7NOFm
Pw2a.gif" alt="" /></a><div class="commentContent
UIImageBlock_Content UIImageBlock_SMALL_Content"><a
class="actorName" href="«tester’s profile URL»" datahovercard="/
ajax/hovercard/user.php?id=«tester’s profile
id»">«tester’s full name»</a> <span datajsid="
text">u200e«content of comment»</span> •••
Źródło: Facebook Forensics - Valkyrie-X Security Research Group
20. Przydatne metadane
Metadata Field
Account Name
user_name
created_time
updated_time
To
to_id
Link
comments_num
picture_url
MD5 hash
Ingestion
Tags
Description
The account name to which the account_id is linked
display name of poster/author of a Facebook item
When a post or message was created
When a post or message was revised/updated
Name of user whom a wall post is directed to
Unique id of user whom a wall post is directed to
url of any included links
Number of comments to a post
url where picture is located
The applicable MD5 hash value for the item
The UTC date/time the item was ingested into the index
The tag(s) which have been applied to this item.
21. • IEF – w praktyce
• AccessData FTK w praktyce
• Zdjęcia -> ID profilu
23. W jaki sposób można ujawnić ?
Pomocne
narzędzia
komercyjne:
• Oxygen Forensic Analyst
• MPE+ Mobile Phone Forensics
• XRY
• SQL Viewer, PLIST viewer
• inne
27. Podsumowanie
Ujawnienie śladów aktywności na
Facebook’u w głównej mierze zależy od:
•
•
•
•
•
Zabezpieczonego materiału dowodowego
Rodzaju wykonanej akwizycji danych
Rodzaju szukanych danych
Zastosowanych narzędzi
Czasu analizy …