CO W FACEBOOK’U PISZCZY, CZYLI MEDIA SPOŁECZNOŚCIOWE Z PERSPEKTYWY INFORMATYKI ŚLEDCZEJ

Krzysztof Bińkowski / NET COMPUTER / ISSA PL

Cel prezentacji

Prezentacja zapozna uczestników z metodami i sposobami analizy śladów pozostawionych przez użytkowników korzystających z Facebook’a wraz z demonstracją niektórych rozwiązań ułatwiających taką analizę.

Odpowiemy na pytanie czy ślady pozostawione na urządzeniu podczas korzystania z Facebook’a mogą wspomóc proces analizy informatyki śledczej.

Sprawdzimy, co w Facebook’u piszczy i czy Facebook’wy protokół wymiany jest taki straszny jak go malują.

Agenda

Wstęp

Trochę teorii …

• Facebook web vs Facebook Apps

• Facebook Artifacts

• Facebook Protocol

Trochę praktyki …

• Gdzie można wyszukać informacje

• W jaki sposób i za pomocą jakich narzędzi

• Protokół Facebook w praktyce

Urządzenia mobilne …

• Akwizycja danych

• Analiza danych na przykładzie iOS i Android

Zamiast wstępu

Statystyki

źródło: http://www.socialbakers.com/facebook-statistics/poland (25.02.2013) źródło: http://blog.sotrender.com/pl/2013/01/polski-facebook-w-2012-roku-sotrender-podsumowuje-czesc-2/

Najbardziej popularne sposoby korzystania z Facebook’a

• Przeglądarka internetowa

• Aplikacja mobilna Facebook

Facebook z perspektywy informatyki śledczej

Ślady pozostawione przez korzystanie z Facebook’a w dowolnej formie na komputerze lub urządzeniu mobilnym

Ślady zawierają informacje, które mogą być powiązane z określonym zdarzeniem, czynnością lub zachowaniem użytkownika

Facebook z perspektywy informatyki śledczej

Co można ujawnić?

Gdzie można ujawnić?

W jaki sposób można ujawnić ?

W jaki sposób można zaprezentować ujawnione dane ?

Co można ujawnić ?

Wyszukiwanie znajomych

Publikacja postów na własnej tablicy

Komentowanie na tablicy innych osób

Tworzenie wydarzeń (wysyłanie wiadomości do grupy)

Wiadomości/rozmowy (chat)

Zdjęcia powiązane z profilem danej osoby

inne

Gdzie można ujawnić ślady?

Komputery:

• W pamięci RAM

• W pamięci podręcznej (cache) przeglądarki

• W plikach pagefile.sys, hyberfill.sys

• W niezalokowanych obszarach dysków, slack space

• W punktach przywracania systemu

• Kopiach zapasowych

Urządzenia mobilne:

• Analiza logiczna

• Analiza fizyczna (dump)

W jaki sposób można ujawnić ?

Automatyczny – oprogramowanie komercyjne, lub parsery wspomagające analizę

Ręczny – Przeszukanie danych pod kątem charakterystycznych znaczników lub URL’i

W jaki sposób można ujawnić ?

• IEF (INTERNET EVIDENCE FINDER)

• Internet Examiner (CacheBack)

• AccessData Forensic Tollkit, EnCase

• inne

Pomocne narzędzia

komercyjne:

W jaki sposób można zaprezentować ujawnione dane ?

Raporty automatyczne

Raporty ręczne

TimeLine ujawnionych aktywności użytkownika

Facebook protocol

Open Graph Protocol

JSON (JavaScript Object Notation)

Charakterystyczne artefakty dla wypowiedzi (feed), komentarzy (comment), wiadomości i rozmów (message,chat)

Umieszczone w RAM i pamięci podręcznej przeglądarki

Comment

Format protokołu Facebook’a

••• class="actorPic UIImageBlock_ImageUIImageBlock_SMALL_Image" href="«tester’s profile URL»"tabindex="-1"><img class="uiProfilePhotouiProfilePhotoMedium img„src="http://static.ak.fbcdn.net/rsrc.php/v1/y9/r/IB7NOFmPw2a.gif" alt="" /></a><div class="commentContentUIImageBlock_Content UIImageBlock_SMALL_Content"><aclass="actorName" href="«tester’s profile URL»" datahovercard="/ajax/hovercard/user.php?id=«tester’s profileid»">«tester’s full name»</a> <span datajsid="text">\\u200e«content of comment»</span> •••

Źródło: Facebook Forensics - Valkyrie-X Security Research Group

News Feed

Format protokołu Facebook’a

••• class="actorPic UIImageBlock_ImageUIImageBlock_SMALL_Image" href="«helper’s profile URL»"tabindex="-1"><img class=\\\"uiProfilePhotouiProfilePhotoMedium img" src="«helper’s profilepicture»" alt="" /></a><div class=\\\"commentContentUIImageBlock_Content UIImageBlock_SMALL_Content"><aclass="actorName" href="«helper’s profile URL»" datahovercard="/ajax/hovercard/user.php?id=«helper’s profileid»">«helper’s full name»</a> <span datajsid="text">\\u200e«content of reply»</span><divclass="commentActions fsm fwn fcg"><abbr title="«localtime»" data-date="«time in GMT-7»"class="timestamp">«last post’s time» •••

Źródło: Facebook Forensics - Valkyrie-X Security Research Group

Chat / Message7"}],2],["m_jsonp_6_3",["WebMessengerApp","m_jsonp_6_2","m_jsonp_6_4"],[{"__m":"m_js

onp_6_2"},{"threads":[{"thread_id":"id.160376594120062","last_action_id":"1362349785192

000000","participants":["fbid:100005302987775","fbid:1251344752"],"name":null,"snippet":"

Dzien dobry wieczor, proponuje kontakt telefoniczny w dniu

jutrzejszym","snippet_has_attachment":false,"is_forwarded_snippet":false,"snippet_attachm

ents":[],"snippet_sender":"fbid:100005302987775","unread_count":0,"message_count":1,"i

mage_src":"","timestamp_absolute":"Sunday","timestamp_relative":"11:29pm","timestamp_t

ime_passed":1,"timestamp":1362349784958,"server_timestamp":1362349784958,"mute_s

ettings":[],"is_canonical_user":true,"is_canonical":true,"canonical_fbid":1251344752,"is_sub

scribed":true,"root_message_threading_id":"\u003C1362349782015:0-

ea5ebcf2465e9f02\u0040mail.projektitan.com>","folder":"inbox","is_archived":false,"chat_cl

ear_time":-

1,"mode":2,"recipients_loadable":true},{"thread_id":"id.515123928526883","last_action_id":"

1362348464930000000","participants":["fbid:686593348","fbid:100005302987775"],"name":

null,"snippet":"Na placu Pigalle... Zuzanna lubi je tylko

jesieni\u0105","snippet_has_attachment":false,"is_forwarded_snippet":false,"snippet_attac

hments":[],"snippet_sender":"fbid:686593348","unread_count":0,"message_count":4,"image

_src":"","timestamp_absolute":"Sunday","timestamp_relative":"11:07pm","timestamp_time_

passed":1,"timestamp":1362348464745,"server_timestamp":1362348464745,"mute_setting

s":[],"is_canonical_user":true,"is_canonical":true,"canonical_fbid":686593348,"is_subscribed":true,"root_message_threading_id":"\u003C1362347053408:0-

Zdjęcia

hdd_imag_FC_last.E01/Partition 2/NONAME [NTFS]/[root]/Users/Jan Przykladowy/AppData/Local/Microsoft/Windows/Temporary Internet Files/Low/Content.IE5/7VZUYBJS/203438_100005302987775_574473619_q[1].jpg

hdd_imag_FC_last.E01/Partition 2/NONAME [NTFS]/[root]/Users/Jan Przykladowy/AppData/Local/Microsoft/Windows/Temporary Internet Files/Low/Content.IE5/IFMBPPP7/49221_686593348_3574_q[1].jpg

http://www.facebook.com/profile.php?id=100005302987775

Przydatne metadane

Metadata Field Description Uri Unified resource identifier of the subject item fb_item_type Identifies item as Wallitem, Newsitem, Photo, etc. parent_itemnum Parent item number - sub items are tracked to parent thread_id Unique identifier of a message thread recipients All recipients of a message listed by name recipients_id All recipients of a message listed by user id. album_id Unique id number of a photo or video item post_id Unique id number of a wall post application application used to post to Facebook (i.e, from an iPhone or social media client) user_img url where user profile image is located user_id Unique id of the poster/author of a Facebook item account_id Unique id of a users account

Przydatne metadane

Metadata Field Description Account Name The account name to which the account_id is linked user_name display name of poster/author of a Facebook item created_time When a post or message was created updated_time When a post or message was revised/updated To Name of user whom a wall post is directed to to_id Unique id of user whom a wall post is directed to Link url of any included links comments_num Number of comments to a post picture_url url where picture is located MD5 hash The applicable MD5 hash value for the item Ingestion The UTC date/time the item was ingested into the index Tags The tag(s) which have been applied to this item.

• IEF – w praktyce

• AccessData FTK w praktyce

• Zdjęcia -> ID profilu

Urządzenia mobilne

Wymagają szczególnego

podejścia

Akwizycja logiczna

- Lista aplikacji (PLIST)

Akwizycja fizyczna (dump) iOS, Android (

dość trudna i nie zawsze możliwa)

-PLIST, bazy SQLite

Backup iTunes, Android

W jaki sposób można ujawnić ?

• Oxygen Forensic Analyst

• MPE+ Mobile Phone Forensics

• XRY

• SQL Viewer, PLIST viewer

• inne

Pomocne narzędzia

komercyjne:

iOS

PLIST

Bazy SQLlite

iTunes Backup –(C:\Users\[user]\AppData\Roaming\Apple Computer\MobileSync\Backup\[unique identifier])

Android

Aplikacja

Baza SQLite

Backup Android

Analiza iOS, Android

• Oxygen Forensic

Podsumowanie

Ujawnienie śladów aktywności na Facebook’u w głównej mierze zależy od:

• Zabezpieczonego materiału dowodowego

• Rodzaju wykonanej akwizycji danych

• Rodzaju szukanych danych

• Zastosowanych narzędzi

• Czasu analizy …

Pytania ?

• Dziękuję za uwagę

kb@netcomputer.pl