Dropbox Forensics Analysis

Università degli Studi di Salerno
C.L. Magistrale in Informatica
Corso di Sicurezza – Prof. Alfredo De Santis
A.A. 2012/2013
Dropbox Forensics
Analysis and Security
Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
sicurezza.unisa@gmail.com

Outline
Introduzione
Dropbox
Dropbox Forensics
Identificazione delle prove
Acquisizione delle prove
Analisi
Post-mortem Analysis
Live Analysis
Utilizzo di tecniche Anti – Forensics
Problematiche di sicurezza
Conclusioni
Università degli Studi di Salerno – Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone

Introduzione: Cloud Computing
Ampliamento di
memorie fisiche come
gli hard disk che
aumentano in modo
sempre più rilevante la
loro capacità.
Sempre maggiore
richiesta, da parte degli
utenti, di maggior spazio
in cui poter salvare i propri
dati al minor costo
possibile e accedervi da
qualsiasi posto.

Secondo il NIST, il National Institute of Standards Technology:
“un modello (architetturale) che abilita l’accesso on demand tramite la rete ad un pool
condiviso di risorse di elaborazione configurabili come reti, server, storage, applicazioni e
servizi che possono essere erogate e liberate in modo rapido con contenuti e attività di
gestione.”

Le soluzioni Cloud Computing stanno modificando rapidamente
le dinamiche del web con :
Nuove opportunità per
le Aziende e la Pubblica
Amministrazione
Un nuovo tipo di
struttura
scalabile ed elastica
In definitiva, Il Cloud Computing permette
• agli utenti di accedere ad applicazioni e dati e servizi risiedenti su
server in remoto e accessibili in qualsiasi momento ovunque e con
qualsiasi dispositivo (Pc, tablet o smartphone).
• di non sostenere investimenti iniziali per l'acquisto di macchine,nè
della manutenzione e dell'aggiornamento delle stesse.

Software as a Service
Platform as a Service
Hardware as a Service
Modelli di Cloud Computing

 SaaS: Software as a Service:
indica una applicazione che viene offerta al cliente tramite
browser, senza la necessità di installare alcun software sul PC,
ha un modello di fatturazione solitamente “per utente”.
 PaaS: Platform as a Service:
PaaS significa l’erogazione al cliente finale di una intera
piattaforma cloud, alla quale lui ha accesso tramite un
determinato framework.
 HaaS: Hardware as a service:
In questo caso parliamo di un vero e proprio accesso, con
privilegi di amministratore, ad una architettura cloud: i clienti
possono creare più istanze virtuali (senza limiti di
numero) e usufruire delle risorse della infrastruttura
cloud per far funzionare le loro macchine.

Introduzione: Digital Forensics
“The use of scientifically derived and proven methods toward the
preservation, collection, validation, identification, analysis, interpretation,
documentation and presentation of digital evidence derived from digital
sources for the purpose of facilitating or furthering the reconstruction of events
found to be criminal, or helping to anticipate unauthorized actions shown to be
disruptive to planned operations”. (2001- DFRWS Digital Forensic Research Workshop)
“La digital forensics è la scienza che consente, attraverso l’uso di
specifiche metodologie e tools, l’individuazione, la conservazione e
l’analisi delle prove digitali. “(Scientific Working Group on Digital Evidence, 1998)
Per prova digitale si intende:
“Qualsiasi informazione, con valore probatorio,
che sia o memorizzata o trasmessa in un formato digitale”
(Scientific Working Group on Digital Evidence, 1998)

Definizione
Valore probatorio
Procedure di ottenimento
Problemi aperti

1. Cosa si intende per prova digitale: qualsiasi informazione con
valore probatorio, che sia o memorizzata o trasmessa in formato
digitale.
2. Valore probatorio di una prova digitale:valore che un dato
correlato a un sistema informatico può avere in ambito giuridico o
legale.
3. Procedure di ottenimento di una prova digitale:
1) Identificazione;
2) Acquisizione;
3) Preservazione;
4) Analisi;
5) Presentazione
4. Problemi aperti: Ammissibilità degli strumenti; Ammissibilità della
prova;

Introduzione: Cloud Forensics
Cloud Forensics : di che parliamo ?
‚An interdisciplinary area between digital forensics and cloud
computing, although both definitions of digital forensics and cloud
computing are still under discussion.‛ (Ruan, Carthy, ‘Cloud Forensics’- 2011)
‚A mixture of traditional computer forensics, small scale digital
device forensics and network forensics. ‛
(Ruan, Carthy, ‘Cloud Forensics’- 2011 Advances in Digital Forensics- Springer)
“Incident response and computer forensics in a cloud environment
require fundamentally different tools, techniques and training‛.
(Challenging Security Requirements for US Government Cloud Computing Adoption 2012) NIST

In pratica…
I professionisti della digital forensic ‘tradizionale’ devono
estendere le proprie competenze e strumenti agli ambienti cloud.
Nuove problematiche legali
Multi – jurisdiction and multi – tenancy
Necessaria la collaborazione di enti governativi di diversi paesi.
Nuova frontiera per le investigazioni digitali.

Provider – Side
Artifacts
Client – Side
Artifacts
Trasparenza di
locazione fisica
Acquisizione
conforme alla
giurisdizione
Confidentiality
Endpoints
ProliferationTimelines
difficoltose
Massive crime
and
investigations
Cloud Forensics Challenges

LargeScale
implementation
Robustness
Miglioramento
della
persistenza
Forensics as a
Service
Cloud Forensics Opportunities

Dropbox
"Tutto è cominciato, nel 2007,
quando nella stazione ferroviaria
di Boston mi accorsi di aver
dimenticato a casa la mia chiavetta
USB",
scrive Drew Houston, uno dei
fondatori del sito.
"Ancora non siamo certi se sia stato
il destino od un colpo di fortuna ma
quell'evento ha di fatto dato vita
a Dropbox”

Dropbox
• È un software multipiattaforma cloud based, di
tipo SaaS.
• Si basa su protocollo crittografico SSL ed i file
immagazzinati, accessibili tramite passwork, sono
cifrati con AES.

Dropbox
1. È gratuito fino a 2 GB estendibili fino a 10GB (si guadagnano
250MB per ogni persona invitata che installi DropBox sul
proprio PC).
1. La versione a pagamento permette di estenderlo fino a
50GB o 100GB guadagnando altro invitando altre persone.
1. Può essere usato anche via Web, caricando e visualizzando
i file tramite il browser, oppure tramite il driver locale che
sincronizza automaticamente una cartella locale del file
system con quella condivisa, notificando le sue attività
all’utente.

Dropbox è tecnicamente una semplice cartella.
•
Una volta installato il
programma, infatti,
verrà automaticamente
creata una cartella con il
nome “Dropbox” nella quale
potremo inserire tutti i files
che vogliamo vengano
sincronizzati, quasi
istantaneamente, all’interno
del nostro spazio virtuale.
Dropbox

Dropbox: Statistiche di utilizzo
Già nel 2012 aveva raggiunto 100 milioni di “grazie”
(si legge in una sezione del sito)

Dropbox: Storage e Cifratura
 Le connessioni client – server di Dropbox sono protette con SSL.
 I dati sono cifrati con cifratura asimmetrica AES -256 e mantenuti su
AmazonS3 il servizio di storage di AmazonEC2
 La cifratura è effettuata dai servizi di AmazonEC2 e la chiave utilizzata è
indipendente dall’utente.
 Non sappiamo se viene utilizzata una singola chiave per ogni chunks o
per ogni file
 Osservazione: Cifratura e storage sono effettuati sullo stesso servizio
Amazon EC2 e questo può presentare problemi di sicurezza.

Dropbox: Storage e Cifratura
IP del servizio
Dropbox
Utilizzo di
cloudfront di
Amazon EC2

Dropbox: Interfaces
Dropbox utilizza interfacce differenti per le
modalità browser e client.

Dropbox: Network Architecture
 Notification Server : nel nostro caso 108.160.163.51
 Meta Data Administration Server: nel nostro caso 199.47.219.159
 System – Log Server: nel nostro caso 157.56.124.70
 Storage Server Amazon S3 : nel nostro caso 54.227.250.123

Dropbox: Notifications
• host_int : ID univoco che identifica ogni device collegato a Dropbox.
• ns_map: anche chiamato namespace, è un identificatore univoco per ogni
cartella condivisa.
• user-id: ID univoco che identifica l’utente proprietario dell’account.

Dropbox Forensics
Partiamo da un caso reale…..
Un dipendente di una azienda è
appena passato a lavorare per una
società concorrente. Il dipartimento
ricerche della sua società precedente
sospetta di un furto di proprietà
intellettuale da parte proprio di
questo dipendente.
I supporti digitali disponibili per l’ indagine sono:
- PC del dipendente
- Smartphone iPhone/Android del dipendente
- Valori Hash dei file sospettati di essere stati
trafugati

Dropbox Forensics
Dando una rapida occhiata alla cronologia di navigazione
osserviamo che il dipendente ha effettuato l’accesso a
Dropbox…
E se il ladro avesse utilizzato Dropbox per trasferire i file?

Dropbox Forensics
Possiamo produrre delle prove forensi che dimostrino, in
modo incontrovertibile che il ladro ha trasferito, proprio quei
file tramite Dropbox ad un concorrente?
Quali sono le evidenze digitali riscontrabili su una
macchina / dispositivo in seguito all’utilizzo di Dropbox ?

Dropbox Forensics
Investigazione delle tracce riscontrabili in seguito
all’utilizzo del client Dropbox e del browser Google
Chrome.
Investigazione della tracce presenti sull’hard – disk
(Post – Mortem Analysis).
Investigazione delle tracce riscontrabili nella memoria
(Live - Analysis).

Dropbox Forensics
Indagine sui file eventualmente caricati / scaricati /
cancellati.
Rilevamento dell’utilizzo di tecniche anti forensics.
Studio del protocollo di Dropbox.
Studio dei possibili attacchi alla sicurezza.

Dropbox Forensics
Abbiamo creato un account Dropbox su una macchina
separata per non confondere i dati sulle macchine da
analizzare.

Dropbox Forensics
Sono stati creati tre file, che saranno utilizzati durante
le interazioni con Dropbox e costituiranno i file sotto
indagine:
 enron3111w.docx
 enron3111.rtf
 paesaggi.jpg

Dropbox Forensics
Attraverso l’utilizzo di macchine virtuali abbiamo ricreato
una serie di possibili scenari operativi dell’utente, nei quali
sono state effettuate le più comuni interazioni con il
servizio Dropbox.

Dropbox Forensics
Base VM
Access VM Eraser VMDownload
VM
Ccleaner
VM
Upload VM Uninstall VM

Identificazione delle prove
Per ciascuno dei supporti individuati è necessario capire quali
sono i dati che devono essere acquisiti prima degli altri per
evitare la cancellazione o la sovrascrittura con altri dati.
Ordine di VOLATILITA’:
1. Registri di sistema
2. RAM
3. File system temporanei
4. Hard disk
5. Configurazione fisica e topologia di rete
6. Media di archiviazione e di backup(CD,DVD,etc)
Le due evidenziate sono quelle che , nel nostro caso ,
contengono la cosiddetta “smoking gun”…

Acquisizione delle prove:
metodologia operativa
Nel caso generale Nel nostro caso
Metodologia
operativa
Metodologia
operativa
Smontare il supporto di
memorizzazione dal computer a
cui si trova collegato e collegarlo
ad una macchina forense per
l'acquisizione
Acquisire l'immagine del disco,
utilizzando il computer oggetto di
analisi come sorgente e salvare il
risultato su un supporto esterno
rimuovibile o su una macchina
forense via rete
Abbiamo creato una macchina
virtuale sulla “macchina
forense”
Abbiamo acquisito l’immagine
del disco e della RAM della
macchina virtuale , contenente
lo smoking gun, e salvato il
risultato sulla “macchina
forense”

Acquisizione delle prove: Sistema
Operativo
Sistema operativo
• I principali sistemi operativi
che offrono soluzioni
applicative per la copia
forense dei dati sono Linux e
Windows.
• Per sua natura il sistema
operativo Linux sembra
essere il più indicato per una
acquisizione dei dati in ottica
forense poiché è in grado di
rendere un hard
disk accessibile solamente in
lettura, garantendo a livello
software integrità.
Sistema operativo

Acquisizione delle prove:
Software di acquisizione
Software di
acquisizione
Software di
acquisizione
Linux:
1. Helix 3 Enterprise
2. DEFT
3. CAINE
4. Forlex
Windows:
1. FTK Imager
2. Encase
3. Drive Snapshot
FTK Imager

Acquisizione delle prove: Software di
acquisizione
 FTK Imager è un programma di acquisizione dati che può essere utilizzato per fornire una
rapida anteprima del contenuto di un hard disk e, se necessario, crearne un'immagine
forense.
 Per garantire l'integrità della copia questo software realizza una duplicazione bit-per-bit
del dispositivo. L'immagine è in questo modo identica all'originale, incluso lo spazio non
allocato e lo stack space.
 Durante la fase di copia forense il programma verifica che l'hash dell'immagine realizzata e
quello dell'hard disk coincidano. Sono disponibili due funzioni di hash: Message Digest 5
(MD5) e Secure Hash Algorithm (SHA-1).
 FTK Imager supporta i file system FAT12, FAT16, FAT32, NTFS, Ext2, Ext3, HFS, HFS+ e
Reiser.
Access FTK Imager

acquisizione
 Visualizzare un’anteprima della struttura logica (partizioni,
cartelle e file) dell'hard disk.
 Creare un’immagine forense dell'hard disk.
 Visualizzare un’anteprima del contenuto di un’immagine
forense, precedentemente acquisita.
 Esportare file e cartelle da un’immagine forense.
 Calcolare l’hash (MD5 e SHA1) dell’immagine forense e di ogni
singolo file incluso nell’immagine stessa.
Access FTK Imager

acquisizione
Access FTK Imager
Consente l’acquisizione la creazione di copie forensi sia da un supporto
fisico che da un disco virtuale (es. file VMDK e NVRAM di VMWARE).
Supporta i formati di
acquisizione universalmente
riconosciuti.

acquisizione
Access FTK Imager
Ogni immagine acquisita è stata anche verificata attraverso il calcolo
dell’hash. Una volta verificata l’uguaglianza dei valori siamo sicuri di agire
su una immagine che rappresenta esattamente il supporto originale

acquisizione
Encase Image File
Format (.E01)
Rappresenta lo standard de facto per le analisi forensi ed è un formato
proprietario di Guidance Software Encase.
Ogni file (.E01) contiene:
 Un header con le info del caso
 il bitstream fisico del supporto acquisito dove ogni blocco contiene 64
settori (32 KB) e per il quale viene calcolata una checksum (Adler-32)
 Un footer contenente l’hash MD5 dell’intero bitstream

Outline
Introduzione
Dropbox
Dropbox Forensics
Identificazione delle prove
Acquisizione delle prove
Analisi delle prove
Post-mortem Analysis
Live Analysis
Utilizzo di tecniche Anti – Forensics
Problematiche di sicurezza
Conclusioni

Analisi delle prove - Autopsy
Per l’analisi delle prove utilizziamo

Analisi - Autopsy
Autopsy è una piattaforma open per l’analisi forense
e fornisce un’interfaccia grafica che permette un
facile utilizzo delle funzionalità di Sleuth Kit.
L’uso di un’interfaccia grafica permette di poter
analizzare facilmente qualsiasi disco.
Autopsy fornisce informazioni sulla cache del disco,
sulle ultime azioni effettuate, i contenuti del disco,
consentendo quindi un analisi completa a chi deve
compiere l’investigazione.
Sviluppato per sistemi Windows, Mac OS e Linux

Analisi - Autopsy

Analisi delle prove
Dropbox fornisce alcune informazioni utili ai fini investigativi
Per ogni file un elenco delle attività svolte e delle versioni di quel file

Analisi delle prove
Elenco di tutte le sessioni web dove si è rimasti autenticati per oltre 30
giorni attraverso il tasto ‘Remember me’

Analisi delle prove
Elenco di tutti i dispositivi che hanno effettuato l’accesso a Dropbox.
E’ possibile visualizzare IP e versione del client utilizzato.
Registra solo l’accesso attraverso client.

Analisi delle prove
La possibilità di rinominare le macchine e di scollegarle rende queste
informazioni poco attendibili.

Analisi delle prove
Analisi delle tracce riscontrabili sull’hard
disk e sulla memoria centrale, dopo
l’utilizzo di Dropbox.
Attraverso Autopsy abbiamo effettuato
una serie di query sulle immagini dei
supporti acquisiti relative a keywords
significative e tentativo di ricostruire una
timeline delle attività utente.

Post – Mortem Analysis : Base VM
Base VM
Base VM (Windows version)
- Windows 7 Professional Edition 64 bit
- 1 GB RAM
- 10 GB Hard Disk
Base VM (Linux Version)
- Ubuntu Linux 13.04 amd-64bit
- 1 GB RAM
- 10 GB Hard Disk
Rappresenta la macchina ‘pulita’ dove l’utente non hai mai interagito con Dropbox in
nessuna modalità e non contiene nessun file oggetto di indagine.
Tuttavia ci saranno delle sorprese“..

Base VM
Occorrenze del termine ‘dropbox’ riscontrabili nei file:
- pagefile.sys
- index.dat
- msjint40.dll.mui
OSSERVAZIONE: il termine dropbox è presente su
una macchina priva di ogni interazione con Dropbox.
Nelle investigazioni digitali non basta ricercare dei risultati, ma occorre
analizzare la ragione di determinate occorrenze di keyword piuttosto che
trarre conclusioni dalla semplice presenza dei dati.
Post – Mortem Analysis : Base VM

Access VM
Attività utente
- L’utente apre Google Chrome.
- Si collega a www.dropbox.com
- Si autentica con i dati del suo account
- Apre e visualizza ogni file presente in Dropbox.
- L’utente non fa il download esplicito dei file
Post – Mortem Analysis : Access VM

Post – Mortem Analysis : Access VM
Access VM
Risultati
 https://dl-web.dropbox.com/get/enron3111w.docx?w=
AAA6TEcB0Odk4CoKAU6AeBsZE5xq0o8OJiaYAD-rziE2gd
 https://dl-web.dropbox.com/get/enron3111.rtf?w=AACeQfM7-u2i-_-
eSei-7DlvlYw6enVHP03-jO-eYDnxg
 https://photos-6.dropbox.com/t/0/
AABs7MOS72580CEZ6XinCbai76s2laZZ7Qi_Dt5hZjMtiA/12/1656376
17/jpeg/32x32/3/_/1/2/paesaggi.jpg/QVqFM51UNHM_jnCaWaDgrDttSi
0NqFx9b9hfOxBfu-g?size=800x600f
 https://dl-web.dropbox.com/get/enron3111w.docx?w=
AAA6TEcB0Odk4CoKAU6AeBsZE5xq0o8OJiaYAD-rziE2gd
 https://dl-web.dropbox.com/get/enron3111.rtf?w=AACeQfM7-u2i-_-
eSei-7DlvlYw6enVHP03-jO-eYDnxg

Post – Mortem Analysis : Download VM
Download VM
Attività utente
- L’utente apre Google Chrome.
- Si autentica con i dati del suo account
- Scarica ogni singolo file sul suo Desktop

Post – Mortem Analysis : Download VM
Download VM
Risultati
C:UsersSicurezza-downloadDownloadsenron3111w.docx
C:UsersSicurezzadownloadDownloadsenron3111w.docx.
C:UsersSicurezza-downloadDownloadsenron3111.rtf
C:UsersSicurezzadownloadDownloadsenron3111.rtf.
C:UsersSicurezzadownloadDesktopimmaginesic.jpg
C:UsersSicurezzadownloadDesktopimmaginesic.jpg.
C:UsersSicurezza-downloadDownloadsenron3111w.docx
C:UsersSicurezzadownloadDownloadsenron3111w.docx.
C:UsersSicurezza-downloadDownloadsenron3111.rtf
C:UsersSicurezzadownloadDownloadsenron3111.rtf.
I file sono stati scaricati da Dropbox ed aperti (risultano nella cartella
Documenti Recenti)

Post – Mortem Analysis : Upload VM
Upload
Attività utente
- L’utente apre Google Chrome .
- Scarica il client Drobpox 2.0.8
- Installa il client
- Accede a Dropbox con i dati del suo account
- Fa l’upload dei file su Dropbox

Upload
Analisi del file History di Google Chrome
File location:
/Users/Alessandro/AppData/Local/Google/Chrome/User Data/Default/History
Risultati
https://www.dropbox.com/downloading?src=indexDropbox - Download
di Dropbox
https://dl.dropboxusercontent.com/u/17/Dropbox%202.0.8.exeG
https://d1ilhw0800yew8.cloudfront.net/client/Dropbox%202.0.8.exe/
https://www.dropbox.com/download?plat=win
https://www.dropbox.com/downloading?src=index
https://www.dropbox.com/
L’utente ha scaricato l’eseguibile per l’installazione del
client Dropbox versione Windows.

Upload
Analisi delle directory di installazione
 /Users/Alessandro/AppData/Roaming/Dropbox
 /Users/Alessandro/AppData/Roaming/Dropbox/bin/Dropbox.exe
Analisi dei link creati
 /Users/Alessandro/AppData/Roaming/Microsoft/Windows/Start
Menu/Programs/Dropbox
 /Users/Alessandro/AppData/Roaming/Microsoft/Windows/Start
Menu/Programs/Dropbox/Dropbox Website.URL

Upload
File relativi all’eseguibile del client
 /Windows/Prefetch/DROPBOX.EXE-3133C9A9.pf
 /Windows/System32/config/SYSTEM
 /Windows/System32/config/SOFTWARE
Eccezioni del Firewall di Windows
Nel seguente file :
 /Windows/System32/winevt/Logs/Microsoft-Windows-Windows
Firewall With Advanced Security%4Firewall.evtx
è stata riscontrata la seguente eccezione :
 Microsoft-Windows-Windows Firewall With Advanced
Security/Firewall {21B2B193-49FB-4661-AF5D-E90C3723025B}
Dropbox
C:UsersAlessandroAppDataRoamingDropboxbinDropbox.exe

Upload
Files Uploaded
 I file del dataset si trovano in
 /Users/Alessandro/Dropbox
 Nella stessa cartella ci sono anche i file di default forniti
con Dropbox e che sono
 Guida rapida di Dropbox.pdf
 Boston City Flow.jpg
 Costa Rican Frog.jpg
 Pensive Parakeet.jpg
Attraverso il calcolo dell’Hash(MD5) possiamo
verificare l’effettiva identità dei file caricati.

Post – Mortem: Aggregation.dbx
L’analisi del file aggregation.dbx fornisce una lista di tutte i file presenti nella
cartella Dropbox e di cui è stato fatto l’upload.
File cifrato ma visualizzabile con Autopsy.

Live Analysis: Username
Nome utente dell’account in
chiaro: Progetto Sicurezza
Unisa

Live Analysis: Password
Password in chiaro:
2013_projec

Live Analysis: E-mail
In caso di accesso tramite browser, l’identificazione dei dati di accesso risulta
molto semplice. Le info si trovano nei tag email login_email e
password login_password

LiveAnalysis: client Request ID
Ogni utente ha uno UserID
univoco che identifica
l’account.

LiveAnalysis: UserID e Server Time
Server time dell’operazione
effettuata in formato Unix
Epoch

LiveAnalysis: UserID e Server Time
Ogni richiesta effettuata dal
client Dropbox è identificata
da un request-id.

LiveAnalysis: Authentication Structure
La live analysis di una RAM di una macchina dove è stato eseguito
l’accesso via client a Dropbox presenta questa struttura di
autenticazione

LiveAnalysis: Cache di Dropbox
Dropbox utilizza la cartella Dropbox.dropbox.cache, creando al suo
interno un file temporaneo.
Utilizzo di una cartella di
cache da parte del client
Drobpox

LiveAnalysis: Cache di Dropbox
Il contenuto del file temporaneo di cache è visualizzabile, attraverso
Autopsy, esaminando il file delle pagine pagefile.sys

LiveAnalysis: root_ns e host-id
root_ns : 264634628 univoco per ogni account e indipendente
dall’host che accede
Namespace della cartella di
root dell’account Dropbox

LiveAnalysis: root_ns e host-id
host_id che identifica il device che ha acceduto all’account
Host-id del device che
accede all’account

Utilizzo di tecniche Anti-Forensics
Uninstall VM
Attività utente
- Disinstalla il client Dropbox

Uninstall VM
Se il client è stato disinstallato, quali tracce possiamo
riscontrare?
Nella cartella /Users/Alessandro/AppData/Roaming
sono ancora presenti le cartelle
- /bin
-/installer
-/shelltext
e il file DropboxExt64.19.dll.
Nella cartella Dropbox sono ancora presenti i file
uploaded e file di esempio di Dropbox.

Eraser VM
Attività utente
- I file di Dropbox scaricati vengono
cancellati utilizzando il programma
Eraser.

Eraser VM
Risultati della navigazione Internet
 http://eraser.heidi.ie/download.phpEraser
:Downloads
 http://sourceforge.net/projects/eraser/files/Eraser
%206/6.0.10/Eraser%206.0.10.2620.exe/download
Download Eraser from SourceForge.net
 http://sourceforge.net/projects/eraser/?source=dlp
Eraser | Free Security & Utilities software
downloads at SourceForge.net

CCleaner VM
Attività utente
- Utilizzo di Ccleaner per cancellare le
attività svolte su Internet.

CCleaner VM
Risultati
 http://www.piriform.com/ccleaner/downloadCClea
ner - Download
 http://www.piriform.com/downloadPiriform -
Download
 http://www.piriform.com/ccleaner/download/stan
dardCCleaner - Standard
 C:UsersEnricoDownloadsccsetup401.exeC:User
sEnricoDownloadsccsetup401.exe

CCleaner VM
Nonostante l’utilizzo di strumenti anti-forensics
come Eraser e Ccleaner rileviamo

CCleaner VM
Nonostante l’utilizzo di strumenti anti-forensics
come Eraser e Ccleaner abbiamo rilevato

Problematiche di sicurezza
Ci siamo chiesti
 E’ possibile ricreare delle tracce fasulle che mostrino l’accesso a
Dropbox anche se questo non è avvenuto?
 E’ possibile nascondere le tracce dell’accesso a Dropbox?
 E’ possibile alterare le tracce dell’accesso a Dropbox?
 Quali sono le tecniche di attacco possibili per avere accesso ai
dati di altri utenti e/o creare tracce false ?

Problematiche di sicurezza
Attacchi basati sulla deduplication e hash values.
Utilizzo di un proxy server.
Utilizzo di un fake client.
Incrimination Attack.

Problematiche di sicurezza: Attacchi
basati su deduplication e hash values
 Data deduplication: in caso di upload di file già presenti sui server
Dropbox, il servizio richiede il trasferimento solo delle parti modificate.
 Ogni file diviso in chunks di al più 4 Mb.
 Quando si aggiunge un file alla cartella Dropbox, il client calcola gli hash
SHA-256 di tutti i chunks di cui è composto il file e li invia al server.
 I valori sono confrontati con quelli già presenti sul server e se necessario
viene richiesto l’upload.
 Un file già esistente sul server viene semplicemente linkato al relativo
account per risparmiare traffico e costi di storage.

PROBLEMA: Il server confida nei valori calcolati dal client!
 Dopo l’upload di un file, Dropbox calcola gli hash del file sui propri server
per validare la corretta trasmissione, confrontando tali valori con quelli
calcolati e trasmessi dal client.
 Se essi coincidono il file viene linkato all’account corrispondente.

 Se conosciamo il valore hash del file
di un altro utente possiamo accedere
ad esso.
 Spoofing dell’Hash Value trasmesso
dal client
 Modifica della libreria Ncrypto
utilizzata dal client Dropbox per il
calcolo dell’hash.
 Accesso al file di un utente differente.

 Tale attacco, nelle modalità descritte,
non è più possibile in quanto Dropbox
ha adottato la single user
deduplication, utilizzando gli hash per
l’upload solo in relazione al singolo
utente.
 Sono comunque possibili attacchi in
modalità diversa.

Problematiche di sicurezza: Utilizzo
Proxy Server
 Utilizzo di un proxy server che gestisca le connessioni con
Dropbox
 Assenza di riferimenti sulla macchina client che dimostrino
l’interazione con Dropbox.
 Distribuzione di un file, scaricato, a n utenti.

Proxy Server
Dropbox mostrerà IP e
name – machine del
proxy.

Proxy Server
Il proxy server scarica il file per
conto dell’utente A e lo
distribuisce agli utenti B e C che
non risulteranno su Dropbox.

Problematiche di sicurezza: Fake Client
 Sviluppo di un fake client.
 Applicazione Dropbox
 Creazione di tracce fasulle sulla macchina client
 Utilizzo delle API di Dropbox in Python

Problematiche di sicurezza:
Incrimination Attack
 Dropbox non utilizza un meccanismo di validazione dell’account in fase di
creazione.
 L’avversario, conoscendo l’indirizzo email della vittima, può registrare un
account con quel’indirizzo.
 L’avversario può fare l’upload di materiale illecito utilizzando l’account della
vittima.
 L’avversario può avvisare le autorità circa il materiale illecito caricato oppure
diffamare la vittima.

Conclusioni
Il nostro lavoro ha messo in luce alcune considerazioni e informazioni che sono
emersi rispetto all’articolo di Quick D, Choo K.K, "Dropbox analysis: Data remnants on
user machines", 2013, Digital Investigation, vol.10, Issue 1, pp. 1-16, che risultano rilevanti
per l’analisi forense e per la sicurezza:
 La presenza di strutture dati e pattern ben definiti riscontrabili nella
memoria, che permettono all’investigatore digitale di risalire con precisione
al nome utente del possessore dell’account, alla sua email e alla
password.
 L’utilizzo da parte di Dropbox di uno user-id univoco e di una request-id
per ogni interazione con il server.

Conclusioni
 La presenza di un file di cache in locale, analizzabile tramite Autopsy, che
consente di visualizzare i file caricati dall’utente.
 L’utilizzo di un host-ID univoco per ogni dispositivo collegato all’account.
 Ogni cartella dell’account è identificata da un root_ns univoco.

Conclusioni
 La possibilità di estrarre informazioni rilevanti da uno dei file di database,
aggregation.dbx.
 Possibili attacchi, come Incrimination Attacks, di una banalità e facilità
estrema, realizzabili anche da non specialisti dell’informatica.

Alessandro Della Rocca, Bruno Interlandi, Natasha Marmo, Enrico Capone
sicurezza.unisa@gmail.com

Dropbox Forensics Analysis

Recommended

Recommended

More Related Content

Viewers also liked

Viewers also liked (20)

Similar to Dropbox Forensics Analysis

Similar to Dropbox Forensics Analysis (20)

Dropbox Forensics Analysis