- 39
- 27
- 24 Фев 2019
Интернет-браузеры в настоящее время представляют собой наиболее часто используемые средства доступа к Интернету с любой платформы. Из-за недавнего большого числа онлайн-инцидентов, связанных с утечкой личных данных, пользователи хорошо осведомлены об угрозе, создаваемой злоумышленниками, которые могут нарушить их личные данные, в дополнение к уязвимым приложениям, которые могут поставить под угрозу их конфиденциальность и утечь их данные. По этим причинам интернет-пользователям в настоящее время предлагается множество приложений, сохраняющих конфиденциальность, которые могут продвигать их онлайн-анонимность. Браузер Tor - одно из таких решений, которое не только обеспечивает конфиденциальность в Интернете, но и позволяет пользователям просматривать Интернет анонимно.
Большинство людей, использующих браузер Tor, ищут возможности анонимности, чтобы просматривать Интернет либо в юридических целях, либо для осуществления множества злонамеренных действий. В недавно опубликованной исследовательской работе предпринята попытка подтвердить функции анонимности, заявленные разработчиками браузера Tor, и представить данные, которые могут помочь судебным экспертам и исследователям. Авторы статьи создали несколько сценариев для судебного расследования анонимности и конфиденциальности в браузере Tor. С помощью виртуальных машин они обнаружили, что пакет браузера Tor оставляет большое количество цифровых артефактов на компьютерах пользователей, которые можно использовать для раскрытия данных о конфиденциальности пользователей. В этой статье мы рассмотрим результаты экспериментов, проведенных авторами статьи, и артефакты, записанные на машинах пользователей Tor.
Методы, используемые для криминалистического анализа браузера Tor:
Виртуальные машины (ВМ) были созданы для изучения четырех сценариев:
1- компьютер с Internet Explorer, представляющий единственный интернет-браузер
2- Машина с браузером Tor, но без каких-либо пользовательских сессий
3- Машина, на которой запущен браузер Tor, который используется для просмотра как поверхностной, так и темной сети.
4- Машина, которая установила и использовала браузер Tor перед удалением
Кроме того, была создана другая виртуальная машина для записи изменений в реестре на протяжении всего процесса установки, запуска и, наконец, удаления пакета браузера Tor.
Результаты экспериментов исследования:
Если вышеупомянутый метод будет принят и собранные данные проанализированы с помощью традиционных цифровых методов судебной экспертизы, будут получены доказательства использования и история просмотра Tor. Любое доказательство, полученное с помощью этого метода криминалистического анализа, а также восстановления артефактов, будет представлять данные, которые имеют ключевое значение для онлайн-криминалистов.
Каждый из сценариев, развернутых для целей данного исследования, привел к выгодным цифровым артефактам, связанным с использованием Tor. Дамп памяти машины включал несколько типов файлов, которые указывают на используемый интернет-браузер. Файлы реестра доказывают, что браузер Tor был загружен и запущен на компьютере. Кроме того, RegShot, которое представляет собой приложение, которое сравнивает состояние реестра в разные моменты времени, сняло маскировку с изменений, которые были внесены в файлы реестра во время процессов установки и удаления Tor.
Захват пакетов данных доказывает, что Tor использовался, поскольку поток интернет-трафика и статистика иерархии протоколов явно не соответствовали поведению обычного интернет-трафика.
Значительное количество доказательств доказывает, что пакет браузера Tor не обеспечивает полной анонимности. Дамп оперативной памяти в сочетании с захватом пакетов данных, по-видимому, очень применим в контексте сетевой криминалистической экосистемы с помощью удаленного метода для отслеживания онлайн-действий данного подозреваемого. Тем не менее, методы, используемые для анализа файлов реестра, по-прежнему полезны в контексте цифровой криминалистической лаборатории, которая опирается исключительно на «мертвые ящики» цифровых криминалистических исследований.
Чтобы продолжить исследования по всему этому сектору, было бы весьма полезно включить в WireShark патч, названный Tor Dissector, чтобы проверить, может ли он эффективно расшифровать сетевой трафик, полученный при использовании пакета браузера Tor. С другой стороны, протокол просмотра интернет-страниц, проанализированный в ходе этого исследования, не включал в себя активную загрузку или сохранение на жестком диске каких-либо текстовых файлов, изображений или видео пользователем, которые обязательно отобразятся в дампе ОЗУ, что еще больше усилит артефакты. полученные в течение этого цифрового судебного процесса.
Большинство людей, использующих браузер Tor, ищут возможности анонимности, чтобы просматривать Интернет либо в юридических целях, либо для осуществления множества злонамеренных действий. В недавно опубликованной исследовательской работе предпринята попытка подтвердить функции анонимности, заявленные разработчиками браузера Tor, и представить данные, которые могут помочь судебным экспертам и исследователям. Авторы статьи создали несколько сценариев для судебного расследования анонимности и конфиденциальности в браузере Tor. С помощью виртуальных машин они обнаружили, что пакет браузера Tor оставляет большое количество цифровых артефактов на компьютерах пользователей, которые можно использовать для раскрытия данных о конфиденциальности пользователей. В этой статье мы рассмотрим результаты экспериментов, проведенных авторами статьи, и артефакты, записанные на машинах пользователей Tor.
Методы, используемые для криминалистического анализа браузера Tor:
Виртуальные машины (ВМ) были созданы для изучения четырех сценариев:
1- компьютер с Internet Explorer, представляющий единственный интернет-браузер
2- Машина с браузером Tor, но без каких-либо пользовательских сессий
3- Машина, на которой запущен браузер Tor, который используется для просмотра как поверхностной, так и темной сети.
4- Машина, которая установила и использовала браузер Tor перед удалением
Кроме того, была создана другая виртуальная машина для записи изменений в реестре на протяжении всего процесса установки, запуска и, наконец, удаления пакета браузера Tor.
Результаты экспериментов исследования:
Если вышеупомянутый метод будет принят и собранные данные проанализированы с помощью традиционных цифровых методов судебной экспертизы, будут получены доказательства использования и история просмотра Tor. Любое доказательство, полученное с помощью этого метода криминалистического анализа, а также восстановления артефактов, будет представлять данные, которые имеют ключевое значение для онлайн-криминалистов.
Каждый из сценариев, развернутых для целей данного исследования, привел к выгодным цифровым артефактам, связанным с использованием Tor. Дамп памяти машины включал несколько типов файлов, которые указывают на используемый интернет-браузер. Файлы реестра доказывают, что браузер Tor был загружен и запущен на компьютере. Кроме того, RegShot, которое представляет собой приложение, которое сравнивает состояние реестра в разные моменты времени, сняло маскировку с изменений, которые были внесены в файлы реестра во время процессов установки и удаления Tor.
Захват пакетов данных доказывает, что Tor использовался, поскольку поток интернет-трафика и статистика иерархии протоколов явно не соответствовали поведению обычного интернет-трафика.
Значительное количество доказательств доказывает, что пакет браузера Tor не обеспечивает полной анонимности. Дамп оперативной памяти в сочетании с захватом пакетов данных, по-видимому, очень применим в контексте сетевой криминалистической экосистемы с помощью удаленного метода для отслеживания онлайн-действий данного подозреваемого. Тем не менее, методы, используемые для анализа файлов реестра, по-прежнему полезны в контексте цифровой криминалистической лаборатории, которая опирается исключительно на «мертвые ящики» цифровых криминалистических исследований.
Чтобы продолжить исследования по всему этому сектору, было бы весьма полезно включить в WireShark патч, названный Tor Dissector, чтобы проверить, может ли он эффективно расшифровать сетевой трафик, полученный при использовании пакета браузера Tor. С другой стороны, протокол просмотра интернет-страниц, проанализированный в ходе этого исследования, не включал в себя активную загрузку или сохранение на жестком диске каких-либо текстовых файлов, изображений или видео пользователем, которые обязательно отобразятся в дампе ОЗУ, что еще больше усилит артефакты. полученные в течение этого цифрового судебного процесса.
- Источник новости
- http://deepdot35wvmeyd5.onion/2019/04/19/research-forensic-analysis-of-the-tor-browser-bundle/