| Starije izmjene na obje strane
Starija izmjena
Novija izmjena
|
Starija izmjena
|
racfor_wiki:android:forenzika_analiza_android_aplikacije_facebook [2020/01/10 00:43]
mposavec [Literatura] |
racfor_wiki:android:forenzika_analiza_android_aplikacije_facebook [2024/12/05 12:24] (trenutno)
|
| ===== Uvod ===== | ===== Uvod ===== |
| |
| Digitalna forenzika je grana forenzike koja se bavi oporavkom i analizom podataka koji se nalaze na digitalnim uređajima. Digitalna forenzika može se podijeliti na više područja: računalnu forenziku, forenziku mobilnih uređaja, mrežnu forenziku i forenziku baza podataka. Ovaj rad bavi se bavi se područjem forenzike mobilnih uređaja. | Digitalna forenzika je grana forenzike koja se bavi oporavkom i analizom podataka koji se nalaze na digitalnim uređajima. Digitalna forenzika može se podijeliti na više područja: računalnu forenziku, forenziku mobilnih uređaja, mrežnu forenziku i forenziku baza podataka. Ovaj rad bavi se bavi se područjem forenzike mobilnih uređaja te forenzikom baza podataka. |
| |
| Aplikacija Facebook najkorištenija je aplikacija na Andoid platformi, dok je Facebook Messenger druga najkorištenija aplikacija za razmjenu poruka, iza aplikacije Whatsapp. Facebook je osnovan 2004 godine. Njegova svrha je omogućiti ljudima da dijele događaje te omogućiti međusobnu povezanost među korisnicima. | Aplikacija Facebook najkorištenija je aplikacija na Andoid platformi, dok je Facebook Messenger druga najkorištenija aplikacija za razmjenu poruka, iza aplikacije Whatsapp. Facebook je osnovan 2004 godine. Njegova svrha je omogućiti ljudima da dijele događaje te omogućiti međusobnu povezanost među korisnicima. |
| ===== Kriptiranje podataka ===== | ===== Kriptiranje podataka ===== |
| |
| Aplikacija Facebook Messenger ostavlja poruke koje se mogu lagano pročitati na mobilnim uređajima zato što ne koristi end-to-end enkripciju koju koristi većina drugih aplikacija za razmjenu poruka. End-to-end enkripcija poruke kriptira kod osobe koja ih šalje te poruka dekriptira kod osobe koja ju je primila, što znači da da se na uređaju nalaze kriptirane poruke koje nije moguće pročitati. Enkripcija služi tome kako se presretnute poruke ne mogu pročitati. Aplikacija Facebook Messenger dodala je opciju uključivnja "tajnog razgovora" koji koristi end-to-end enkripciju te se u tom ne može doći do poruka s mobilnog uređaja. Ova opcija omogućuje da korisnici postavljaju vrijeme koliko će poruke biti vidljive, nakon čega se brišu i više se ne mogu vidjeti, s niti jedne strane razgovora. | Aplikacija Facebook Messenger ne koristi end-to-end enkripciju koju koristi većina drugih aplikacija za razmjenu poruka. End-to-end enkripcija poruke kriptira kod osobe koja ih šalje te se poruka dekriptira kod osobe koja ju je primila, što znači da se dekriptirane poruke nalaze samo na ta dva uređaja. Enkripcija služi tome kako se presretnute poruke ne mogu pročitati. Aplikacija Facebook Messenger dodala je opciju uključivanja "tajnog razgovora" koji koristi end-to-end enkripciju. Ova opcija omogućuje da korisnici postavljaju vrijeme koliko će poruke biti vidljive, nakon čega se brišu i više se ne mogu vidjeti, s niti jedne strane razgovora. |
| |
| |
| ===== Baze podataka ===== | ===== Baze podataka ===== |
| |
| Na platformi Android većina aplikacija koristi SQLite baze podataka za lokalnu pohranu podataka. Nije neobično da aplikacije koje služe za ramjenu poruka koriste ovakve baze podataka kako bi pohranile poruke korisnika. Iako postoje alati koji omogućuju rekonstrukciju razgovora iz SQLite baze podataka ova tehnika uspjeva samo ako podatci nisu kriptirani i uređaj koji se analizira nema kriptirani disk. | Na platformi Android većina aplikacija koristi SQLite baze podataka za lokalnu pohranu podataka. Nije neobično da aplikacije koje služe za razmjenu poruka koriste ovakve baze podataka kako bi pohranile poruke korisnika. Iako postoje alati koji omogućuju rekonstrukciju razgovora iz SQLite baze podataka ova tehnika uspijeva samo ako podatci nisu kriptirani i uređaj koji se analizira nema kriptirani disk. |
| |
| Na Android uređajima baze podataka koje koristi Facebook (katana) nalaze se na: | Na Android uređajima baze podataka koje koristi Facebook (katana) nalaze se na: |
| ===== Analiza baza podataka ===== | ===== Analiza baza podataka ===== |
| |
| Na Android uređajima "običan" korisnik nema pristup svim značajkama operacijskog sustava, pa su tako neke datoteke skrivene od njega, uključujući i baze podataka koje koriste aplikacije Facebook i Facebook Messenger. Korisnik može doći do tih datoteka ukoliko prethodno "roota" svoj uređaj, što mu omogućuje da pristupa datotekama kojima prije nije mogao pristupiti, instalira aplikacije koje prethodno nije mogao i slično. Pošto je jako malo Android uređaja "rootano" potrebno je do datoteka doći na neki drugi način. Neki od alata koji se mogu koristiti za pronalazak SQLite baza podataka na Android uređaju su Forensics Magnet i Oxigen Forensics Suite. | Na Android uređajima "običan" korisnik nema pristup svim značajkama operacijskog sustava, pa su tako neke datoteke skrivene od njega, uključujući i baze podataka koje koriste aplikacije Facebook i Facebook Messenger. Korisnik može doći do tih datoteka ako prethodno "roota" svoj uređaj, što mu omogućuje da pristupa datotekama kojima prije nije mogao pristupiti, instalira aplikacije koje prethodno nije mogao i slično. Pošto je jako malo Android uređaja "rootano" potrebno je do datoteka doći na neki drugi način. Neki od alata koji se mogu koristiti za pronalazak SQLite baza podataka na Android uređaju su Forensics Magnet i Oxigen Forensics Suite. |
| |
| Na slici niže su prikazane sve tablice koje se nalaze u bazama podataka aplikacije Facebook. | Na slici niže su prikazane sve tablice koje se nalaze u bazama podataka aplikacije Facebook. |
| Obje aplikacije tablicu “messages” spremaju u bazu podataka contacts_db2, ali ona nije jednaka u obje aplikacije. Razlika je u tome da Facebook Messenger sadrži još jedan stupac u tablici - "auto_retry_count". Na slici niže prikazana je tablica “messages” otvorena u SQLite Browseru. | Obje aplikacije tablicu “messages” spremaju u bazu podataka contacts_db2, ali ona nije jednaka u obje aplikacije. Razlika je u tome da Facebook Messenger sadrži još jedan stupac u tablici - "auto_retry_count". Na slici niže prikazana je tablica “messages” otvorena u SQLite Browseru. |
| |
| Ova tablica sadrži jako bitne podatke kao što su "thread_id", "text", "sender", "timestamp_ms", "coordinates". Stupac "thread_id" je identifikator grupnog razgovora u kojem se nalazi određena poruka. "text" je sama poruka. "sender" sadrži podatke o korisniku koji je poslao poruku. "timestamp_ms" označava vrijeme kada je poruka poslana. "coordinates" pokazuje mjesto s kojeg je poslana poruka. Ukoliko osoba koja šalje poruku nema upaljenu lokaciju na mobitelu ili nije dozvolila aplikaciji da ju koristi to polje će ostati prazno. | Ova tablica sadrži jako bitne podatke kao što su "thread_id", "text", "sender", "timestamp_ms", "coordinates". Stupac "thread_id" je identifikator grupnog razgovora u kojem se nalazi određena poruka. "text" je sama poruka. "sender" sadrži podatke o korisniku koji je poslao poruku. "timestamp_ms" označava vrijeme kada je poruka poslana. "coordinates" pokazuje mjesto s kojeg je poslana poruka. Ako osoba koja šalje poruku nema upaljenu lokaciju na mobitelu ili nije dozvolila aplikaciji da ju koristi to polje će ostati prazno. |
| |
| {{:racfor_wiki:android:messages.png?nolink&1169x135}} | {{:racfor_wiki:android:messages.png?nolink&1169x135}} |
| | |
| |
| ==== Povezanost tablica ==== | ==== Povezanost tablica ==== |
| ===== Zaključak ===== | ===== Zaključak ===== |
| |
| Facebook i Facebook Messenger jedne su od najpopularnijih aplikacija za mobilne uređaje. Mnogo podataka prođe kroz te aplikacije, kao što su poruke, slike, ali i pretraživanja korisnika. Zbog velike upotrebe tih aplikacija nije rijetkost da zločinci slučajno ostave neke tragove na tim aplikacijama. Facebook ne koristi end-to-end enkripciju kao zadanu enkripciju, već ju korisnici sami moraju uključiti. Facebook sprema poruke svih korisnika te ih može kasnije pregledavati. Ukoliko je uključena enkripcija poruke ostaju samo na uređajima korisnika. | Facebook i Facebook Messenger jedne su od najpopularnijih aplikacija za mobilne uređaje. Mnogo podataka prođe kroz te aplikacije, kao što su poruke, slike, ali i pretraživanja korisnika. Zbog velike upotrebe tih aplikacija nije rijetkost da zločinci slučajno ostave neke tragove na tim aplikacijama. Facebook ne koristi end-to-end enkripciju kao zadanu enkripciju, već ju korisnici sami moraju uključiti. Facebook sprema poruke svih korisnika te ih može kasnije pregledavati. Ako je uključena enkripcija poruke ostaju samo na uređajima korisnika. |
| | |
| | Pristup bazama podataka na uređaju koje koristi Facebook može se dobiti ako je uređaj "rootani". Ako nije možemo iskoristiti neke od forenzičkih alata kako bi došli do njih. Analizom podataka iz baza podataka možemo vidjeti informacije o korisnicima, grupama u kojima se nalaze, porukama koje su poslali, povijesti pretraživanja te mnoge druge zanimljive informacije. |
| |
| Pristup bazama podataka na uređaju koje koristi Facebook može se dobiti ukoliko je uređaj "rootani". Ako nije možemo iskoristiti neke od forenzičkih alata kako bi došli do njih. Analizom podataka iz baza podataka možemo vidjeti informacije o korisnicima, grupama u kojima se nalaze, porukama koje su poslali, povijesti pretraživanja te mnoge druge zanimljive informacije. | |
| |
| ===== Literatura ===== | ===== Literatura ===== |
| |
| [1] [[https://www.fbiic.gov/public/2011/jul/Facebook_Forensics-Finalized.pdf|Kelvin Wong, Anthony C. T. Lai, Jason C. K. Yeung, W. L. Lee, P. H. Chan, Facebook Forensics, Datum pristupa: 9.1.2020.]] | [1] [[https://www.fbiic.gov/public/2011/jul/Facebook_Forensics-Finalized.pdf|Kelvin Wong, Anthony C. T. Lai, Jason C. K. Yeung, W. L. Lee, P. H. Chan, Facebook Forensics, Datum pristupa: 9.1.2020.]] |
| | |
| | [2] [[https://www.gsd.inesc-id.pt/~nsantos/papers/barradas_cs18.pdf|Diogo Barradas, Tiago Brito, David Duarte, Nuno Santos, Luís Rodrigues, Forensic analysis of communication records of messaging applications from physical memory, Datum nastanka: 24.10.2018, Datum pristupa: 9.1.2020.]] |
| | |
| | [3] [[https://www.researchgate.net/publication/331440530_Identification_of_Digital_Evidence_Facebook_Messenger_on_Mobile_Phone_With_National_Institute_of_Standards_Technology_NIST_Method/fulltext/5c77dea492851c695047e0e2/Identification-of-Digital-Evidence-Facebook-Messenger-on-Mobile-Phone-With-National-Institute-of-Standards-Technology-NIST-Method.pdf|Anton Yudhana, Imam Riadi, Ikhwan Anshori, Identification of digital evidence Facebook Messanger on mobile phone with National Institute of Standards and Technology (NIST) method, Datum nastanka: Srpanj 2018., Datum pristupa: 9.1.2020.]] |
| | |
| | [4] [[http://cheeky4n6monkey.blogspot.com/|Facebook / Facebook Messenger Android App Parser Script, Datum pristupa: 9.1.2020.]] |
| | |
| | [5] [[https://en.wikipedia.org/wiki/Digital_forensics|Digital forensics, Datum pristupa: 9.1.2020.]] |
| |
| |
