| Starije izmjene na obje strane
Starija izmjena
Novija izmjena
|
Starija izmjena
|
racfor_wiki:seminari:forenzicka_analiza_skype_aplikacije [2023/01/05 17:33]
pk51867 [Forenzička analiza] |
racfor_wiki:seminari:forenzicka_analiza_skype_aplikacije [2024/12/05 12:24] (trenutno)
|
| ===== Forenzička analiza Skype aplikacije ===== | ===== Forenzička analiza Skype aplikacije ===== |
| |
| | [[https://docs.google.com/presentation/d/1uVwOAd40UQh6VwSeVhlNkCWiozdVKeI0/edit?usp=sharing&ouid=113746906681100440253&rtpof=true&sd=true| Prezentacija]] |
| |
| ===== Uvod ===== | ===== Uvod ===== |
| Skype je takozvana VoIP (Voice over Internet Protocol) aplikacija što znači da omogućuje upućivanje poziva korištenjem širokopojasne internetske veze umjesto obične (ili analogne) telefonske linije. Osim toga, Skype koristi Peer-to-Peer arhitekturu umjesto konvencionalnog modela klijent-poslužitelj za trenutnu komunikaciju. Za razliku od modela klijent-poslužitelj, u kojem klijent postavlja zahtjev za uslugu, a poslužitelj ispunjava zahtjev, model P2P mreže omogućuje svakom čvoru da funkcionira i kao klijent i kao poslužitelj. P2P sustavi mogu pružiti anonimizirano usmjeravanje mrežnog prometa, masivna paralelna računalna okruženja, distribuiranu pohranu i druge funkcije. Kako bi upravljao i osigurao vezu između korisnika, Skype koristi jače metode kodiranja kao što su protokoli TLS (Transport Layer Security) i SRTP (Secure Real-time Transport Protocol). TLS je široko prihvaćen sigurnosni protokol osmišljen kako bi omogućio privatnost i sigurnost podataka za internetsku komunikaciju. TLS-a se uglavnom koristi za šifriranje komunikacije između web aplikacija i poslužitelja, ali može se koristiti i za šifriranje drugih načina komunikacija kao što su e-pošta, slanje poruka i glas preko IP-a (VoIP). SRTP ili Secure Real-Time Transport Protocol, proširenje je profila RTP-a (Real-Time Transport Protocol) koji dodaje dodatne sigurnosne značajke, kao što su provjera autentičnosti poruka, povjerljivost i zaštita od ponavljanja uglavnom namijenjene aplikacijama preko VoIP. | Skype je takozvana VoIP (Voice over Internet Protocol) aplikacija što znači da omogućuje upućivanje poziva korištenjem širokopojasne internetske veze umjesto obične (ili analogne) telefonske linije. Osim toga, Skype koristi Peer-to-Peer arhitekturu umjesto konvencionalnog modela klijent-poslužitelj za trenutnu komunikaciju. Za razliku od modela klijent-poslužitelj, u kojem klijent postavlja zahtjev za uslugu, a poslužitelj ispunjava zahtjev, model P2P mreže omogućuje svakom čvoru da funkcionira i kao klijent i kao poslužitelj. P2P sustavi mogu pružiti anonimizirano usmjeravanje mrežnog prometa, masivna paralelna računalna okruženja, distribuiranu pohranu i druge funkcije. Kako bi upravljao i osigurao vezu između korisnika, Skype koristi jače metode kodiranja kao što su protokoli TLS (Transport Layer Security) i SRTP (Secure Real-time Transport Protocol). TLS je široko prihvaćen sigurnosni protokol osmišljen kako bi omogućio privatnost i sigurnost podataka za internetsku komunikaciju. TLS-a se uglavnom koristi za šifriranje komunikacije između web aplikacija i poslužitelja, ali može se koristiti i za šifriranje drugih načina komunikacija kao što su e-pošta, slanje poruka i glas preko IP-a (VoIP). SRTP ili Secure Real-Time Transport Protocol, proširenje je profila RTP-a (Real-Time Transport Protocol) koji dodaje dodatne sigurnosne značajke, kao što su provjera autentičnosti poruka, povjerljivost i zaštita od ponavljanja uglavnom namijenjene aplikacijama preko VoIP. |
| |
| ===== Forenzička analiza ===== | ===== Forenzička analiza datoteka===== |
| |
| Prvo je potrebno instalirati Skype što se može napraviti koristeći njihovu službenu stranicu [x] te se prijaviti u sustav, ili stvoriti novi račun za korisnika ukoliko je nepostojeći kako bi se stvorile datoteke prikladne za forenzičku analizu. Do tih se datoteka može doći na različite načine na različitim operacijskim sustavima. | Prvo je potrebno instalirati Skype što se može napraviti koristeći njihovu službenu stranicu [x] te se prijaviti u sustav, ili stvoriti novi račun za korisnika ukoliko je nepostojeći kako bi se stvorile datoteke prikladne za forenzičku analizu. Do tih se datoteka može doći na različite načine na različitim operacijskim sustavima. |
| Kod //Windows// operacijskog sustava putanja je <code>C:\Documents and Settings\ [Profile Name]\Application Data\Skype\SKYPE-USERNAME\</code> za Windows XP i prethodne verzije te <code>C:\Users\WINDOWS-USERNAME\AppData\Roaming\Skype\SKYPE-USERNAME\</code> za Windows Vistu i daljnje verzije. | Kod //Windows// operacijskog sustava putanja je <code>C:\Documents and Settings\ [Profile Name]\Application Data\Skype\SKYPE-USERNAME\</code> za Windows XP i prethodne verzije te <code>C:\Users\WINDOWS-USERNAME\AppData\Roaming\Skype\SKYPE-USERNAME\</code> za Windows Vistu i daljnje verzije. |
| | |
| | S ažuriranjem verzije **12.X** Microsoft je prebacio mjesto spremanja informacija o Skype-u u Microsoft direktorij. |
| | |
| | U nastavku je napisana putanja do Skype aplikacije na operacijskom sustavu Windows 11: |
| | <code>~/Korisnici/{korisničko ime}/AppData/Local/Microsoft/WindowsApps/Microsoft.SkypeApp_kzf8qxf38zg5c/</code> |
| | |
| | {{zad_4_0036518670.jpeg?620x400}} |
| | |
| | Svi podatci koje Skype pohranjuje na Windowsima nalaze se na putanji: |
| | <code>~/Korisnici/{korisničko ime}/AppData/Local/Packages/Microsoft.SkypeApp_kzf8qxf38zg5c/</code> |
| | |
| | {{zad_5_0036518670.jpeg?620x300}} |
| | |
| Na Linux operacijskom sustavu to je: <code>~/.Skype/SKYPE-USER/</code> | Na Linux operacijskom sustavu to je: <code>~/.Skype/SKYPE-USER/</code> |
| Dok je na MacOS-u <code>~/Library/Application\ Support/Microsoft/Skype\ for\ Desktop/</code> | Dok je na MacOS-u <code>~/Library/Application\ Support/Microsoft/Skype\ for\ Desktop/</code> |
| Skype zatim pohranjuje datoteke vezane uz Cookie-je - //Cookies// i //Cookies-journal//. Datoteka //Cookies// sadrži samo SQL naredbu za kreiranje kolačića dok je //Cookies-journal// datoteka prazna. | Skype zatim pohranjuje datoteke vezane uz Cookie-je - //Cookies// i //Cookies-journal//. Datoteka //Cookies// sadrži samo SQL naredbu za kreiranje kolačića dok je //Cookies-journal// datoteka prazna. |
| |
| | |
| | Skype zatim u sustavu pohranjuje direktorij Crashpad. Crashpad je biblioteka za snimanje, pohranjivanje i strujanje postmortalnih izvješća o padu sustava od klijenta do servera za prikupljanje informacija. Cilj Crashpada je da se spremi stanje aplikacije u trenutku pada sustava najvjernije moguće, uz minimalne probleme. |
| | |
| | Nakon toga, na redu je direktorij //LocalStorage// koji služi aplikacijama da spreme podatke lokalno, na korisnikov uredaj. Local storage je sličan kolačićima uz veći kapacitet. Taj direktorij u sebi sadrži samo jedan poddirektorij - //leveldb//. LevelDB je sustav za pohranu parova ključ-vrijednost proizvoljnih //"blobo-va"// podataka. Ta mapa sadržava datoteke pod nazivom nazivom //“CURRENT”//, //“LOCK”//, //“LOG”//, //“LOG.old”// i datoteke naziva kao //“MANIFEST-######”//, //“######.log”// i //“######.ldb”//,gdje ###### predstavljaju heksadecimalne brojeve koji prikazuju redoslijed stvaranja datoteke (veće vrijednosti su novije). Datoteke //“.log”// i //“.ldb”// sadrže stvarne podatke zapisa, dok ostale datoteke sadrže metapodatke koji pomažu u čitanju podataka na učinkovit način. Njihov se sadržaj može pročitati pomoću naredbe |
| | |
| | <code>strings {{naziv_datoteke}}.ldb</code> |
| | |
| | iz terminala.Isto vrijedi i za direktorij IndexedDB. |
| | Otvorivši datoteku pod nazivom //000021.ldb// mogu se vidjeti razne informacije o korisniku (koji je uredaj kada koristio za prijavu i s koje lokacije, druge korisnike koje je tražio, pozive koje je uputio itd.) |
| | |
| | {{zad_6_0036518670.png?540x180}} |
| | |
| | {{zad_7_0036518670.png?400x580}} |
| | |
| | ===== Zaključak ===== |
| | |
| | Iako je odnedavno tek nemoguće lokalno iščitati poruke samih razgovora preko Skype-a, mnoge su informacije o ponašanju korisnika pri korištenju aplikacije lako dostupne i čitljive iz datoteka spremljenih na uredaj. |
| | ===== Literatura ===== |
| | |
| | [1] [[https://resources.infosecinstitute.com/topic/skype-forensics-2/| Warlock: Skype Forensics]] |
| | |
| | [2][[https://blog.elcomsoft.com/2020/04/forensic-guide-to-imessage-whatsapp-telegram-signal-and-skype-data-acquisition/ | Katalov, V.: Forensic guide to iMessage, WhatsApp, Telegram, Signal and Skype data acquisition ]] |
| | |
| | [3] [[https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/microsoft-teams-and-skype-logging-privacy-issue/| Jayapaul, R.: Microsoft Teams and Skype Logging Privacy Issue ]] |
| | |
| | [4][[https://www.mailxaminer.com/blog/skype-forensic-analysis/ | Mayank: Skype forensic analysis for in-depth investigation]] |
