Sadržaj

Forenzička analiza Skype aplikacije

Prezentacija

Uvod

Skype nosi titulu jedne od prvih masovno korištenih aplikacija namijenjenih za slanje poruka i videopozive. Razvio ga je Microsoft, a prvi je put pušten u javnost 2003. godine. Dostupan je za razne platforme, uključujući Windows, Mac, Linux, iOS i Android, a može se koristiti na računalima, tabletima i pametnim telefonima. Neke od ključnih značajki Skype-a uključuju njegovu sposobnost uspostavljanja glasovnih i videopoziva putem interneta, omogućujući korisnicima da međusobno komuniciraju u stvarnom vremenu bez obzira na njihovu lokaciju. Skype također nudi mogućnosti izravne razmjene poruka, dijeljenja datoteka i zaslona, što ga u konačnici čini korisnim alatom za osobnu i profesionalnu komunikaciju te zanimljivim predmetom forenzičke analize. Forenzička analiza aplikacija za razmjenu poruka i poziva obično uključuje ispitivanje i analizu podataka pohranjenih na uređaju ili u oblaku kako bi se identificirale i izvukle relevantne informacije. Točnije, ona može uključivati i analizu poruka, dnevnika razgovora, metapodataka i drugih vrsta podataka koji mogu biti pohranjeni kao dio aplikacije. Cilj forenzičke analize je povratiti i sačuvati dokaze koji se mogu koristiti za razumijevanje konteksta razgovora i identificiranje potencijalnih tragova.

Kako Skype radi

Skype je takozvana VoIP (Voice over Internet Protocol) aplikacija što znači da omogućuje upućivanje poziva korištenjem širokopojasne internetske veze umjesto obične (ili analogne) telefonske linije. Osim toga, Skype koristi Peer-to-Peer arhitekturu umjesto konvencionalnog modela klijent-poslužitelj za trenutnu komunikaciju. Za razliku od modela klijent-poslužitelj, u kojem klijent postavlja zahtjev za uslugu, a poslužitelj ispunjava zahtjev, model P2P mreže omogućuje svakom čvoru da funkcionira i kao klijent i kao poslužitelj. P2P sustavi mogu pružiti anonimizirano usmjeravanje mrežnog prometa, masivna paralelna računalna okruženja, distribuiranu pohranu i druge funkcije. Kako bi upravljao i osigurao vezu između korisnika, Skype koristi jače metode kodiranja kao što su protokoli TLS (Transport Layer Security) i SRTP (Secure Real-time Transport Protocol). TLS je široko prihvaćen sigurnosni protokol osmišljen kako bi omogućio privatnost i sigurnost podataka za internetsku komunikaciju. TLS-a se uglavnom koristi za šifriranje komunikacije između web aplikacija i poslužitelja, ali može se koristiti i za šifriranje drugih načina komunikacija kao što su e-pošta, slanje poruka i glas preko IP-a (VoIP). SRTP ili Secure Real-Time Transport Protocol, proširenje je profila RTP-a (Real-Time Transport Protocol) koji dodaje dodatne sigurnosne značajke, kao što su provjera autentičnosti poruka, povjerljivost i zaštita od ponavljanja uglavnom namijenjene aplikacijama preko VoIP.

Forenzička analiza datoteka

Prvo je potrebno instalirati Skype što se može napraviti koristeći njihovu službenu stranicu [x] te se prijaviti u sustav, ili stvoriti novi račun za korisnika ukoliko je nepostojeći kako bi se stvorile datoteke prikladne za forenzičku analizu. Do tih se datoteka može doći na različite načine na različitim operacijskim sustavima. Kod Windows operacijskog sustava putanja je

C:\Documents and Settings\ [Profile Name]\Application Data\Skype\SKYPE-USERNAME\

za Windows XP i prethodne verzije te

C:\Users\WINDOWS-USERNAME\AppData\Roaming\Skype\SKYPE-USERNAME\

za Windows Vistu i daljnje verzije.

S ažuriranjem verzije 12.X Microsoft je prebacio mjesto spremanja informacija o Skype-u u Microsoft direktorij.

U nastavku je napisana putanja do Skype aplikacije na operacijskom sustavu Windows 11:

~/Korisnici/{korisničko ime}/AppData/Local/Microsoft/WindowsApps/Microsoft.SkypeApp_kzf8qxf38zg5c/

zad_4_0036518670.jpeg

Svi podatci koje Skype pohranjuje na Windowsima nalaze se na putanji:

~/Korisnici/{korisničko ime}/AppData/Local/Packages/Microsoft.SkypeApp_kzf8qxf38zg5c/

zad_5_0036518670.jpeg

Na Linux operacijskom sustavu to je:

~/.Skype/SKYPE-USER/

Dok je na MacOS-u

~/Library/Application\ Support/Microsoft/Skype\ for\ Desktop/

Iz toga se direktorija može pristupiti raznim datotekama koje sadrže informacije o ponašanju korisnika. U starijoj verziji Skype aplikacije postojala je i datoteka Main.db u kojoj su bile sadržane sve informacije o korisničkim računima (primjerice: kontakti, informacije o razgovorima, poruke, videi, glasovne poruke…) iz Skype-ove SQLLite baze te se mogla čitati pomoću odredenih alata ili hex-editora, medutim, unazad dvije godine Microsoft je te se informacije počeo spremati u oblaku te do njih nije moguće doći iz operacijskog sustava, već isključivo internetom preko Microsoftovog računa ukoliko je potrebno.

Budući da te informacije više nisu dostupne, predmet zanimanja postaju cache datoteke. To su privremene datoteke u kojima se pohranjuju često korištene informacije kako bi se smanjilo potrebno vrijeme za pokretanje aplikacije i izvršavanje zadataka.

Kod Skype aplikacije te se datoteke na MacOS sustavu nalaze u direktoriju

~/Library/Application\ Support/Microsoft/Skype\ for\ Desktop/Cache/Cache_Data

Njih se može otvoriti u većini text-editora te se iščitati iz njih sadržaj.

Iz otvorene se datoteke može vidjeti zadnji predmet pretraživanja korisnika. U ovom je slučaju to niz znakova 'palma'. Zatim se mogu vidjeti i rezultati prikazani korisniku tom pretragom.

Skype zatim pohranjuje datoteke vezane uz Cookie-je - Cookies i Cookies-journal. Datoteka Cookies sadrži samo SQL naredbu za kreiranje kolačića dok je Cookies-journal datoteka prazna.

Skype zatim u sustavu pohranjuje direktorij Crashpad. Crashpad je biblioteka za snimanje, pohranjivanje i strujanje postmortalnih izvješća o padu sustava od klijenta do servera za prikupljanje informacija. Cilj Crashpada je da se spremi stanje aplikacije u trenutku pada sustava najvjernije moguće, uz minimalne probleme.

Nakon toga, na redu je direktorij LocalStorage koji služi aplikacijama da spreme podatke lokalno, na korisnikov uredaj. Local storage je sličan kolačićima uz veći kapacitet. Taj direktorij u sebi sadrži samo jedan poddirektorij - leveldb. LevelDB je sustav za pohranu parova ključ-vrijednost proizvoljnih “blobo-va” podataka. Ta mapa sadržava datoteke pod nazivom nazivom “CURRENT”, “LOCK”, “LOG”, “LOG.old” i datoteke naziva kao “MANIFEST-######”, “######.log” i “######.ldb”,gdje ###### predstavljaju heksadecimalne brojeve koji prikazuju redoslijed stvaranja datoteke (veće vrijednosti su novije). Datoteke “.log” i “.ldb” sadrže stvarne podatke zapisa, dok ostale datoteke sadrže metapodatke koji pomažu u čitanju podataka na učinkovit način. Njihov se sadržaj može pročitati pomoću naredbe

strings {{naziv_datoteke}}.ldb

iz terminala.Isto vrijedi i za direktorij IndexedDB. Otvorivši datoteku pod nazivom 000021.ldb mogu se vidjeti razne informacije o korisniku (koji je uredaj kada koristio za prijavu i s koje lokacije, druge korisnike koje je tražio, pozive koje je uputio itd.)

Zaključak

Iako je odnedavno tek nemoguće lokalno iščitati poruke samih razgovora preko Skype-a, mnoge su informacije o ponašanju korisnika pri korištenju aplikacije lako dostupne i čitljive iz datoteka spremljenih na uredaj.

Literatura

[1] Warlock: Skype Forensics

[2] Katalov, V.: Forensic guide to iMessage, WhatsApp, Telegram, Signal and Skype data acquisition

[3] Jayapaul, R.: Microsoft Teams and Skype Logging Privacy Issue

[4] Mayank: Skype forensic analysis for in-depth investigation