Telegram Messenger 1) je globalno dostupna, besplatna aplikacija za slanje poruka u stvarnom vremenu. Telegram pruža zaštitu komunikacije primjenom end-to-end enkripcije. U proteklih nekoliko godina aplikacija se značajno promjenila te će ovom radu biti opisane metode za generiranje artifakata u virtualnom okruženju. Prikupljeni artifakti pomoću poruka, lokacije korisnika i datotečne strukture prikupljeni su i uspoređeni sa artifaktima prijašnjih verzija aplikacije. Usporedbom artefakata pokazano je unaprijeđenje aplikacije u području sigurnosti.
Telegram je globalno dostupna, besplatna aplikacija za slanje poruka u stvarnom vremenu. Aplikacija pruža opcionalnu end-to-end enkripciju razgovora poznatu kao secret chat te video razgovore. Telegram je dostupan na platformama Android, iOS, Windows, Linux, macOS, Web. Službene koponente aplikacije su open source, sa iznimkom servera koji je closed-sourced. Uz end-to-end enkripciju, obični razgovori zaštičeni su enkripcijom između servera i klijenta tako da strani promatrači na mreži ne mogu pristupiti podacima. U ovom seminaru biti će opisane metode digitalne forenzike aplikacija za slanje poruka na Android OS pametnim telefonima.
Kako bi podaci mogli biti korišteni u svrhe forenzičke analize potrebno ih je identificirati kao digitalne dokaze te se zatim nad njima provode aktivnosti digitalne forenzike.
Svi prikupljeni dokazi koji mogu biti korišteni u svrhe digitalne forenzike moraju biti čuvani u stanju o kojem su originaklno pronađeni jer bilo kakve modifikacije ili nezgode mogu proizvesti netočnosti u digitalnoj analizi.
Nakon što su digitalni dokazi prikupljeni i očuvani mogu se koristiti za potrebe analize. Podaci se ne mogu čitati direktno te je pokrebno koristiti alate poput Android Debug Bridge(ADB), Virtual Box, Gennymotion, SQL Database Browser.
Prilikom ekstrakcije podataka pronađene su različite datoteke i folderi u relaciji sa direktorijem aplikacije na više lokacija. data/data/org.telegram.messenger.web sadrži nekoliko datoteka koje su bile važne za prikupljanje dokaza. Takođe pronađena je datoteka cache4.db koja sadrži lokalno cachiranu bazu podataka koja sadrži tablice koje uključuju podatke o kontaktima, korisnicima, grupama, porukama itd. Nadalje, na lokaciji data/media/0/Telegram gdje aplikacija pohranjuje svoje datoteke i medijske datoteke. To su datoteke koje su preuzete iz razmjena poruka te pohranjene u lokalnoj ili eksternoj memoriji.
Prijavom korisnika u cache4.db datoteci uočen je unos u tablicu korisnika. To pruža dokaz da se aktivnost na uređaju može dokazati. Zabilježen je broj mobitla korisnika u blob formatu te identifikator korisnika koji može koristiti u daljnjoj istrazi.
Kao i kod prošle aktivnosti ista metoda je korištena za prikupljanje korisnikovih podataka. Online log pohranio je podatke vezane uz kontakte kada je korisnik dodao kontakt zatim ga uredio i na kraju obrisao. Ovi podaci mogu se koristiti kao dokaz za ojačanje slučaja. Podaci su pronađeni u cache4.db datoteci. Svaki korisnik prikazan je pomoću id iza kojeg dolazi ime. S obzirom da na Telegramu postoje nadimci te svaki korisnik ima korisničko ime, oni su prikazani odvojeni ;. Ovi podaci su ključni jer je uz nadimak prikazano i korisničko ime koje je unique.
U usporedbi sa starijim verzijama aplikacije postoje male promjene u imenima tablica.
Kreirano je nekoliko scenarija upotrebe aplikacije.
Svi logovi prikupljeni su kao i u prošlim zadacima. U datoteci cache4.db pohranjen je id korisnika koji je poslao tekstualnu poruku te blob koji prikazuje sadržaj poruke.
Sadržaj medijske datoteke nije čitljiv iako je do Telegram v3.4.2 sadržaj bio čitljiv. Vrijedi napomenuti da svaki opis fotografije ostaje vidljiv.
Logovi su pohranili sve aktivnosti koje su provedene no samo neke od njih pružaju korisne informacije vezane uz istragu.
U ovom seminaru opisano je 5 glavnih scenarija prikupljanja podataka u aplikaciji Telegram te je u nekim slučajevima provedena i usporedba sa starijim verzijama Telegram aplikacije. Rezultati su bili uspješni u nekoliko scenarija gdje je bilo moguće identificirati korisnika i prikupiti njegove osobne podatke poput broja telefona, nadimka, kontakata. Također, uspješno je otkrivena i poruka koju je korisnik poslao zajedno sa njegovim identifikatorom i sadržajom poruke.