Forenzička analiza Tor preglednika na Windows 10 operacijskom sustavu

Sigurnost u internetu pojam je koji se sve češće spominje u našem svakodnevnom životu. Važan aspekt sigurnosti jest anonimnost, odnosno zahtjev da naše aktivnosti na internetu budu privatne i zaštićene od potencijalnih napadača koji prisluškuju naš promet. Postoje web preglednici koji omogućuju anonimne aktivnosti na internetu, a jedan od tih preglednika je Tor. Iako Tor znatno otežava praćenje korisnikovih aktivnosti na internetu, aplikacija ostavlja razne tragove na sustavu unutar kojeg se koristi. Takvi tragovi mogu se pronaći na disku, radnoj memoriji i registru operacijskog sustava Windows 10.

Ključne riječi: Tor; Windows 10; registar; radna memorija; disk

Tor je jedan od najpopularnijih privatnih web preglednika. Koriste ga obični korisnici u svrhu sigurnog pregledavanja interneta, ali i kriminalci kako bi prikrili svoje ilegalne aktivnosti na internetu. Izgleda kao i svaki drugi web preglednik, no Tor šifrira sav promet i preusmjerava ga kroz određeni broj nasumično odabranih Tor poslužitelja prije nego što dođe do zadanog odredišta. Postoji više od sedam tisuća takvih poslužitelja koji najčešće pripadaju volonterima iz zajednice korisnika, a broj nasumičnih skokova između njih prije destinacije može biti proizvoljan što utječe na brzinu pregledavanja. Tako korisnik zaobilazi nadzor pružatelja internetske usluge, skriva svoju pravu IP adresu od usluga koje koristi te otežava prisluškivanje prometa koji odlazi ili dolazi prema njegovom računalu. Zbog njegovog načina rada pronalazak tragova pregledavanja ilegalnog sadržaja na internetu putem Tor preglednika ponekad može izgledati kao nemoguća misija, ali ako se dobije pristup računalu osumnjičene osobe mogu se pronaći tragovi koje ostavlja Tor preglednik. U poglavljima koja slijede prikazani su tragovi koji se mogu pronaći na disku, u radnoj memoriji i u registru operacijskog sustava Windows 10.

Instalacijom Tor preglednika na odabranom mjestu u datotečnom sustavu pohranjuje se direktorij u kojem se nalazi konfiguracija i svi potrebni podatci za pokretanje i korištenje aplikacije. Analizom direktorija na čije se stablo detaljnije može vidjeti na slici 1, mogu se pronaći datoteke state i torrc.

Na slici 2 u crvenom okviru prikazna je informacija o posljednjem pokretanju aplikacije. Pomoću informacija o pokretanju Tor preglednika moguće je utvrditi je li osumnjičeni koristio privatni preglednik za vrijeme odvijanja ilegalne aktivnosti na internetu.

Na slici 3 u crvenom okviru prikazana je informacija o tome od kuda je preglednik pokrenut.

Daljnom analizom utvrđeno je da web preglednik ostavlja razne vremenske oznake u datotečnom sustavu, no nisu pronađeni nikakvi podatci o povijesti pregledavanja. Nakon deinstalacije direktorij se briše sa datotečnog sustava. Detaljnija analiza i pronalazak tragova instalacije Tor preglednika može se pronaći u [1] gdje Aron Warrner carvea datoteke alatom X Ways Forensics te analizira podatke u heksadecimalnom zapisu. Takvi detalji nisu obuhvaćeni ovim radom.

[1] Aron Warren. Tor Browser Artifacts in Windows 10. SANS Institute, 2017.

[2] M. R. Arshad, M. Hussain, H. Tahir, S. Qadir, F. I. Ahmed Memon and Y. Javed, "Forensic Analysis of Tor Browser on Windows 10 and Android 10 Operating Systems," in IEEE Access, vol. 9, pp. 141273-141294, 2021, doi: 10.1109/ACCESS.2021.3119724.

[3] Mattia Epifani. Tor Browser Forensics on Windows OS. Dublin, 2015.

[4] Jack Wherry. What is Tor and how does it work?. Cybernews, 2020.