tor and bitcoin forensics - supsi · rete tor –the onion router tor è un sistema di...
TRANSCRIPT
![Page 1: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/1.jpg)
TOR & BITCOIN FORENSICSMATTIA EPIFANI
SUPSI
LUGANO, 12 MARZO 2013
![Page 2: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/2.jpg)
DEEP WEB
Solo il 4% dei contenuti presenti
su Internet sono indicizzati dai
motori di ricerca
Circa 8 zettabytes di dati
sono conservati su server
accessibili unicamente tramite
reti anonime o su siti web ad
accesso protetto
![Page 3: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/3.jpg)
TOR E BITCOIN: UN LEGAME INDISSOLUBILE?
L’accesso alle pagine del Deep Web nella maggior parte dei casi è
possibile unicamente attraverso connessioni alla rete Tor (The Onion
Router)
Gli acquisti all’interno del Deep Web avvengono prevalentemente con
monete elettroniche come Bitcoin
Il legame sembra indissolubile, anche se le ultime «falle» di sicurezza del
sistema di scambio di cripto-monete sta facendo vacillare questo sistema
alternativo
![Page 4: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/4.jpg)
ANONIMATO
Anonimato (Internet)
Per ragioni di privacy, di «safety», criminali
Molteplici tecniche e strumenti
Proxy
Teste di ponte
TOR
![Page 5: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/5.jpg)
RETE TOR – THE ONION ROUTER
Tor è un sistema di comunicazione anonima
I peer non possono conoscere il reale IP dell’interlocutore
Connessioni «anonime» e servizi nascosti
La navigazione su rete Tor avviene, tipicamente, attraverso:
Tor Browser Bundle (Windows/Mac/Linux)
Live CD/USB Tails
Orbot (App per dispositivi Android)
Tutti i tool sono scaricabili all’indirizzo https://www.torproject.org
![Page 6: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/6.jpg)
TOR – SCENARIO CLASSICO
web server
TOR
Internet
client
cifratoin chiaro
Sito web con contenuti illeciti
Necessità di identificare gli utenti che vi si connettono
![Page 7: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/7.jpg)
DIGITAL INVESTIGATION
7Icons from OSA, http://www.opensecurityarchitecture.org/cms/library/icon-library
Sherlock Holmes icon author is Iconka, free for public use with link, http://iconka.com/
Fase 1(pre)
Fase 2(cross)
Fase 3(post)
indagato
investigatore
![Page 8: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/8.jpg)
TOR USER C&C
Un possibile approccio informatico
Hack back!?
Prevede:
Web Server: modifica della risposta del server sulla specifica risorsa
Collaborativo, civetta, ISP, hack
L’utilizzo di BeEF (The Browser Exploitation Framework)
TorBundle lato client 2
3
1
![Page 9: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/9.jpg)
TOR USER C&C
web serverbeefed
Beef Hook server
Beef C&C
1. Web server beefed
2. Client si connette al server web e ne riceve la pagina con il riferimento all’hook js
3. Il browser del client scarica l’hookjs dal sever beef
4. Hook viene eseguito
5. L’hook fa sì che il browser del client si connetta al Beef c&c
6. Landing now
12
clientTorBundle
3
4
TOR
5
62
3
1
![Page 10: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/10.jpg)
TOR USER C&C
beefed
Beef C&C
![Page 11: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/11.jpg)
TOR C&C
6
![Page 12: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/12.jpg)
TOR C&C
![Page 13: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/13.jpg)
TOR C&C
Figura 1
Figura 2
Figure 3 e 4
![Page 14: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/14.jpg)
TOR C&C
![Page 15: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/15.jpg)
CONSIGLI PER L’USO DI TOR (TORPROJECT.ORG)
![Page 16: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/16.jpg)
CONSIGLI PER L’USO DI TOR (TORPROJECT.ORG)
![Page 17: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/17.jpg)
CONSIGLI PER L’USO DI TOR (TORPROJECT.ORG)
![Page 18: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/18.jpg)
TOR BROWSER BUNDLE
Il Tor Browser può essere utilizzato su:
Windows
Mac
Linux
Una volta scaricato dal sito può essere eseguito:
Da computer
Da Pen Drive/Hard disk esterno
![Page 19: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/19.jpg)
AMBIENTE DI TEST
Al fine di verificare le tracce lasciate dall’utilizzo su un sistema operativo Windows 7 è stato predisposto un ambiente di test dedicato
Installazione di una macchina virtuale con sistema operativo Windows 7 a 64 bit
Download da altro computer del pacchetto di installazione del Tor Browser Bundle (vers. 3.5.2.1)
Estrazione del Browser su Pen Drive USB completamente sovrascritto precedentemente
Accensione della macchina virtuale
Collegamento del Pen Drive alla macchina virtuale
![Page 20: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/20.jpg)
AMBIENTE DI TEST
Esecuzione del Tor Browser dal pen drive
Connessione alla rete TOR
Navigazione sui seguenti siti web, mediante inserimento del link nel browser:
http://www.repubblica.it
http:// www.genoacfc.it
http:// www.corriere.it
http:// www.gazzetta.it
http://www.forensicfocus.com/
http://silkroad6ownowfk.onion
http://onion.is-found.org/
http://torwiki4wrlpz32o.onion/index.php/Main_Page
https://www.apple.com/it/
![Page 21: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/21.jpg)
AMBIENTE DI TEST
Sospensione della macchina virtuale
Acquisizione del dump della memoria con il browser ancora aperto
Ripresa dalla macchina virtuale
Chiusura del browser
Esecuzione di alcune attività (navigazione con Internet Explorer, Solitario, Pannello di controllo, ecc.)
Sospensione della macchina virtuale
Acquisizione del dump della memoria con il browser chiuso
![Page 22: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/22.jpg)
ANALISI DELL TRACCE
In letteratura è già disponibile un interessante valutazione degli «artifacts» rinvenuti su una macchina utilizzata per la navigazione su Tor
Forensic Analysis of the Tor Browser Bundle on OS X, Linux, and Windows
https://research.torproject.org/techreports/tbb-forensic-analysis-2013-06-28.pdf
Per verificare i risultati e individuare eventuali elementi di interesse sono stati analizzati:
Copia forense del pen drive utilizzato per l’esecuzione del Tor Browser
File VMDK contenente l’immagine della macchina virtuale 2
3
1
![Page 23: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/23.jpg)
ANALISI DELL TRACCE SU PEN DRIVE
Le cartelle di maggior interesse per l’analisi sono risultate: Cartella \Tor Browser\Data\Tor Cartella \Tor Browser\Data\Browser
![Page 24: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/24.jpg)
CARTELLA DATA\TOR
I file di maggior interesse sono:
state, contenente lo stato del browser al momento dell’esecuzione e la data di ultima esecuzione
torrc, contenente il percorso dal quale è stato eseguito il Tor Browser, comprensivo della lettera di unità
![Page 25: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/25.jpg)
CARTELLA DATA\BROWSER
I file di maggior interesse sono Compatibility.ini e Extension.ini, contenente il percorso di ultima esecuzione dell’applicazione, comprensivo della lettera di unità
![Page 26: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/26.jpg)
ALTRE TRACCE POSSIBILI SU PEN DRIVE
L’utilizzo del browser in modo «tradizionale» potrebbe lasciare altre tracce dell’utilizzo della rete TOR
Esempi di informazioni che l’utente potrebbe memorizzare (volontariamente o meno) sono:
Bookmarks/preferiti (Places.sqlite)
Lista dei file scaricati (Downloads.sqlite)
![Page 27: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/27.jpg)
ANALISI DELL TRACCE SU HARD DISK
L’analisi delle tracce su hard disk è stata effettuata utilizzando le seguenti parole chiave:
Tor
Torrc
Geoip
Torproject
URL dei siti web visitati
![Page 28: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/28.jpg)
ANALISI DELL TRACCE SU HARD DISK
La ricerca effettuata con la parola chiave Tor ha evidenziato:
File di Prefetch denominato TOR.EXE-XXXXXXX.pf
File di Prefetch denominato START TOR BROWSER.EXE-XXXXXXX.pf
Valore all’interno del registro utente nella chiave User Assist
Corrispondenze all’interno del file BookCKCL.etl
Elevata quantità di corrispondenze nel file pagefile.sys
![Page 29: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/29.jpg)
ANALISI DELL TRACCE SU HARD DISK
La ricerca effettuata con le parole chiave Torrc, Torproject e Geoip ha evidenziato:
Corrispondenze all’interno del file BookCKCL.etl
Elevata quantità di corrispondenze nel file pagefile.sys
La ricerca effettuata con le parole chiave relative agli URL dei siti web visitati ha evidenziato:
Elevata quantità di corrispondenze nel file pagefile.sys
![Page 30: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/30.jpg)
ANALISI DEI FILE DI PREFETCH
I file di Prefetch permettono di individuare:
La data di primo utilizzo di Tor Browser
La data di ultimo utilizzo di Tor Browser
Il numero di esecuzioni di Tor Browser
![Page 31: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/31.jpg)
ANALISI DEL REGISTRO NTUSER.DAT
La chiave User Assist del registro NTUSER.DAT permette di identificare:
Data di ultima esecuzione dell’applicazione
Numero di esecuzioni
Percorso di esecuzione
I valori sono memorizzati in ROT-13
Effettuando un’analisi comparata dei registri NTUSER.DAT all’interno delle Volume Shadow Copies è possibile definire, nel tempo, il numero di utilizzi
![Page 32: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/32.jpg)
ANALISI DEL PAGEFILE
Non è possibile fare un’analisi sulla struttura
Ma attraverso la ricerca per stringa si possono trovare elementi interessanti
Le informazioni nel pagefile persistono anche in seguito a riavvio del sistema
![Page 33: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/33.jpg)
ANALISI DEL PAGEFILE – BULK EXTRACTOR
![Page 34: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/34.jpg)
ANALISI DEL PAGEFILE – INTERNET EVIDENCE FINDER
![Page 35: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/35.jpg)
ALTRE TRACCE SU HARD DISK (PAPER)
Nel paper di Runa Sandivik sono riportati ulteriori elementi che possono contenere riferimenti all’esecuzione del Tor Browser, e in particolare:
Thumbnail Cache
Registro USRCLASS.DAT
Windows Search Database
![Page 36: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/36.jpg)
ANALISI DEI DUMP DI MEMORIA
I dump di memoria sono stati analizzati utilizzando Volatility
Pslist
Psscan
Netscan
Procmemdump
E mediante ricerca per parola chiave
Tor
Torrc
Geoip
Torproject
URL dei siti web visitati
![Page 37: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/37.jpg)
DUMP DI MEMORIA – TOR AVVIATO - PSLIST
![Page 38: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/38.jpg)
DUMP DI MEMORIA – TOR AVVIATO – CONNECTIONS
![Page 39: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/39.jpg)
DUMP DI MEMORIA – TOR CHIUSO - PSLIST
![Page 40: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/40.jpg)
DUMP DI MEMORIA – TOR CHIUSO - CONNECTIONS
![Page 41: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/41.jpg)
DUMP DI MEMORIA – TOR AVVIATO – RICERCA PER PAROLA CHIAVE
![Page 42: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/42.jpg)
DUMP DI MEMORIA – TOR CHIUSO – RICERCA PER PAROLA CHIAVE
![Page 43: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/43.jpg)
HIBERFIL.SYS
Il file hiberfil.sys è il file di ibernazione di Windows
Contiene un «dump» della memoria RAM del momento in cui il computer è stato «ibernato»
L’analisi del file hiberfil.sys ci permette di «tornare indietro nel tempo»
Posso convertirlo in un dump di RAM (plugin imagecopy di Volatility)
Posso analizzarlo utilizzando
Volatility (pslist, psscan, connections, ecc.)
Ricerca per keyword
![Page 44: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/44.jpg)
METODOLOGIA DI ANALISI HARD DISK
• Data di primo utilizzo
• Data di ultimo utilizzo
• Numero di esecuzioni
File di Prefetch
• Percorso di esecuzione
• Data di ultimo utilizzo
• Numero di esecuzioni
• Verificare eventuale storico del valore tramite VSS
Registro NTUSER\UserAssist
• Thumbnail Cache
• Registro USRCLASS.DAT
• Windows Search Database
• BookCKCL.etl
Altre informazioni di interesse
• HTTP-memory-only-PB
• Torproject
• Tor
• Torrc
• Geoip
• Torbutton
• Tor-launcher
Pagefile.sys (ricerca per keyword)
• Convertire in un dump di RAM
• Analizzare attraverso
• Volatility
• Ricerca per keyword
Hiberfil.sys
![Page 45: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/45.jpg)
TAILS
![Page 46: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/46.jpg)
ICEWEASELS
![Page 47: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/47.jpg)
TAILS - ANALISI DELLE TRACCE
Nessuna traccia su hard disk!
E’ un sistema live Lavora direttamente in RAM
Unica possibilità: acquisire la RAM mentre il computer è ancora acceso
Recupero unicamente le informazioni della esecuzione attuale
![Page 48: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/48.jpg)
BITCOIN…OVUNQUE SE NE PARLA…
![Page 49: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/49.jpg)
BITCOIN - TRANSAZIONI
![Page 50: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/50.jpg)
BITCOIN WALLET
![Page 51: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/51.jpg)
BITCOIN-QT
![Page 52: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/52.jpg)
WALLET.DAT
![Page 53: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/53.jpg)
![Page 54: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/54.jpg)
![Page 55: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/55.jpg)
![Page 56: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/56.jpg)
WALLET DATA RECOVERY
![Page 57: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/57.jpg)
TOR - SITI WEB DI RIFERIMENTO
Tor Projecthttps://www.torproject.org
Tor2Webhttps://www.onion.to/http://tor2web.org/
HideMyAsshttp://www.hidemyass.com/
The Onion Router (Wikipedia)http://it.wikipedia.org/wiki/Tor_(software)
Forensic Analysis of the Tor Browser Bundle on OS X, Linux, and Windowshttps://research.torproject.org/techreports/tbb-forensic-analysis-2013-06-28.pdf
FORENSIC MEMORY DUMP ANALYSIS AND RECOVERY OF THE ARTIFACTS OF USING TOR BUNDLE BROWSEhttp://ro.ecu.edu.au/cgi/viewcontent.cgi?article=1121&context=adf
Detecting Tor Communication in Network Traffichttp://www.netresec.com/?page=Blog&month=2013-04&post=Detecting-TOR-Communication-in-Network-Traffic
![Page 58: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/58.jpg)
BITCOIN - PUBBLICAZIONI DI RIFERIMENTO
Bitcoinhttps://bitcoin.org/it/
Bitcoinhttp://it.wikipedia.org/wiki/Bitcoin
Bitcoin Foundationhttps://bitcoinfoundation.org/
We Use Coinshttps://www.weusecoins.com/en/
Blockchain Infohttp://blockchain.info/it
Bitcoin Forensics – A Journey into the Dark Webhttp://www.magnetforensics.com/bitcoin-forensics-a-journey-into-the-dark-web/
![Page 59: Tor and Bitcoin Forensics - SUPSI · RETE TOR –THE ONION ROUTER Tor è un sistema di comunicazione anonima I peernon possono conoscere il reale IP dell’interlocutore Connessioni](https://reader035.vdocument.in/reader035/viewer/2022063019/5fdf0b878ac93e32fc606c31/html5/thumbnails/59.jpg)
Q&A?
Mattia Epifani
Digital Forensics Expert
CEO @ REALITY NET – System Solutions
Past President @ DFA Association
GCFA, GMOB, CEH, CHFI, CCE, CIFI, ECCE, AME, ACE, MPSC
Mail [email protected]
Twitter @mattiaep
Linkedin http://www.linkedin.com/in/mattiaepifani