New challenges in digital forensics : online storage and anonymous communication

Abstract

Diese Dissertation baut auf sieben Arbeiten auf, die auf Konferenzen und in Journalen von ACM, IEEE, USENIX und der IFIP veröffentlicht wurden. Digitale Forensik als Forschungsdisziplin hat sich in den letzten Jahren mehr und mehr etabliert, da kriminelle Handlungen mittlerweile ausschließlich mit oder unter Zuhilfenahme von Computern begangen werden. Gleichzeitig werden durch die Verbreitung von starker Verschlüsselung, einer Vielzahl an neuen mobilen Geräten und das stetig steigende Datenvolumen neue Herausforderungen an die digitale Forensik gestellt. Diese Arbeit beschäftigt sich im Speziellen mit den Problemen der digitalen Forensik hinsichtlich Speicherdienste im Internet und anonymer Kommunikation. Im Bereich der anonymen Kommunikation untersucht diese Arbeit Tor, ein sehr weit verbreiteter Anonymisierungsdienst im Internet. Es konnte belegt werden, dass Tor meist nicht wie empfohlen verwendet wird und die Gefahr einer kompletten (unbeabsichtigten) Deanonymisierung für die Anwender hoch ist.Wir haben verschiedene Metriken für die dem Tor Netzwerk zugrundeliegende Infrastruktur mit derzeit ca. 5.000 Knoten erstellt, da diese von Freiwilligen etrieben und nicht zentral kontrolliert wird. Im Bereich der digitalen Forensik haben wir eine neue Angriffsmethode auf Internet-Speicherdienste entwickelt und implementiert. Dieser Angriff nützt die Datendeduplizierung auf der Anwenderseite aus, um einen Angreifer unberechtigten Zugriff auf Daten zu ermöglichen. Die Anwendbarkeit unseres Angriffs wurde anhand von Dropbox belegt, einem der größten Speicherdienste mit derzeit mehr als 200 Millionen nwendern. Wir haben weiters die Gesamtspeicherkapazität von Fragmentierungsartefakten (-slack space-) von Microsoft Windows vermessen und über einen längeren Zeitraum die Stabilität in Bezug auf Systemupdates ermittelt. Zusätzlich haben wir ein Framework implementiert, das die Erzeugung eines digitalen Alibis ermöglicht. Unser Ansatz beinhaltete eine soziale Kommunikationskomponente, die eine forensische Untersuchung täuschen könnte. Im Bereich der sicheren Online-Kommunikation haben wirWebbrowser untersucht und neuartige Identifizierungsmöglichkeiten entdeckt. Auf diesen Ergebnissen aufbauend erhöhten wir die Sicherheit von Online-Sitzungen, indem die Sitzung Server-seitig an die Charakteristika des Browsers gebunden wird.

This thesis is based on seven publications related to the area of digital forensics which were published at conferences or in journals by ACM, IEEE, USENIX and IFIP. Digital forensics as research field has received increasing attention in recent years, as more and more crimes are committed exclusively or with the involvement of computers. At the same time, new challenges emerge constantly, e.g. the prevalent use of encryption, mobile devices of various nature, online cloud storage services and readily available tools that facilitate counter-forensics. In particular, this thesis tries to mitigate current challenges for digital forensics in the areas of online data storage and anonymous communication. Regarding anonymous communication we analyzed the well-known online anonymity tool Tor, which employs onion routing and is expected to be used by hundreds of thousands of users every day: firstly how it is used, and secondly what can be learnt from the publicly available server information. We were able to show that the majority of users are not employing Tor as recommended by the Tor community, and we found many information leaks that can endanger the users- anonymity. We also studied how the underlying infrastructure, which is run by volunteers, can be monitored to provide useful metrics of interest. We furthermore derived and implemented a new attack on online storage systems abusing client-side data deduplication and analyzed how it can be used to thwart digital forensic investigations which in turn can be used for forensic investigations. We showed its feasibility on Dropbox, one of the largest cloud storage providers with more than 200 million users worldwide at the time of writing this thesis. We quantified slack space on numerousWindows systems, assessed it-s stability over time regarding system updates and found that up to 100 megabytes of slack space are readily available in files of the operating system. We furthermore implemented a digital alibi framework with a social interaction component which in our opinion can be easily overlooked in forensic analysis as conducted today. Finally we analyzed browser artifacts and how they can be used for browser fingerprinting. We then used browser fingerprinting to enhance HTTP session security by binding the session on the server to specifics of the particular browser used.