Analisi forense in incognito di Chrome in caso di arresto improvviso

1

Ci sono state molte discussioni su come eseguire analisi forensi quando gli utenti hanno utilizzato la modalità di navigazione in incognito di Chrome: il consenso sembra non impossibile, ma comunque difficile.

Ma c'è stata mancanza di discussioni su cosa può essere fatto in più quando gli utenti improvvisamente spengono i loro computer. Ad esempio, per alcuni sospetti potrebbe essere eseguito un raid di ricerca e i sospetti potrebbero scegliere di staccare semplicemente i tappi, a causa della pressione o della fretta.

In questa circostanza, sembra che ci siano dati aggiuntivi con cui lavorare, ma è difficile avere informazioni su questo, perché Google non fornisce buoni primer tecnici su come funziona la modalità in incognito, e quindi su questa domanda. Quali sarebbero i dati aggiuntivi disponibili per l'analisi forense degli usi in modalità in incognito quando il computer si spegne bruscamente (non è normale, ma è più simile a un'interruzione di corrente)?

    
posta Grimes 19.08.2018 - 08:40
fonte

1 risposta

2

Swap / pagefile

Se la pressione della memoria sul computer di destinazione è elevata, c'è la possibilità che alcune pagine di memoria del processo del browser vengano scambiate sul disco (il file di paging su Windows e il file di swap su Linux). Su sistemi moderni con molta RAM, molto poco, se non altro, viene scambiato. Inoltre, questo spazio di swap è a volte crittografato, con la chiave conservata solo in memoria. La chiave è casuale e quindi non può essere decifrata. Le versioni più recenti di Windows possono farlo per impostazione predefinita. Le versioni precedenti richiedono all'utente di abilitare manualmente la crittografia dello spazio di swap. Quando il file di swap è crittografato, o quando il disco contenente il file di swap è crittografato, spegnendo il computer (sia in modo naturale che senza scollegarlo senza troppe cerimonie) il risultato sparirà.

File scaricati

Ogni volta che viene visualizzata una richiesta di download, il file da scaricare inizia automaticamente a essere salvato, solitamente con l'estensione .crdownload . Questo download si verifica anche se l'utente annulla il download o addirittura non lo accetta. Questo viene fatto come ottimizzazione per migliorare la velocità apparente di download. Se l'utente non specifica un nome file per salvarlo come e iniziare il download, il file temporaneo verrà eliminato non appena il prompt viene chiuso. Potresti essere in grado di dedurre quali siti sono stati visitati guardando in spazio non allocato del filesystem per questi residui.

Potrebbero esserci motivi per cui un utente ha inavvertitamente attivato la richiesta di download. Alcuni link, quando cliccato, accedono a una risorsa in cui un'intestazione HTTP fa sì che il file venga scaricato anziché essere aperto in linea nel browser. Inoltre, un utente abituato a utilizzare le scorciatoie del browser potrebbe premere accidentalmente ctrl + s , che apre una richiesta di download per la pagina corrente.

Sommario

La modalità di navigazione in incognito fa uno sforzo per non salvare nulla sul disco in modo persistente. Ciò significa che non ci saranno cookie, nessuna memoria locale, nessuna cronologia, ecc. Se non si ha accesso ai log dall'ISP o qualcosa di simile, non sarà possibile determinare a quali siti è stato effettuato l'accesso se il computer della destinazione è il il browser in incognito è in esecuzione è stato chiuso. Tieni presente che ciò sarà ancora più difficile se si utilizza la crittografia, poiché ciò proteggerà anche lo spazio di swap oi file temporanei.

In tutti questi casi, dovresti creare una copia forense esatta del dispositivo di archiviazione e conservarne un strong hash crittografico altrove per assicurarti che non sia stato manomesso. A meno che non si cloni il disco in questo modo, ci sarà il rischio che il computer si accenda automaticamente (ad esempio a causa di Wake-on-LAN), rendendo le prove ottenute potenzialmente inammissibili.

    
risposta data 19.08.2018 - 09:17
fonte

Leggi altre domande sui tag