Tor network forensics and hidden service deanonymization

The cybernetics revolution of the last years improved a lot our lives, having an immediate access to services and a huge amount of information over the Internet. Nowadays the user is increasingly asked to insert his sensitive information on the Internet, leaving its traces everywhere. But there are some categories of people that cannot risk to reveal their identities on the Internet. Even if born to protect U.S. intelligence communications online, nowadays Tor is the most famous low-latency network, that guarantees both anonymity and privacy of its users. The aim of this thesis project is to well understand how the Tor protocol works, not only studying its theory, but also implementing those concepts in practice, having a particular attention for security topics. In order to run a Tor private network, that emulates the real one, a virtual testing environment has been configured. This behavior allows to conduct experiments without putting at risk anonymity and privacy of real users. We used a Tor patch, that stores TLS and circuit keys, to be given as inputs to a Tor dissector for Wireshark, in order to obtain decrypted and decoded traffic. Observing clear traffic allowed us to well check the protocol outline and to have a proof of the format of each cell. Besides, these tools allowed to identify a traffic pattern, used to conduct a traffic correlation attack to passively deanonymize hidden service clients. The attacker, controlling two nodes of the Tor network, is able to link a request for a given hidden server to the client who did it, deanonymizing him. The robustness of the traffic pattern and the statistics, such as the true positive rate, and the false positive rate, of the attack are object of a potential future work.

Quantificazione ed individuazione delle alterazioni dei dati nell'ambito di indagini di Informatica Forense

Si è voluto ricreare uno scenario di scorretta gestione di un reperto informatico, ideando e successivamente attuando una serie di test al fine di misurare le alterazioni subite dal sistema operativo (Windows XP). Sono state trattate le best practice operative (internazionali) nonché le disposizioni definite dalla normativa vigente (italiana).

Metodologie e tecniche per l'analisi forense di dispositivi di telefonia mobile

Studio che approfondisce e compare le diverse metodologie e tecniche utilizzabili per l'analisi di dispositivi di telefonia cellulare, in particolar modo smartphone, nel contesto di indagini di mobile device forensics

Finestre di vulnerabilità e pacchetti software

I problemi di sicurezza nel software sono in crescita e gli strumenti di analisi adottati nei sistemi GNU/Linux non permettono di evidenziare le finestre di vulnerabilità a cui un pacchetto è stato soggetto. L'obiettivo di questa tesi è quello di sviluppare uno strumento di computer forensics in grado di ricostruire, incrociando informazioni ottenute dal package manager con security advisory ufficiali, i problemi di sicurezza che potrebbero aver causato una compromissione del sistema in esame.

Proposta metodologica per acquisizione e verificabilita di dati in rete trasmessi in maniera cifrata

Lo sviluppo di tecnologie informatiche e telematiche comporta di pari passo l’aumento di dispositivi informatici e di conseguenza la commissione di illeciti che richiedono l’uso di tecniche dell’informatica forense. Infatti, l'evoluzione della tecnologia ha permesso la diffusione di sistemi informatici connessi alla rete Internet sia negli uffici che nelle case di molte famiglie: il miglioramento notevole della velocità di connessione e della potenza dei dispositivi comporta l’uso di un numero sempre maggiore di applicazioni basate sul web 2.0, modificando lo schema classico d’uso del mezzo e passando da utente “lettore” a utente “produttore”: si potrebbe quasi porre la domanda “Chi non ha mai scritto un commento su un social network? Chi non ha mai caricato un video su una piattaforma di video sharing? Chi non ha mai condiviso un file su un sito?”. Il presente lavoro si propone di illustrare le problematiche dell’acquisizione del traffico di rete con particolare focus sui dati che transitano attraverso protocolli cifrati: infatti, l’acquisizione di traffico di rete si rende necessaria al fine di verificare il contenuto della comunicazione, con la conseguenza che diventa impossibile leggere il contenuto transitato in rete in caso di traffico cifrato e in assenza della chiave di decifratura. Per cui, operazioni banali nei casi di traffico in chiaro (come la ricostruzione di pagine html o fotografie) possono diventare estremamente impegnative, se non addirittura impossibile, quando non si sono previsti appositi accorgimenti e in assenza di idonei strumenti. Alla luce di tali osservazioni, il presente lavoro intende proporre una metodologia completa di acquisizione e uno strumento software che agevoli il lavoro di ricostruzione, e quindi verifica, dei dati contenuti nel traffico catturato, anche cifrato. Infine, verranno mostrati dei casi esemplificativi nei quali tale metodologia si rende opportuna (o meglio, necessaria) con test di ricostruzione dei dati eseguiti con il tool SSLTrafficReader.