Fingerprinting Techniques for Target

Fingerprinting Techniques for
Target-oriented Investigations in
Network Forensics
Dominik Herrmann
Karl-Peter Fuchs
Hannes Federrath
Folien: http://dhgo.to/fpforensics
1
Verschlüsselungstechniken erschweren forensische Ermittlungen
•  Bestandsdatenauskunft (§ 113 TKG)
•  Telekommunikationsüberwachung (§§ 100a, 100b StPO)
•  Sicherstellung/Durchsicht von Festplatten (§§ 97, 110 StPO)
„
With current resources, law
enforcement’s hands are tied
when it comes to FDE when
used by anyone who is diligent
with the passphrase.
2
Casey et al: The growing impact of full disk encryption on digital forensics
Forderung nach unverhältnismäßigen Ermittlungsmethoden
The Australian Security Intelligence Organization (ASIO) is
pushing for laws that would
make telecommunications
companies retain their customers’ web-browsing data, as
well as forcing web users to
decrypt encrypted messages.
„
3
http://gutjahr.biz/2013/12/vorratsdaten
http://rt.com/news/australia-nsa-snowden-surveillance-510
http://arstechnica.com/tech-policy/2014/03/after-snowden-australias-cops-worry-about-people-using-crypto
Einsatz von unverhältnismäßigen Ermittlungsmethoden
c‘t 2011, Heft 23, S. 28
„Quellen-TKÜ“
FAS, 9.10.2011, S. 41
4
Website-Fingerprinting zur Ermittlung abgerufener Webseiten
TKÜ
Client-Rechner
Tunnel-Endpunkt
Verschlüsselter Datenverkehr
Webserver
Mallory
Tunnel
Beobachtbare verschlüsselte IP-Pakete:
5
Zeit
Trotz Verschlüsselung charakteristische Verteilung der Paketgrößen
IP Packet Fragmentation
Packet
fragmentation
TCP ACKs
MTU
HTTP
requests
TCP ACKs
MTU
Packet
fragmentation
[Hin02, BLJL05, LL06,
HWF09, PNZE11, …]
6
HTTP
requests
Device-Fingerprinting zur Eingrenzung
Mallory
MacOS X
7
Alice
Windows
Bitlocker FDE
Device-Fingerprinting zur Eingrenzung
GET / HTTP/1.1
Host: silkroad6ownowfk.onion
User-Agent: Mozilla/5.0
(compatible; MSIE 10.0;
Windows NT 6.2; Win64; x64)
Accept-Encoding: gzip
Mallory
MacOS X
8
Alice
Windows
Bitlocker FDE
9
Betriebssystem-Fingerprinting anhand impliziter Merkmale
Tools: p0f, ettercap
10
http://www.netresec.com/?page=Blog&month=2011-11&post=Passive-OS-Fingerprinting
Betriebssystem-Fingerprinting mittels DNS-Anfragen
Windows 7
swdist.apple.com su.itunes.apple.com
time.euro.apple.com internalcheck.apple.com
identity.apple.com configuration.apple.com
keyvalueservice.icloud.com
au.v4.download.windowsupdate.com ds.download.windowsupdate.com
au.v4.download.windowsupdate.com
bg.v4.emdl.ws.microsoft.com definitionupdates.microsoft.com
spynet2.microsoft.com watson.telemetry.microsoft.com
sqm.telemetry.microsoft.com clientconfig.passport.net ssw.live.com
definitionupdates.microsoft.com
client.wns.windows.com appexbingfinance.trafficmanager.net
appexbingweather.trafficmanager.net appexsports.trafficmanager.net
spynet2.microsoft.com
appexdb[x].stb.s-msn.com de-de.appex-rf.msn.com
finance.services.appex.bing.com financeweur[x].blob.appex.bing.com
watson.telemetry.microsoft.com
weather.tile.appex.bing.com
clientconfig.passport.net …
Windows 8
changelogs.ubuntu.com ntp.ubuntu.com geoip.ubuntu.com
daisy.ubuntu.com _https._tcp.fs.one.ubuntu.com fs[x].one.ubuntu.com
Ubuntu 12.04
11
MacOS X 10.8.5
mirrorlist.centos.org
[x].centos.pool.ntp.org
CentOS 6
Nutzerverhalten-Fingerprinting: Verkettung von Sitzungen
Sitzung 1
Sitzung 2
ZEIT
Kriminelle Handlung,
aber anonym
Identität
preisgegeben
12
Nutzer haben charakteristische Verhaltensmuster
15
5ba_2−01
Anfragehäufigkeit
10
AnfrageHäufigkeit
5
0
5
10
15
5ba_2−02
1
10
100
1000
10000
100000
Rang des
Hostnamens
Hosts sortiert
nach
Popularität
1e+06
1e+07
15
209_1−01
Anfragehäufigkeit
10
5
Anfrage0
Häufigkeit
5
10
5ba_2−02
15
1
13
10
100
1000
10000
100000
Rang desnach
Hostnamens
Hosts sortiert
Popularität
1e+06
1e+07
[Herrmann 2014]
Bei 3000 Nutzern im Mittel 86 % der Sitzungen verkettbar
3000
Predicted class
Index der ihnen zugewiesenen Klasse
2500
2000
1500
1000
500
0
0
14
1000
1500
2000
2500
500
Index der Klasse der zu klassifizierenden Testinstanzen
Actual class
3000
[Herrmann 2014]
Soll Fingerprinting zur Strafverfolgung eingesetzt werden?
•  Unklare Beweiskraft
–  Mangelhafte Erklärbarkeit von Entscheidungen
–  Trügerische Genauigkeitswerte in Veröffentlichungen
•  Neue Begehrlichkeit: Eignung zur Massenüberwachung
„besonders datenschutzfreundlich“
15
Eckersley: How Unique Is Your Web Browser? (2010)
http://www.wired.com/opinion/2013/06/phew-it-was-just-metadata-not-think-again/ (2013)
Zusammenfassung
•  Forensische Ermittlung durch Verschlüsselung erschwert
•  Potenziell anwendbare Fingerprinting-Techniken
–  Erkennung verschlüsselt übertragener Webseiten
–  Implizite Merkmale von Betriebssystemen und Web-Browsern
–  Charakteristisches Nutzerverhalten zur Sitzungsverkettung
•  Einsatz bei forensischen Untersuchungen zu diskutieren
–  Unklare Aussagekraft
–  Missbrauchspotenzial
Dominik Herrmann (Universität Hamburg)
herrmann@informatik.uni-hamburg.de
Folien: http://dhgo.to/fpforensics
16