Análisis forense de incógnito de Chrome en caso de un cierre brusco

Navega tus respuestas
1

Ha habido muchas discusiones sobre cómo hacer un análisis forense cuando los usuarios usaron el modo de incógnito de Chrome: el consenso parece que no es imposible, pero aún así es difícil.

Pero no ha habido discusiones sobre qué se puede hacer adicionalmente cuando los usuarios cierran sus computadoras repentinamente. Por ejemplo, se puede realizar una redada de búsqueda para algunos sospechosos, y los sospechosos pueden optar por simplemente desconectar los enchufes, debido a la presión o el apuro.

En esta circunstancia, parece que hay datos adicionales con los que trabajar, pero es difícil obtener información al respecto, porque Google no proporciona una buena información técnica sobre cómo funciona el modo de incógnito, y por lo tanto esta pregunta. ¿Cuáles serían los datos adicionales disponibles para el análisis forense de los usos en modo de incógnito cuando la computadora se apagó repentinamente (no es el disparo normal, sino más bien como un corte de energía)?

    
pregunta Grimes 19.08.2018 - 08:40
fuente

1 respuesta

2

Swap / pagefile

Si la presión de la memoria en la máquina de destino es alta, existe la posibilidad de que algunas páginas de la memoria del proceso del navegador se intercambien en el disco (el archivo de páginas en Windows y el archivo de intercambio en Linux). En los sistemas modernos con mucha memoria RAM, muy poco, si es que algo, se intercambia. Además, este espacio de intercambio a veces se cifra, y la clave se guarda solo en la memoria. La clave es aleatoria y, por lo tanto, no se puede descifrar. Las versiones más recientes de Windows pueden hacer esto de forma predeterminada. Las versiones anteriores requieren que el usuario habilite manualmente el cifrado del espacio de intercambio. Cuando el archivo de intercambio está encriptado, o cuando el disco que contiene el archivo de intercambio está encriptado, apagar la computadora (ya sea naturalmente o desenchufando el dispositivo de manera no ceremoniosa) hará que la clave desaparezca.

Archivos descargados

Cada vez que se abre un mensaje de descarga, el archivo a descargar comienza a guardarse automáticamente, generalmente con la extensión .crdownload . Esta descarga se produce incluso si el usuario cancela la descarga o ni siquiera la acepta. Esto se hace como una optimización para mejorar la velocidad de descarga aparente. Si el usuario no especifica un nombre de archivo para guardarlo y comenzar la descarga, el archivo temporal se eliminará tan pronto como se cierre el aviso. Es posible que pueda inferir qué sitios se visitaron al buscar en estos espacios del sistema de archivos no asignados.

Puede haber motivos por los que un usuario haya activado inadvertidamente el mensaje de descarga. Algunos enlaces, cuando se hace clic en ellos, acceden a un recurso donde un encabezado HTTP hace que el archivo se descargue en lugar de abrirse en línea en el navegador. Además, un usuario que está acostumbrado a usar accesos directos del navegador puede presionar accidentalmente ctrl + s , que abre un mensaje de descarga para la página actual.

Resumen

El modo de incógnito hace un esfuerzo por no guardar nada de forma persistente en el disco. Esto significa que no habrá cookies, ni almacenamiento local, ni historial, etc. Si no tiene acceso a los registros del ISP o algo similar, no podrá determinar a qué sitios se ha accedido si la computadora del objetivo donde se encuentra. el navegador de incógnito se está ejecutando se ha cerrado. Tenga en cuenta que esto será aún más difícil si se usa el cifrado, ya que también protegerá el espacio de intercambio o los archivos temporales.

En todos estos casos, debe hacer una copia forense exacta del dispositivo de almacenamiento y mantener un hash criptográfico fuerte en otro lugar para asegurarse de que no haya sido manipulado. A menos que clone el disco de esta manera, existe el riesgo de que la computadora se encienda automáticamente (por ejemplo, debido a Wake-on-LAN), lo que hace que las pruebas obtenidas sean inadmisibles.

    
respondido por el forest 19.08.2018 - 09:17
fuente

Lea otras preguntas en las etiquetas

¿Es suficiente configurar una contraseña de firmware en una Macbook para evitar ataques de arranque en frío? ¿De qué especificación proviene Java HostnameVerifier?