Do private and portable web browsers leave incriminating evidence?: a forensic analysis of residual artifacts from private and portable web browsing sessions

Ohana, Donny Jacob; Shashidhar, Narasimha

doi:10.1186/1687-417x-2013-6

Cited by 35 publications

(10 citation statements)

References 2 publications

Supporting

Mentioning

Contrasting

Unclassified

Order By: Relevance

“…In (Said et al, 2011) the authors examined if private browsing artefacts were available in the system's memory. The work in (Ohana and Shashidhar, 2013) focused on portable browsers (e.g., stored on a USB flash drive) and whether artefacts are still available after the session terminates. The approach resembles the work in (Said et al, 2011), in terms of capturing and analysing RAM, while the artefacts tested included: history, credentials, images and videos.…”

Section: Related Workmentioning

confidence: 99%

Exploring the protection of private browsing in desktop browsers

Tsalis

Mylonas

Nisioti

et al. 2017

Computers & Security

View full text Add to dashboard Cite

Desktop browsers have introduced private browsing mode, a security control which aims to protect users' data that are generated during a private browsing session, by not storing them in the file system. As the Internet becomes ubiquitous, the existence of this security control is beneficial to users, since privacy violations are increasing, while users tend to be more concerned about their privacy when browsing the web in a post-Snowden era. In this context, this work examines the protection that is offered by the private browsing mode of the most popular desktop browsers in Windows (i.e., Chrome, Firefox, IE and Opera). Our experiments uncover occasions in which even if users browse the web with a private session, privacy violations exist contrary to what is documented by the browser. To raise the bar of privacy protection that is offered by web browsers, we propose the use of a virtual filesystem as the storage medium of browsers' cache data. We demonstrate with a case study how this countermeasure protects users from the privacy violations, which are previously identified in this work.

show abstract

Section: Related Workmentioning

confidence: 99%

Exploring the protection of private browsing in desktop browsers

Tsalis

Mylonas

Nisioti

et al. 2017

Computers & Security

View full text Add to dashboard Cite

show abstract

“…A report of PBM weaknesses for popular regular and portable browsers can be found in [12]. In addition to the conventional forensics methodology they also performed limited RAM forensics.…”

Section: Literature Reviewmentioning

confidence: 99%

“…Conventionally, computer forensic investigators focus on static media for data retrieval and acquisition. For example, Oh [11] and Ohana [12] show that private mode browsing in all major web browsers does leave some kind of recoverable data but it is difficult to establish a link between the user and a web browsing session. The same researchers also used RAM forensics methodology to investigate traces of artifacts left in main memory with regard to private browsing for several web browsers.…”

Section: Introductionmentioning

confidence: 99%

Analysis of Privacy of Private Browsing Mode through Memory Forensics

Ghafarian¹,

Hosseini²

2015

IJCA

View full text Add to dashboard Cite

Most popular web browsers support private browsing mode. It is claimed that private browsing mode protects privacy by leaving no trace of surfing activities behind. Yet it poses a great challenge to the computer forensics investigators who try to reconstruct the past browsing history, in case of any computer incidence. The aim of this research is to use volatile memory forensics methodologies and tools to examine the artifacts left in main memory after a private browsing session. To achieve this goal, it first presents a memory forensics framework that will help the investigators to effectively capture and analyze memory associated with private browsing with respect to incidence response. It then uses the framework to experimentally capture and analyze the memory, for its evidential potential related to private browsing using Firefox, Google Chrome, IE and Safari. We also report the degree of privacy offered by the browsers under study.

show abstract

“…In (Said et al, 2011) the authors examined if artefacts were available in the system's memory. The work in (Ohana and Shashidhar, 2013) focused on portable browsers (e.g., stored on a USB flash drive) and whether artefacts are still available after the session terminates. The approach resembles the work in (Said et al, 2011), in terms of capturing and analyzing RAM, while the artefacts tested included: history, credentials, images and videos.…”

Section: Private Browsingmentioning

confidence: 99%

“…) (Montasari and Peltola, 2015) ( Satvat et al, 2014) (Ruiz et al, 2015) ( Ohana and Shashidhar, 2013) (Said et al, 2011) (Xu et al, 2015) ( Oh et al, 2011) The browsers were monitored inside a virtual running Windows 7. Every browser was installed using the default installation settings in a different snapshot of the virtual machine.…”

Section: Generic Artefactsmentioning

confidence: 99%

Exposing security and privacy liabilities in modern browsers

Tsalis¹,

Τσάλης²

View full text Add to dashboard Cite

Ο αριθμός και η πολυπλοκότητα των απειλών στο διαδίκτυο, έχουν αυξηθεί σταθερά τα τελευταία χρόνια. Ο βασικός στόχος των επιτιθέμενων είναι τα οικονομικά κέρδη έναντι των χρηστών, οι οποίοι δύσκολα μπορούν να προστατευθούν από τέτοιου είδους επιθέσεις. Το γεγονός αυτό ενισχύεται περαιτέρω από το αποδυναμωμένο περιβάλλον ασφαλείας μέσα στο οποίο λειτουργούν χρήστες καθημερινα. Πιο συγκεκριμένα, ο μέσος χρήστης δεν είναι επαρκώς ενημερωμένος σε θέματα τεχνολογίας, ειδικά σχετικά με θέματα ασφάλειας, ενώ παράλληλα, δεν γνωρίζει ποια είναι τα υπάρχοντα αντίμετρα ή πώς να τα χρησιμοποιεί. Ομοίως, οι κατασκευαστές των browers, είναι υποχρεωμένοι να προστατεύσουν τον ανεκπαίδευτο μέσο χρήστη και να του παράξουν ένα ανεκτό επίπεδο ασφάλειας όταν επισκέπτεται το διαδίκτυο. Όμως, έχει αποδειχθεί πως είναι αρκετά δύσκολο να βρεθεί η χρυσή τομή ανάμεσα στην χρηστικότητα και την ασφάλεια, ενώ συνήθως, το τελικό αποτέλεσμα της υλοποίησης των κατασκευαστών τείνει προς όφελος της πρώτης.Παράλληλα, οι υπάρχοντες απειλές και επιθέσεις, έχουν γίνει περισσότερες σε πλήθος και πιο πολύπλοκες. Για παράδειγμα, οι νέοι browsers περιέχουν επιπρόσθετα στοιχεία και υπηρεσίες (π.χ. JavaScript, Flash) με σκοπό την αυξημένη λειτουργικότητα, το οποίο έχει ως αποτέλεσμα την αύξηση των ευπαθειών και απειλών σχετικά με την ασφάλεια και την ιδιωτικότητα του χρήστη, δεδομένου ότι τα κενά ασφάλειας των υπηρεσιών αυτών κληρονομούνται στους browsers.Μέσω της ανάλυσης της ασφάλειας ενός σύγχρονου browser, είναι εμφανείς οι προτεραιότητες που έχουν τεθεί από τους κατασκευαστές, ως προς την προτεραιοποίηση των απειλών που υπάρχουν. Πιο συγκεκριμένα, οι απειλές τύπου phishing, έχουν χαρακτηριστεί ιδιαίτερα σημαντικές καθώς στοχεύουν στην απόκτηση προσωπικών δεδομένων του χρήστη. Το ίδιο ισχύει και για τις απειλές τύπου malware, οι οποίες είναι εξίσου σημαντικές, ιδιαιτέρως εξαιτίας της πολυπλοκότητάς τους, καθώς επίσης και οι τύποι των απειλών που στοχεύουν στην πλήξη της ιδιωτικότητας του χρήστη.Οι κατασκευαστές των browsers έχουν υλοποιήσει συγκεκριμένα αντίμετρα για να προστατεύσουν τον χρήστη ενάντια στις προαναφερθέντες απειλές. Τα αντίμετρα αυτά είναι είτε προεγκατεστημένα στους browsers, είτε προσφέρονται ως επιπρόσθετα (add-ons) με σκοπό να ενισχύσουν ή να αντικαταστήσουν τους προεγκατεστημένους μηχανισμούς ασφάλειας. Επιπροσθέτως, οι χρήστες βασίζονται στους κατασκευαστές για την προστασία τους, καθώς δεν γνωρίζουν ποια είναι τα αντίμετρα αυτά, ούτε πώς να τα χρησιμοποιήσουν, όπως αναφέρθηκε προηγουμένως.Σκοπός της παρούσας διατριβής είναι η μελέτη και αξιολόγηση των μέτρων ασφάλειας και ιδιωτικότητας που προσφέρονται από τους browsers, τόσο σε σταθερούς υπολογιστές (desktop και laptop) όσο και στις υπόλοιπες σχετικές συσκευές (smartphones και tablets). Πιο συγκεκριμένα, χωρίζεται σε δύο επιμέρους κομμάτια στα οποία (α) χαρτογραφούνται τα σχε-τικά αντίμετρα, παράλληλα με τα χαρακτηριστικά και τις ιδιαιτερότητές τους και (β) αξιολο-γούνται τα πιο σημαντικά από αυτά, με βάση την αποδοτικότητα και την αποτελεσματικότη-τά τους απέναντι στις απειλές για τις οποίες είχαν αρχικά σχεδιαστεί.Η συνεισφορά της διατριβής στην ερευνητική περιοχή της ασφάλειας και ιδιωτικότητας των browsers, συνοψίζεται ως εξής:• Τεχνική ανάλυση των αντίμετρων που είναι διαθέσιμα στους browsers. Αναλύεται η προ-στασία που παρέχεται από τις αρχικές ρυθμίσεις των browsers καθώς και η δυνατότητα ρύθμισης των αντιμέτρων των browsers. Η ανάλυση αποκαλύπτει ότι: (α) μόνο ένα υπο-σύνολο των διαθέσιμων αντιμέτρων που παρέχουν οι browsers των υπολογιστών είναι διαθέσιμα στους browsers των smartphones, (β) οι browsers των smartphones παρέχουν περιορισμένες δυνατότητες ρύθμισης σε σχέση με τους browsers στους υπολογιστές, (γ) οι χρήστες των smartphone είναι εξαιρετικά ευάλωτοι σε ιστότοπους με ιομορφικό λογι-σμικό ή/και επιθέσεις phishing, καθώς τα διαθέσιμα αντίμετρα δεν είναι διαθέσιμα στους browsers των smartphones, και (δ) οι αρχικές ρυθμίσεις των browsers και στις δυο υπο-λογιστικές πλατφόρμες δεν προστατεύουν τους χρήστες από απειλές που προσβάλουν την ιδιωτικότητα τους (παρακολούθηση πλοήγησης του χρήστη, δημιουργία προφίλ του χρή-στη κτλ.).• Τεχνική ανάλυση των αντίμετρων που προσφέρονται στους browsers μέσω των επίσημων marketplaces των κατασκευαστών. Η ανάλυση αυτή απέδειξε συγκεκρικένες ευπάθειες στην κατηγοριοποίηση που έχει πραγματοποιηθεί από τους κατασκευαστές, όπου σε κά-ποιες περιπτώσεις υπήρχε λάθος κατηγοριοποίηση του εν λόγω αντιμέτρου, ενώ σε άλλες οι προσφερόμενες κατηγορίες ήταν ελάχιστες. Επιπροσθέτως, εντοπίστηκε μεγάλη δια-φοροποίηση ανάμεσα στους εξεταζόμενους browsers ως προς το πλήθος των προσφερό-μενων αντιμέτρων.• Αξιολόγηση της αποτελεσματικότητας των αντίμετρων ασφάλειας για επιθέσεις τύπου phishing. Μέσω συγεκριμένης μεθοδολογίας που περιλάμβανε πειράματα ελέγχου από-δοσης, ελέγχθησαν οι μηχανισμοί ασφάλειας ani-phishing. Πιο συγκεκριμένα, χρησιμο-ποιήθηκαν URLs από έγκυρες πηγές (π.χ. Phishtank), που περιήχαν τέτοιου είδους ιστο-σελίδες, τα οποία προσπελάσσανε οι εκάστοτε browsers για να εκτιμηθεί το αν θα προ-στατεύσουν απέναντι στην απειλή αποδοτικά ή όχι. Τα αποτελέσματα των πειραμάτων έδειξαν μεγάλη διαφοροποίηση ανάμεσα στις δύο πλατφόρμες (desktop και smartphones), η οποία αποδείδεται στις ιδιαιτερότητες της εκάστοτε τεχνολογίας. Επι-προσθέτως, αναλύθηκαν οι καμπάνιες τύπου phishing, από τις ίδιες πηγές, με σκοπό την απεικόνιση του πως δρα ένας επιτηθέμενος σε μία επίθεση τύπου phishing.• Αξιολόγηση της αποτελεσματικότητας των αντίμετρων ασφάλειας για επιθέσεις τύπου mal-ware. Σύμφωνα με την προαναφερθείσα μεθοδολογία, αξιολογήθηκαν τα αντίμετρα για απειλές τύπου malware, που υπάρχουν στους σύγχρονους browsers. Τα αποτελέσματα έδειξαν πως το συγκεκριμένο αντίμετρο είναι χαμηλότερο σε απόδοση σε σύγκριση με το αντίστοιχο για απειλές τύπου phishing.• Υλοποίηση αντίμετρου για απειλές τύπου malware. Δεδομένης της χαμηλής απόδοσης των υπαρχόντων μηχανισμών απέναντι στις απειλές malware, η παρούσα διατριβή περιλαμ-βάνει μία νέα πρόταση-υλοποίηση που στοχεύει στην ενίσχυση της προστασίας του χρή-στη. Πιο συγκεκριμένα, υλοποιήθηκε και δοκιμάστηκε σε όλους του εξεταζόμενους browsers η λύση αυτή, η αξιολόγηση της οποίας κατέληξε στο γεγονός ότι ήταν αμειδρώς καλύτερη από την υπάρχουσα, εξαιτίας και της πολυπλοκότητας του είδους της απειλής.• Αξιολόγηση αποτελεσματικότητα αντιμέτρου ιδιωτικής περιήγησης. Χαρτογράφηση και ανάλυση των στοιχείων (artefacts) που παραμένουν διαθέσιμα μετά από μία συνεδρία ι-διωτικής περιήγησης. Τα αποτελέσματα των πειραμάτων, συγκρίθηκαν με το τι δηλώ-νουν οι κατασκευαστές πως ισχύει, για το αν παραμένουν διαθέσιμα ή όχι, με σκοπό να αποτυπωθεί η ορθότητα της ενημέρωσης που λαμβάνει ο μέσος χρήστης από τους κατα-σκευαστές των browsers. Επιπλέον, θεωρήθηκε απαραίτητο να καταγραφεί η γνώση και η άποψη του μέσου χρήστη, μέσω σχετικής έρευνας, για το ποια στοιχεία θεωρεί πως πα-ραμένουν διαθέσιμα και ποια θα ήταν ιδιαίτερα ενοχλητικό αν παρέμεναν. Η έρευνα αυτή αποτύπωσε τις προτεραιότητες που πρέπει να τεθούν, σύμφωνα με τον μέσο χρήστη.• Ανάλυση νέας προσέγγισης ιδιωτικής περιήγησης. Πραγματοποιήθηκε μελέτη για την ιδιω-τική περιήγηση, η οποία χωρίστηκε σε δύο επιμέρους σημεία. Στο πρώτο σημείο, εξετά-στηκε αν μπορεί να χρησιμοποιηθεί μία υλοποίηση λύσης που βασίζεται στην RAM του συστήματος, έτσι ώστε ο μέσος επιτηθέμενος να μην έχει την δυνατότητα άμεσης πρό-σβασης στις πηγές των στοιχείων που δημιουργούνται κατά την περιήγηση ενός χρήστη στο διαδίκτυο. Ενώ στο δεύτερο, επεκτάθηκε το προηγούμενο σενάριο, περιλαμβάνοντας ασφαλή διαγραφή των περιεχομένων της RAM, για να αποφευχθεί η ανακάλυψη τους από ένα περισσότερο έμπειρο επιτηθέμενο, με επιπλέον γνώσεις ανάλυσης.Τα κεφάλαια της διατριβής συνοψίζονται ως εξής:Στο Κεφάλαιο 2 παρουσιάζεται το υπόβαθρο της διατριβής. Πιο συγκεκριμένα, ορίζεται ο browser και τα επιμέρους χαρακτηριστικά του και αναλύονται οι σχετικές δημοσιευμένες εργασίες όσον αφορά την ασφάλεια και την ιδιωτικότητα της συγκεκριμένης υπηρεσίας. Επιπλέον, το κεφάλαιο περιλαμβάνει το μοντέλο απειλής που ακολουθείται στην παρούσα διαυτιβή, καθώς και την σύνοψη των παραπάνω.Το Κεφάλαιο 3 περιλαμβάνει μια συγκριτική μελέτη της διαθεσιμότητας και της δυνατότητας ρύθμισης των αντίμετρων των browsers. Το πεδίο της έρευνας περιλαμβάνει τους δημοφιλείς browsers των ηλεκτρονικών υπολογιστών και των smartphones. Από την μία πλευρά χαρτογραφούνται και αναλύονται τα αντίμετρα που είναι προ-εγκατεστημένα και συγκρίνονται τα αποτελέσματα που αξιολογούνται και στις δύο πλατφόρμες. Ενώ από την άλλη, εξετάζονται τα αντίμετρα που προσφέρονται ως προσθήκες (add-ons) από τους κατασκευαστές, με σκοπό την ενίσχυση ή αντικατάσταση των υπαρχόντων αντιμέτρων, χωρίς όμως να είναι προ-εκατεστημένα στον εκάστοτε browser.Στο Κεφάλαιο 4, το οποίο χωρίζεται σε δύο επιμέρους υποκεφάλαια, γίνεται μελέτη της αποδοτικότητας των προαναφερθέντων αντιμέτρων ασφάλειας που εντοπίζονται στους σύγχρονους browsers. Πιο συγκεκριμένα, μέσω της ανάλυσης του συνόλου των αντιμέτρων που εντοπίζονται, είναι εμφανές πως οι κατασκευαστές έχουν χαρακτηρίσει τρεις απειλές ως τις περισσότερο σημαντικές, συγκριτικά με την βαρύτητα της προστασίας που έχουν δώσει προς αυτές. Τα μέτρα αυτά περιλαμβάνουν προστασία ενάντια επιθέσεων (α) τύπου phishing, (β) μέσω ιομορφικού λογισμικού και (γ) που στοχεύουν στην προσβολή της ιδιωτικότητας του χρήστη. Ως αποτέλεσμα, μέσω της μεθοδολογίας της παρούσας διατριβής, τα προαναφέρθέντα αντίμετρα εξετάστηκαν με επίκεντρο της αποδοτικότητά τους απέναντι στην απειλή για την οποία είχαν αρχικά σχεδιαστεί. Επιπροσθέτως, το παρόν κεφάλαιο περιλαμβάνει προτάσεις, και αξιολόγηση αυτών, που αποσκοπούν στην ενίσχυση ή ακόμα και αντικατάσταση των αντιμέτρων αυτών, ειδικά στις περιπτώσεις όπου τα πειράματα έδειξαν στο ότι τα αντίμετρα αυτά ήταν μη επαρκή ως προς την απόδοσή τους.Η διατριβή ολοκληρώνεται στο Κεφάλαιο 5 με τη σύνοψη και προτάσεις για μελλοντική έρευνα.

show abstract

Do private and portable web browsers leave incriminating evidence?: a forensic analysis of residual artifacts from private and portable web browsing sessions

Cited by 35 publications

References 2 publications

Exploring the protection of private browsing in desktop browsers

Exploring the protection of private browsing in desktop browsers

Analysis of Privacy of Private Browsing Mode through Memory Forensics

Exposing security and privacy liabilities in modern browsers

Contact Info

Product

Resources

About