Zajímalo nás, zda si naši diskusi na facebookovém chatu může číst někdo, kdo by k ní rozhodně neměl mít přístup. Provedli jsme několik experimentů a dospěli jsme ke znepokojivému závěru – když se někdo rozhodne strkat nos do cizího hnízda, věřte, že se mu to může podařit během jedné jediné noci.

Otestovali jsme některé metody, které běžně používají policisté jak v České republice, tak ve Spojených státech amerických. Metody se používají vždy v souladu se zákony platnými v dané zemi a policisté k jejich provedení potřebují mít přístup k vašemu počítači. Vyzkoušeli jsme software Internet Evidence Finder (IEF) od společnosti JADsotware, Forensic Toolkit 3 (FTK 3) od společnosti AccessData a pak pro srovnání výsledků také průzkumníka na vyhledávání souborů, který je součástí Win7.

IEF dokáže vyhledávat záznamy z internetových diskusí na vybraných discích, adresářích nebo v souborech (soubory s výpisem paměti – memory dumps, pagefile.sys, hiberfil.sys a dalších). Umí na disku vyhledat zprávy nejen z facebookového chatu, ale také z Windows Live Messengeru, Yahoo! chatu, GoogleTalk chatu a mnoha jiných služeb. Bez zakoupení registračního klíče lze IEF spustit v demo verzi, která zobrazí prvních dvacet položek pro každý typ vyhledávání a dokáže je exportovat do přehledného *.csv souboru. Software lze stáhnout a zakoupit na stránkách JADsoftware.com.

FTK 3 je průmyslový standard pro forenzní analýzu, který užívají vládní a bezpečnostní agentury po celém světě. Obsahuje nástroje na analýzu digitálních dat, dešifrování, lámání hesel a mnohé jiné. My jsme využili implementovaného Filter Manageru na vytvoření filtru, který nám nalezl Facebook JSON soubory v adresáři Temporary Internet Files (TIF). Toolkit lze stáhnout ve starší demo verzi na stránkách http://accessdata.com. Tato verze ale ještě neumí přímo vyhledávat Facebook JSON soubory.

Oba dva nástroje byly schopny nalézt záznamy z facebookových diskusí. Výstup IEF kromě zaslané zprávy obsahoval informace o souboru, ve kterém se zpráva nacházela a kde byla lokalizována na disku. Některé výstupy obsahovaly také profilové ID, ID zprávy, strojový čas, čas v UTC, vaše jméno a ID, jméno a ID kamaráda, jeho souřadnice a informaci, jestli byl kamarád v tu chvíli offline:

 
 
Při použití průzkumníka se nám na disku nepodařilo najít jediný záznam z facebookového chatu, za to jsme nalezli velmi podrobný výpis všech FB přátel, jejich ID čísel, profilových fotek a bydliště, který vypadal následovně:
 
 

Pokud navíc používáte na chat instantního messengera, nikoliv webový prohlížeč, s velkou pravděpodobností budou záznamy všech diskusí uloženy například v xml formátu na disku, snadno a rychle dohledatelné.

Uvědomte si, že k těmto informacím není potřeba znát přihlašovací e-mail ani heslo do FB účtu. Stačí, aby se k vašemu počítači dostal někdo cizí, případně aby si tento přístup vytvořil přes vzdálenou kontrolu. Stačí, aby jste FB chat použili na počítači v práci a můžete se dostat do nemilé situace.

A jaká je obrana? Promazávat pravidelně obsah TIF adresáře, nezaznamenávat diskuse z instant messengerů. Uvědomte si ale, že TIF není jediné místo, kde se útržky z vašeho chatu mohou objevit – mohou být například v pagefile.sys.

Nezapomínejte také, že si policie může vaši FB diskusi vyžádat přímo u Facebooku v souladu s platnou legislativou daného státu. O tom, že se tak děje už dnes, svědčí mnoho policejních manuálů, které lze nalézt na webových stránkách cryptome.org a jinde.

Přílohy:
 
[1] Formulář, který vyšetřovatelé zločinu musí vyplnit při žádosti o vaše soukromá data na Facebooku:

 

facebook-spy3 –

 
[2] Na Internetu se nedávno objevila e-mailová korespondence vyšetřovatelů kybernetických zločinů, kde si mimo jiné policisté lámali hlavu, jak se dostat právě k záznamům z facebookových chatů:

 
I’d echo the other threads coming through the list on the Facebook chat artifacts.  You will find the JavaScript Object Notation (JSON) files both in allocated and unallocated space.  The naming convention will begin with a lowercase „p“ followed by the underscore character „_“ and a numeric value. The numeric value, with the last testing I conducted, began with „100000″ followed by the local user’s Facebook ID, a bracketed numeric sequence value, and the *.txt extension (e.g. p_10000025704392[1].txt).  Within the TIF directories, you will find Facebook JSON files which provide both investigative value (i.e. text, etc.) and others that are more programmatic in nature, and seem to simply serve to maintain the connection between the users.  The programmatic files do not contain much detailed information other than the local user and perhaps remote user FB ID’s, and are usually much smaller (100-150B or less).  You can build a filter in FTK 3x to harvest these files relatively quickly.  Call me and I can walk you through the Filter Manger process of creating one for Facebook-specific JSON files.

Each posted thread in a Facebook chat conversation is stored as a separate JSON file, unlike most IM clients which simply append a single log file, and due to the nature of TIF, locating and bookmarking can be a challenge, so the filter is a tremendous help.  If you’re searching through unallocated space for the artifacts, keep in mind that a Facebook JSON file is not unique to the client, in terms of its header/footer, so rather than running searches for those values, I’d focus on more directed intel that you’ve gathered, such as the Facebook ID, first/last name of users, etc.

Within the Facebook JSON file, you’ll find the following items of value:

1.  file name (e.g. p_10000025704391[1].txt)
2.  local user Facebook ID (e.g. 25704391)
3.  remote user’s Facebook ID
4.  Unix timestamp for the posted thread
5.  message content (text)
6.  first and last name of both sender and receiver
7.  first name of both sender and receiver

As mentioned, the Internet Evidence Finder (IEF) from http://www.jadsoftware.com does a very nice job of identifying the FB artifacts.  It’s free to LE, once you’ve registered with Jad.  One of the nice features is its ability to incorporate its report into your primary forensic processing tool.  The chat files are individually-generated, and so reconstructing all the threads of a conversation can be somewhat tedious. By exporting the chat files out, and processing them with IEF, you can generate a *.csv report which has the entire conversation linked together in one document.  Simply sort the *.csv file by its Date/Time column, since the default is numerically by the file name, and you’ll have the reconstructed conversation.  You can then incorporate the IEF report into the final report in your forensic tool, to support any bookmarked Facebook chat files.