[논문 리뷰] Ubuntu One Investigation: Detecting Evidences on Client Machines
이 논문은 윈도우 8.1, 맥OS, iOS 기기에서 Ubuntu One 클라우드 스토리지 서비스의 디지털 증거 자료를 조사한다. 파일 업로드, 다운로드, 조회, 삭제와 같은 일반적인 사용자 활동을 시뮬레이션하여 지속적이고 일시적인 증거 자료, 예를 들어 데이터베이스, 로그 파일, 메모리 트레이스, 네트워크 트래픽 등을 식별하며, 디지털 조사관들이 Ubuntu One 클라이언트 시스템에 대해 종합적인 증거 확보 프레임워크를 제공한다.
STorage as a Service (STaaS) cloud services has been adopted by both individuals and businesses as a dominant technology worldwide. Similar to other technologies, this widely accepted service can be misused by criminals. Investigating cloud platforms is becoming a standard component of contemporary digital investigation cases. Hence, digital forensic investigators need to have a working knowledge of the potential evidence that might be stored on cloud services. In this chapter, we conducted a number of experiments to locate data remnants of users' activities when utilizing the Ubuntu One cloud service. We undertook experiments based on common activities performed by users on cloud platforms including downloading, uploading, viewing, and deleting files. We then examined the resulting digital artifacts on a range of client devices, namely, Windows 8.1, Apple Mac OS X, and Apple iOS. Our examination extracted a variety of potentially evidential items ranging from Ubuntu One databases and log files on persistent storage to remnants of user activities in device memory and network traffic.
연구 동기 및 목표
- Ubuntu One 클라우드 스토리지 서비스와의 상호작용 후 클라이언트 머신에 남는 디지털 증거 자료를 식별하기 위해.
- 파일 업로드, 다운로드, 조회, 삭제와 같은 사용자 활동이 다양한 운영 체제에서 어떻게 추적 가능한 증거 자료를 남기는지 분석하기 위해.
- 디지털 증거 조사관들이 Ubuntu One 클라이언트 시스템에서 증거 데이터를 탐지하고 추출하는 데 체계적인 방법론을 제공하기 위해.
- 다양한 클라이언트 플랫폼, 특히 윈도우 8.1, 맥OS, iOS에서 증거 자료의 지속성과 접근 가능성 평가하기 위해.
제안 방법
- Ubuntu One 서비스와의 표준 사용자 상호작용을 시뮬레이션하는 제어된 실험을 수행: 파일 업로드, 다운로드, 조회, 삭제.
- 윈도우 8.1, 맥OS, iOS 운영 체제에서 실행 중인 클라이언트 기기에서 디지털 증거 자료를 수집하고 분석.
- 지속적 스토리지(예: 데이터베이스, 로그 파일)와 일시적 메모리(예: 프로세스 트레이스, 네트워크 세션 데이터)에서 증거를 조사.
- 표준 디지털 증거 분석 도구와 기법을 사용하여 파일 시스템 메타데이터, 레지스트리 항목, 네트워크 트래픽 로그를 추출하고 분석.
- 세 운영 체제에서 Ubuntu One 전용 데이터 저장소와 설정 파일의 위치 및 구조를 매핑.
- 사용자 행동과 시스템 증거 자료의 관찰 가능한 변화를 연관시켜 증거 연결 고리를 수립.
실험 결과
연구 질문
- RQ1사용자가 Ubuntu One에 파일을 업로드한 후 클라이언트 머신에 어떤 유형의 디지털 증거 자료가 남는가?
- RQ2다른 운영 체제(윈도우 8.1, 맥OS, iOS)는 Ubuntu One 사용자 활동의 증거를 어떻게 유지하는가?
- RQ3Ubuntu One 클라이언트 응용 프로그램에서 복구 가능한 지속적이고 일시적인 증거 자료는 무엇인가?
- RQ4파일 삭제 작업은 Ubuntu One 클라이언트 시스템에서 증거 자료의 지속성에 어떤 영향을 미치는가?
- RQ5Ubuntu One 작업 중 네트워크 트래픽에서 어떤 증거를 추출할 수 있는가?
주요 결과
- Ubuntu One는 윈도우 8.1, 맥OS, iOS를 포함한 모든 테스트 플랫폼에서 지속적 스토리지에 식별 가능한 데이터베이스 파일과 로그 파일을 남긴다.
- 파일 메타데이터, 동기화 상태, 사용자 활동 로그와 같은 증거는 클라이언트 측 데이터베이스와 설정 파일에서 복구 가능하다.
- 활동 중인 Ubuntu One 작업 중에 프로세스 정보 및 네트워크 세션 데이터와 같은 일시적 메모리 트레이스가 감지되었다.
- 네트워크 트래픽 분석을 통해 파일 동기화 및 인증과 관련된 식별 가능한 패tern이 드러났으며, 파일 삭제 후에도 유지되었다.
- 윈도우와 맥OS에서는 일시 디렉터리와 시스템 캐시에 삭제된 파일의 잔류 데이터를 발견했지만, iOS에서는 일관되게 발견되지 않았다.
- 이 연구는 파일 시스템, 메모리, 네트워크의 여러 계층에 증거 자료가 존재함을 확인하여 다중 소스 증거 확보를 가능하게 했다.
더 나은 연구,지금 바로 시작하세요
연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.
카드 등록 없음 · 무료 플랜 제공
이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.