의미없는 블로그
3월_SNS 애플리케이션의 데이터 복호화 및 아티팩트 연구 본문
요약
- 스마트폰이 대중화 되면서 현대인의 의사소통 수단에 SNS가 자리 잡음
- SNS는 다양한 보관증거 및 생성증거를 생성하므로 디지털 포렌식 수사관점에서 주요 분석 대상임
- SNS 애플리케이션은 데이터를 중앙 서버에 저장하거나 사용자의 편의성을 위해 스마트폰 내부에 저장하기도 함
- 이때 일부 애플리케이션은 개인정보 보호를 위해 암호화 기능을 제공하는데 이는 안티 포렌식으로 작용될 수 있음
- 따라서 암호화 방안에 관한 연구가 지속적으로 선행되어야 함
- 본 논문은 SQLCipher 모듈을 사용하여 SQLite 기반의 데이터베이스 암호화를 제공하는 두 종류의 애플리케이션을 분석하였음
- 각 데이터베이스를 복호화하여 주요 데이터를 식별하였음
서론
- 스마트폰 보유율이 상승하면서 SNS 애플리케이션 사용이 활성화됨
- SNS 애플리케이션은 다양한 보관증거 및 생성증거가 생성되므로 디지털 포렌식 수사관점에서 주요 분석 대상임
- 그러나 일부 SNS 애플리케이션은 데이터를 암호화하여 저장하기 때문에 이는 안티 포렌식으로 작용되기도 함
- 실제로 SNS 애플리케이션이 데이터 암호화로 인해 수사가 어렵다는 점을 악용하여 불법 행위를 하는 사례가 존재함
- 따라서 안티 포렌식 행위에 대한 대응 방안이 지속적으로 연구되어야 함
- 본 논문에서는 선행연구를 위해 L사, B사 애플리케이션을 분석해 보았음
L사 (데이터베이스 암호화 키를 안전하지 못한 방법으로 생성하는 경우)
- user.db 는 사용자 관련 데이터가 저장되어 있는 데이터베이스임
- android_id 와 고정된 string 값을 이용해 Passphrase(암호화키)를 생성하고 있음
- 생성된 Passphrase와 SQLCipher3 모듈로 데이터베이스를 암/복호화 함
- talk.db 는 채팅 관련 데이터 저장되어 있는 곳
- user.db 복호화 했을때 나오는 useridx(사용자의 고유 index)와 고정된 string 값 이용해 Passphrase 생성함
- 생성된 Passphrase와 SQLCipher3 모듈로 데이터베이스를 암/복호화 함
- 위 두가지 경우에서 문제는 고정된 string 값을 이용해서 Passphrase를 생성한다는 것임
- 고정된 값이 아닌 사용자 입력값을 기반으로 암호키를 생성해야 한다고 함
B사 (데이터베이스 암호화 키를 안전하게 보관하지 않는 경우)
- B사 애플리케이션은 관련 설정파일에 Passphrase를 평문 형태로 저장하고 있음
- 노출된 Passphrase와 SQLCipher3 모듈로 데이터베이스를 복호화 할 수 있음
- 얘는 암호화키를 저장한 파일을 암호화 해버리거나
- 암호화키를 직접적으로 저장하는 것이 아니라 해시값만 저장하는 등 평문으로 보관하지 말아야 한다
결론
- SNS 애플리케이션은 데이터를 중앙 서버에 보관하거나 암호화하여 디바이스 내부에 저장하기도 함
- 이 때 암호화 기술은 안티 포렌식으로 작용될 수 있음
- 복호화 연구가 선행되지 않는 한 디지털 포렌식 수사에 차질을 빚을 수 있으므로 선행연구가 필요함
- 본 논문에서 L사, B사 애플리케이션을 분석해 보았음
- 두 애플리케이션은 데이터베이스 암호화 키를 안전하지 못한 방법으로 생성하거나 안전하게 보관하지 않고 있음
- 이는 디지털 포렌식 수사관점에서는 증거 획득을 위한 부분이지만 개인정보 보호의 관점에서는 보완해야 할 요소임
- 보완 방법으로는 NIST의 권고 사항인 패스워드를 저장한 파일을 암호화 한다거나
- 패스워드를 직접적으로 저장하는 것이 아닌 해시값만 저장한다거나
- 고정된 암호키가 아닌 사용자의 입력값을 기반으로 암호키를 생성해야 하는 것 등이 존재함
'# 나 > temp' 카테고리의 다른 글
아나콘다 (0) | 2022.08.31 |
---|---|
응봉산 - 한여름밤의 저주 (0) | 2021.07.29 |
Victim 2003 (1) | 2020.05.08 |
[캄보디아] 이번주에 만난것들 (0) | 2020.03.17 |
[캄보디아] 벌써 3월~ (0) | 2020.03.08 |