Private Browsing in Firefox, hoe private is het? - Privacy en beveiliging

woensdag 23 maart 2011 15:48

Acties:

⭐⭐⭐⭐⭐

Topicstarter

Op m'n opleiding ben ik bezig met een onderzoek naar private browsing binnen Firefox voor een mini paper die ik moet schrijven. Ik wil dan gaan onderzoeken hoe private je werkelijk bent met private browsing, voornamelijk vanuit een forensisch oogpunt, welke sporen zijn er te achterhalen nadat je met private browsing een aantal websites hebt bezocht.

Ik heb al een aantal punten waarvan ik weet dat het belangrijk is om naar te kijken maar ik ben eigenlijk nog opzoek naar tips waar ik ook naar zou moeten kijken. Dit voornamelijk omdat ik niet echt thuis ben binnen een browser en niet exact weet hoe een browser zijn gegevens opslaat.

De punten die ik zelf al heb gevonden:
- Cookies (zowel tijdens als na het browsen)
- Flash Cookies (zowel tijdens als na het browsen)
- DNS gegevens (bijven achter in het OS, major flaw dus!)
- Extensions (hoe gaan ze met private browsing om?)
- Beveiligingscertificaten (blijven die achter? worden ze verwijderd?)
- Geheugen analyse (wat blijft er achter nadat Firefox is afgesloten?)
- Reclames (ads, kunnen die jou alsnog achterhalen als je via private browsing surft?)

Ik zat hiervoor te denken om met VMware workstation een nieuwe virtuele machine aan te maken met Windows 7 professional en Firefox 4.0 zodat ik eenvoudig het ram geheugen kan analyseren door de machine te suspenden en zodat ik elke keer een snapshot kan herstellen zodat mijn gepruts met allerlei tools niet alles in de war schopt.

Natuurlijk moet ik ook een aantal tools hebben om te onderzoeken wat er op de hardeschijf aangepast wordt en wat er in het geheugen staat en na het sluiten van Firefox is terug te vinden, deze heb ik zelf nog niet gevonden (ook nog niet gezocht) dus ik houd me aanbevolen en anders zal ik natuurlijk zelf wel een aantal vinden, echter ben ik er niet helemaal bekend mee.

Wat dus eigenlijk mijn vraag is, wat is nog interessant om op te gaan letten? Wat zijn echt punten waar ik nog wat mee moet doen?

Mijn plan is dus een VM aan te maken, een twintig tal sites te bezoeken (nieuws, goksites, webshops, porno) zodat ik zeker weet dat er sites tussen zitten die aan tracking doen.

*Ik heb dit bewust niet in het Firefox topic geplaatst of in CSA omdat dit volgens mij beter past in een subforum waar gekeken wordt naar security en privacy.

SMA SB5.0 + 16x Jinko 310wp OWO + 10x Jinko 310wp WNW |--|--| Daikin 4MXM68N + 1x FTXA50AW + 3x FTXM20N

woensdag 23 maart 2011 15:56

Acties:

begintmeta

Moderator General Chat

Moet je ook kijken naar gegevens in routers bij de eindgebruiker van de verbindingen of gegevens die bij serviceproviders worden vastgelegd (of achterblijven)?

Met betrekking tot tracking kan je kijken hoe moeilijk het is de browser in private mode met redelijke zekerheid te identificeren. (zie ook hier)

[ Voor 37% gewijzigd door begintmeta op 23-03-2011 15:59 ]

woensdag 23 maart 2011 16:00

Acties:

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

Tsurany schreef op woensdag 23 maart 2011 @ 15:48:
De punten die ik zelf al heb gevonden:
- Cookies (zowel tijdens als na het browsen)
- Flash Cookies (zowel tijdens als na het browsen)
- DNS gegevens (bijven achter in het OS, major flaw dus!)
- Extensions (hoe gaan ze met private browsing om?)
- Beveiligingscertificaten (blijven die achter? worden ze verwijderd?)
- Geheugen analyse (wat blijft er achter nadat Firefox is afgesloten?)
- Reclames (ads, kunnen die jou alsnog achterhalen als je via private browsing surft?)

Kijk ook eens naar http://panopticlick.eff.org/

/edit * RobIII schopt begintmeta

Stiekem snel erbij editten he?

Tsurany schreef op woensdag 23 maart 2011 @ 15:48:
Natuurlijk moet ik ook een aantal tools hebben om te onderzoeken wat er op de hardeschijf aangepast wordt en wat er in het geheugen staat en na het sluiten van Firefox is terug te vinden, deze heb ik zelf nog niet gevonden (ook nog niet gezocht) dus ik houd me aanbevolen en anders zal ik natuurlijk zelf wel een aantal vinden, echter ben ik er niet helemaal bekend mee.

Kijk eens naar tools als http://www.sandboxie.com Als ik me niet vergis kan die een "uitdraai" maken van alle gewijzigde bestanden/registry keys/etv. En natuurlijk de shitload aan tools van SysInternals om o.a. registry/file access te monitoren.

[ Voor 5% gewijzigd door RobIII op 23-03-2011 16:04 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

woensdag 23 maart 2011 16:03

Acties:

begintmeta

Moderator General Chat

RobIII schreef op woensdag 23 maart 2011 @ 16:00:
...
/edit * RobIII schopt begintmeta Stiekem snel erbij editten he?
...

Ik was toch lekker net iets sneller, was de URL vergeten en moest even googelen...

Tsurany, moet je trouwens alleen naar Firefox op Windows kijken of ook naar andere constellaties met Firefox?

woensdag 23 maart 2011 16:12

Acties:

Tsurany

⭐⭐⭐⭐⭐

Topicstarter

Ik moet gelukkig niks, ik heb dit onderwerp zelf gekozen en mag hem zelf invullen. Ik zou het graag uitgebreid doen, maar uiteindelijk moet er een paper komen van 4 pagina's, ik moet dus mijn view redelijk beperken om niet over die 4 pagina's te komen, langer dan 4 pagina's is namelijk een onvoldoende. Vandaar dat ik heb gekeken naar Firefox 4 onder Windows 7 aangezien dat, naar mijn idee, de meest voor de hand liggende combinatie is.
Ik ga ook niet kijken naar externe logging, puur naar de pc zelf, ook weer om de scope niet te groot te maken. Natuurlijk is het wel interessant en zeker een relevant stuk, maar dan ga je gewoon over die 4 pagina's heen als je het goed wilt doen. Mijn docent zelf adviseerde ook om slechts 1 browser te pakken aangezien alle browsers testen ook al te groot wordt.

Ik zal zeker die tools doornemen en al die linkjes, dat zal ik vanavond gaan doen aangezien ik ook nog boodschappen moet halen voor het avondeten nu. Alvast heel erg bedankt voor de informatie en het meedenken, ik zal natuurlijk de resultaten hier posten. Geen idee of ik m'n paper ook zomaar mag vrijgeven, ze hebben zo'n leuk anti plagiaat systeem die dat niet zo leuk zou vinden :+*

*Hoewel een medestudent onderzoekt hoe je die kan omzeilen (wat echt kinderlijk eenvoudig is blijkt).

[ Voor 4% gewijzigd door Tsurany op 23-03-2011 16:13 ]

SMA SB5.0 + 16x Jinko 310wp OWO + 10x Jinko 310wp WNW |--|--| Daikin 4MXM68N + 1x FTXA50AW + 3x FTXM20N

woensdag 23 maart 2011 16:58

Acties:

begintmeta

Moderator General Chat

Reclames (ads, kunnen die jou alsnog achterhalen als je via private browsing surft?)

Kan je dan misschien ook het beste weglaten denk ik.

woensdag 23 maart 2011 17:00

Acties:

MadMarky

Begint eer ge bezint

Kijk ook eens naar de cache van java, volgens mij blijft daar alles achter als je applets hebt gebruikt tijdens een private browsing sessie. Firefox heeft daar vziw geen invloed op.

🖥️ | 🚗

woensdag 23 maart 2011 17:04

Acties:

Tsurany

⭐⭐⭐⭐⭐

Topicstarter

begintmeta schreef op woensdag 23 maart 2011 @ 16:58:
[...]

Kan je dan misschien ook het beste weglaten denk ik.

Ja misschien wel, denk dat ik wel genoeg voer heb.

MadMarky schreef op woensdag 23 maart 2011 @ 17:00:
Kijk ook eens naar de cache van java, volgens mij blijft daar alles achter als je applets hebt gebruikt tijdens een private browsing sessie. Firefox heeft daar vziw geen invloed op.

Dat is een goeie, dat is zeker een interessant punt om naar te kijken.

SMA SB5.0 + 16x Jinko 310wp OWO + 10x Jinko 310wp WNW |--|--| Daikin 4MXM68N + 1x FTXA50AW + 3x FTXM20N

donderdag 24 maart 2011 16:11

Acties:

Tsurany

⭐⭐⭐⭐⭐

Topicstarter

Ik heb net een VM aangemaakt in VMWare workspace en ga daarin aan de slag met Sandboxie, kijken hoe dat in z'n werk gaat. Daarnaast ook naar SysInternals kijken en kijken of ik handmatig zaken kan plukken uit de cache folder van Java.
Daarnaast heb ik nog een punt gevonden waar Firefox lichtelijk faalt, indien een website een custom protocol definieert blijft deze verwijzing opgeslagen nadat Firefox uit private browsing modus gaat. Ook interessant om naar te kijken.

SMA SB5.0 + 16x Jinko 310wp OWO + 10x Jinko 310wp WNW |--|--| Daikin 4MXM68N + 1x FTXA50AW + 3x FTXM20N

zaterdag 26 maart 2011 22:19

Acties:

-Vasa-

Mischien is het dan ook interessant als je nagaat wat de echte bedoeling is van de "private browsing" functie. Aan de vragen die je stelt denk ik dat je een verkeerde indruk hebt van de werkelijke bedoeling, en hoewel het interessant kan zijn al deze zaken na te gaan, is het zinloos te zeggen dat deze modus niet doet waar het niet voor ontworpen is.

Zie ook: https://support.mozilla.com/en-US/kb/private%20browsing

zaterdag 26 maart 2011 22:32

Acties:

Verwijderd

begintmeta schreef op woensdag 23 maart 2011 @ 15:56:
Moet je ook kijken naar gegevens in routers bij de eindgebruiker van de verbindingen of gegevens die bij serviceproviders worden vastgelegd (of achterblijven)?

Misschien ook toevoegen dat het niet verhinderd dat verkeer door proxy servers van scholen/werk gelogd wordt?

zondag 27 maart 2011 12:34

Acties:

Tsurany

⭐⭐⭐⭐⭐

Topicstarter

Verwijderd schreef op zaterdag 26 maart 2011 @ 22:32:
[...]

Misschien ook toevoegen dat het niet verhinderd dat verkeer door proxy servers van scholen/werk gelogd wordt?

Dat heb ik er inderdaad in verwerkt, het onderzoek gaat ook echt over 'wat blijft er achter op de pc'. Het idee is om het ook uit forensisch oogpunt te benaderen, aangezien het vanuit die minor is. Dus wat als je een pc aantreft geen geen andere mogelijkheden van tracking hebt dan informatie op die specifieke pc.

-Vasa- schreef op zaterdag 26 maart 2011 @ 22:19:
Mischien is het dan ook interessant als je nagaat wat de echte bedoeling is van de "private browsing" functie. Aan de vragen die je stelt denk ik dat je een verkeerde indruk hebt van de werkelijke bedoeling, en hoewel het interessant kan zijn al deze zaken na te gaan, is het zinloos te zeggen dat deze modus niet doet waar het niet voor ontworpen is.

Zie ook: https://support.mozilla.com/en-US/kb/private%20browsing

Dat klopt inderdaad, mijn bedoeling is ook niet om aan te tonen dat private browsing zinloos is of juist erg goed werkt, mijn bedoeling is om te kijken wat er wel en niet opgeslagen wordt op de pc tijdens een private browsing sessie.
Ik denk dat je de hoofdvraag het beste kan omschrijven als volgt: 'Wat als iemand informatie bekijkt in private browsing modus, kan je dan nog achterhalen waar hij geweest is?".

SMA SB5.0 + 16x Jinko 310wp OWO + 10x Jinko 310wp WNW |--|--| Daikin 4MXM68N + 1x FTXA50AW + 3x FTXM20N

zondag 27 maart 2011 12:51

Acties:

begintmeta

Moderator General Chat

Tsurany schreef op zondag 27 maart 2011 @ 12:34:
...
Ik denk dat je de hoofdvraag het beste kan omschrijven als volgt: 'Wat als iemand informatie bekijkt in private browsing modus, kan je dan nog achterhalen waar hij geweest is?".

'Kan je door onderzoek van de gebruikte computer achterhalen waar iemand met Firefox voor Windows in private browsing modus naartoe is gesurft?'

Dekt de lading denk ik beter, of niet?

Wil je trouwens de computer aan of uit onderzoeken?

[ Voor 8% gewijzigd door begintmeta op 27-03-2011 12:52 ]

zondag 27 maart 2011 12:59

Acties:

Tsurany

⭐⭐⭐⭐⭐

Topicstarter

Ja dat dekt de lading net wat beter ja, moet nog even kijken hoe ik de hoofdvraag het beste kan neerzetten.
Zowel aan als uit onderzoeken behoort tot de mogelijkheden. In principe onderzoek ik hem terwijl hij aan is op mutaties die gemaakt worden en onderzoek ik het ram geheugen voor zover mogelijk om te kijken of het nog mogelijk is te achterhalen waar de browser geweest is als private browsing uitgezet is maar de browser niet.
En daarnaast suspend ik hem in VMware Workstation zodat ik het gehele geheugen kan onderzoeken.

Wat ik tot dusver heb gevonden:
Er wordt niks opgeslagen gedurende en na de private browsing sessie op de hardeschijf, alle profiel bestanden worden wel geupdate van timestamp na het afsluiten van de browser maar inhoudelijk veranderd er helemaal niks. Er worden verder nergens temporary files opgeslagen.
Echter wanneer Firefox blijft draaien en enkel de private browsing modus wordt afgesloten kan je wel het geheugen analyseren en achterhalen waar de browser geweest is (moet ik nog verder testen, maar eerste indrukken waren goed). Is Firefox afgesloten blijft er niks in het geheugen achter, een suspend en daarna het geheugen onderzoeken heeft niks gevonden.
Het is echter wel mogelijk via de flash plugin te achterhalen waar iemand geweest is, die informatie wordt wel opgeslagen, en Java applets gebruiken de Java cache en dat wordt ook opgeslagen.

[ Voor 7% gewijzigd door Tsurany op 27-03-2011 13:01 ]

SMA SB5.0 + 16x Jinko 310wp OWO + 10x Jinko 310wp WNW |--|--| Daikin 4MXM68N + 1x FTXA50AW + 3x FTXM20N

zondag 27 maart 2011 13:04

Acties:

begintmeta

Moderator General Chat

Is het niet ook zo dat onderzoek van een simulatie in een virtuele machine eventueel andere resultaten oplevert dan een onderzoek aan hardware?

Ben in ieder geval benieuwd naar je resultaten. Ben ook benieuwd of tov eerder onderzoek (bv dit, maar je zal zelf wellicht een uitgebreidere lijst hebben) nog zaken zijn veranderd.

[ Voor 54% gewijzigd door begintmeta op 27-03-2011 13:07 ]

zondag 27 maart 2011 13:08

Acties:

Tsurany

⭐⭐⭐⭐⭐

Topicstarter

Dat lijkt mij niet, aangezien de software niet weet dat het in een virtuele machine draait en Windows dat zelf ook niet weet.
In ieder geval, tijdens de minor doen wij al het analyse van geheugen op basis van gesuspende virtuele machines dus zal dat in dit geval ook voldoen. In principe kan ik natuurlijk ook kijken naar andere mogelijkheden, maar ik heb slechts beperkte middelen. De docent was van mening dat het onderzoek op deze manier valide was.

SMA SB5.0 + 16x Jinko 310wp OWO + 10x Jinko 310wp WNW |--|--| Daikin 4MXM68N + 1x FTXA50AW + 3x FTXM20N

zondag 27 maart 2011 13:09

Acties:

begintmeta

Moderator General Chat

Ik kan me voorstellen dat ram-freezing technieken etc misschien nog wat resttoestanden in het RAM zouden kunnen behouden, die bij een VM verloren gaan.

Maar ik weet daar niet zo heel veel vanaf, dus vergeef me eventueel een domme opmerking.

[ Voor 27% gewijzigd door begintmeta op 27-03-2011 13:10 ]

zondag 27 maart 2011 13:11

Acties:

Tsurany

⭐⭐⭐⭐⭐

Topicstarter

Maar bij het suspenden van een VM wordt het gehele geheugen toch opgeslagen? Immers weet Workstation niet wat nu wel en wat niet in gebruik is. Tijdens forensisch onderzoek slaan ze het geheugen ook op soortgelijke manieren op, ram freezing wordt in principe niet gedaan aangezien pc's die aanstaan gewoon aan ge laten worden tot het forensisch team aanwezig is.

Ik weet er zelf ook niet heel veel vanaf hoor, enkel wat ik in college's (onder andere van het NFI) krijg uitgelegd

[ Voor 16% gewijzigd door Tsurany op 27-03-2011 13:12 ]

SMA SB5.0 + 16x Jinko 310wp OWO + 10x Jinko 310wp WNW |--|--| Daikin 4MXM68N + 1x FTXA50AW + 3x FTXM20N

zondag 27 maart 2011 13:29

Acties:

begintmeta

Moderator General Chat

Ja dat klopt, weet ook niet hoe ik het moet noemen (en of wat ik bedoel überhaupt zo is).

Wat ik me afvraag is of er bij in 'hardware-RAM' niet eventueel andere waarden achterblijven dan in 'virtueel-RAM', bijvoorbeeld omdat er fysieke toestanden achterblijven die op de een of andere manier kunnen worden onderzocht. Die fysieke toestanden bestaan niet voor de virtuele machine en kunnen ook niet mee worden opgeslagen.

'Zijn de data remanence-eigenschappen van "fysiek RAM" en "virtueel RAM" hetzelfde?' zou de vraag die ik heb misschien zijn.

[ Voor 19% gewijzigd door begintmeta op 27-03-2011 13:43 ]

dinsdag 29 maart 2011 15:30

Acties:

begintmeta

Moderator General Chat

Ik ben eigenlijk wel benieuwd of iemand meer over het bovenstaande weet (ook al voert het hoe dan ook binnen de onderzoeksopzet te ver denk ik). En misschien zat ik ook wel teveel te fantaseren over eventuele side channel attacks (of hoe je het maar wil/moet noemen, 'side channel attack' dekt klopt denk ik niet echt) die wel in hardware maar niet gevirtualiseerd mogelijk zijn.

[ Voor 8% gewijzigd door begintmeta op 29-03-2011 15:32 ]

dinsdag 29 maart 2011 16:12

Acties:

Tsurany

⭐⭐⭐⭐⭐

Topicstarter

Voor zover ik er verstand van heb, in hardware-ram blijven geen andere waardes achter simpelweg omdat Windows het geheugen niet anders adresseert. In hardware ram blijft alles achter zolang het niet overschreven is en dat is in virtueel ram niet anders, pas als Windows weer geheugen nodig heeft zal het de niet nodige stukken overschrijven.

RAM is in principe gewoon volatile memory, dat houd zijn informatie enkel vast als het stroom heeft, daarna verliest het zijn informatie. Dat duurt meestal een paar minuten en dan is alle data er in verloren. Dat is uit te stellen door het in te vriezen, maar het blijft niet oneindig achter.

SMA SB5.0 + 16x Jinko 310wp OWO + 10x Jinko 310wp WNW |--|--| Daikin 4MXM68N + 1x FTXA50AW + 3x FTXM20N

dinsdag 12 april 2011 17:37

Acties:

Tsurany

⭐⭐⭐⭐⭐

Topicstarter

Uitslag van onderzoek: Tsurany's blog!: How private is private browsing?

SMA SB5.0 + 16x Jinko 310wp OWO + 10x Jinko 310wp WNW |--|--| Daikin 4MXM68N + 1x FTXA50AW + 3x FTXM20N

dinsdag 12 april 2011 18:43

Acties:

alt-92

ye olde farte

Tsurany schreef op zondag 27 maart 2011 @ 13:08:
Dat lijkt mij niet, aangezien de software niet weet dat het in een virtuele machine draait en Windows dat zelf ook niet weet.

Ghegh. Echt wel.
Dat het OS of je applicatie er niks bijzonders mee doet is vers twee.

[ Voor 12% gewijzigd door alt-92 op 12-04-2011 18:45 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 12 april 2011 18:46

Acties:

Sebazzz

3dp

alt-92 schreef op dinsdag 12 april 2011 @ 18:43:
[...]

Ghegh. Echt wel.

Windows had toch detectie hiervoor, zodat je geen VM in een VM kon draaien en ook iets met licenties ofzo?

[Te koop: 3D printers] [Website] Agile tools: [Return: retrospectives] [Pokertime: planning poker]

dinsdag 12 april 2011 19:02

Acties:

alt-92

ye olde farte

Meh, je kan wel een VM in een VM draaien (kijk maar naar ESX met guests in VMWare Workstation als voorbeeld).
En detectie kan wel,
http://blogs.technet.com/...guest-child-instance.aspx
MSDN: Determining If Hypervisor Is Installed (Windows Driver Kit)
http://kb.vmware.com/kb/1009458
maar je moet ook afwegen of het zinvol is en de moeite is.
http://charette.no-ip.com...009-12-30_Virtualization/
http://weblogs.asp.net/jg...irtual-Machine_3F00_.aspx

[ Voor 23% gewijzigd door alt-92 op 12-04-2011 19:07 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 12 april 2011 19:04

Acties:

NeoMe

#Addict

Bij Google Chrome is het zo dat er ook nog bezochte site's worden opgeslagen bij Flash. Deze kun je apart weggooien bij internetopties. Hoe het zit met 'private' weet ik niet, maar kijk er eens naar zou ik zeggen.

* Acer Aspire V15 Nitro - Intel Core i5-5200U 2,7Ghz - 8GB - GTX 850M 4GB- 500GB 5400RPM - 128GB SSD * MX518 * Xbox 360 + XBOX One * Philips LED 55" * Samsung Galaxy S9

dinsdag 12 april 2011 19:31

Acties:

Tsurany

⭐⭐⭐⭐⭐

Topicstarter

In de nieuwere versies van Flash zou dit niet meer mogen gebeuren, dat heeft Adobe laten weten. Die herkennen de private browsing modus van moderne browsers en passen zich hier ook voor aan.

SMA SB5.0 + 16x Jinko 310wp OWO + 10x Jinko 310wp WNW |--|--| Daikin 4MXM68N + 1x FTXA50AW + 3x FTXM20N

dinsdag 12 april 2011 19:32

Acties:

NeoMe

#Addict

Tsurany schreef op dinsdag 12 april 2011 @ 19:31:
In de nieuwere versies van Flash zou dit niet meer mogen gebeuren, dat heeft Adobe laten weten. Die herkennen de private browsing modus van moderne browsers en passen zich hier ook voor aan.

Check Check, Dubbel Check ...

* Acer Aspire V15 Nitro - Intel Core i5-5200U 2,7Ghz - 8GB - GTX 850M 4GB- 500GB 5400RPM - 128GB SSD * MX518 * Xbox 360 + XBOX One * Philips LED 55" * Samsung Galaxy S9