This item is provided by the institution :

Repository :
National Archive of PhD Theses
see the original item page
in the repository's web site and access all digital files if the item*

PhD thesis (EN)

2014 (EN)
Ανάκτηση ψηφιακών πειστηρίων σε επικοινωνίες VoIP
Voice over IP Forensics

Psaroudakis, Ioannis
Ψαρουδάκης, Ιωάννης

In this thesis a VoIP implementation based on SIP was examined. The research that was conducted had two primary goals. The first goal was to discover all the artefacts that can be collected, either volatile or non volatile, in an operating environment so as to enhance forensic readiness. The second goal was to discover a method for providing anonymity in a voice communication when the provider might be malicious.It should be obvious that the above aims have conflicting agendas; such a setting is not new as it is well known that for every right there is an opposing security service (e.g. Accountability vs. Anonymity). As such, this thesis attempts to offer a holistic treatment of VoIP telephony investigations. However, in order to achieve these goals and propose solutions that can be adopted we had to consider the constraints posed by the current European legislation. The latter revealed the barriers and limitations that the suggested solutions have to deal with before becoming available in a production environment.The first aim will contribute to the enhancement of forensic readiness in a VoIP service and will provide invaluable artefacts to law enforcement authorities. The second aim will strengthen the privacy that a user ought to receive in digital communications via anonymity. As already noted herein there are two major directions and aims. Each aim has its underlying objectives.Regarding the first aim, the objectives set were as follows:•To define what type of volatile artefacts can be collected from VoIP network traffic when SIP is deployed;•To discover a way to preserve them in storage with respect to low volume. How can this be realized? Can we afford real time logging or should we only log upon a trigger?•To find the most appropriate storage for artefacts so as to be easy to analyze and correlate;•To develop a scalable and modular framework that can be deployed in any existing network infrastructure without network architectural restructuring;•To develop a prototype so as to test proposed methods and procedures as a proof of concept;•To identify legal requirements and compliance to current legislation;All of the above objectives are of no practical value if they are not implemented with respect to current legislation. The latter requires investigation on current European legislation that rules digital communications. It is a hard constraint which often leads to opposing deployment directions.The second aim deals with offering anonymity to GSM subscribers while they have access to VoIP services via the Internet. The objectives of this aim were:•To study the privacy challenges of mobile telephony;•To design a framework to provide anonymity as a proof of concept;•To identify requirements to be met;•To develop and test a prototype;•To highlight the limitations and evaluate the proposed solution in real case scenarios;•Expandable to other communication networks like Public Switched Telephone Network (PSTN);After completing the development of the testbeds, the data collection and analysis phase of the VoIP forensics framework, an evaluation of the results followed. It appears that results were so encouraging, and that all objectives that were previously set were actually met. After the latest improvements on the framework by deploying splunk as an indexing server, stored searches and visualized reports are easily created and presented.Evaluation of anonymity framework gave apparent proof of the proposed concept. Graphical visualizations of critical series of key parameters such as Response Time, SIP Registrar CPU and Network usage were used to aid visualizing the experimental data and assisting in the drawing of conclusions. On the other hand such a heterogeneous environment imposes a more thorough analysis regarding testing parameters.The VoIP forensics framework for artefact collection in SIP protocol has the following novel features: •Logs of forensic usefulness can be created from network traffic which otherwise would have been lost.•The proposed framework yields a low storage volume fingerprint by maintaining only the protocol headers and methods relevant for forensic investigations.. •In addition to the above, the proposed framework demonstrates the need to store traffic metadata beyond the standard “source-destination-timestamp” paradigm which is prevalent in data retention practices.•Logs are created even for devices or applications that are not capable of producing logs.•Logs are normalised and agnostic of different vendors or applications as long as they follow the IETF RFCs.•The proposed framework is not VoIP or SIP bounded but modular and open to other protocols as well.Anonymity in GSM is a novel feature itself. Although anti-forensics methods that were employed were not new themselves but very well established, the technique of combining two different communications technologies in a way to promote caller anonymity is novel.
Ο σκοπός της παρούσας διατριβής είναι διττός. Από τη μία πλευρά γίνεται διερεύνηση των δυνατοτήτων ανάκτησης ψηφιακών πειστηρίων (forensics) που υπάρχουν σε επικοινωνίες μετάδοσης φωνής πάνω από το διαδίκτυο (VoIP). Από την άλλη πλευρά διερευνάται η χρήση τεχνικών απόκρυψης (anti-forensics) σε ένα ετερογενές δίκτυο επικοινωνιών.Οι δύο αυτοί φαινομενικά αντιφατικοί στόχοι παρέχουν τη δυνατότητα για μια σφαιρική διερεύνηση των ψηφιακών πειστηρίων στις VoIP επικοινωνίες.Πιο συγκεκριμένα ο πρώτος στόχος ήταν να αναπτυχθεί ένα πλαίσιο (framework) για τη συλλογή, διακράτηση και ανάλυση δεδομένων ώστε να είναι εφικτή μια αποτελεσματική διεξαγωγή εγκληματολογικής έρευνας σε VoIP επικοινωνίες.Ο δεύτερος στόχος ήταν να αναπτυχθεί ένα νέο πλαίσιο το οποίο δύναται να παρέχει ανωνυμία σε χρήστες κατά τη διάρκεια μίας κλήσης σε δίκτυο κινητής τηλεφωνίας όταν ο πάροχος θεωρείται κακόβουλος χρησιμοποιώντας ένα κοινόχρηστο VoIP δίκτυο. Τα οφέλη από τους δύο παραπάνω στόχους είναι τα εξής: Ο πρώτος στόχος θα ενισχύσει σημαντικά την δικαστική ετοιμότητα σε μια παρεχόμενη υπηρεσία VoIP και θα παράσχει πολύτιμα ψηφιακά πειστήρια στις νομικές αρχές ή στους ερευνητές όταν καλούνται να εξετάσουν ένα συμβάν παραβίασης των κανόνων ασφαλείας. Ο δεύτερος στόχος θα ενισχύσει την προστασία της ιδιωτικότητας των χρηστών σε ψηφιακές επικοινωνίες μέσω της ανωνυμίας. Επιμέρους στόχοι των δύο παραπάνω εργασιών ήταν:•Να καθοριστεί το είδος των πτητικών (volatile) δεδομένων μπορούν να συλλεχθούν από την VoIP κίνηση του δικτύου, όταν αυτό έχει υλοποιηθεί με το πρωτόκολλο SIP. •Να ανακαλυφθεί ένας τρόπος για τη διατήρησή τους ο οποίος να μην χρειάζεται μεγάλης χωρητικότητας αποθηκευτικά μέσα.•Να διερευνηθεί εάν αυτό μπορεί να γίνει σε πραγματικό χρόνο ή ενεργοποίηση της καταγραφής θα ξεκινάει ύστερα από κάποιο προκαθορισμένο συμβάν.•Να διερευνηθεί η καταλληλότερη μορφή για την αποθήκευση των δεδομένων έτσι ώστε να είναι εύκολο να αναλυθούν και να συσχετιστούν με άλλες πηγές. •Η συλλογή θα πρέπει να είναι ανεξάρτητη από τον κατασκευαστή των συσκευών που υλοποιούν το δίκτυο VoIP. •Το μοντέλο που θα αναπτυχθεί πρέπει να είναι εύκολα επεκτάσιμο και δομημένο έτσι που να μπορεί να υλοποιηθεί σε οποιαδήποτε υπάρχουσα υποδομή δικτύου, χωρίς καμία σημαντική αλλαγή της αρχιτεκτονικής του. •Να αναπτυχθεί ένα πρωτότυπο, έτσι ώστε να δοκιμαστούν οι προτεινόμενες μέθοδοι σε ένα πραγματικό δίκτυο VoIP και να αξιολογηθεί η προτεινόμενη λύση.Τέλος η επίτευξη στόχων που έχουν προκαθορισθεί να γίνει με σεβασμό προς την κείμενη νομοθεσία και να γίνει αναγνώριση των ορίων που επιβάλει ο νόμος σε περίπτωση λειτουργίας της.Οι επιμέρους στόχοι της δεύτερης εργασίας ήταν: •Να μελετηθεί το σημερινό περιβάλλον όσον αφορά την ιδιωτικότητα σε δίκτυο κινητής τηλεφωνίας.•Να σχεδιαστεί ένα πλαίσιο για την παροχή ανωνυμίας με υιοθέτηση τεχνικών απόκρυψης σε δίκτυα VoIP.•Να αναπτυχθεί ένα πρωτότυπο μοντέλο για την πραγματοποίηση δοκιμών.•Να διερευνηθούν τα όρια λειτουργίας και να γίνει μια αξιολόγηση της προτεινόμενης λύσης σε πραγματικές συνθήκες. •Το μοντέλο να είναι επεκτάσιμο και σε άλλα δίκτυα επικοινωνίας όπως το Δημόσιο Τηλεφωνικό Δίκτυο (PSTN). Όλοι οι παραπάνω στόχοι που τέθηκαν εκπληρώθηκαν και αξιολογήθηκαν μέσω των δοκιμών που έγιναν στα συστήματα που αναπτύχθηκαν. Αξίζει εδώ να σημειωθεί ότι τα συστήματα αναπτύχθηκαν και δοκιμάστηκαν σε πραγματικές συνθήκες στο διαδίκτυο και όχι σε κάποιο απομονωμένο τοπικό δίκτυο ενός εργαστηρίου. Διαπιστώθηκε ότι με την προτεινόμενη λύση και τις τεχνικές που εφαρμόστηκαν μπορούν να ληφθούν μια πληθώρα αποδεικτικών στοιχείων που τα περισσότερα από αυτά χάνονταν διότι δεν καταγράφονταν πουθενά. Ο τύπος του εξοπλισμού του τελικού χρήστη, η ιδιωτική IP και το λογισμικό που χρησιμοποιείται από τους νόμιμους χρήστες μιας υπηρεσίας VoIP είναι μερικά από τα στοιχεία που μπορούν να βοηθήσουν ώστε να οικοδομηθεί μια αξιόπιστη αρχική βάση δεδομένων πληροφοριών. Από την άλλη πλευρά, οι ιδιωτικές διευθύνσεις IP ενός δυνητικού εισβολέα, ακόμη και κατά τη διάρκεια της παρουσίας υπηρεσιών NAT, καθώς και τα εργαλεία επίθεσης που χρησιμοποιούνται καταγράφονται πλέον για περαιτέρω ανάλυση. Οι δε επιθέσεις είναι πλέον ευκολότερα ανιχνεύσιμες διότι πλέον υπάρχει μια εποπτική εικόνα του συνολικού δικτύου και όχι ενός επιμέρους συστήματος.Λαμβάνοντας υπόψη την ευρεία υιοθέτηση των smartphones στις κινητές επικοινωνίες και την κοινόχρηστη χρήση πόρων στην κοινότητα του διαδικτύου, ένας νέος μηχανισμός για την επίτευξη της ανωνυμίας στο Παγκόσμιο Σύστημα Κινητών Επικοινωνιών (GSM) αναπτύχθηκε. Υλοποιήθηκε μια υποδομή VoIP χρησιμοποιώντας το Session Initiation Protocol, στην οποία ένα smartphone Α εγγράφεται σε ένα καταχωρητή SIP Α’ και να αρχίζει τη συνομιλία μέσω GSM με ένα smartphone B με τη βοήθεια ενός τρίτου smartphone C που λειτουργεί ως πύλη στο δίκτυο GSM. Η επικοινωνία των δύο χρηστών Α και C γίνεται πάνω από το δίκτυο VoIP ενώ παράλληλα χρησιμοποιείται και ένας τρίτος SIP ενδιάμεσος εξυπηρετητής. Το ενδιαφέρον είναι ότι η υπηρεσία μπορεί να παρέχεται χωρίς επιπλέον κόστος εκμεταλλευόμενη τα συμβόλαια σταθερής χρέωσης που συνάπτουν οι χρήστες με τους παρόχους τους. Επιπλέον η υποδομή που αναπτύχθηκε για την εμπειρική αξιολόγηση δεν αποκάλυψε κάποια σημαντική υποβάθμιση της φωνητικής ποιότητας των παρεχόμενων υπηρεσιών ενώ αναδείχθηκαν και οι απαιτήσεις σε συγκεκριμένους υπολογιστικούς πόρους της υποδομής.Κάποια χαρακτηριστικά των υλοποιήσεων που αξίζει να σημειωθούν αφορούν: Την δυνατότητα δημιουργίας αρχείων καταγραφής (log files) από την κίνηση του δικτύου για όλες τις συσκευές που συμμετέχουν σε μία υποδομή VoIP. Τα περισσότερα από αυτά τα δεδομένα που καταγράφονται τώρα απλά χάνονται. Για να κρατηθεί χαμηλός ο όγκος αποθήκευσης των δεδομένων δε, γίνεται φιλτράρισμα πριν την αποθήκευση, με βάση προεπιλεγμένες κεφαλίδες και μεθόδους του πρωτοκόλλου. Τα αρχεία καταγραφής δικτύου τηρούνται είτε σε βάση δεδομένων ή είτε σε ευρετήριο (indexer) αλλά όχι σε μορφή pcap όπως παράγονται από τα προγράμματα καταγραφής. Το τελευταίο σαφώς δίνει μεγαλύτερες δυνατότητες στην ανάλυση των δεδομένων. Επιπλέον δύναται να δημιουργούνται αρχεία καταγραφής ακόμα και για συσκευές ή εφαρμογές που δεν είναι σε θέση να παράγουν τέτοια. Τα δεδομένα καταγραφής κανονικοποιούνται αμέσως και είναι αδιάφορο το είδος της συσκευής ή της εφαρμογής που τα παράγει εφόσον όμως ακολουθούνται τα RFCs της IETF. Επιπλέον η λύση μπορεί να επεκταθεί και σε πρωτόκολλα διαφορετικά του SIP έτσι ώστε να μπορεί να υλοποιηθεί ένα κεντρικό σημείο συλλογής και καταγραφής δεδομένων. Τέλος η ανωνυμία στο GSM ήταν από μόνη ένα νέο χαρακτηριστικό. Παρά το γεγονός ότι οι αντι-εγκληματολογικές μέθοδοι που χρησιμοποιήθηκαν δεν ήταν νέες, αλλά μάλλον πολύ καλά εδραιωμένες, το γεγονός να συνδυαστούν οι δύο διαφορετικές τεχνολογίες επικοινωνιών ήταν μοναδικό.

Σύστημα ανίχνευσης επιθέσεων
Voice over IP
Πρωτόκολλο εγκατάστασης συνδέσεων
Ανωνυμία στην κινητή τηλεφωνία
GSM anonymity
Intrusion detection system
Network forensics
Μετάδοση φωνής μέσω διαδικτύου
Δικτυακά πειστήρια

Εθνικό Κέντρο Τεκμηρίωσης (ΕΚΤ) (EL)
National Documentation Centre (EKT) (EN)



Democritus University of Thrace (DUTH)
Δημοκρίτειο Πανεπιστήμιο Θράκης (ΔΠΘ)


*Institutions are responsible for keeping their URLs functional (digital file, item page in repository site)