Selective Information Extraction From Network Traffic Traces Both Encrypted And Non-encrypted

Selective Information Extraction From Network Traffic Traces Both Encrypted And Non-encrypted. Masters thesis, King Fahd University of Petroleum and Minerals.

[img]
Preview
PDF
[ePrint]FinalThesisDraft.pdf

Download (1MB) | Preview

Arabic Abstract

بينت إحصائيات جديدة ان نصف سكان الكرة الأرضية تقريبا هم من مستخدمي الإنترنت. كمية بيانات الشبكات الناتجة عن تفاعلات المستخدمين تتزايد بشكل كبير. استخراج معلومات محددة من بيانات الشبكة له تطبيقات في العديد من مجالات أمن المعلومات, خصوصا في مجال التحقيقات الإلكترونية و مجال فحص الاختراقات في مواقع الانترنت. تحليل كميات كبيرة من بيانات الشبكة لاستخراج المعلومات يعتبر من المهمات الصعبة نظرا لاختلاف انواع البروتوكولات المطبقة من مواقع الانترنت المختلفة, بالإضافة الى احتمالية ان تكون بيانات الشبكة مشفرة. في هذه الرسالة, تم دراسة طرق متعددة لاستخراج معلومات مختلفة من بيانات الشبكة. لوحظ وجود نقص في دعم بعض البروتوكولات الجديدة و عدم دقة في نتائج الحلول الموجودة. تم تطوير أداة جديد لاستخراج المعلومات من بيانات الشبكات كجزء من هذه الرسالة, هذه الأداة قادرة على استخراج اربع انواع من المعلومات, و تدعم اربع انواع مختلفة من البرتوكولات. المعلومات اللتي يمكن استخراجها حاليا باستخدام الأداة هم, المواقع المزارة, و بيانات تسجيل الدخول (اسم المستخدم و كلمة المرور), و ملفات تعريف الارتباط (كوكيز), بالإضافة إلى بعض العمليات الشائعة على موقع الفيسبوك مثل التعليقات و الإعجاب و عمليات اخرى. كجزء من هذه الرسالة, تم دراسة ميزة جديدة متوفرة في بعض متصفحات الانترنت و منها ما هو مشهور جدا, توفر هذه الميزة امكانية تخزين مفاتيح التشفير على القرص. بناء على هذه الميزة تم اقتراح هجوم جديد على خصوصية المستخدمين اللتي يوفرها بروتوكول التشفير. الهجوم يقوم باستغلال ميزة تخزين ملفات التشفير عن طريق برمجية خبيثة (مالوير) بصلاحيات منخفضة. هذا المالوير حين التشغيل, يقوم بتفعيل ميزة تخزين مفاتيح التشفير و يقوم بسرقة الملف اللذي يحتوي هذه المفاتيح و ارسالها للطرف المهاجم, مع وجود امكانية لتسجيل بيانات الشبكة عند الضحية. لاحقا, يتم ادخال ملف مفاتيح التشفير و بيانات الشبكة المسجلة للضحية في أداة استخراج المعلومات. ما تم عمله في هذه الرسالة يثبت ان التطبيق الحالي لميزة تخزين ملفات التشفير ليس آمنا و بصلاحيات منخفضة يمكن تحصيل ملف التشفير لكشف خصوصيات المستخدمين

English Abstract

According to recent statistics, almost half the globes population are Internet users. The amount of network traffic generated by users’ interactions is increasing dramatically. Extracting specific types of information from network traffic has its applications in different fields in information security, especially the fields of digital forensic and web penetration testing. Analyzing large amount of network traffic for information extraction is considered challenging due to the different types of protocols implemented by different web applications, and due to the application of network traffic encryption. In this work, different methods used for extracting different types of information from network traffic were studied. It was found that existing solutions either do not support newly adopted protocols on the web, or provide inaccurate results. A new network data mining tool was developed as part of this work, it is called NetInfoMiner (Network Information Miner). It is capable of extracting four types of information from network traffic with the support of different types of protocols (HTTP, HTTPS, HTTP2, and SPDY). The current information extracted by NetInfoMiner are, users visited links, web credentials, session cookies, and common Facebook activities (comment, like, post, etc). A new feature that enables the logging of encryption keys into a key log file (KLF) on disk was investigated. This feature is provided by highly popular browsers. This led to the proposal of a new client side attack on TLS called DESSK (Decrypting Encrypted Sessions using Stolen Keys) as part of this thesis. The attack exploits the key logging feature through a prototype user-privileged malware called SSLKeyStealer. The malware enables the feature and steals the KLF and possibly captures network traffic then transmits these elements to a remote server. Later, the stolen elements can be used in NetInfoMiner to extract the desired information. The work in this thesis proves through the suggested DESSK attack that the current implementation of the key logging feature by some browsers is not secure since the KLF is not encrypted and can be acquired with user-level privilege (No administrator privileges are required).

Item Type: Thesis (Masters)
Subjects: Computer
Research > Information Technology
Department: College of Computing and Mathematics > Information and Computer Science
Committee Advisor: Almuhammadi, Sultan
Committee Members: Zhioua, Sami and Mahmoud, Motaz
Depositing User: AHMED AMRO (g201404360)
Date Deposited: 07 Feb 2017 08:09
Last Modified: 31 Dec 2020 09:07
URI: http://eprints.kfupm.edu.sa/id/eprint/140236