A RAM triage methodology for Hadoop HDFS forensics

This paper discusses the challenges of performing a forensic investigation against a multi-node Hadoop cluster and proposes a methodology for examiners to use in such situations. The procedure's aim of minimising disruption to the data centre during the acquisition process is achieved through the use of RAM forensics. This affords initial cluster reconnaissance which in turn facilitates targeted data acquisition on the identified DataNodes. To evaluate the methodology's feasibility, a small Hadoop Distributed File System (HDFS) was configured, and forensic artefacts simulated upon it by deleting data originally stored in in the cluster. RAM acquisition and analysis was then performed on the NameNode in order to test the validity of the suggested methodology. The results are cautiously positive in establishing that RAM analysis of the NameNode can be used to pinpoint the data blocks affected by the attack, allowing a targeted approach to the acquisition of data from the DataNodes, provided that the physical locations can be determined. A full forensic analysis of the DataNodes was beyond the scope of this project

The twofold role of Cloud Computing in Digital Forensics: target of investigations and helping hand to evidence analysis

This PhD thesis discusses the impact of Cloud Computing infrastructures on Digital Forensics in the twofold role of target of investigations and as a helping hand to investigators. The Cloud offers a cheap and almost limitless computing power and storage space for data which can be leveraged to commit either new or old crimes and host related traces. Conversely, the Cloud can help forensic examiners to find clues better and earlier than traditional analysis applications, thanks to its dramatically improved evidence processing capabilities. In both cases, a new arsenal of software tools needs to be made available. The development of this novel weaponry and its technical and legal implications from the point of view of repeatability of technical assessments is discussed throughout the following pages and constitutes the unprecedented contribution of this wor

Προσομοίωση σεναρίων ψηφιακής εγκληματολογίας στο Διαδίκτυο των Πραγμάτων με τον προσομοιωτή CUPCARBON

Διπλωματική εργασία--Πανεπιστήμιο Μακεδονίας, Θεσσαλονίκη, 2018.Η καθημερινότητα μας είτε πρόκειται για την ιδιωτική ζωή μαζί με οικογένειά ή φίλους, είτε στο χώρο της εργασίας, τα τελευταία χρόνια έχει άμεση σχέση με το Διαδίκτυο, τα έξυπνα κινητά και με μια πληθώρα ηλεκτρονικών συσκευών που είναι συνδεδεμένα μεταξύ τους και με το Διαδίκτυο. Εξαιρώντας όλες τις τρομερές διευκολύνσεις που μας προσφέρει η χρήση τους, υπάρχει η αντίθετη πλευρά και συγκεκριμένα, τα προβλήματα ασφαλείας και τα τρωτά σημεία που οι κακόβουλοι χρήστες μπορούν να παραβιάσουν, ώστε να αποσπάσουν χρήσιμες για αυτούς πληροφορίες. Η παρούσα διπλωματική εργασία λοιπόν, μελετά την ανάγκη για ασφάλεια και αναλύει την επιστήμη της Ψηφιακής Εγκληματολογίας, καθώς και τις μεθόδους που χρησιμοποιούν οι ερευνητές, κατά την διάρκεια μιας έρευνας. Στη συνέχεια γίνεται επισκόπηση του Internet of Things (αρχιτεκτονική, χαρακτηριστικά), καθώς και οι προκλήσεις ασφαλείας που υπάρχουν. Περιγράφεται πώς μπορεί το IoT να συμβάλλει στην Ψηφιακή Εγκληματολογία, αλλά και ποιες προκλήσεις δημιουργεί. Επίσης, εξετάζονται οι μέθοδοι εγκληματολογίας που υπάρχουν στην βιβλιογραφία. Στο πρακτικό μέρος της διπλωματικής προβάλλονται τρία σενάρια επίθεσης σε συσκευές του IoT που τυγχάνουν ευρείας χρήσης στην καθημερινότητα με την χρήση του προσομοιωτή CupCarbon. Σκοπός είναι να παρουσιαστούν τα μοντέλα εγκληματολογίας στην πράξη, οι δυνατότητες του προσομοιωτή CupCarbon και η συλλογή αποδεικτικών στοιχείων τα οποία αποκομίζονται από τα αντικείμενα που συμμετέχουν στις προσομοιώσεις

Security and trust in a Network Functions Virtualisation Infrastructure

L'abstract è presente nell'allegato / the abstract is in the attachmen

You Shall Not Pass! Measuring, Predicting, and Detecting Malware Behavior

Researchers have been fighting malicious behavior on the Internet for several decades. The arms race is far from being close to an end, but this PhD work is intended to be another step towards the goal of making the Internet a safer place. My PhD has focused on measuring, predicting, and detecting malicious behavior on the Internet; we focused our efforts towards three different paths: establishing causality relations into malicious actions, predicting the actions taken by an attacker, and detecting malicious software. This work tried to understand the causes of malicious behavior in different scenarios (sandboxing, web browsing), by applying a novel statistical framework and statistical tests to determine what triggers malware. We also used deep learning algorithms to predict what actions an attacker would perform, with the goal of anticipating and countering the attacker’s moves. Moreover, we worked on malware detection for Android, by modeling sequences of API with Markov Chains and applying machine learning algorithms to classify benign and malicious apps. The methodology, design, and results of our research are relevant state of the art in the field; we will go through the different contributions that we worked on during my PhD to explain the design choices, the statistical methods and the takeaways characterizing them. We will show how these systems have an impact on current tools development and future research trends