Forensics in Office365
Christian Prickaerts 12 juni 2014, Amsterdam
2
Vanaf Office 2007
Vóór de 2007 versie standaard het OLE formaat • Object Linking and Embedding (OLE) Sinds de 2007 versie standaard het OOXML formaat • Open Office Extended Markup Language (OOXML) Voordelen OOXML • Open standaard (uitwisselbaarheid)
4
XML structuur Word • Voorbeeld app.xml
5
app.xml XML veld Template TotalTime Pages Words Characters Application DocSecurity Lines Paragraphs ScaleCrop Manager Company LinksUpToDate CharactersWithSpaces SharedDoc HyperlinksChanged AppVersion
6
Explorer veld Template Total editing time Pages Word count Character count Program Name Line count Paragraph count Scale Manager Company Links dirty? Shared with -
XML structuur Word • Voorbeeld core.xml
7
core.xml XML veld title subject creator keywords description lastModifiedBy revision created modified category contentStatus language version
Explorer veld Title Subject Authors Tags Comments Last saved by Revision number Content created Date last saved Categories Content status Language Version number
core.xml structuur is zelfde voor Word 2007, 2010, 2013 8
Rsid identificatie in word • Rsid staat voor Revision Save ID • Rsid’s bevinden zich in de word/documents2.xml • Wijzigingen tijdens sessie worden met uniek Rsid opgeslagen • Rsid’s worden random gegenereerd op basis van datum en tijd
9
docx structuur docProps
core.xml app.xml theme
theme1.xml
_rels
Document.xml.rels
document.xml settings.xml word
webSettings.xml
.docx styles.xml fontTable.xml
_rels [Content_Types].xml
10
.rels
Zichtbare metadata • Eenvoudig zichtbare metadata – Description • Title, subject, … – Origin • Author, company, content created, … – Content • Pages, template, character count, … – File • Size, date created, date modified, … 11
Verwijderbare metadata Eenvoudig aan te passen/verwijderen metadata: • Description – Title, subject, tags, categories, comments • Origin – Author, Last saved by, revision number, version, company, manager • Content – Content status, content type, language • File – Geen…? 12
Metadata - advanced • “Last saved by” aanpassen
• Hoe gaan we te werk? • Welke sporen laat dit achter? 13
Metadata - advanced • Hoe gaan we te werk? – Open een Office document in 7-zip
– Ga naar docProps – Rechtermuisknop op core.xml – Edit
14
Metadata - advanced
15
Cloud…wat is dat?
16
Cloud…wat kan je ermee?
17
Cloud…wat zijn de gevolgen?
18
19
20
X-originating IP
21
22
Office365 - introductie Microsoft Online Services • Business Productivity Online Standard Suite (BPOS) – Exchange 2007 – SharePoint 2007
• Office 365 – Rolling release model – altijd laatste versie – Exchange 2010 – 2013 - … – Lync 2010 - 2013 - … – SharePoint 2010 – 2013 - … – Office Web Apps 23
Office365 – permissies (1) • Admin roles Office 365 Enterprise and Midsize Business: – Global admin – Billing admin – Password admin – Service admin – User management admin
• Office 365 Small Business – Eén type admin
24
Office365 – permissies (2) Kan een admin bij de data van een user via Office365? - Niet direct - Kan wel wachtwoord opnieuw instellen
.. of via één van de plekken waar de data is gesynchroniseerd… 25
Office365–synchronisatie
SkyDrive
26
Office365 - SkyDrive • SkyDrive via website
27
Office365 - SkyDrive • SkyDrive via Windows App
28
Aanwezigheid OneDrive folder
Office365 - SkyDrive • SkyDrive via Mobile App
30
Office365 - SkyDrive • SkyDrive via Explorer
31
Office365 – Veiligstellen • Website - Bestand timestamps download tijd
• Explorer - Niet mogelijk op het moment (zonder RoboCopy)
• SkyDrive op computer/laptop - Bestandstijden blijven gedeeltelijk behouden
• SkyDrive op mobile device - Hele mobile device dient te worden veiliggesteld Tip: Niet gesynchroniseerd? Veiligstellen, sync, veiligstellen… = mogelijk twee versies van het document! 32
Office365 – Word metadata • docProps\app.xml – Nieuw document zonder inhoud • Structuur zelfde als Office 2007 • <AppVersion>15.0000 – Nieuw document met inhoud • Geen TotalTime, Pages, Words, Characters, Lines, Paragraphs •
00.0001
33
Office365 – Word metadata • docProps\core.xml – Nieuw document zonder inhoud
– Nieuw document met inhoud
34
Office365 – RSID • document.xml = document2.xml • Indeling globaal het zelfde – document.xml: – document2.xml
• Nieuw: paraId, textId
35
Office365 - Herkennen
• customXML folder • docProps\custom.xml file • [trash]
SharePoint/365
• docProps\custom.xml <property fmtid="{*}" pid="3" name="IsMyDocuments">
• In core.xml: Created timestamps office 365 • app.xml 36
Office365 – app.xml
• Opsomming AppVersion in app.xml
2007
2010
2013
365* Leeg
Bewerkt
Word
12.0000
14.0000
15.0000
15.0000
00.0001
Excel
12.0000
14.0300
15.0300
14.0300
16.0300
PowerPoint 12.0000
14.0000
15.0000
15.0000
16.0000
* 365 Waardes kunnen elk moment verandert worden door Microsoft (rolling release model)
37
Office365 - Collaboration
38
Office365 - Collaboration
39
Achtergebleven sporen Sporen geïnduceerd als gevolg van surfgedrag • Windows Register – Ingevoerde URLs – Gedownloade bestanden en/of openen/bewerken ervan
• Bestandsysteem – Introductie van gedownloade bestanden – Installatie van software
• Fragmenten surfgedrag in unallocated clusters 40
Browser onderdelen • Internet geschiedenis: – Historisch overzicht van bezochte websites – Meestal beschikbaar voor meerdere weken – Activiteit opgeslagen per gebruikersaccount
• Kan ook bevatten – Downloads – Lokaal geopende bestanden
41
Internet geschiedenis
• Login Office 365 & gebruik WordOnline – https://portal.office.com – https://login.microsoftonline.com/ – https://login.microsoftonline.com/login.srf – https://portal.office.com/default.aspx – https://prickaerts-my.sharepoint.com – https://euc-word-view.officeapps.live.com
42
Recent geopende documenten • Recent geopende documenten: – LNK bestanden; – Deze folder bevat een lijst van laatst geopende bestanden – Start > My Recent Documents
• Wanneer eendocument wordt geopent wordt er eenlink file is aangemaakt. De aanmaakdatum van het link (LNK) bestand verwijst naar de datum van eerste keer openen van het bestand gedurende de levensduur van het LNK bestand
43
LNK voorbeeld
Bestandstijden van het bestand waarnaar verwezen wordt (opened)
Bestandstijden opgeslagen in UTC (Universal Coordinated Time)
44
Windows register • Registersleutels aangemaakt bij: – Installatie SkyDrive – Installatie Lync – Installatie lokale versie office 2013
45
46
Bedankt!
[email protected]
47
