Incidenthantering i molnmiljö

Nilsson, Niklas, Lindell, John, Möller, Linus

January 2012

Incident response plans are faced with new challenges as organisations expands to the cloud, this thesis aims to highlight these challenges and their potential solutions. Our work has focused on managing the incident response in contrast to earlier work that has been focusing on preventing them.As with any development, security is seldom prioritized. Instead the focus are often aimed towards usability and functionality, which means incident response plans are written, implemented, forgotten and finally becomes obsolete. This could result in an organization losing their ability to produce acceptable forensic images, avoid severe downtime, or prevent similar incidents in the future, which are all important parts of incident response.Traditional incident response plans does not address incidents in the cloud. Thus, an absence of guidelines for managing incidents in the cloud becomes apparent. By compiling literature and performing practical experiments, this thesis exposes weaknesses in traditional incident response plans and demonstrates a need for cloud-specific incident response plans.Based on the conducted experiments, we can conclude that with our cloud-specific incident response plan as a basis, a forensic recovery from a cloud instance can be done in such a way that privacy and confidentiality is maintained. The experiments have also provided a forensically sound method for connecting tools to a cloud instance, we call this approach "Virtual Incident Response Disk" (VIRD). / Incidenthanteringsplaner ställs inför nya utmaningar vid en expandering till molnmiljö, detta arbete ämnar att belysa de problem som uppstår vid hantering av incidenter i molnmiljö samt potentiella lösningar. Incidenthantering i denna nya miljö har inte behandlats i någon större utsträckning i tidigare arbeten då forskningens fokus har legat på att förhindra incidenter istället för att hantera dessa.Som med all utveckling är det lätt att säkerhetsarbetet hamnar på efterkälken till förmån för användarvänlighet och funktion. Detta visar sig ofta inom incidenthantering där planer för incidenthantering skrivs och implementeras för att sedan glömmas bort och sedermera bli förlegade. Detta kan medföra att en organisation förlorar förmågan att producera forensiskt godtagbara avbilder vilket är en viktig del av incidenthantering.Då incidenthanteringsplaner ämnade för traditionell servermiljö inte behandlar hanteringen av incidenter i molnmiljö fungerar det inte att applicera dessa på ny teknik såsom molnmiljö. Genom att sammanställa litteratur och utföra praktiska experiment har vi i detta arbete exponerat svagheter i traditionell incidenthantering och påvisat behovet av en molnspecifik incidenthanteringsplan.Utifrån våra utförda experiment kan vi konstatera att med vår molnspecifika incidenthanteringsplan som grund kan en forensisk utvinning från en molninstans ske på så sätt att bevisets integritet och konfidentialitet bibehålls. Baserat på erfarenheter utifrån våra experiment har även en forensiskt godtagbar metod för att ansluta verktyg till en molninstans arbetats fram, vi kallar detta tillvägagångssätt “Virtual Incident Response Disk” (VIRD).

Cloud

Cloud forensic

forensic

IaaS

Incident response

VIRD

Moln

Forensik

IaaS

Incidenthantering

VIRD

Computer Engineering

Datorteknik

Molnforensik : En litteraturstudie om tekniska utmaningar och möjligheter inom IT-forensik mot molnet / Cloud forensics : A litterature study about technical challanges and possibilities in digital forensics against the cloud

Gustavsson, Daniel

January 2020

Molntjänster används idag över hela världen och ger många fördelar för en användare eller företag. En nackdel med molnet är att det är en miljö som kriminella kan använda sig av för att utföra brott. En anledning till att molnet är en attraktiv plats för kriminella är på grund av bristen på IT-forensiska metoder för att utföra en undersökning mot molnmiljön. När ett brott har anmälts i molnet så kommer en IT-forensiker utföra en undersökning genom att samla in digitala bevis för att avgöra vad som har hänt, dock kan detta vara problematiskt på grund av molnets komplexitet. Det traditionella sättet för att utföra en IT-forensisk undersökning blir en utmaning i molnet på grund av flera anledningar, några av dem är molnets dynamiska miljö och att flera användare delar på samma resurser. Denna studie genomför en systematiskt litteraturstudie för att identifiera tekniska utmaningar och möjligheter vid en IT-forensisk undersökning i molnet. Flera utmaningar och möjligheter identifierades från existerande litteratur som i sin tur kategoriserades och sammanställdes i modeller. Flera utmaningar tas upp som att datan i molnet inte är centraliserad och att virtuella maskiner kan vara i ett volatilt tillstånd. Vid möjligheter så går det exempelvis att hämta ögonblicksbilder från molnet för att utföra en analys på och även hämta bevis från en klients dator. / Cloud services are being used all over the world today and provides several benefits for a user or a company. A downside with the cloud is that it is an environment that criminals can use to conduct a crime. One reason why a criminal uses the cloud to conduct a crime is due to the lack of suitable digital forensic techniques against the cloud environment. When a crime has been reported in the cloud, a digital forensics investigation can occur to gather digital evidence to determine what has happened. Unfortunately, this could be problematic because of the complexity of the cloud environment. The traditional way of conducting a digital forensic investigation becomes a challenge in the cloud because of several reasons. Some of the reasons are the dynamic environment of the cloud and that several users share the same resources. This study will conduct a systematic literature review to identify technical challenges and possibilities in a digital forensic investigation in the cloud. Several challenges and possibilities were identified from existing literature which in turn got categorized and compiled into models. This study presents challenges, for example the data in the cloud is not centralized and virtual machines may be in a volatile state. There are several possibilities for instance, collecting snapshot for analysis and collect evidence from a client’s computer.

Digital forensic

cloud forensic

cloud services

digital evidence

IT-forensik

molnforensik

molntjänster

digitalt bevis

Information Systems, Social aspects

I förövarens moln : En kvalitativ analys av lagen om genomsökning på distans

Luong, Jenny, Humaloja, Amanda

January 2023

I takt med att världen blir alltmer uppkopplad och digitaliserad, är det en ständig utmaning för lagstiftningen att hänga med i utvecklingen. Digitaliseringen har också öppnat upp en helt ny arena för brottslighet, där elektroniska enheter och information har blivit alltmer centrala. För att bekämpa den ökande brottsligheten i den digitala sfären, har det funnits ett behov av att säkra digitalt bevismaterial som lagras utanför den fysiska enheten. Tidigare kunde det vara svårt att komma åt dessa digitala bevis på ett effektivt och lagligt sätt. Den nya lagen om genomsökning på distans har öppnat upp för möjligheten att säkra digitalt bevismaterial även utanför den lokala enheten. Syftet med uppsatsen var att undersöka hur lagen har påverkat det IT-forensiska arbetet, samt kartlägga möjligheter och utmaningar som lagen medför. Därutöver lyfter arbetet även fram önskemål på förändringar i lagen ur ett IT-forensiskt perspektiv. Detta undersöktes med hjälp av en kvalitativ studie där det utfördes intervjuer med IT-forensiker på Polismyndigheten och en verksamhetsutvecklare på NFC. / As the world becomes increasingly connected and digitized, it is a constant challenge for legislation to keep up with the pace of the technical development. Digitalization has also established an entirely new arena for criminal activity, where electronic devices and information have become increasingly central. To combat the increasing digital crime, there has been a need to secure digital evidence stored outside of the physical device. Previously, it could be difficult to access this digital evidence in an effective and legal manner. The new law on cloud forensic investigation has enabled the probability of securing digital evidence even outside of the local device. The purpose of this essay was to examine how the law has affected the IT-forensic investigation work, as well as to identify the opportunities and challenges posed by the law. In addition, the work highlights requests for changes to the law from an IT forensic perspective. This was investigated using a qualitative study where interviews were conducted with IT-forensic experts from Polismyndigheten and a developer from NFC.

Cloud forensics

cloud forensic investigation

IT-forensics

cloud computing

coercion

Genomsökning på distans

IT-forensiker

IT-forensik

molnlagring

tvångsmedel

Computer and Information Sciences

Data- och informationsvetenskap