Inhämtning & analys av Big Data med fokus på sociala medier

Åhlander, Niclas, Aldaamsah, Saed

January 2015

I en värld som till allt större del använder sig av sociala medier skapas och synliggörs information om användarna som tidigare inte varit enkel att i stor mängd analysera. I det här arbetet visas processen för att skapa ett automatiserat insamlingssätt av specifik data från sociala medier. Insamlad data analyseras därefter med noggrant utformade algoritmer och slutligen demonstreras processens nytta i sin helhet. Datainhämtningen från sociala medier automatiserades med hjälp av en mängd kombinerade metoder. Därefter kunde analysen av det inhämtade datat utföras med hjälp av specifika algoritmer som redovisades i det här arbetet. Tillsammans resulterade metoderna i att vissa mönster framkom i datan, vilket avslöjade en mängd olika typer av information kring analysens utvalda individer.

IT-forensik

IT

Sociala nätverk

Big data

Grafalgoritmer

Data-analys

Datainsamling

Databaser

Facebook

A Digital Tool to Improve the Efficiency of IT Forensic Investigations / Translation not available

Hansen, Tone

January 2019

The IT forensic process causing bottlenecks in investigations is an identified issue, with multiple underlying causes – one of the main causes being the lack of expertise among those responsible for ordering IT forensic investigations. The focus of the study is to create and evaluate a potential solution for this problem, aiming to answer research questions related to a suitable architecture, structure and design of a digital tool that would assist individuals in creating IT forensic orders. This work evaluates concepts of such a digital tool. This is done using a grounded theory approach, where a series of test sessions together with the answers from a survey have been examined and analyzed in an iterative process. A low-fidelity prototype is used in the process. The resulting conclusion of the study is a set of concepts, ideas and principles for a digital tool that would aid in the IT forensic ordering process, as well improving the efficiency of the IT forensic process itself. Future work could involve developing the concept further to eventually become a finished product, or using it for improving already existing systems and tools, improving the efficiency and quality of the IT forensic process.

IT forensics

digital forensics

IT-forensik

digitala hjälpmedel

rättsväsende

beställarkompetens

Information Systems

Tekniska skydd mot informationsläckage : Hur företag skyddar sig från informationsläckage i hybrida IT-miljöer

Syrén Martinsson, Beata, Liljekvist, Erika

January 2019

Det råder inget tvivel om att alla företag är beroende av en stark informationssäkerhet då näringslivet verkar i en konkurrenskraftig miljö. Under de senaste tio åren har de externa hoten skiftat måltavla från företags IT-infrastruktur till deras känsliga information. Informationsläckage innebär distribution av konfidentiell data till en obehörig person eller part. Det finns många aspekter som företag bör ta hänsyn till när ett IT-system byggs upp för att säkra det mot informationsläckage. Uppsatsens syfte är att undersöka företags förhållningssätt till förebyggandet av informationsläckage i en hybrid IT-miljö. Att kartlägga tekniska skydd kan inspirera andra företag till att hitta nya effektiviseringar för sina molnlösningar. Med hjälp av fem intervjuer och en genomgående litteraturstudie har en kartläggning av lämpliga skydd sammanställts. Uppsatsen uppmärksammar hur viktigt det är med en hållbar informationssäkerhet tillsammans med ett skalbart och ekonomiskt system. De tekniska skydd som används av företag för att undvika informationsläckage i hybrida ITmiljöer är: antivirusprogram, brandvägg, kryptering, Intrusion Prevention System (IPS), Data Loss Prevention (DLP), proxyserver, Multi-Factor Authentication (MFA), Security Operation Center (SOC) och Security Incident and Event Management (SIEM). Det går även att konstatera att övervakning av systemet är ett viktigt skydd när det kommer till att förhindra informationsläckage. Följaktligen kan det konstateras att det hybrida molnet bidrar till kostnadseffektivitet, men de specifika skyddens kostnadseffektivitet kommer att divergera mellan företag, beroende på deras behov av säkerhet. Avslutningsvis bidrar även det hybrida molnet till skalbarhet, vilket i sin tur leder till att skydd som implementeras i det hybrida molnet också bedöms vara skalbara. / It is evident that all companies are dependent on a robust information security platform as our world becomes more connected which leads to more competition. For the past decade, the external threats facing businesses have shifted towards sensitive company information rather than their IT-infrastructure. Vital information leakage includes confidential data being distributed to an unauthorized individual. There are many aspects a business needs to consider in regards to constructing their IT-systems to sufficiently secure themselves against these threats. The thesis of this essay is to investigate businesses approach for preventing information leakage in a hybrid cloud. To successfully implement the relevant technical protection measures might influence other businesses and individuals to consider more effective and efficient means of handling cloud solutions. By using the information, we have gathered from five interviews and through an ongoing study of relevant literature – it is possible to narrow the list of relevant technical protection measures. This report considers the importance of a sustainable information security as well as a scalable and cost-effective system. Currently, the technical protection measures used by businesses to prevent information leakage in hybrid clouds are antivirus software, firewalls, encryption, Intrusion Prevention System (IPS), Data Loss Prevention (DLP), proxy server, Multi-Factor Authentication (MFA), Security Operation Center (SOC) and Security Incident and Event Management (SIEM). It is important to note that surveillance of the system is an important means of protection in regard to preventing information leakage. Additionally, a hybrid cloud solution could contribute to higher cost efficiency, however; the specifics of these solutions will differ among businesses depending on their individual needs for security. Lastly, the implemented technical protection measures are considered to be scalable due to the presence of the hybrid cloud.

Hybridmoln

Digital forensik

IT forensik

Informationssäkerhet

Informationssläckage

Computer and Information Sciences

Data- och informationsvetenskap

It-forensikers Guide till Universum : Framtagning av övningsmaterial för nyanställda IT-forensiker

Nilsson, Tor

January 2015

Syftet med denna rapport är att återge en del av den verklighet IT-forensikern står inför och vilka utmaningar som hör till denna samt att producera ett övningsmaterial som kan användas när IT-forensiker nyanställs. För att åstadkomma detta brukas en variation av Case-metodik. Mer precist används ett fiktivt brottsfall som grund för ett virtuellt operativsystem. I detta system planteras information som är relevant för utredningen av det påhittade fallet. Övningen i sig består i att eleven, utifrån givna ledtrådar, skall söka rätt på tillräckligt mycket komprometterande data för att kunna stödja en misstanke. Utmaningen är att skapa en miljö som står nära verkligheten. Arbetet baserar sig dels på intervjuer med faktiska IT-forensiker men också på en samling rapporter och nyhetsartiklar ur webblitteratur.

Forensik

IT-forensik

IT

Digital forensik

digitala brott

lärande

pedagogik

utbildning

arbetsplatsutbildning

fortbildning

Kontamination av RAM-minne vid användning av IT-forensisk mjukvara

Franzén, Joel, Norryd, Johan

January 2018

This report addresses a very specific area of computer forensics and information security. A computer forensic scientict are needed to act in critical situations, therefore the person needs broad knowledge of the physical memory, also known as volatile memory withincomputer forensics. As cybercrimes are rapidly increasing more for each year, it has also contributed to a huge development in the computer forensic department. Since the volatile memory of a computer plays a significant role in an investigation, a computer forensics actions can be crucial in the collection of evidence. Volatile memory is something that exists in all computer systems and the purpose is to store information temporarily, in other words, it only exists when the system is active. Volatile memory is an information source that is rich in information from a computer forensic perspective. Volatile memories are built up of binary code, which requires that these are analyzed using various tools. This availability of these tools today is very large. There are several different methods for analyzing the volatile memory in a computer, not just for the government, but also for the public. As the range of these methods and tools are big, we have chosen to focus on computer forensic tools that pay an important part of the work of a computer forensic. The execution of the practical part, we have chosen to apply in a virtualization environment, to carry out the experiments in a controlled manner. The experiments were a big success in showing that changes to the memory allocation have occurred in the event of contamination. When the dump-files were performed by the tools, a percentage difference could be determined and further analysis of these showed that contamination occurred. / Denna rapport behandlar ett väldigt specifikt område inom IT-forensik och informationssäkerhet. Då berörda parter, det vill säga IT-forensiker, emellanåt behöver agera i kritiska lägen krävs det att personen har breda kunskaper om det volatila minnet, mer känt som volatila minnen inom IT-forensik. Då IT-brott ökar allt mer för varje år behöver också utvecklingen inom IT-forensik ständig utveckling. Eftersom det volatila minnet ien dator har en betydande roll i samband med en utredning kan en IT-forensikers handlingar vara avgörande i bevisinsamlingen. Volatila minnen är något som finns i alla datorsystem och dess syfte är att lagra information temporärt, då minnet endast existerar när systemet är igång. Det volatila minnet är en informationskälla som är rik på viktig information ur ett IT-forensiskt perspektiv. Volatila minnen är uppbyggda av binärkod, vilket kräver att dessa analyseras med hjälp av olika verktyg. Utbudet av dessa verktyg är idag väldigt stora, det finns flertalet olika metoder för att gå tillväga för att analysera det volatila minnet i en dator, inte bara för myndigheter, utan även för allmänheten. Eftersom utbudet av dessa metoder och verktyg är stora, har vi valt att inrikta oss på IT-forensiska verktyg som är en viktig del i arbetet som IT-forensiker. Utförandet av den praktiska delen har vi valt att applicera i virtualiseringsmiljö, för att på ett kontrollerat sätt utföra experimenten. Vid experimenten erhöllsdet framgångsrika resultat där påvisning av att förändringar i minnesallokeringar skett, det vill säga kontamination. När RAM-dumparna väl hade utförts av verktygen fastställdes en procentuell skillnad och vidare analysering av dessa påvisade att kontamination förekommit.

IT-forensik

utvinning

live-respons

RAM-minne

kontamination

virtualisering

Computer Systems

Datorsystem

Djupgående analys av testhanteringsverktyg

Maxson, Jakob

January 2014

Denna rapport analyserar testhanteringsverktyg åt Statens Kriminaltekniska Laboratorium. Ett testhanteringsverktyg är ett samlingsnamn på ett verktyg som testar och dokumenterar resultatet på diverse mjukvarutester. I rapporten analyseras tre gratisverktyg, deras funktioner och hur man går tillväga för att använda dem. De tre verktyg som används och betygsätts är Testia Tarantula, TestLink och Testopia. TestLink är det verktyg som får flest poäng, men det är inte det verktyg som slutligen rekommenderas. Denna rapport är användbar för större företag som behöver ett testhanteringsverktyg med krav på hög kvalitet på genomförande och dokumentation.

IT-forensik

testhantering

testhanteringssystem

analys

testlink

testia tarantula

testopia

Computer Systems

Datorsystem

Computer Engineering

Datorteknik

Den IT-forensiska utvinningen i molnet : En kartläggning över den IT-forensiska utvinningen i samband med molntjänster samt vilka möjligheter och svårigheter den möter

Blid, Emma, Massler, Patrick

January 2017

Det blir allt vanligare att spara data online, i stället för på fysiska lagringsmedium. Detta bringar många möjligheter för dig som användare, men orsakar också nya problem framför allt inom utredningsarbetet. Problemen i kombinationen IT-forensik och molntjänster kan framför allt delas upp i två kategorier, vilka är juridiska respektive tekniska problem. De juridiska problemen berör främst att servern som lagrar data och ägaren till denna ofta befinner sig i en annan nation än där det misstänkta brottet utreds. De flesta juridiska problem kan tyckas enkla att lösa genom lagändringar, men är mer omfattande än så då både de konsekvenser det kan ha för molnleverantörerna, liksom de fördelar det kan ha för rättsväsendet, måste tas hänsyn till och noga övervägas. De tekniska problemen finns det ofta redan lösningar på. Många av dessa kan dock inte anses vara reella då krävd storlek på lagringsytan, och kostnaderna därtill, inte är i proportion av vad som skulle kunna uppnås. De flesta tekniska lösningar ger även nya problem i form av etiska dilemman då de kräver utökad lagring av personlig information. Att spara information och eventuellt behöva utreda information kopplat till en person som inte är misstänkt gör intrång på den personliga integriteten. Molnet har dock också möjligheter där den främsta för IT-forensiken är vad som kallas Digital Forensics as a Service. Detta innebär att molnets resurser nyttjas för att lösa resurstunga problem som hade varit betydligt mer tidskrävande att genomföra lokalt, likaså att möjligheterna för samarbeten och specialkompetens ökar, i syfte att underlätta och effektivera det IT-forensiska arbetet. / It is becoming more common to save data online, rather than on physical storage media. This brings many opportunities for you as a user, but also causes new problems, especially within the crime investigations. The problems in the combination of digital forensics and cloud services can be divided into two main categories, which are legal issues and technical issues. The legal issues primarily concern that the server that stores data and the owner of the server is typically based in a different nation than where the suspected crime is investigated. Most legal issues may seem easy to solve through law changes, but are more extensive than that, as both the consequences it may have for the cloud suppliers, as well as the benefits it may have for the justice system, must be taken into consideration. The technical issues often have solutions. However, many of these cannot be considered as realistic since the size of the required storage space, and the costs caused by it, are not proportional to what could be achieved. Most technical solutions also give rise to new issues in the form of ethical dilemmas as they require enhanced storage of personal information. To save more information and to possibly need to investigate information associated with a person who is not suspected of committing the crime intrudes the personal integrity. The cloud, however, also brings opportunities where the foremost for digital forensics is what is called Digital Forensics as a Service. This means that the cloud’s resources are utilised to solve resource related problems that had been significantly more time consuming to implement locally, as well as the opportunities for cooperation and expertise increase, in order to facilitate and enhance IT-forensic work.

IT-forensik

digital forensics

molnmiljö

cloud environment

Computer and Information Science

Data- och informationsvetenskap

JackTheRidder: Idiotiskt eller en snilleblixt? : -Kryptering som kombinerar Collatz Conjecture med Caesarchiffer

Skog, Jack, Strandridder, Cajza

January 2022

Caesarcipher is a commonly known encryption method although it is known for being unsure, even long before computers were invented. Even though it is unsure it can still be used for cryptography, JackTheRidder consists of two main algorithms where one of them is based on the Caesarcipher. With many rotations of Caesarciphers on different parts of texts, like many Vigenerecryptos of different sizes overlapping each other, makes the encryption secure. The other main algorithm of JackTheRidder is based on the Collatz Conejcture, which is a famous unsolved mathematical problem. This algorithm counts the amount of steps it takes before the chosen number reaches 1 and then moves the letter with those steps which results in the encryption. The amount of steps is a result from a positive integer going through Collatz Conjecture, which divides the integer if its even and uses (3𝑥+1)/2 if the integer is odd. The algorithm then moves to the next character to encrypt and adds one to the integer used. JackTheRidder is an encryption method created by the authors of this project and further will be analyzed in this essay. The focus of this essay is to analyze how Collatz Conjecture and Caesarcipher functions in encryption methods. JackTheRidder is going to be examined through literature study and experiments. There are three criterias that JackTheRidder is going to be analyzed from; security, robustness and efficiency. The results indicate that JackTheRidder needs to be optimized and be written in machine code for it to be able to get better implemented in society. JackTheRidder is proven to be better than AES in the chi2 test which is an indicator that it might be a viable option for replacement. Overall in the experiments, JackTheRidder held a high level which is a positive outcome but still it is not guaranteed to be secure enough to be implemented into the society at this stage of developement.

Kryptering

kryptoanalys

krypteringsmetod

JackTheRidder

frekvensanalys

IT-forensik

IT-säkerhet

krypteringsalgoritmer

nyckelgenerering

Embedded Systems

Inbäddad systemteknik

Att navigera i informationstekniska spår och bevisvärdering : En undersökning av hur it-forensisk analys och bevisvärdering kan stärka rättssäkerheten

Styrlander, Michelle, Gustafsson, Emil

January 2023

Bevisvärdering sker i flera steg under en utredning och av flera olika aktörer så som utredare, forensiker och åklagare. Inom den forensiska verksamheten är värdering av resultat en central uppgift för att säkerställa rättssäkerhet. Informationstekniska resultat kan vara svåra att förstå och öppna för tolkning, vilket ger ett starkt incitament för att följa ett vetenskapligt förhållningssätt. Syftet med studien var således att undersöka hur den it-forensiska verksamheten möter värdering av informationstekniska resultat idag och vidare hur sådan kan bidra till högre kvalitet av de resultat som verksamheten levererar samt till högre rättssäkerhet. Forskningsområdet har studerats genom en litteraturstudie och semi-strukturerade intervjuer. Samtliga intervjuade respondenter besitter sakkunnighet inom det polisiära eller rättsliga området samt har flera års erfarenhet.  Studien visar att den it-forensiska verksamheten bör analysera och värdera bevisens styrka och tillförlitlighet i större utsträckning för att uppnå kvalitativa och rättssäkra resultat. Implementeringen av standardiserade vetenskapliga metoder för analys, värdering och redovisning kan minska risken för felbarhet orsakad av mänskliga resonemang samt öka spårbarheten genom förbättrad dokumentation. Dessutom skulle det ge mer enhetliga resultat och tydligare arbetsprocess för it-forensiker.

It-forensik

digitala bevis

informationstekniska bevis

bevisvärdering

Other Computer and Information Science

Annan data- och informationsvetenskap

Modell för lösenordsklassning : Utveckling av lösenordsklassificering / Password classification model : Development of password classification

Eriksson, Fredrik

January 2017

I dagens samhälle är datorer ett naturligt inslag i vår vardag. För de flesta anses datorn vara ett verktyg för att hjälpa dem genom arbetet såväl som i vardagen. Dock finns det en mörkare sida där personer använder sig utav datorn för att begå brott. Den så kallade IT-relaterade brottsligheten ökar och ökar och enligt Brå:s rapport från 2016 har en ökning på 949 % skett i Sverige mellan 2006 till 2015 enligt den officiella kriminalstatistiken vad gäller brott som har IT-inslag (Andersson, Hedqvist, Ring & Skarp, 2016). För att få fast förövarna krävs det medel för att kunna bevisa att ett brott har begåtts. Ett sätt att göra detta är att gå in i datorn för att leta efter bevis. Om den misstänkte förövaren känner till att det finns möjlighet för denne att komma att bli granskad vad händer då? Möjligheter finns att förövaren försöker göra det så svårt som möjligt att ta sig in datorn. Detta kan då ske genom att kryptera systemet genom att använda sig av en så kallad krypteringsalgoritm för att låsa hårddisken. Denna kryptering kan vara väldigt svår att dekryptera och det kan vara enklare att försöka få tag i det rätta lösenordet istället. Denna studie har till syfte att utveckla en modell för lösenordsklassificering. Genom denna modell kan strategier som används när användare skapar sina lösenord identifieras och klassificeras. Detta bidrar till en ökad kunskap om strategier användare har när de skapar lösenord. Då fulldiskkryptering börjar bli en vanligare metod för att hindra någon obehörig från att ta sig in i systemet finns förhoppningen om att modellen ska kunna användas och utvecklas till att skapa ett ramverk för att underlätta arbetet för forensikerna hos polisen samt andra rättsvårdande myndigheter. Med denna modell kan olika strategier som olika typer av användare använder sig av när de skapar lösenord vara av sådan karaktär att de kan klassificeras in i en egen kategori. Om en sådan klassificering kan göras skulle det underlätta arbetet för IT-forensikerna och påskynda processen med att knäcka lösenord. Studien utförs genom att använda en kvalitativ metod samt validering utav modellen. Genom kvalitativa intervjuer samlas information in som sedan analyseras och används för att utveckla en modell för lösenordsklassificering. Arbetet med att utveckla en modell för lösenordsklassificering har bestått av en iterativ process där återkoppling gjorts gentemot de olika intervjuobjekten. Ett utkast till en modell med grund i befintlig forskning skapades. Utkastet diskuterades sedan med de olika intervjuobjekten, som deltagit i studien, i en iterativ process där modellen uppdaterades och återkopplades mot de olika intervjuobjekten. Validering av modellen har genomförts genom att fånga in riktiga lösenord som läckts ut på Internet och sedan testa dessa lösenord mot modellen för lösenordsklassificering. / In modern society, computers are a fundamental part of our lives. For most people, the computer is a tool used in work as well as in home activities. Unfortunately, there is a darker side where people use the computer to commit crimes. The so-called IT-related crimes keep rising in numbers and according to the Swedish Brå:s report from 2016 (Andersson, Hedqvist, Ring & Skarp, 2016) the number of crimes related to it has increased with 949% in Sweden between 2006 and 2015 according to official criminal statistics. To arrest the criminals, evidence is needed. One way to collect the evidence is to enter the computer system to collect proof of the suspect. However, if the suspect feels he or she might be a possible target for an investigation, what might happen? It’s possible the suspect tries to make it as difficult as possible to enter the computer system. This can be done by encryption of the system and use a so-called encryption algorithm to lock down the system. This encryption might be very difficult to decrypt and it might be easier so simply trying to find the correct password instead. The purpose of the study is to develop a model for password classification. With this model, it may be possible to identify and to categorize strategies users use to create their passwords. This study could contribute to create a foundation to support the IT-forensics working at the police departments. With this model, different strategies users use when creating passwords could be of a certain type that the strategy could perhaps be ranged and categorized in its own category. If a classification can be made it might ease the workload for several IT-forensics and hurry up the progress decoding the password. The study is conducted by using a qualitative method. By conducting qualitative interviews, information is collected and analyzed. This information will then be used to develop a model for password classification. The work with developing a model for password classification has been an iterative process with collected feedback from the several interview participants. A draft model, based on the existing research was made. The draft of the model was sent out to the interview participants and this draft was discussed and then updated in an iterative process. Feedback of the updated model was collected and applied to the model. The model was then validated by applying real passwords leaked to the Internet and then test these passwords against the model of password classification.

passwords

categorization

classification

strategies

model

computer forensics

lösenord

kategorisering

klassificering

strategier

modell

IT-forensik

Computer Systems

Datorsystem