Hanteringen av integritetsperspektiv inom IT-forensik : En kvalitativ intervjustudie med rättsväsendets aktörer / The management of the privacy perspective in digital forensics : A qualitative interview study with the judiciary's actors

Olsson, Andreas

January 2019

IT-forensik har funnits i många år och vuxit fram inom brottsutredningar då allt blir mer digitaliserat i vårt samhälle. Samtidigt som det blir mer digitalisering ökar mängden data inom IT. Mycket av vårt privata liv lagras i telefoner eller datorer, till exempel bilder eller personuppgifter. På senare år har integriteten blivit viktigare för varje individ och att följa de mänskliga rättigheterna är ett måste i dagsläget. IT-forensik är i grunden ett integritetsintrång hos den misstänkte och det betyder att aktörerna som utför detta måste vara mer försiktiga och ta hänsyn till de involverades integritet. Syftet med arbetet har varit att undersöka hur aktörerna inom rättsväsendet hanterar integritetsperspektiv under IT-forensiska undersökningar, samt att få en bild av hur detta tillämpas i praktiken. De aktörer som blev intervjuade i denna kvalitativa studie var åklagare, domare och försvarare. Resultatet visar att det finns många gråzoner och det sker mycket personliga bedömningar samt tolkningar hos aktörerna. Lagstiftningen skriver i teorin om hur vissa moment ska gå till, men när det tillämpas i praktiken blir detta betydligt mer komplicerat, vilket resulterar i att aktörerna får åtskilda åsikter och hur det ska tillämpas. Aktörerna finner vidare problematik kring vem som ska få tillgång till vad och hur de ska hantera integriteten. / Digital forensics has been around for many years and has emerged in criminal investigations since more is being digitized in our society. At the same time as there is more digitization, the amount of data within IT increases. Much of our private life is stored in phones or computers, such as pictures or personal data. In recent years, the privacy has become more important for each individual and to follow human rights is a must in the present. Digital forensics in its very core is a privacy infringement of the suspect which means that the actors who perform this must be more cautious and consider the privacy of the people involved. The purpose of this work has been to investigate how the actors in the judicial system manage the perspective of privacy during IT forensic investigations and to get a picture of how this is applied in practice. The actors who were interviewed in this qualitative study were prosecutors, judges and defenders. The results show that there are a lot of gray areas and that very personal assessments and interpretations are made by the actors. The law, in theory, explains how certain elements should be done, but when applied in practice, this becomes much more complicated. This results in the actors getting separate opinions of how they should be applied, furthermore who should have access to what and how to handle the privacy.

Digital forensics

privacy

the judiciary

management

legislation

IT-forensik

integritet

rättsväsendet

hantering

lagstiftning

Computer and Information Sciences

Data- och informationsvetenskap

RAM-minnets kontaminering vid tillämpning av forensiska verktyg

Johansson, Christian, Nilsson, Robin

January 2011

Denna rapport behandlar ett specifikt område inom IT-forensik och informationssäkerhet. Då en berörd part behöver agera i ett skarpt läge, kan kunskaperna om volatilt minne vara avgörande. I takt med att IT-brott har ökat dramatiskt, har det också bidragit till en enorm utveckling inom de forensiska ramarna. IT-forensikerns handlingar är av avgörande karaktär då minnet förändras kontinuerligt, därför eftersträvas minimala förändringar på systemet. Ett datorsystem är utrustat med ett fysiskt minne vars syfte är att temporärt lagra information då det är aktivt. Detta minne kan vara en rik informationskälla ur ett forensiskt perspektiv. Volatilt minne är uppbyggt av binärkod som går att analysera med hjälp av verktyg. Idag finns det ett stort utbud av verktyg för allmänheten och myndigheter, därför begränsas rapporten med inriktning mot kommersiella metoder. För att effektivisera det praktiska utförandet, tillämpas virtualisering som underlättar påvisning av konsistent datautvinning. Vid experimenterande av volatilt minne erhölls framgångsrika resultat där det gick att fastställa förändringar i minnesallokeringen. Då ett program exekveras, resulterar det i märkbara förändringar som går att urskilja i det fysiska minnet. När verktyget sedan har utfört sina givna instruktioner, går det att tolka den procentuella skillnaden mellan minnes-dumparna. Detta bidrog till de förutbestämda målen. Det fysiska minnet är ett relativt nytt och outforskat tekniskt område. Valmöjligheten för en minnesutvinning kan innefatta allt från hårdvaru- till mjukvarulösningar där tyngden på denna rapport baseras på mjukvarulösning. Alla IT-forensiker bör få upp ögonen för denna informationstillgång som kan vara nyckeln till framgång under live-respons.

IT-forensik

live-respons

virtualisering

RAM-minne

utvinning.

Engineering and Technology

Teknik och teknologier

Information Systems

Computer Engineering

Datorteknik

Biometric Authentication and Penetration of Smartphones

Aronsson, Erik

January 2018

This study aims to examine the function and vulnerabilities of biometric systemsintegrated in smartphones, as well as techniques for circumventing the securityof these systems. These techniques are then used against a selection of smart-phones in order to gauge the resilience of their biometric security. The function,vulnerabilities, and techniques associated with these systems are compiled usinga literature study of published papers and books on the subject. The performedexperiments apply these techniques in the form of presentation attacks directed atthe fingerprint-, face- and iris recognition systems of the examined smartphones.The result of the experiments showed significant differences between the differentsmartphones, where some exhibited flawless security and others showed significantsecurity flaws. Both fingerprint and face recognition systems were successfullycircumvented, while none of the iris recognition systems were breached. No clearlink could be observed between the cost of the device and success rate of attacks,while only devices using the Android operating system were breached. The resultsundeniably showed that some smartphones are vulnerable to the employed tech-niques. It also showed that some of the tested devices had managed to implementmeasures to counteract the applied presentation attacks. The root cause of thevulnerabilities showcased in the experiment is due to the fact that biometric traitscan be copied and reproduced, highlighting a basic flaw of such systems.

biometric

authentication

penetration

iris

face

fingerprint

smarphone

it-forensik

biometri

autentisering

penetration

iris

smartphone

Computer and Information Sciences

Data- och informationsvetenskap

Deepfakes inom social engineering och brottsutredningar

Björklund, Christoffer

January 2020

”Deepfake” är en förkortning av ”deep learning” och ”fake”. Deepfakes är syntetisk audiovisuell media som använder sig av maskininlärning för att generera falska videoklipp, bilder och/eller ljudklipp. Detta projekt fokuserar på deepfakes inom förfalskat videomaterial, där en persons ansikte i en video är utbytt mot en annan persons ansikte. Fokuset för den här rapporten är att undersöka hur enkelt det är att göra en egen deepfake med grundläggande kunskap. Detta är gjort med ett experiment som avser att mäta kvantitativa och kvalitativa resultat från intervjuer. Intervjuobjekten har tittat på två videor där de försökt identifiera författarens egna förfalskade videoklipp blandade med legitima videoklipp. Experimentet visar på att det är möjligt och relativt enkelt att skapa övertygande högkvalitativa deepfakes gjorda för social engineering. Det är däremot svårare, men fortfarande möjligt, att förfalska audiovisuellt material i bildbevis. Vidare undersöks vad det finns för typer av preventiva forensiska verktyg och metoder som utvecklas till att upptäcka deepfakes inom förfalskat videomaterial. I nuläget finns det många tekniker som föreslagits som metoder för att identifiera deepfakes. Denna rapport granskar även deepfakes gjorda för social engineering. Deepfakes anses bli ett av de större hoten i framtiden där de kan användas till att effektivt sprida propaganda och desinformation. Nyhetsmedia står inför stora utmaningar framöver på grund av misstro från konsumenter av audiovisuellt nyhetsmaterial. Utifrån de kvantitativa och kvalitativa resultaten, föreslår författaren att nyhetsmedia och social media kan informera om vad deepfakes är och hur sådana förfalskade videoklipp typiskt ser ut. / ’Deepfake’ is an abbreviation of ’deep learning’ and ’fake’. Deepfakes are synthetical audiovisual media that uses machine learning to create fake videos, images and/or audio clips. This project is focused on deepfakes within forged videos, where one person’s face is swapped with another person’s face. This technique is usually referred to as ’face swapping’. However, deepfakes goes beyond what usual face swaps can achieve. The focus for this project is to investigate how easy it is to forge your own deepfakes with basic technical knowledge. This is achieved through an experiment that measures result from fourteen interviews. The interviewees watched two different videos, where each person tried to identify the writers’ own deepfaked video clips, that were mixed with legitimate video clips. The experiment shows that it is possible and relatively easy to create convincing deepfakes aimed at social engineering. It is also possible, but harder, to create deepfakes to forge videos within criminal investigations. This report examines the potential forensic techniques and tools that exists and are developed to identify deepfakes. Furthermore, this report also examines deepfakes made for social engineering. Deepfakes are considered being one of the more significant threats in the future and could be used to effectively spread propaganda and misinformation. The results generated from the experiment in this report, lead to a proposition from the writer that news outlets and social media platforms could aim at an informative approach towards deepfakes. This approach means informing their consumers on what deepfakes are, how they typically look and what consumers can do themselves to identify them.

deepfakes

social engineering

brottsutredningar

social manipulering

IT-forensik

digital forensik

Övrig annan teknik

Integritet av IT-forensiska verktyg för automatisk analys / Integrity of IT-forensic tools regarding automated analysis

Canovas Thorsell, Roberto

January 2021

IT-relaterad brottslighet ökar lavinartat och Polismyndigheten står inför nya utmaningar i att identifiera gärningsmän. Allt mer mjukvaror och tjänster blir automatiserade och det gäller även mjukvarorna som Polismyndigheten använder sig av. En av utmaningarna är den oerhörda mängd data som måste processas och analyseras i undersökningar och då förutsätts det att verktygen presenterar data med bibehållen integritet. Verktygen som används är nästan alltid tredjepartsmjukvara och då är det viktigt att rätt data plockas ut och att datan är korrekt. Denna studie har som mål att jämföra två mjukvaror i hur de identifierar och presenterar data. Studien görs i samverkan med Polismyndigheten vid Regionalt IT-brottscentrum Väst – Skövde och hoppas inbringa nya insikter och kunskaper i de verktyg som jämförelsen grundas på och med hjälp av kunskaperna kunna värdesätta integriteten hos verktygen. Resultatet som framträder i studien är att verktygen presenterar data med bibehållen integritet. / Cybercrime is on the rise in society and the Swedish Police is facing new challenges in identifying criminals. More tools and services are becoming automated, and this also applies to the tools that the Swedish Police uses. One of the challenges is the enormous amount of data that must be processed and analyzed during investigations. The tools used are always third-party programs and IT-forensics needs to rely on the organization that makes the software. This study aims to evaluate two different tools in how they identify and present artifacts. The study is conducted in collaboration with the Police Authority at the Regional IT Crime Center West - Skövde and hopes to bring new insights and knowledge into the tools on which the comparison is based on and with the help of the knowledge be able to value the integrity of the tools. The result that the study presents is that the tools are presenting data with preserved integrity.

Digital forensics

automated analysis

Autopsy

Magnet Axiom

IT-forensik

automatisk analys

Autopsy

Magnet Axiom

Information Systems

Anti-forensik mot minnesforensik : En litteraturstudie om anti-forensiska metoder mot minnesdumpning och minnesanalys / Anti-forensics against memory forensics : A litterature study about anti-forensic methods against memory dumping and memory analysis

Tagesson, Samuel

January 2019

IT-forensiker möter många svårigheter i sitt arbete med att inhämta och analysera data. Brottslingar använder mer och mer anti-forensiska metoder för att gömma bevis som kan användas emot dem. En vanligt förekommande anti-forensisk metod är kryptering. För att IT-forensiker skall kunna komma åt den krypterade informationen kan krypteringsnyckeln hittas i minnet på datorn. Vilket gör att datorns minne blir värdefullt att hämta och analysera. Däremot finns det flera anti-forensiska metoder som en förbrytare kan använda för att förhindra att minnet hämtas eller analyseras. Denna studie utför en systematisk litteraturstudie för att identifiera de aktuella anti-forensiska metoder mot minnesanalys och minnesdumpning på Windows system. Flera metoder tas upp där bland annat operativsystemet modifieras eller inbyggda säkerhetsfunktioner på CPUn används för att förhindra att information hämtas eller analyseras från minnet. / IT forensics face many difficulties in their work of obtaining and analyzing data. Criminals are using more and more anti-forensic methods to hide evidence that can be used against them. One common anti-forensic method is encryption. In order for IT forensics to access the encrypted information, the encryption key can be found in the memory of the computer. This makes the computer's memory valuable to retrieved and analyze. However, there are several anti-forensic methods that a criminal can use to prevent the memory from being retrieved or analyzed. This study performs a systematic literature study to identify the current anti-forensic methods against memory analysis and memory dumping on Windows system. Several methods are addressed where, among other things, the operating system is modified or built-in security functions on the CPU are used to prevent information being retrieved or analyzed from memory.

IT-forensic

Anti-forensic

Memory analysis

Memory dumping

Memory forensics

IT-forensik

Anti-forensik

Minnesanalys

Minnesdumpning

Minnesforensik

Computer and Information Sciences

Data- och informationsvetenskap

Biometriska säkerhetslösningars inverkan på IT-forensik inom polisen : En kvalitativ intervjustudie / Biometric security solution´s  effects on IT-forensics within the swedish police authority : A qualitative interview study

Lars, Bartha

January 2018

Lösenord har länge varit den metod som föredragits av användare för att skydda användarkonton och känslig information. I strävan till att finna enklare, snabbare och säkrare autentiseringsmetoder har biometriska säkerhetslösningar snabbt vuxit i popularitet. Mobiltelefoner har traditionellt skyddats med hjälp av lösenord men har på senare tid även börjat inkludera någon form av biometrisk sensor för autentisering.   Genom att utföra en kvalitativ intervjustudie med IT-forensiker som arbetar på Polismyndigheten inom olika distrikt i Västra Götalands län undersökte denna studie forskningsfrågan: hur har biometriska säkerhetslösningar i jämförelse med lösenord påverkat IT-forensikerns arbete på Polismyndigheten? Studien visar att biometrisk utrustning inte ger extra säkerhet i jämförelse med lösenord, eftersom en bakomliggande säkerhetskod alltid finns till hands ifall den biometriska sensorn slutar fungera. Därmed dras biometriska enheter med samma sorts svagheter som alltid funnits med lösenord. Nyckelord: biometri, lösenord, säkerhet, etik, juridik, IT-forensik. / Passwords have long been the users’ preferred method of choice to protect user accounts and sensitive data. In a strive to find simpler, quicker and more secure forms of authentication methods, biometric security solutions have seen an increased in popularity. Most mobile phones now include a type of biometrical sensors as an option for authentication. By conducting a qualitative interview study with IT-forensics employed by the police force in different districts in Västra Götaland county, this study aims to investigate the research question: How have biometric security solutions in comparison to passwords influenced the working methods of IT-forensics at the Swedish Police Authority? The study shows that biometric security solutions give no added benefit to security in comparison to passwords, because there is always an underlying security code that is ready to be used in case the biometric authentication fails to work. Therefore, biometric devices suffer from the same kinds of weaknesses that have always plagued passwords. Keywords: biometrics, passwords, security, ethics, law, IT-forensics.

biometrics

passwords

security

ethics

law

IT-forensics

biometri

lösenord

säkerhet

etik

juridik

IT-forensik

Computer Systems

Datorsystem

Computer Sciences

Datavetenskap (datalogi)

Riktlinjers roll i IT-forensiska utredningar

Wiman, Jonathan, Lundström, Jonathan

January 2018

A wide range of professions is enjoying the privilege of standardized work, where a document states what operations are the best way to go about any given task. In the work of a digital forensic examiner, standards and guidelines are harder to define given the full range of tasks and continuously developing digital aspect. This study has the goal of mapping out existing digital forensic standards and examining whether or not any digital standards and guidelines are being used in the field of law enforcement. This study is also setting out to explain why, or why not these standards and guidelines are being used. This task is being performed using a literary study, using existing digital forensic standards, and also a set of interviews targeting digital forensics working in law enforcement. The study shows how digital forensic standards are not actively being used, and when guidelines are being used, they are used somewhat vaguely and not firmly enforced. The work of a digital forensic proves to use a more “best practice” approach where experience and competence are key. Standards and guidelines are being used so rarely because, with the extremely different cases, the constant development of technology, and the use of “unrestrained evaluation of evidence”; it simply cannot exist without limiting the digital forensic process.

it-forensik

digitalforensik

it-rätt

standard

riktlinjer

rättsväsende

intervjustudie

intervju

kartläggning

ISO

ASTM

SWGDE

utredningar

IT-brott

Computer and Information Sciences

Data- och informationsvetenskap

Kartläggning av internetbaserad tunn klient

Ek, Ida, Hornebrant, Erik

January 2014

Då datorer i alla dess former har kommit att bära betydande mängder relevant information för diverse forensiska utredningar så krävs en ingående kunskap gällande hur denna data lämpligast infångas. En typ av klient som nyligen har gjort sitt kommersiella intåg på marknaden är den internetbaserade tunna klienten. Det existerar i dagsläget begränsat med underlag gällande huruvida en sådan klient bär information som är relevant för en IT-forensisk utredning. Inom denna uppsats har därför en internetbaserad tunn klient av typen Chromebook varit mål för undersökning. Syftet har varit att kartlägga vilka sårbarheter som existerar, samt om möjligt huruvida dessa kan brukas som underlag vid en forensisk utredning. För detta ändamål har klientens lagrings- samt kommunikationsmönster analyserats. För genomförandet av detta brukades experimentella metodiker i form av penetrationstest samt IT-forensisk undersökning. Det har även kartlagts huruvida programvaror avsedda för operativsystemet Linux kan exekveras på klienten. Ändamålet med detta var att fastställa om klientens volatila minne kan utvinnas med hjälp av verktyg för just Linux. Rapportens resultat påvisar att det inom en klient av denna typ finns forensiskt värdefull information att inhämta. Det påvisas även att Chrome OS från en användares perspektiv kan anses som säkert. / Computers in various forms have come to carry a significant amount of relevant information for various forensic investigations. Therefore, detailed knowledge is required regarding how this data is best acquired. One type of client that has recently made its entry onto the commercial market is the Web Thin Client. As it is today, only a limited amount of relevant information can be found regarding in what capacity such a client contains data that is relevant to an IT-forensic investigation. For this reason, a Web thin client of the model Google Chromebook has been evaluated in this paper. The purpose of this examination has been to identify the vulnerabilities that currently exist, and if possible whether these can be used as a basis for a forensic investigation. To achieve this, the client's storage and communication patterns have been analyzed by implementation of experimental methodologies. The methods used for the purpose are penetration testing and an IT forensic investigation. Tests have also been performed to evaluate whether software for the Linux operating system can be executed on the client. The purpose of this was to determine whether the client's volatile memory can be extracted using tools created for Linux. The results presented in this paper demonstrate the fact that within a client of this type, valuable forensic information can be located. It is also established that Chrome OS from a user's perspective can be considered as safe.

Computer forensics

Chrome OS

Chromebook

Web thin client

Vulnerability Assessment

Linux

IT-forensik

Chrome OS

Chromebook

Internetbaserad tunn klient

Sårbarhetsanalys

Linux

Computer Systems

Datorsystem

Computer Engineering

Datorteknik

Problem kring mobilforensik : En sammanställning om hur mobiltelefoner och forensiska verktyg hanterar kryptering, utvinning och molnlagring

Lisander, Joakim, Lyxell, Niklas

January 2015

Mobiltelefoner innehåller idag en stor mängd information som är av stort forensiskt intresse. Att skydda informationen i sin telefon är en självklarhet för många och utvecklarna av de mobila operativsystemen lägger nu större vikt på säkerhet och skydd av information. Kryptering är idag standard i de flesta mobiltelefoner och det leder till problem vid utvinning. Arbetet tar upp och jämför hur kryptering hanteras av iOS, Android och Windows Phone och vilka tillvägagångssätt som finns vid utvinning av data genom att kringgå skärmlåsen som krävs för att krypteringen ska fungera. Arbetet ger även en inblick på molnlagring i och med att det blir allt vanligare och kan komma att bli mer relevant för forensiker eftersom telefonerna blir allt svårare att utvinna data ifrån. Dessutom ges en liten inblick på forensiska verktyg som finns idag, vilka brister de har och vad som är oklart hos dem.  Frågeställningarna har besvarats genom att en grundläggande litteraturstudie genomförts för att få den bakgrundsfakta som krävs. Därefter gjordes det experiment för att visa på brister i de forensiska verktygen. Avslutningsvis svarade två it-forensiker från polisen på intervjufrågor via mail, det gjordes för att lyfta fram problematiken och visa på hur situationen ser ut i arbetslivet idag.  Arbetets resultat visar på att alla operativsystem ger, beroende på hur användaren har anpassat telefonen, möjlighet till fullt skydd mot utvinning. Och därmed klarar de forensiska verktygen som finns idag inte av att utvinna någon relevant information ifrån de senaste mobiltelefonerna. Som forensiker borde man utnyttja att molnlagring börjat användas mer och mer, då det där kan finns mycket bra information. Slutsatser som kan dras efter arbetet är att det behövs nya metoder för att utvinna data ifrån mobiltelefoner då de metoder som tidigare använts inte är kompatibla med de senaste telefonerna på grund utav de krypteringsfunktioner som används. Det finns metoder som kan fungera, men dessa metoder fungerar bara med rätt förutsättningar, vilket gör att det inte är en lösning som man alltid kan applicera. Forensiker borde även utforska möjligheten att få fram information ifrån molnlagringstjänster ifall data på telefonen är oåtkomlig för alla utom ägaren. Arbetet syftar inte till att ta fram nya metoder för utvinning eller arbetssätt inom det stora området forensik, utan kartlägger problemområdet inom mobilforensik och ger förslag på och diskuterar möjliga lösningar.

Forensik

IT-forensik

Mobil

Mobiltelefon

Mobil-forensik

Utvinning

data

utredning

Iphone

IOS

Android

Windows Phone

kryptering

skärmlås

säkerhet

informationssäkerhet

Other Computer and Information Science

Annan data- och informationsvetenskap