Deepfakes inom social engineering och brottsutredningar

Björklund, Christoffer

January 2020

”Deepfake” är en förkortning av ”deep learning” och ”fake”. Deepfakes är syntetisk audiovisuell media som använder sig av maskininlärning för att generera falska videoklipp, bilder och/eller ljudklipp. Detta projekt fokuserar på deepfakes inom förfalskat videomaterial, där en persons ansikte i en video är utbytt mot en annan persons ansikte. Fokuset för den här rapporten är att undersöka hur enkelt det är att göra en egen deepfake med grundläggande kunskap. Detta är gjort med ett experiment som avser att mäta kvantitativa och kvalitativa resultat från intervjuer. Intervjuobjekten har tittat på två videor där de försökt identifiera författarens egna förfalskade videoklipp blandade med legitima videoklipp. Experimentet visar på att det är möjligt och relativt enkelt att skapa övertygande högkvalitativa deepfakes gjorda för social engineering. Det är däremot svårare, men fortfarande möjligt, att förfalska audiovisuellt material i bildbevis. Vidare undersöks vad det finns för typer av preventiva forensiska verktyg och metoder som utvecklas till att upptäcka deepfakes inom förfalskat videomaterial. I nuläget finns det många tekniker som föreslagits som metoder för att identifiera deepfakes. Denna rapport granskar även deepfakes gjorda för social engineering. Deepfakes anses bli ett av de större hoten i framtiden där de kan användas till att effektivt sprida propaganda och desinformation. Nyhetsmedia står inför stora utmaningar framöver på grund av misstro från konsumenter av audiovisuellt nyhetsmaterial. Utifrån de kvantitativa och kvalitativa resultaten, föreslår författaren att nyhetsmedia och social media kan informera om vad deepfakes är och hur sådana förfalskade videoklipp typiskt ser ut. / ’Deepfake’ is an abbreviation of ’deep learning’ and ’fake’. Deepfakes are synthetical audiovisual media that uses machine learning to create fake videos, images and/or audio clips. This project is focused on deepfakes within forged videos, where one person’s face is swapped with another person’s face. This technique is usually referred to as ’face swapping’. However, deepfakes goes beyond what usual face swaps can achieve. The focus for this project is to investigate how easy it is to forge your own deepfakes with basic technical knowledge. This is achieved through an experiment that measures result from fourteen interviews. The interviewees watched two different videos, where each person tried to identify the writers’ own deepfaked video clips, that were mixed with legitimate video clips. The experiment shows that it is possible and relatively easy to create convincing deepfakes aimed at social engineering. It is also possible, but harder, to create deepfakes to forge videos within criminal investigations. This report examines the potential forensic techniques and tools that exists and are developed to identify deepfakes. Furthermore, this report also examines deepfakes made for social engineering. Deepfakes are considered being one of the more significant threats in the future and could be used to effectively spread propaganda and misinformation. The results generated from the experiment in this report, lead to a proposition from the writer that news outlets and social media platforms could aim at an informative approach towards deepfakes. This approach means informing their consumers on what deepfakes are, how they typically look and what consumers can do themselves to identify them.

deepfakes

social engineering

brottsutredningar

social manipulering

IT-forensik

digital forensik

Övrig annan teknik

Anti-forensik mot minnesforensik : En litteraturstudie om anti-forensiska metoder mot minnesdumpning och minnesanalys / Anti-forensics against memory forensics : A litterature study about anti-forensic methods against memory dumping and memory analysis

Tagesson, Samuel

January 2019

IT-forensiker möter många svårigheter i sitt arbete med att inhämta och analysera data. Brottslingar använder mer och mer anti-forensiska metoder för att gömma bevis som kan användas emot dem. En vanligt förekommande anti-forensisk metod är kryptering. För att IT-forensiker skall kunna komma åt den krypterade informationen kan krypteringsnyckeln hittas i minnet på datorn. Vilket gör att datorns minne blir värdefullt att hämta och analysera. Däremot finns det flera anti-forensiska metoder som en förbrytare kan använda för att förhindra att minnet hämtas eller analyseras. Denna studie utför en systematisk litteraturstudie för att identifiera de aktuella anti-forensiska metoder mot minnesanalys och minnesdumpning på Windows system. Flera metoder tas upp där bland annat operativsystemet modifieras eller inbyggda säkerhetsfunktioner på CPUn används för att förhindra att information hämtas eller analyseras från minnet. / IT forensics face many difficulties in their work of obtaining and analyzing data. Criminals are using more and more anti-forensic methods to hide evidence that can be used against them. One common anti-forensic method is encryption. In order for IT forensics to access the encrypted information, the encryption key can be found in the memory of the computer. This makes the computer's memory valuable to retrieved and analyze. However, there are several anti-forensic methods that a criminal can use to prevent the memory from being retrieved or analyzed. This study performs a systematic literature study to identify the current anti-forensic methods against memory analysis and memory dumping on Windows system. Several methods are addressed where, among other things, the operating system is modified or built-in security functions on the CPU are used to prevent information being retrieved or analyzed from memory.

IT-forensic

Anti-forensic

Memory analysis

Memory dumping

Memory forensics

IT-forensik

Anti-forensik

Minnesanalys

Minnesdumpning

Minnesforensik

Computer and Information Sciences

Data- och informationsvetenskap

Identifying and analysing forensic artefacts of specific attacks on a Programmable Logic Controller / Identifiera och analysera kriminaltekniska artefakter för specifika attacker på en Programmerbar Logisk Styrenhet

Forsberg, Rebecka

January 2022

In Industrial Computer Systems, Programmable Logic Controllers (PLCs) are essential components since they control physical processes. Altering these could have enormous consequences as they can control processes in nuclear plants, gas pipelines and water supplies. Over the years, PLCs have become more and more connected since it facilitates their configuration and programming remotely. More connected does also means that they could be more vulnerable to attacks. Therefore, it would be desirable to be able to do a forensic investigation and interpret the artefacts if an incident happens, especially since PLCs control such vital functions. There exists little research about this area, but it does not discuss how to evaluate or interpret possible artefacts forensic investigation could reveal. This thesis aims to answer what artefacts are left in the system after two specific attacks. The result showed that some artefacts is left. One of the attacks does not leave so much specific artefacts that one could conclude how the attack happened, but for the other one, it was possible to conclude how they got remote access to the system. However, these artefacts were possible to cover up by deleting the IP address that was added in order to get remote access to the system. In other words, the only persistent artefacts left in the system after the attacks and cover-ups was metadata about created, modified, and removed files. Future work would be to expand and include more attacks to get a better overview of the overall forensic abilities of the PLC. / I industriella datorsystem är PLC (Programmable Logic Controllers) viktiga komponenter eftersom de styr fysiska processer. Att ändra dessa kan få enorma konsekvenser eftersom de kan styra processer i kärnkraftverk, gasledningar och vattenförsörjning. Under årens lopp har PLC:er blivit mer och mer uppkopplade eftersom det underlättar deras konfiguration och programmering på distans. Mer uppkopplade betyder också att de kan vara mer sårbara för attacker. Därför vore det önskvärt att kunna göra en kriminalteknisk undersökning och tolka bevisningen om en incident inträffar, särskilt eftersom PLC:er kontrollerar sådana vitala funktioner. Det finns lite forskning om detta område, men den diskuterar inte hur man ska utvärdera eller tolka eventuella bevis som den kriminalteknisk undersökningen kan avslöja. Denna avhandling syftar till att svara på vilka artefakter som finns kvar i systemet efter två specifika attacker. Resultatet visade att en del bevis finns kvar. En av attackerna lämnar inte så mycket specifika bevis att man kunde dra slutsatsen hur attacken gick till, men för den andra gick det att dra slutsatsen hur de fick fjärråtkomst till systemet. Dessa artefakter var dock möjliga att dölja genom att radera IP-adressen som lades till för att få fjärråtkomst till systemet. Med andra ord, det enda ihållande bevisningen som fanns kvar i systemet efter attackerna och mörkläggningarna var metadata om skapade, modifierade och borttagna filer. Framtida arbete skulle vara att expandera och inkludera fler attacker för att få en bättre överblick över PLC:s övergripande forensiska förmågor.

Industrial Cyber Security forensics

Programmable Logic Controller

Forensic analysis

Artefacts

Forensic readiness

Industriell cybersäkerhet forensik

Programmerbar logikkontroller

Forensik analys

Artefakter

Forensisk mogenhet

Computer Sciences

Datavetenskap (datalogi)

Inhämtning & analys av Big Data med fokus på sociala medier

Åhlander, Niclas, Aldaamsah, Saed

January 2015

I en värld som till allt större del använder sig av sociala medier skapas och synliggörs information om användarna som tidigare inte varit enkel att i stor mängd analysera. I det här arbetet visas processen för att skapa ett automatiserat insamlingssätt av specifik data från sociala medier. Insamlad data analyseras därefter med noggrant utformade algoritmer och slutligen demonstreras processens nytta i sin helhet. Datainhämtningen från sociala medier automatiserades med hjälp av en mängd kombinerade metoder. Därefter kunde analysen av det inhämtade datat utföras med hjälp av specifika algoritmer som redovisades i det här arbetet. Tillsammans resulterade metoderna i att vissa mönster framkom i datan, vilket avslöjade en mängd olika typer av information kring analysens utvalda individer.

IT-forensik

IT

Sociala nätverk

Big data

Grafalgoritmer

Data-analys

Datainsamling

Databaser

Facebook

Utvinning av data ur mobiltelefoner : En valideringsstudie av forensiska verktyg

Andersson, Roland

January 2016

Den vetenskapliga aspekten i de flesta forensiska discipliner är välgrundad och prövad under ett långt tidsperspektiv. Det ökande användandet av digital teknik har gjort att en ny forensisk disciplin har vuxit fram och den vetenskapliga grunden i detta nya forensiska område är i många avseenden fortfarande outforskat. Inom det svenskarättsväsendet krävs att de forensiska metoder som används inom en brottsutredning ska vara kvalitetssäkrade och i största mån vara ackrediterade av ettackrediteringsorgan. Det finns idag få relevanta studier kring validering av forensiska metoder som hanterar småskaliga enheter som smarta mobiler. I denna rapport analyseras de metoder som används för att utvinna data från mobiltelefon och hur dessa metoder kan anses vara forensiskt korrekta. Rapporten presenterar ett nytt ramverk för att validera de metoder som används av ett forensisk verktyg. Ramverket är kvalitetssäkrat genom att utgå ifrån tidigare vetenskaplig studier och är praktiskt testad i laboratoriemiljö. Ramverket ska kunna användas direkt inom en forensisk verksamhet som kräver validering. / The scientific aspect in most forensic disciplines is well founded and examined under a long-term perspective. The increasing use of digital technology has enabled a new forensic discipline and the scientific basis of the digital forensic field is in many respects still unexplored. The Swedish legal system requires that the forensic methods used in a criminal investigation should be quality assured and in the largest extent be accredited by an accreditation body. There are few relevant studies on the validation of forensic methods that handle small scale devices such as smartphones. This report analyzes the methods used to extract data from a mobile phone and how these methods can be considered forensically sound. The report presents a new framework for validating the methods used by a forensic tool. The framework is quality assured by referring to previous scientific studies and practically tested in a laboratory environment. The framework can be used directly in a forensic organization that requires validation.

forensik

forensiska verktyg

forensisk process

testramverk

validering

Nationellt Forensiskt Centrum

NFC

Swedac

SQLite Carving och Analys : En jämförelse av metoder / SQLite Carving and analysis : A comparrison of methods

Johansson, Marcus

January 2016

SQLite filer används av ett flertal olika program för att spara viktig information.Information som kan vara viktig för forensiska utredningar, behovet att kunnaåterskapa SQLite filer är då ett växande bekymmer. Problemet med att återskapa SQLitefiler är att, till skillnad från andra filer så har SQLite filer inget definerat slut eller någonmarkör som visar var filen slutar. Detta arbete presenterar en ny metod att bestämmaslutet på SQLite filer och jämför denna metod mot den metod som används idag tillmesta del för att återskapa SQLite filer. För att jämföra dessa metoder utvecklades tvåprogram stpextr och blkextr. Blkextr är den metod som utvecklades under detta arbete.Stpextr visade sig vara snabbare och använda mindre arbetsminne än blkextr. Men ivissa sammanhang så kommer information gå förlorad när stpextr körs till skillnad från blkextr.

SQLite

Carving

Forensics

Python

Filerecovery

Database

SQLite

Carving

Forensik

Python

Återskapande av filer

Databas

A Digital Tool to Improve the Efficiency of IT Forensic Investigations / Translation not available

Hansen, Tone

January 2019

The IT forensic process causing bottlenecks in investigations is an identified issue, with multiple underlying causes – one of the main causes being the lack of expertise among those responsible for ordering IT forensic investigations. The focus of the study is to create and evaluate a potential solution for this problem, aiming to answer research questions related to a suitable architecture, structure and design of a digital tool that would assist individuals in creating IT forensic orders. This work evaluates concepts of such a digital tool. This is done using a grounded theory approach, where a series of test sessions together with the answers from a survey have been examined and analyzed in an iterative process. A low-fidelity prototype is used in the process. The resulting conclusion of the study is a set of concepts, ideas and principles for a digital tool that would aid in the IT forensic ordering process, as well improving the efficiency of the IT forensic process itself. Future work could involve developing the concept further to eventually become a finished product, or using it for improving already existing systems and tools, improving the efficiency and quality of the IT forensic process.

IT forensics

digital forensics

IT-forensik

digitala hjälpmedel

rättsväsende

beställarkompetens

Information Systems

IT-säkerhetspolicy : - en studie kring anställdas kunskap om två verksamheters IT-säkerhetspolicys

Bertilsson, Linus, Granvik, Jim

January 2014

IT-användandet bland Sveriges företag är mycket stort och utvecklingen går snabbt framåt. Samtidigt som teknologin skapar möjligheter så skapar den även hot mot företagen själva. Dessa hotbilder glöms ofta bort och konsekvenserna kan bli att känslig information hamnar i fel händer. Undersökningen handlar om anställdas kunskap om den egna verskamhetens IT-säkerhetspolicy. I undersökningen granskas och jämförs även IT-säkerhetspolicys från ett mindre företag och en större kommunal organisation. Som metod har enkäter och intervjuer använts. Resultatet visar att kunskapen hos de anställda kring den egna IT-säkerhetspolicyn är varierande och att de båda policyerna ser mycket olika ut. En IT-säkerhetspolicy bör inte anses som en problemlösare i sig, utan användandet kan även ge nackdelar. Den kan ge stöd och tydlighet i arbetet och kan underlätta i beslutsfattande situationer och öka säkerheten i företaget. Det räcker dock inte med att ha en detaljrik och heltäckande IT-säkerhetspolicy, om de anställda inte känner till att den finns eller inte vet vad den innehåller. En IT-säkerhetspolicy bör vara ett levande dokument som tas upp för gemensam diskussion och revideras med jämna mellanrum. Nyckelord: IT-strategi, IT-säkerhetspolicy, organisation, enkät, intervju.

IT

IT-security

computersecurity

IT-policy

IT-securitypolicy

IT

forensik

it-säkerhet

it-policy

it-säkerhetspolicy

Kontamination av RAM-minne vid användning av IT-forensisk mjukvara

Franzén, Joel, Norryd, Johan

January 2018

This report addresses a very specific area of computer forensics and information security. A computer forensic scientict are needed to act in critical situations, therefore the person needs broad knowledge of the physical memory, also known as volatile memory withincomputer forensics. As cybercrimes are rapidly increasing more for each year, it has also contributed to a huge development in the computer forensic department. Since the volatile memory of a computer plays a significant role in an investigation, a computer forensics actions can be crucial in the collection of evidence. Volatile memory is something that exists in all computer systems and the purpose is to store information temporarily, in other words, it only exists when the system is active. Volatile memory is an information source that is rich in information from a computer forensic perspective. Volatile memories are built up of binary code, which requires that these are analyzed using various tools. This availability of these tools today is very large. There are several different methods for analyzing the volatile memory in a computer, not just for the government, but also for the public. As the range of these methods and tools are big, we have chosen to focus on computer forensic tools that pay an important part of the work of a computer forensic. The execution of the practical part, we have chosen to apply in a virtualization environment, to carry out the experiments in a controlled manner. The experiments were a big success in showing that changes to the memory allocation have occurred in the event of contamination. When the dump-files were performed by the tools, a percentage difference could be determined and further analysis of these showed that contamination occurred. / Denna rapport behandlar ett väldigt specifikt område inom IT-forensik och informationssäkerhet. Då berörda parter, det vill säga IT-forensiker, emellanåt behöver agera i kritiska lägen krävs det att personen har breda kunskaper om det volatila minnet, mer känt som volatila minnen inom IT-forensik. Då IT-brott ökar allt mer för varje år behöver också utvecklingen inom IT-forensik ständig utveckling. Eftersom det volatila minnet ien dator har en betydande roll i samband med en utredning kan en IT-forensikers handlingar vara avgörande i bevisinsamlingen. Volatila minnen är något som finns i alla datorsystem och dess syfte är att lagra information temporärt, då minnet endast existerar när systemet är igång. Det volatila minnet är en informationskälla som är rik på viktig information ur ett IT-forensiskt perspektiv. Volatila minnen är uppbyggda av binärkod, vilket kräver att dessa analyseras med hjälp av olika verktyg. Utbudet av dessa verktyg är idag väldigt stora, det finns flertalet olika metoder för att gå tillväga för att analysera det volatila minnet i en dator, inte bara för myndigheter, utan även för allmänheten. Eftersom utbudet av dessa metoder och verktyg är stora, har vi valt att inrikta oss på IT-forensiska verktyg som är en viktig del i arbetet som IT-forensiker. Utförandet av den praktiska delen har vi valt att applicera i virtualiseringsmiljö, för att på ett kontrollerat sätt utföra experimenten. Vid experimenten erhöllsdet framgångsrika resultat där påvisning av att förändringar i minnesallokeringar skett, det vill säga kontamination. När RAM-dumparna väl hade utförts av verktygen fastställdes en procentuell skillnad och vidare analysering av dessa påvisade att kontamination förekommit.

IT-forensik

utvinning

live-respons

RAM-minne

kontamination

virtualisering

Computer Systems

Datorsystem

Djupgående analys av testhanteringsverktyg

Maxson, Jakob

January 2014

Denna rapport analyserar testhanteringsverktyg åt Statens Kriminaltekniska Laboratorium. Ett testhanteringsverktyg är ett samlingsnamn på ett verktyg som testar och dokumenterar resultatet på diverse mjukvarutester. I rapporten analyseras tre gratisverktyg, deras funktioner och hur man går tillväga för att använda dem. De tre verktyg som används och betygsätts är Testia Tarantula, TestLink och Testopia. TestLink är det verktyg som får flest poäng, men det är inte det verktyg som slutligen rekommenderas. Denna rapport är användbar för större företag som behöver ett testhanteringsverktyg med krav på hög kvalitet på genomförande och dokumentation.

IT-forensik

testhantering

testhanteringssystem

analys

testlink

testia tarantula

testopia

Computer Systems

Datorsystem

Computer Engineering

Datorteknik