Motåtgärder vid IT-forensisk liveanalys

Afrim, Cerimi, Norén, Joakim

January 2011

Liveanalys är ett begrepp som i detta arbete innebär att man undersöker ett datorsystem under tiden det är igång. Detta kan göras av flera skäl, t.ex. när det är risk för att kryptering finns på systemet vilket kan aktiveras när det stängs ner. Annars är det vanligt om man vill undersöka nätverkskopplingar, aktiva processer eller andra företeelser som kan vara volatila, dvs. försvinner när systemet stängs ner. Detta arbete kommer att ha fokus på motåtgärder vid forensisk liveanalys och redogöra för olika metoder och strategier som kan användas för dessa motåtgärder. Vi har bland annat skrivit ett program som automatiskt stänger ner systemet när man sätter i ett USB-minne eller annan media. Dessa media är oftast de man har sina forensiska program på när man ska göra en liveanalys. Andra viktiga element i arbetet är användning av kryptering, tidstämplar och sabotagekod för att försvåra liveanalysen. Vår analys i ämnet visar att det är relativt enkelt att förhindra att en liveanalys kan utföras på ett tillförlitligt sätt. / Live Analysis is a concept that in this paper means analyzing a computer system while it is running. This can be done for several reasons, such as when there is a risk that the system has encryption which can be activated when the system shuts down. Otherwise, it is common if you want to examine network connections, active processes or other phenomena that can be volatile, i.e. disappear when the system shuts down. This work will focus on countermeasures to live forensic analysis and describe different methods and strategies that can be used for these countermeasures. For example, we wrote a program that automatically shuts down the system when you insert a USB memory stick or any other media. These are usually the media which you have your forensic programs on when you do a live analysis. Other important elements of the work are the use of encryption, timestamps and malicious code for challenging live analysis. Our analysis of the topic shows that it is relatively easy to prevent that a live analysis can be performed in a reliable way.

forensik

antiforensik

liveanalys

live-response

rootkits

Computer Sciences

Datavetenskap (datalogi)

Computer and Information Sciences

Data- och informationsvetenskap

Incidenthantering i molnmiljö

Nilsson, Niklas, Lindell, John, Möller, Linus

January 2012

Incident response plans are faced with new challenges as organisations expands to the cloud, this thesis aims to highlight these challenges and their potential solutions. Our work has focused on managing the incident response in contrast to earlier work that has been focusing on preventing them.As with any development, security is seldom prioritized. Instead the focus are often aimed towards usability and functionality, which means incident response plans are written, implemented, forgotten and finally becomes obsolete. This could result in an organization losing their ability to produce acceptable forensic images, avoid severe downtime, or prevent similar incidents in the future, which are all important parts of incident response.Traditional incident response plans does not address incidents in the cloud. Thus, an absence of guidelines for managing incidents in the cloud becomes apparent. By compiling literature and performing practical experiments, this thesis exposes weaknesses in traditional incident response plans and demonstrates a need for cloud-specific incident response plans.Based on the conducted experiments, we can conclude that with our cloud-specific incident response plan as a basis, a forensic recovery from a cloud instance can be done in such a way that privacy and confidentiality is maintained. The experiments have also provided a forensically sound method for connecting tools to a cloud instance, we call this approach "Virtual Incident Response Disk" (VIRD). / Incidenthanteringsplaner ställs inför nya utmaningar vid en expandering till molnmiljö, detta arbete ämnar att belysa de problem som uppstår vid hantering av incidenter i molnmiljö samt potentiella lösningar. Incidenthantering i denna nya miljö har inte behandlats i någon större utsträckning i tidigare arbeten då forskningens fokus har legat på att förhindra incidenter istället för att hantera dessa.Som med all utveckling är det lätt att säkerhetsarbetet hamnar på efterkälken till förmån för användarvänlighet och funktion. Detta visar sig ofta inom incidenthantering där planer för incidenthantering skrivs och implementeras för att sedan glömmas bort och sedermera bli förlegade. Detta kan medföra att en organisation förlorar förmågan att producera forensiskt godtagbara avbilder vilket är en viktig del av incidenthantering.Då incidenthanteringsplaner ämnade för traditionell servermiljö inte behandlar hanteringen av incidenter i molnmiljö fungerar det inte att applicera dessa på ny teknik såsom molnmiljö. Genom att sammanställa litteratur och utföra praktiska experiment har vi i detta arbete exponerat svagheter i traditionell incidenthantering och påvisat behovet av en molnspecifik incidenthanteringsplan.Utifrån våra utförda experiment kan vi konstatera att med vår molnspecifika incidenthanteringsplan som grund kan en forensisk utvinning från en molninstans ske på så sätt att bevisets integritet och konfidentialitet bibehålls. Baserat på erfarenheter utifrån våra experiment har även en forensiskt godtagbar metod för att ansluta verktyg till en molninstans arbetats fram, vi kallar detta tillvägagångssätt “Virtual Incident Response Disk” (VIRD).

Cloud

Cloud forensic

forensic

IaaS

Incident response

VIRD

Moln

Forensik

IaaS

Incidenthantering

VIRD

Computer Engineering

Datorteknik

Carving och innehållssökning av komplexa dokument : En jämförelse av verktyg

Wendt, Michael, Kadar Rosengren, Robin

January 2016

File carving är konsten att återskapa raderade filer utan hjälp av filsystemsinformation. Speciellt viktigt skulle detta kunna vara vid utredning av ekonomisk brottslighet som utgör en vital del inom bekämpning av prioriterade områden som organiserad brottslighet och terrorism. I detta arbete presenteras ett nytt verktyg för att utföra file carving som även jämförs mot andra verktyg på marknaden med tyngdpunkt på processtid och minnesanvändning. Dessutom riktas fokus på egenskapen att snabbt kunna söka efter nyckelord i de framtagna filerna. Detta är något som kan vara mycket användbart när det finns behov av att snabbt hitta relevant information i en brottsutredning. Då filformaten .docx samt .pdf hör till de vanligaste typerna av textfiler har testerna valts att göras på dessa. I arbetet har det även undersökts hur polisen arbetar med file carving och sökning i textdokument idag. EnCase är det absolut mest använda programmet hos polisen, men testerna visade att det är både långsamt och resurskrävande. Verktyget Autopsy visade sig vara ett snabbare alternativ, men det nykomna verktyget Alice var mindre, snabbare och resurssnålare än båda alternativ. EnCase kunde inte heller visa resultaten av en textsökning på ett lika överskådligt sätt som Autopsy och Alice.

forensik

encase

programmering

Computer Systems

Datorsystem

Other Computer and Information Science

Annan data- och informationsvetenskap

Den IT-forensiska utvinningen i molnet : En kartläggning över den IT-forensiska utvinningen i samband med molntjänster samt vilka möjligheter och svårigheter den möter

Blid, Emma, Massler, Patrick

January 2017

Det blir allt vanligare att spara data online, i stället för på fysiska lagringsmedium. Detta bringar många möjligheter för dig som användare, men orsakar också nya problem framför allt inom utredningsarbetet. Problemen i kombinationen IT-forensik och molntjänster kan framför allt delas upp i två kategorier, vilka är juridiska respektive tekniska problem. De juridiska problemen berör främst att servern som lagrar data och ägaren till denna ofta befinner sig i en annan nation än där det misstänkta brottet utreds. De flesta juridiska problem kan tyckas enkla att lösa genom lagändringar, men är mer omfattande än så då både de konsekvenser det kan ha för molnleverantörerna, liksom de fördelar det kan ha för rättsväsendet, måste tas hänsyn till och noga övervägas. De tekniska problemen finns det ofta redan lösningar på. Många av dessa kan dock inte anses vara reella då krävd storlek på lagringsytan, och kostnaderna därtill, inte är i proportion av vad som skulle kunna uppnås. De flesta tekniska lösningar ger även nya problem i form av etiska dilemman då de kräver utökad lagring av personlig information. Att spara information och eventuellt behöva utreda information kopplat till en person som inte är misstänkt gör intrång på den personliga integriteten. Molnet har dock också möjligheter där den främsta för IT-forensiken är vad som kallas Digital Forensics as a Service. Detta innebär att molnets resurser nyttjas för att lösa resurstunga problem som hade varit betydligt mer tidskrävande att genomföra lokalt, likaså att möjligheterna för samarbeten och specialkompetens ökar, i syfte att underlätta och effektivera det IT-forensiska arbetet. / It is becoming more common to save data online, rather than on physical storage media. This brings many opportunities for you as a user, but also causes new problems, especially within the crime investigations. The problems in the combination of digital forensics and cloud services can be divided into two main categories, which are legal issues and technical issues. The legal issues primarily concern that the server that stores data and the owner of the server is typically based in a different nation than where the suspected crime is investigated. Most legal issues may seem easy to solve through law changes, but are more extensive than that, as both the consequences it may have for the cloud suppliers, as well as the benefits it may have for the justice system, must be taken into consideration. The technical issues often have solutions. However, many of these cannot be considered as realistic since the size of the required storage space, and the costs caused by it, are not proportional to what could be achieved. Most technical solutions also give rise to new issues in the form of ethical dilemmas as they require enhanced storage of personal information. To save more information and to possibly need to investigate information associated with a person who is not suspected of committing the crime intrudes the personal integrity. The cloud, however, also brings opportunities where the foremost for digital forensics is what is called Digital Forensics as a Service. This means that the cloud’s resources are utilised to solve resource related problems that had been significantly more time consuming to implement locally, as well as the opportunities for cooperation and expertise increase, in order to facilitate and enhance IT-forensic work.

IT-forensik

digital forensics

molnmiljö

cloud environment

Computer and Information Science

Data- och informationsvetenskap

Mord, Mosse, Människor : Mors Ianua Vitae

Jahrehorn, Tea

January 2017

What happened to the people in the bogs, and will we ever know why? This paper will try to answer this by studying cases from the bronze-to-Iron age in the North of Europe, by applying forensic, historic and criminological methods. In my paper I have conclu- ded that there is not a single motive to why the people in the bog were murdered. Ho- wever I have determined that they were all murdered.

bog bodies

Jylland

Forensics

criminology

murder

crime

mosslik

mossmänniskor

Jylland

forensik

kriminologi

mord

brott

Osäkerhetsvisualisering av kulbanor i 3D : En studie om hur kulbanevisualiseringar bör utformas för att användas vid rättegångar / Uncertainty visualisation of bullet trajectories in 3D: A study of how bullet trajectory visualisations should be designed for use in court

Rombo, Amanda

January 2022

Syftet med den aktuella studien var att undersöka uppfattningen av osäkerhetsrepresentationer implementerade i 3D-visualiseringar av kulbanor utifrån olika metoder för osäkerhetsvisualisering. Detta baserat på antagandet att 3D kommer att bli vanligare inom brottsplatsvisualiseringar i framtiden, samt att kulbanevisualiseringar kommer bli vanligare som bevisföring. I och med detta är det av stor vikt för både aktörer som skapar visualiseringar och som kommer att använda dem i rättegångar att veta hur dessa tolkas och förstås av mottagare. Arbetet inleddes med en litteraturstudie då osäkerhetsvisualiseringar av kulbanor studerats ytterst lite tidigare. Med hänsyn till detta ansågs det även relevant att arbetet tog avstamp från en basal nivå gällande hur människor uppfattar och värderar visualiseringar, samt att undersöka hur osäkerhet tidigare visualiserats inom domäner utöver forensik och skjutincidentrekonstruktion. Detta för att kunna ta fram vetenskapligt motiverade varianter av osäkerhetsvisualiseringar av kulbanor. Vidare undersöktes även skillnaden mellan visualiseringar som innehöll enbart en kulbana och visualiseringar av flera kulbanor, samt animeringar av kulbanevisualiseringarna. För att uppnå studiens syfte utfördes semi-strukturerade intervjuer samt en enkät som samlade in både kvantitativa och kvalitativa data. Målgruppen för studien var personer inom polis- och rättsväsendet som på något sätt kommer i kontakt med rättslig bevisföring i sitt arbete. Resultaten av tematiska och statistiska analyser visade att 3D-visualiseringar- och animeringar verkar vara uppskattade metoder för ökad förståelse av denna typ av bevisföring. Ingen av de framtagna alternativen ansågs vara dåliga för osäkerhetsvisualisering, men deltagarna verkade i huvudsak uppskatta visualiseringar som var transparenta samt hade tillräckligt hög kontrast gentemot sin omgivning och relativt varandra. Vidare hittades skillnader i generell attityd kring osäkerhetsvisualiseringarna mellan deltagare beroende på tidigare erfarenhet av 3D-visualiseringar samt om personen arbetade inom polis– eller rättsväsendet. Dessa resultat bedömdes som intressanta men då de enbart var baserade på skillnader i en variabel krävs det att framtida studier utförs för att vidare undersöka ett potentiellt samband. Framtida arbete bör också undersöka osäkerhetsrepresentationer som implementerats i riktiga laserskannade 3D-modeller samt i varierande miljöer.

3D-visualiseringar

osäkerhet

kulbaneanalys

skjutincidentrekonstruktion

forensik

3D-modell

animering

Human Computer Interaction

Osäkerhetsvisualisering av kulbanor i 3D : En studie om hur kulbanevisualiseringar bör utformas för att användas vid rättegångar

Rombo, Amanda

January 2022

Syftet med den aktuella studien var att undersöka uppfattningen av osäkerhetsrepresentationer implementerade i 3D-visualiseringar av kulbanor utifrån olika metoder för osäkerhetsvisualisering. Detta baserat på antagandet att 3D kommer att bli vanligare inom brottsplatsvisualiseringar i framtiden, samt att kulbanevisualiseringar kommer bli vanligare som bevisföring. I och med detta är det av stor vikt för både aktörer som skapar visualiseringar och som kommer att använda dem i rättegångar att veta hur dessa tolkas och förstås av mottagare. Arbetet inleddes med en litteraturstudie då osäkerhetsvisualiseringar av kulbanor studerats ytterst lite tidigare. Med hänsyn till detta ansågs det även relevant att arbetet tog avstamp från en basal nivå gällande hur människor uppfattar och värderar visualiseringar, samt att undersöka hur osäkerhet tidigare visualiserats inom domäner utöver forensik och skjutincidentrekonstruktion. Detta för att kunna ta fram vetenskapligt motiverade varianter av osäkerhetsvisualiseringar av kulbanor. Vidare undersöktes även skillnaden mellan visualiseringar som innehöll enbart en kulbana och visualiseringar av flera kulbanor, samt animeringar av kulbanevisualiseringarna. För att uppnå studiens syfte utfördes semi-strukturerade intervjuer samt en enkät som samlade in både kvantitativa och kvalitativa data. Målgruppen för studien var personer inom polis- och rättsväsendet som på något sätt kommer i kontakt med rättslig bevisföring i sitt arbete. Resultaten av tematiska och statistiska analyser visade att 3D-visualiseringar- och animeringar verkar vara uppskattade metoder för ökad förståelse av denna typ av bevisföring. Ingen av de framtagna alternativen ansågs vara dåliga för osäkerhetsvisualisering, men deltagarna verkade i huvudsak uppskatta visualiseringar som var transparenta samt hade tillräckligt hög kontrast gentemot sin omgivning och relativt varandra. Vidare hittades skillnader i generell attityd kring osäkerhetsvisualiseringarna mellan deltagare beroende på tidigare erfarenhet av 3D-visualiseringar samt om personen arbetade inom polis– eller rättsväsendet. Dessa resultat bedömdes som intressanta men då de enbart var baserade på skillnader i en variabel krävs det att framtida studier utförs för att vidare undersöka ett potentiellt samband. Framtida arbete bör också undersöka osäkerhetsrepresentationer som implementerats i riktiga laserskannade 3D-modeller samt i varierande miljöer.

3D-visualiseringar

osäkerhet

kulbaneanalys

skjutincidentrekonstruktion

forensik

3D-modell

animering

Human Computer Interaction

JackTheRidder: Idiotiskt eller en snilleblixt? : -Kryptering som kombinerar Collatz Conjecture med Caesarchiffer

Skog, Jack, Strandridder, Cajza

January 2022

Caesarcipher is a commonly known encryption method although it is known for being unsure, even long before computers were invented. Even though it is unsure it can still be used for cryptography, JackTheRidder consists of two main algorithms where one of them is based on the Caesarcipher. With many rotations of Caesarciphers on different parts of texts, like many Vigenerecryptos of different sizes overlapping each other, makes the encryption secure. The other main algorithm of JackTheRidder is based on the Collatz Conejcture, which is a famous unsolved mathematical problem. This algorithm counts the amount of steps it takes before the chosen number reaches 1 and then moves the letter with those steps which results in the encryption. The amount of steps is a result from a positive integer going through Collatz Conjecture, which divides the integer if its even and uses (3𝑥+1)/2 if the integer is odd. The algorithm then moves to the next character to encrypt and adds one to the integer used. JackTheRidder is an encryption method created by the authors of this project and further will be analyzed in this essay. The focus of this essay is to analyze how Collatz Conjecture and Caesarcipher functions in encryption methods. JackTheRidder is going to be examined through literature study and experiments. There are three criterias that JackTheRidder is going to be analyzed from; security, robustness and efficiency. The results indicate that JackTheRidder needs to be optimized and be written in machine code for it to be able to get better implemented in society. JackTheRidder is proven to be better than AES in the chi2 test which is an indicator that it might be a viable option for replacement. Overall in the experiments, JackTheRidder held a high level which is a positive outcome but still it is not guaranteed to be secure enough to be implemented into the society at this stage of developement.

Kryptering

kryptoanalys

krypteringsmetod

JackTheRidder

frekvensanalys

IT-forensik

IT-säkerhet

krypteringsalgoritmer

nyckelgenerering

Embedded Systems

Inbäddad systemteknik

Att navigera i informationstekniska spår och bevisvärdering : En undersökning av hur it-forensisk analys och bevisvärdering kan stärka rättssäkerheten

Styrlander, Michelle, Gustafsson, Emil

January 2023

Bevisvärdering sker i flera steg under en utredning och av flera olika aktörer så som utredare, forensiker och åklagare. Inom den forensiska verksamheten är värdering av resultat en central uppgift för att säkerställa rättssäkerhet. Informationstekniska resultat kan vara svåra att förstå och öppna för tolkning, vilket ger ett starkt incitament för att följa ett vetenskapligt förhållningssätt. Syftet med studien var således att undersöka hur den it-forensiska verksamheten möter värdering av informationstekniska resultat idag och vidare hur sådan kan bidra till högre kvalitet av de resultat som verksamheten levererar samt till högre rättssäkerhet. Forskningsområdet har studerats genom en litteraturstudie och semi-strukturerade intervjuer. Samtliga intervjuade respondenter besitter sakkunnighet inom det polisiära eller rättsliga området samt har flera års erfarenhet.  Studien visar att den it-forensiska verksamheten bör analysera och värdera bevisens styrka och tillförlitlighet i större utsträckning för att uppnå kvalitativa och rättssäkra resultat. Implementeringen av standardiserade vetenskapliga metoder för analys, värdering och redovisning kan minska risken för felbarhet orsakad av mänskliga resonemang samt öka spårbarheten genom förbättrad dokumentation. Dessutom skulle det ge mer enhetliga resultat och tydligare arbetsprocess för it-forensiker.

It-forensik

digitala bevis

informationstekniska bevis

bevisvärdering

Other Computer and Information Science

Annan data- och informationsvetenskap

Går det att köpa personuppgifter på bilskroten? : Ett arbete om digital forensik på begagnade bildelar

Börjesson, Holme, Lindskog, Filiph

January 2020

I moderna bilar lagras ofta data från användaren av bilen då en mobiltelefon eller annan enhet parkopplas genom Bluetooth- eller USB-anslutning. I de fall dessa data innehåller personuppgifter kan de vara intressanta i en utredning samt vara värda att skydda ur ett integritetsperspektiv. Vad händer med dessa data då bilen skrotas? När en bil skrotas monteras den ner och de delar som går att tjäna pengar på säljs av bildemonteringsföretaget. Det kan gälla allt från stötdämpare, hjul och rattar, till elektroniska komponenter och multimediaenheter. I detta arbete utvanns personuppgifter ur tre sådana begagnade multimediaenheter som köpts från bildemonteringar. Den mest framgångsrika metoden var att avlägsna rätt lagringskrets från multimediaenhetens kretskort och utvinna dess data genom direkt anslutning. I samtliga fall har informationen varit strukturerad i ett bekant filsystem vilket kunnat monteras. I alla tre undersöka multimediaenheter utvanns personuppgifter. Resultatet visar att det finns brister i hanteringen av personuppgifter då en bil skrotas. / In modern vehicles, data from the user of the vehicle is often stored when a mobile phone or other device is paired through Bluetooth or USB connection. In cases where this data contains personal data, they may be of interest in an investigation and may be worth protecting from a privacy perspective. What happens to this data when the car is scrapped? When a car is scrapped, it is dismantled and the parts that can be made money from are sold by the scrap company. This can be anything from shock absorbers, wheels and steering wheels, to electronic components and infotainment devices. In this report, personal data was extracted from three such infotainment devices purchased from scrap companies. The most successful method was to remove the correct storage circuit from the infotainment device circuit board and extract its data by direct connection. In all cases, the information has been structured in a familiar file system which could be mounted. In all three investigated infotainment devices, personal data were extracted. The result shows that there are deficiencies in the handling of personal data when a car is scrapped.

digital forensics

vehicle forensics

embedded systems forensics

personal integrity

chip-off

IT-forensik

bilforensik

forensik på inbäddade system

personlig integritet

chip-off

Computer Systems

Datorsystem

Embedded Systems

Inbäddad systemteknik