Utvinning av data ur mobiltelefoner : En valideringsstudie av forensiska verktyg

Andersson, Roland

January 2016

Den vetenskapliga aspekten i de flesta forensiska discipliner är välgrundad och prövad under ett långt tidsperspektiv. Det ökande användandet av digital teknik har gjort att en ny forensisk disciplin har vuxit fram och den vetenskapliga grunden i detta nya forensiska område är i många avseenden fortfarande outforskat. Inom det svenskarättsväsendet krävs att de forensiska metoder som används inom en brottsutredning ska vara kvalitetssäkrade och i största mån vara ackrediterade av ettackrediteringsorgan. Det finns idag få relevanta studier kring validering av forensiska metoder som hanterar småskaliga enheter som smarta mobiler. I denna rapport analyseras de metoder som används för att utvinna data från mobiltelefon och hur dessa metoder kan anses vara forensiskt korrekta. Rapporten presenterar ett nytt ramverk för att validera de metoder som används av ett forensisk verktyg. Ramverket är kvalitetssäkrat genom att utgå ifrån tidigare vetenskaplig studier och är praktiskt testad i laboratoriemiljö. Ramverket ska kunna användas direkt inom en forensisk verksamhet som kräver validering. / The scientific aspect in most forensic disciplines is well founded and examined under a long-term perspective. The increasing use of digital technology has enabled a new forensic discipline and the scientific basis of the digital forensic field is in many respects still unexplored. The Swedish legal system requires that the forensic methods used in a criminal investigation should be quality assured and in the largest extent be accredited by an accreditation body. There are few relevant studies on the validation of forensic methods that handle small scale devices such as smartphones. This report analyzes the methods used to extract data from a mobile phone and how these methods can be considered forensically sound. The report presents a new framework for validating the methods used by a forensic tool. The framework is quality assured by referring to previous scientific studies and practically tested in a laboratory environment. The framework can be used directly in a forensic organization that requires validation.

forensik

forensiska verktyg

forensisk process

testramverk

validering

Nationellt Forensiskt Centrum

NFC

Swedac

Kognitiva processer i fingeravtryckstolkning : Hur tänkter experter och noviser / Cognitive processes in fingerprint identification

Koskitalo, Jonas

January 2011

Forensiska tekniker såsom fingeravtryckstolkning har under senare år genomgått stora förändringar vad gäller exempelvis tekniska hjälpmedel, dock är människans roll i tolkningen fortfarande central i processen. Denna studie syftar till att öka kunskaperna om individernas kognitiva processer i tolkning av fingeravtryck genom ett experiment där fingeravtrycksforensiker, forensiker från andra fält än fingeravtryck samt noviser fick avgöra huruvida ett antal fingeravtryck härrörde från samma finger eller ej.  De kognitiva processerna studerades utifrån att testpersonerna fick rapportera sin tankar verbalt i form av att ”tänka-högt”. Resultaten transkriberades och analyserades sedan med mixade metoder (mixed methods), det vill säga med både kvantitativ och kvalitativ metod. Resultatet visar att fingeravtrycksforensiker signifikant bättre kan lösa denna typ av problem jämfört med övriga forensiker och noviser, men att det fortfarande finns kognitiva processer hos fingeravtrycksforesnikerna som medför risker i form av bias i förfarandeprocessen.

Forensiskt

fingeravtryck

kognitiva processer

verbal rapportering

tänka-högt

mixad metod

grundad teori

kvantitativt

kvalitativt

Psychology

Psykologi

Händelsekonstruktion genom säkrande och analys av data från ett hemautomationssystem / Event Reconstruction by Securing and Analyzing Data from a Home Automation System

Baghyari, Roza, Nykvist, Carolina

January 2019

I detta examensarbete har tidsstämplar extraherats ur ett forensiskt perspektiv från ett hemautomationssystem med styrenheten Homey från Athom. Först konstruerades ett fiktivt händelsescenario gällande ett inbrott i en lägenhet med ett hemautomationssystem. Hemautomationssystemet bestod av flera perifera enheter som använde olika trådlösa nätverksprotokoll. Enheterna triggades under händelsescenariot. Därefter testades olika metoder för att få ut data i form av tidsstämplar. De metoder som testades var rest-API, UART och chip-off på flashminnet medan JTAG inte hanns med på grund av tidsbrist. Den metod som gav bäst resultat var rest-API:t som möjliggjorde extrahering av alla tidsstämplar samt information om alla enheter. I flashminnet hittades alla tidsstämplar, men det var inte möjligt att koppla ihop dessa tidsstämplar med en specifik enhet utan att använda information från rest-API:t. Trots att rest-API:t gav bäst resultat så var det den metod som krävde en mängd förutsättningar i form av bland annat inloggningsuppgifter eller en rootad mobil. Med hjälp av de extraherade tidsstämplarna rekonstruerades sedan händelsescenariot för inbrottet. / The purpose of this bachelor thesis was to extract timestamps from a home automation system with a control unit named Homey in a forensic perspective. The first step was to create a course of event regarding a burglar breaking into an apartment with home automation. The home automation system consisted of some peripheral units using different types of wireless network protocols. All these units were triggered during the break in. Thereafter different types of methods were tested in an attempt to extract the timestamps for each unit. These methods included rest-API, UART and chip-off on a flash memory. The method using JTAG were not tested due to lack of time. Rest-API was the method that provided most information about the units and time stamps. The flash memory also contained every timestamp, however it did not provide any information about which timestamp belonged to which unit. Even though the rest-API was the best method to extract data, it was also the method with most requirements such as credentials or a rooted smartphone. With the extracted timestamps it was possible to reconstruct the course of events of the break-in.

Homey

forensic

home automation system

smart home

log data

flash memory

UART

chip-off

rest-API

event reconstruction

IoT

Internet of Things

Homey

forensiskt

loggfiler

tidsstämplar

extrahering

hemautomationssystem

sensorer

flashminne

UART

chip-off

rest-API

händelserekonstruktion

IoT

Elektroteknik och elektronik