Digital ForensicsHans Jones

Digitalbrott och eSäkerhet

Vad är Digital Forensics?• Ett relativt nytt datavetenskapligt område med hög

teknisk nivå• Definitioner

– ”The application of forensic science techniques to computer-based material”

– ”The process of identifying, preserving, analyzing, and presenting digital evidence in a manner that is acceptable in a legal proceeding”

• Hitta potentiella spår efter brottslig aktivitet i elektroniska system– Koppla elektroniska bevis till rätt person– Fastställa en exakt tidpunkt när något hänt

• Lagar och regler styr– Sveriges Rikes Lag– IT-policy eller ansvarsförbindelse

Arbetsplatser för IT-forensiker?• IT-forensiker arbetar ofta som civilpoliser hos

– Läns- eller Rikskriminalpolisen– Tullverket

• IT-forensiker kan jobba med ekonomisk brottslighet– Skattemyndigheten– Ekobrottsmyndigheten

• IT-forensiker kan även jobba hos– Privata säkerhetsfirmor– Företag specialiserade på dataräddning – Försvarets radioanstalt och liknande organisationer

• Många utbildade IT-forensiker jobbar inom traditionella datakonsult yrken– Datateknik, IT-säkerhet, programutveckling och testning

IT-forensikers kunskap och egenskaper?

• God kännedom om – Hur de vanligaste operativsystemen och mjukvarorna

fungerar– Hårdvara– Programmering

• Scriptspråk som Python– Mjukvaror för forensiskt arbete– Filsystem– Krypteringstekniker– Attackmetoder– Mm, mm…

• Uttrycka sig väl i tal och skrift• Vara noggrann, objektiv och

ordningsam

Den forensiska processen

From: Digital forensics on the cheap: teaching forensics using open source tools

Richard D. Austin

Olika ingångar

Fysisk lagring• Hårddiskar, USB minnen etc.• Kopiera innehåll forensiskt med speciell hårdvara eller

mjukvara• Använda kryptografisk hashsumma - signatur• Montera spegelkopia

Partitioner och filer• Sektor• Kluster• Formatera

disken?• SSD?

hej.txt

Fysisk undersökning• Processa spegelkopian - kan ta lång tid!• Bygger upp en databas utifrån spegelkopians

innehåll• Analysera och klassificera filers innehåll samt

sortera dem i olika kategorier– Header och suffix – felaktigheter?– Status – redan känd, raderad etc.– Typ – bild, dokument etc.– Slack och oanvänt utrymme

• Skapa sökindex över alla förekommande textsträngar

• Påminner om att surfa på webben och sätta bokmärken

Programvara

Carving och programvara• Söker igenom hela volymen på byte nivå• Hitta fragment av filer som inte tillhör filsystemet

– Gamla raderade filer eller filer som finns inbäddade i andra filer

• Skär ut filer genom att söka efter t.ex. text (ascii) eller efter fil-headers och footers (hex)

Live underökning och fånga internminne

• Om datorn är krypterad eller inte kan stängas av– Samla in data med minimal

påverkan av datorns tillstånd• OS och mjukvarors status

– Spegelkopia• Dumpa internminnet till en fil– Undersöka med specialprogram

eller hex-editor– Bevis som inte skrivs till disk– Dekrypterad information– Sabotagekod

Nätverksteknik• Hantera IT-incidenter• Analysera loggar från olika

slags tjänster och enheter• Signaturer från nätverkets

“poliser” (IDS)• Dumpad trafikdata från switchar• Protokollanalysatorer Network

Miner

Fri programvara

Digitalbrott och eSäkerhetTraditionell datateknik• Programmering• Databaser• Datakommunikation• Operativsystem• Algoritmer

IT-forensisk teknik• Datorer• Nätverk• Inbyggda system• Telefoner• Juridik

IT-säkerhet• Analys och spårning• Penetrationstester• Nätverkssäkerhet• Kryptografi• Biometri

Ämnen i Digitalbrott och eSäkehet

Datateknik 90 hp

Juridik 30 hp

Matematik och statistik 15 hp

Tillämpade kurser 30 hp

Examensarbete 15 hp

Kurser i vår utbildning

Grundläggande IT-rätt

Statistik inom datavetenskap och IT

Data-kommunikation för IT-säkerhet

Databaser och Datautvinning

Data-kommunikation för IT-säkerhet II

Avancerad programmering

Nätverkssäkerhet

Etisk hackning och penetrationstest

Undersökning och utveckling av mobila och inbyggda system, I

Undersökning och utveckling av mobila och inbyggda system, 2

Matematik för datavetenskap

Kryptografi

Biometriska äkthetsbevisningar

Kriminalteknisk datavetenskap II

Examensarbete för Kandidatexamen i Datateknik

Inroduktion till IT-forensisk teknik och IT-säkerhet

Grundläggande programmering

Grundkurs i IT-kriminalogi

Script-programmering

Introduktion till operativsystem

Utredning av databrott

Kriminalteknisk datavetenskap I

Internet och webbapplikationer

Årskurs 1

Årskurs 2

Årskurs 3

Inbyggda system 1• Antalet digitala prylar växer explosionsartat!• Assembler programmering introduktion• Android programmering och undersökning

Inbyggda system 2• Mobila system och verktyg• Mobil infrastruktur• Flash minnesteknik• SMS och MMS• SIM och smartcards• Positioneringstekniker – GPS, CellID, …

• Karva ut bevis ur mobiltelefoners digitala hexdumpar med olikaverktyg

Telefon exempel• Ett testprogram för att samla in forensisk data via

”content providers” och oprivilegierade systemanrop

Avancerad forensik och etisk hackning

• Windows registret• Reverse enginering och filanalys• GIS (Geografiska Informations

System) och positionsspårning• Hitta/begränsa sårbarheter inom IT• Pen-test, attackverktyg och

virtuella operativsystem• Attacker på hashar, krypto, nätverk,

applikationer och webb applikationer• Analysera sabotagekod

Exempel

• Programmera GPU (GraphicsProcessing Unit) med OpenCL för lösenordsåterställning

• Forcera TrueCrypt kryptering• Spåra med CellID, MAC

adresser och Google Maps• Webb spårning av mail,

chattar etc.• Skriva egna attackmoduler

i MetaSploit

Andra samarbeten

• Högskolan Dalarna är delaktig i Cisco’s Networking Academy program– Ansluten 2001– Dryga 700 studenter sedan start– CCNA och CCNP

• AccessData Forensics– ACE

• MSAB• Polisen

• Kommuner• Datasäkerhetsföretag• Polisen• Datakonsultföretag• Programvaruföretag• ...

Examensarbeten

IT-forensiker behövsDalarnas tidningar 16/4-2010

Kvinna åtalad för stämpling till mord

Kvinnan ska i januari i år ha anlitat en person i Ludvika för att ta livet av hennes make.Enligt åtalet har kvinnan erbjudit personen från Ludvika pengar för att beröva makens liv. Att kvinnan haft kontakt med honom framgår bland annat av utskrifter från sms och mobilsamtal.

Dalarnas tidningar den 29/1-2010

Allt började med en mordutredningMitt i en mordutredning hittade polisen ytterligare ett intressant spår. Uppgifter i en dator och en mobil kan vara det som riktade misstankar om sexbrott mot den före detta polischefen.

Det var i somras som en man föll från en balkong i Bredäng, en förort i södra Stockholm. En 39-årig man blev misstänkt för att ligga bakom dödsfallet. Även två kvinnor åtalades för olaga frihetsberövande mot den avlidne mannen.

Dalarnas tidningar den 20/5-2011

Borlängebo åtalas för barnporrbrott

DALARNA Det började med ett tips till polisen om en man i Borlänge som kunde ha begått sexuella övergrepp.I dag åtalades den 43-årige mannen tillsammans med 23 kvinnor för barnpornografibrott.

Det handlade om bilder och filmer på barn som spridits via nätet.– Där började ärendet, vi gjorde en husrannsakan och beslutade att han skulle gripas, säger Eric Marsh.Vid husrannsakan hittade polisen pornografiska bilder på barn i mannens dator och kunde se att de spridits vidare till flera personer via mejl och olika chattprogram.

Arbetsmarknad

Vi söker nu handläggare IT-underrättelse till vår Länsunderrättelseenhet med placering i Karlstad

Polismyndigheten i Kalmar län söker en IT-forensiker med placering i Kalmar. Anställningen är en tillsvidareanställning. Sista ansökningsdag är den 24 november.

Polismyndigheten i Södermanland söker en IT-forensiker till Tekniska roteln.

Frågor?Webblänkar

• Presentationen– http://www.facebook.com/du.digitalforensics

• Bra artikel att läsa för dig som funderar på yrket– http://computer-

forensics.sans.org/blog/2010/08/20/getting-started-digital-forensics-what-takes/

• Högskolan Dalarna – Digitalbrott och eSäkerhet– http://www.du.se/sv/Utbildning/Utbildningsprogram/D

igitalbrott-och-eSakerhet/