Digital Forensics

Hans Jones Digitalbrott och eSkerhet

Vad r Digital Forensics?

Ett relativt nytt datavetenskapligt omrde med hg teknisk niv Definitioner
The application of forensic science techniques to computerbased material The process of identifying preserving analyzing and presenting digital evidence in a manner that is accepta!le in a legal proceeding

"itta potentiella spr efter !rottslig aktivitet i elektroniska system

#oppla elektroniska !evis till rtt person Faststlla en e$akt tidp%nkt nr ngot hnt

&agar och regler styr

'veriges (ikes &ag )T*policy eller ansvarsfr!indelse

+r!etsplatser fr )T*forensiker?
)T*forensiker ar!etar ofta som civilpoliser hos
&ns* eller (ikskriminalpolisen T%llverket

)T*forensiker kan ,o!!a med ekonomisk !rottslighet

'kattemyndigheten Eko!rottsmyndigheten

)T*forensiker kan ven ,o!!a hos

-rivata skerhetsfirmor Fretag specialiserade p datarddning Frsvarets radioanstalt och liknande organisationer

.nga %t!ildade )T*forensiker ,o!!ar inom traditionella datakons%lt yrken

Datateknik )T*skerhet program%tveckling och testning

)T*forensikers k%nskap och egenskaper?

/od knnedom om
"%r de vanligaste operativsystemen och m,%kvarorna f%ngerar "rdvara -rogrammering
'criptsprk som -ython

.,%kvaror fr forensiskt ar!ete Filsystem #rypteringstekniker +ttackmetoder .m mm0

1ttrycka sig vl i tal och skrift Vara noggrann o!,ektiv och ordningsam

Den forensiska processen

4lika ingngar

From2 Digital forensics on the cheap2 teaching forensics %sing open so%rce tools (ichard D3 +%stin

Fysisk lagring
"rddiskar 1'5 minnen etc3 #opiera innehll forensiskt med speciell hrdvara eller m,%kvara +nvnda kryptografisk hashs%mma * signat%r .ontera spegelkopia

-artitioner och filer

'ektor #l%ster Formatera disken? ''D?

he,3t$t

Fysisk %nderskning
-rocessa spegelkopian * kan ta lng tid6 5ygger %pp en data!as %tifrn spegelkopians innehll +nalysera och klassificera filers innehll samt sortera dem i olika kategorier
"eader och s%ffi$ 7 felaktigheter? 'tat%s 7 redan knd raderad etc3 Typ 7 !ild dok%ment etc3 'lack och oanvnt %trymme

'kapa skinde$ ver alla frekommande te$tstrngar -minner om att s%rfa p 8e!!en och stta !okmrken

-rogramvara

9arving och programvara

'ker igenom hela volymen p !yte niv "itta fragment av filer som inte tillhr filsystemet
/amla raderade filer eller filer som finns in!ddade i andra filer

'kr %t filer genom att ska efter t3e$3 te$t :ascii; eller efter fil*headers och footers :he$;

&ive %nderkning och fnga internminne

4m datorn r krypterad eller inte kan stngas av
'amla in data med minimal pverkan av datorns tillstnd
4' och m,%kvarors stat%s

D%mpa internminnet till en fil

1nderska med specialprogram eller he$*editor 5evis som inte skrivs till disk Dekrypterad information 'a!otagekod

'pegelkopia

<tverksteknik
"antera )T*incidenter +nalysera loggar frn olika slags t,nster och enheter 'ignat%rer frn ntverkets =poliser :)D'; D%mpad trafikdata frn s8itchar -rotokollanalysatorer

<et8ork .iner

Fri programvara

Digital!rott och e'kerhet

IT-skerhet +nalys och sprning -enetrationstester <tverksskerhet #ryptografi 5iometri Traditionell datateknik -rogrammering Data!aser Datakomm%nikation 4perativsystem +lgoritmer IT-forensisk teknik Datorer <tverk )n!yggda system Telefoner >%ridik

?mnen i Digital!rott och e'kehet

Datateknik 90 hp Juridik 30 hp Matematik och statistik 15 hp Tillmpade kurser 30 hp Examensarbete 15 hp

#%rser i vr %t!ildning
@rsk%rs A
Inroduktion till ITforensisk teknik och IT-skerhet Grundlggande IT-rtt Grundlggande programmering Introduktion till operativs%stem Internet och ,ebbapplikationer Scriptprogrammering $tredning av databrott )riminalteknisk datavetenskap I

Statistik inom datavetenskap och IT

Databaser och Datautvinning

Grundkurs i ITkriminalogi

#tisk hackning och penetrationstest

@rsk%rs B

Datakommunikation f r IT-skerhet
$nders kning och utveckling av mobila och inb%ggda s%stem& I

!vancerad programmering

Datakommunikation f r IT-skerhet II *iometriska kthetsbevisningar

"tverksskerhet

@rsk%rs C

$nders kning och utveckling av mobila och inb%ggda s%stem& '

#+amensarbete f r )andidate+amen i Datateknik

(atematik f r datavetenskap

)r%ptografi

)riminalteknisk datavetenskap II

)n!yggda system A
+ntalet digitala prylar v$er e$plosionsartat6 +ssem!ler programmering introd%ktion +ndroid programmering och %nderskning

)n!yggda system B
.o!ila system och verktyg .o!il infrastr%kt%r Flash minnesteknik '.' och ..' '). och smartcards -ositioneringstekniker
/-' 9ell)D 0

#arva %t !evis %r mo!iltelefoners digitala he$d%mpar med olika verktyg

Telefon e$empel
Ett testprogram fr att samla in forensisk data via content providers och oprivilegierade systemanrop

+vancerad forensik och etisk hackning

Dindo8s registret (everse enginering och filanalys /)' :/eografiska )nformations 'ystem; och positionssprning "ittaE!egrnsa sr!arheter inom )T -en*test attackverktyg och virt%ella operativsystem +ttacker p hashar krypto ntverk applikationer och 8e!! applikationer +nalysera sa!otagekod

E$empel
-rogrammera /-1 :/raphics -rocessing 1nit; med 4pen9& fr lsenordsterstllning Forcera Tr%e9rypt kryptering 'pra med 9ell)D .+9 adresser och /oogle .aps De!! sprning av mail chattar etc3 'kriva egna attackmod%ler i .eta'ploit

+ndra samar!eten
"gskolan Dalarna r delaktig i 9iscoFs <et8orking +cademy program
+nsl%ten BGGA Dryga HGG st%denter sedan start 99<+ och 99< +9E

+ccessData Forensics .'+5 -olisen

E$amensar!eten
#omm%ner Dataskerhetsfretag -olisen Datakons%ltfretag -rogramvar%fretag 333

)T*forensiker !ehvs
Dalarnas tidningar den BIEA*BGAG Dalarnas tidningar -./0-'1-1

Kvinna talad fr stmpling till mord

)vinnan ska i 2anuari i 3r ha anlitat en person i 4udvika f r att ta livet av hennes make5 #nligt 3talet har kvinnan erb2udit personen fr3n 4udvika pengar f r att ber va makens liv5 !tt kvinnan haft kontakt med honom framg3r bland annat av utskrifter frn sms och mobilsamtal5
Dalarnas tidningar den '1/9-'1--

Allt brjade med en mordutredning

Mitt i en mordutredning hittade polisen ytterligare ett intressant spr. Uppgifter i en dator och en mobil kan vara det som riktade misstankar om se brott mot den fre detta polischefen. Det var i somras som en man f ll fr3n en balkong i *redng& en f rort i s dra Stockholm5 #n 67-3rig man blev misstnkt f r att ligga bakom d dsfallet5 8ven tv3 kvinnor 3talades f r olaga frihetsber vande mot den avlidne mannen5

!orlngebo talas fr barnporrbrott

D!4!:"! Det b r2ade med ett tips till polisen om en man i *orlnge som kunde ha beg3tt se+uella vergrepp5 I dag 3talades den 06-3rige mannen tillsammans med '6 kvinnor f r barnpornografibrott5 Det handlade om bilder och filmer p barn som spridits via ntet 5 ; Dr b r2ade rendet& vi g2orde en husrannsakan och beslutade att han skulle gripas& sger #ric (arsh5 <id husrannsakan hittade polisen pornografiska bilder p3 barn i mannens dator och kunde se att de spridits vidare till flera personer via mejl och olika chattprogram5

+r!etsmarknad
=olism%ndigheten i )almar ln s ker en IT-forensiker med placering i )almar5 !nstllningen r en tillsvidareanstllning5 Sista ans kningsdag r den '0 november5 =olism%ndigheten i S dermanland s ker en IT-forensiker till Tekniska roteln5 <i s ker nu handlggare IT-underrttelse till v3r 4nsunderrttelseenhet med placering i )arlstad

Frgor?
De!!lnkar
-resentationen 5ra artikel att lsa fr dig som f%nderar p yrket
http2EEcomp%ter* forensics3sans3orgE!logEBGAGEGJEBGEgetting*started* digital*forensics*8hat*takesE http2EE8883face!ook3comEd%3digitalforensics

"gskolan Dalarna 7 Digital!rott och e'kerhet

http2EE8883d%3seEsvE1t!ildningE1t!ildningsprogramED igital!rott*och*e'akerhetE