Introduction to IT forensic

technology and IT security

Risk management, information security
and IT-security
Handling a digital crime scene
Post mortem and live forensics
Reconstruction of digital evidence
Hashes, crypto and digital signatures
 Secure data?
• Most systems nowadays are connected via digital
technology
– Electronic gadgets of all kinds
– Government, organisations and companies
– Individuals
• Accelererated development
and expansion
– Increasing risks
– Integrity and security of data
• Komplex IT-systems
– Increase in vulnerabilities
– Information (overload) is not missing – filter out
• Not only computer malware, …, etc.
Computer attacks

XSS exploit users trust in a site

CSRF exploit the opposite

The Open Source Vulnerability Database

http://osvdb.org/
 IT-security and risk management
• In the "real world" we often have insurance against
unforseen incidents or accidents
• We often also do pro-active things as eat healthy
food, exercise our body, have burglar alarms, be
careful in traffic etc.
• Good IT-security is mainly about the same thing
– Find the right level of ”insurance” and pro-active activities in
order to avoid “bad things”
• This is in short what IT-security is about
– Enumerate and inspect all systems and services -> patch
– Try to classifie everything into different risk classes
– Prepare an activity plan for every possible scenario and risk
class
 Security policy
• It is of great importance that every organisation have a
well thought out security policy
• It is a formal document (or number of documents) wich
define the organisations view of security
– What is allowed and not allowed to do
– What services is available and to whom
– What measures are going taken when the security policy is
violated
– How the security going is going to be maintaned
– How to act when incidents occur
• This requires that a very thourogh risk analysis have been
done already (or in tandem with the security policy)
• The security policy is a dynamic document which require
steady maintenance and updating
Process map for information security work

http://www.informationssakerhet.se
 LIS = Ledningssystem för
Informationssäkerhet
• Dokumenterad informationssäkerhetspolicy med
verksamhetskraven som utgångspunkt
• Riktlinjer för informationssäkerhet som pekar ut ansvar,
säkerhetsprocesser och mål
• Anvisningar och regler på lämpliga nivåer som anger hur
och vilka säkerhetsåtgärder som skall vidtas
• Definierad modell för för riskanalys och riskhantering
• Definierad modell för uppföljning och förbättring av
säkerheten
• Införda säkerhetsåtgärder och rutiner för riskhantering och
uppföljning
• Personal som är medveten om och följer gällande regler
 Styrande dokument
• Policyn uttrycker ledningens viljeinriktning på en
övergripande nivå.
• På informationssäkerhetsområdet kan policyn
kallas för informationssäkerhetspolicy - om den
tar höjd för allt säkerhetsarbete kallas den för
säkerhetspolicy.
• Under policyn ska styrdokument innehållande
bindande regler finnas, ”skaregler” eller
interna föreskrifter.
• I de fall när inte bindande regler behövs
kan styrdokument som inte utesluter
alternativa handlingssätt tas fram.
Dessa kallar vi för riktlinjer och
innehåller regler med en stark presumtion för att de ska följas, ”bör-regler”,
men alltså inte helt utesluter alternativa handlingssätt.
• Som stöd för att följa de interna föreskrifterna och riktlinjerna kan
vägledningar tas fram. I dessa redovisas de regler som gäller för
vägledningens område. Här kan också praxis och exempel på bra
arbetssätt redovisas.
• Reglering av hur arbetet ska bedrivas på detaljnivå ges i
rutinbeskrivningar/instruktioner. Sådana behövs ofta avseende tex. hur
och när säkerhetskopiering genomförs eller hur loggning av händelser
övervakas och hur loggar ska hanteras.
 Informationssäkerhetspolicyn ska
tex. besvara följande frågor
• Vad är det som ska skyddas?
• På vilken nivå ska skyddet vara?
• Vem är ansvarig för informationssäkerheten?
• Hur bedrivs informationssäkerhetsarbetet?
• Var gäller informationssäkerhetspolicyn?
• Hur ska informationssäkerhetspolicyn följa
verksamheten och hotbilden?
• Vilka rättigheter och skyldigheter har
medarbetarna?
• Hur ska incidenter hanteras?
• Påföljder då informationssäkerhetspolicyn ej följs?
Framtagning av informationssäkerhetspolicy
Från: http://www.sis.se - handbok i
informationssäkerhetsarbete)
En informationssäkerhetspolicy (ISP) kan tas fram enligt
följande steg:
1. Gå igenom frågelistan (se Underlag för att skriva en ISP)
och skaffa fram svar på frågorna.
Välj struktur och mall (se Exempel på ISP) för hur ISP ska
utformas
2. Ta ställning till de svar du fått på frågorna
3. Stäm av relevansen i ISP genom att intervjua
nyckelpersoner i verksamheten
4. Förankra ISP i verksamheten
5. Fastställ ISP i ledningen
6. Inför och förankra ISP i organisationen
7. Vid behov, minst årligen, revidera ISP
 Information security resources

• LIS - Ledningssystem för informationssäkerhet

– ISO 27000 standards
• SIS (Swedish Standards Institute)
– http://www.sis.se/sv/tema/ISO27000/
• Informationssäkerhet.se
– http://www.informationssakerhet.se
• Myndigheten för samhällsskydd och beredskap
– https://msb.se/
• Handbok i informations och IT-säkerhet
– http://itsakhandbok.irt.kth.se/
• CERT.SE
– http://www.cert.se/
 IT-forensic analysis areas
• This classification applies to all kinds of computer
systems
 Forensic basics
• Digital data: Data represented in numeric form
• Digital objects: A discrete collection of digital
data
• All digital data have a physical form
– Magnetic fields
– Volt-levels
• State: The value of an objects characteristics
• Event: a point in time which change the state of
one or several objects
– Cause: An object which state were used by the event
– Effect: An object which state changed by the event
 Basic Event (E), change a file
• Digital data: Data represented in numeric form
Viewing a JPEG file in a hex editor

Figure 1.1
FIGURE 15.3 Beginning of a JPEG-encoded EXIF file.

©2011 Eoghan Casey.

Copyright
Published
© 2011byAcademic
Elsevier Inc.
PressAllInc.
rights reserved.
 Viewing a JPEG file in a viewer

FIGURE 16.5 Additional class characteristics of EXIF file displayed using ACDSee. The date and time embedded
Figurethe1.1
in this file (15:53 on June 11, 2000) is inaccurate because camera’s clock was not set to the correct time,
emphasizing the importance of documenting system time when collecting any kind of computerized device.

Copyright
©2011 Eoghan Casey. © 2011byAcademic
Published Press
Elsevier Inc. AllInc.
rights reserved.
 Crime

Figure 1.1

FIGURE 12.1 Possible sources of evidence

Copyright in a sex
© 2011 Academic offense
Press Inc. investigation.
©2011 Eoghan Casey. Published by Elsevier Inc. All rights reserved.
 Security incident

Figure 1.1
FIGURE 8.2 Diagram depicting intruder gaining access to accounting server.

©2011 Eoghan Casey. Published by Elsevier Inc. All rights reserved.

 The forensic process
• Digital data: Data represented in numeric form

Goal: To figure out what digital events

have occured by collecting and analyze
the digital evidence

From: Digital forensics on the cheap: teaching forensics using open source tools
Richard D. Austin
 Preserve the
crime scene!

Document
everything!

Maintain
chain
of custody!
• Preserve the state for so many digital objects
as possible and document the crime scene
• Remove the battery on laptops
Figureetc.!
1.1
FIGURE 7.7 An overview of the decision process
Copyright © 2011when preserving
Academic Press Inc.a computer.
©2011 Eoghan Casey. Published by Elsevier Inc. All rights reserved.
Order of volatility

FIGURE 13.5 Order of volatility.

http://www.faqs.org/rfcs/rfc3227.html

©2011 Eoghan Casey. Published by Elsevier Inc. All rights reserved.

 Post mortem evidence
• Remove the storage medium and do a bit-stream (bit by
bit forensic) copy
• Generate hash sums (numbers) on the original and the
copy
• The forensic copy
is called an image
or mirror copy
• The image is one
file in a raw or a
specific format
• DD (raw), EWF, etc.
FIGURE 7.2 Tableau hardware duplicator
used to acquire evidence from hard drives.
Copyright © 2011 Academic Press Inc.
©2011 Eoghan Casey. Published by Elsevier Inc. All rights reserved.
 Live evidence

Figure 1.1
FIGURE 7.6 FTK Imager Lite running on a live computer to acquire an encrypted volume.
©2011 Eoghan Casey.
Copyright
Published
© 2011byAcademic
Elsevier Inc.
PressAllInc.
rights reserved.
 Finding Live Evidence
• When to Perform Live Response?
– Sophisticated attack methods and crypto technologies requests
new forensic evidence collection methods
– Time stamps are very important and doing live-analysis will alter
non-volatile data in the computer! Locard’s Exchange Principle
– On the other hand – pulling the power cable may cause corruption
– Sometimes there is no other option - mission-critical server
• The key components to any live-analysis are as follows
– Keep interaction with the target system to a bare minimum
– Bring your own trusted tools
– Think before you act, and then think again before you act. Once
you take any action on a live system, there is no changing the
outcome
– Getting evidence got precedence over maintaining state!
– Document all your actions, repeat that twice…
 Preserving other evidence
Radio Frequency (RF) shielding

Figure 1.1
FIGURE 7.3 Photograph of a Windows mobile device with a scale
showing all modes of network communication have been disabled in
order to isolate the device. Copyright © 2011 Academic Press Inc.
©2011 Eoghan Casey. Published by Elsevier Inc. All rights reserved.
Search for and document evidence
• Search for digital incidents, events and their time
• Digital objects that contain evidence is documented
 Reconstruction of digital evidence
• Evidence must be connected to events!
• This is usually not a built-in functionality in the most
common forensic tools
Event reconstruction
 Case report
• Forensic tools can usually produce a case report in some
way, a HTML report for example
• The forensic investigator must write a report or protocol
that ordinary people understands
• There is no standards for this report/protocol - the client
decide this!
 Utföra en undersökning
- En sammanfattning -
• Bemöta och evaluera potentiella IT-brott/incidenter
• Samla in digitala bevis och bevara dess integritet
– Återvinna försvunnen eller avsiktlig gömd information
• Använda verktyg och data för att analysera och
rekonstruera detaljer om brottet/incidenten
– Ta reda på vad som hände även om ingen är skyldigt till
något fel
• Ta fram en rapport och underhålla dokumentation
(om nödvändigt) för en rättslig process
• Underhålla och se till att ”chain of custody” (”bevis-
kedjan”) följs, vilka har hanterat vad osv.
– Detaljerad logg av bevis för hela fallet
• Arkivera
– En viss tid efter fällande dom makulera bevis
 Hashes and images
• Use MD5 (Message Digest,16 byte) or SHAx
(Secure Hash Algorithm, SHA1 20 byte) hash
algorithms
– Storage media, partitions, files, (any digital stream)
• Called OWF (One Way Function)
– Generate a unique number - 128 bits or 160 bits length
indipendent of input, 2^128 eller 2^160 combinations…
– Can also be viewed as a improved check sum (CRC)

Hash sum - 128 bit in length

Any kind of bit stream MD5/SHAx
9e107d9d372bb6826bd81d3
542a419d6
 Hashes and control sums
• The demands for an algorithm calculating hash sums are
– It should not be possible to change or create another bit stream (a text
for example) which give the same hash sum
– It should not be possible to get hold of the text by knowing the hash sum
– The algorithm must be sensitive for small changes in the original
information so a different hash sum will be generated
– The calculation algorithm should be fast
• The first demand is essential
for the usability of control sums
• It should not be possible to
create for example two
documents with different text
which give the same hash by Right click file >
for example inserting blank Properties >
characters etc. File hashes tab
• Can you guess any other
usage for hashes?
CRC (Cyclic Redundancy Check)
• A kind of simple hash function (bit length is to
short and algorithm is to simple)
• CRC is popular since it is simple to implement in
hardware and simple to analyze mathematically.
But good enough to discover errors
• CRC-1 is used for parity bit checks in memory
• CRC-32 is used to control the integrity in network
packets etc.
– http://en.wikipedia.org/wiki/Cyclic_redundancy_check
 Kryptering och dekryptering
• Lösenordsskyddad vs. lösenordskrypterad
• Meddelandet i ”cleartext” omvandlas till oläsbar
”ciphertext” med hjälp av krypteringssystem och nyckel
• Dekryptering reverserar förloppet med rätt nyckel
• Exempel på enkla krypteringsalgoritmer
– Rövarspråket
• Efter varje konsonant lägger man till ett ”o” och samma konsonant
igen, exempel: Hej -> Hohejoj
– Ceasarrullning eller ROT(n)
• Varje bokstav i meddelandet flyttas ett fixt antal steg (n) framåt,
exempel med fyrstegsrullning: HEMLIG -> LIQPMK
• Det finns i huvudsak två olika krypteringsmetoder
– Symmetrisk (privat/hemlig) eller asymmetrisk (publik) kryptering
 Enigma

• Tyskarna, WW II
• Elektromekanisk
• Tekniska museet i
Stockholm har ett
exemplar!
• Alan Turing

• http://sv.wikipedia.org/wiki/Enigma_%28krypteringsmaskin%29
 Symmetrisk kryptering
och dekryptering
• Vid symmetrisk kryptering används samma krypteringsalgoritm
och (privata/hemliga) nyckel av sändare och mottagare
• Används oftast då säkerhetskraven är mycket höga
• Nackdelen är säker skötsel av nycklar i ett distribuerat system
• Det finns två typer av symmetrisk kryptering
– Ström chiffer
– Block chiffer
 Symmetrisk kryptering
och dekryptering
• Block chiffer
– Meddelandet delas upp i fixerade block av bitar som
behandlas i olika substitutions boxar
– Om längden på data är mindre än blocklängden
måste man ”padda” (fylla i) data
– Implementeras mest i mjukvara
• AES, Advanced Encryption Standard
• DES, Digital Encryption Standard
• 3DES (tripple DES)
• RC5, RC6
• Blowfish, Twofish
• IDEA (International Data Encryption Algorithm)
 Symmetrisk kryptering
och dekryptering
• Ström chiffer
– Behandlar meddelandet som en ström av bitar/bytes och gör
matematiska funktioner för dem individuellt tex. XOR
– Används när längden på sändningen av data inte är känd, t.ex. i
trådlösa tillämpningar
– Implementeras oftast i hårdvara men även i mjukvara
• Ex, RC4 (WEP/WPA-WLAN, MS Office, RDP), A5/1 och A5/2 (GSM)
• Attacken för att knäcka båda metoderna är ”brute force”
(om algoritmen är bra)
– Pröva dekrypteringsnycklar tills output är läsbar
– Generellt gäller att en längre nyckel gör det svårare att knäcka
krypteringen (precis som för ett lösenord - i bästa fall)
– Om man knäckt nyckeln kan man läsa alla meddelanden
 Asymmetrisk (publik)
kryptering och dekryptering
• Två olika nycklar används för kryptering och dekryptering
– Den privata nyckeln är hemlig
– Den publika nyckeln kan läsas av vem som helst
• Funktionen är möjlig tack vare att det alltid finns ett nyckelpar
som matchar varandra
– Irrelevant i vilken ordning eller med vilken nyckel kryptering och
dekryptering sker
– Samma nyckel kan inte kryptera och dekryptera i nyckelparet
– Meddelanden som t.ex. krypterats med en publik nyckel kan endast
dekrypteras med den matchande privata nyckeln
• Svagheter är ett lättare forcerat skydd och att mer datakraft krävs
vid kryptering/dekryptering
 Asymmetrisk (publik)
kryptering och dekryptering
• Iom. att publik kryptering är långsamt i jämförelse mot symmetrisk
kryptering brukar man ofta endast kryptera en symmetrisk nyckel som
kallas för ”sessions nyckel”, vilken sedan används för att dekryptera
själva meddelandet
• En symmetrisk nyckel är ca: 4-10 ggr. så ”stark” som en asymmetrisk
• Attacken mot publik kryptering är matematisk - faktorering av stora tal
– Bryt ner ett heltal i dess faktorer, t.ex. 15 = 5 och 3
– Faktorerna måste vara primtal, enkelt för små tal men otroligt svårt för
stora tal (kallas NP-kompletta i matematiken – finns ingen lösning utom att
prova alla kombinationer)
• Militärt värde
– Exportrestriktioner har gällt tex. från USA. Max 40 bits symmetrisk och 512
bitar asymmetrisk
 Asymmetrisk (publik)
kryptering och dekryptering
Bob har fått två nycklar. En kallas för Public
Key (grön), den andra Private Key (röd)

Bob
Vemsomhelst kan få Bobs publika nyckel,
men den privata behåller han själv

Ove Sven Alice

Båda Bobs nycklar kan kryptera data och
den ena nyckeln kan dekryptera vad den
andra nyckeln skrev för data och vice
versa
 Asymmetrisk (publik) kryptering
och dekryptering, tex. e-mail
Alice kan kryptera ett meddelande till Bob med den publika nyckeln
hon fått från Bob
Vemsomhelst kan få tillgång till Alices krypterade meddelande, men
meddelandet är värdelöst (oläsbart) utan Bobs privata nyckel

Hej Bob! Vad sägs om en HNFmsEm6Un

öl på krogen i kväll? BejhhyCGKOK
Det är happy hour hela JUxhiygSBCEiC
Alice natten! 0QYIh/Hn3xgiK

HNFmsEm6Un Hej Bob! Vad sägs om en

BejhhyCGKOK öl på krogen i kväll?
JUxhiygSBCEiC Det är happy hour hela
0QYIh/Hn3xgiK natten!
Bob
 Asymmetrisk kryptering och
dekryptering, algoritmer
• RSA algoritmen (Rivest, Shamir, Adleman, 1978, PKCS#1)
– Välj två stora primtal (bara delbara med 1 och sig själv) P och Q
– Hitta deras produkt n = P*Q
Formel: en/de-crypt(m) = m^(e/d) mod n
– Beräkna x = (P-1)(Q-1)
– Välj ett ”coprime” - relativt prima (endast en gemensam nämnare med x
som är 1) tal e mindre än x och större än 1
– Formeln för tal d blir då: d = 1/e mod x där e är den publika och d den
privata exponenten
– Den publika nyckeln är paret e och n och den privata nyckeln är paret d
och n
• Faktorerna P och Q måste hållas hemliga eller förstöras
– http://williamstallings.com/Crypt-Tut/Crypto%20Tutorial%20-%20JERIC.swf
• DSA algoritmen (Digital Signature Algorithm, 1991)
– US Federal Government standard
– Fungerar som RSA (primtal, exponenter, modulo etc.)
 RSA exempel
modulo ger resten vid en heltalsdivision, ex: 5 mod 4 = 1

• Den publika nyckeln är (e, n) och den privata nyckeln är (d, n)

Krypteringsfunktionen är:
– encrypt(m) = m^e mod n => m^7 mod 55 - där m är ”plaintext” och m < n
• Dekrypteringsfunktionen är:
– decrypt(c) = c^d mod n => c^23 mod 55 - där c är ”ciphertext”

P=5
- Första primtalet (förvaras säkert eller raderas) • För att kryptera plain-text värdet
Q = 11 m = 8, beräknar vi
- Andra primtalet (förvaras säkert eller raderas)
n = P*Q = 55
– encrypt(8) =>
- Modulo (blir publik och privat) 8^7 mod 55 =>
x = (P-1)*(Q-1) = 40 2097152 mod 55 = 2
e = 7, talet måste ha endast en gemensam • För att dekryptera chiffertext
nämnare med x som är 1 samt < x, > 1
- e är publik exponent (publik åtkomst)
värdet c = 2, beräknar vi
Vi beräknar d = 1/e mod x => d*e mod 40 = 1 – decrypt(2) =>
d * 7 mod 40 = 1 => d = 23 (23*7 mod 40=1) 2^23 mod 55 =>
- d är privat exponent (förvaras hemligt) 8388608 mod 55 = 8
 Digitala signaturer
• Principen är grovt att om ett känt värde hashas
och krypteras av avsändaren (M, meddelandet)
och tolkas likadant hos mottagare efter
dekryptering anses avsändarens identitet och
meddelande vara styrkt
 Vad är en digital signatur?
Med en privat nyckel och den rätta mjukvaran kan Bob sätta
digitala signaturer på dokument och annan data. Den digitala
signaturen ”stämpeln” är väldigt svår att förfalska, minsta lilla
förändring i datat kommer att märkas

Bob

För att signera dokumentet bearbetar Bobs mjukvara datat till några
få rader med hexadecimala tal i en process som kallas hashing.
Dessa tal kallas för message digest
 Vad är en digital signatur?
Bobs mjukvara krypterar sedan message digest med sin
privata nyckel och resultatet är den digitala signaturen

Bob

Slutligen så lägger Bobs mjukvara till den digitala signaturen i

dokumentet. All data som blivit hashat har nu signerats
 Vad är en digital signatur?
Bob skickar nu dokumentet till Ove…

Ove

Först dekrypterar Oves mjukvara signaturen (med Bobs publika nyckel) tillbaka
till en message digest. Om det fungerade så bevisar det att det var Bob som
signerade dokumentet (Bobs privata nyckel)
Oves mjukvara hashar sedan dokumentet till message digest, om denna
message digest är samma message digest som den dekrypterade signaturen
har inte det signerade datat ändrats sedan signaturen blev krypterad, dvs.
dokumentets innehåll har inte ändrats efter det lämnat Bob
 Vad är en digital signatur?
För andra verkligen skall veta att Bob är Bob så kan Bob be ett certifikat-
utfärdningscenter (Sven) låta tillverka ett digitalt certifikat åt honom

Bob info
Name
Certificate info
Serial #
Expire date
Bobs Public Key
Sven

Bobs bekanta kan nu kontrollera Bobs betrodda certifikat så att det verkligen
är Bobs publika nyckel som tillhör Bob
Bobs bekanta accepterar dessutom inte andra signaturer än de som har ett
certifikat utfärdat av Svens certifikat-utfärdningscenter
Läs mera: http://en.wikipedia.org/wiki/Digital_signature
 Certifikathanteringen
• Hur kan man vara säker på att en viss nyckel hör ihop
med en viss person?
• Certifieringsinstansens (CA) roll är att knyta
innehavares identitet till en uppsättning nycklar
• Certifikatet innehåller bl.a. följande information
– Ett objekt (X.500 format)
– Vem som utfärdat certifikatet
– Objektets publika nyckel
– Certifikatets giltighetstid
– Hashat värde av hela innehållet
• Certifikatet lagras av innehavaren efter att certifikatet
offentliggjorts
• IE > Tools > Internet Options > Content > Certificates
PGP/MIME och OpenPGP/GPG
http://www.bretschneidernet.de/tips/secmua.html

• PGP (Pretty Good Privacy)

– Phil Zimmerman 1991
– Privat och publik nyckel på hemlig nyckelring
– Bygger på ”web of trust”, personliga förhållanden (tillit)
• www.thawte.com har kommersiell tjänst för detta
– PGP blev kommersiellt kring 1996, köpt av Symantec 2010
• OpenPGP Alliance och GnuPG (Gnu Privacy Guard)
• PGP/MIME för att kryptera hela meddelandet
byggde på
– RFC 1991, PGP Message Exchange Formats
– RFC 2015, MIME Security with Pretty Good Privacy
• Nu gäller
– RFC 4880, OpenPGP Message Format / GnuPG
– RFC 3156, MIME Security with OpenPGP
PGP/MIME och Secure (S/MIME) Vx
• Är en standard baserad på MIME och utvecklad av RSA Data
Security Inc. för att sända säker e-post
• Certifikatbaserad = behöver PKI (denna kan dock vara enkel)
• S/MIME är likt OpenPGP och det äldre PGP/MIME (i stort sett
samma funktioner som nedan) men inkompatibelt med dessa
• Signerad e-post i S/MIME formatet innehåller en signaturbilaga
i PKCS#7-formatet samt en hash från originalmeddelandet
signerat med sändarens privata nyckel och sändarens certifikat
• Krypterad e-post genereras med mottagarens publika nyckel
– Meddelandet krypteras dock först med en symmetrisk nyckel,
denna nyckel krypteras också i sin tur med mottagarens publika
nyckel och sänds med meddelandet
– Om meddelandet sänds till flera mottagare så krypteras den
symmetriska nyckeln separat av alla mottagares publika nyckel
• S/MIME stödjer att meddelanden först signeras med sändarens
privata nyckel och sedan krypteras med mottagarnas publika
nycklar (signering och kryptering)
Recommended!

CrypTool (Freeware)
Crypt methods
Analysis
Visualisations
Etc. etc...
http://www.cryptool.org/