• No results found

digital forensics v1 pdf

N/A
N/A
Info
Download
Protected

Academic year: 2020

Share "digital forensics v1 pdf"

Copied!
26
0
0

Loading.... (view fulltext now)

Download now ( 26 Page )

Full text

(1)

Digital Forensics

Hans Jones

(2)

Vad är Digital Forensics?

• Ett relativt nytt datavetenskapligt område med hög teknisk nivå

• Definitioner

– ”The application of forensic science techniques to computer-based material

– ”The process of identifying, preserving, analyzing, and

presenting digital evidence in a manner that is acceptable in a

legal proceeding

• Hitta potentiella spår efter brottslig aktivitet i elektroniska system

– Koppla elektroniska bevis till rätt person

– Fastställa en exakt tidpunkt när något hänt

• Lagar och regler styr

– Sveriges Rikes Lag

(3)

Arbetsplatser för IT-forensiker?

• IT-forensiker arbetar ofta som civilpoliser hos

– Läns- eller Rikskriminalpolisen

– Tullverket

• IT-forensiker kan jobba med ekonomisk brottslighet

– Skattemyndigheten

– Ekobrottsmyndigheten

• IT-forensiker kan även jobba hos

– Privata säkerhetsfirmor

– Företag specialiserade på dataräddning

– Försvarets radioanstalt och liknande organisationer

• Många utbildade IT-forensiker jobbar inom traditionella datakonsult yrken

(4)

IT-forensikers kunskap

och egenskaper?

• God kännedom om

– Hur de vanligaste operativsystemen och mjukvarorna

fungerar

– Hårdvara

– Programmering

• Scriptspråk som Python

– Mjukvaror för forensiskt arbete

– Filsystem

– Krypteringstekniker

– Attackmetoder

– Mm, mm…

• Uttrycka sig väl i tal och skrift • Vara noggrann, objektiv och

(5)

Den forensiska processen

From: Digital forensics on the cheap: teaching forensics using open source tools

Richard D. Austin

(6)

Fysisk lagring

• Hårddiskar, USB minnen etc.

• Kopiera innehåll forensiskt med speciell hårdvara eller mjukvara

(7)

Partitioner och filer

• Sektor • Kluster

• Formatera disken? • SSD?

(8)

Fysisk undersökning

• Processa spegelkopian - kan ta lång tid!

• Bygger upp en databas utifrån spegelkopians innehåll

• Analysera och klassificera filers innehåll samt sortera dem i olika kategorier

– Header och suffix – felaktigheter?

– Status – redan känd, raderad etc.

– Typ – bild, dokument etc.

– Slack och oanvänt utrymme

• Skapa sökindex över alla förekommande textsträngar

(9)
(10)

Carving och programvara

• Söker igenom hela volymen på byte nivå

• Hitta fragment av filer som inte tillhör filsystemet

– Gamla raderade filer eller filer som finns inbäddade i

andra filer

(11)

Live underökning och

fånga internminne

• Om datorn är krypterad eller inte kan stängas av

– Samla in data med minimal påverkan av datorns tillstånd

• OS och mjukvarors status

– Spegelkopia

• Dumpa internminnet till en fil

– Undersöka med specialprogram eller hex-editor

– Bevis som inte skrivs till disk

– Dekrypterad information

(12)

Nätverksteknik

• Hantera IT-incidenter

• Analysera loggar från olika slags tjänster och enheter • Signaturer från nätverkets

“poliser” (IDS)

• Dumpad trafikdata från switchar

• Protokollanalysatorer Network

(13)
(14)

Digitalbrott och eSäkerhet

Traditionell datateknik • Programmering • Databaser • Datakommunikation • Operativsystem • Algoritmer IT-forensisk teknik • Datorer • Nätverk

• Inbyggda system • Telefoner

• Juridik

IT-säkerhet

• Analys och spårning • Penetrationstester • Nätverkssäkerhet • Kryptografi

(15)

Ämnen i Digitalbrott och

eSäkehet

Datateknik 90 hp

Juridik 30 hp

Matematik och statistik 15 hp

Tillämpade kurser 30 hp

(16)

Kurser i vår utbildning

Grundläggande IT-rätt Statistik inom datavetenskap och IT Data-kommunikation för IT-säkerhet Databaser och Datautvinning Data-kommunikation för IT-säkerhet II Avancerad programmering Nätverkssäkerhet

Etisk hackning och penetrationstest

Undersökning och utveckling av mobila och inbyggda

system, I

Undersökning och utveckling av mobila och inbyggda system, 2 Matematik för datavetenskap Kryptografi Biometriska äkthetsbevisningar Kriminalteknisk datavetenskap II Examensarbete för Kandidatexamen i Datateknik

Inroduktion till IT-forensisk teknik och IT-säkerhet

Grundläggande programmering

(17)

Inbyggda system 1

• Antalet digitala prylar växer explosionsartat! • Assembler programmering introduktion

(18)

Inbyggda system 2

• Mobila system och verktyg • Mobil infrastruktur

• Flash minnesteknik • SMS och MMS

• SIM och smartcards • Positioneringstekniker

– GPS, CellID, … • Karva ut bevis ur

(19)

Telefon exempel

(20)

Avancerad forensik och

etisk hackning

• Windows registret

• Reverse enginering och filanalys • GIS (Geografiska Informations

System) och positionsspårning

• Hitta/begränsa sårbarheter inom IT • Pen-test, attackverktyg och

virtuella operativsystem

(21)

Exempel

• Programmera GPU (Graphics Processing Unit) med OpenCL för lösenordsåterställning

• Forcera TrueCrypt kryptering • Spåra med CellID, MAC

adresser och Google Maps • Webb spårning av mail,

chattar etc.

(22)

Andra samarbeten

• Högskolan Dalarna är delaktig i Cisco’s Networking Academy program

– Ansluten 2001

– Dryga 700 studenter sedan start

– CCNA och CCNP

• AccessData Forensics

– ACE

(23)

• Kommuner

• Datasäkerhetsföretag • Polisen

• Datakonsultföretag • Programvaruföretag • ...

(24)

IT-forensiker behövs

Dalarnas tidningar 16/4-2010

Kvinna åtalad för stämpling till mord

Kvinnan ska i januari i år ha anlitat en person i Ludvika för att ta livet av hennes make.

Enligt åtalet har kvinnan erbjudit personen från Ludvika pengar för att beröva makens liv. Att kvinnan haft kontakt med honom framgår bland annat av utskrifter från sms och

mobilsamtal.

Dalarnas tidningar den 29/1-2010

Allt började med en mordutredning

Mitt i en mordutredning hittade polisen ytterligare ett intressant spår. Uppgifter i en dator och en mobil kan vara det som riktade misstankar om sexbrott mot den före detta polischefen.

Det var i somras som en man föll från en balkong i Bredäng, en förort i södra Stockholm. En 39-årig man blev misstänkt för att ligga bakom dödsfallet. Även två kvinnor åtalades för olaga frihetsberövande mot den avlidne mannen.

Dalarnas tidningar den 20/5-2011

Borlängebo åtalas för barnporrbrott

DALARNA Det började med ett tips till polisen om en man i Borlänge som kunde ha begått sexuella övergrepp.

I dag åtalades den 43-årige mannen tillsammans med 23 kvinnor för barnpornografibrott.

Det handlade om bilder och filmer på barn som spridits via nätet.

– Där började ärendet, vi gjorde en husrannsakan och beslutade att han skulle gripas, säger Eric Marsh.

(25)

Arbetsmarknad

Vi söker nu handläggare IT-underrättelse till vår Länsunderrättelseenhet med placering i Karlstad

Polismyndigheten i Kalmar län söker en IT-forensiker med

placering i Kalmar. Anställningen är en tillsvidareanställning. Sista

ansökningsdag är den 24 november.

(26)

Frågor?

Webblänkar

• Presentationen

– http://www.facebook.com/du.digitalforensics

• Bra artikel att läsa för dig som funderar på yrket

http://computer- forensics.sans.org/blog/2010/08/20/getting-started-digital-forensics-what-takes/

• Högskolan Dalarna – Digitalbrott och eSäkerhet

References

Download now ( PDF - 26 Page - 2.36 MB )

Related documents

Testing Alcohol Myopia Theory: Examining the effects of alcohol intoxication on

Accuracy scores for the central flash counting task did not differ between treatment groups, but scores for peripheral probe identification were lower in the alcohol group..

Advertising offer for product campaigns

- testy - own editorial tests including satellite and DVB-T equipment tests - nowe produkty - descriptions of new products on digital TV market.. - info - reports from the

Ultra-diffuse Galaxies at Ultraviolet Wavelengths

the 189 nondetections have lower limits on the NUV − r that place them redder than the blue cloud, demonstrating that the majority of the candidates are not star-forming, low

A Systems Engineering Approach to Engine Cooling Design

• Cost of Ownership • Customer Life Cycle • Emissions Vehicle Body Cooling System Climate Control Chassis Powertrain Electrical Temperature Contol Subsystem Heat Dissipation

EZ

;!entes, / , Salas / 6, ernedo, '/, and Barcia, /A, (201H) ;!entes, / , Salas / 6, ernedo, '/, and Barcia, /A, (201H) cond!cted a st!dy

c4

If a 2-volt instantaneous value of modulating signal amplitude causes a 10-kHz deviation in carrier frequency, what is the deviation sensitivity of the modulator.. ANS: 5 kHz

How Contemporary Anti-Semitism Is Influenced by Historical Precedent and Psychological Processes

Anti-Semitism, not a new concept, is highly prevalent in America today, due in part to historical precedent and various psychological aspects including the mimetic scape goat

Nonlithographic manufacturing of 1-D silicon nanostructures with tunable surface morphology via thermal dewetting and metal-assisted chemical etching

surface at controlled deposition rate and thickness (step 1) (b), thin-films are annealed in vacuum breaking into individual particles (step 2), sub-120 nm Ag particles are