Undersökningsprotokoll



Relevanta dokument
ÅTVID.NET Startinstruktioner

Installation och setup av Net-controller AXCARD DS-202

Linuxadministration 2 1DV421 - Laborationer Webbservern Apache, Mailtjänster, Klustring, Katalogtjänster

Installationsanvisningar

Installationsguide, Marvin Midi Server

DIG IN TO Dator och nätverksteknik

1. Inkoppling till bredbandsnätet

Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Övningar - Datorkommunikation

LABORATIONSRAPPORT Säkerhet och Sårbarhet Laboration 1 Brandväggar

TW100-S4W1CA. Bredbandsrouter (med 4-ports switch) (vers. E) Snabbinstallationsguide

Systemkrav och tekniska förutsättningar

Installationsanvisningar

Kom igång med Etikettskrivaren 1. Ladda ner följande installationsprogram Ladda ner Drivrutiner för etikettskrivare Zebra

1. Inkoppling till bredbandsnätet

Webbservrar, severskript & webbproduktion

Innehåll. Dokumentet gäller från och med version

Unix-miljöer i större sammanhang

INKOPPLINGSBESKRIVNING KABEL-TV-MODEM

Arbetsuppgift 1: På virtuell maskin med Ubuntuserver, skapa katalog och skapa Dockerfile. Skapa ny katalog i din hemmakatalog, med namnet webbserver.

Win95/98 Nätverks Kompendium. av DRIFTGRUPPEN

Om installationsskärmen inte visas efter en minut startar du CD-skivan manuellt:

Tips: Titta på relevanta genomgångar på webbplatsen

Marcus Wilhelmsson 12 april 2013

Installation av. Vitec Online

Hur BitTorrent fungerar

Innehåll. MySQL Grundkurs

Linuxadministration I 1DV417 - Laboration 5 Brandvägg och DNS. Marcus Wilhelmsson marcus.wilhelmsson@lnu.se 19 februari 2013

Linuxadministration I 1DV417 - Laboration 4 Nätverk, DHCP, säkerhetskopiering, processhantering, Samba och NFS

Fas I: Hur man hittar en ledig IP-adress

Konfigurera Xenta från Babs

Inlämningsuppgift 12b Router med WiFi. Här ska du: Installera och konfigurera en trådlös router i nätverket.

Skapa din egen MediaWiki

Instruktion för installation av etikettskrivare 2.31

Detta är en guide för snabbinstallation av IP kameran För fullständig programfunktion hänvisar vi till medföljande manual.

Aktivera och använda EtherTalk för Mac OS 9.x. Om du använder EtherTalk behövs ingen IP-adress för Macintosh-datorer.

Installera din WordPress med 9 enkla steg

GIVETVIS. SKA DU HA INTERNET I DIN LÄGENHET! En guide till hur du installerar internet i ditt nya hem.

Eltako FVS. 6 steg för att aktivera fjärrstyrning med hjälp av din smartphone (Mobil klient)

Dokumentation för VLDIT AB. Online classroom

SkeKraft Bredband Installationsguide

För att kunna kommunicera i bredbandsnätet krävs följande:

Windows 2000, Windows XP och Windows Server 2003

1DV416 Windowsadministration I, 7.5hp MODULE 3 ACTIVE DIRECTORY

Innehållsförteckning. Användarmanual för Lockbee Backup Databas 2009

Handbok för Google Cloud Print

Handbok Remote Access TBRA

Användardokumentation för CuMaP-PC. Fleranvändarsystem och behörigheter

LABORATION 1 Pingpong och Installation av Server 2008 R2

Installationsanvisningar HogiaFastighet Pro

Instruktion för installation av etikettskrivare 2.27

Sätta ett fast ip-nummer i klockan

EMIT TIDTAGNINGSSYSTEM EN KORT INTRODUKTION

Norman Endpoint Protection (NPRO) installationsguide

Rekommendationer teknisk lösning_samsa_ ver

Installation av Topocad

emopluppen Installationsmanual

DATA CIRKEL VÅREN 2014

IT-ENHETEN

TEKNISK SPECIFIKATION. för TIDOMAT Portal version 1.7

Konfiguration av LUPP synkronisering

8 Bilaga: Installationer

Installationsanvisning För dig som har valt fast IP-Adress

Windows NT 4.x. Förberedelser. Snabbinstallation från cd-skiva. Phaser 4500 laserskrivare

För att kunna kommunicera i kabel-tv-nätet krävs följande:

Konfiguration av synkronisering fo r MSB RIB Lupp

Anslut till fjärr-whiteboard

Installera nätverksversion av Hogia ART

Tack för att du har köpt CPE. CPE-enheten ger dig trådlös nätverksanslutning med hög hastighet.

Felsökningsguide för Asgari-kameror

Windows NT 4.x. Förberedelser. Snabbinstallation från cd-skiva. Phaser 6250 färglaserskrivare

VideoJet X SN. Nätverksvideoserver. Snabbinstallationshandbok

Windows 2000/XP-nätverk

Din manual XEROX COLORQUBE

Installationsanvisning Bredband

IDE USB kabel Windows XP, Vista 7 löäzxcvbnmqwertyuiopåasdfghjklöäz [Version 1.4, ]

GIVETVIS. SKA DU HA INTERNET I DIN LÄGENHET! En guide till hur du installerar internet i ditt nya hem.

Administrationsmanual ImageBank 2

Innehållsförteckning GavleNet Silver

Startanvisning för Bornets Internet

Kamera. Dome-kamera för nätverk. Snabbstartguide svenska. Denna snabbstartguide gäller för: DS-2CD2712F-I(S), UD.6L0201B1255A01EU

Handbok för AirPrint. Information om AirPrint. Tillvägagångssätt för inställning. Utskrift. Bilaga

Meditech. CardioVisions. version 1.19.xx. Installationshandledning

Inlämningsuppgift 11e Nätvärksskrivare

Inledning LAMP Perl Python.

Installationsanvisning - Kopplingen mellan GK96 och golf.se -

Capitex dataservertjänst

Krav: * Filen MpUpdate.exe får inte köras när du startar denna uppdatering.

Design Collaboration Suite

Spara papper! Skriv inte ut sammanfattning utan ladda ner PDF!

Stiftelsen MHS-Bostäder Instruktioner och felsökningsguide för Internetanslutning

LASERJET ENTERPRISE M4555 MFP-SERIEN. Installationsguide för programvara

Handbok för installation av programvara

Installationsguide / Användarmanual

Version Namn Datum Beskrivning 1.0 Förutsättningar Vitec Ekonomi 1.1 Marie Justering för krav på Windows Server

Biometria Violweb. Kom-igång-guide. Mars Sammanfattning Den här anvisningen är till för dig som ska börja använda dig av Biometrias tjänster.

Anslutningar och Internet Protocol (TCP/IP)

>chivaavi^dch\j^yz ^cizgczi. DeZgVi^khnhiZb L^cYdlh ME

Din manual ARCHOS 604 WIFI

Transkript:

Polismyndigheten i Stockholms län Länskriminalpolisen Utredningsroteln Strategiska sektionen IT-forensiska gruppen Datum 2007-02-18 Diarienummer TNR /7-07 902 Undersökningsprotokoll av datorer märkta TRACKER-WWW1 till TRACKER-WWW5 Utredningsman Krinsp Jim Keyzer och John Stéenmark Handläggare på IT-forensiska gruppen Kriminalinspektör John Stéenmark Brottsdatum Brottsadress Beställande enhet LU/S Medundersökare Telefon till utredningsman Ärendetyp Upphovsrättsbrott Inkom till IT-forensiska gruppen 2006-05-31 Undersökningsadress Kungsholmsgatan 37 Undersökningstyp Undersökningen påbörjad datum 2006-05-31 Analys av IT-media Klockan Grunden I samband med utredningen K101917-06 gjordes en husrannsakan på Palmfeldtsvägen 5 i Stockholm. Ett antal datorer togs där i beslag. Frågeställning har uppstått om nedan nämnda datorer kan ha haft samma uppgift i The Pirate Bay s konfiguration. Sammanfattande resultat Det är sannolikt att de analyserade datorerna har haft samma funktion i The Pirate Bay s konfiguration. Samtliga har haft webbservern Apache installerad och haft identiska php filer med referensmaskinen. Samtliga har varit konfigurerade med IPadresser/nätmasker och datornamn som möjliggjort kommunikation med datorn med beslagsnummer 0240-06-587 punkt 1- vilken innehöll MySql databasen och vars funktion är central i The Pirate Bay. Denna dator var konfigurerad med IP adressen 192.168.0.12 och nätmask 255.255.255.0. I denna dators hosts fil var samtliga analyserade datorers nedan nämnda IP adresser kopplade till datornamn. Varför ett flertal datorer sannolikt använts för samma uppgift beror förmodligen på att det är ett sätt lastbalansera trafiken (flera datorer delar på samma uppgift). Sid 1

Förklaringar 903 Apache kan beskrivas som en programvara som hanterar själva webbsidan och dess innehåll gentemot de datorer som önskar koppla upp sig utifrån. Php är ett skriptspråk som finns i filer som bygger upp det innehåll som syns i webbläsaren då siten The Pirate Bay besöks. Hosts filen används av den dator som vill kontakta en annan dator i ett nätverk. I filen står datornamnet kopplat till IP adress som behövs för att kommunicera. Detta gör att den kontaktande datorn inte behöver använda sig av en s.k. dns server om kommunikationen initieras med datornamn utan kommunikationen datorerna i mellan kan ske snabbt i det lokala nätverket. IPadress och nätmask används för att identifiera och möjliggöra kommunikation mellan datorer i ett nätverk. Arbetsbeskrivning Datorernas interna hårddiskar monterades ur de beslagtagna datorerna och placerades i en analysmiljö. Hårddiskarnas hela innehåll har därefter kopierats till en annan, tom, hårddisk. Genom detta förfaringssätt säkerställs att ingen information förvanskas, läggs till eller tas bort från den ursprungliga hårddisken. All undersökning har skett från den innehållsmässigt identiska arbetskopian. Innehållet har analyserats med hjälp av ett analysprogram vilket möjliggör åtkomst till raderat utrymme. Programmet ger vidare tillgång till utrymme på lagringsmediet som den normale användaren vanligtvis inte kan komma åt. Analys På de bilder och filmer, som finns tagna av personal som befann sig på plats på Palmfeldtsvägen 5, går det att se att samtliga datorer satt monterade tillsammans i samma serverrack- B6. De var placerade och märkta i tillsynes logisk ordning och samtliga maskiner föreföll vara igång. På ett kopplings schema som var upprättat går det att se att samtliga maskiner var kopplade via nätverkskabel till en switch. En jämförelse har gjorts mellan de aktuella datorerna och en referensmaskin- datorn märkt TRACKER_WWW1 med beslagsnummer 0240-06-587 punkt 6. Denna dator användes vid den testkörning som gjordes av delar av The Pirate Bay s datorer som sattes upp i ett lokalt nätverk med hjälp av klonade hårddiskar i originaldatorer. Då denna dator vid detta tillfälle agerade webbserver har de filer som ingått i de kataloger som dels utgjort själva innehållet på The Pirate Bay`s hemsida och de filer som ingått i katalogerna för webbservern Apache hash summerats med hjälp av MD5 hash algoritm. Md5 kan förklaras som en matematisk formel som med en mycket stor säkerhet kan påvisa att innehållet i två filer är identiska. Sid 2

904 Beslagspunkt 0240-06-587 punkt 6: dator märkt TRACKER_WWW1 (Referensmaskin) Sökvägen /var/tracker/httpd innehöll 1660 stycken filer. I denna sökväg var webbserver programvaran Apache installerad Sökvägen /var/tracker/www innehöll 151 stycken php filer. Datornamn var www1.thepiratebay.org. IP adressen 192.168.0.5 med nätmask 255.255.255.0 var konfigurerad på datorn. I hostsfilen på datorn med beslagsnummer 0240-06-587 punkt 1- vilken innehöll MySql databasen och vars funktion är central i The Pirate Bay - fanns IPadressen 192.168.0.5 kopplad mot datornamnet www1.thepiratebay.org. Beslagspunkt 0240-06-587 punkt 7: dator märkt TRACKER_WWW2 1344 stycken av dessa filer hade samma hashvärde d.v.s. hade identiskt samma innehåll som referensmaskinen. Datornamn var www2.thepiratebay.org IP adressen 192.168.0.6 med nätmask 255.255.255.0 var konfigurerad på datorn. 192.168.0.6 kopplad mot datornamnet www2.thepiratebay.org. Beslagspunkt 0240-06-587 punkt 8: dator märkt TRACKER_WWW3 1344 stycken av dessa filer hade samma hashvärde d.v.s. hade identiskt samma innehåll som referensmaskinen. Datornamn var www3.thepiratebay.org IP adressen 192.168.0.7 med nätmask 255.255.255.0 var konfigurerad på datorn. 192.168.0.7 kopplad mot datornamnet www3.thepiratebay.org Sid 3

905 Beslagspunkt 0240-06-587 punkt 9: dator märkt TRACKER_WWW4 1344 stycken av dessa filer hade samma hashvärde d.v.s. hade identiskt samma innehåll som referensmaskinen Datornamn var www4.thepiratebay.org IP adressen 192.168.0.8 med nätmask 255.255.255.0 var konfigurerad på datorn. 192.168.0.8 kopplad mot datornamnet www4.thepiratebay.org Beslagspunkt 0240-06-587 punkt 10: dator märkt TRACKER_WWW5 1343 stycken av dessa filer hade samma hashvärde d.v.s. hade identiskt samma innehåll som referensmaskinen Datornamn var www5.thepiratebay.org IP adressen 192.168.0.9 med nätmask 255.255.255.0 var konfigurerad på datorn. 192.168.0.9 kopplad mot datornamnet www5.thepiratebay.org Sid 4

Tekniska specifikationer 906 Systemenhet beslagsnummer 0240-06-587 punkt 6 Operativsystem: Slackware 10.0.0 Acquisition Hash: 01c4c4719a9d3c64ce1ff9e8b7973a4f Verify Hash: 01c4c4719a9d3c64ce1ff9e8b7973a4f Systemenhet beslagsnummer 0240-06-587 punkt 7 Operativsystem: Slackware 10.0.0 Acquisition Hash: 51de11dfa9bb9e2bbe2f9f77f90f9392 Verify Hash: 51de11dfa9bb9e2bbe2f9f77f90f9392 Systemenhet beslagsnummer 0240-06-587 punkt 8 Operativsystem: Slackware 10.1.0 Acquisition Hash: 48254253cf2c8a195847b347a554e58b Verify Hash: 48254253cf2c8a195847b347a554e58b Systemenhet beslagsnummer 0240-06-587 punkt 9 Operativsystem: Slackware 10.2.0 Acquisition Hash: 2c2432f285fad3f54f727105b0cbc70a Verify Hash: 2c2432f285fad3f54f727105b0cbc70a Sid 5

907 Systemenhet beslagsnummer 0240-06-587 punkt 10 Operativsystem: Slackware 10.1.0 Acquisition Hash: fe15dae0f05540a818b8d98a62ad43c8 Verify Hash: fe15dae0f05540a818b8d98a62ad43c8 Gods Materialmärkning Beslagsnr Beskrivning Anteckning /7-07/G001 0240-06-587 punkt 6 HP Proliant Dl 140 Märkt TRACKER_WWW1 /7-07/G002 0240-06-587 punkt 7 HP Proliant Dl 140 Märkt TRACKER _WWW2 /7-07/G003 0240-06-587 punkt 8 HP Proliant Dl 140 Märkt TRACKER _WWW3 /7-07/G004 0240-06-587 punkt 9 HP Proliant Dl 140 Märkt TRACKER _WWW4 /7-07/G005 0240-06-587 punkt 10 HP Proliant Dl 140 Märkt TRACKER _WWW5 Stockholm 2007-03-22 Kriminalinspektör John Stéenmark Sid 6