IT- Forensik och informationssäkerhet Kandidatseminarium 2011-05-19 13:15-17:30 R1107 Foto:FUTURE15PIC (CC)
IT- Forensik och informationssäkerhet Kandidatseminarium 2011-05-19 13:15-17:30 R1107 Seminarieledare : Urban Bilstrup SCHEMA 13:15-13:45 Motåtgärder vid IT-forensisk liveanalys Joakim Norén och Afrim Cerimi 13:45-14:15 Påvisning av konsistent datautvinning ur volatilt minne under live-respons Christian Johansson och Robin Nilsson 14:15-14:45 Automatiserad aktiv penetrationstest med Me tasploit framework via webbplatser Joakim Blomberg, Tomas Myung Hjartarson och Fredrik Sakac 14:45-15:15 Utvinning och analys av postitionsdata från GPSenheter Sebastian Johansson och Peter Sundström 15:15-15:30 Paus 15:30-16:00 Datorkluster för framställning av 3D-grafik Stellan Salomonsson 16:00-16:30 Digital mobbning - en explorativ fallstudie med särskilt fokus på utredning Ali Celik och Andreas Flygare 16:30-17:00 Detektering av krypterade filer Linus Barkman 17:00-17:30 Säkerhet i IT-system Stefan Björk-Olsén och Jonas Rådström
Motåtgärder vid IT-forensisk liveanalys Joakim Norén Afrim Cerimi Liveanalys är ett begrepp som i detta arbete innebär att man undersöker ett datorsystem under tiden det är igång. Detta kan göras av flera skäl, t.ex. när det är risk för att kryptering finns på systemet vilket kan aktiveras när det stängs ner. Annars är det vanligt om man vill undersöka nätverkskopplingar, aktiva processer eller andra företeelser som kan vara volatila, dvs. försvinner när systemet stängs ner. Detta arbete kommer att ha fokus på motåtgärder vid forensisk liveanalys och redogöra för olika metoder och strategier som kan användas för dessa motåtgärder. Vi har bland annat skrivit ett program som automatiskt stänger ner systemet när man sätter i ett USB-minne eller annan media. Dessa media är oftast de man har sina forensiska program på när man ska göra en liveanalys. Andra viktiga element i arbetet är användning av kryptering, registret, tidstämplar och sabotagekod för att försvåra liveanalysen. Vår analys i ämnet visar att det är relativt enkelt att förhindra att en liveanalys kan utföras på ett tillförlitligt sätt.
Påvisning av konsistent datautvinning ur volatilt minne under liverespons Christian Johansson Robin Nilsson Denna rapport behandlar ett specifikt område inom IT-forensik och informationssäkerhet. Då en berörd part behöver agera i ett skarpt läge, kan kunskaperna om volatilt minne vara avgörande. I takt med att IT-brott har ökat dramatiskt, har det också bidragit till en enorm utveckling inom de forensiska ramarna. IT-forensikerns handlingar är av avgörande karaktär då minnet förändras kontinuerligt, därför eftersträvas minimala förändringar på systemet. Ett datorsystem är utrustat med ett fysiskt minne vars syfte är att temporärt lagra information då det är aktivt. Detta minne kan vara en rik informationskälla ur ett forensiskt perspektiv. Volatilt minne är uppbyggt av binärkod som går att analysera med hjälp av verktyg. Idag finns det ett stort utbud av verktyg för allmänheten och myndigheter, därför begränsas rapporten med inriktning mot kommersiella metoder. För att effektivisera det praktiska utförandet, tillämpas virtualisering som underlättar påvisning av konsistent datautvinning. Vid experimenterande av volatilt minne erhölls framgångsrika resultat där det gick att fastställa förändringar i minnesallokeringen. Då ett program exekveras, resulterar det i märkbara förändringar som går att urskilja i det fysiska minnet. När verktyget sedan har utfört sina givna instruktioner, går det att tolka den procentuella skillnaden mellan minnes-dumparna. Detta bidrog till de förutbestämda målen. Det fysiska minnet är ett relativt nytt och outforskat tekniskt område. Valmöjligheten för en minnesutvinning kan innefatta allt från hårdvaru- till mjukvarulösningar där tyngden på denna rapport baseras på mjukvaror. Alla IT-forensiker bör få upp ögonen för denna informations-tillgång som kan vara nyckeln till framgång under liverespons.
Automatiserad aktiv penetrationstest med Metasploit framework via webbplatser Joakim Blomberg Tomas Myung Hjartarson Fredrik Sakac I dagens samhälle har internet blivit en stor del av vårt dagliga liv. Nu utför man nästan alla sina ärenden på internet via olika webbplatser. Man handlar böcker, elektronik, utför bankärenden och läser nyheterna. Många antar att dessa webbplatser är säkra, men de flesta är medvetna om någon typ av hot på internet. De vet att man inte ska öppna program eller filer man inte känner igen, dock finns det fler faror. Vårt projekt går ut på att skapa en automatiserad process som visar dessa faror. Vi vill visa att det räcker med att gå in på en webbplats för att kunna bli utsatt för dataintrång. Vi använder en LAMP-server för att tillhandahålla webbplatsen och Metasploit Framework för att åstadkomma det automatiska intrånget. När intrångsförsöket är slutfört presenteras resultatet för användarna som då vet om de är sårbara för Metasploits verktyg. Vi visar detta både genom text på webbplatsen och modifieringar på användarnas system. Som avslutning ser vi till att inga bakdörrar eller dylikt från Metasploit finns kvar på systemet.
Utvinning och analys av positionsdata från GPS-enheter Sebastian Johansson Peter Sundström Inom IT-forensik får man ofta i uppgift att analysera olika digitala media, ett av dessa media är GPS-enheter som används i större utsträckning för varje år som går. Med denna rapport vill vi framföra de hinder och möjligheter som finns med denna typ av analys. Vi kommer att jämföra färdig mjukvara och även använda oss av forensiska verktyg, bland annat EnCase. Läsaren skall ha fått en liten förståelse för de metoder som finns för att analysera GPSenheter och vilken problematik som tillkommer vid analysen. Rapporten presenterar hur man med olika metoder kommer åt GPS-enhetens tidigare rutter, skapade favoriter och annan information som finns lagrad på enheten. Mängden information som finns varierar stort med vilken typ av enhet man analyserar.
Datorkluster för framställning av 3D-grafik Stellan Salomonsson Processorkraft är ett stort behov för framställning/rendering av 3D-modellerad grafik. Istället för att låta datorn som en 3D-grafiker arbetar på sköta denna beräkning kan man sätta upp ett datorkluster på nätverket där renderingen utförs. Detta för att avlasta arbetsdatorns processor och för att minska renderingstiden. Den här rapporten behandlar konfigurationen och införandet av ett sådant system på arkitektfirman White Arkitekter AB
Digital mobbning - en explorativ fallstudie med särskilt fokus på utredning Ali Celik Andreas Flygare Stiftelsen för Internetinfrastruktur har rapporterat att användningen av internet är utbredd och placerar Sverige bland dem bästa av världens länder. År 2010 hade 84 procent av den svenska befolkningen över 16 år tillgång till internet i hemmet och av dessa hade 97 procent bredband. De flitigaste internetanvändarna återfanns inom åldersgruppen 16-24 år där hela 92 procent uppger att de använder internet dagligen. Utbredningen av internet är i huvudsak positiv och bidrar till det gemensamma samtalet i samhället. Den leder dock samtidigt till en rad nya problem som samhället har att hantera. Ett av dem är kränkande behandling och mobbning som fått helt nya dimensioner när de sker över internet. Kränkningar över internet får en spridning som är svår att hantera och bemöta för den som är utsatt. När kränkningarna passerar gränsen för vad som är brottsligt enligt Brottsbalken ställs polisen inför dessa nya utmaningar. Vårt syfte har varit att med en explorativ fallstudie belysa hur rättsväsendet reagerar på denna nya form av kränkningar, innefattande avvägningen att inleda en polisutredning, utredningens genomförfarande och domstolens bedömning och utslag. Vi utgår från ett fall av kränkningar som av domstolen rubricerats som grovt förtal. Gärningsmännen är ett antal unga män i åldrarna femton till nitton år. De har gjort filmer om flickor med kränkande innehåll och grova sexuella anspelningar och sedan spridit filmerna via chattnätverket MSN och även videohemsidan Youtube. Ett fyrtiotal flickor har enligt utredningen drabbats. Vi har granskat förundersökningsprotokoll och domstolens utslag samt intervjuat förundersökningsledare på polismyndigheten som utredde fallet för att belysa fenomenet kränkande behandling över internet och diskutera kring hur samhällets åtgärder skulle kunna förbättras.
Detektering av krypterade filer Linus Barkman The contemporary encryption has in excess of cracking encrypted files arisen yet another problem; being able to detect encrypted files. The encryption software Truecrypt can encrypt files that are not possible to identify with a file signature, all data appears to be random. To solve the detection problem, such files was derived a detection software that detects random data. The program was written in the programming language EnScript which is built into the forensic software suite EnCase. A chi square test was used to detect random data. The program managed to detect encrypted files that were created with Truecrypt. Test results indicate that the newly developed program is 15 % faster and has at least the same accuracy in the detection as other programs. The software is licensed under open source standard GNU GPL. The procedure developed will drastically facilitate for computer forensic experts to detect if any existing encrypted file is located on the victims hard drive.
Säkerhet i IT-system Stefan Björk-Olsén Jonas Rådström Behovet av IT-säkerhet ökar i takt med att datorsystem mer och mer blir en del av vardagen. En fråga man borde ställa sig är då om detta behov faktiskt uppfylls, vilket vi efter att ha iakttagit bristande IT-säkerhet på marknaden enkelt kan svara med ett rungande Nej. Företag kopplar ihop allt fler av sina system till nätverk som de sedan kopplar ut på internet, utan att för den delen lägga ner mer resurser på säkerhet nu än vad de gjorde för 10 år sedan. I kombination med den bristande personalutbildning inom ITämnet som råder hos många företag, skapar detta en väldigt osäker datormiljö. Målet med detta arbete är delvis att belysa vanliga kritiska punkter i företags ITsäkerhet, men fokus ligger framför allt på att utarbeta en detaljerad grund för företag att modellera sina säkerhetsrutiner efter. För att begränsa arbetets omfattning något så är vårt avseende att framför allt täcka de områden som vi studerat via kursinnehåll på det IT-forensiska programmet vid Högskolan i Halmstad, såsom policy-hantering, nätverksdesign och datorsäkerhet men även fysisk säkerhet och planering därav av företagskritiska områden såsom produktionsavdelningar och serverrum. Arbetet kommer dels basera sig på moderna tekniker och praxis, och även arbeta mot ISO-standarden för att ge en så komplett IT-säkerhetsmodell som möjligt. Slutresultatet av projektet är tänkt att ligga som en modern bas för en IT-säkerhetsmodell, som sedan kan byggas på och anpassas för specifika företag, eller expanderas till en fullständig modell för modern IT-säkerhet.