IT-forensiskt seminarium 2010-10-20 10:00-14:15 D215 http://www.hh.se/dt2006 Foto:FUTURE15PIC (CC)
IT-forensiskt seminarium 2010-10-20 10:00-14:15 D215 Seminarieledare och redigering: Mattias Weckstén SCHEMA 10:00-10:15 Kaffe och öppnande 10:15-10:30 Honeypots 10:30-10:45 Försvar mot moderna överbelastningsattacker 10:45-11:00 Projekt AFV2 11:00-11:15 Paus 11:15-11:30 Utvärdering av lösenordsstrategier 11:30-11:45 Anti-Forensik - En översikt 11:45-12:00 Penetrationstestning i praktiken - med fokus på Adobes PDF-svit 12:00-13:15 Paus / Lunch 13:15-13:30 Experiment avseende spårbarheten av initiala lokala spår av skickad och mottagen textsträng... 13:30-13:45 MySQL injection 13:45-14:00 Anti-forensics 14:00-14:15 Avslutning
Honeypots Jonas Rådström Den här artikeln handlar om Honeypots, hur Honeypots uppfanns och varför, samt andra olika typer av av fällor inom informationssystem. Målet med den här artikeln är att förmedla information om hur Honeypots används idag inom olika typer av företag, hur dem är uppbyggda, och syftet med att använda olika typer av Honeypots. Artikeln kommer innehålla hur man samlar in information, samt granskar Honeypotsen efter fällan utlösts. Vad artikeln även kommer omfatta är egna laborationer där en Honeypot skall sättas i drift, samt tillvägagångssätt.
Försvar mot moderna överbelastningsattacker Stellan Salomonsson I takt med att botnäten har vuxit i antal och styrka, samt blivit kommersiellt tillgängliga på den svarta marknaden har också överbelastningsattackerna ökat och blivit svårare att försvara sig mot med hjälp av traditionella medel så som brandväggar och överprovisionering av bandbredd, i den här rapporten ger jag en översiktsbild av hur situationen med "ddos-attacker" ser ut idag och vilka metoder det finns för att minimera en sådan attacks effektivitet.
Projekt AFV2 Linus Barkman Sebastian Johansson Mål Utvinna ram-dumpar från 3 os, win7 winxp och en linuxdist. Med fokus på win7. Analysera dumpen och se vad man kan hitta där, lösenord cookies, history osv. Installera os virtuellt, installera x antal program (firefox, msn, truecrypt samt analysera inloggning till windows) och använda oss av minst ett dump-program men gärna fler. Program som vi kommer använda för att skapa dumpar och analysera är volatility 1.1.2, encase och win32dd (moonsols) om tid finns. Metod först fick vi börja med att leta programvaror för att skapa dumpar och även analysera dessa. Efter lite research hittade vi ett par olika program som verkade intressanta. Dessa program var FTK imager lite version 2.9.0, volatility 1.1.2 och win32dd (moonsols). Beroende på tidsåtgång kommer vi börja med att använda ett program, ftk, och finns det tid över ska vi även försöka hinna med dom andra programvarorna.
Utvärdering av lösenordsstrategier Christian Johansson Robin Nilsson Idag kan man i princip sitta vart som helst i hela världen med hjälp av Internet. Genom att kunna utföra en handling vars identitet kan vara anonym, så behöver effekten inte inträffa där man befinner sig. En person som begår en brottslig gärning kan då befinna sig i ett land där jurisdiktionen inte finns, vilket kan leda till att brottet inte anses som en brottslig handling. Detta kan i sin tur medföra svårigheter med spårning på Internet och det kan även vara omöjligt att sätta dit personen. Säkerheten är tyvärr något som oftast glöms bort och därför inte prioriteras i första hand. Detta beror på att marknaden ständigt kräver nya behov av datatekniken. Rapporten tar upp olika lösenordsstrategier som idag används för att skydda sitt lösenord på ett lämpligt sätt. Många olika metoder och verktyg finns tillgängliga för användning, vilket inte behöver vara särskilt svårt att få tag på. Genom experiment och analysering har vi undersökt säkerheten på olika system och filer för att få mer kunskaper om diverse lösenordsstrategier.
Anti-Forensik - En översikt Joakim Blomberg Fredrik Sakac Antalet personer som använder datorer både hemma och i arbetet ökar ständigt, och det gör också antalet känsliga uppgifter som ligger på datorerna. Förr var det kanske främst polis och andra myndigheter som hade resurser till att göra större forensiska analyser på datorer, men idag finns det fullt av gratisverktyg på internet som gör ungefär samma sak som polisens verktyg. På internet är det också enkelt att söka utförlig information om hur man går tillväga för att använda verktygen. I och med att det inte bara är myndigheter som har tillgång till it-forensiska verktyg längre så är det viktigt att skydda sin data, även om det ibland kanske är lämpligt att skydda den från myndigheter också. Den här artikeln går ut på att få en bild av vanliga tekniker man kan använda för att motverka forensiska analyser. Vi går igenom tekniker och verktyg men vi går inte noggrant igenom hur ett visst verktyg fungerar, vi berättar att det finns, vad det gör och varför det kan vara bra att använda.
Penetrationstestning i praktiken - med fokus på Adobes PDF-svit Stefan Björk Olsén Mängden program vi installerar på våra datorer ökar lavinartat men trots det så känner vi praktiskt taget inte till hur någon av dessa fungerar och en såpass enkel fråga hurvida en person eller ett företag håller all sin mjukvara uppdaterad har på senare år blivigt näst intill omöjlig att svara på. Det problem vi står inför är att ett av dessa oupdaterade program är en potentiell säkerhetsrisk, vilket vi nyligen fick uppleva med Adobes PDF-svit. En något oupdaterad Adobe Reader och ett oskylldigt mail från tillsynes en kollega innehållandes en PDF var allt som räckte för att potentiellt osäkra ett företagssystem. Målet med detta arbete är att dels få en uppfattning om allvaret och omfattningen av den valda sårbarheten men även att belysa penetrationstestningens betydelse för ITsamhället. Arbetet kommer först att täcka en teoretiskt del men även en praktiskt där en kort demonstration av både Adobe exploiten men även hur man upptäcker den med hjälp av såkallad penetrationstestning.
Experiment avseende spårbarheten av initiala lokala spår av skickad och mottagen textsträng och visningsbild från sociala medier och chattar, med hjälp av verktyget EnCase Ali Celik Andreas Flygare Chattar och Sociala medier är idag inte bara något generations unikt utan en del av det vardagliga livet. Internet tillhandahåller en uppsjö av möjligheter att kommunicera utan gränser. Detta ger också en rad möjligheter för brott och andra olämpligheter. Enligt Friends är var sjätte tonåring i åldern 9-16 utsatta för e-mobbning och enligt Ungdomsbarometern 2009 har 6 av 10 tjejer mellan åldern 15-18 år blivit utsatta för oönskade sexuella kontakter på internet. Andra brott som kan ske i koppling till chattar och sociala medier är även förtalsbrott, stalking och bedrägeribrott. Vi har därför som delmoment till vårt examensarbete gjort ett experiment avseende spårbarheten av initiala lokala spår av skickad och mottagen textsträng & visningsbild från sociala medier & chattar, med hjälp av verktyget EnCase
MySQL injection Tomas Myung Hjartarson Peter Sundström Många hemsidor behöver någon slags databas. MySQL är väldigt populärt och används flitigt. Vårt projekt går ut på att visa vissa svagheter hos MySQL kombinerat med kodningsspråket PHP. Vi kommer att visa hur man kan få fram information från MySQL databasen via SQL-Injection metoden där man utnyttjar antigen URL fältet på webbläsaren eller olika inmatningsfönster som hemsidan har. Vi kommer även visa hur man kan skydda sig via smart kodning i PHP.
Anti-forensics Afrim Cerimi Joakim Norén Anti-forensics vad är det? Man kan förklara det som att anti-forensics är en allmän term för en uppsättning tekniker som används som motåtgärder till forensisk undersökning. Anti-forensics kan vara allt från en viss taktik/strategi till programvara som utför en motåtgärd, men kan även vara fysisk som till exempel att förstöra en hårddisk fysiskt genom att slå sönder den eller bränna upp den. Anti-forensics kanske låter som att det endast är till för att förstöra för utredare och polis. Men kan i själva verket vara något positivt för den allmänna säkerheten i datorvärlden. Forensiska verktyg används såklart även av hackers och andra kriminella för att nå ekonomisk framgång. Det är enkelt att få fram information om hur de Itforensiska programmen arbetar eftersom efter en rättegång är oftast det mesta offentligt och där kan man relativt enkelt skapa sig en bild över hur It-forensiker arbetar. Kopior av EnCase, vilket är ett program som används av många myndigheter, inkluderat svenska polisen finns tillgängligt att ladda ner via diverse fildelnings sajter. Ett bra sätt att skydda sitt datorsystem och därmed innehållet i det, kan ju vara att just använda sig av Antiforensics. Några av de alternativ vi sett närmre på är: Kryptera känslig information, manipulera MD5/filsignatur eller fullständigt radera känslig information.