Digital Forensics Hans Jones Digitalbrott och esäkerhet
Vad är Digital Forensics? Ett relativt nytt datavetenskapligt område med hög teknisk nivå Definitioner The application of forensic science techniques to computerbased material The process of identifying, preserving, analyzing, and presenting digital evidence in a manner that is acceptable in a legal proceeding Hitta potentiella spår efter brottslig aktivitet i elektroniska system Koppla elektroniska bevis till rätt person Fastställa en exakt tidpunkt när något hänt Lagar och regler styr Sveriges Rikes Lag IT-policy eller ansvarsförbindelse
Arbetsplatser för IT-forensiker? IT-forensiker arbetar ofta som civilpoliser hos Läns- eller Rikskriminalpolisen Tullverket IT-forensiker kan jobba med ekonomisk brottslighet Skattemyndigheten Ekobrottsmyndigheten IT-forensiker kan även jobba hos Privata säkerhetsfirmor Företag specialiserade på dataräddning Försvarets radioanstalt och liknande organisationer Många utbildade IT-forensiker jobbar inom traditionella datakonsult yrken Datateknik, IT-säkerhet, programutveckling och testning
IT-forensikers kunskap och egenskaper? God kännedom om Hur de vanligaste operativsystemen och mjukvarorna fungerar Hårdvara Programmering Scriptspråk som Python Mjukvaror för forensiskt arbete Filsystem Krypteringstekniker Attackmetoder Mm, mm Uttrycka sig väl i tal och skrift Vara noggrann, objektiv och ordningsam
Den forensiska processen Olika ingångar From: Digital forensics on the cheap: teaching forensics using open source tools Richard D. Austin
Fysisk lagring Hårddiskar, USB minnen etc. Kopiera innehåll forensiskt med speciell hårdvara eller mjukvara Använda kryptografisk hashsumma - signatur Montera spegelkopia
Partitioner och filer Sektor Kluster Formatera disken? SSD? hej.txt
Fysisk undersökning Processa spegelkopian - kan ta lång tid! Bygger upp en databas utifrån spegelkopians innehåll Analysera och klassificera filers innehåll samt sortera dem i olika kategorier Header och suffix felaktigheter? Status redan känd, raderad etc. Typ bild, dokument etc. Slack och oanvänt utrymme Skapa sökindex över alla förekommande textsträngar Påminner om att surfa på webben och sätta bokmärken
Programvara
Carving och programvara Söker igenom hela volymen på byte nivå Hitta fragment av filer som inte tillhör filsystemet Gamla raderade filer eller filer som finns inbäddade i andra filer Skär ut filer genom att söka efter t.ex. text (ascii) eller efter fil-headers och footers (hex)
Live underökning och fånga internminne Om datorn är krypterad eller inte kan stängas av Samla in data med minimal påverkan av datorns tillstånd OS och mjukvarors status Spegelkopia Dumpa internminnet till en fil Undersöka med specialprogram eller hex-editor Bevis som inte skrivs till disk Dekrypterad information Sabotagekod
Nätverksteknik Hantera IT-incidenter Analysera loggar från olika slags tjänster och enheter Signaturer från nätverkets poliser (IDS) Dumpad trafikdata från switchar Protokollanalysatorer Network Miner
Fri programvara
Digitalbrott och esäkerhet IT-säkerhet Analys och spårning Penetrationstester Nätverkssäkerhet Kryptografi Biometri Traditionell datateknik Programmering Databaser Datakommunikation Operativsystem Algoritmer IT-forensisk teknik Datorer Nätverk Inbyggda system Telefoner Juridik
Ämnen i Digitalbrott och esäkehet Datateknik 90 hp Juridik 30 hp Matematik och statistik 15 hp Tillämpade kurser 30 hp Examensarbete 15 hp
Kurser i vår utbildning Årskurs 1 Årskurs 2 Årskurs 3 Inroduktion till ITforensisk teknik och IT-säkerhet Grundläggande programmering Internet och webbapplikationer Utredning av databrott Grundläggande IT-rätt Introduktion till operativsystem Scriptprogrammering Kriminalteknisk datavetenskap I Statistik inom datavetenskap och IT Databaser och Datautvinning Grundkurs i ITkriminalogi Etisk hackning och penetrationstest Datakommunikation för IT-säkerhet Avancerad programmering Datakommunikation för IT-säkerhet II Nätverkssäkerhet Undersökning och utveckling av mobila och inbyggda system, I Undersökning och utveckling av mobila och inbyggda system, 2 Biometriska äkthetsbevisningar Examensarbete för Kandidatexamen i Datateknik Matematik för datavetenskap Kryptografi Kriminalteknisk datavetenskap II
Inbyggda system 1 Antalet digitala prylar växer explosionsartat! Assembler programmering introduktion Android programmering och undersökning
Inbyggda system 2 Mobila system och verktyg Mobil infrastruktur Flash minnesteknik SMS och MMS SIM och smartcards Positioneringstekniker GPS, CellID, Karva ut bevis ur mobiltelefoners digitala hexdumpar med olika verktyg
Telefon exempel Ett testprogram för att samla in forensisk data via content providers och oprivilegierade systemanrop
Avancerad forensik och etisk hackning Windows registret Reverse enginering och filanalys GIS (Geografiska Informations System) och positionsspårning Hitta/begränsa sårbarheter inom IT Pen-test, attackverktyg och virtuella operativsystem Attacker på hashar, krypto, nätverk, applikationer och webb applikationer Analysera sabotagekod
Exempel Programmera GPU (Graphics Processing Unit) med OpenCL för lösenordsåterställning Forcera TrueCrypt kryptering Spåra med CellID, MAC adresser och Google Maps Webb spårning av mail, chattar etc. Skriva egna attackmoduler i MetaSploit
Andra samarbeten Högskolan Dalarna är delaktig i Cisco s Networking Academy program Ansluten 2001 Dryga 700 studenter sedan start CCNA och CCNP AccessData Forensics ACE MSAB Polisen
Examensarbeten Kommuner Datasäkerhetsföretag Polisen Datakonsultföretag Programvaruföretag...
IT-forensiker behövs Dalarnas tidningar den 29/1-2010 Dalarnas tidningar 16/4-2010 Kvinna åtalad för stämpling till mord Kvinnan ska i januari i år ha anlitat en person i Ludvika för att ta livet av hennes make. Enligt åtalet har kvinnan erbjudit personen från Ludvika pengar för att beröva makens liv. Att kvinnan haft kontakt med honom framgår bland annat av utskrifter från sms och mobilsamtal. Allt började med en mordutredning Mitt i en mordutredning hittade polisen ytterligare ett intressant spår. Uppgifter i en dator och en mobil kan vara det som riktade misstankar om sexbrott mot den före detta polischefen. Det var i somras som en man föll från en balkong i Bredäng, en förort i södra Stockholm. En 39-årig man blev misstänkt för att ligga bakom dödsfallet. Även två kvinnor åtalades för olaga frihetsberövande mot den avlidne mannen. Dalarnas tidningar den 20/5-2011 Borlängebo åtalas för barnporrbrott DALARNA Det började med ett tips till polisen om en man i Borlänge som kunde ha begått sexuella övergrepp. I dag åtalades den 43-årige mannen tillsammans med 23 kvinnor för barnpornografibrott. Det handlade om bilder och filmer på barn som spridits via nätet. Där började ärendet, vi gjorde en husrannsakan och beslutade att han skulle gripas, säger Eric Marsh. Vid husrannsakan hittade polisen pornografiska bilder på barn i mannens dator och kunde se att de spridits vidare till flera personer via mejl och olika chattprogram.
Arbetsmarknad Polismyndigheten i Kalmar län söker en IT-forensiker med placering i Kalmar. Anställningen är en tillsvidareanställning. Sista ansökningsdag är den 24 november. Polismyndigheten i Södermanland söker en IT-forensiker till Tekniska roteln. Vi söker nu handläggare IT-underrättelse till vår Länsunderrättelseenhet med placering i Karlstad
Frågor? Webblänkar Presentationen http://www.facebook.com/du.digitalforensics Bra artikel att läsa för dig som funderar på yrket http://computerforensics.sans.org/blog/2010/08/20/getting-starteddigital-forensics-what-takes/ Högskolan Dalarna Digitalbrott och esäkerhet http://www.du.se/sv/utbildning/utbildningsprogram/d igitalbrott-och-esakerhet/