IT-forensik och informationssäkerhet
Tidskritisk utvinning och exploatering av data i konfliktmiljöer
Kandidatuppsats i digital forensik 15hp
Halmstad 2020-05-26
Karl Silfver och Sebastian Arstorp
Kandidatuppsats
IT-forensik och informationssäkerhet 180hp
Tidskritisk utvinning och exploatering av data i konfliktmiljöer
Digital forensik 15hp
Halmstad 2020-05-12
Karl Silfver och Sebastian Arstorp
Förord
Att få möjligheten att skriva en kandidatuppsats inom detta ämne har varit en fantastisk
möjlighet för oss. Det har sammanfört de två världar som vi båda stått i stora delar av våra liv. Vi vill rikta våra tack till de människor och företag som gjort detta möjligt.
Stort tack till Löjtnant Erik Sguazzero och hans Jägarsoldater utan vilka våra experiment aldrig kunnat genomföras med den höga kvalité och ambitionsnivå som vi uppnådde.
Stort tack till MilDef AB, Fredrik Persson och Jörgen Kjellgren för lånet av den fantastiska utrustningen som gav oss möjligheten att genomföra experimenten med en trovärdig nivå av teknologi. Särskilt tack också till Markus Nielsen och hans team som handledde oss i deras laboratoriemiljö och tillsåg att vi hade allt vi behövde.
Avslutningsvis stort tack till vår handledare Erik Järpe som trots ett okänt ämne för honom gett oss gedigna råd och bra vägledning. Tack till Högskolan i Halmstad och Muhammad Ahsan Rasool som lånade ut datorer och utrustning till oss för våra experiment.
Karl Silfver & Sebastian Arstorp Helsingborg 2020-05-12
Sammanfattning
IT-forensik är idag en essentiell del av brottsutredningar. Dagens samhälle blir allt mer
digitaliserat och därmed även brottslingar, terrorister och andra tänkbara motståndare. För att få möjligheten att utvinna data från dessa i konfliktmiljöer på ett tidseffektivt sätt har därför denna rapporten studerat data och mediaexploatering. Hur exploateringen skiljer sig från vanlig IT- forensik, hur den kan genomföras och rapporteras. De forensiska operatörerna som genomför detta kommer utsättas för en mängd olika hot. För att utgångläget ska vara säkert har det genomförts en riskanalys som komplement till experimenten.
Syftet med denna rapporten är att definiera skillnaden mellan IT-forensik och exploatering.
Rapporten vill också formulera en tänkbar standardiserad metod och rapportmall. Slutligen skall den definiera vilka risker det kan ställa på de operatörerna som genomför arbetet under de förutsättningar som experimenten ställer på dem.
Exploatering av data skiljer sig från IT-forensik genom att åsidosätta beviskrav som kan hålla i en rättegång. Det är därför mer tillämpbart i konfliktmiljöer då informationen i sig är viktigare än rättsföringen. Standardisering av exploatering av data i konfliktmiljöer har varit en stor brist hos de militära förband som använt sig av DOMEX under krigen i Afghanistan och Irak. De
forensiska operatörerna som skall utföra arbetet behöver vara särskilt utbildade militärer eller poliser och ha en grundläggande IT-forensisk och nätverksutbildning för att klara av sin uppgift.
Nyckelord:
DOMEX, exploatering, IT-forensik, underrättelse, brottsutredning, terrorism, konfliktmiljö.
Abstract
Cyber forensics is today an essential part of criminal investigations. The society we live in today is increasingly becoming more digitized, ergo criminals, terrorists and other conceivable
adversaries are also using modern technology to a further extent. In order to extract data from them in a conflict environment this report has studied data and media exploitation. Also how it differentiates from common cyber forensics, how it can be performed and reported. The Forensic operators that are involved in these operations will be subject to a myriad of threats. To ensure their safety, a risk analysis is included as a complement to the experiments.
The purpose of this report is to define the difference between cyber forensics and exploitation.
Formulate a standardized operating procedure and master report sheet. And finally define the risks that the operators might be subject to during the exploitation given the parameters of the experiments.
Exploitation differs from cyber forensics by sidelining its use as evidence in a court of law. It’s therefor more applicable in conflict zones where the information itself is more important than judicial purposes. The standardization of exploitation has been lacking from the forces applying the DOMEX concept in the wars in Afghanistan and Iraq. The forensic operators tasked with exploiting data in conflict zones needs special training either as military or law enforcement as well as a basic training in cyber forensics and network to accomplish their task.
Keywords:
DOMEX, exploitation, Cyber Forensics, military intelligence, criminal investigation, terrorism, conflict environment.
INNEHÅLLSFÖRTECKNING
1. INTRODUKTION ... 1
1.1PROBLEMFORMULERING ... 2
1.2PROBLEMSTÄLLNING ... 3
1.3PROBLEMATISERING ... 3
1.4AVGRÄNSNINGAR ... 4
2. METOD ... 5
2.1 LITTERATURSTUDIE ... 5
Sökstrategi ... 5
Syfte med sökningen ... 6
2.2EXPERIMENT ... 6
2.3RISKANALYS ... 7
2.4ETISKT STÄLLNINGSTAGANDE ... 8
3. TEORI ... 9
3.1DOKUMENT- OCH MEDIAEXPLOATERING DOMEX ... 9
3.2IT-FORENSIK ... 9
3.3UNDERRÄTTELSELOOPEN ... 10
3.4TIDIGARE/RELATERADE ARBETEN ... 11
4. EXPERIMENTUPPSTÄLLNING ... 13
4.1HYPOTES ... 13
Utrustning ... 13
Hypotesutformning ... 15
4.2METOD ... 15
Genomförande ... 16
Förutsättning och läge ... 16
Experiment för utvinnande operatör ... 16
Experiment för bearbetande operatör ... 19
5. RISKANALYS ... 21
5.1SAMMANHANG ... 21
5.2HOT- OCH SÅRBARHETSIDENTIFIERING ... 22
Skyddsvärda tillgångar ... 22
Hotidentifiering ... 23
Sårbarhetsidentifiering ... 24
5.3RISK- OCH SÅRBARHETSANALYS ... 25
5.4RISK- OCH SÅRBARHETSUTVÄRDERING ... 27
5.5RISKHANTERING ... 27
5.6RISKACCEPTANS ... 27
6. RESULTAT ... 29
6.1PÅ VILKET SÄTT SKILJER SIG EXPLOATERING AV DATA FRÅN IT-FORENSIK? ... 29
6.2VILKA FÖR- OCH NACKDELAR HAR EXPLOATERING JÄMFÖRT MED IT-FORENSIK? ... 29
6.3HUR SKULLE EN STANDARDISERAD METOD FÖR ATT EXPLOATERA VARA UTFORMAD? ... 30
6.4HUR KAN EN RAPPORT EFTER EXPLOATERING SE UT? ... 31
6.5VILKA RISKER MEDFÖR EXPLOATERING I KONFLIKTMILJÖER? ... 32
7. DISKUSSION ... 33
8. SLUTSATSER ... 37
9. FRAMTIDA ARBETEN ... 39
REFERENSER ... 41 BILAGA A ... I OM FÖRFATTARNA ... I BILAGA B ... III PYTHON PROGRAM FÖR UTVINNING AV VOLATIL DATA ... III BILAGA C ... V PMIT-FORENSISK HUSRANNSAKAN ... V PM KONTROLL AV HÅRDDISKAR I BESLAG ... VIII AVRAPPORTERINGSPM ... X BILAGA D ... XIII IFYLLD EXEMPELRAPPORT FRÅN BEARBETANDE OPERATÖR UNDER EXPERIMENTEN. ... XIII BILAGA E ... XVII
UTVÄRDERING FRÅN LIVREGEMENTES HUSARER K3,31.BATALJON,311.SKVADRON,1.
PLUTON ... XVII
1. Introduktion
Den andra Maj 2011 03:30 lokal tid. Amerikanska Specialförbandsoperatörer från Navy SEALs1 har flugit i två helikoptrar från Jalalabad i Afghanistan till Abbottabad i Pakistan. Målet är att äntligen gripa eller döda USAs ärkefiende Usama Bin Laden. Vid inflygningen kraschar en av helikoptrarna och hela uppdraget verkar vara förlorat. Tack vare pilotens skicklighet och av ren tur skadar sig ingen i kraschen. Alla operatörerna kan urlasta och påbörja anfallet. Operationen tar mindre än 40 minuter och i slutet ligger Usama Bin Laden död vid amerikanska soldaters fötter.
Inne i den förre detta Al Qaeda-ledarens hem hittar de en guldgruva av information att utvinna.
Allt som allt hann operatörerna samla på sig en livstid av dokument och enheter under cirka 31 minuter. Trots ljudliga protester från operatören som hade befälet över insamlingen drogs styrkan ut. Den kraschade helikoptern sprängdes samtidigt som de flög tillbaka mot Jalalabad.
Situationer som denna är vad som var inspirerande till denna rapport.
Rapporten ställer frågan vad för information gick de miste om? Denna händelse har givit
inspiration till rapportens problemställningar men frågan kring vad för information operatörerna gick miste om kvarstår. Detta är på grund av att det inte framgår i några källor ifall de utvunnit ett eventuellt körande system under operationen eller bara tagit med sig allt de kunde få tag i. I sådana situationer skulle en forensisk operatör varit en tillgång eftersom väsentlig information skulle kunna vara avgörande i den fortsatta kampen mot terrorn [1] [2].
Denna rapport är menad till att undersöka hur information kan exploateras ur dataenheter i en konfliktmiljö. Genom att utföra experiment och analyser i stridsliknande övningsscenarion kommer denna rapport att sträva efter att besvara vetenskapligt hur det inhämtningsarbetet2 kan eller inte kan genomföras i den miljön.
I rapporten kommer begrepp att användas:
• Den utvinnande eller bearbetande individen kommer att benämnas forensisk operatör.
• Anfallande styrkor eller husrannsakande poliser kommer att benämnas anfallsstyrka.
• Fiender, gärningsmän motsvarande kommer benämnas motståndare.
1 Sea Air Land: Hav, luft, land. specialförband från USAs flotta.
2 Inhämtning av data
1.1 Problemformulering
Inslagen av IT i samhället har de senaste åren ökat kraftigt. I Sverige använder idag 98% av alla Svenskar internet dagligen, året 1995 var siffran endast 2% [3]. Även bland kriminella ökar användandet markant, mellan åren 2006 och 2015 har brott med IT-inslag ökat med 900% [4].
Dessa trender är inte begränsade till enbart Sverige utan kan även ses globalt. I Mumbai, Indien, 2008 använde terrorister satellit och mobiltelefoner för att kommunicera och synkronisera attacker i staden vilket ledde till att 172 personer omkom [5].
Därav är det inte en orimlig slutsats att de kriminella, terrorister samt utländska militära hot mer och mer förlitar sig på IT-produkter för att lagra och dela information. Det ställer således nya krav på våra motåtgärder och hur vi hanterar förekomsten av detta inom militära och polisiära konfliktmiljöer.
Målet för rapporten är att undersöka hur ledtiden för IT-forensik kan förkortas. Genom att sänka kraven på informationens integritet och bevisvärde samt få ut en forensisk operatör att bearbeta den inhämtade informationen ska rapporten sänka tiden från inhämtning till delgivning.
Inhämta information och bearbeta den strukturerat under svår press och snäva tidsförhållanden är inget nytt i konfliktmiljöer. Att strukturera och standardisera exploatering är något som inte vetenskapligt forskats på förut vad förstudien kunde påvisa. Däremot har Överste Joseph Cox påtalat att det varit en stor brist hos de amerikanska styrkorna i deras krig mot terrorn i mellanöstern sedan år 2001 [6].
Vid polisiärt arbete ställs höga krav på bevisens integritet, detta är inte lika viktigt i militära syften [7]. Behövs verkligen bevisvärdet sett ur ett nödläge, som vid till exempel terrorattentat?
1.2 Problemställning
Rapportens problemställningar grundar sig i konceptet exploatering av data istället för det mer juridiska tillvägagångssättet. Istället för att ta hänsyn till en åklagares krav på vad som skall utredas, utforskar rapporten hur det som behövs kan utvinnas på ett tidseffektivt och produktivt sätt. För att besvara vilka skillnaderna är, hur exploatering kan genomföras, analys av
operatörernas och exploateringens säkerhet har följande fem problemställningar formulerats.
De problemställningar som denna rapport kommer att svara på:
I. På vilket sätt skiljer sig exploatering av data från IT-forensik?
Rapporten försöker hitta ett koncept som är mer anpassningsbart för utvinning av data i högriskmiljöer där exploatering av data framstår som ett lämpligt alternativ, vad skiljer exploatering av data från traditionell IT-forensik?
II. Vilka för- och nackdelar har exploatering jämfört med IT-forensik?
För att kunna utveckla en standardiserad metod för att exploatera och rapportera behövs en förståelse för vilka för- och nackdelar exploatering samt IT-forensik har i förhållande till varandra.
III. Hur skulle en standardiserad metod för att exploatera vara utformad?
Förutsättningarna är högriskmiljöer där tiden är mer kritisk än integriteten för data. När operatörer agerar i dessa förhållanden, hur skulle då en standardiserad metod kunna se ut?
IV. Hur kan en rapport efter exploatering se ut?
En rapport utformad från de förutsättningar som präglar experimenten V. Vilka risker medför exploatering i konfliktmiljöer?
Exploaterande operatören kommer agera på fronten av de högriskmiljöer som råder medans den utvinnande operatören är stationerad i ett bakre läge. Oavsett kommer där finnas risker för dessa operatörer som en vanlig IT-forensiker inte hade utsatts för.
1.3 Problematisering
Syftet med denna rapport är att definiera skillnaden mellan IT-forensik och exploatering. Att utveckla ett koncept som potentiellt kan användas framöver och kunna bidra med en ny
förståelse för hur exploatering kan användas praktiskt. Problemet med att försöka göra ett sådant koncept är att en konfliktmiljö inte är statisk utan dynamisk vilket innebär att utgångläget skiljer sig från gång till gång. Detta försvårar ett generellt koncept som skulle kunna användas för alla konfliktmiljöer. Hypotesen som kommer att testas för framtagandet av en standardiserad metod kommer att prövas med Försvarsmakten som är en myndighet som ofta verkar i konfliktmiljöer.
Försvarsmaktens högriskmiljöer skiljer sig ifrån de som polisen arbetar i vilket skulle kunna göra metoden mindre användbar för polisen.
1.4 Avgränsningar
Ämnets bredd avgränsas till de experiment som kommer att genomföras. Informationen som skall utvinnas under experimenten kommer vara förberedd och känd av operatörerna. Rapporten kommer inte att gå in i detalj hur data utvinns fysiskt eller med hjälp av mjukvara. De program som använts är valda på grund av att de var kända av operatörerna sen innan. Riskanalysen kommer inte ta hänsyn till alla risker som kan förekomma i en konfliktmiljö. Istället ligger fokus för riskanalysen på det scenario som experimenten ställt på operatörerna.
Genom rapporten kommer det påstås att exploatering åsidosätter de IT-forensiska kraven sett till att informationen skall vara användbar i en rättssal. Detta menar rapporten är korrekt, det
rapporten däremot inte kommer ta upp är källans trovärdighet. I underrättelse sammanhang är ofta källans tillförlitlighet3 och sakriktighet4 en stor del av hur information bedöms [8]. Det kommer inte denna rapporten ta hänsyn till.
3 En skala på A-F.
4 En skala på 1-5
2. Metod
För att besvara rapportens problemformuleringar kommer tre metoder att användas:
litteraturstudie, experiment och en riskanalys. Det rapporten vill uppnå med detta är att ta fram ett förslag på hur utvinning och exploatering kan standardiseras under de förutsättningar som experimenten ställer. I litteraturstudien har en stor mängd kvalitativa källor inom ämnet kunnat användas, dessa täcker delar av rapportens informationsbehov men inte hela. Där tidigare samt relaterade arbeten inte räcker till är målsättningen att inhämta det underlaget genom
experimenten, för att sedan skapa ett standardiserat tillvägagångssätt med hjälp av dessa tre metoder.
I val av metod har experimenten och riskanalysen högst ambitionsnivå [9] i rapporten. Den prioriteringen är på grund av att det mesta originella arbetet genomförs där. Utan vilket de andra problemställningarna blir redundanta mot föregående arbeten.
2.1 litteraturstudie
Genom litteraturstudien ska en bredare förståelse för vad exploatering av data innefattar och hur den går att applicera på utvinning av data i en konfliktmiljö. Detta kan potentiellt bidra till att experimentets utgångsläge blir av högre precision. Från den informationen som kommer införskaffas av litteraturstudien kommer första och andra problemställningarna att besvaras.
En litteraturstudie kan leda till att flera litterära källor behöver granskas och denna process kan bli tidskrävande. Då information måste väljas på ett sånt sätt att den irrelevant informationen väljs bort och den av relevans prioriteras. Genom denna processen kan resultatet leda till att enbart litteratur som upplevs av värde studeras och då finns där en chans att missa viktiga aspekter, från litteraturen som till att börja med inte framstod att ha samma vikt för ämnet.
Sökstrategi
Författarna av rapporten var sen innan informerade om specifika sökord som kunde vara
intressanta för att hitta aktuell information angående deras arbete. Med hjälp av sökorden blir det lättare att hitta ämnesspecifik litteratur. För att hitta den litteratur användes elektroniska
databaser som IEEE där aktuell forskning finns, dessa databaser tillhandahålls av Högskolan i Halmstad. Metoderna som användes under sökningarna i databasen var slumpmässig sökning och systematisk sökning. Slumpmässig sökning är när slumpen får avgöra. Sökordet kan leda till flera olika länkar och en instinkt kan avgöra vilken av dem som är aktuella [10]. Systematisk sökning är mer stringent. Ämnet är redan känt sen innan och då är det mer logiskt att söka efter litteratur för det ämnet [10].
Den systematiska sökningen användes för att hitta ämnesspecifik litteratur och slumpmässig sökning för att inspireras och få mer litteratur till rapporten.
Syfte med sökningen
Från den litteratur som hittades via databaserna har det varit möjligt att få en uppfattning om tidigare forskning inom ämnet och vad som inte har blivit belyst. Det gav en möjlighet att utforma problemformuleringarna vilket bidrog till nya aspekter för deras formulering.
2.2 Experiment
Experimenten har som mål att reducera ledtiden för digital utvinning i en konfliktmiljö och framtagandet av hur en standardiserad metod potentiellt skulle kunna se ut i en konfliktmiljö.
Förhoppningen är att ledtiden kommer kunna reduceras genom att åsidosätta de krav som finns inom traditionell IT-forensik. Informationens integritet kommer inte ha en lika avgörande roll för den data som ska utvinnas och kontamination kan också förekomma. När det är möjligt att försumma dessa två variabler förväntas tempot kunna öka och information som utvinns kunna förmedlas snabbare till de enheter som behöver den. Den standardiserade metoden kommer inkludera en punktlista där förklaringar till hur de båda operatörerna ska agera i olika situationer.
Till det en lista på vilken utrustning som anses behövas.
Genom en eller flera empiriska undersökningar skall en teori utvecklas [11]. Ett experiment skall skapas som syftar till att besvara den tredje frågeställningen med så hög ambitionsnivå som möjligt. Experimenten kommer inledningsvis att genomföras tillsammans med Försvarsmakten hos Livregementets husarer K3 i Karlsborg. Utrustningen som ska användas kommer från Högskolan i Halmstad, från teknikföretaget MilDef i Helsingborg och från Försvarsmakten.
Bild 1. Under experimentet ingick en av de forensiska operatörerna i en anfallsstyrka. Här är de under framryckning mot anfallsmålet [33].
Experimenten i sig kommer vara begränsade till endast ett förband hos Försvarsmakten och kan därför ge svar som är individberoende [9]. Den teoriutvecklande modellen i rapporten syftar till att hitta förklaringsfaktorer [11] som kompletterar den bild som relaterande arbeten har gett. Det vill säga genom att genomföra experimenten kan rapporten bidra till helhetsbilden med dessa nya tillvägagångssätt.
Under experimenten kontrolleras variablerna vilket inte är möjligt i verkliga konfliktmiljöer då en motståndare kan vara både oförutsägbar och dynamisk. Vid endast ett experimenttillfälle kan också resultatet bli missvisande då kvantiteten av observationer vilket endast är tre gör att kvaliteten kan bli irrelevant.
2.3 Riskanalys
För att få en bild av de risker som är inblandade i att utvinna i en konfliktmiljö och besvara den femte frågeställningen kommer rapporten att innehålla en kvalitativ studie utifrån rapportens förutsättningar. Studien använder sig av ISO27000 standarder för att bedöma risk. För att ge struktur för riskanalysen har en modifierad arbetsgång från ISO 31000 [12] använts.
Presentationen av rapportens riskanalys är utformad efter FOIs5 FORSA6 modell [13].
Arbetsgången är modifierad från originalet på det sättet att konsultation och kommunicering av risk är borttagen då resultatet endast delges i rapporten under resultat och slutsatser. På grund av riskanalysens avgränsningar är den inte så omfattande att den kan användas för generella fall. I denna rapport kommer riskanalysen inte få huvudfokus utan är ett komplement till experimenten.
Det finns flertalet riskanalysmetoder att välja från som MSBs7 flertalet andra ISO27000
standarder. Den standard som använts är ISO27005, 31000, FORSA. ISO27005 är vald på grund av att den är väldigt vanligt förekommande inom IT-säkerhet. Riskanalysen kommer helt och hållet vara baserad på lärdomar från experimenten och arbetsgången från de ovannämnda standarderna. I förarbetet har relaterade arbeten med tillhörande riskanalyser sökts efter utan framgång. Mark Owens kapitel [1] om hur de tog Bin Ladens hem har tagits i beaktande för rapportens bedömningar då det är ett verkligt scenario som har liknande element som rapportens experiment. I bedömning av sannolikhet har ISO 27005 metod för skattning av sannolikhet utifrån komplexitet använts istället för en matematisk metod. Det finns för få öppna källor inom detta ämne som kan ge data för en matematisk sannolikhetsbedömning i detta fallet. Det som möjligen hade varit användbart är extremvärdesstatistik. Då omfattningen av det ämnet är för komplex för en redan avgränsad del av denna rapporten har det valts bort.
5 Totalförsvarets forskningsinstitut.
6 FOIs modell för risk- och sårbarhetsanalys.
7 Myndigheten för samhällsskydd och beredskap.
2.4 Etiskt ställningstagande
Rapporten kommer undersöka utvinning kontra exploatering av data i konflikmiljö. Under de situationer som kan framstå i dessa miljöer är det inte bara data som kan gå förlorat utan även människoliv. De operatörer som arbetar i dessa förhållande kan behöva sätta sina liv på spel för att utvinna/exploatera data. Att beröva någon annan individ på deras liv kan också vara något som operatörerna behöver göra. Etiskt ställningstagande krävs följaktligen genom att arbeta för att undvika att människoliv berövas och ett ställningstagande till om data kan ha ett större värde än en individ. Något som är viktigt att poängtera är att det etiska ställningstagandet baseras på vad som potentiellt skulle kunna hända vid applicering av DOMEX i verkligheten.
3. Teori
Under detta kapitel beskrivs tidigare arbete som är relaterade till ämnet. Detta framtogs genom systematisk sökning och användning av specifika termer.
3.1 Dokument- och mediaexploatering DOMEX
8Traditionell underrättelseinhämtning i fält begränsas inte längre till bara det som finns fysiskt utan även det digitala [14]. DOMEX är insamling, översättning och analys av beslagtagen utrustning som fysiska och digitala dokument och media för att generera en så trovärdig information som möjligt under så kort tid som möjligt. Analysmetoden kan potentiellt vara användbar när det behövs en snabb helhetsbild över information som är tillgänglig.
Exploatering av data innebär att man åsidosätter de vanliga forensiska kraven på integritet och bevisvärdighet. Skulle där ske en kontamination9 av data har det inte lika stor relevans för rapportens syften. Då innehållet och tempot går före vad som skulle kunna ses som bevisbördighet i en rättssal [7]. Exploatering är av den anledningen mer tillämpbart för underrättelseinhämtning.
DOMEX brukar klassas som en del av HUMINT10 på grund av att det produceras, kvarlämnas, lagras av personer.
3.2 IT-forensik
IT-forensik använder sig av olika utredning- och analystekniker för att samla in och bevara bevis från olika digitala enheter. För att inte kontaminera de digitala enheterna används en digital kopia av enheten och på den digitala kopian används de olika teknikerna för att få fram bevisen.
Teknikerna som används ska följa de vetenskapliga principerna, metodologierna och teknikerna som krävs för att bevisen ska tillåtas i domstol [15].
8 Dokument- och media exploatering.
9 Förändringen av data genom utvinningsmetoder.
10 Human intelligence: inhämtning av data från personer eller information producerad av personer som exploateras.
3.3 Underrättelseloopen
Bakgrunden till hur rapportens experimentets karaktär ser ut kommer i stort från underrättelseloopen [6]. Där fem steg ska i möjlig mån uppnås för varje
informationsinhämtningsoperation. Efter en genomförd ”loop” börjar det därefter om igen inför nästa operation.
I. Planering och inriktning.
II. Inhämtning.
III. Bearbetning och Exploatering.
IV. Analysera och producera.
V. Rapportera och integrera informationen.
3.4 Tidigare/relaterade arbeten
I ämnet finns flertalet arbeten som talar kring exploatering, utvinning, förmågor och dylikt. I litteraturstudien har inga vetenskapliga studier kring dess implementering i en konfliktmiljö kunnat påvisas.
Rapporten av William G. Perry [15] har lagt fokus på enkla metoder som att inhämta det fysiska materialet och ta bilder av platserna för senare exploatering. Han beskriver hur
informationsinhämtning för enskilda soldater eller specialförbandsoperatörer kan utvecklas och implementeras i konfliktmiljöer.
Utrustningen som behövs för att genomföra denna typ av verksamhet har en av denna rapportens författare redan skrivit om i rapporten: Utrustningsval för live utvinning och live response hantering i en högriskmiljö [16]. I den finns inga metoder för att genomföra utvinningen eller exploateringen av det insamlade materialet. Det finns ett förslag med en detaljerad lista på utrustning för arbetet som har använts i denna rapporten med vissa förändringar.
Rapporten av Simson L. Garfinkel [7] beskriver författaren övergripande vad DOMEX är och hur detta koncept fungerar. I rapporten finns också två företeelser där DOMEX kunde ha varit applicerbart på. Han förklarar också varför integriteten av data inte har lika stor betydelse under exploatering av data som under en forensisk analys.
I tidskriften military intelligence professional bulletin skriver Överste Joseph Cox om hur DOMEX [6] inte har hanterats på ett tillfredställande sätt under Amerikanska styrkornas krig mot terrorn i mellanöstern. Överste Cox beskriver hur nya styrkor som tagit över från
föregångarna gång på gång uppfinner hjulet på nytt. När de kommit fram till en metod som fungerat för dem har de sedan misslyckats att dokumentera för sina efterträdare hur de gått till väga.
4. Experimentuppställning
Under experimentuppställningen beskrivs hur experimentet har genomförts och vilken hypotes som resultatet senare är baserat på.
4.1 Hypotes
Rapportens experimenthypotes är genom att påbörja inhämtningen i ett tidigare skede med dessa metoder (se nedan) kommer ett generellt scenario för forensiska operatörer och IT-forensiker att vara applicerbart på en generell konflikt eller stridsmiljö.
Utrustning
Utrustning för de forensiska operatörerna är delvis taget från rapporten Utrustningsval för live utvinning och live response hantering i en högriskmiljö av Karl Silfver [16] vissa tillägg har gjorts för att passa gällande uppgift.
Utrustningen visas i bilden nedan i Bild 2 och beskrivs i Tabell I
Bild 2. Utrustning för forensiska operatörer, se Tabell I för mer information [34]
1.
2.
3.
4.
7.
5.
6.
8.
Index: Benämning: Beskrivning: Index: Namn: Beskrivning:
1. Kroppsskydd Warrior DCS plate
carrier 5. MilDef DB7
[17] Operativsystem Windows 10.
CPU11 1.33 GHz Intel Atom Dual Core E3825 CPU 1 MB L2 cache.
RAM12: 4 - 8 GB DDR3L.
GPU13: Graphics Intel HD Graphics.
Lagring: mSATA SSD 128GB.
2. Utrustningsbälte Crye Precision MBR 6. MilDef RS13 [18]
Operativsystem: Windows 10.
CPU: Intel® Core™ i7-7600 . RAM: 16 GB DDR4.
GPU: 2133 MHz Graphic Intel®
HD Graphics 620.
Lagring: Removable 2.5” SATA III SSD (7mm slim type).
3. Ficka med forensisk utrustning:
Anteckningsblock.
Pannlampa.
USB14 stickor med program för utvinning och Kali Live operativsystem.
ESD påsar.
7. MilDef
DS13 [19]
Operativsystem: Windows 10.
CPU: Intel® Core™ i7-7Y75 (4M Cache, up to 3.60GHz).
RAM: 16GB LPDDR3 1866 MHz.
GPU: Graphic Intel® HD Graphics 615.
Lagring: Removable mSATA III SSD 128GB.
4. Kablage och tillbehör.
Ethernet kabel.
MiniUSB.
USB C.
USB/Lightning.
Powerbank för laddning av mobila enheter.
8. Tangentbord MilDef Tangentbord för fältbruk.
11 Central Processing Unit: Datorns processor.
12 Random Access Memory: Det volatile temporära minnet.
13 Graphics Prossesing Unit: Datorns grafikprocessor.
14 Universal Serial Bus: Mycket vanligt förekommande kontaktstyp för datorer, lagringsmedium, tillbehör.
Källa: adapterad från [16] vilken är skriven av den ena författaren till denna rapporten.
Hypotesutformning
Rapportens hypotes är visualiserad som ett flödesschema (se Tabell II). I det experiment som bygger på hypotesen är scenariot att de forensiska operatörerna är två stycken. Den första agerar utvinnande operatör och tilldelas anfallsstyrkan. Där ingår den personen i gruppen och följer sin del av flödesschemat. Den andre agerar bearbetande operatör och kvarstannar i ett bakre läge, beredd att genomföra sin del.
4.2 Metod
Metoden som ska användas för att uppnå de resultat som önskas är DOMEX. För att kunna extrahera den data som behövs kommer olika forensiska verktyg att användas. FTK imager [20], och winhex [21], de är valda eftersom de är kända av författarna sedan innan.
Genomförandets struktur är taget från underrättelseloopen som har blivit presenterad i teoridelen av rapporten.
Tabell II
Flödesschema över forensiska operatörers hypotetiska arbetsgång i fält
Genomförande
För att testa rapportens hypotes genomfördes tre experiment under samma förutsättningar.
Experimenten genomfördes tillsammans med Försvarsmakten hos Livregementets Husarer K3, 31. Bataljon, 311. Skvadron, 1. Pluton. Under experimentdelen har alla tre genomförandena beskrivits som ett då prövandet av hypotesen blev identiskt. Det som skiljde sig var hur grupperna valde att ta sig dit och hur de genomförde sin räd av byggnaden.
Experimentet fick delas upp i två kategorier den utvinnande operatören och den bearbetande operatören. Förutsättningar och läge gjorde att den bearbetande operatör inte kunde utföra sin del hos Försvarsmakten istället genomfördes det hos MilDef i Helsingborg.
Förutsättning och läge
Förutsättning och läge är författat av övningsledningen från K3.
• En pluton ur Livregementets Husarer K3s 31.a bataljon, 311.Skvadron har fått i uppgift att undersöka om en byggnad söder om Karlsborg är hem till en känd bombmakare.
Platsen är allmänt känd som Teliahuset. För att lösa denna uppgift underställs plutonen en grupp med SUAV15 och två forensiska operatörer.
• Inledningsvis skall grupperna ur plutonen planera tillsammans med de forensiska operatörerna inför insatsen.
• Därefter skall de framrycka till området norr om Teliahuset. Där ska de möta upp SUAV för rådande underrättelseläge i området runt Teliahuset.
• Därefter ska en grupp tillsammans med en forensisk operatör ta anfallsmålet Teliahuset.
• Slutligen exploatera eventuella fynd och återgå till bas.
Experiment för utvinnande operatör Inledande skedet
Arbetet med experimentet startar den 2020-02-19 utanför Skövde i Försvarsmaktens Strid i bebyggelseanläggning Hagen. På plats planeras inför experimenten med officerare från Bataljonen. Under natten ansluter de tre grupper som utgör plutonen och får ta del av
förutsättning och läge. Med det som stöd och i samverkan med de två forensiska operatörerna planerar gruppcheferna (steg I underrättelseloopen) sitt uppdrag. Grupperna förbjöds att dela sin plan med de andra grupperna så att de tre genomföranden inte präglas av föregående grupp.
Nästa dag tidig morgon (2020-02-20) åker operatörerna före grupperna tillsammans med
plutonchefen till ”Teliahuset” för att iordningställa inför dagens experiment (se Bild 3). Slutligen samlas samtliga på startpunkten för experimenten norr om ”Teliahuset”. Ca 08:00 anländer första gruppen för dagens första experimentförsök.
15 Small Unmanned Arial Vehicle, små drönare med videoövervakningsförmåga.
Experimenten
Experimentet genomförs tre gånger under dagen. Den utvinnande operatören går bakom anfallsstyrkan mot anfallsmålet. Vid målet går gruppen taktiskt in i ”Teliahuset” och får
stridskontakt med inledningsvis en motståndare och därefter en andra motståndare. Under de tre experimenten hamnade den utvinnande operatören själv i direkt stridskontakt vid två
genomföranden. Beroende på hur gruppen valt att lösa uppgiften får den utvinnande operatören möjlighet att utvinna innan eller efter stridskontakten med den andre motståndaren har hänt. När operatören får möjlighet kontrollerar den utvinnande operatören att rummet verkligen är säkert.
Därefter sätter denna in en USB-sticka med mjukvara (se bilaga B för det program som kördes) och påbörjar utvinning (steg II underrättelseloopen) av volatil data enligt hypotesen (se Tabell II). Under samtliga genomföranden tvingas gruppen dra sig ur innan all utvinning är färdig på grund av förhöjt fiendehot och omfallsplanen från hypotesen (se Tabell II omfall tidskritiskt) utlöses (se Bild 4).
Bild 3. Motståndarens utrustning uppdukad för att exploateras under experimenten [33]
Slutskedet
Gruppen tar sig tillbaka mot sin startpunkt och väl på plats görs en förenklad exploatering och analys (steg III och IV underrättelseloopen) där kritisk information delas direkt från den utvinnande operatörens handhållna dator (se Bild 2) (steg V underrättelseloopen) och experimentet är över.
Bild 4. Omfallsplanen utlöses. Den utvinnande operatör monterar ut hårddisken ur motståndarens dator. Operatören har jordad sig till chassit för att undvika ESD skador på hårddisken [33]
Experiment för bearbetande operatör Inledande skedet
Arbetet med experimentet påbörjades den 2020-02-11 hos Mildef i Helsingborg. Det tilldelas en laptop MilDef RS13 (se Tabell I index 7) och en Tablet MilDef DS13 (se Tabell I index 8) dessa enheter ska användas för bearbetning av den data som den utvinnande operatören har lyckats extrahera. Programvaran som behövs för att bearbeta data installeras på datorn (FTK imager, Win Hex).
Experimentet
Experimentet utförs först på en Laptop model MilDef RS13 och därefter på en Tablet model MilDef DS13 för att säkerställa att utförandet går att genomföras på båda enheterna. Den utvinnande operatören ger över det beslagtagna lagringsmediumet som ska bearbetas för att få fram mer detaljerad information över den data som existerar. Det utförs även en fysisk avbild av lagringsmediet för vidare bearbetning på annan plats och för eventuella framtida behov kunna presentera information igen. Operatörerna sammanställer en rapport som bygger på den information som de lyckats framställas från data som existerar på lagringsmediet. Slutligen framförs rapporten till högre chef.
Bild 5. De forensiska operatörernas utrustning upplagt på en arbetsbänk inför det inledande skedet i experimenten [33]
Slutskedet
Rapporten som delgavs förbandet skapades utifrån de informationsbehov som Försvarsmakten ställde på de forensiska operatörerna under experimenten. Det förbandet från Försvarsmakten ville ha möjlighet att få svar på var:
I. Underrättelser som kunde bekräfta redan känd information.
II. Ny information som kunde ageras på omedelbart.
III. Information som kan stärka förståelsen för motståndarens verksamhet.
Formatet på rapporten skulle i applicerbara delar tas från Försvarsmaktens 7s rapport [8] vilket innehåller:
1. Stund.
2. Ställe.
3. Styrka.
4. Slag.
5. Sysselsättning.
6. Symbol.
7. Sagesman16.
Vissa delar av 7s fick slås ihop, få ett nytt namn eller utelämnas för att passa för exploaterad information. Även format och formuleringar från Försvarsmaktens underrättelserapport
INTREP17 [8] har använts. För att rapporten ska vara applicerbar för mer än bara militära mål har även polis PM (se bilaga C) använts som en inspirationskälla där rapporten avvänt uppgift och bildkollage. Uppgift har döpts om till sammanfattning händelseförlopp.
16 Författaren.
17 Intelligence report: Underrättelserapport.
5. Riskanalys
I denna del av rapporten beskrivs hur riskanalysen sammanställts. Under vilka förutsättningar den är användningsbar och vad den syftar till att analysera. Arbetsgången och de termer som används är tagna från ISO31000 [12].
5.1 Sammanhang
Denna riskanalys är främst till för att bilda en generell bild av vilka risker som påverkar de forensiska operatörernas verksamhet i samband med exploatering i en konfliktmiljö. För att riskerna ska kunna utvärderas behövdes det finnas en färdig riskanalys vilket genomförs nedan.
Kriterier för att godkänna de risker [12] som analysen tar fram kommer inte att hanteras i denna rapport då de blir för situationsberoende.
Riskanalysen bygger på att informationen är viktig nog att utvinna att vi varken kan undgå strid, slå motståndaren på avstånd med till exempel artilleri eller att ge förbrytaren i den polisiära kontexten förvarning för att ge personen en möjlighet att ge upp. Detta kan inte fastställas med dessa ingångsvärden utan riskanalysen blir ett levande dokument beroende på vad den skall anpassas mot.
Bild 6. Utvinnande operatör vid inbrytning i ”Teliahuset”, bilden är tagen strax innan operatören hamnade i strid med en motståndare inuti huset vid trappan till övervåningen [33]
5.2 Hot- och sårbarhetsidentifiering
Under denna rubrik kommer skyddsvärda tillgångar, riskidentifiering och sårbarhetsidentifiering att beskrivas. Istället för att ha en separat konsekvensidentifiering är den en del av hot- och sårbarhetsidentifieringarnas beskrivningar.
Skyddsvärda tillgångar
Skyddsvärda tillgångar är nedan definierat för denna rapport i Tabell III. För att kvalificeras som en skyddsvärd tillgång ska det vara en eller flera tillgångar som är nödvändiga för att
verksamheten kan bedrivas och därav behöver skyddas [12].
Benämning Beskrivning Typ
Operatörerna: Liv blir direkt oförsvarbart att inte prioritera över allt annat när det kommer till att ta åtgärder för skydd.
Den/de personer som ingår i
operationen/tillslaget. Beroende på uppdragets karaktär kan hela verksamhetens syfte besegras genom att de inte längre möjliggörs att verka.
Ifall Verksamheten kan fortsätta utan dem kan ändå informationsinhämtningen potentiellt försämras utan deras expertis.
Personal.
Anfallsstyrkan: Liv blir direkt oförsvarbart att inte prioritera över allt annat när det kommer till att ta åtgärder för skydd.
Utan anfallsstyrkan kommer operatörernas möjlighet till att genomföra sin verksamhet troligtvis begränsas kraftigt eller omöjliggöras.
Personal.
Utrustning för exploatering:
Operatörernas utrustning för att genomföra DOMEX. Utan den kan essentiell information potentiellt gå förlorad. Alternativt måste operatören utvinna data direkt på det körande systemet som upptäckts vid
operationen/tillslaget. Något som kan få stora konsekvenser ifall motståndaren har vidtagit Anti-forensiska18 [22] åtgärder.
Utrustning.
18 Åtgärder för att motverka att IT-forensiker eller operatörers metoder att få ut data ur systemet. Kan vara allt från att gömma data till program/script som förstör data vid behov.
Tabell III Skyddsvärda tillgångar
Media för exploatering:
Motståndarens informationstillgångar är en skyddsvärd tillgång för oss och därför bör åtgärder tas för att inte i onödan eller på grund av okunskap förstöra den.
Utrustning.
Hotidentifiering
De hot som identifierats generellt och specifikt från det experimentet som genomförts är beskrivna nedan i Tabell IV. För detta kommer samtliga potentiella risker att listas upp tillsammans med var risken kan uppstå ifrån19 [12].
Benämning: Beskrivning: Hotvektor:
Väpnad strid: Operatörerna och anfallsstyrkan blir beskjutna och/eller anfallna medels handgemäng eller tillhygge.
Motståndaren som vill orsaka skada och/eller döda
operatörerna / anfallsstyrkan.
Vådabekämpning: Av någon anledning skadar anfallsstyrkan operatörerna eller vise versa.
Förvirring, dålig samordning, kaos på platsen, otillräcklig utbildning med mera.
Förstörd utrustning (egen):
Utrustning för exploatering går sönder innan eller under operationen.
Väder, terrängen, strid, okunskap.
Förstörd utrustning (DOMEX):
Utrustningen som skall utvinnas förstörs genom till exempel: strid, motståndaren har sönder den själv för att förneka oss åtkomst, otillräckliga åtgärder för att försäkra mot anti-forensik eller slarv.
Konsekvensen för den förstörda utrustningen behöver inte inledningsvis mätas i liv eller kroppsskada. Sätts det i kontexten av att hela operationen/insatsen var till för att genomföra inhämtningen eller att informationen kan rädda liv på sikt kan konsekvensen därför bli hög.
Striden, motståndaren själv, okunskap hos operatörerna / anfallsstyrkan.
Otillräckligt stridsvärde20:
Svåra förhållanden har påverkat
anfallsstyrkan/operatörerna så pass att de inte längre är stridsdugliga och kan därför inte ta terrängen eller genomföra DOMEX.
Väder, temperatur, sömn, mat, tidigare verksamhet med mera.
19 Benämns Hotvektor I denna rapport.
20 Stridsvärde beskrivs på en skala från 1-5 och är försvarsmaktens mått för att beskriva hur pass
stridsduglig/tjänstduglig en enhet är sett till hur hårt de har jobbat, hur lite/mycket de sovit, hur mycket de ätit med mera [28].
Tabell IV Identifierade risker
Sårbarhetsidentifiering
Nedan beskrivs ett fåtal sårbarheter i Tabell V. För att räknas som en sårbarhet skall det vara ett sätt för ett hot att påverka verksamheten negativt [12].
Benämning: Beskrivning: Utnyttjande:
Otillräcklig skyddsnivå:
Operatörerna och/eller anfallsstyrkan bär inte tillräcklig skyddsnivå på sig eller att fordonen har tillräckligt hög skyddsnivå för att stå emot livshotande skador. Det kan i sig leda till allvarligare kroppsskador eller död.
Motståndaren kan således med enkla medel skada eller döda personal.
Utrustning som inte tåler omständigheterna:
Utrustningen som skall användas för DOMEX skadas av omständigheter som väder, fall, våld och så vidare. Vilket leder till försämrade möjligheter att genomföra DOMEX.
Utrustningen fallerar på grund av yttre faktorer som väder, våld och så vidare.
Terrängkännedom: Bristande terrängkännedom gör att antingen uppdraget försenas till den grad att
informationen går förlorad. Eller att
motståndaren använder sin terrängkännedom mot oss.
Information eller personal sätts i fara på grund av bristande underlag och/eller förståelse för terrängen.
Tabell V
Identifierade sårbarheter
5.3 Risk- och Sårbarhetsanalys
Nedan i Tabell VI beskrivs de hot som tillsammans med hot och sårbarheter behövs ta i beaktande och om möjligt åtgärdas till en nivå där de kan accepteras [12]. Sannolikheten för riskerna är inte bedömda ur kvantitativa observationer då de hade krävt både en större mängd experiment och underlag från verkliga scenarion. De är istället bedömda utifrån hur enkelt det är att förverkliga de hoten och sårbarheterna som tas upp i rapporten, de antaganden som är tagna baseras på experimenten, utvärderingen från soldaterna (se bilaga E), tidigare erfarenheter hos författarna (se bilaga A) och till viss del Mark Owens bok No Easy Day [1]. Risken presenteras enligt FOIs FORSA modell i en så kallad riskmatris [13]. Där sannolikheten multipliceras med konsekvensen för att få en risk som därefter med potentiella åtgärder kan kontrolleras, sänkas, bibehållas, undvikas eller delas [12]. Med FORSA modellen är en förhöjd konsekvens att ses som mer allvarligt än en förhöjd sannolikhet då ifall de inträffar kan det få katastrofala följder [13]. Att risken ses som högre representeras med att den blir orange/röd vid en lägre siffra [13].
21 Denna sannolikheten är till stor del bedömd utifrån att i samtliga experiment och av den karaktären som inhämtning hos en motståndare ser ut är strid att förväntas ur militär synvinkel.
22 Ca 30 man eller 3-4 grupper med 6-8 soldater per grupp med en ledning på 2-3 officerare och specialistofficerare för hela plutonen.
23 Denna sannolikheten är till stor del bedömd utifrån att under experimenten valde samtliga grupper att kasta handgranater efter motståndaren trots att de var medvetna om att inhämtningen var viktig för insatsens mål.
Inde
x Hot Sannolik
het
Konsekven
s Risk Åtgärd
1. Väpnad strid:
521 5 25
Tillse att operatörerna och anfallsstyrkan är utrustade med relevant skyddsutrustning för uppgiften. Att styrkan är samövad och att de
har planerat
inhämtningen/insatsen/operationen tillsammans. Operatörerna måste vara utbildade för att kunna hantera väpnad strid,
om inte bör anfallsstyrkan beroende på uppdragets karaktär vara en pluton22 till
numerären (se bilaga E).
4. Förstörd utrustning (DOMEX):
523 5 25
Under planeringen och samövningen var noggrann med att poängtera konsekvenserna
av att informationsskällorna går förlorade.
Dock måste liv gå före inhämtningen.
2. Vådabekämpning:
3 5 15
Samövning och samplanering för att se till att operatörerna och anfallsstyrkan kan agera på ett synkroniserat sätt även under stressfulla situationer för att minimera missförstånd eller
olyckor.
3. Förstörd utrustning (egen):
3 3 9
Att endast använda utrustning som är klassad för att tåla dåligt väder likt de MilDef produkter (se Tabell I) som används i experimentet. Tillse att reservenheter finns.
Sätt inte operatörerna i främsta ledet för anfallet där det är störst risk för strid med
motståndaren.
5. Dåligt stridsvärde:
3 3 9
Planering och uthållighet måste tas hand om innan inhämtningen/insatsen/operationen påbörjas. Kan det tas höjd för tidigt behöver inte stridsvärdet påverkas nämnvärt även om
till exempel vädret vänder kraftigt.
Tabell VI
Riskmatris och riskanalys
5.4 Risk- och sårbarhetsutvärdering
Utvärderingen är ett verktyg för att bedöma om verksamheten kan genomföras trots givna risker [13]. I rapportens fall är vi medvetna om att det finns två motståndare i anslutning till insatsens anfallsmål. Det är känt att en av dem tillverkar bomber. Därför är det av största vikt att hot 1-4 åtgärdas enligt riskanalysen (se Tabell VI). Är det inte möjligt eller risken går inte att sänka mer än analysen förutspår då får den som är chef för verksamheten ta beslut om insatsen skall fortgå eller inte [12].
5.5 Riskhantering
Förutsatt att risk och sårbarhetsanalysen är tillräcklig skall nu riskerna hanteras genom att genomföra de förslag som finns i åtgärderna. Till detta bör en ansvarig för varje risk utses. I rapportens fall har varje risk försökt sänkas [12] genom åtgärder (se Tabell VI). Då det är svårt att sänka en risk där utomstående part utgör hotvektorn är det ännu en gång upp till chefen att ta beslut om hanteringen är tillräcklig för senare acceptans.
5.6 Riskacceptans
Förutsatt att chefen godkänner hanteringen får riskerna accepteras, vissa kanske kan undvikas, delas eller sänkas ytterligare. Genom att till exempel inskränka på anfallsstyrkans vapenarsenal eller att lämna utrustning för exploatering och/eller operatörerna i ett bakre läge och ta fram dem/det senare och låta någon annan än anfallsstyrkan [12] ta över deras säkerhet. Efter detta steg bör riskanalysen övervakas och revideras löpande. Då experimenten inte hade något behov av det kommer det utelämnas från rapporten.
6. Resultat
6.1 På vilket sätt skiljer sig exploatering av data från IT-forensik?
IT-forensik måste följa de vetenskapliga principerna, metodologierna och tekniken som krävs för att tillåtas i domstol [23]. Vilket till följd gör att de digitala bevisen måste garantera att uppfylla kraven för domstol. Exploatering handlar inte om att framföra några digitala bevis för en
domstol, utan att utvinna information och utnyttja den. Kraven som finns för IT-forensik kan man bortse från, det enda exploatering är bunden till är fysikens lagar och naturens lagar [7].
Båda koncepten grundar sig i extrahering av data från olika mediaenheter. Medan IT-forensik lägger en större vikt på integritet över data, är det möjligt att bortse från det inom exploatering.
Det som verkligen särskiljer dem från varandra är att den information som har blivit utvunnen i ett IT-forensiskt sammanhang ska vara av så hög trovärdighet att den ska vara acceptabel i en domstol. Medan exploatering av data inte handlar om bevismaterial för en domstol utan framföra informationen på ett tidseffektivt sätt [7].
6.2 Vilka för- och nackdelar har exploatering jämfört med IT-forensik?
Den 12 november 2012 blir två hårddiskar stulna från Al Qaedas centrala kontor i Kabul.
Hårddiskarna har tillhört en laptop och en stationärdator. En krigskorrespondent vid namn Alen Cullison köper dessa två hårddiskar i Kabul från den personen som stulit dem [24]. Analyser av hårddiskarna visade att den stationära datorn har blivit använd av Ayman al-Zawahiri, en av Al Qaedas högsta ledare [7]. Detta kan vara ett exempel när användbarheten i informationen är av större vikt än själva processens tillförlitlighet. Att få utnyttja det uppgifterna som har varit möjliga att få från information istället för att bevisa detaljerna i informationen är något som exploatering har som fördel jämfört med IT-forensik [7]. Det som blir nackdelen med exploatering är att trovärdigheten för resultaten inte uppnår samma bevisbördighet som
traditionell IT-forensik där tillförlitligheten hos informationen har en större betydelse. Något som har ökat den senaste tiden är beslagtagen digital information i konfliktmiljöer [6]. I dessa
situationer är uppgifterna som går att få från information avgörande. Att uppgifterna kan förmedlas så snabbt som möjligt kan innebära att liv kan räddas [6]. Hastighet hos exploatering är också en fördel jämfört med IT-forensik.
Det som blir tydligt är appliceringsförmågan på olika situationer. IT-forensik tar större hänsyn till processens tillförlitlighet och att resultaten uppnår en viss nivå av trovärdighet. Genom den trovärdighet blir fördelen att det går att använda de digitala bevisen som bevismaterial. Det skulle förmodligen fungera bättre i situationer som rättsprocesser. I situationer när denna
trovärdighet inte behövs som i fallet med hårddisken som hade tillhört Al Qaeda kan det vara att exploatering är att föredra.
6.3 Hur skulle en standardiserad metod för att exploatera vara utformad?
Den arbetsgång som använts i hypotesen har här omformulerats som två lathundar24 i Bild 7 och 8. De är för bruk vid exploatering. De kan enkelt användas vid utvinning som en standardiserad metod.
24 En förenklad checklista att ha som stöd vid genomförandet.
Lathund Forensisk Operatör vid fynd:
1. Är enheten på? Om ja följ steg 2 om nej fortsätt vid steg 4.
2. Utvinn volatil data i ordningen:
a. RAM-Minne.
b. Nätverksdata.
c. Användardata.
d. Körande processer.
e. Nätverksinställningar.
f. Enhetens tid/datum.
3. Stäng av enheten genom att bryta strömmen.
4. Enheten är avstängd:
a. Säkerställ att datorn inte är strömsatt, om den är strömsatt avlägsna strömkällan.
b. Säkerställ att operatören har samma elektriska laddning (jord) som enheten genom att jorda till allmän jord (sätt händerna i marken i minst 5 sekunder) och därefter anslut ESD armband till enhetens chassi.
c. Avlägsna lagringsmedium som hårddisk, SSD, externa lagringsmedium och dylikt.
Packa i ESD säkra påsar för senare bearbetning.
OMFALL
1. Att återgå till bas är inte längre möjligt:
a. Påbörja utvinning enligt lathund för bearbetning.
2. Tidsbrist tillåter inte att volatil data utvinns:
a. Bryt strömmen.
b. Öppna/bryt/demontera chassit.
c. Ta ut lagringsmediet klipp vid behov eventuellt kablage.
Lathund Forensisk Operatör vid bearbetning:
1. Kör eventuella lagringsmedium i read only läge:
a. Få en överblick på informationen och samla in eventuellt uppenbar information av värde.
2. Ta en fysisk avbild för vidare bearbetning och analys i framtiden.
3. Utvinn information från enheten under
avbildstagningen och sammanställ till en preliminär rapport.
Bild 7. Lathund för utvinnande operatör
Bild 8. Lathund för bearbetande operatör
6.4 Hur kan en rapport efter exploatering se ut?
Under experimenten skapades en exempelrapport utifrån de förutsättningarna som experimenten ställde. Rapporten är utformad för att möta de informationsbehov som soldaterna från K3 hade under experimenten. För att göra den mer generell har den ställts mot polisens PM25,
försvarsmaktens underrättelserapport och patrullrapport.
Dokument- och media exploateringsrapport DTG26: Case
no:
Enhet: Sagesman: Sammanfattning händelseförlopp:
Platsbeskrivning Enheter / media exploaterade:
Sammanfattning fynd:
Övrigt / bilder
Ett exempel av rapporten ifyllt finns i bilaga D.
25 Pre memoria.
26Date time group: DD HHMM(tidszon där Z är GMT) MMM YY.
Tabell VII Exempelrapportmall
6.5 Vilka risker medför exploatering i konfliktmiljöer?
De forensiska operatörerna ställs inför flertalet hot som har utvecklas i rapportens risk och sårbarhetsanalys (se Tabell VI). Framförallt ställs hot mot deras liv när de ingår i en anfallsstyrka som tar de anfallsmål där information kan finnas för DOMEX. Utöver detta finns det risk att deras utrustning och utrustningen de skall utvinna förstörs i samband med insatsen, vilket i värsta fall omöjliggör deras förutsättningar för att genomföra DOMEX. Åtgärderna för risksänkning består till mestadels av tillräckliga förberedelser och planering. De risker som kvarstår efter åtgärder (se Tabell VI) är definierade nedan i Tabell VIII.
Index Hot Kvarstående
sannolikhet
Kvarstående
konsekvens Risk 1. Väpnad strid:
5 4 20
4. Förstörd utrustning
(DOMEX): 3 5 15
2. Vådabekämpning:
2 5 10
3. Förstörd utrustning
(egen): 3 2 6
5. Dåligt stridsvärde:
3 1 3
Tabell VIII
Kvarstående risker efter åtgärder enligt Risk och Sårbarhetsanalysen (se Tabell VI)
7. Diskussion
Något som har framkommit i rapporten är att exploatering och IT-forensik passar för olika situationer. Exploatering har inte som ändamål att få en gärningsman dömd i en domstol. Vilket leder till att inte lika stor hänsyn behövs tas till de juridiska krav som kan ställas på
informationen som lyckas utvinnas. Då inte dessa kraven ställs av en forensisk operatör som använder sig av exploatering kan det vara att föredra denna metod i konflikmiljöer. Händelsen som ägde rum i Kabul där Alen Cullison köper två hårddiskar och en av dessa har tillhört Ayman al-Zawahiri, en av Al Qaedas högsta ledare. Hade det varit möjligt att använda exploatering och bortse från de krav som finns hos traditionell IT-forensik. Med inställning att få utnyttja de uppgifter som har varit möjliga att få ifrån information, finns där en möjlighet att få ut
uppgifterna till de relevanta enheterna snabbare och kunna göra skillnad. Om situationen istället hade ett juridiskt ändamål hade exploatering inte följt de vetenskapliga principerna,
metodologierna och tekniker som krävs för att tillåtas i domstol. Att följa dessa kriterier ökar tiden för att framställa information men integriteten för information ökar, risken för att
information ska bli kontaminerad minskar och processens tillförlitlighet ökar. Då trovärdigheten ökar blir det lättare att använda information som bevismaterial.
Enligt tidigare var det inte möjligt att hitta tidigare studier kring implementering av exploatering i en konfliktmiljö. Men genom ett samarbete med Försvarsmakten var det möjligt att skapa de förutsättningarna som behövdes, för att miljön ska vara av sådan karaktär att det är möjligt att klassas som en konfliktmiljö. Det gav möjligheten att testa exploatering av data i omständigheter där större hänsyn behövs tas till att tiden inte alltid kommer räcka till och att miljön är dynamisk och inte statisk. Även om experimentet är individberoende kan det ge ett första test av
exploatering av data i konflikmiljö som sedan kan utvecklas och bli mer omfattande.
Även om inte mobiltelefonutvinning eller konceptet CELLEX27 tagits upp i denna rapport hade exploatering potentiellt varit möjligt vid terrordåden i Mumbai år 2008. Det var bekräftat i efterhand att förövarna kommunicerat med hjälp av mobiltelefoner och Go Pro kameror28. Hade dessa kunnat utvinnas med inställningen att få ut data så fort som möjligt hade det kanske gett beslutsfattarna inom Mumbais polis och ledning bättre underlag för att bedöma terroristernas numerär. Istället lyckades de sprida stor förvirring och kaos genom att framstå som många fler än vad de var.
Vid Bin Laden räden i Abbottabad år 2011 fanns inga källor om att de utvunnit volatil data ur de enheter som hittades. Under de experimenten som genomfördes tog det program som skapats för den här rapporten (se bilaga B) mindre än en sekund att utvinna enkel volatil data som
nätverksdata, nätverksinställningar, körande processer, användaruppgifter med mera (se Tabell III). Att det skulle vara möjligt förutsätter att enheterna var på. Att däremot utvinna RAM-minnet var något som beroende på dess storlek kunde bli en längre process. Inga av experimenten
lyckades genomföra det i sin helhet. Istället fick utvinningen av RAM-minnet avbrytas varje
27 Cellular phone exploitation: Mobiltelefon exploatering.
28 En äventyrskamera gjord för att filma medans användaren utövar någon form av fysisk verksamhet.
