Den mobilforensiska arbetsprocessen - En kartläggning av brister i kompetens och verktyg

Kandidatuppsats

IT-forensik och informationssäkerhet

Den mobilforensiska arbetsprocessen - En kartläggning av brister i kompetens och verktyg

Digital forensik 15 hp

Den mobilforensiska arbetsprocessen

En kartläggning av brister i kompetens och verktyg

Ebba Andersson & Julia Emanuelsson

Examinator: Eric Järpe Handledare: Mattias Weckstén Akademin för informationsteknologi

Högskolan i Halmstad

Halmstad

Maj 2021

Förord

Detta arbete är en kandidatuppsats skriven på programmet IT-forensik och

informationssäkerhet vid Högskolan i Halmstad. Vi vill rikta ett stort tack till Mattias

Weckstén för värdefull handledning under arbetets gång. Vi vill även tacka andra omkring

oss som bidragit med åsikter och stöd för att göra arbetet så bra som möjligt.

Sammanfattning

Mobiltelefonen är idag en stor del av de flesta människors vardag. Det stora användandet av mobila enheter har gjort att de innehåller en stor mängd information och allt oftare finns representerade i brottsutredningar. Vid utvinning av data från mobiltelefoner är det viktigt med både välfungerande IT-forensiska verktyg och en korrekt mobilforensisk arbetsprocess, där tekniker kan tillämpas och leda till ett utförligt resultat utan att allvarliga konsekvenser uppstår.

Arbetet kartlägger befintliga brister inom den mobilforensiska arbetsprocessen, både gällande kompetensnivåer, men även brister i olika mobilforensiska verktyg. Utifrån en litteraturstudie analyseras tre verktyg som förekommer vid mobilforensiska utredningar, för att få en djupare inblick i dess funktionalitet men även för att undersöka befintlig problematik med verktyget.

Det resultat som arbetet presenterar är en överblick hur det idag ser ut inom mobilforensiken gällande kompetenser och brister i mobilforensiska verktyg. Arbetet visar på att bristande kompetens hos verksamma inom den mobilforensiska processen påverkar på olika sätt, dels vad gäller kvaliteten på arbetet men även de möjligheter som finns. Litteraturanalysen av de olika verktygen påvisar också att det finns flertalet brister, vilket påverkar datautvinningar men också utredningar. Slutsatsen som kan dras utifrån detta är att det mobilforensiska området är i behov av ständig utveckling för att hålla jämn takt med de olika behov som finns idag samt för att åtgärda de brister som förekommer i arbetet.

Nyckelord: Mobilforensik, Mobilforensiska verktyg, Bristande kompetens

Innehållsförteckning

1. Introduktion 1

1.1 Problemhypotes 2

1.2 Frågeställningar 2

1.3 Problematisering 3

1.4 Positionering 3

2. Metod 5

2.1 Alternativa metoder 5

2.2 Val av metod 6

2.3 Tillvägagångssätt 7

3. Teori 9

3.1 Digital forensik 9

3.2 Mobilforensik 9

3.3 Vad kan utvinnas från en mobiltelefon? 9

4. Empiri 11

4.1 IT-forensisk process 11

4.2 Bristande kompetens 13

4.3 Sammanfattning 14

5. Analys 15

5.1 Bakgrund - verktyg 15

Forensic Toolkit (FTK) 15

EnCase 15

MOBILedit 16

5.2 Val av egenskaper 16

6. Resultat 19

6.1 Bristande kompetens påverkan på arbetsprocessen 19

6.2 Brister i mobilforensiska verktyg 20

6.3 Sammanfattning 22

Forensic Toolkit (FTK) 22

EnCase 22

MOBILedit 23

7.1 Bristande kompetens 25

7.2 Brister i mobilforensiska verktyg 26

7.3 Sammanfattning 28

7.4 Etikdiskussion 29

8. Slutsats 31

8.1 På vilket sätt kan bristande kompetens påverka mobilforensiska processer? 31 8.2 Hur kan utvinning av data från mobila enheter påverkas av brister i mobilforensiska

verktyg? 32

Referenser 35

1. Introduktion

Mobiltelefonen upptar en stor del av dagens samhälle och är en naturlig del av människans vardag. Det stora användandet av mobila enheter och uppkopplingen till Internet leder till att mobiltelefonen innehåller en stor mängd information. Det kan handla om allt från

samtalshistorik och bilder, till sparad data i applikationer. Informationen ligger till grund för den digitala bevisningen i en rättslig process, och kan därav vara betydelsefull och avgörande i en IT-forensisk utredning.

För att kunna omvandla informationen till digital bevisning krävs det korrekta verktyg och en robust mobilforensisk arbetsprocess. Det är därför betydande, för de delar av samhället som påverkas av utfallet i en mobilforensisk utredning, att dessa områden fördjupas och utvecklas.

Det gäller både den befintliga arbetsprocessen, och de verktyg som används i processen.

Vad gäller mobilforensik och dess användning i en brottsutredning kan det förekomma både i brott där IT är målet med brottet och där IT enbart är ett medel för brottet, vilket då även inkluderar användandet av mobiltelefoner i relation till ett brott. IT-inslag i brottsligheten har sedan år 2006 haft en tydlig ökning enligt officiell kriminalstatistik.[1] Detta går även hand i hand med den statistik kring användandet av mobiltelefoner som finns. Det uppges att hela 98% av Sveriges befolkning år 2017 har en mobiltelefon och att 85% av dessa är så kallade smarta mobiltelefoner. Något som påvisar en kraftig ökning från mätningens början år 2011, då användandet uppmättes till 27%.[2] Som följd av det ökade användandet av

mobiltelefoner angavs det 2019 att telefoner ofta samlas in vid anhållandet av en misstänkt.

Detta för att få möjlighet att undersöka den misstänktes telefon för stärkande eller friande bevis.[3] Detta beskrivs även i en rapport från polisstyrkor i England och Wales, där

mobiltelefoner allt oftare kan ses som en nyckelkälla för information i brottsutredningar.[4]

Denna statistik berör inte Sverige men det kan göras antagande om att mobiltelefoner är

minst lika representerade den svensk brottsutredningen. Dessutom visar statistik på att antalet

mobiltelefoner per capita, i de tre olika länderna som diskuteras är likvärdigt, något som

styrker teorin att mobiltelefoner ofta finns representerade i svenska brottsutredningar.[5] Det

faktum att mobiltelefoner är välrepresenterade i dagens brottsutredningar innebär även att det

Arbetet kommer ta upp hur brister kan påverka det mobilforensiska arbetet vad gäller kvalitet av utvinning, men även arbetsprocessen i stort. Nyttan av en kartläggning inom just

mobilforensiken är att göra läsaren uppmärksam på de brister som finns och hur dessa kan påverka ett utredningsarbete. En negativ påverkan på arbetsprocessen kan i sin tur

exempelvis påverka bevisningar i domstol där mobiltelefoner ofta utgör en del av beviskedjan och därav är det viktigt att belysa området för att möjliggöra att mobilforensiken blir en fokusgrupp för kompetensutveckling och förbättrade verktyg.

1.1 Problemhypotes

I och med digitaliseringen och att användandet av mobiltelefonen ökar, finns mobiltelefonen allt oftare representerad som en viktig del i en IT-forensisk utredning. Det uppges att under perioden 2004–2014 ökade antalet mobiltelefoner som föremål för utredning till mer än 700%, i ett distrikt i Stockholm. Även i polisdistrikt Skåne kan en ökning ses av

mobilanalyser.[7] Enligt statistik från september 2020 uppmätts antalet användare av smarta telefoner vara 8,82 miljoner enbart i Sverige. Statistiken tyder också på att ökningen mellan åren 2018 och 2020 planat ut något, i jämförelse med den explosionsartade ökningen mellan åren 2004–2014.[8] Enligt statistik från Statistikmyndigheten hade Sverige i slutet av 2020 en befolkningsmängd på ca 10,3 miljoner.[9] Detta innebär att en stor mängd av Sveriges

befolkning äger en mobiltelefon idag. Därav är det viktigt med en fungerande mobilforensisk process och kunskap kring hur data från mobila enheter utvinns med hög kvalité.

Syftet med arbetet är att undersöka hur brister i mobilforensiska verktyg påverkar utvinningen av data från mobila enheter. Samt att se hur bristande kompetens påverkar mobilforensiska processer.

1.2 Frågeställningar

I samband med att tekniken och ämnet mobilforensik utvecklas, förändras och utvecklas även

den mobilforensiska processen. Det sker mycket arbete och forskning på och relaterat till

området, för att utveckla nya processer som kan leda till en lyckad utvinning. I denna uppsats

finns två huvudsakliga frågeställningar som ska besvaras. Frågorna är tänkta att ur ett nytt

perspektiv belysa de brister som påverkar den mobilforensiska arbetsprocessen på olika sätt,

De frågeställningar som fokuserats på är följande:

● På vilket sätt kan bristande kompetens påverka mobilforensiska processer?

● Hur kan utvinning av data från mobila enheter påverkas av brister i mobilforensiska verktyg?

1.3 Problematisering

Eftersom verktygen och arbetsprocessen är under ständig utveckling, kan det vara

problematiskt att få tillgång till den allra senaste informationen och utvecklingen. Något som i sin tur kan leda till ett begränsat resultat i arbetet.

Det kan även uppstå problem om det inte finns tillräckligt med brister i de mobilforensiska verktygen. Detta kan leda till svårigheter då det kan vara svårt att undersöka hur utvinningen av data påverkas.

1.4 Positionering

Det finns ett flertal olika områden och perspektiv inom området mobilforensik, vilket leder till att relaterade arbeten har olika fokus. Flera arbeten behandlar problem och brister inom mobilforensiken, samt vad som kan hittas vid en datautvinning. I dessa arbeten diskuteras bland annat viktiga val som kan göras under arbetsprocessen, samt hur pålitliga

mobilforensiska verktyg kan vara i arbetsprocessen.[10][11] Denna uppsats kommer, i jämförelse till dessa tidigare arbeten, inte ha samma fokusområden. Utan arbetet kommer avgränsas och fokus kommer läggas på hur en mobilforensisk process påverkas av bristande kompetenser samt bristfälliga verktyg.

Flera arbeten inriktar sig även på en viss typ av mobilforensik, exempelvis Android-forensik.

Dessa arbeten undersöker endast verktyg och datautvinning kopplat till telefoner med

Android som mobilt operativsystem.[12][13][14] Detta arbete kommer inte inrikta sig på ett

speciellt mobilt operativsystem, utan på speciellt utvalda mobilforensiska verktyg som sedan

analyseras.

2. Metod

Det finns flertalet olika tillvägagångssätt för att besvara de frågeställningar arbetet fokuserar på. Kapitel 2 diskuterar olika möjligheter och problematik som finns med den valda metoden, samt presenteras den metod som slutligen valts till arbetet.

2.1 Alternativa metoder

Eftersom ett arbete likt detta bidrar till många olika infallsvinklar erbjuds också ett brett utbud av olika metoder för arbetet. En möjlig metod till arbetet skulle kunna vara att utföra ett experiment. Detta skulle bidra till en konkret kunskap inom ett specifikt område. Dock är detta en metod som inte för arbetet lika långt, då det är mer tidskrävande och inte lika brett.

Därav kan en litteraturstudie ses som bättre, då den bidrar till en bredd med många infallsvinklar, både kring mobilforensik och dess uppbyggnad, men även kring

arbetsprocesser i det stora hela. En litteraturstudie kan dock medföra svårigheter i arbetet, då det är begränsat av den befintliga litteraturen. Men den bredd av infallsvinklar som studien ger, är mer lämplig för arbetet.

En kompletterande intervju med en yrkesverksam person inom området hade varit intressant i arbetet och kan ses som ytterligare en möjlig metod. En intervju med yrkesverksamma inom området hade kunnat bidra med mer specialkunskap till uppsatsen. Däremot hade ett flertal intervjuer behövts genomföras för att säkerställa trovärdigheten och att det inte är endast en individs åsikt. Ett genomförande av intervjuer hade varit tidskrävande och upptagit en stor del av den utgivna tiden, vilket gör att en litteraturstudie är mer lämplig inom arbetets tidsram.

Därför är en systematisk litteraturstudie den metod som kommer utnyttjas i detta arbete.

Metoden som valts medför olika tolkningsmöjligheter. Eftersom arbetet baseras på en analys

gjord på flertalet olika litterära källor finns det möjligheter för alternativa tolkningar av

resultatet än tolkningen som gjorts i detta arbete. Likaså hade resultatet kunnat bli annorlunda

om litteraturstudien utökats. Resultatet kan även tolkas olika utifrån de paralleller som gjorts

mellan frågeställningarna i detta arbete och kring hur verktygen påverkas av kompetenser och

vidare i arbetsprocessen. Den valda metoder kan därför medföra en utmaning med att täcka in

så många olika scenarion och infallsvinklar som möjligt. Däremot erbjuder metoden som

tillämpats en bred syn på området som undersökts, vilket underlättar för att dra relevanta slutsatser och presentera trovärdiga resultat.

Då utvinningen inte testas kan det vara en utmaning att få rätt förståelse för processen och dess utfall. Detta kan leda till problematik, då det kan ge en felaktig bild av de befintliga problem och brister som finns både i processen och i de mobilforensiska verktygen.

2.2 Val av metod

Relaterade arbeten som behandlar ämnet, använder sig av olika metoder och tillvägagångssätt när det kommer till undersökning av problem. Flera arbeten använder sig av en

litteraturstudie som bas. Arbetet som beskriver modellen för den mobilforensiska

arbetsprocessen använder sig av en litteraturstudie som bas, för att få en generell uppfattning kring området de diskuteras. En liknande metod används i artikeln från en konferens som hölls 2020, där det beskrivs att fakta har samlats in för att kunna sammanställa en rapport som presenterar utmaningar och brister.[15][10] I de flesta fall är studien kompletterad med någon form av analys eller experiment. Experimenten och analyserna är ofta inriktade på en specifik del av området. I arbetet, Comparative Analysis of Android Forensics Tools, är fokusområdet androidtelefoner och hur forensiska verktyg samverkar med dessa. Alternativt kan detta ses i en annan relaterad rapport, som valt att fokusera ett specifikt forensiskt verktyg, samt en specifik applikation i en mobiltelefon.[16][12] Eftersom flera liknande arbeten använt sig av litteraturstudier och fått ett bra resultat, används samma metod i detta arbete då det inte kommer medföra några större konsekvenser då detta stöds av mer etablerad forskning.

Arbetet kommer grundas på en systematisk litteraturstudie, där befintliga rapporter och annan lämplig litteratur undersöks och analyseras. En litteraturstudie ger ett bra underlag för

undersökningen och bidrar till mer förståelse kring det valda ämnet. Studien kommer ge många infallsvinklar som kommer vara viktiga i arbetets utformning.

Urvalet av artiklar kommer baseras på relevans för arbetet, samt publicering. För att arbetet

ska vara så uppdaterat som möjligt, kommer det främst grundas på vetenskapliga rapporter

och artiklar publicerade de senaste tre åren.

2.3 Tillvägagångssätt

Först kommer en systematisk litteraturstudie utföras för att sedan kunna genomföra en kartläggning av brister i mobilforensiska verktyg. Detta för att därefter undersöka hur dessa brister påverkar den mobilforensiska processen. Litteraturstudien som genomförts har gjorts i två faser. Första fasen innebar sökningar på flertalet olika databaser för att kunna plocka ut lämpliga artiklar att fördjupa sig ytterligare. De databaser som använts är bland annat IEEE, OneSearch (via biblioteket på Högskolan i Halmstad), Google Scholar och Researchgate.

Sökord som använts har varit mobile forensics, mobile forensic tools, digital forensics, mobile forensic challenges, mobile forensic comparison, mobilforensik, mobilforensiska verktyg samt bristande kompetens. De olika sökorden har genererat ett stort urval av artiklar som sedan har begränsats med hjälp av exempelvis utgivningsår. Urvalet har främst varit rapporter och artiklar mellan 2019–2021 men har även kompletterats med viss litteratur från tidigare år. Fas två i sökningen har inneburit att litteraturen granskats för att avgöra om den har något att bidra med till just detta arbete. Artiklar och rapporter som varit alltför

specificerade på ett visst område har i vissa fall valts bort, då de inte varit relevanta för arbetet.

För att undersöka och besvara de valda frågeställningarna, kommer ett begränsat antal

mobilforensiska verktyg analyseras. Arbetet kommer begränsas till tre verktyg och de valda

verktygen är; Forensic Toolkit (FTK), EnCase, MOBILedit. Avgränsningen med antal och

typ av verktyg leder till att vi kan fokusera och fördjupa oss mer på de valda verktygen, vilket

leder till ett mer utförligt resultat.

3. Teori

Följande kapitel är ett teorikapitel där värdefull fakta presenteras för att öka förståelsen för digital forensik och mobilforensik inför resterande delar av uppsatsen. Likaså presenteras en översikt på vad en mobiltelefon kan innehålla för typ av information för att ge en ökad förståelse på dess värde i IT-forensiska utredningar.

3.1 Digital forensik

Digital forensik handlar om insamling och analys av elektroniska bevis. Syftet med den digitala forensiken är att samla in, identifiera och validera digital information som sedan kan användas som bevismaterial för att spåra brottslingar. Detta är viktig information som kan ligga till grund för en fällande dom i ett IT-forensiskt mål.

Den digitala forensiken handlar även om hur bevisen tas fram och hur de behandlas, detta då det är av stor betydelse att bevisen behåller sin mest ursprungliga form under

utredningen.[17][18]

3.2 Mobilforensik

Mobilforensik är en del inom den digitala forensiken och handlar om elektronisk

datainhämtning och återskapning av data från mobila enheter, det vill säga från smartphones och surfplattor.[19]

På enklare sätt kan detta definieras som “vetenskapen om att återställa digitala bevis från mobila enheter under kriminaltekniska förhållanden med accepterade metoder”.[20]

3.3 Vad kan utvinnas från en mobiltelefon?

Mobila enheter innehåller idag en stor mängd digital data. Detta då allt fler människor använder och förlitar sig på sina mobiltelefoner vid sändning, mottagning och sökning av data. Detta medför att det finns flera olika typer av information som kan utvinnas och granskas under den mobilforensiska processen och hela den IT-forensiska utredningen.

Exempel på vad som kan utvinnas från en mobiltelefon är:

- Meddelanden - Webbhistorik - Platsinformation - E-post

- Bilder och videos - Kontaktlistor

Den data som utvinns har en betydande roll då den sedan kan användas som bevismaterial i

utredningar och i juridiska rättegångar.[19][21]

4. Empiri

Följande kapitel är en del av den litteraturstudie som genomförts för att få en djupare förståelse kring den IT-forensiska arbetsprocessen och kompetensläget idag. Den

sammanställningen av information som presenteras först är tänkt att ge en ökad förståelse kring hur arbetet genomförs och vilka olika delar som kan ses som viktiga samt kartlägga kompetenserna inom området.

4.1 IT-forensisk process

Genom den ständiga ökningen av informationsteknologi i samhället, blir arbetet för att kunna utvinna information från dessa medel allt viktigare. Detta kan till exempel innebära att utvinna material från en mobiltelefon med syfte att använda detta som bevis eller grund för en undersökning. Nya användningsområden och utmaningar ställer stora krav på den IT- forensiska arbetsprocessen för att klara av dagens teknologi.

Enligt Nationellt Forensiskt Center (NFC) innebär en IT-forensikers arbete att ta fram dold information från bland annat mobiltelefoner. En IT-forensikers resultat från en utvinning används sedan för att bistå exempelvis polismyndigheten i ärenden. Johan Hultman, gruppchef på NFC, förklarar att arbetet en IT-forensiker genomför i enheten sällan följer samma mönster, utan att dataundersökningen skiljer sig mycket från gång till gång och bygger på problemlösning.[22]

En digital forensisk utredning består av flera olika faser (se Bild 1). Dessa faser kan antas vara liknande för en mobilforensisk utredning. Den digitala forensiska utredningen består av följande steg; identifikation, bevarande, insamling, undersökning, analys och

presentation.[23] Det första steget, identifikation, innebär upphandling och insamling av enheter kopplat till det som ska utredas. Fas två är förberedande av protokoll, Chain of

Custody medan tredje fasen är insamling av bevis samt protokollförande över de insatser som gjorts. Steg fyra är den undersökande fasen där bevis genom olika verktyg och metoder undersöks för att sedan analyseras i steg fem. De slutgiltiga steget i processen är

presentationsfasen där resultatet av utredningen visas. Även i en annan rapport beskrivs den

digitala forensiken bestå av olika faser, som liknar de steg som tidigare tagits upp.[10]

Bild 1. Digitalforensiska arbetsprocessen.

Den mobilforensiska processen består även den av olika steg, dessa är likvärdiga med de steg som togs upp ovan. Ett tidigare arbete, som enbart fokuserar på mobilforensik, tar upp

planeringsfas som ytterligare ett steg i den IT-forensiska arbetsprocessen (se Bild 2). En fas som innebär att planera i förtid vilka lämpliga metoder som ska tillämpas i utredningsarbetet, samt praktiskt förberedelsearbete. Denna fas görs i början av arbetet innan eller i samband med insamling av berörda enheter.[20] Olika typer av arbetsprocesser är även något som tas upp i ett arbete kring just den mobilforensiska utredningsprocessen. Detta arbete har

sammanställt och presenterat något som de själva kallar Harmonized Mobile Forensic Investigation Process Model, vilket är ett förslag på delar i arbetsprocessen.[15] Modellen som beskrivs där är till utseendet lik den som finns återspeglad nedan (se Bild 2). Då även den innehåller planeringsfas följt av identifikationsfas och avslutningsvis en presentationsfas.

Bild 2. Mobilforensiska arbetsprocessen med planeringsfas.

I en rapport från Brottsförebyggande rådet (BRÅ) 2016, beskrivs det att det antalet

brottsutredningar som kräver IT-forensisk kompetens ökar och därmed även behovet av en välfungerande IT-forensisk arbetsprocess. Den IT-forensiska arbetsprocessen beskrivs i rapporten som en flaskhals i de flesta utredningar, där mängden kompetent personal är mindre än den efterfrågan som finns på arbetsuppgifter. Detta innebär en hög

arbetsbelastning för de IT-forensiker verksamma inom branschen. Likaså beskrivs en låg

kompetens hos beställare (åklagare, förundersökningsledare, utredare etc.), vilket ofta leder

till otydliga beställningar samt att arbetet kan bli onödigt omfattande.[1] Rapporten är i

dagsläget 5 år gammal så möjliga förändringar kan ha skett, vilket kan betyda att det i dagsläget finns en mer etablerad arbetsprocess vad gäller IT-forensik och brottslighet

relaterad till det. Men även Polismyndighetens rapport från 2020 tyder på att det finns för lite kompetent arbetskraft för IT-forensiska yrken. Det beskrivs även att de finns en avsaknad av rutinbeskrivningar och metodstöd inom ämnesområdet IT-forensik som används hos polisens Regionala IT-brottscentrums (RC3) verksamheter. Något de själva beskriver som en väsentlig brist.[24]

4.2 Bristande kompetens

Om en person inte besitter tillräckliga kunskaper inom ett ämne och därav har bristande kompetens, kan det ha en negativ påverkan på den it-forensiska arbetsprocessen.[25]

Det finns ett flertal befintliga brister inom det IT-forensiska området hos Polismyndigheten, exempelvis att det IT-forensiska arbetet bedrivs ineffektivt samt felaktigheter i

informationsförvaltning som kan leda till brister i rättssäkerheten. Det beskrivs även att det finns möjligheter till förbättring när det kommer till kompetens och kompetensutveckling.

Nuvarande upplägg på den polisiära grundutbildningen innehåller inte någon form av utbildning inom IT-forensik, vilket lett till bristande grundkompetenser inom

kärnverksamheten i myndigheten. Likaså diskuteras det mycket låga antalet kandidater med tillräcklig IT-forensisk kompetens, både i privat och offentlig sektor.[24]

Bristande kompetenser kan, ifall de inte åtgärdas, få stora konsekvenser för det berörda området. Tillräckliga kompetenser måste finnas för att kunna täcka upp för de behov, uppdrag och mål som finns inom en myndighet eller ett företag. För en arbetsplats, såsom Polismyndigheten, kan bristande kompetens förhindra brottsbekämpning och försämra den uppklarade statistiken för brott.[24]

Även utbildning vid universitet eller högskola, ligger till grund för att få mer etablerad

kompetens inom det IT-forensiska området. I dagsläget finns det enbart en utbildning i

Sverige som fokuserar renodlat på IT-forensik. Utbildningen är en 3-årig kandidatutbildning

med 50 platser per år.[26] Antalet studenter som tar examen varje år kan uppskattas till

omkring 50, som sedan ska fördelas på hela Sveriges behovsområden. Något som kan antas

Med detta menas dock inte att de som faktiskt läser utbildningen besitter bristande

kompetens, utan snarare att det saknas personer att anställa med rätt kompetens. Likaså går det inte att från utbildningsplanen för Polisprogrammet utläsa att de läser någon form av grundutbildning inom IT-aspekterna vid brott, vilket också tas upp som en brist för kompetensen i rapporten från polisen.[24][27]

4.3 Sammanfattning

Utifrån den litteratur som lästs går det att se att det finns en processmodell som används vid många IT-forensiska utredningar. Modellerna innehåller olika faser där det är möjligt att få en översikt på hur arbetet överlag bör vara upplagt.[10][15][20] Däremot beskrivs också att själva innehållet i en dataundersökning ofta ser olika ut vilket innebär att samma mönster inte kan följas varje gång.[22] Litteraturen har även påvisat att det i dagsläget finns brister

kopplade till kompetenser hos bland annat polismyndigheten där grundkompetenser kan ses vara för låga, vilket påverkar kärnverksamheten inom myndigheten negativt.[24][27]

Bristande kompetens hos anställda är även något som har en direkt påverkan på den IT- forensiska arbetsprocessen som beskrivs i avsnitt 4.1.[25]

5. Analys

För att undersöka och besvara de valda frågeställningarna, kommer ett begränsat antal mobilforensiska verktyg analyseras. Arbetet kommer avgränsas till en analys av tre olika verktyg. Valet av verktyg baseras främst på litteraturstudien. De valda verktygen är vanligt förekommande inom området mobilforensik, samt uppkom de i flera vetenskapliga rapporter vilket gjorde att de fanns ett bra underlag att basera analysen på.[14][15][28]

De valda verktygen är:

● Forensic Toolkit (FTK)

● EnCase

● MOBILedit

Avgränsningen med antal och typ av verktyg leder till att vi kan fokusera och fördjupa oss mer på de valda verktygen, vilket leder till ett mer utförligt resultat.

Vid utvinning av data från en mobiltelefon, är lämpliga verktyg för ändamålet viktiga för att kunna göra så effektiva utredningar som möjligt.

5.1 Bakgrund - verktyg

Forensic Toolkit (FTK)

Forensic Toolkit är ett verktyg för att snabbt kunna ta fram relevanta bevis från en enhet.

FTK är ett specialbyggt verktyg som samverkar bra med mobila enheter. Verktyget beskrivs som ett kraftfullt och tidseffektivt verktyg. Det använder flera distribuerade processmotorer, vilket leder till både bättre prestanda och ökad effektivitet. Verktyget innehåller till exempel funktioner som ger snabbare sökningar och beslutsfattande.[28][29] FTK uppges kunna samla in, analysera, hantera och presentera data.[30][31][32]

EnCase

Det forensiska verktyget EnCase är ett brett verktyg inom kriminalteknik och cybersäkerhet.

Verktyget är utformat för att återställa bevis från digitala enheter, både från datorer och mobila enheter. EnCase ger utredaren möjlighet att tidseffektivt söka, identifiera och

analysera bevis. På grund av den tidseffektivitet som EnCase tillhandahåller, påstås verktyget

kunna minska eventuellt eftersläpande arbete, för att snabbare komma fram till ett resultat.[28][33]

Det anges att EnCase kan göra följande; skaffa data, undersöka och analysera data, hitta gömd data, hantera stora mängder bevis, skapa kopior av den ursprunglig data, överföra bevis samt att det finns olika alternativ för granskning och rapportering för att möjliggöra ett effektivt arbete.[28][34]

MOBILedit

MOBILedit är ett verktyg som funnits på marknaden sedan 1996. År 2013 kompletterades verktygen med en version vid namn mobiledit forensic express.[15][35] Med hjälp av MOBILedit och dess program kan användaren få åtkomst till, samla in och extrahera data.

Verktyget ger även möjlighet till att analysera olika funktioner i en mobiltelefon. Data inkluderar meddelanden, historik, filer samt rå data från applikationer. Det går också att återfinna information kring operativsystem och platsinformation. MOBILedit ska också vara möjligt att använda för att förbipassera lösenord, pinkoder och kryptering av säkerhetskopia på telefonen.[15][36]

5.2 Val av egenskaper

Vid analysen undersöktes flera olika egenskaper som kan påverka den mobilforensiska processen.

När det gäller ett verktygs förmåga att arbeta effektivt är detta viktigt för att få en snabbare arbetsprocess. I rapporten från BRÅ beskrivs det att det är en hög arbetsbelastning på IT- forensiker med många väntande beställningar.[1] För att minska väntande beställningar känns detta därför som en viktig egenskap.

Likaså är möjligheten för ett verktyg att stödja flera olika typer av operativsystem och

tillverkare något som skapar ett lättare arbete. Det beskrivs att det finns många olika typer av

operativsystem och att de alla fungerar på sitt eget sätt, något som gör att det krävs stor bredd

i verktygen för att kunna hantera dem alla.[37]

Användarvänligheten var även en av egenskaperna som valdes ut för att analyseras vidare i de tre verktygen. Användarvänligheten går att koppla samman med tidseffektivitet och den höga arbetsbelastningen som beskrevs av BRÅ.[1] Är verktygen skapade för att enkelt kunna hanteras av användare, så går även arbetet snabbare.

Vidare valdes även verktygens möjlighet att inhämta information ut som en viktig aspekt till analysen. Inhämtandet av information är en stor del av den IT-forensiska arbetsprocessen och det är där eventuella bevis kan hittas.[23] Därför är detta en viktig funktion för ett verktyg, så arbetet kan nå ett bra resultat. Det som utvinns från mobiltelefonen kan sedan vara det som används i exempelvis polisiära ärenden för att bidra med information.[22] Den sista

egenskapen som valdes ut var möjligheten för verktyget att producera slutrapporter. Detta är en egenskap som kan ses som betydande, då resultatpresentation är en del av den

mobilforensiska arbetsprocessen och därav en fördel om verktygen kan utföra.[15][20][23]

Det är viktigt att få en bra uppfattning kring de tre valda verktygen och se viktiga aspekter

som påverkar verktygen. Utifrån detta valdes följande fem egenskaper: tidseffektivitet,

möjligheten att stödja flera typer av operativsystem/tillverkare, användarvänlighet,

informationsinhämtning och slutrapporteringsmöjligheter.

6. Resultat

I resultatkapitlet kommer de resultat som framkommit ur analysen och litteraturstudien presenteras. Första avsnittet fokuserar på hur den bristande kompetensen påverkar arbetsprocessen och det andra avsnittet behandlar de mobilforensiska verktygen och dess brister som hittats under analysen.

6.1 Bristande kompetens påverkan på arbetsprocessen

Mobila enheter behöver hanteras på ett planerat, korrekt och väldokumenterat sätt.[25] Det behövs en viss specialkompetens för att kunna utföra en utförlig och korrekt datautvinning från en mobiltelefon. Yrkesverksamma behöver både kunskap kring de olika funktionerna för operativsystemen och för hur mobiltelefonen ska hanteras.

Felaktig hantering av mobiltelefoner kan får stora konsekvenser, då det kan förstöra data och därmed förstöra bevis som är betydande i en utredning. Ett misstag i hanteringen kan leda till att den mobila enheten rensas och återställs, vilket leder till förlust av data. Alternativt kan detta försvåra arbetet för IT-forensikern då arbetsbelastningen blir högre och processen längre.[25] Felaktig hantering av mobiltelefoner kan även leda till svaga bevis vid en rättegång, något som till följd av Sveriges fria bevisprövning gör att bevis värderas som mindre betydande. I andra länder där inte fri bevisprövning nyttjas kan det istället innebära att beviset inte får användas alls, eftersom det kan räknas som otillåtet bevismaterial enligt regler.[38] Vilket kan bli en allvarlig konsekvens.

Bristande kompetens kan även leda till brist i dokumentationen vid den mobilforensiska processen. Vid en utredning är det viktigt att dokumentera de olika stegen som utförs och att hela arbetsprocessen kartläggs.[20] Noga dokumenterade utredningar är inte bara positivt för den specifika utredningen utan även i ett framtida perspektiv där dokumentationen kan användas som förbättringsarbeten till hur arbetet kan utföras. Bristande kompetens kan därför påverka den mobilforensiska utredningen på det sättet att dokumentationen blir bristfällig.

Något som i sin tur har en negativ påverkan på den IT-forensiska arbetsprocessen.

Att otillräcklig kunskap har en påverkan på arbetet och även verktygen är något som

framkommit av analysen som genomförts. Att verktygen ibland upplevs som svårhanterliga

anställda inom området kan vara för låga.[10][31] Likaså kan bristen på dokumentation som återkommande tagits upp i arbetet visa på bristande kompetens kring hur detta ska göras på ett bra sätt.[24] Alternativt att det saknas riktlinjer för att det ska göras och därför inte alltid görs trots att analysen visar på att alla tre verktygen har möjlighet att producera rapporter (se Tabell 1).

6.2 Brister i mobilforensiska verktyg

I dagens samhälle finns det många olika sorters mobiltelefoner och dessa utvecklas och uppdateras till nya versioner kontinuerligt. Eftersom olika typer av mobiltelefoner kan vara representerade i en utredning är det viktigt att de mobilforensiska verktygen stödjer många tillverkare och operativsystem.[37]

Utifrån analysen går det att se att alla de tre valda verktygen stödjer flera tillverkare och operativsystem (se Tabell 1). Om ett mobilforensiskt verktyg däremot inte stödjer flera olika typer av detta kan den mobilforensiska processen bli mer omständig då det kan behövas flera olika verktyg för att utvinna data. Likaså kan analysen berätta att verktyget EnCase påvisat problem att vara kompatibelt med andra forensiska verktyg, något som kan göra processen mer besvärlig.[33][39]

I analysen som gjorts framgår det även att alla tre verktyg påvisat brister kopplade till

inhämtning av information. Förväntningarna på verktygen har inte uppnåtts då informationen inte gått att inhämta (FTK och EnCase), alternativt bara delvis kunnat inhämtas

(MOBILedit).[40][41] Likaså framkom det i analysen att det kan finnas en viss problematik, i FTK, med att information oavsiktligt förändras under en utrednings gång, något som kan ses som allvarligt.[10] Utifrån den allmänna information som framkommit ur analysen, går det inte heller förbise helt att alla tre berörda verktyg kan ha problem när det gäller utvinning av information. Då det är något som återkommande beskrivs som en brist vad gäller

mobilforensiska utvinningar.[37][42]

Att en utvinning av bevismaterial går relativt snabbt är viktigt i den aspekt att rättsprocessen

snabbt ska kunna gå vidare. Det är också viktigt för att kunna underlätta för arbetande IT-

forensiker, genom att minska väntande utredningar. Detta är något som utifrån analysen kan

ibland arbetar alltför långsamt. EnCase tycks ha problem när det kommer till arbete med en stor mängd material att gå igenom, medan FTK i ett praktiskt experiment presterat avsevärt mycket långsammare än andra verktyg som testats samtidigt.[39][43][44] Upphovsmakarna till FTK påstår däremot att verktyget är snabbt och en bidragande faktor till minskade

väntetider i arbetsprocessen.[45] Det kan vara så att det negativa som framkommit kring FTK i detta arbetets analys kräver vidare undersökning för att styrkas, alternativt förkastas på grund av de motsägelsefulla uppgifter som hittats. Vad gäller MOBILedit är det ett verktyg som kan utföra flera utvinningar samtidigt och på så sätt skapar en snabb och smidig utvinningsprocess.[46]

I den IT-forensiska arbetsprocessen är dokumentation och översikt över arbetsgången en viktig del. Detta för att kunna påvisa och se över vad som gjorts i utredningen, men även för att kunna ge riktlinjer kring vad som kan behöva göras i ett senare skede. Det är därför

fördelaktigt om de tillämpade verktygen har någon form av rapportverktyg som kan användas för att på ett smidigt sätt skapa en rapport kring utredningen. En rapport framtagen via ett forensiskt verktyg tillhandahåller användaren med beskrivning kring granskningen och relevant data som återfunnits. Det går inte att, utifrån den analys som gjorts, utläsa att de tre verktygen brister gällande rapportverktyg. Tvärtom, kan analysen styrka att de tre verktygen besitter fungerande funktioner vid rapportering (se Tabell 1). Däremot kan frågan huruvida rapporterna används i tillräckligt stor utsträckning ställas, då det genom litteraturstudien framkommer att bland annat polisen saknar eller har bristande metodbeskrivningar och riktlinjer.[24] Något som väl kartlagda utredningar med hjälp av rapporter hade kunnat underlätta.

Vid tillämpning av ett mobilforensiskt verktyg underlättar det med användarvänlighet. Ett verktyg som är lätt att använda, men som ändå gör en djupgående utredning är något som kan gynna ett arbete. Alla tre verktyg som undersökts i analysen uppges ha utseenden och

funktioner som är tänkta att underlätta nyttjandet av verktyget och på så sätt vara

användarvänliga.[34][39][46] Däremot verkar så inte alltid vara fallet för FTK som har

brister vad gäller översikten i själva utredningen men också själva uppbyggnaden av

verktyget. Vet inte användaren exakt hur hen ska gå tillväga kan FTK kännas något

svårförståeligt och kräver omfattande träning för att behärska alla funktioner.[10][31][39]

6.3 Sammanfattning

Forensic Toolkit (FTK)

FTK uppges arbeta snabbt och effektivt och reducera onödiga väntetider i arbetsprocessen enligt AccessData, men material har hittats som visar att FTK arbeta avsevärt mycket långsammare än andra verktyg som testats i ett projekt.[43][45] Det har även gått att hitta olika typer av utvinningar ska orsaka ett långsamt arbete hos FTK men att det överlag arbetar smidigt och tidseffektivt.[47] Verktyget FTK stödjer även majoriteten av filsystem och stödjer både operativsystem som iOS och Android.[28][48][49] Utöver det ska även FTK ha ett lätt uppbyggt utseende vilket ökar användarvänligheten. Däremot saknas någon form av tidsöversikt kring hur lång tid en utredning tar och det uppges även finnas svårigheter och viss problematik när FTK utför flera uppgifter samtidigt.[39] Likaså har information hittats som säger att verktyget kräver omfattande träning för att behärska alla funktioner samt svårt att få en bra översikt om användaren inte vet exakt hur hen ska gå tillväga.[10][31]

Det finns även information som tyder på att verktyget oavsiktligt förändrar information vid extraktion från enhet och även erbjuder begränsad tillgång på information och

minnesåtkomst.[10] Dessutom har FTK även under utvinningar visat sig inte prestera på den förväntade nivån genom att inte lyckas inhämta data från telefonen.[40]

FTK kan producera både loggfil över utredningen som gjorts samt mer avancerade rapporter.[39] Verktyget har en funktion som kallas Report Wizard där rapporterna kan skapas dessa kan innehålla olika typer av information utifrån vad användaren önskar. Det går även presentera bilder och videos i rapporten.[30][31]

EnCase

Verktyget EnCase uppges ha problem vad gäller dess reaktionsförmåga på olika funktioner, vilket benämns som latensproblem. Likaså uppges EnCase vara tidskrävande vid stora utredningar där det finns mycket material att gå igenom.[39][44]

Verktyget ska kunna stödja flera olika typer av operativsystem och modeller av telefoner.

[33][34] Det anses också vara ett mycket användarvänligt verktyg överlag, med ett så kallat

“easy to use interface”. För att ytterligare hjälpa användarna finns även ett supportteam som

kan hjälpa användaren vid problem och felaktigheter.[34] Dock finns det information om att det ibland inte är kompatibel i kombination med andra verktyg.[33][39] Samt att det inte presterar på en förväntad nivå då det beskrivs att svårigheter att inhämta data från telefoner.

[40]

EnCase har goda rapport möjligheter inbyggt som bidrar till möjligheter att analysera och processa det som utvinningen givit.[39][34] Information som ligger i bevisfiler och rapporter kan inte ändras efter att de skapats. Det är dock möjligt att manuellt ändra information men detta kommer kännas vid av EnCase verktyget.[50]

MOBILedit

Verktyget MOBILedit uppges kunna extrahera information från flera enheter samtidigt för att på så vis arbeta mer effektivt och minska tiden för arbetsprocessen samt

arbetsbelastningen.[46] Däremot uppges det kunna ta lång tid vid presentation av fullständigt innehåll vid en utvinning.[51]

MOBILedit kan stödja ett brett spektrum av olika mobiltelefoner samt flertalet

operativsystem så som Android, iOS och Blackberry OS. Verktyget sägs vara designat för att kunna integrera väl med andra typer av forensiska verktyg. Samt att de tillåter användaren att snabbt och enkelt manövrera systemet.[35][46][52] MOBILedit ska under vissa

omständigheter kunna vara kapabelt att ta fram borttagen information från telefonen och krypterade säkerhetskopior. Utöver detta kan det användas för inhämtning av olika typer av data så som loggar, meddelande etc.[37] När verktyget testats framgår det i tidigare forskning att det inte fungerat som förväntat eller fungerar delvis i flertalet av utvinningarna av

information.[41]

MOBILedit erbjuder slutrapporter på flertalet olika språk.[52] Samt två olika typer av rapporter, en Full content och en Specific selection. I varianten med full Full content presenteras all data som återfunnits i rapporten, vilket uppges kunna ta lång tid. Medan Specific selection ger användaren mer möjligheter att själv välja innehållet i rapporten.

Användaren väljer i detta fall själv vilka typer av data som ska finnas med samt ifall foton,

videos och meddelanden ska finnas synligt.[51]

Utvalda egenskaper Forensic Toolkit EnCase MOBILedit Tidseffektivt Långsamt. Långsamt vid stora

utredningar.

Relativt snabbt.

Stöder flera tillverkare/

operativsystem

Ja. Ja. Ja.

Användarvänlighet Till viss del användarvänligt.

God

användarvänlighet

God

användarvänlighet.

Inhämtning av information

Otillräcklig. Otillräckligt. Till viss del funktionell.

Slutrapport Ja. Ja. Ja.

Tabell 1. Överblick av analysen utifrån verktygen och de valda egenskaperna.

Under analysens gång har även material som påvisar att det överlag finns problem kring just

utvinningen av data från mobiltelefoner hittats. Huruvida detta berör just de tre verktyg som i

detta arbete analyserar är oklart, men inte något att förbise helt.[53] Den allmänna risken för

att data från utvinningar i telefoner riskerar att bli dåligt inhämtad eller förstörd är även något

som diskuteras och funnits med som grund för analysen. Det som diskuteras där går inte

heller att knyta an till ett specifikt verktyg utan tas upp som en risk och svaghet i största

allmänhet i arbetsprocessen med IT-forensiska verktyg.[37] Det här måste därför tas med

som en möjlig påverkansfaktor när verktygen analyseras.

7. Diskussion

I rapporten har två olika områden undersökts, kompetensområdet inom mobilforensik och mobilforensiska verktyg och dess brister. I kapitel 7 kommer resultaten från dessa områden diskuteras i tre olika avsnitt.

Resultatet som arbetats fram för att kunna besvara de olika frågeställningar är en

sammanställning av olika typer av litteratur för att skapa en bred bild och god förståelse kring ämnet.

7.1 Bristande kompetens

Kompetensen har en betydande roll i en mobilforensisk process. I avsnitt 6 framkommer det att bristande kompetens kan påverka olika steg inom den övergripande processen.

Utifrån den bristande kompetensen kan det uppstå flera konsekvenser som påverkar

utredningen. I resultatet presenterades flera olika faktorer som påverkas om kompetensen är otillräcklig. Bland annat nämns det att felaktig hantering av den mobila enheten kan förstöra bevismaterial.[25] Denna typ av konsekvens är allvarlig och måste därför undvikas. För att brister som denna ska undvikas, krävs mer utbildning inom området.[24][27] En mer

grundläggande utbildning kring hur mobiltelefoner ska hanteras skulle kunna leda till positiva följder både för anställda eftersom arbetet på så sätt blir säkrare, men också ett mer effektivt arbete där felhantering av bevis kan reduceras.

I resultatet framkommer det hur viktigt det är med dokumentation under den mobilforensiska processen och att det kan uppstå svagheter i bevisningen på grund av bristande

kompetens.[20][24] Det är därav betydande att IT-forensiker har rätt kompetens så att dokumentationen utförs på korrekt sätt och att inget i utredningen missas, annars kan hela processen påverkas och leda till ett felaktigt resultat.

Under arbetets gång har det framkommit att det finns en hög arbetsbelastning på

yrkesverksamma IT-forensiker, något som kan tänkas bero på att mängden utbildade personer

i Sverige idag fortfarande är relativt liten.[26] Detta bidrar till att pressen på de som faktiskt

stressande.[1] En stressande arbetsplats skulle kunna leda till ett minskat välmående hos anställda där arbetsprocessen blir lidande som följd. Viktiga steg kan överses för att få arbetet att gå snabbare för att på så sätt hinna med mer och det kan ses som en följd av bristen på kompetens inom området.

Likaså diskuteras avsaknaden av riktlinjer, rutinbeskrivningar och metodstöd.[24] Att rutiner för arbetet saknas eller inte finns tillgängliga för de anställda kan bidra till att arbetet görs på ett felaktigt sätt. Om det inte är så att kompetensen och erfarenheten är god nog för att veta hur arbetet ska göras från start till slut. Det som framkommit från litteraturstudien tyder dock på att detta är problematiskt och något som behöver åtgärdas.[1][24] Även avsaknaden av metodstöd kan ses som problematisk, då risken för att fel metoder tillämpas blir större. Ett välfungerande metodstöd kan bidra med förslag på arbetssätt, viss kompetens genom enkel upplärning men även en trygghet för de anställda. Väl valda metoder tyder inte bara på bättre kompetens utan påverkar också arbetsprocessen i sin helhet, vilket i sin tur gör att de IT- forensiska verktygen används på ett bättre sätt. Därför kan etablerade rutinbeskrivningar och stöd för de olika metoder som finns gynna hela verksamheten och arbetet med

mobilforensiska utredningar. Rutinbeskrivningar gör även att bristande kompetenser inte påverkar utredningar i samma grad, istället agerar de som en checklista för att se till att inget glöms bort i processen men de berättar även om vad som ska göras.

7.2 Brister i mobilforensiska verktyg

Det resultat som arbetats fram kring brister i mobilforensiska verktyg har främst baserats på den analys som gjordes i kapitel 5. Analysen är en sammanställning av flertalet olika källor för att få många olika infallsvinklar på hur funktionen i verktygen är. Den information som presenteras i arbetet har påvisat både styrkor och svagheter men också information som motsäger varandra i vissa fall. Denna typ av information är intressant då den kan tyda på att det finns olika uppfattning kring verktygen.

Utifrån den analys som genomförts har det framkommit att utvinningar ibland tar lång tid att genomföra, alternativt att de avslutas innan all information har kunnat inhämtas.[40][41]

Vetskapen kring tidsåtgången vid en utvinning kan såklart ses som en brist då det påverkar

både tiden för ett arbete, men även resultatet av arbetet. Dock kan tiden för en utvinning antas

ha en koppling till hur mycket material som ska genomgås. Finns det mycket material på en

enhet kan det ses som en självklarhet att det kommer ta något längre tid än om materialet är mer begränsat.

Att även tidseffektiviteten kan ha en koppling till hur kompetensen ser ut hos anställda är också något att diskutera vidare kring. Under analysen framkommer det att skaparna av samtliga verktyg påstår att verktygen arbetar snabbt och underlättar utvinningsarbetet, men det finns också uppgifter som tyder på att användarna i vissa fall upplever det vara

tvärtom.[39][43][44] Detta är något som skulle kunna tyda på att bristen inte ligger hos själva verktyget utan hos användaren. Har användaren en låg kompetens kring hur verktyget ska hanteras skulle det kunna resultera till att utvinningen tar längre tid. Detta behöver dock inte betyda att verktyget gör en långsam utvinning, men att kringarbetet i verktyget som utförs av användaren tar lång tid. Det betyder helt enkelt att den mänskliga faktorn gör att verktygen inte upplevs prestera så bra som möjligt.

Däremot kan det också kännas som en självklarhet att snabbheten i ett verktyg bör vara ett område i fokus. Är ett verktyg både snabbt och effektivt leder det till flertalet positiva följder, både antalet väntande utredningar och tiden från det att en utredning startar till det att den kan avslutas och överlämnas till beställare skulle minska. I allra bästa fall skulle detta även kunna ha en positiv inverkan på hela rättsprocessen. Skulle flera utvinningar kunna göras under en och samma tid är också det ett sätt att med hjälp av verktyg kunna effektivisera arbetet, och på så sätt hinna med mer och minska tiden som läggs på varje utvinning. Med det sagt är det dock oerhört viktigt att kvaliteten på utvinningarna förblir densamma, alternativt att den förbättras ytterligare trots ett mer effektivt arbete.

Ett annat betydande resultat är att alla tre verktyg påvisat brister när det kommer till inhämtning av information.[40][41] Detta är något som kan ha en stor påverkan på en utvinning eftersom den då inte blir komplett. En icke komplett utvinning påverkar först och främst själva arbetet i sig med att den kan behöva göras om för att hitta information som inte hittades vid första utvinningen. Detta är något som påverkar den mobilforensiska

arbetsprocessen genom att den blir utdragen och därmed tar längre tid. En bristfällig

utvinning påverkar även efterföljande utredningsarbete på så sätt att det inte finns tillräckliga

bevis för till exempel en fällande dom mot en gärningsman.

Den bristfälliga inhämtningen av information kan även kopplas samman med bristande kompetens inom mobilforensik. Om en utvinning är misslyckad och betydande information inte gått att utvinna, är det viktigt för utredningen i fråga att det uppmärksammas. Det här sätter vissa krav på den som ansvarar för utvinningen, att personen kan se att information saknas eller att vissa delar av utvinningen inte skett på ett korrekt sätt. Därav kan detta kopplas dels till erfarenhet, men även till tillräckliga kompetenser. I ett rättsperspektiv kan bristande utvinningar bidra till att bevisen för en fällande dom blir otillräckliga. Något som kan vara allvarligt för brottsoffer, brottsutredare, åklagare och andra berörda parter vid ett brott som utreds. Eftersom det som utvinns från mobiltelefonen är sedan det som används i polisiära ärenden för att bidra med information.[22]

I resultatet av arbetet går det även att se att alla tre verktyg som analyserats har förmåga att skapa rapporter utifrån den utvinning som gjorts (se Tabell 1). Rapporterna kan användas för att få en överblick över de material som hittats under utredningen. Att dessa hjälpmedel används är viktigt för att få en dokumenterad arbetsprocess som i ett senare skede skulle kunna användas som riktlinjer för andra kommande utredningar. I den litteraturstudie som gjorts går det att läsa att till exempel polismyndigheten har få riktlinjer kring hur en IT- forensiker ska utföra sitt jobb.[22][24] Därför känns det extra viktigt att utnyttja de rapportverktyg som finns för att få en så väldokumenterad arbetsprocess som möjligt.

Slutrapporterna kan sedan göra att en mer etablerad arbetsgång kan hittas från tidigare dokument från utredningar, samt att de kan visa på viktiga detaljer att se över i utvinningen.

7.3 Sammanfattning

De resultat som framkommit från arbetet är en kartläggning kring hur det ser ut inom det mobilforensiska området idag.

Kartläggningen av de två olika områden med koppling till mobilforensik gör att de resultat

som framkommit kan bidra till en framtida utveckling av mobilforensiken. Verksamma inom

de mobilforensiska området kan bli mer uppmärksammade på de brister som hittats utifrån de

många olika källor som granskats. För att sedan kunna använda informationen till att se vad

som behöver utvecklas inom mobilforensiken, eller se över huruvida ens organisation är i

behov av kompetenshöjande insatser.

De brister som hittats och den bristande kompetens som beskrivs i arbetet tyder redan idag på att behovet av utveckling och vidare forskning finns. Både utveckling i form av

kompetenshöjningar på marknaden, men även utveckling av användbara mobilforensiska verktyg. Kompetenshöjningar kan innebära att höja kompetensen hos både yrkesverksamma IT-forensiker genom interna vidareutbildningar, men även att utbilda fler till att bli fullgoda IT-forensiker till exempel på högskole- eller universitetsnivå. Det här hade inneburit en framtid med en större mängd grundutbildade IT-forensiker och fler med mer avancerad kunskap eller djupare utbildning. Utbildningen hade gjort gott i förhållande till de utredningar som görs, genom att kunskapen är större och därför också möjligheterna. Men det hade också varit bra för att minska den höga arbetsbelastning som idag finns på IT-forensiker som beskrivs i BRÅ:s rapport.[1] En kompetenshöjning i framtiden skulle också kunna innebära att implementera mer utbildning redan på Polishögskolan för att förbereda poliser på hur de ska hantera digitala enheter som bevismaterial. I dagsläget finns inte någon sådan

förberedande utbildning utifrån det som står i utbildningsplanen för Polishögskolan.[27]

Även forskning kring mobilforensik och hur det kan utvecklas till det bättre framåt i tiden är viktigt för att hela tiden ligga i fas med den tekniska utvecklingen.

Det som presenteras genom denna rapport är ett granskande av såväl de IT-forensiska verktygen som kompetenser, vilket innebär att de brister som hittats kommer exponeras för läsaren. Det är därför viktigt att ta ett etiskt ställningstagande i frågan och arbeta för att inget av det som exponeras genom arbetet ska användas till det negativa, varken för de olika myndigheter som nämns eller företag vars verktyg vi nämner. Skulle det som presenteras i rapporten användas för att orsaka skada skulle detta såklart påverka de drabbade negativt. De brister som exponeras genom arbetet kan dock också ses som viktiga för berörda att

uppmärksammas på för att kunna vidta korrekta åtgärder.

7.4 Etikdiskussion

Det som presenteras genom denna rapport är ett granskande av såväl de IT-forensiska

verktygen som kompetenser, vilket innebär att de brister som hittats kommer exponeras för

läsaren. Det är därför viktigt att ta ett etiskt ställningstagande i frågan och arbeta för att inget

av det som exponeras genom arbetet ska användas till det negativa, varken för de olika

myndigheter som nämns eller företag vars verktyg vi nämner. Det etiska problemet är främst

vilket innebär att dessa kan ses som sårbarheter som helt enkelt exponeras under rapportens gång. Skulle det som presenteras i rapporten användas för att orsaka skada skulle detta såklart påverka de drabbade negativt genom att dessa sårbarheter utnyttjas för att lättare förstöra i den mobilforensiska arbetsprocessen. De brister som exponeras genom arbetet kan dock också ses som viktiga för berörda att uppmärksammas på för att kunna vidta korrekta åtgärder, detta kan bland annat innebära skaparna av de olika verktygen eller anställda som arbetar i eller utefter de myndigheter och tillvägagångssätt som nämns. Att berörda

uppmärksammas på de problem som finns kan därför ses som viktigare och mer betydande än

de faktum att sårbarheter presenteras genom denna rapport, därför är arbetet fortsatt motiverat

att genomföra trots det etiska problem som finns.

8. Slutsats

Kapitel 8 presenterar de slutsatser som kan göras utefter det som presenterats i arbetet.

Kapitlet har delats in i avsnitt utifrån de två frågor som arbetet behandlat, för att på så sätt få en tydlig bild av de olikas slutsatser som dras och dess kopplingar till frågeställningarna.

8.1 På vilket sätt kan bristande kompetens påverka mobilforensiska processer?

Arbetet visar på att bristande kompetenser inom det mobilforensiska området existerar och kan därför påverka en arbetsprocess negativt. Utifrån den litteraturstudie som gjorts finns det tecken på att kompetenser kring just den IT-forensiska arbetsprocessen är låg. Det finns få etablerade rutinbeskrivningar och stöd för de olika metoder som skall tillämpas, vilket nämns i avsnitt 4.1. För en oerfaren anställd kan detta innebära att dåliga eller bristfälliga

arbetsmetoder väljs, vilket kan påverka arbetet som görs. Dessutom uppmärksammades det under analysen att verktygen ibland upplevs otillräckliga gällande användarvänlighet.

Slutsatsen som kan dras av dessa faktorer är att chansen för att misstag i den IT-forensiska arbetsprocessen är relativt stor vilket försvårar arbetet och kan bidra till en mer tidskrävande process. Detta kan ses som problematiskt då det flertalet gånger poängteras hur viktigt det är med tidseffektivitet kontra den stora arbetsbelastning som finns inom branschen.

Den bristande dokumentationen i arbetet är även något som kan kopplas till låga kompetenser och avsaknad av kunskap hos den anställda. Det kan handla om att den anställda helt enkelt inte har kunskap nog att dokumentera de arbete som görs, eller inte har kunskap att utnyttja de hjälpmedel verktygen erbjuder för detta. Även det här är något som påverkar

arbetsprocessen på så sätt att dokumentationen blir bristande och möjligheterna i framtiden att granska äldre arbeten blir mindre.

Likaså är den höga arbetsbelastningen något som återkommande tagits upp under arbetet, då

antalet kompetenta IT-forensiker är få i jämförelse till antalet utredningar som görs. Att den

mobilforensiska arbetsprocessen påverkas av detta är tydligt. Arbetsbelastningen blir hög på

de anställda som är kunniga inom området vilket kan bidra till ett mer stressfyllt arbete vilket

skulle kunna påverka kvaliteten på utredningarna och de anställdas mående. Därför kan

slutsatsen dras att detta behöver åtgärdas eftersom även det kan påverka den mobilforensiska

8.2 Hur kan utvinning av data från mobila enheter påverkas av brister i mobilforensiska verktyg?

Utifrån arbetet kan slutsatsen dras att det finns flera olika faktorer som kan påverka en datautvinning från mobila enheter. I analysen som gjordes hittades flertalet brister i de valda verktygen. Dessa olika brister kan påverka utvinningen på olika sätt.

De slutsatser som kan dras utifrån arbetet är att användarvänligheten i ett verktyg är något som kan påverka utvinningen av data från mobila enheter mycket. Detta genom att

exempelvis information skadas eller förändras under utvinningens gång, till följd av ett dåligt uppbyggt verktyg för användaren. Likaså är ett verktyg som inte är användarvänligt något som kan påverka tidseffektiviteten i utvinningen och bidra till en långsammare arbetsprocess.

Vidare går det även att dra slutsatsen att alla de tre verktyg som analyserats under arbetets gång stödjer flertalet olika operativsystem och tillverkare av mobiltelefoner. Detta kan då inte ses som en brist. Skulle verktygen däremot inte stödja flera, skulle detta kunna påverka utvinningen på så sätt att den blir omöjlig att genomföra alternativt att det blir en mer omständig arbetsprocess.

Utifrån den information som hittats och analyserats under arbetet, går det att dra en slutsats att de tre verktygen, EnCase, MOBILedit och FTK, i vissa fall inte fungerar enligt de förväntningar som finns. Utifrån denna information går det att dra slutsatsen att det finns problem med alla tre verktyg, men kanske olika omfattande då det varit lättare att hitta beskrivna brister hos vissa av verktygen. När det kommer till verktyget FTK har det

framkommit att verktyget både har en historik av att oavsiktligt förändra inhämtad data, men även oförmåga att hämta in data över huvud taget. Från dessa faktorer kan det ses att ett verktyg kan påverka en utvinning negativt. Brister likt detta kan tolkas som att utvinningen blir bristfällig på så sätt att information saknas eller blivit förstörd, vilket i sin tur leder till att materialet som sedan ligger till grund för bevisningen är otillräckligt.

Det går också att se att tidseffektiviteten är något som kan påverka den mobilforensiska

utvinningen om den är bristande. Arbetar verktygen långsamt kommer detta resultera i en mer

utdragen process och arbetet tar längre tid. Något som innebär att bristande tidseffektivitet

Slutligen går det även att se att samtliga verktyg från analysen skulle kunna arbeta mer på tidseffektiviteten och förmågan att utvinna mer information. Detta för att få en så smidig och effektiv utvinningsprocess som möjligt. Arbetet påvisar också att bristande kompetens och brister i mobilforensiska verktyg är något som påverkar arbetsprocessen i stort. Otillräcklig kompetens i kombination med brister i verktygen kan ha stor påverkan inte minst på rättsprocessen i dagens samhälle eftersom mobiltelefoner är vanligt förekommande.

Sammanfattningsvis går det alltså att säga att behovet av en mer etablerad kompetens och

även bättre uppbyggda verktyg hade underlättat i det mobilforensiska arbetsområdet. Det är

därför viktigt att detta uppmärksammas och att de problem som finns i dagsläget åtgärdas på

ett bra sätt. Förbättringar inom mobilforensiken hade varit positivt både för yrkesverksamma

IT-forensiker och för personer berörda av bevisningen så som brottsoffer och utredare.

Referenser

[1] Andersson, F., et al. (2016). It-inslag i brottsligheten och rättsväsendets förmåga att hantera dem. Brottsförebyggande Rådet, Stockholm.

https://www.bra.se/

[2] Internetstiftelsen. (2017). Svenskarna och Internet 2017 - Internet i mobilen.

https://svenskarnaochinternet.se/rapporter/svenskarna-och-internet-2017/allmant-om- utvecklingen/internet-i-mobilen/

[3] McClees, E. (2019). How do police use cell phone data in criminal investigations?.

McClees Law Firm.

https://www.mctexaslaw.com/how-do-police-use-cell-phone-data-in-criminal-investigations

[4] Information Commissioner's Office (ico). (2020). Mobile phone data extraction by police forces in England and Wales - Investigation report.

https://ico.org.uk/media/about-the-ico/documents/2617838/ico-report-on-mpe-in-england- and-wales-v1_1.pdf

[5] IndexMundi Country statistics. (2020). Telefoner - mobilcell per capita - Världen.

https://www.indexmundi.com/map/?v=4010&l=sv

[6] Polismyndigheten. (2019). Misstänkt för Brott. https://polisen.se/utsatt-for-brott/efter- polisanmalan/misstankt-for-brott/

[7] Tidningarnas Telegrambyrå AB (TT)( 2014). Mobiltelefoner allt viktigare i

brottsutredningar. https://www.svt.se/nyheter/lokalt/stockholm/mobiltelefoner-allt-viktigare- i-brottsutredningar

[8] O’Dea, S. (2021). Forecast of smartphone user numbers in Sweden 2018-2025. Statista.

https://www.statista.com/statistics/494638/smartphone-users-in-sweden/

[10] Alatawi, H., et al. (2020). Mobile Forensics: A Review. Från 2020 International Conference on Computing and Information Technology. IEEE.

https://ieeexplore-ieee-org.ezproxy.bib.hh.se/stamp/stamp.jsp?tp=&arnumber=9213739

[11] Krishnan, S., Zhou, B., och An, M. K. (2019). Smartphone Forensic Challenges.

International Journal of Computer Science and Security (IJCSS).

https://www.researchgate.net/profile/Sundar-

Krishnan/publication/336221775_Smartphone_Forensic_Challenges/links/5d9521fd458515c 1d38ed836/Smartphone-Forensic-Challenges.pdf

[12] Lwin, H. H., Aung, W. P., och Lin, K. K. (2020). Comparative analysis of Android mobile forensics tools. Från 2020 IEEE Conference on Computer Applications (ICCA). IEEE.

https://ieeexplore-ieee-org.ezproxy.bib.hh.se/stamp/stamp.jsp?tp=&arnumber=9022838

[13] Al-Sabaawi, A., och Foo, E. (2019). A comparison study of android mobile forensics for retrieving files system. International Journal of Computer Science and Security (IJCSS).

https://www.cscjournals.org/manuscript/Journals/IJCSS/Volume13/Issue4/IJCSS-1496.pdf

[14] Agrawal, A. K., et al. (2020). Forensic of an unrooted mobile device. International Journal of Electronic Security and Digital Forensics.

https://www.inderscienceonline.com/doi/pdf/10.1504/IJESDF.2020.103882

[15] Al-Dhaqm, A., et al. (2020). A Review of Mobile Forensic Investigation Process Models.

IEEE.

https://ieeexplore-ieee-

org.ezproxy.bib.hh.se/stamp/stamp.jsp?tp=&arnumber=9160916&tag=1

[16] Alief, F., et al. (2020). Analysis of Autopsy Mobile Forensic Tools against Unsent Messages on WhatsApp Messaging Application. Från 2020 7th International Conference on Electrical Engineering, Computer Sciences and Informatics (EECSI). IEEE.

https://ieeexplore-ieee-org.ezproxy.bib.hh.se/stamp/stamp.jsp?tp=&arnumber=9251876