MOLNFORENSIK
En litteraturstudie om tekniska
utmaningar och möjligheter inom IT- forensik mot molnet
CLOUD FORENSICS
A litterature study about technical challanges and possibilities in digital forensics against the cloud
Examensarbete inom huvudområdet informationsteknologi med inriktning mot Nätverks- och systemadministration IT610G, G2E, 22.5 Högskolepoäng Vårtermin 2020
Datum vid examinering: 2020-06-15 Daniel Gustavsson
C17dangu@student.his.se Handledare: Joakim Kävrestad Examinator: Marcus Nohlberg
Sammanfattning
Molntjänster används idag över hela världen och ger många fördelar för en användare eller företag.
En nackdel med molnet är att det är en miljö som kriminella kan använda sig av för att utföra brott.
En anledning till att molnet är en attraktiv plats för kriminella är på grund av bristen på IT-forensiska metoder för att utföra en undersökning mot molnmiljön. När ett brott har anmälts i molnet så kommer en IT-forensiker utföra en undersökning genom att samla in digitala bevis för att avgöra vad som har hänt, dock kan detta vara problematiskt på grund av molnets komplexitet. Det traditionella sättet för att utföra en IT-forensisk undersökning blir en utmaning i molnet på grund av flera anledningar, några av dem är molnets dynamiska miljö och att flera användare delar på samma resurser. Denna studie genomför en systematiskt litteraturstudie för att identifiera tekniska utmaningar och möjligheter vid en IT-forensisk undersökning i molnet. Flera utmaningar och möjligheter identifierades från existerande litteratur som i sin tur kategoriserades och sammanställdes i modeller. Flera utmaningar tas upp som att datan i molnet inte är centraliserad och att virtuella maskiner kan vara i ett volatilt tillstånd. Vid möjligheter så går det exempelvis att hämta ögonblicksbilder från molnet för att utföra en analys på och även hämta bevis från en klients dator.
Nyckelord: IT-forensik, molnforensik, molntjänster, digitalt bevis
Abstract
Cloud services are being used all over the world today and provides several benefits for a user or a company. A downside with the cloud is that it is an environment that criminals can use to conduct a crime. One reason why a criminal uses the cloud to conduct a crime is due to the lack of suitable digital forensic techniques against the cloud environment. When a crime has been reported in the cloud, a digital forensics investigation can occur to gather digital evidence to determine what has happened. Unfortunately, this could be problematic because of the complexity of the cloud environment. The traditional way of conducting a digital forensic investigation becomes a challenge in the cloud because of several reasons. Some of the reasons are the dynamic environment of the cloud and that several users share the same resources. This study will conduct a systematic literature review to identify technical challenges and possibilities in a digital forensic investigation in the cloud.
Several challenges and possibilities were identified from existing literature which in turn got categorized and compiled into models. This study presents challenges, for example the data in the cloud is not centralized and virtual machines may be in a volatile state. There are several possibilities for instance, collecting snapshot for analysis and collect evidence from a client’s computer.
Keywords: Digital forensic, cloud forensic, cloud services, digital evidence
Förord
Ett stort tack till min handledare Joakim Kävrestad som har varit ett stort stöd under arbetets gång.
Han har varit snabb på att besvara frågor och har bidragit med användbar respons på arbetet, som på så sätt bidragit till ökad kvalité i arbetet. Även ett stort tack till min examinator Marcus Nohlberg för den konstruktiva kritiken till arbetet. Vill även tacka vänner och familj för allt stöd under arbetets gång.
Daniel Gustavsson
Innehållsförteckning
1. Introduktion ... 1
2. Bakgrund ... 2
2.1. IT-forensik ... 2
2.2. Säkra digitala bevis ... 2
2.3. Virtualisering ... 3
2.4. Molntjänster ... 4
2.5. Molnforensik ... 4
2.6. Relaterad forskning ... 5
3. Problemformulering ... 6
3.1. Forskningsfråga ... 6
3.2. Avgränsningar ... 6
3.3. Motivation ... 7
3.4. Syfte och förväntat resultat... 7
4. Metod ... 8
4.1. Systematisk litteraturstudie ... 8
4.1.1. Söksträng ... 8
4.1.2. Databaser ... 9
4.1.3. Inkluderings- och exkluderingskriterier ... 10
4.1.4. Snöbollsurval ... 10
4.1.5. Analys ... 11
4.1.6. Validitet ... 12
4.2. Genomförande ... 13
4.2.1. Sökning i databaser ... 14
4.2.2. Applicering av inkluderings- och exkluderingskriterier ... 14
4.2.3. Snöbollsurval ... 15
4.2.4. Analys av artiklar ... 15
5. Resultat ... 17
5.1. Tekniska utmaningar inom molnforensik ... 21
5.1.1. Tekniska utmaningar under insamlingsfasen ... 21
5.1.2. Tekniska utmaningar under analyseringsfasen ... 24
5.2. Tekniska möjligheter inom molnforensik ... 26
5.2.1. Tekniska möjligheter under insamlingsfasen ... 26
5.2.2. Tekniska möjligheter under analyseringsfasen ... 27
6. Analys ... 29
6.1. Tekniska utmaningar under insamlingsfasen ... 29
6.2. Tekniska utmaningar under analysfasen ... 31
6.3. Tekniska möjligheter under insamlingsfasen ... 32
6.4. Tekniska möjligheter under analysfasen ... 34
7. Diskussion ... 36
7.1. Validitet ... 36
7.2. Vetenskapliga aspekter ... 37
7.3. Samhälleliga aspekter ... 37
7.4. Etiska aspekter ... 37
7.5. Intervju med IT-forensiker... 37
7.6. Framtida forskning ... 38
8. Slutsats ... 39
Referenser ... 40
Bilaga A – Introduktion till molnforensik
1
1. Introduktion
Molntjänster är tjänster som tillhandahålls över internet och genom att använda molntjänster så kan en användare skapa virtuella maskiner, lagra data, använda utvecklingsplattformar och mjukvaror.
Idag används molntjänster av både företag och privatpersoner, vilket innefattar flera fördelar. En fördel är att användarna inte själva behöver äga den fysiska hårdvaran, utan den finns hos en molnleverantör. Detta minskar kostnaden samt komplexiteten för en användare. Molntjänster används idag över hela världen. Det finns flera fördelar med att använda molntjänster, dock så är detta även en miljö som kriminella kan använda för att utföra brott (Seth & Dhanare, 2018).
När ett brott har anmälts där informationsteknologi är involverat så kommer en IT-forensiker undersöka om brott har begåtts eller inte genom att samla in digitala bevis för att dra slutsatser. En IT-forensiker undersöker digitala lagringsenheter och digitala miljöer för att avgöra vad som har hänt (Kävrestad, 2018). Huseinovic och Mrdović (2018) menar att genom att utföra en IT-forensisk undersökning mot molnet så kallas det för molnforensik.
Molnforensik möts av flera problem som försvårar en IT-forensisk undersökning. Ett problem som finns inom molnforensik är att det traditionella sättet för att utföra en IT-forensisk undersökning är svårt mot ett moln. Detta problem orsakas bland annat av den dynamiska miljön som ett moln använder sig av och att resurserna delas bland flera användare. De traditionella verktygen som används är inte heller lika applicerbara mot molnet eftersom den data som ska samlas in kan vara utspridd över flera servrar. Detta medför legala, organisatoriska och tekniska utmaningar (Rani &
Geethakumari, 2015).
Detta arbete kommer att undersöka vilka tekniska utmaningar en IT-forensiker kan mötas av vid en IT-forensisk undersökning mot molnet samt vilka möjligheter som finns. För att ta reda på detta kommer en systematisk litteraturstudie att genomföras. Detta arbete är ämnat för rättsvårdande myndigheter där den främst ska nyttjas av polis och åklagare. Genom att genomföra detta arbete så ska det kunna bidra med kunskap inom de utmaningar och möjligheter som en IT-forensiker kan mötas av vid molnforensik, för att på så sätt kunna använda kunskapen i förebyggande syfte och i brottsutredningar.
De återstående delarna av rapporten är strukturerad genom att kapitel 2 bidrar till att ge grundläggande bakgrundsinformation som läsaren behöver förstå för att ha möjlighet att förstå resterande delar av rapporten. Kapitel 3 presenterar problem som finns inom molnforensik tillsammans med forskningsfrågan som ska besvaras. Under detta kapitel presenteras även avgränsningar, motivation och syfte samt förväntat resultat. Under kapitel 4 beskrivs metoden som kommer att användas för att besvara forskningsfrågan tillsammans med de validitetshot som identifierades och åtgärder som togs, här kommer även genomförandet att redogöras för. Kapitel 5 kommer att presentera resultatet som skapades från utförandet av metoden. Det resultat som skapades kommer sedan att analyseras under kapitel 6. En diskussion kommer att föras under kapitel 7 där aspekter som vetenskapliga, samhälleliga och etiska kommer att tas upp tillsammans med framtida forskning. Kapitel 8 är det sista kapitlet och innefattar en slutsats om arbetet.
2
2. Bakgrund
Under detta kapitel så kommer nödvändig information att finnas som behövs för att förstå denna litteraturstudie. Rubriker som kommer tas upp här är IT-forensik, säkring av digitala bevis, virtualisering, molntjänster och molnforensik.
2.1. IT-forensik
Kävrestad (2018) anger att en IT-forensiker arbetar med att undersöka digitala lagringsenheter och digitala miljöer för att avgöra vad som har hänt. IT-forensik involverar att undersöka om ett brott har begåtts eller inte. Grunden till IT-forensik är insamling, analysering och rapportering av digitala data.
Digitala data används som bevis och kan finnas på flera olika digitala enheter och digitala miljöer, allt från datorer och USB till molnet. Digitala bevis finns i olika typer av brott. Kävrestad (2018) menar att de olika typer av brott som finns går att dela upp i tre typer, dessa är cyberbrott, brott som har begåtts med hjälp av internet och brott med digitala bevis. Kävrestad (2018) förklarar att cyberbrott är brott där datorer används för att utföra ett brott mot en eller flera datorer, som exempelvis dataintrång och en överbelastningsattack. Brott som har begåtts med hjälp av internet är traditionella brott som har använt sig av internet som ett medium för att utfärda dem. För att genomföra dessa brott över internet så behöver inte den som utför brotten någon speciell kunskap inom datorer. I denna typ av brott ingår exempelvis försäljning av droger och bedrägerier. Kävrestad (2018) menar att det är samma typer av personer som utför dessa brott över internet som även gör det utan internet. Med hjälp av internet så behöver inte personen lämna hemmet för att utföra traditionella brott med traditionella motiv. Den sista typen av brott är brott med digitala bevis. Om ett och samma traditionella brott skulle utföras med skillnaden att det utförs över internet eller på det traditionella sättet så kommer det finnas mer bevis om brottet utförs på internet. Kävrestad (2018) använder ett exempel på försäljning av droger. På det traditionella sättet så skulle två personer mötas där byte av droger mot pengar kommer att ske, förutsatt att de inte är övervakade så kommer inget bevis att finnas som visar att transaktionen har skett. Om det skulle göras över internet istället så kan kommunikationen ske genom mejl eller någon form av chatt, vilket kommer att kunna sparas och kunna användas som digitalt bevis. Transaktionen med pengar över internet som kommer att ske, kommer även kunna spåras och användas som digitalt bevis (Kävrestad, 2018).
Kävrestad (2018) menar att när en person är misstänkt för att ha begått ett brott så kan en husrannsakan utföras, vilket då gör det möjligt att söka igenom enheter som tillhör den misstänkta. I en företagsmiljö är det vanligt att fokus till största del ligger på en viss enhet än en viss person.
Digitala bevis finns tillgängligt i de flesta av brotten som begås. Även om inte en dator har använts så kan IT-forensik användas för att hitta bevis. IT-forensik är viktigt eftersom det kan göra stor skillnad i ett brottsmål, i brott som utförs med hjälp av internet eller utan internet (Kävrestad, 2018).
2.2. Säkra digitala bevis
Enligt Kävrestad (2018) innebär ordet bevis den tillgängliga mängden fakta eller information som indikerar om en tro eller ett förslag är sant eller falskt. Digitala bevis är digital information som används för att dra slutsatser. Allt som lagrar digital information är föremål som är relevant för en IT- forensisk undersökning och ska hanteras som bevis. För att få ett korrekt resultat så måste all data som undersöks behandlas som bevis, då det inte går att veta exakt vilken enhet som kommer att lagra de svaren som en IT-forensiker söker efter i en undersökning. En dator eller en enhet kan
3 antingen vara påslagen eller avstängd, beroende på i vilket tillstånd den befinner sig i finns det olika sätt för att säkra bevis. På en avstängd dator eller enhet så går det inte att komma åt volatila data som finns lagrad i RAM minnet, utan endast data som finns i statiskt minne som en hårddisk. För att säkra bevis på en hårddisk används en mjukvara för att skapa en diskavbildning, där varje bit för bit kopieras från den ursprungliga datan på hårddisken så att den förblir identisk. Kävrestad (2018) menar att det är viktigt att den data som kopieras är identisk och inte har ändrats under den IT- forensiska undersökningen. För att se till att ingen förändring sker så används en skrivblockerare som kopplas mellan en hårddisk och en IT-forensikers dator. Detta kommer att hindra att data skrivs till hårddisken så att hårddisken som ska användas som bevis förblir i dess ursprungliga skick och inte blir kontaminerad. Bevis som har blivit kontaminerad kommer inte att vara godkänt att använda i rätten, därför görs alltid en kopia med en skrivblockerare och undersökningen kommer sedan att ske på kopian. För att vara säker på att kopian och den ursprungliga datan som finns på hårddisken, som ska användas som bevis, är identiska så jämförs två hashvärden med varandra. Ett hashvärde tas ut från kopian och den andra från den ursprungliga hårddisken, stämmer de överens så är de identiska (Kävrestad, 2018).
Om en dator eller en enhet är påslagen så kallas det för en ”liveanalys”, i det här stadiet så går det att samla in volatila data som berättar vad en dator eller en enhet arbetar med i stunden. En fördel med att utföra en liveanalys är att det går att skapa en kopiering av krypterade sektioner av en disk eller kopiera en helkrypterad disk om den inte längre är krypterad. För att säkra digitala bevis är det även väsentligt att följa de regler och lagar som finns. I en företagsmiljö är en IT-forensiker främst begränsad till de regler som finns hos företaget. I en rättsvårdande miljö är du begränsad till lagen. I Sverige så täcker en husrannsakan ett hem eller ett område. Skulle den misstänkta lagra data på molnet hos en molnleverantör så kommer en IT-forensiker inte kunna, enligt lag, hämta den data om en husrannsakan gäller i ett hem hos en person (Kävrestad, 2018).
2.3. Virtualisering
Med hjälp av virtualisering går det att skapa virtuella miljöer för nätverk, hårdvara och mjukvara.
Virtualisering ger flera fördelar som reducering av kostnad vid hårdvara och strömförbrukning (Vojnak et al., 2019). Virtualisering är en teknologi som skapar ett abstraktionslager mellan en fysisk dators hårdvara och ett gästsystem, detta abstraktionslager kallas för virtuell maskinövervakning (VMM) eller en hypervisor. Virtualisering är grunden till varje infrastruktur som finns i molnet idag, med hjälp av virtualisering så går det att köra flera instanser på samma hårdvara inom molnet (Kumar & Rathore, 2018). Virtualisering gör det möjligt för flera användare att dela på en fysisk maskin genom att skapa flera instanser av operativsystem med hjälp av VMM eller en hypervisor.
Fördelar med att använda sig av virtualisering är att resurserna på en fysisk maskin delas, de virtuella maskinerna kommer att isoleras och den enkelheten som finns av att hantera de olika virtuella maskinerna (R, Agarkhed, & Patil, 2017).
En hypervisor kan delas upp i två olika typer, typ 1 körs direkt på hårdvaran utan ett installerat operativsystem medan typ 2 körs i ett redan existerande operativsystem. Typ 1 används främst på servrar medan typ 2 används mer på persondatorer. Några exempel av mjukvaror som kör typ 1 är WMware, vSphere, Citrix och Microsoft-Hyper-V. Två exempel på mjukvaror som använder sig av typ 2 är VirtualBox och WMware workstation 15 (Vojnak et al., 2019). Se Figur 1 nedan, som visar en grafisk skillnad mellan typ 1 och typ 2 hypervisor.
4 Figur 1: Typ 1 och typ 2 hypervisor, efter Gupta och Awasthi (2016, s. 131) (Författarens egen)
2.4. Molntjänster
Molntjänster är tjänster som tillhandahålls över internet genom att använda hårdvara och mjukvara hos en molnleverantör. Molntjänster är något som idag används av både privatpersoner och företag.
Användarna som använder sig av molntjänster betalar beroende på vad och hur mycket av datorresurserna de använder sig av hos molnleverantören. Att använda sig av molntjänster kommer att minska kostnaden samt komplexiteten för ett företag samt privatpersoner eftersom de inte behöver införskaffa sig hårdvaran eller mjukvaran på plats (Seth & Dhanare, 2018).
Patil et al. (2017) anger att molntjänster kommer i tre olika modeller i form av tjänster. Dessa är infrastruktur som en tjänst (IaaS), plattform som en tjänst (PaaS) och mjukvara som en tjänst (SaaS).
Infrastruktur som en tjänst tillåter användare att köra virtuella maskiner över ett moln, här ingår även tjänster som lagring och nätverk. Plattform som en tjänst tillhandahåller tjänster som gör det möjligt att skicka ut applikationer och verktyg till användare, utan att användaren ska behöva installera det lokalt på datorn. Den sista modellen är mjukvara som en tjänst, i denna tjänst så kan en mjukvara köras över molnet så att en användare kan utnyttja den. Molnet kan även distribueras genom fyra olika modeller. Dessa modeller är publika moln, privata moln, gemensamma moln samt hybrida moln. Publika moln kan användas av många olika användare samtidigt där datorresurserna delas mellan användarna beroende på hur mycket resurser en användare betalar för. Ett publikt moln levereras av en molnleverantör. I ett privatmoln så är molntjänsterna som erbjuds tillgängliga för utvalda användare och hanteras till största del internt på ett företag. I gemensamma moln så kan flera organisationer dela infrastruktur och i hybrida moln så är flera av de nämnda distributionsmodellerna sammankopplande (Patil et al., 2017).
2.5. Molnforensik
Enligt Huseinovic och Mrdović (2018) så kan molnforensik definieras som en kombination av molntjänster och IT-forensik, där IT-forensiskt arbete utförs mot ett moln. Eftersom molntjänster tillhandahålls över internet så är det även kopplat till nätverksforensik. En annan definition ger NIST Cloud Computing Forensic Science Working Group (2014):
5
”Cloud computing forensic science is the application of scientific principles, technological practices and derived and proven methods to reconstruct past cloud computing events through identification, collection, preservation, examination, interpretation and reporting of digital evidence.” (NIST Cloud Computing Forensic Science Working Group, 2014, s. 2)
Det finns tre dimensioner av molnforensik enligt Huseinovic och Mrdović (2018), dessa dimensioner är tekniska, organisatoriska och legala. Den tekniska dimensionen innebär kategorier som insamling av data, liveanalys, segregering av bevis, virtuella miljöer och proaktiva åtgärder. Huseinovic och Mrdović (2018) menar att den organisatoriska dimensionen handlar om vem som ska vara involverad i en utredning, där minst två stycken alltid är inkluderade vilket är molnleverantören och molnkunden. Den sista dimensionen är den legala dimensionen som inkluderar lagar som existerar i länder, eftersom data kan finnas utspridd över flera länder så kan det vara olika lagar som måste ses över. Här ingår även serviceavtal mellan molnleverantör och molnkund som innebär bestämmelser av integritet och säkerhet.
2.6. Relaterad forskning
Birk och Wegener (2011) presenterar en studie där de undersöker tekniska utmaningar som finns vid IT-forensik mot molnet och även potentiella lösningar. I denna studie tar de upp utmaningar som exempelvis insamling av bevis, virtualisering och inhämtning av loggar. Den största anledningen till att det är komplicerat att använda IT-forensik mot molnet är på grund av att det inte finns någon global standard inom molnmiljöer. En lösning som Birk och Wegener (2011) föreslår är att skapa en standard för att underlätta arbetet för en IT-forensiker när en utredning sker mot ett moln. Studien presenterar inte vilka tekniska möjligheter som finns vid en IT-forensisk undersökning mot ett moln, vilket kommer att tas upp i denna studie. Studien visar inte heller vilken typ av metod som har använts för att hämta den information som de presenterar. Eftersom informationsteknologin har växt sedan 2011 så har även nya utmaningar dykt upp inom molnforensik sedan dess.
Morioka och Sharbaf (2016) tar upp sju olika utmaningar när det kommer till molnforensik, där fyra av dessa är tekniska utmaningar. De tekniska utmaningarna är hämtade från endast en referens, om fler artiklar hade använts hade en större mängd utmaningar kunnat synliggjorts. Studien tar upp utmaningar som insamling av data, liveanalys, segmentering av bevis och virtualisering. Pichan et al.
(2015) presenterar en studie med flera tekniska utmaningar och lösningar inom molnforensik.
Jämfört med föregående studier är denna studie djupgående och tar upp flera utmaningar. Studien innefattar rubriker som identifiering, bevarande, insamling och analys där varje rubrik beskriver utmaningar och deras potentiella lösningar mot dessa. Pichan et al. (2015) menar att lokalisering av den fysiska platsen där bevisen lagras är ett av de stora problemen inom molnforensik. Alqahtany et al. (2015) har skrivit en studie som handlar om utmaningar, lösningar och öppna problem inom molnforensik. Denna studie tar upp flera utmaningar som exempelvis att hämta bevis i loggar, volatil data och integritet på bevis. Till de utmaningar som har presenterats har de sedan sökt i litteratur för att leta efter eventuella lösningar till utmaningen för att sedan skapa en tabell. Det var några utmaningar som de inte lyckades att hitta en potentiell lösning till. Några av utmaningarna är beroendet av en molnleverantör och att skapa en tidslinje med hjälp av bevis som är hämtade från flera källor.
6
3. Problemformulering
Denna rubrik kommer att inkludera de problem som finns inom området. Dessa problem är grunden till forskningsfrågan som senare kommer att presenteras. Här finns även de avgränsningar som har gjorts i denna studie, motivationen till studien samt syfte och förväntat resultat.
Enligt Min et al. (2018) så finns det en bred användning av molntjänster idag och flera brott begås i molnet, därför är det viktigt att kunna extrahera och analysera den data som finns tillgängligt i molnet. Alex och Kishore (2017) menar att en av anledningarna till att kriminella använder sig av molnet för att utföra brott är på grund av molnets karaktär och bristen av IT-forensiska metoder för att utföra en IT-forensisk undersökning mot molnmiljön.
Enligt Spiekermann et al. (2018) befinner sig en virtuell maskin oftast i ett volatilt tillstånd. När en virtuell maskin startas om eller stängs av så kommer all volatila data att förloras, vilket gör en IT- forensisk utredning betydligt svårare. Alobaidli et al. (2017) anger att en fråga som är svår att besvara är hur bevis ska hämtas i de fall där ett brott har begåtts. Även om en IT-forensiker har fysisk tillgång till servrarna som molnet körs på så behöver en IT-forensiker kunna hantera den komplexa molnmiljön. I ett publikt moln så delas resurserna med alla användare och data kan vara lagrad på flera platser, att använda traditionella metoder för att säkra bevis kommer då inte längre att vara applicerbart. Molntjänster körs genom virtuella maskiner och kan vara statiskt lagrade, skulle en virtuell maskin bli borttagen så kommer även filerna som ligger på den att försvinna. Min et al. (2018) anger att molnet använder sig av flera distribuerade virtuella datorresurser som flera användare delar på tillsammans, detta medför att många olika temporära data och filer skapas och används. Av denna anledning så blir det svårare att hämta bevis i molnet och är olikt det traditionella sättet att hämta bevis på ett digitalt lagringsutrymme eller i en digital miljö. De verktyg som finns tillgängliga idag är anpassade för ett system, till skillnad från molnet som kan innefatta flera olika system.
Eftersom många olika användare existerar i ett moln och flera olika datorresurser är integrerade tillsammans så kommer det även att vara en stor samling av data.
3.1. Forskningsfråga
Några av de grundläggande problem som kan finnas när en IT-forensisk undersökning sker mot molnet har nu presenterats ovan. Ovanstående presentation av problem kan bidra med en förståelse till varför forskningsfrågan valdes. Den fråga som formulerades och som ska besvaras genom att utföra denna studie är:
Vilka tekniska utmaningar och möjligheter finns vid IT-forensik mot molnet?
3.2. Avgränsningar
Denna studie avgränsas genom att enbart titta på de tekniska utmaningar och möjligheter som finns vid IT-forensik mot molnet. Enligt NIST (2014) finns det tre dimensioner av molnforensik, dessa dimensioner är den tekniska, den legala och den organisatoriska. Den legala och den organisatoriska dimensionen kommer inte att inkluderas i denna litteraturstudie eftersom författaren anser att arbetet kommer att bli för brett med den tiden som finns tillgänglig och lämnas istället till framtida studier inom molnforensik.
7
3.3. Motivation
När en kriminell använder sig av internet eller digitala enheter så kommer digitala spår att lämnas efter, dessa spår kan användas som bevis för att ta reda på om den misstänkte är skyldig eller inte.
Brott som utförs med hjälp av molntjänster ökar och är problematiskt för en IT-forensiker att undersöka. Några av anledningarna till att det är problematiskt är på grund av molnets komplexitet, som exempelvis att det är dynamiskt och att virtualisering används. Eftersom det är flera användare i ett moln så är det även en stor mängd data som behöver undersökas. Molnet kan även användas med hjälp av så kallade ”IoT” enheter vilket kan medföra att fler brott utförs (Odebade et al., 2017).
Pichan et al. (2015) menar att molntjänster blev förmodligen inte designade med molnforensik och bevarandet av integriteten på bevis i åtanke. Detta medför att det är problematiskt att göra en undersökning på den tekniska nivån. Enligt Alqahtany et al. (2015) så finns det inte tillräckligt med forskning på hur en IT-forensisk undersökning utspelar sig i en molnmiljö. De nuvarande metoderna och verktygen som används för att utföra en IT-forensisk undersökning på det traditionella sättet är inte skapade för att hantera miljön som molnet har. När ett brott har begåtts i molnet så måste det gå att hämta de digitala bevisen för att avgöra vad som har hänt.
Enligt Brottsförebyggande rådet (2016) så ökade antal IT relaterade brott mellan 2006 och 2015 med 949 procent. Brottsförebyggande rådet (2016) visar även att 54 procent av åklagarna och 90 procent av polisiära förundersökningsledare saknar en vidareutbildning inom IT. I undersökningen från Brottsförebyggande rådet så var även 30 procent av IT-undersökarna utbildade poliser och resterade 70 procent var civila som hade någon form av högskoleutbildning inom IT. De 30 procent som var utbildade poliser hade genomgått internutbildningar inom IT-forensik. Detta visar att det kan finnas brist på kunskap inom vissa områden inom en IT-undersökning. Genom att öka kunskapen kring en IT-undersökning så kan det öka chanserna till en lyckad undersökning.
Brott med hjälp av molnet ökar och det är problematiskt för en IT-forensiker att hämta de bevis som behövs. Genom att utföra en systematisk litteraturstudie så kommer den tillgängliga litteraturen att genomgås för att sedan presentera de tekniska utmaningar och möjligheter som identifierades inom molnforensik. Om en IT-forensiker får ett fall där molnforensik behöver utföras så är det viktigt att veta vilka utmaningar som de kan mötas av och även vilka möjligheter som finns. Om det skulle vara brist på kunskap så kan det påverka utfallet av en IT-forensisk utredning mot molnet. Genom att förmedla mer kunskap inom detta område så kan chanserna till en lyckad undersökning öka. Detta arbete skulle kunna användas i förebyggande syfte och även som en vetenskaplig bedömningsgrund i aktiva utredningar vid molnforensik. För en åklagare som inte besitter den tekniska kunskapen som behövs för att genomföra en utredning inom molnforensik, kan detta arbete nyttjas för att på så sätt få en djupare kunskap inom dess utmaningar och möjligheter.
3.4. Syfte och förväntat resultat
Syftet med denna studie är att ta reda på vilka tekniska utmaningar och möjligheter som finns när en IT-forensisk undersökning sker mot ett moln. Denna studie är ämnad för rättsvårdande myndigheter där den främst ska nyttjas av polis och åklagare, för att på så sätt ge en bättre förståelse och förmedla kunskap för de tekniska utmaningar och möjligheter som finns vid molnforensik. Arbetet kan även användas som grund för framtida forskning inom området. Arbetets förväntade resultat är en kartläggning av tekniska utmaningar och möjligheter inom molnforensik där resultatet kommer att visuellt presenteras i modeller tillsammans med beskrivande text.
8
4. Metod
Under denna rubrik kommer den metod som används för att utföra denna litteraturstudie att beskrivas. Målet med denna studie är att ta reda på vilka tekniska utmaningar och möjligheter en IT- forensiker kommer att möta vid en IT-forensisk undersökning mot molnet.
En litteraturstudie används för flera anledningar, den används för att identifiera vad som redan har skrivits på ett visst område och för att se trender eller mönster som ett specifikt forskningsområde visar. Med hjälp av en litteraturstudie går det att samla empiriska data som är relaterade till en viss forskningsfråga för att stödja evidensbaserad praktik. Litteraturstudier används även för att identifiera områden eller frågor som det kan behövas mer forskning på och för att skapa ramar samt teorier. Genom att utföra en litteraturstudie för att besvara denna studiens forskningsfråga så kommer det att bidra med en fördjupning inom de tekniska utmaningar och möjligheter som finns vid IT-forensiska undersökningar mot molnet. På så sätt kan en litteraturstudie användas som en informationskälla för att vägleda beslut och arbetsmetoder (Paré & Kitsiou, 2017). Det finns flera olika sätt att utföra en litteraturstudie, det sätt som har valts att användas i denna studie är en systematisk litteraturstudie.
4.1. Systematisk litteraturstudie
Jesson et al. (2011) menar att målet med en systematisk litteraturstudie är att minska partiskhet genom att samla in studier genom en tydlig systematisk metod för att besvara en viss fråga. I en systematisk litteraturstudie kommer alla relevanta studier att utvärderas enligt fördefinierade kriterier och genomgå en kvalitetsbedömning innan de sammanställs genom vetenskapliga metoder.
En systematisk litteraturstudie genomförs i sex steg. De sex steg är följande:
1. Definiera en forskningsfråga 2. Utveckla en plan
3. Sök efter litteratur
4. Tillämpa inkluderings- och exkluderingskriterier 5. Kvalitetsbedömning
6. Syntetisera
I en systematisk litteraturstudie kommer materialet som genomgås vara mer omfattande eftersom alla sökresultat som är relevanta kommer att läsas igenom. En systematisk litteraturstudie är transparant i sättet den utförs jämfört mot den traditionella litteraturstudien då den dokumenterar och visar hela processen. Första steget involverar att definiera en forskningsfråga, denna forskningsfråga kommer att bli vägledaren inom hela litteraturstudien och skapar även strukturen i arbetet (Jesson et al., 2011).
4.1.1. Söksträng
För att formulera en söksträng förklarar Jesson et al. (2011) att nyckelord ska identifieras och användas istället för fraser eller meningar. Nyckelord kommer sedan att köras igenom en databas som sedan presenterar relevanta sökresultat från de nyckelorden som användes i söksträngen. För att formulera en söksträng så rekommenderas det att göra följande:
9
• Hämta ord från forskningsfrågan
• Identifiera liknande och relaterade ord som bredare termer eller smalare termer och synonymer
• Identifiera nyckelord och ämnestermer från sökresultaten i databaserna
Jesson et al. (2011) anger även att genom användning av booleska operatorer så kan sökresultatet förbättras. De booleska operatorer som går att använda är AND, OR och NOT. Den booleska operatorn AND används för att leta efter artiklar som innehåller två eller flera ord som finns i söksträngen, med hjälp av denna operator går det att vara mer specifik i sin sökning. Den booleska operatorn OR används när en sökning ska innehålla antingen ett ord eller ett annat ord, den booleska operatorn OR kan då användas för att göra en sökning bredare. Operatorn NOT används när en viss term inte ska inkluderas i artiklarna som sökresultatet ger, denna operator kan användas för att smalna av sökresultatet. Alla dessa booleska operatorer går att använda tillsammans för att skapa en söksträng för att få specifika sökträffar. Vissa databaser tillåter även så kallade jokertecken, en av dessa är asterisk som gör det möjligt att kapa ord och fylla ut med möjliga ord efter tecknet.
Den söksträng som används i denna studie är:
• Cloud AND forensic* AND technical
Söksträngen togs fram genom att hämta nyckelord från forskningsfrågan för att sedan testa olika söksträngar i databaser med syftet att se vilken söksträng som gav mest relevant resultat. Genom att använda en asterisk efter ordet ”forensic” så kommer även sökresultat som innehar ordet ”forensics”
att inkluderas, vilket ger ett bredare sökresultat. Den booleska operatorn AND användes även för att inkludera flera av de nyckelord som har identifierats.
4.1.2. Databaser
Söksträngen som formades i rubriken ovan användes mot databaser för att hämta artiklar som kommer att användas för att besvara frågan i denna litteraturstudie. Brereton et al. (2007) rekommenderar databaserna IEEExplore, ACM Digital Library och ScienceDirect för sökningar inom mjukvaruutveckling, dessa databaser kommer även att kunna användas för denna studien då de innehåller studier inom informationsteknologi. Studenter vid Högskolan i Skövde har tillgång till flera databaser som kan användas i arbeten, de valda databaserna är tre av dessa databaser som studenter har tillgång till. De databaser som kommer att användas är:
• IEEExplore
• ACM Digital Library
• ScienceDirect
Testsökningar genomfördes i de tre databaserna ovan tillsammans med inkluderingskriteriet IK4 som presenteras i nästa delkapitel. Detta inkluderingskriterium innebär att artiklarna ska vara publicerade mellan årtalen 2017 och 2020. Testsökningarna gav sökresultat som ansågs vara relevant för forskningsfrågan och som även ansågs vara inom tidsramen för arbetet, vilket är ännu en anledning till att just dessa databaser valdes. En annan anledning till att dessa databaser valdes var på grund av att det fanns möjlighet att filtrera efter konferensbidrag eller tidskrifter. Detta medför att IK3 blir lättare att applicera, vilket innebär att konferensbidrag eller tidskrifter ska användas för att besvara
10 forskningsfrågan. De konferensbidrag eller tidskrifter som publiceras i dessa databaser ovan är även referensgranskade, till skillnad mot exempelvis Google scholar där material kan dyka upp som inte är referensgranskat. I Google scholar går det inte heller att filtrera efter artiklar som är referensgranskade, konferensbidrag eller tidskrifter. Detta medför att efterforskning måste ske för att se om databasen som har publicerat artikeln utför en referensgranskning på de artiklar som publiceras. Genom att använda ovanstående tre databaser går det att säkerställa att alla artiklar är referensgranskade och genomförande av filtrering efter konferensbidrag och tidskrifter blir möjlig.
4.1.3. Inkluderings- och exkluderingskriterier
När en grupp av potentiella studier har blivit identifierade så måste fastställning av inkludering samt exkluderingskriterier ske förklarar Paré och Kitsiou (2017). Detta görs för att avgöra olika studiers relevans genom att sätta regler för vilka studier som ska vara med i litteraturstudien och vilka som ska tas bort. I detta steg är det viktigt att inte sätta kriterier som kommer att bidra till att resultatet inte längre kan ses ur ett objektivt perspektiv samt för att undvika partiskhet och misstag från författaren som kan påverka resultatet. I tabell 1, nedan, visas de inkluderings- och exkluderingskriterier som användes i denna studie.
Tabell 1: Inkluderings- och exkluderingskriterier Inkluderingskriterier
IK1. Referensgranskade IK2. Avgiftsfria
IK3. Konferensbidrag eller tidskrift
IK4. Publicerade mellan åren 2017 och 2020 IK5. Relevanta för studien genom att vara inom samma ämne
Exkluderingskriterier
EK1. Möter inte kraven i inkluderingskriterier EK2. Skriven på ett annat språk än engelska och svenska
EK3. Dubbletter
Kriteriet IK1 innebär att resultaten från sökningen måste vara referensgranskade eftersom resultaten från sökningen ska vara av hög kvalité. Kriteriet IK4 innebär att studier som är publicerade mellan åren 2017 och 2020 kommer enbart att inkluderas. Anledningen till att detta krav ställdes var för att minska storleken på arbetet så att arbetet skulle kunna genomföras inom tidsramen som fanns tillgänglig för studien. Tidsramen för arbetet var drygt fyra månader, arbetet startades 12 februari och ska avslutas 15 juni. En testsökning genomfördes med söksträngen i de tre valda databaserna med årtalen 2015 till 2016. Denna testsökning utfördes för att undersöka hur många fler artiklar som skulle ha inkluderats i studien om bredare årtal använts. Sökningen gav 490 artiklar från de utvalda databaserna, denna ökning av de 490 artiklarna ansågs inte vara inom tidsramen för arbetet.
Eftersom flera databaser och ett snöbollsurval kommer att användas för att utföra denna studie så kan dubbletter framkomma, därav finns EK3.
4.1.4. Snöbollsurval
Genom att använda snöbollsurval så hämtas referenserna till de utvalda studierna. Denna metod används i systematiska litteraturstudier för att identifiera flera studier som är relevanta för en systematisk litteraturstudie (Wohlin, 2014).
11 Genom att använda denna metod så kommer en till process att läggas till under genomförandet. De studier som hämtas från referenserna på de utvalda studierna kommer att gå igenom samma process gällande inkluderings- och exkluderingskriterier. Skulle dessa studier klara sig genom processen så kommer de att användas till resultatet av studien. Wohlin (2014) menar att snöbollsurval kan ske genom att utföra flera iterationer. När referenserna från de första studierna har gått igenom inkluderings- och exkluderingskriterierna så kommer även referenserna på dessa att genomgå samma procedur. Denna procedur är något som inte kommer att genomföras i denna studie på grund av tidsbrist. Referenserna kommer endast att hämtas från studier som hittades i databaser med söksträngen och som motsvarade inkluderings- och exkluderingskriterierna. För att fler relevanta artiklar ska kunna hämtas ur snöbollsurvalet så kommer inkluderingskriterium IK4 inte att appliceras. Artiklarna som kommer att hämtas från snöbollsurvalet behöver inte vara publicerade mellan åren 2017 och 2020. Anledningen till att detta val gjordes var på grund av att IK4 skapades för att minska antalet artiklar från sökresultatet, detta gjordes på grund av begräsningen av tid för detta arbete. Artiklarna från snöbollsurvalet kommer att vara i en hanterbar mängd och på så sätt kan IK4 tas bort för att få med mer relevanta artiklar för att besvara forskningsfrågan.
4.1.5. Analys
Analysen genomfördes med tematisk kodning. Denna typ av kodning är en kvalitativ analyseringsmetod som används för att identifiera, analysera och redogöra mönster samt teman i data anger Braun och Clarke (2006). Denna kodning är grunden till det resultat som kommer att sammanställas för att besvara forskningsfrågan. En tematisk analys genomförs i sex steg, det första steget handlar om att lära känna sin data. Nedan, i figur 2 visas processen för de olika stegen som genomfördes för att extrahera datan som sedan presenteras under kapitel 5.
Figur 2: Steg för tematisk kodning (Författarens egen)
Steg 1 i en tematisk analys innebär att läsa igenom all den data som har samlats in och som ska analyseras. Anledningen till detta är för att lära känna sin data för att senare kunna skapa en kodning och hitta mönster, under detta steg så är det även en fördel att skriva anteckningar på potentiella teman. Det kan vara så att personen som utför studien redan kan inneha kunskap om området och
12 kan redan ha spekulerat om vilka teman som troligtvis kommer att användas. Braun och Clarke (2006) menar att alla sökresultat fortfarande bör läsas igenom minst en gång även om detta steg är tidskrävande, detta rekommenderas eftersom första steget sätter grunden för hur hela analysen kommer att utspela sig. På steg 2 används anteckningarna från steg 1 för att generera koder. En kod identifierar kännetecken som är intressanta för forskningsfrågan. Dessa koder kommer senare att användas för att skapa teman i nästa steg. Ett råd som Braun och Clarke (2006) ger i detta steg är att koda så många potentiella teman som går. I steg 3 så kommer teman att skapas från kodningen genom att koderna delas in i olika potentiella teman. Ett tema fångar något som är viktigt och representativt i datamaterialet i relation till forskningsfrågan och representerar en viss betydelse.
När potentiella teman är färdigställda så kommer de att i steg 4 granskas för att se om dessa teman passar och faktiskt går att använda som teman. Under detta steg så kommer det att ses över ifall det finns tillräckligt med data för ett tema och om ett tema är för stort kanske det behöver brytas ner i mindre teman. Steg 5 handlar om att definiera och namnge teman. Genom att definiera menas att identifiera vad ett tema handlar om och bestämma vilken data varje tema fångar upp. Här ska även ett tema förklaras i relation till forskningsfrågan. När alla teman är definierade och fått namn kan det sista steget utföras. I steg 6 påbörjas analysen med de identifierade teman och sammanställningen av rapporten utförs. Sammanställningen utförs genom att extrahera datan från varje identifierat tema för att berätta historien om all data. Denna sammanställning kommer sedan användas för att besvara forskningsfrågan (Braun & Clarke, 2006).
4.1.6. Validitet
Detta kapitel presenter de validitetshot som har identifierats och hur de behandlas. Berndtsson et al.
(2008) menar att validitet är relationen mellan vad du har tänkt att undersöka och vad du faktiskt undersöker. Validitet är något som bör tänkas på när beslut tas i en studie för att säkerhetsställa en bra kvalité på studien. För att presenta validitetshot och hur de behandlas så används en mappning av validitetshot som är framställt av Zhou et al. (2016). Denna mappning är uppdelad i fyra olika kategorier:
• Konstruerad validitet
• Intern validitet
• Extern validitet
• Sammanfattningsvaliditet
Konstruerad validitet innebär att identifiera korrekta operativa åtgärder för det ämne som studien inriktar sig på. Intern validitet innefattar ett kausalt samband till studien, där en viss förändring har en viss effekt. Hot mot extern validitet innebär att studiens resultat ska kunna gå att generalisera.
Sammanfattningsvaliditet innebär att genom att använda samma metod och val så ska studien kunna produceras åter igen med samma resultat. De validitetshot som har identifierats för denna studie och de åtgärder som ska tas för att behandla hoten finns tillgängliga nedan i tabell 2.
Tabell 2: Identifierade validitetshot (Författarens egen)
Kategori Validitetshot Åtgärder
Intern, sammanfattning Partiskhet vid val av studier vilket kan leda till missade relevanta studier och
En strikt sökstrategi används och varje titel samt abstrakt kommer
13
Kategori Validitetshot Åtgärder
felaktiga data att läsas igenom för att se om
artikeln är inom rätt område. Om artikeln inte befinner sig inom rätt område tas den bort. Om artikeln är inom rätt område läses hela rapporten igenom innan beslut tas
Konstruerad, intern Ofullständig eller felaktig söksträng vilket leder till att relevanta artiklar blir missade
Söksträngen blev skapad efter rekommendationer från litteratur.
Flera söksträngar testades i de databaser som studien använder för att hitta söksträngen som gav mest relevant sökresultat
Konstruerad, intern Olämplig sökmetod som kan leda till att relevanta studier missas
Metoden är baserad på litteratur och kommer även att granskas av handledare. Snöbollsurval
kommer även att tillämpas för att identifiera fler relevanta studier Intern, sammanfattning En artikel används flera gånger då
samma artikel finns i flera databaser
Genom att införa EK3 som exkluderingskriterium så kommer dubbletter sorteras bort
Konstruerad Olämpliga inkluderings- och
exkluderingskriterier som leder till ett felaktigt sökresultat
Inkluderings- och
exkluderingskriterier kommer att bli granskade av handledare Intern Otillräckligt med antal artiklar som
leder till minskad validitet
Tre olika databaser kommer att användas för att hitta artiklar tillsammans med en bred söksträng vilket kommer att ge tillräckligt med sökresultat. Sedan kommer även dessa artiklar att genomgå snöbollsurval för att hitta fler relevanta artiklar
4.2. Genomförande
Under detta kapitel så kommer genomförandet av litteraturstudien att presenteras. De rubriker som kommer att beskrivas är sökning i databaser, applicering av inkluderings- och exkluderingskriterier, snöbollsurval samt analys där en tematisk analys kommer att utföras.
14
4.2.1. Sökning i databaser
Det används tre databaser för att söka efter litteratur med söksträngen som formulerades tidigare i studien. Söksträngen som används är:
• Cloud AND forensic* AND technical
Denna söksträng kommer sedan att köras igenom de tre valda databaserna för att samla ihop sökresultaten. Databaserna som kommer att användas är:
• IEEExplore
• ACM digital library
• ScienceDirect
Efter att söksträngen har använts på databaserna så applicerades inkluderingskravet IK4 för att få ut resultat som är publicerat mellan åren 2017 och 2020. Sökningen utfördes 2020-03-19 och gav totalt 1348 sökresultat, vilket visas nedan i tabell 3 över antal träffar i varje databas. Alla träffar hämtades ner för att kunna applicera de resterande inkluderings- och exkluderingskriterierna som har fastställts tidigare i detta arbete.
Tabell 3: Databas och antal träffar
Databas Antal träffar
IEEExplore 9 träffar
ACM digital library 325 träffar
ScienceDirect 1022 träffar
Totalt 1348
4.2.2. Applicering av inkluderings- och exkluderingskriterier
I denna rubrik så kommer de resterande inkluderings- och exkluderingskriterierna att appliceras för att filtrera ut de slutgiltiga studierna som kommer att användas för att besvara forskningsfrågan i denna studie. Detta kommer att ske genom tre steg:
1. Först så kommer exkluderingskriteriet EK3 att appliceras för att ta bort eventuella dubbletter. Detta genomfördes med hjälp av mjukvaran Mendeley. Efter har genomfört en sökning efter dubbletter så hittades tre dubbletter, vilket leder till att 1345 publiceringar finns kvar.
2. På de resterande 1345 kommer inkluderingskriteriet IK5 att appliceras för att filtrera ut de studierna som inte är av relevans för studien då de inte är inom området molnforensik. För att utföra detta steg så kommer varje titel och abstrakt samt nyckelord att läsas igenom, skulle studien inte vara inom området molnforensik kommer den att tas bort. I detta steg införs även EK2 vilket innebär att studien ska vara skriven på engelska eller svenska. En studie hittades och plockades bort. Efter IK5 var genomfört så togs 1294 studier bort, vilket leder till att 50 studier är kvar.
3. I detta steg så återstår det 50 studier, dessa studier kommer nu att läsas igenom för att avgöra om informationen som finns i dem är relevant för att kunna besvara forskningsfrågan.
15 Artiklarna lästes igenom för att leta efter information som innefattar utmaningar eller möjligheter vid molnforensik. Efter att dessa 50 studier har lästs igenom så togs 35 studier bort eftersom de inte innehöll information som kunde användas för att besvara forskningsfrågan, vilket medför att 15 studier kvarstår.
4.2.3. Snöbollsurval
I detta steg så kommer ett snöbollsurval att ske på de 15 studier som blev kvar efter inkludering- och exkluderingsprocessen i steget ovan. Referenserna från dessa 15 studier kommer att hämtas för att sedan genomgå samma process, för att på så sätt hitta fler relevanta studier som kan användas för att besvara frågeställningen. Snöbollsurvalet utfördes genom att gå in på artikeln i den databas den publicerades inom för att sedan lista referenserna för artikeln. Dessa referenser hämtades sedan genom att använda en länk som fanns bredvid referensen som ledde till artikeln hos Google scholar eller, om det fanns tillgängligt, använda en länk till databasen som artikeln publicerades inom. För att säkerhetsställa att rätt artikel hämtades så jämfördes årtal, författare, titel och DOI om det fanns tillgängligt. För att möta kriterium IK2 så hämtades endast artiklar som var avgiftsfria, vilket resulterade i att 359 nya artiklar hämtades från snöbollsurvalet. Dessa artiklar kommer nu att gå igenom samma inkludering- och exkluderingskriterier som föregående artiklar gick igenom.
1. Först kommer exkluderingskriteriet EK3 att införas för att filtrera ut eventuella dubbletter som uppstod från snöbollsurvalet, totalt hittades 22 dubbletter. I detta steg så återstår det 337 artiklar.
2. I detta steg så kommer IK5 att appliceras för att hitta artiklar som är relevanta för studien genom att vara inom området molnforensik. Detta steg kommer att använda samma metod som ovan genom att varje titel, abstrakt samt nyckelord läses igenom. Totalt togs 234 artiklar bort med anledning av att de inte var inom området molnforensik.
3. I detta steg så kommer de återstående 103 artiklarna att läsas igenom helt för att avgöra om studierna är relevanta för att besvara forskningsfrågan. Artiklarna lästes igenom för att leta efter information som innefattar utmaningar eller möjligheter vid molnforensik. I detta steg togs 87 studier bort vilket leder till att 16 studier kvarstår. De studier som kvarstår är konferensbidrag eller tidskrifter som är referensgranskade, vilket möter de kvarstående inkludering- och exkluderingskriterierna IK1 samt IK3.
4.2.4. Analys av artiklar
Under detta steg kommer de 31 utvalda studierna att genomgå en tematisk analys med målet att identifiera teman i studierna. En tematisk analys genomförs i sex steg menar Braun och Clarke (2006). Under det första steget så kommer all den data som har samlats in att läsas igenom för att lära känna datan för att i nästa steg skapa en kodning och hitta mönster. Under detta steg så kommer anteckningar att ske med målet att skapa potentiella kodningar. Alla 31 artiklar som hämtades lästes igenom och koder antecknades. Anteckningarna på potentiella koder från steg 1 används i steg 2 för att generera koder. För att visa hur analysen av artiklarna genomfördes kommer några exempel att presenteras. Exempel på koder som har identifierats är:
• Lagring på IaaS är inte statisk, all volatila data förloras om en VM startas om eller stängs av.
Detta är en föjd av att IaaS kan ge och ta bort resurser på begäran.
16
• Bevis missas eftersom molnleverantören inte loggar allt
• Olika loggformat
• Möjligt att utföra en IT-forensik undersökning på en ögonblicksbild av en virtuellmaskin
• Möjligt att hämta raderad data från en ögonblicksbild av en virtuellmaskin
När koder har identifierats så kommer dessa koder att sättas in i potentiella teman under steg 3.
Dessa potentiella teman innebär något som är representativt i datan i relation till forskningsfrågan och representerar en viss betydelse. Exempel på potentiella teman som har skapats från koderna ovan:
• Volatila data
• Loggar
• Virtualisering
Under steg 4 ska potentiella teman utvärderas för att avgöra om det finns tillräckligt med data för att kunna vara ett tema eller om det är för stort och behöver brytas ner i mindre teman. Av de potentiella teman som presenterades ovan ansågs det att temat virtualisering var för brett för att användas som ett tema i en studie där ett av huvudområdena är molnet. Detta tema härstammade från två koder, att utföra en IT-forensisk undersökning mot en ögonblicksbild samt hämta raderad data från en ögonblicksbild. Detta tema bröts ner i ett mindre tema vilket blev analys av en ögonblicksbild. Steg 5 och steg 6 kommer att presenteras under resultat tillsammans med alla identifierade teman.
17
5. Resultat
Detta kapitel kommer att lista de accepterade artiklarna från genomförandet samt presentera de teman som identifierades under utförandet av den tematiska analysen. Efter att tabellerna nedan har presenterats så kommer resultatet att redovisas. I tabell 4 nedan, presenteras de artiklar som blev accepterade tillsammans med titel, författare, artikelnummer och utgivningsår.
Tabell 4: Accepterade artiklar för litteraturstudien
Artikelnummer Titel Författare Utgivningsår
A1 Acquiring forensic evidence from infrastructure-as-a-service cloud computing: Exploring and evaluating tools, trust, and techniques
Dykstra, J., Sherman, T.A.
2012
A2 An Efficient Approach to Forensic Investigation in Cloud using VM Snapshots
Rani, R.D., Geethakumari, G.
2015
A3 A Forensic Acquisition Based upon A Cluster Analysis of Non-Volatile Memory in IaaS
Alqahtany, S., Clarke, N., Furnell, S., Reich, C.
2017
A4 A log aggregation forensic analysis framework for cloud computing environments
Ahmed Khan, M.N., Ullah, S.
2017
A5 Digital Forensic of a Cloud Based Snapshot
Almulla, S., Iraqi, Y., Jones, A.
2016
A6 A State-Of-The-Art Review of Cloud Forensics
Almulla, S., Iraqi, Y., Jones, A.
2014
A7 Digital forensic investigation of cloud storage services
Chung, H., Park, J., Lee, S., Kang, C.
2012
A8 Characterizing loss of digital evidence due to abstraction layers
Freiling, F., Glanzmann, T., Reiser, P.H.
2017
A9 Cloud Forensics: A Review of Challenges, Solutions and Open Problems
Alqahtany, S., Clarke, N., Furnell, S., Reich, C.
2015
A10 Challenges of Cloud Log Forensics Alobaidli, H., Nasir, Q., Iqbal, A., Guimaraes, M.
2017
A11 Cloud forensics - Tool development studies & future outlook
Roussev, V., Ahmed, I., Barreto, A., McCulley, S., Shanmughan, V.
2016
18
Artikelnummer Titel Författare Utgivningsår
A12 Challenges and Solutions in Cloud Forensics
Ali, A.S., Memon, S., Sahito, F.
2018
A13 CLOUD FORENSICS Ruan, K., Carthy, J.,
Kechadi, T., Crosbie, M.
2011
A14 Cloud forensics: Technical challenges, solutions and comparative analysis
Pichan, A., Lazarescu, M., Soh, T.S.
2015
A15 Improving Lawful Interception in Virtual Datacenters
Spiekermann, D., Keller, J., Eggendorfer, T.
2018
A16 Evidence and Cloud Computing: The Virtual Machine Introspection Approach
Poisel, R., Malzer, E., Tjoa, S.
2013
A17 Forensics Investigation Challenges in Cloud Computing Environments
Damshenas, M., Deghantanha, A., Mahmoud, R., Shamsuddin, B.S.
2012
A18 Forensics framework for cloud computing
Alex, E.M., Kishore, R. 2017
A19 Secure, Consistent, and High- Performance Memory Snapshotting
Cox, G., Yan, Z., Bhattacharjee, A., Ganapathy, V.
2018
A20 SNAPS: Towards building snapshot based provenance system for virtual machines in the cloud environment
Raju, K.B.K.S.P., Geethakumari, G.
2019
A21 A Systematic Survey on Cloud Forensics Challenges, Solutions, and Future Directions
Manral, B., Somani, G., Cho, R, K-K., Conti, M., Gaur, S.M.
2019
A22 Technical Issues of Forensic Investigations in Cloud Computing Environments
Birk, D., Wegener, C. 2011
A23 Following the breadcrumbs: Timestamp pattern identification for cloud forensics
Ho, M.S., Kao, D., Wu, W-Y.
2018
A24 Digital Forensics in the Cloud: The State of the Art
Sibiya, G., Venter, S.H., Fogwill, T.
2015
A25 Scenario-Based Digital Forensics Challenges in Cloud Computing
Lopez, M.E., Moon, Y.S., Park, H.J.
2016
A26 Interpol review of digital evidence 2016 - 2019
Reedy, P. 2020
19
Artikelnummer Titel Författare Utgivningsår
A27 Leveraging virtual machine introspection with memory forensics to detect and characterize unknown malware using machine learning techniques at hypervisor
Ajay Kumara, M.A., Jaidhar, C.D.
2017
A28 Cloud Log Forensics: Foundations, State of the Art, and Future Directions
Khan et al. 2016
A29 Forensic Investigations in Cloud Environments
Guo, H., Jin, B., Shang, T.
2012
A30 Mitigating Anti-forensics in the Cloud via Resource-Based Privacy Preserving Activity Attribution
Odebade, A., Welsh, T., Mthunzi, S., Benkhelifa, E.
2017
A31 Network Forensic Analysis for Lawful Enforcement on Steroids, Distributed and Scalable
Letavay, V., Pluskal, J., Ryšavý, O.
2019
Utförandet av den tematiska analysen slutade på steg 4 under kapitel 4.2.4, de återstående stegen kommer nu att presenteras. Steg 5 handlar om att definiera och namnge de teman som identifierades under analysen, detta presenteras nedan i tabell 5 där även teman är kopplade tillsammans med de artiklar som de hittades i. Efter tabellen så kommer det sista steget av den tematiska analysen att utföras genom att sammanställa rapporten.
Tabell 5: Identifierade teman och deras definition
Artikelnummer Teman Beskrivning
A22, A17, A10, A9, A25, A6, A21
Integritet på bevis Det ursprungliga beviset ska vara oförändrat
A22, A13, A17, A2, A4, A10, A9, A21, A18, A7, A26, A14, A6, A28, A12, A29, A24
Loggar Insamling och analys av loggar
från exempelvis en virtuell maskin, mjukvaror eller hypervisor
A5, A2, A31, A9, A16, A11, A26, A6, A28, A1, A3, A29, A24, A21
Forensiska verktyg Verktyg som används inom
molnforensik
A17, A2, A10, A9, A18, A27, A26, A25, A14, A21
Volatila data Data som är i volatil form vilket lagras i minnet och försvinner när minnet töms
A22, A13, A17, A30, A16, A25, A21
Statiska data Statiska data som ligger lagrat på en lagringsenhet. Här finns även rubriker som borttagen data
20
Artikelnummer Teman Beskrivning
A13, A10, A9, A23, A14, A6
Tidssynkronisering Flera tjänster och servrar kan finnas i olika tidszoner, vilket medför att tiden på bevis är olika
A22, A9, A18, A16, A25, A14
Beviskedja Vart och hur bevis är lagrade och
vem som har haft tillgång till dessa
A22, A5, A13, A2, A19, A20, A25, A3, A21, A1
Analys av en ögonblicksbild En ögonblicksbild skapas på en virtuell maskin där en IT- forensisk undersökning sedan kan utföras
A22, A9, A25, A14 Fysisk tillgång till datan Tillgång till de fysiska servarna A2, A9, A22 Digital härkomst på filer Metadata på filer, vem, när och
hur en fil ändrades eller skapades
A15, A30, A31, A3, A21 Nätverksforensik Allt inom nätverksforensik vid en IT-forensisk undersökning i molnet
A30, A16, A25, A14 Bevis är gömt med steganografi eller kryptering
Bevis går inte att hämta eller att se på grund av att det är gömt eller krypterat
A16, A25, A14, A12, A21, A6
Liveanalys på en virtuell maskin Molnforensik utförs på en virtuell maskin som är aktiv A2, A9, A21 Isolering av en virtuell maskin Isolering av en virtuell maskin
för att undvika att beviset blir kontaminerat och att
integriteten behålls
A2, A16, A27, A1, A21 Introspektion av en virtuell maskin IT-forensik på hypervisor nivån i en virtuell miljö
A8 Missat bevis på grund av
abstraktionslager
Inhämtning av bevis vid olika abstraktionslager
A2, A10, A25, A14 Bevis är utspridd över flera servrar I molnet används flera servrar som kan vara geografiskt utspridda
21
Artikelnummer Teman Beskrivning
A30 Anti-forensik för molnforensik Metoder som använts för att förhindra en IT-forensisk undersökning
A18, A25, A14, A6, A29 Resurserna delas mellan användare på en fysisk maskin
Flera användare delar på samma resurser på en fysisk maskin, vilket kan resultera i förlust av bevis
A7, A22 Artefakter hos en klient Bevis finns att hämta på en
klient som har använt molnet A25, A9, A24 Stora volymer av data En molnleverantör hanterar
många användare och lagrar en stor samling av data
Steg 5 av den tematiska kodningen presenterades ovan i tabell 5, totalt identifierades det 21 teman ur de 31 hämtade artiklarna. Det sista steget av den tematiska kodningen innebär sammanställning av all data. Sammanställningen skapas genom att data extraheras från de hämtade artiklarna med hjälp av de teman som identifierades. Ett exempel på hur extraheringen sker är att i temat artefakter hos en klient identifierades det två artiklar, som kan ses ovan i tabell 5. Dessa två artiklar var A7 och A22. Den data som finns tillgänglig för detta tema i dessa artiklar extraheras och sammanställs i resultatet. Genom att utföra det sista steget i den tematiska kodningen kommer ett resultat att genereras, detta resultat kommer sedan analyseras för att besvara forskningsfrågan. De nästkommande underkapitlen nedan kommer att presentera all den data som extraherades.
5.1. Tekniska utmaningar inom molnforensik
Resultatet kommer att presenteras genom att två av de tre faserna kommer att användas, vilket Kävrestad (2018) förklarar att en IT-forensisk undersökning genomgår. Dessa faser är insamling, analysering och rapportering. Eftersom rapportering inte är relevant för forskningsfrågan kommer den inte att användas. Resultatet kommer att presenteras genom att beskriva tekniska utmaningar och möjligheter som identifierades under insamlingsfasen samt analyseringsfasen från litteraturen vid molnforensik.
5.1.1. Tekniska utmaningar under insamlingsfasen
Under denna rubrik så kommer de utmaningar under insamlingsfasen som identifierades från litteraturen att presenteras. Kävrestad (2018) menar att denna fas handlar om att samla in bevis och att bestämma vilken enhet som beviset ska hämtas från.
Damshenas et al. (2012) anger att med integritet på bevis så menas det att det ursprungliga beviset och kopian som hämtas ska vara identiska för att kunna användas i rätten. Detta är viktigt eftersom skulle integriteten brytas så kan beviset anses vara ett falskt bevis som kan ha blivit ändrat. Beviset måste vara hämtat med en IT-forensiskt metod som behåller integriteten. Detta är problematiskt i
