IT-forensik och informationssäkerhet på Utexpo

”We got the root”, en studie om root-access till kasserade routrar

• Deltagare: Felix Kullgren och Johan Klingström.
  

Det finns enormt stora mängder e-skrot runt om i världen. En betydande del av detta skrot är routrar, närmare bestämt hushållsroutrar. Den här studien visar att det är möjligt att, med relativt enkla verktyg och begränsad expertis, få åtkomst till eventuellt känslig information, så som lösenord och nätverksnamn, som kan finnas lagrad på dessa enheter. Resultatet visar att det kan finnas information kvar även efter att routrar har kasserats. Informationen kan, om den kommer i orätta händer, utgöra en potentiell säkerhetsrisk. Studien har genomförts med två experiment, ett där anslutning via UART-kretsen användes och ett där informationsinhämtningen skedde via routrarnas webbgränssnitt. Även frågan om vem som faktiskt bär ansvaret för det eventuella informationsläckaget väcks. Vidare forskning på området bör göras med ett större urval och med flera olika
metoder för att på så sätt kunna öka förståelsen kring denna problematik.

(Ex)Tensions: A Cross-Platform Analysis of Malicious Browser Extensions

• Participants: Pontus Karlberg and Deepash Patel.
  

In our Bachelor’s thesis, (Ex)Tensions, we systematically crawled and analysed over 200,000 browser extensions across Chrome, Firefox and Edge to discover if we could uncover potential instances of shared malicious code using SHA-512 hash matching on JavaScript libraries. We also explored each platform’s extension ecosystem and found differences in user preferences, such as Chrome users prioritising productivity tools compared to Edge and Firefox users preferring shopping and privacy orientated extensions respectively. We also analysed the adoption rate for the Manifest V3 file format across all three platforms; Manifest V3 aims to strengthen security for extensions but adoption is not uniform. We discuss potential avenues for further development and highlight the potential for a cross-platform methodology for identifying potentially malicious extensions.

Analys av nätverkstrafik från krypterade chattapplikationer: Metadata från Signal och Telegram

• Deltagare: Adam Lundqvist och Marcus Ryd.
  

Krypterade chattapplikationer har blivit föremål för en samhällsdebatt där behovet av säker kommunikation ställs emot brottsbekämpande myndigheters utmaningar att komma åt aktörer som använder sig av krypterade chattapplikationer i kriminella sammanhang. För att komma åt problematiken behöver olika metoder utforskas.

Studien utforskar hur nätverkstrafik från krypterade chattapplikationer kan kartläggas och identifieras genom ett experiment där de krypterade chattapplikationerna Telegram och Signal undersöks i en kontrollerad miljö. Under experimentet genomförs inspelningar av nätverkstrafik i olika moment där de krypterade chattapplikationerna startas, skickar/tar emot meddelanden och filer samt ringer/tar emot röst- och videosamtal. Nätverkstrafiken analyseras för att koppla IP-adresser, mönster, protokoll, dataöverföringar till de olika momenten.

Resultatet visar att aktiviteter skapar mönster i nätverkstrafiken som kan observeras och kartläggas för att utläsa ytterligare information vid de olika funktioner som undersöks. I diskussionen jämförs resultatet med andra studier, information i mönster analyseras och bedöms. I slutsatsen belyser studien att försiktighet ska beaktas vid tolkning av resultatet då underlaget är begränsat och identifierade mönster otestade. Studien föreslås kunna användas som underlag för att vidare utforska ämnet och att automatiserad mönsterigenkänning genom maskininlärning kan studeras.

Brist i bevisningen? Hantering och presentation av digitala bevis i svenska rättsprocesser

• Deltagare: Johan Olsson och Isaac Back.
  

I en tid där brottsspår allt oftare är digitala ställs rättssystemet inför nya, komplexa utmaningar. Hur bevis samlas in, dokumenteras och presenteras i rätten får avgörande betydelse, inte bara för utgången i enskilda mål, utan för tilltron till hela den rättsliga processen. Men vad händer när viktig metadata saknas, när teknisk dokumentation är bristfällig, och när domstolar dömer utan att granska den digitala bevisningens trovärdighet?

Den här studien tar temperaturen på hur digitala bevis faktiskt hanteras i praktiken. Genom att analysera ett 40-tal förundersökningsprotokoll från två olika polisregioner, tillsammans med domar, rättegångsbesök och en intervju med en tidigare domare och åklagare, blottläggs en rad brister i dagens rättsprocesser. Det visar sig att material från digitala enheter ofta används utan teknisk verifiering, och att det finns stora variationer i hur bevis dokumenteras. Trots detta ifrågasätts sällan det digitala materialets tekniska trovärdighet i domstolssalen.

Frågan vi måste ställa oss är: hur påverkar detta rättssäkerheten, och vad kan vi göra åt det? Studien pekar på behovet av tydligare rutiner, ökad teknisk kompetens och bättre förutsättningar för domstolar att förstå och bedöma digital bevisning. Bara då kan vi säkerställa att tekniken verkligen stärker rättvisan, snarare än riskerar att underminera den.

CertCTF; Capture the Flag för att mäta problemlösningsförmåga

• Deltagare: Teodor Widerberg och Anton Lindgren.
  
• Samarbetspartner: CERT-SE.

Hur mäter vi egentligen rätt IT-kompetens i jakten på framtidens cybersäkerhetstalanger?
I takt med att cyberhoten blir allt mer sofistikerade ökar kraven på svenska verksamheter att stärka sin IT-säkerhet. Det väcker en viktig fråga: är traditionella urvalsverktyg som cv och erfarenhetskrav verkligen tillräckliga för att identifiera rätt talang?

Vårt projekt utforskar ett alternativ: CTF-tävlingar (Capture The Flag) – realistiska cybersäkerhetsutmaningar som i dag används både för kompetensutveckling och rekrytering. Vi har utformat en tävling baserad på verkliga attacker enligt MITRE ATT&CK-ramverket, där deltagarna får analysera en simulerad incident. Syftet är att ta reda på om deltagarnas prestation i en sådan tävling kan säga något om deras problemlösningsförmåga – och hur detta förhåller sig till deras tidigare erfarenhet och utbildning.

Resultaten är tydliga: arbetslivserfarenhet är inte den enda nyckeln till framgång. I flera fall presterade deltagare utan tidigare arbetslivserfarenhet på samma nivå som erfarna yrkespersoner – tack vare starkt eget lärande och praktisk problemlösningsförmåga. Vår studie pekar på att CTF-tävlingar kan vara ett värdefullt komplement i rekryteringsprocessen, särskilt för att identifiera kandidater med potential som annars riskerar att sållas bort.

Cyberbrottens pussel

• Deltagare: Marcus Hellenäs.
  

Vilken bit börjar man med i ett pussel utan slut? Syftet med studien är att undersöka om det går att effektivisera analysarbetet kring cyberbrott med hjälp av moderna tekniker och verktyg. Studien använde en kvantitativ experimentell metod där ett befintligt dataset analyserades. Genom manuell analys och språkmodellsbaserad bearbetning undersöktes vilka digitala spår som bäst kan användas för att rekonstruera cyberangrepp. Resultaten visade att det gick att koppla ihop vissa artefakter med specifika attacker. Språkmodellerna visade varierande förmåga vid analys och filtreringsarbetet, från hög träffsäkerhet till oförmåga att genomföra analysen. Slutsatsen som drogs är att tidslinjerekonstruktion kan effektiviseras genom noggrant val av artefakter och anpassning till attackens karaktär. AI-modeller kan också bistå i analysarbete, men de kräver fortsatt mänsklig kontroll och anpassning till forensiska krav. Studien påvisar både möjligheter och begränsningar med nuvarande teknik och understryker behovet av fortsatt forskning inom området. Särskilt viktigt är att utveckla robusta ramverk som kan säkerställa dataintegritet och rättslig hållbarhet i automatiserade analyser. Förhoppningen är att framtida innovationer kan minska arbetsbördan för IT-forensiker och samtidigt höja tillförlitligheten i cyberbrottsutredningar.

Deepfakes och desinformation: Effektiviteten hos AI-verktyg och individens roll

• Deltagare: Marcus Raman och Julia Berntsson.
  

Deepfakes blir allt mer övertygande – och allt svårare att upptäcka. Men hur förberedda är egentligen dagens ungdomar på att hantera falsk information?

Studien har undersökt gymnasieelevers kunskap om deepfake, hur de upplever sin utbildning i ämnet och hur de hanterar desinformation. Resultaten visar att många unga har koll – men att de efterfrågar mer utbildning om ämnet.

Ett experiment genomfördes också med ett detektionsverktyg för att testa hur tekniken klarar att avslöja deepfake. Resultatet? Verktyget visade stora brister och lyfter behovet av starkare tekniska lösningar som finns tillgängliga för allmänheten.

Vidare tar studien upp olika alternativ på undervisning om deepfake samt hur både tekniska lösning och individens kunskap måste arbeta parallellt för att nå en balanserad strategi.

Det dolda cyberhotet

• Deltagare: Carlos Karat och Anas Ayman Abdl Muti.
  

Det dolda cyberhotet är ett kandidatarbete i IT-forensik som jämför tre metoder för att upptäcka informationsstjälande trojaner i Windows 11: signaturbaserad analys, beteendeanalys och sandboxing. I en isolerad virtuell miljö skapades den ofarliga trojanen Harvest och testades tillsammans med tio verkliga trojaner. Varje trojan kördes tjugo gånger. Under varje körning loggades CPU-belastning, minnesanvändning och antal processer före och efter infektion.

VirusTotal visade att signaturmetoden pålitligt hittade äldre eller ej obfuskerade trojaner, men missade nya och polymorfa varianter. Harvest upptäcktes av sju av sextiosju motorer, cirka tio procent. Den beteendebaserade metoden avslöjade sju av elva trojaner genom tydliga ökningar i RAM och processer men gav fler falska larm. Envågs-ANOVA följt av Tukey-test bekräftade statistiskt signifikanta skillnader i resursavtryck. Sandboxing gav ytterligare insikt genom att visa fil- och nätverksaktivitet som inte syntes i de övriga testerna.

Studien visar att ingen ensam teknik ger full täckning. Bästa skydd uppnås med en flernivåstrategi där signaturer blockerar kända hot, medan beteende och sandboxing fångar upp okända. Resultaten ger konkreta riktlinjer för starkare antivirus- och EDR-system samt praktisk vägledning för forensiker vid utredning av trojaninfektioner.

Din bil är låst … men inte för tjuvarna! En studie om användarmedvetenhet och bilindustrins ansvar vid attacker mot nyckellösa låssystem

• Deltagare: Mirella Soccavo och Lucrezia Vespertini.
  

Trots bilarnas ständiga tekniska utveckling riskerar de att utsättas för attacker.
Här lyfts locket till en dold säkerhetsrisk: relay- och replay-attacker, där kriminella kan stjäla din bil utan att ens röra vid nyckeln.

Uppsatsen undersöker bilägares medvetenhet gällande nyckellösa låssystem, särskilt i relation till relay- och replay-attacker, två metoder som används av kriminella för att stjäla bilar utan fysisk åtkomst till bilnyckeln. Genom en enkätundersökning samt intervjuer med sakkunniga inom bilindustrin och en före detta senior åklagare analyseras inte enbart användarnas medvetenhet, utan även bilindustrins ansvar att informera och skydda sina kunder.

Resultaten visar att en betydande andel av bilanvändarna är omedvetna om de säkerhetsrisker som finns, och att de anser att bilindustrin brister i sitt ansvar att informera om dessa risker. Syftet med studien är att bidra med nya insikter och att belysa vikten av både tekniska skyddsåtgärder och ökad medvetenhet bland konsumenter. Förhoppningen är att studien ska väcka uppmärksamhet hos bilanvändare som tror att teknologisk utveckling automatiskt innebär ökad trygghet, och istället uppmuntra till en mer medveten inställning till de potentiella riskerna.

Drivkrafter inom komplex cyberbrottslighet: Lönsamhet, risker och rättsliga åtgärder

• Deltagare: Hanna Bertilsson och Josefine Glad.
  

Syftet med denna kandidatuppsats är att undersöka de drivkrafter som ligger till grund för komplex cyberbrottslighet, samt att analysera huruvida nuvarande straffrättsliga åtgärder är tillräckligt effektiva för att motverka denna brottskategori. Arbetet bygger på en kvalitativ metod med både litteratursökning samt sex semistrukturerade intervjuer.
Det centrala resultatet av arbetet indikerar på att lönsamhet, anonymitet i stor utsträckning kombinerat med snabb teknisk utveckling är betydande framgångsfaktorer bakom komplex cyberbrottslighet. Intervjuerna påvisar att dessa faktorer gör det möjligt för avancerade kriminella upplägg, vilka är utmanande för det nuvarande svenska rättssystemen. Det visar på hur det svenska straffrättsliga ramverket inte är lämpat för hantering av den ökande cyberbrottsligheten. Trots goda teoretiska avsikter med lagstiftningen förblir det praktiska genomförandet ineffektivt i praktiken, med hänsyn till att brott kan maskeras med laglig anonymisering och kryptering. Utöver detta försvåras åtgärder av internationella kopplingar samt tekniska utvecklingar inom tekniker. Det krävs såväl ett starkt tekniskt och juridiskt förbättrande, samt ett förändrat synsätt på brottsoffer för att effektivisera brottsbekämpandet och säkerställa rättsligt ansvar.

En bit kan förändra allt – en studie om lavineffekt och kollissionsresistens i hashfunktioner

• Deltagare: Viktor Skommargård och Erik Axelsson.
  

Denna uppsats beskriver utvecklingen av den icke-kryptografiska hashfunktionen SKAX-256 med fokus på två egenskaper: lavineffekt och kollisionsresistens. Lavineffekten innebär att en liten förändring i indata ska orsaka stora, oförutsägbara förändringar i utdata, medan kollisionsresistens innebär att det ska vara svårt att hitta två olika indata som resulterar i samma hashvärde.

Denna uppsatsens hashfunktion bygger på en kombination av beprövade designprinciper hos andra hashfunktioner, däribland multiplikation med stora primtal, en padding-mekansim, bitvisa operationer med mera.

SKAX-256 lavineffekt jämförs dessutom med existerande hashfunktioner, såsom den icke-kryptografiska xxHash samt de kryptografiska hashfuntkionerna MD5 och SHA-256.

Forensisk datautvinning från NFC-teknik – är din data säkrare med närmare avstånd

• Deltagare: Max Almgren och Sebastial Kjell.
  

Vi har undersökt vilken information som kan läsas från olika typer av kontaktlösa kort med hjälp av NFC-teknik, och om denna data kan utnyttjas av obehöriga. I studien ingick bland annat bankkort, ID-kort och passerkort, vilka analyserades med en vanlig Android-telefon utan behov av dyr eller avancerad utrustning. Målet var att ta reda på vilken känslig information som är tillgänglig och vilka risker som kan uppstå om säkerheten brister.

Vi upptäckte särskilt svagheter i äldre korttyper som MIFARE Classic, där det till exempel är möjligt att läsa oskyddade sektorer och till och med klona korten. Resultaten visar att vissa äldre passerkort har mycket svag säkerhet och är sårbara för attacker. Det understryker behovet av bättre autentisering, säkrare inställningar och en översyn av vilka kort som används i säkerhetskänsliga miljöer. Våra tester visar att det går att samla in NFC-data med en helt vanlig android, vilket väcker frågor om tekniskt skydd.

Friend Turned Foe

• Deltagare: Angelica Börjesson och Filippa Kyrö.
  

Regeringshemsidor som ligger nere, kartlagda militärbaser, övervakning och stulna identiteter. Dessa mardrömsscenarion är fullt möjliga konsekvenser vid osäker användning av smarta enheter. Faktum är att de redan har hänt.

Bristande säkerhet vid användning av smarta enheter kan medföra allvarliga konsekvenser både för den enskilda individen och samhället. Då hemanvändare identifieras som ett vanligt mål för attacker är det avgörande att de besitter tillräcklig kunskap för att på ett säkert sätt använda dessa enheter.

Vår studie visar att det finns stort utrymme för förbättring av både riskmedvetenhet och riskminskande beteenden gällande smarta enheter.

Gen Z synar bluffen, eller?

• Deltagare: Maja Haglund och Elin Brischewski.

Denna studie undersöker hur väl ungdomar i åldrarna 15–16 år kan urskilja deepfake-bilder och verkliga bilder, både med och utan ett tekniskt detekteringsverktyg som stöd. Studien bygger på två frågeställningar kring hur väl ungdomar kan känna igen deepfake-bilder utan ett tekniskt hjälpmedel samt vilken effekt ett specifikt tekniskt hjälpmedel har på deras bedömning. Arbetet inleddes med en jämförelse av flera olika detekteringsverktyg, där Sightengine valdes ut som det bäst lämpade. Därefter genomfördes ett kvasi-experiment med fyra skolklasser i årskurs nio, varav två klasser fungerade som kontrollgrupp och två som testgrupp. Ungdomarna fick, genom en enkät med 12 bilder, bedöma huruvida de trodde varje bild var en deepfake-bild eller verklig bild. Resultaten visar att testklasserna identifierade deepfake-bilder med högre precision än kontrollklasserna. Resultatet visar även att tekniskt stöd i form av ett detekteringsverktyg kan förbättrade ungdomarnas förmåga att identifiera manipulerat innehåll. Förtroendet för den egna bedömningsförmågan är hög hos ungdomarna, där majoriteten bedömer sin förmåga över fem på en skala 0–10. I kontrollklasserna var det en majoritet som svarade rätt på 7 av 12 bilder och i testklasserna en majoritet på 10 av 12 bilder.

Get Out of Jail Free Prompt

• Participants: Christiane Brüggemann and Filip Stenfors.
  

Can you hack an AI? We tested three AI models using known jailbreaking techniques to see how easily they could be tricked into generating restricted cybersecurity content. We were able to elicit responses that included actionable information, raising real concerns about potential misuse. Our results highlight the need for stronger safeguards and smarter detection methods. Until then, jailbreaking remains a serious challenge in the safe use of AI.

Hur långt lösenord behöver du för att vara säker?Undersökning av effektiviteten hos password cracking-program

• Deltagare: Filip von Platen Orwén och Martin Larsson.
  

Lösenord är i dag en väletablerad lösning för autentisering och identifiering på internet. Även när ytterligare metoder, som tvåfaktorsautentisering och biometriska sensorer, har tillkommit har användandet av lösenord förblivit den mest dominerande mekanismen för att upprätthålla säkerhet för digitala konton.
Genom att ha långa och unika lösenord blir det svårare för en angripare att få fram ditt lösenord. Samtidigt står ofta säkerhet i kontrast med användarvänlighet när det gäller lösenord. Utan en lösenordshanterare är det svårt att komma ihåg säkra lösenord.
Syftet med denna studie är att ta reda på hur säkra olika lösenord med varierande komplexitet är. Detta gjordes genom att ställa dem mot olika password cracking-program. I studiens experiment undersöktes programmen Hashcat och John the Ripper. Genom att analysera hur lösenordets längd, användning av specialtecken, hashning och saltning påverkar motståndskraften mot attacker, låg fokus på att förstå de mekanismer och mönster som gör vissa lösenord mer sårbara än andra. Det finns ett tydligt behov av att etablera en nivå för hur komplexa lösenord en användare behöver ha för att vara säker, och samtidigt kunna ha ett lösenord som är lätt att komma ihåg och enkelt går att skriva in vid inloggning. Detta behov ämnar denna studie att fylla.

IoT-säkerhet i praktiken

• Deltagare: Simon Söderberg och Andreas Lindström.
  

Tänk dig att du vaknar en tidig morgon och märker att ditt smarta hem inte längre lyder dina kommandon. Belysningen slås av och på utan din kontroll, termostaten är avstängd och kylan sprider sig i huset. Men det värsta av allt – vem är det som ser dig genom övervakningskameran?
Detta är inte längre en fantasibild, utan en reell risk i dagens uppkopplade hem.

I detta projekt har vi genomfört praktiska penetrationstester på fyra vanliga IoT-enheter: en videodörrklocka, en smart högtalare, en termometer/hygrometer och en fjärrplugg. Genom kombinationen av nätverksanalys, hårdvaruundersökning (bland annat via UART) och hotmodellering med STRIDE identifierade vi flera allvarliga sårbarheter. Vi fann bland annat Wi-Fi-lösenord i klartext, root-access via debugportar och kvarvarande känslig information efter fabriksåterställning. Vårt projekt visar hur sårbara smarta hem faktiskt kan vara – och varför IoT-säkerhet måste tas på största allvar.

Lätt att göra rätt, svårt att göra fel

• Deltagare: Christoffer Falkesand och Thimmy Staffas.
  
• Samarbetspartner: Rutin IT.

Små- och medelstora företag (SMF) är sårbara mål för cyberattacker, trots myten om att de är för små för att drabbas. Med ofta begränsade interna resurser och brist på specialiserad IT-säkerhetskompetens vänder sig många SMF till externa IT-leverantörer (Managed Service Providers, MSP:er). Denna studie belyser dock ett vanligt glapp mellan MSP:ers standardtjänster och de unika behoven hos enskilda SMF. Syftet är att, genom kvalitativa intervjuer med nio svenska SMF, fördjupa förståelsen för deras specifika IT-säkerhetsbehov, utmaningar och farhågor – särskilt i relationen till MSP:er.
Resultaten visar att SMF primärt fokuserar på grundläggande säkerhetshygien, som att höja personalens medvetenhet och säkerställa en robust teknisk bas, men ofta brister interna resurser. Den största rädslan är kostsamma driftstopp efter attacker, som ofta kostar mer än dataförlust. Samarbetet med MSP:er präglas av utmaningar, som till exempel att SMF efterfrågar bättre och proaktiv kommunikation, tydligt ansvarstagande, djupare kundförståelse och oroas för att bli nedprioriterade.
För att stärka SMF:s IT-säkerhet krävs att MSP:er erbjuder mer än bara standardlösningar. Studien pekar på att skräddarsydda, proaktiva tjänster byggda på verklig kundinsikt och förtroendefulla partnerskap är avgörande. Även SMF:er behöver kontinuerligt stärka sin interna medvetenhet. Ett förbättrat samspel kan leda till mer hållbara och effektiva säkerhetslösningar för denna viktiga företagsgrupp.

LogX; every log tells a story

• Deltagare: Olivia Meuller och Alva Nilsson Aspnor.
  

LogX är ett verktyg som förenklar arbetet med logghantering. Genom att använda envägskommunikation för att samla in loggar reduceras risken för intrång, samtidigt som det manuella arbetet för systemadministratörer minskar. LogX analyserar inkommande loggar i realtid med hjälp av en AI-modell (GPT-4o Mini) och visualiserar loggtrafik och risknivåer i en användarvänlig översiktspanel.

De kvantitativa resultaten visar på mycket goda resultat: 98,35 % precision och 100 % träffsäkerhet vid upptäckt av brute force-attacker. Projektet utgår från aktuella regelverk såsom GDPR, NIS2 och CER. Utvecklingen av verktyget kompletteras med intervjuer från branschen för att förstå hur ett sådant verktyg uppfattas i praktiken.

LogX fungerar som ett beslutsstöd snarare än som ersättning till mänskligt omdöme – på så sätt kan rätt saker prioriteras i tid. Resultatet är en flexibel och kostnadseffektiv lösning för organisationer med höga krav på säkerhet, oavsett storlek.

Molnforensik i praktiken: en experimentell jämförelse mellan lokala och molnbaserade system

• Deltagare: Sofie Fagerberg och Emmy Lustig Almqvist.
  

I takt med att användningen av molntjänster ökar uppstår nya utmaningar inom digital forensik, särskilt när det gäller att genomföra IT-forensiska undersökningar i distribuerade och virtualiserade miljöer. Det här arbetet fokuserar på att jämföra IT-forensiska metoder för avbildning och analys av RAM-dumpar mellan en lokal virtuell maskin och en molnbaserad virtuell maskin i Amazon Web Services. Undersökningen genomförs med ett experiment där användardata genereras i båda miljöerna och minnesdumpar tas med hjälp av verktyget DumpIt. Dessa analyseras därefter med verktyget Volatility3. Vid avbildning uppstår begränsningar i molnmiljön eftersom operativsystemet är licensierat av molnleverantören. Resultaten visar tydliga skillnader i åtkomst, teknisk komplexitet och analysresultat. Analysen visar dessutom unika processer och tjänster relaterade till Amazon Web Services, vilka inte återfinns i den lokala miljön.
Studien betonar att traditionella IT-forensiska metoder inte alltid är direkt tillämpbara i molnbaserade miljöer och att det krävs anpassade verktyg, ökad teknisk kompetens samt samarbete med molnleverantörer. Etiska överväganden och integritetsskydd blir även centrala aspekter vid bevisinsamling. Studien bidrar till ett växande forskningsfält genom att belysa praktiska skillnader mellan lokala och molnbaserade IT-forensiska undersökningar.