Federationsmodell för Forensic Dropbox

Forensic Dropbox (fordrop) är en social plattform för samverkan kring IT-forensiska utredningar. I fordrop kan användare dela med sig av information om sitt IT-forensiska bevismaterial (t.ex. infekterad kod, root-kit m.m.) i form av digitala fingeravtryck av materialet. Med information om dessa fingeravtryck gör fordrop det möjligt att applicera ett socialt lager av kommentarer, dokument och taggar på materialet vilket ger bevismaterialet en kontext som annars är svår att skapa och upprätthålla. Genom att arbeta med fingeravtryck av tekniskt bevismaterial blir det möjligt att avpersonalisera och i vissa fall helt anonymisera materialet vilket ofta är en förutsättning för att olika organisationer ska våra kommunicera med varandra i en utredning.

Fordrop hjälper till genom att bygga en social graf kring bevismaterial för att på detta sätt automatiskt kunna visualisera länkar mellan vad som annars skulle varit helt separata händelser. Idag är varje instans/installation av fordrop en ö som inte kommunicerar med andra instanser. Detta utgör en begränsning eftersom det är osannolikt att en organisation (t.ex. en CERT) vill låta en annan organisation ha kontroll över eller ens tillgång till råmaterialet.

Detta projekts mål är att ta fram och implementera en federations-modell för fordrop som gör det möjligt att koppla ihop olika instanser av fordrop till en federation. En sådan fordrop-federation skulle göra det möjligt för CERT och IRT team runt om i världen att kommunicera kring IT-forensiska utredningar som spänner över organisationsgränser utan att dela på känsligt material. Fordrop har utvecklats av KTH och NORDUnet och är tillgänglig från fordrop.org med en BSD-licens. Fordrop används aktivt av ett antal IRT och CERT grupper runt om i världen bl.a. CERT-CC (cert.org) som planerar att använda fordrop i sin interna utbildning.

Projektet drivs av NORDUnet A/S som är en samverkan mellan forskningsnäten i Danmark (Forskningsnettet), Finland (Funet), Island (RHnet), Norge (Uninett) och Sverige (SUNET).

 

Läs slutrapporten: Slutrapport