Forensisk undersökning av Amazon Kindle

Detta arbete har genomförts i samarbete med Försvarsmakten och behandlar vilka möjligheter som finns för forensiska undersökningar av e-boksläsaren Amazon Kindle. I arbetets litteraturstudie beskrivs hur tidigare forskning inom ämnet är kraftigt begränsad. Arbetet syftar därför till att besvara hur data kan extraheras från en Kindle, vilka data av forensiskt intresse en Kindle kan innehålla, var denna information lagras och om detta skiljer sig åt mellan olika modeller och firmware-versioner samt om det är nog att undersöka endast den del av minnet som är tillgänglig för användaren eller om ytterligare privilegier för att komma åt hela minnesarean bör införskaffas. För att göra detta fylls tre olika modeller av Kindles med information. Därefter tas avbilder på dem, dels på endast användarpartitionen och dels på dess fullständiga minnesarea efter att en privilegie-eskalering har utförts. Inhämtad data analyseras och resultatet presenteras. Resultatet visar att information av forensiskt intresse så som anteckningar, besökta webbsidor och dokument kan återfinnas, varför det finns ett värde i att utföra forensiska undersökningar på Amazon Kindles. Skillnader råder mellan vilken information som kan återfinnas och var den lagras på de olika enheterna. Enheterna har fyra partitioner varav endast en kan kommas åt utan privilegie-eskalering, varför det finns en fördel med att inhämta avbilder av hela minnesarean. Utöver ovanstående presenteras en metod för att förbipassera en enhets kodlås och därigenom få fullständig åtkomst till den även om den är låst.

This work have been done in cooperation with the Swedish Armed Forces (Försvarsmakten) and presents what possibilities there are for forensic investigations of the e-book reader Amazon Kindle. In its literature study it is described how previous research in the field is very limited. The work is therefore aiming to answer what data of forensic interest a Kindle can contain and how it can be extracted, where this information is stored and if this differs between different models and firmware versions, as well as if it's enough to investigate only the part of the memory that is available for the user or if further privileges to reach the whole memory area needs to be obtained. To do this, three different models of Kindles is filled with information. After that data images are taken off them, first on only the user partition and then on the whole memory area after a privilege escalation have been performed. Gathered data is analyzed and the result is presented. The result shows that information of forensic interest such as notes, visited web sites and documents can be found and there is therefore a value in performing forensic investigations on Amazon Kindles. There is a difference between what information that can be found and where it's stored on the different units. The units have four partitions of which only one is accessible without privilege escalation. Because of this there is an advantage of obtaining images of the whole memory area. In addition to the above a method for bypassing the device code of a unit and thereby getting complete access to it even though it is locked is presented.