| dc.description.abstract | Sikring og tolkning av artefakter fra digitale beslag er svært relevant for politiet. Artefakter fra trådløse signaler som sendes fra Bluetooth og Wi-Fi enheter brukes imidlertid i begrenset grad av politiet i dag, selv om dataene kan bidra i etterforskningen. I denne masteroppgaven samler vi inn passive datapakker fra Bluetooth (Classic) og Wi-Fi, og analyserer dataene for å finne muligheter som politiet kan bruke for å øke deres situasjonsforståelse i det digitale rom (og det virkelige liv). Mer spesifikt utfører vi signalkorrelasjon for å linke Bluetooth- og Wi-Fi MACadresser som tilhører samme enhet. Ved å kombinere metadata fra disse tekologiene kan vi identifisere enhetene selv om en tilfeldig Wi-Fi MAC-adresse blir brukt. I tillegg sporer vi enheter basert på mottatt signalstyrke ved å bruke geolokaliseringsmetoder.
I den første delen av denne studien designet og bygget vi et sensornettverk bestående av seks sensorer ved bruk av hyllevare og gratis programvare. Blant annet benyttet vi Ansible-rammeverket for å automatisere flere av innhentingsprosessene. Med sensornettverket fullt operativt fullførte vi våre eksperimenter ved å samle inn data fra enheter som var inndelt i to grupper. Før vi startet innsamlingen fokuserte vi på å redusere interferens, samt legge til rette for at signalene skulle ha færrest mulig blokkeringer fra andre objekter i rommet. Blant den innsamlede dataen ble de mest interessante datatypene valgt og importert til en SQL-database, dvs. signalstyrke, MAC-addresser og tidsstempeler.
Det primære fokuset i denne studien har vært å bruke datasettet til å linke signaler tilbake til deres opprinnelige enhet og bruke geolokaliseringsmetoder (triangulering og trilaterasjon) for å spore enhetene. Samtidig har vi utforsket forskjellige filtreringsmetoder for å fjerne irrelevante data og følgelig øke nøyaktigheten.
Resultatene våre viser at den mest pålitelige algoritmen for signalkorrelasjon var å konvertere Bluetooth- tilWi-Fi-signal. Denne algoritmen var i stand til å linke det korrekte paret av MAC-adresser med en nøyaktighet mellom 29-40 %. Blant de tre beste signalparene som var linket var det mellom 43-70 % sannsynlighet for at signalparet kom fra samme enhet. Ved å se på de fem beste signalparene var nøyaktigheten økt til mellom 57-80 %. Resultatene fra geolokaliseringsmetodene viste en nøyaktighet mellom 1-7 meter fra den faktiske plassering til der vi estimerte. | |
| dc.description.abstract | The extraction and interpretation of artefacts from digital evidence is highly relevant for law enforcement. However, artefacts from wireless signals transmitted from Bluetooth and Wi-Fi devices are to a limited extent used by the police today, even though the data can contribute to investigations. In this master’s thesis, we capture passive data packets from Bluetooth (Classic) and Wi-Fi and analyse the data in order to find opportunities that the police can use to increase their situational awareness in cyberspace (and real life). More specifically, we perform signal correlation that links Bluetooth and Wi-Fi MAC addresses that belongs to the same device. Combining metadata from these technologies allow us to identify the devices even if a random Wi-Fi MAC address is used. In addition, by performing geolocation, we track devices based on the received signal strength.
In the first part of this study, we designed and built a sensor network consisting of six sensors using off-the-shelf hardware and free software. The Ansible framework automated, among other things, several of the capturing processes. With the sensor network fully operational, we completed our experiments by collecting data from two groups of devices. Before starting the collection, we focused on mitigating interference and multipath propagation. Among the collected data, the most relevant data types, i.e. signal strength, MAC addresses and timestamps,
were imported into a SQL database.
The primary focuses of this study have been to use the data set to link signals back to their originating device and use geolocation methods (triangulation and trilateration) to track devices. At the same time, we have explored different filtering methods to remove irrelevant data and increase accuracy.
Our results show that the most reliable signal correlation algorithm was the conversion from Bluetooth to Wi-Fi signal. This algorithm was able to link the correct pair of MAC addresses with an accuracy between 29-40 %. Among the three best signal pairs linked, it was between 43-70 % probability that the signal pair derived from the same device. Among the five best signal pairs, the accuracy increased between 57-80 %. The results from the geolocation methods showed an accuracy between 1-7 meters from the actual location and the place of estimation. | |
