På sporet av den digitale tid

Loven er i tidsklemma. Forskere og politi går sammen om metoder for å tidsbestemme digitale spor.

Published

Også forbrytere surfer på den digitale bølgen. Digitale spor legges igjen overalt. Men skal de holde som bevis i retten, må de kunne dateres - utover en rimelig tvil.

Mye omtalte rettssaker - som Finance Credit-saken og Knutby-saken - har aktualisert digital etterforskning.

Et papirdokument har gjerne et stempel med dato eller en datert underskrift. Dette er godt nok for en domstol. Men hva med digitale beviser? Tid er her en flyktig sak av bits og bytes, som dessuten er åpne for manipulering.

Forfalsking av tidsstempler

Det er i utgangspunktet enkelt å forfalske digitale tidsstempler: Man kan stille om klokka på datamaskinen. Word-dokumentet ditt har plutselig fått en falsk dato for opprettelse.

En mer avansert metode er å gå inn i de filene som inneholder tidsstempler, og endre disse ved hjelp av spesiell programvare.

"Svein Yngvar Willassen skal utvikle nye metoder for digitalt politiarbeid."
"Svein Yngvar Willassen skal utvikle nye metoder for digitalt politiarbeid."

- Det blir ofte hevdet av tiltalte at noen eller noe har manipulert med datamaskinen deres. I barnepornosaker hevdes det at andre personer, eller spionprogrammer, har samlet inn bildene på den mistenkes maskin. Politiet trenger metoder for å kunne etterprøve påstander om manipulering, på samme måte som man sjekker et alibi.

Det sier Svein Yngvar Willassen, tidligere spesialetterforsker ved Datakrimteamet hos Økokrim. Nå tar han doktorgrad ved Institutt for telematikk, NTNU, der han skal utvikle metoder for å tidsbestemme elektroniske bevis.

Skal avsløre manipulering

Prosjektet “Timestamps in Digital Forensics” (Tidsstempler i digital etterforskning) er det første i sitt slag i Norge. Det faller inn under satsingsområdet IKT ved NTNU .

- Målet med forskningen er å etablere metoder for å avsløre manipulering av digitale tidsstempler, sier Willassen, som deltar i prosjektet sammen med veileder og professor Stig F. Mjølsnes.

Finance Credit-saken

En av de to hovedmennene i Finance Credit-saken, Trond Kristoffersen, ble løslatt etter en periode i varetekt, mens saken fortsatt var under etterforskning.

Politiet mistenkte at Kristoffersen satt i England og overførte verdier fra det fallerte selskapet. De gikk derfor til pågripelse av Kristoffersen og beslagla en datamaskin.

Politiet fant dokumenter på harddisken som de mente var tilbakedatert av Kristoffersen. Dette kunne blitt viktige beviser under den senere rettssaken.

- Men så vidt jeg vet klarte ikke politiet å konkludere om tilbakedatering, ettersom de ikke hadde gode nok metoder, sier Willassen.

Nye etterforskningsmetoder

Etterforskning - digital og konvensjonell - handler om metode.

- Hvordan skal en etterforsker gå fram i møtet med databevis? Spørsmålet etterforskeren stiller seg er: Hva kan denne datamaskinen fortelle om den mistenktes handlinger og bevegelser, forklarer Willassen.

Her er etablering av en kronologi viktig for å kunne føre en etterforskning fram til en rettssak.

Knutby-saken

Willassen jobbet også med Knutby-saken i Sverige. Den nå drapsdømte pastoren Helge Fossmo ble felt blant annet på tilsynelatende slettede tekstmeldinger på barnepikens mobiltelefon.

Willassen arbeidet på denne tiden for firmaet IBAS AS, som klarte å gjenfinne meldingene på SIM-kort og teleoperatørens nettlogg. Det svenske politiet ante ingenting om metoden.

Willassen har senere publisert flere vitenskapelige artikler om gjenfinning av data på mobiltelefoner.

Nye Kripos ønsker tettere samarbeid

Willassens arbeid er finansiert av Norges forskningsråd, men involverer ikke politiet. Ved Centre for Quantifiable Quality of Service in Communication Systems (Q2S) ved NTNU, har André Årnes permisjon fra Nye Kripos for å ta en jobbrelevant doktorgrad, kan professor Svein Johan Knapskog fortelle.

- Utviklingen innenfor datateknologi akselererer, og de kriminelle finner nye måter å misbruke teknologien på, sier Rune Fløisbonn, leder for Datakrimavdelingen ved Nye Kripos. Han ønsker samarbeid med forskningsmiljøer.

- Vi har allerede knyttet til oss stipendiater og mastergradsstudenter ved NTNU og Universitetet i Oslo, sier Fløisbonn.