Bakgrunn: Kriminaletterforskere i cyberspace

Slettet fila, sa du? Deler av dokumentene man slettet for flere år siden kan stadig befinne seg inne i harddiskens lønnkamre, og politiets datakrimteam vet hvordan de skal grave dem opp igjen.

Published

Før i tiden måtte man utføre svindel og bedrag på gamlemåten, med penn og papir. Men på 1990-tallet ble alle forferdelig opptatt av å kruse rundt i det de hippe kalte cyberspace, og etter hvert som datamaskinene ble mer og mer vanlige, foregikk naturlig nok stadig mer av samfunnets lugubre virksomhet også i det omtalte cyberrommet.

Dermed måtte onkel politi ansette datanerder i tillegg til de vanlige kriminaletterforskerne med forstørrelsesglass og romdrakter. I 1995 var politiets datakrimteam på beina, og nå skal de utvide fra 13 til 30 etterforskere, forteller Torstein Schjerven ved Økokrim.

Ting kan tyde på at det legges igjen en hel del bevis i datamaskinens dunkle indre.

Hva skjer når man lagrer

Harddisken er datamaskinens hukommelse, og den er delt opp i massevis av små områder hvor det går an å lagre data. Disse kalles blokker, og har sin egen private adresse slik at man skal klare å finne igjen det man har lagret.

Men hver blokk inneholder ofte ikke mer enn 500 tegn, og det er vanligvis alt for trangt til en hel fil i bare én blokk. Det betyr at fila man lagrer blir spredt utover mange blokker, som slett ikke trenger å ligge i rekkefølge.

Det finnes nemlig ei innholdsliste over alle filene man har lagret, og der står det hvilke blokker de ligger i. Gir man datamaskinen beskjed om å hente noe i minnet, finner den altså bare frem til den riktige adressen og leser av innholdet.

Sletter ikke alt

  mulig å slette sikkert

 

Skal man sikre seg helt må man bruke spesielle programmer som faktisk går inn og skriver over alle dataene i alle blokkene hver gang man sletter noe. Men det krever så klart at maskinene jobber ekstra mye, og dermed blir de forferdelig trege. Folk flest har heldigvis ikke statshemmeligheter liggende hjemme på PC’en og kan derfor droppe snegleprogrammene, mens Forsvaret, for eksempel, må bruke sikre systemer.

 

kilde: Jon Olav Hauglid, NTNU

 

 

 
 

Det som skjer når man sletter en fil er at man stryker filnavnet fra innholdslista, og gir beskjed om at blokkene kan brukes på nytt. Etter hvert som man lagrer nye ting vil de gamle blokkene fylles av ny informasjon, men i mellomtiden finnes det altså biter av det gamle dokumentet rundt omkring på harddisken. Det er disse bitene datapolitiet leter etter. Dessuten finnes det en hel del informasjon om når fila ble laget, eller når den ble brukt sist, som onkel har stor glede av.

I tillegg til alt man kan finne i datamaskinenes harddisk kan man finne ut ganske mye om hva folk foretar seg på nettet også. Hver eneste maskin har sitt eget kjennetegn, og nettsidene den besøker registrerer at den har vært der.

Forsiktig med beviset!

Men har man slått kloa i en mistenkelig harddisk, må man altså begynne å grave i sprekker og søppelhauger for å se om det finnes spor etter kriminell oppførsel. Men det er ikke så enkelt som å slå på maskina, og begynne å rote rundt. Da påvirker man nemlig fort bevismaterialet, og snart er det lett å påstå at det var politiet selv som la inn ulumskhetene. Derfor får dataetterforskerne hjelp av helt spesielle programmer, og EnCase er ett av dem.

Etterforskningsprogram

EnCase er ett program som rett og slett lager et speilbilde av en harddisk eller en diskett. Den kopierer rett og slett alt som finnes på hele harddisken, filer, tomrom, søppel, tidligere brukt plass og løsrevne datasnutter, til en eneste diger fil.

Til slutt lager programmet en matematisk signatur på hele fila. Den virker sånn at dersom noen endrer på så mye som et komma, vil hele signaturen forandres totalt, og slik kan politiet vise at bevisene de finner er skikkelige. På denne måten kan nemlig etterforskerne sniffe rundt i kopien, mens den originale - og mistenkelige - harddisken er helt urørt.

Enten ser storebror deg, eller så banker skurkene deg. Velg selv.

Det er jo fint at politiet kan spore opp skurkenes romsteringer på maskina, men er vi egentlig like begeistret for at vår egen dataaktivitet også kan overvåkes? Hva om noen så alle de private e-postene man har skrevet fra jobben, eller registrerte at to timer av gårsdagens arbeidsdag gikk med til personlighetstester på emode?

Amerikanerne er i hvert fall ikke særlig begeistret, og man trenger ikke lete lenge etter programvare som skal beskytte deg mot EnCase og dataetterforskere.

- Din PC inneholder dødelige beviser, påstår nettsiden til Evidence Eliminator, og mener man bør skjelve i buksene ved tanken på at noen (myndighetene) kan oppspore alle nettsider, bilder, videoer og lydfiler du har sett på.

- Forsvar deg selv!, oppfordrer de, og reklamerer med at EnCase er en enkel sak å takle for deres beviseliminator.

Men det spørs hvem man velger å stole på, da. 2 000 datadetektivbyråer over hele verden bruker EnCase-programmet til å grave fram elektroniske bevis, så det er grunn til å tro at det fortsatt ikke er helt ubrukelig.

Les mer:

BBC: Uncovering a computer’s secrets

Evidence Eliminator’s hjemmeside

EnCase’s hjemmeside