Kriminelle databrukere har lært seg å forfalske de elektroniske tidsstemplene som ellers kunne fastslått forbrytelsenes tidspunkt og rekkefølge, men nå er det utviklet metoder som kan avsløre slike forfalskninger.
Prosjektleder: Professor Stig Frode Mjølsnes, Institutt for telematikk, NTNU Doktorgradsstipendiat NTNU: Svein Yngvar Willassen, nå i Inside-Out AS.
Time Stamps, Digital Traces and Forensic Evicence – TID
Viktige publiseringer:
S .Y. Willassen, «Using Simplified Event Calculus in Digital Investigation», ACM Symposium on Applied Computing 2008, Fortaleza, Brazil, March 2008
S .Y. Willassen, «Finding Evidence of Antedating in Digital Investigations», ARES 2008, Barcelona, Spain, March 2008
S .Y. Willassen, «Hypothesis Based Investigation of Digital Timestamps», 4th IFIP WG 11.9 Workshop on Digital Evidence in Kyoto, Japan, January 2008, in Advances in Digital Forensics IV, Springer, 2008
Hver eneste gang du redigerer eller lagrer et dokument på pc-en, sender en tekstmelding fra mobilen, eller tar et bilde med det digitale kameraet, blir det generert et digitalt tidsstempel som registrerer når handlingen ble utført.
Slike tidsstempler kunne i prinsippet vært gull verdt for politiets etterforskere, men problemet er at stemplene ikke er til å stole på.
– Tidsstemplene i en pc forholder seg til datamaskinens klokke, men den kan lett stilles. Det går også an å forandre et tidsstempel etter at det er lagret, og det har derfor vært vanskelig å bruke disse tidsstemplene i etterforskningen, forklarer sikkerhetseksperten Svein Yngvar Willassen.
Man var i praksis avhengig av å sammenlikne tidsstemplene med eksterne tidsreferanser, men hvis det ikke fantes slike ble det veldig vanskelig.
– Derfor har vi ofte sett at forsvarerne i for eksempel saker om barnepornografi, bruker falske tidsstempler som grunnlag for å påstå at det er «noen andre» som har lagret bildene, sier Willassen.
Ingen lurte programmet
I fremtiden kan det bli vanskeligere for de kriminelle å skjule sine elektroniske spor, for Willassen har utviklet et dataprogram som kan kontrollere og sammenlikne alle tidsstemplene i en maskin – blant annet pc, mobiltelefon, kamera – med hverandre.
Det har nemlig vist seg at det er veldig vanskelig å forfalske alle tidsstemplene i et system på en konsistent måte. Det vil alltid oppstå avvik eller andre spor som kan påvises.
– Underveis i prosjektet utfordret vi en rekke ressurspersoner til å forfalske et gitt dokument på en måte som var inspirert av den såkalte Finance Credit-saken, forteller Willassen.
Der hadde en av de hovedtiltalte skrevet et dokument som overførte aksjer til datteren, men påtalemyndigheten mente at dokumentet var skrevet i ettertid og tilbakedatert.
– Alle de vi utfordret klarte å forfalske tidsstemplet på sitt elektroniske dokument, men ingen klarte å lure programmet som undersøkte og sammenliknet alle tilgjengelige tidsstempler.
– Derfor mener vi at dette er en ny metode som kan være veldig anvendelig i digital etterforskning, sier Willassen.
Ansiktsgjenkjenning
Willassen har bakgrunn som spesialetterforsker ved Datakrimteamet hos Økokrim. Han begynte på doktorgradsutdannelsen ved NTNUs Institutt for telematikk da TID-prosjektet startet i 2005.
Arbeidet med doktorgraden ble godkjent og avsluttet i mai 2008, og nå har Willassen etablert en bedrift hvor han utvikler programvareverktøy som kan brukes innen digital etterforskning.
Willassen forfølger flere gode ideer.
– Jeg er blant annet i ferd med å lage en søkemotor basert på ansiktsgjenkjenning, som skal kunne sammenlikne politiets «forbryterbilder» av ukjente kriminelle med ansikter som er publisert på internett.
Annonse
– Digital ansiktsgjenkjenning er en velkjent teknologi, men jeg kjenner ikke til at funksjonen tidligere er lagt inn i en søkemotor på internett, forteller Willassen.
Den samme teknologien kan brukes til å jakte på overgriperne i barnepornografisaker, antyder han.
– Alle kameraer har enten en liten feil i sensoren, eller en flekk på objektivet, eller et annet element som er helt unikt. Det skal gå an å gjenkjenne slike kamera-attributter og fastslå hvilket kamera som er blitt brukt til å ta et bilde.
– Da blir det mulig for politiet å gå etter de som har tatt de barnepornografiske bildene, som er de reelle overgriperne. I dag fokuserer man isteden på de som har lagret kopier av bildene, sier Willassen.