Hver eneste gang du redigerer eller lagrer et dokument på pc-en, sender en tekstmelding fra mobilen, eller tar et bilde med det digitale kameraet, blir det generert et digitalt tidsstempel som registrerer når handlingen ble utført.

Slike tidsstempler kunne i prinsippet vært gull verdt for politiets etterforskere, men problemet er at stemplene ikke er til å stole på.

– Tidsstemplene i en pc forholder seg til datamaskinens klokke, men den kan lett stilles. Det går også an å forandre et tidsstempel etter at det er lagret, og det har derfor vært vanskelig å bruke disse tidsstemplene i etterforskningen, forklarer sikkerhetseksperten Svein Yngvar Willassen.

Man var i praksis avhengig av å sammenlikne tidsstemplene med eksterne tidsreferanser, men hvis det ikke fantes slike ble det veldig vanskelig.

– Derfor har vi ofte sett at forsvarerne i for eksempel saker om barnepornografi, bruker falske tidsstempler som grunnlag for å påstå at det er «noen andre» som har lagret bildene, sier Willassen.

Ingen lurte programmet

I fremtiden kan det bli vanskeligere for de kriminelle å skjule sine elektroniske spor, for Willassen har utviklet et dataprogram som kan kontrollere og sammenlikne alle tidsstemplene i en maskin – blant annet pc, mobiltelefon, kamera – med hverandre.

Det har nemlig vist seg at det er veldig vanskelig å forfalske alle tidsstemplene i et system på en konsistent måte. Det vil alltid oppstå avvik eller andre spor som kan påvises.

– Underveis i prosjektet utfordret vi en rekke ressurspersoner til å forfalske et gitt dokument på en måte som var inspirert av den såkalte Finance Credit-saken, forteller Willassen.

Der hadde en av de hovedtiltalte skrevet et dokument som overførte aksjer til datteren, men påtalemyndigheten mente at dokumentet var skrevet i ettertid og tilbakedatert.

– Alle de vi utfordret klarte å forfalske tidsstemplet på sitt elektroniske dokument, men ingen klarte å lure programmet som undersøkte og sammenliknet alle tilgjengelige tidsstempler.

– Derfor mener vi at dette er en ny metode som kan være veldig anvendelig i digital etterforskning, sier Willassen.

Ansiktsgjenkjenning

Willassen har bakgrunn som spesialetterforsker ved Datakrimteamet hos Økokrim. Han begynte på doktorgradsutdannelsen ved NTNUs Institutt for telematikk da TID-prosjektet startet i 2005.

Arbeidet med doktorgraden ble godkjent og avsluttet i mai 2008, og nå har Willassen etablert en bedrift hvor han utvikler programvareverktøy som kan brukes innen digital etterforskning.

Willassen forfølger flere gode ideer.

– Jeg er blant annet i ferd med å lage en søkemotor basert på ansiktsgjenkjenning, som skal kunne sammenlikne politiets «forbryterbilder» av ukjente kriminelle med ansikter som er publisert på internett.

– Digital ansiktsgjenkjenning er en velkjent teknologi, men jeg kjenner ikke til at funksjonen tidligere er lagt inn i en søkemotor på internett, forteller Willassen.

Den samme teknologien kan brukes til å jakte på overgriperne i barnepornografisaker, antyder han.

– Alle kameraer har enten en liten feil i sensoren, eller en flekk på objektivet, eller et annet element som er helt unikt. Det skal gå an å gjenkjenne slike kamera-attributter og fastslå hvilket kamera som er blitt brukt til å ta et bilde.

– Da blir det mulig for politiet å gå etter de som har tatt de barnepornografiske bildene, som er de reelle overgriperne. I dag fokuserer man isteden på de som har lagret kopier av bildene, sier Willassen.

Lenke:

Forskningsrådets program IKT sikkerhet og sårbarhet (IKTSOS)