Det er ikke nok å tømme søppelkassen. Illustrasjon: Gateavisa
Det er i allmenhetens interesse å vite hvordan politiet behandler digitale bevis – ikke bare for å beskytte seg mot myndighetenes inntrengen i ens privatliv, men også for å beskytte sine data fra å bli stjålet av andre. Gateavisa har gjennom anonyme kilder som har jobbet med denne typen etterforskning i politiet fått opplysninger som belyser dette emnet.
Etterforskning av mistenktes datautstyr
Politiet bruker et kjent etterforskningssystem som heter EnCase i tillegg til verktøy som Helix og AccessData Forensics Toolkit. Helix kan du selv laste ned og prøve ut – det er gratis.
Det første politiet gjør er å lage et digitalt bilde av minnet og harddisken i datamaskinen, som de tar med seg for videre etterforskning. Dette digitale bildet er en identisk kopi av det som finnes på maskinen. Politiet bruker Unix-verktøyet «dd» for å lage dette bildet.
Etterforskere kobler seg til den mistenktes maskin med en politilaptop etter å ha startet gratis-systemet Helix, og får alle data fra mistenktes maskin over på sin. Dette gjøres gjerne ved ransakelse. Når de har fått fatt i dette bruker de EnCase i ettertid for å analysere materialet. EnCase er et program for Windows som er i stand til å finne det meste av materiale og fragmenter av dette og systematisere det. De kan finne fram absolutt alt av interesse, også mye av det en mistenkt kanskje trodde var slettet og ting vedkommende trodde aldri var blitt lagret. Bildet av harddisken inneholder nemlig rådataene fra disken og er en identisk og komplett speiling. Denne inneholder både ting som er slettet og ikke ennå skrevet over av nye filer, og rester av informasjon som har vært på harddisken før. Slike rester befinner seg i enden av filer («file slack») og i ledig plass.
Dersom det er brukt kryptering (koding) av harddisken brukes AccessData sine verktøy for å forsøke å knekke passordet. Hvis passordet ikke består av vanlige ord alene eller i sekvens, eller er lengre enn 8-12 tegn, er det nærmest umulig for politiet å knekke kodene. Hvis maskinen står påskrudd når politiet ransaker et lokale, vil de kunne lage bilde av den selv om dataene er kodet, såfremt det ikke er på skjermsparer med passordbeskyttelse.
Forskere har nylig demonstrert at en maskin som har kodet harddisk også er sårbar om den står påskrudd med skjermsparer. Krypteringsnøkkelen lagres i minnet, og ved å skru opp maskinen mens den står på, spraye kjølespray på minnet, sette det inn i en annen maskin og lage et bilde av det, kan man få nøkkelen. Denne metoden er mer krevende enn det politiet i dag har ressursser til å utføre, men teknisk mulig.
I flere land bruker politi en fysisk enhet som kobles inn i tastaturet og lagrer tastetrykk på datamaskinen. De bruker også trojanske hester – programmer som plantes på datamaskiner eller mobiltelefoner, og som gir etterforskeren en bakdør inn i utstyret. Disse kan blant annet finne passord som kan åpne et kodet system. En etterforsker kan for eksempel bryte seg inn hos en mistenkt og montere slikt utstyr. Metodeutvalget har nylig gått inn for økt bruk av disse metodene, som kalles dataavlesing i deres terminologi.
I USA har myndighetene utviklet avansert programvare for overvåking og etterforsking og har fått tillatelse til å drive langt mer kontroll enn i Norge, spesielt etter 11. september 2001. Også norske myndigheter har fått tillatelse til å gjøre mer enn de hadde før, men i hvilken grad slike mer spesialiserte verktøy brukes er ikke kjent. Om det brukes, er det nok i de aller mest alvorlige sakene.
Etterforskning på nettet
En kilde Gateavisa har vært i kontakt med som har nær kjennskap til teknologien hos norske internettleverandører, sier at norsk politi først og fremst kontakter dem for å få vite hvem som ligger bak en IP-adresse. De trenger ingen rettslig kjennelse, men får dette enkelt ved å vise til hjemmel i lov.
Når en mistenkt bruker internett legger man igjen en IP-adresse som kan spores tilbake til den mistenktes abonnement. Internettleverandører og nettsteder lagrer forskjellige ting i loggene sine. Noen lagrer bare oppkoblings- og nedkoblingstidspunktet. Man har krav på å vite hva som lagres, og hvor lenge det lagres. Leverandørene skal følge Datatilsynets retningslinjer og slette disse dataene når de ikke lenger er nødvendige, men det er ikke alltid dette gjøres. Mange servere er satt opp til å loggføre lenger enn tillatt som standardinnstilling, og leverandører tar ikke nødvendigvis hensyn til lover om personvern når de stiller inn utstyret sitt.
Selv om politiet har myndighet til å be om å få avlytte innholdet i internetttrafikken, skjer dette ikke i praksis. Men det kan endre seg, avhengig av alvorlighetsgraden i en sak og prioritering av ressursbruk. I noen land benytter de seg allerede av det som på engelsk har blitt hetende «lawful interception» og tilhørende teknologi for å overvåke. En mer sentralisert overvåkning kjenner ikke Gateavisa til, men om det foregår er det i så fall installert utstyr hos noen av de sentrale knutepunktene for netttrafikk i Norge på oppdrag fra Politiets Sikkerhetstjeneste. Gateavisa anser det som svært usannsynlig at dette foregår, da slikt er lite populært i Norge og det ville sannsynligvis kommet for en dag. Men muligheten er der: dette har tross alt skjedd i USA under Bush-administrasjonen.
Digital telefoni
Telefonsentralene er blitt digitale, og mye telefoni går via Internett (IP-telefoni). For noen år siden var det vanskelig for myndighetene å avlytte IP-telefoni, men man må regne med at det er tilrettelagt for dette nå, etter at leverandørene fikk pålegg om det. For at noen skal telefonavlyttes i Norge må det rettslig godkjennelse til, og den mistenkte må være mistenkt for noe som kan straffes med ti år eller mer. Det har nylig blitt lovlig å benytte seg av såkalt restmateriale ved telefonavlytting. Dvs. at dersom noen ringer en som er mistenkt for alvorlig kriminalitet og nevner sin egen kriminalitet, vil vedkommende kunne dømmes for dette i ettertid uansett om det han eller hun har gjort er mindre alvorlig.
Å beskytte seg
Politiet er blitt langt flinkere med digitalt utstyr enn de var, men begrenser ressurssene sine til de viktigste sakene. Å gå igjennom en PC som beskrevet i begynnelsen av artikkelen er derimot blitt helt vanlig i mindre saker.
Det legges igjen langt flere spor enn tideligere, og noen og enhver kan bli paranoid av mindre. Heldigvis finnes det måter å beskytte seg på som gjør at ingen får tilgang til filene og kommunikasjonen din. Det beste er å bruke steganografisk kryptering med TrueCrypt («Hidden Volume») og Hidden Operating System eller PGP. Og data som er skrevet over med Eraser eller CCleaner vil ikke kunne gjenopprettes. Med økt bruk av telefonavlyttning, er det god grunn til å bruke Zfone eller SIP Communicator (når det blir ferdig). Det er ikke bare kriminelle som har interesse av å beskytte seg. De fleste føler seg ukomfortable med tanken på at myndighetene kan finne ut alt om dem. Vi bør heller ikke glemme at vi har en historie med politisk overvåkning i Norge. I tillegg er flere og flere interessert i å undersøke andres datamaskiner – eller å beskytte seg mot å bli undersøkt. Sjalu kjærester, konkurrerende firma, journalister, psykologer og advokater, for å nevne noen.
Vil du ha samlingen med filmer du har lastet ned fra Pirate Bay i fred og fortsatt sove trygt om natten? Skal du ut på reise og vil du unngå at amerikanske tollere tar kopi av hele harddisken din? Eller snakke med journalistkontakten din uten å være redd for å bli anklaget for brudd på taushetsplikten? Mange av verktøyene for å beskytte seg er gratis og ikke særlig brysomme å bruke. For informasjon om hvordan du beskytter det digitale privatliv, se «Slik beskytter du ditt digitale privatliv».
I en artikkel på Politiforum kan du lese litt mer om hvordan det står til med den allmene kunnskapen rundt digital etterforskning i Politiet. De blir nok flinkere for hvert år som går, siden data er blitt allemanseie.
Husk at steganografi er en lur taktikk siden politiet ofte får det som de vil – de har tross alt lengre erfaring med avhørsteknikker enn du har, og oppfører seg veldig uetisk og sleipt. Og folk skriver gjerne opp passord på gule lapper o.l. (en dårlig ide). Be om advokat. Harddisken bør være like privat som hjernen. Husk at man ikke skal innrømme noe mer overfor advokaten enn politiet, med mindre man bruker en advokat av den gamle garden som ikke har gått på alle disse nye etikkkursene som de får prakket på seg i disse dager.