Sporer dataskurker

En ny metode sikrer spor og rettsgyldige bevis etter dataangrep.

Hvert år begås tusenvis av alvorlige dataangrep og datainnbrudd i norske bedrifter. Svært få av dem etterforskes og ender med dom. Ofte er det så vanskelig å sikre bevis at datakriminalitet ikke engang blir anmeldt.

Høyteknologisk kriminalitet •

Etterforskerne finner verken pistolkuler, fingeravtrykk eller DNA-spor etter et dataangrep. Elektroniske spor må sikres annen måte. Bedriftenes nettverk er i «bevegelse» hele tiden. Det er et åsted som forandrer seg og ikke kan spoles tilbake. Gjerningsøyeblikket blir vanskelig å rekonstruere.

– Vi snakker også om høyteknologisk kriminalitet, der gjerningsmennene kan skjule identiteten sin og bruke programvare som våpen, og styre en hær av datamaskiner, sniffe opp andres brukernavn og passord og angripe innenfra, forklarer politiadvokat Erik Moestue i Kripos.

Gjenskaper og fryser bildet •

André Årnes ved Centre for Quantifiable Quality of Service in Communication Systems (q2s) – ett av NTNUs sentere for fremragende forskning – har i samarbeid med forskere ved University of California utviklet en metode som kan sikre bevis i etterforskningen. Prinsippet går ut på å rekonstruere det digitale åstedet og «knipse bilder» av gjerningsøyeblikket.

– Vi setter opp en miniversjon av bedriftens originale datanettverk. På en enkelt maskin eksperimenterer vi oss deretter fram til en forklaring på hva som har skjedd teknologisk. Trinn for trinn gjenskaper vi situasjonen og utfører de kriminelle angrepene slik vi tror de kan ha foregått. Vi fryser hvert avgjørende øyeblikk i form av «snapshots» av situasjonen, som vi lagrer på egne filer. Deretter samler vi inn de elektroniske sporene, analyserer dem nøye og sjekker mot bevismateriale fra bedriftens originalnettverk, forklarer Årnes.

Testlaboratorium •

Årnes har selv bakgrunn som etterforsker i Økokrim og Kripos. Han mener at dette er en måte politiet kan teste hypotesene sine på.

– Den teknologiske situasjonen kan være sammensatt. Gjerningsmannen operer kanskje fra en Linux-stasjon, mens offeret arbeider med Windows. En mengde forskjellig programvare og operativsystemer kan være involvert i kriminalsaken. Med ViSe – Virutal Security Testbed – skaper vi et laboratorium som kan teste slike komplekse situasjoner, sier han.

Lederen for Kripos’ avdeling for datakriminalitetssaker, Rune Fløisbonn, bekrefter behovet for slike etterforskningsverktøy og spesialkompetanse:

– I USA har faget et eget navn – computerforensics. Her i Norge trenger vi å ruste oss for systematisk arbeid med elektroniske spor. Hvis ikke, taper vi i kampen mot datakriminalitet.

Av Ragnhild Krogvig Karlsen