Datakrim større enn narkotikahandel
2006 kan bli året hvor nettsvindel, utpressing og identitetstyveri blir en del av nordmenns hverdag.
Av Paal Leveraas Publisert: 20.02.2006 kl. 08:00
I slutten av januar og begynnelsen av februar var den danske avisen Jyllandspostens nettsider utilgjengelig i flere dager.
Avisen ble utsatt for det som kan kalles et distribuert tjenestenektangrep, eller distributed denial of service-angrep (DDOS).Det er ikke urimelig å tro at avisen ble angrepet som følge av publiseringen av de omstridte Muhammed-karikaturene.
Krim-nisje
Men DDOS-angrep er mer enn et ideologisk straffegrep. Det er også en av de sterkest voksende ”nisjene” blant kriminelle. Slik lød trusselen IT-firmaet Protx mottok i august 2004: «We attack your servers for some time. If you want save your business, you should pay 10.000$ bank wire to our bank account. When we receive money, we stop attack immediately. If we will not receive money, we will attack your business 1 month.»
Protx valgte å ignorere advarselen. To måneder senere gikk tusenvis av maskiner til angrep, og slo selskapet ut i to dager.
Vanlig taktikk
Utpressing av dette slaget er blitt vanlig. Særlig utsatt er virksomheter hvor inntektene genereres av brukere som er online. Casinoer og lignende nettsteder er derfor spesielt utsatt.
– Vinningskriminalitet, phishing, utpressing, andre former for nettsvindel og identitetstyverier vil etter alt å dømme vokse sterkt i tiden fremover, sier daglig leder Tore Larsen Orderløkken ved NorSIS (Norsk Senter for Informasjonssikring) på Gjøvik til Teknisk Ukeblad.
Datakriminalitet er allerede blitt en ”industri” som i USA i fjor passerte narkotikahandelen i omsetning. Anslag for totalverdien ligger på $105 milliarder (ca 660 millarder kroner).
Norsk politi maktesløse
Norsk politi står mer eller mindre maktesløse overfor disse formene for datakriminalitet. Den lille innsatsen som gjøres, preges av manglende vilje til å bevilge midler til kampen. I front står Rune Fløisbonn, som er lovens forlengede arm inn i cyberspace.
Den tidligere forskeren og akademikeren fra Universitet i Oslo, ble plukket ut til å lede Politiets datakrimsenter, nå Datakrimavdelingen i Kripos. – Jeg gikk fra å være forsker til å bli etterforsker, smiler han. Datakrimsenteret ble offisielt åpnet den 15. mai 2003, og holder til på Bryn i Oslo, sammen med Kripos og Økokrim.
– Vi balanserer mellom ønsket om å være synlige og forebyggende, og har et behov for holde våre metoder skjult overfor kriminelle, for at de ikke lettere skal kunne skjule sine spor, sier Fløisbonn til Teknisk Ukeblad. – Den generelle kunnskapen om datateknologi vokser, og kriminelle allierer seg i stadig sterkere grad med de beste dataekspertene på den internasjonale arenaen for å gjennomføre forbrytelser og skjule sporene.
200 saker
De vel 20 ansatte i datakrimsenteret etterforsket rundt 200 saker i fjor. En tiendedel av disse var ren ”datakriminalitet” i den forstand at det dreide seg om forbrytelser med teknologi som mål, og utført ved hjelp av datateknologi. Typiske slike saker er datainnbrudd, spredning av barnepornografi, phishing og andre former for svindelforsøk, samt massive koordinerte dataangrep, ofte i den hensikt å presse penger av aktører som er avhengig av 100 prosent oppetid for selv å tjene penger.
I følge en undersøkelse av hvor mye datakriminalitet som ikke anmeldes (Mørketallsundersøkelsen) gjennomføres det minst 5.000 datainnbrudd i Norge årlig (tallet er fra 2003). Bare 50 av disse anmeldes, halvparten av disse igjen etterforskes, og bare 5-10 saker kommer noensinne opp i en rettssal.
– Bedrifter anmelder ikke saker, fordi de er redde for sitt omdømme, sukker Fløisbonn. – Private og bedrifter vet ofte ikke engang at de er blitt utsatt for slik kriminalitet. Han innrømmer samtidig indirekte at flere saker blir henlagt fordi politiet ikke har nok ressurser og kunnskap.
– Slik som situasjonen er, har vi for få ressurser og for lite kompetanse, ikke bare her i Datakrimsenteret, men i alle politidistriktene. Av 8.000 politimenn i Norge har bare 50-100 fått en minimumsopplæring i håndtering av denne type saker, og det de har lært er utdatert etter 6-18 måneder!
Han trøster seg med at situasjonen er like ille andre steder. I Storbritannia har de 140.000 politifolk. Bare 1.000 av dem har fått opplæring.
Vanskeligere å overvåke IP-telefoni
Men trøsten er kortvarig: Det blir stadig vanskeligere å holde tritt med den teknologiske utviklingen. Avlytting av GSM-mobiltelefoner var i mange år umulig. Nå kommer 3G og UMTS og serverer nye utfordringer på et fat. IP-telefoni vokser med rakettfart. Stadig større deler av telefontrafikken er over på pakkesvitsjede nett, noe som gjør det vanskeligere å overvåke og avlytte.
Personvernet under press
Med vår tilpasning til EU-lover og regler, og det faktum at myndighetene og lovgiverne ikke greier å holde tritt med den teknologiske utviklingen, er vår tradisjonelt sterke personvernlovgivning blitt vannet ut. Det finnes for eksempel ingen veldig gode svar på når en arbeidsgiver har lov til å lese eposten til en arbeidstaker.
Noen ganger aksepteres slike bevis, andre ganger ikke. En arbeidstaker som hadde tilbrakt svært mye tid med å laste ned porno fikk jobben tilbake ved dom, fordi retten mente det ikke var grunnlag for å si vedkommende opp på et slikt grunnlag.
Ved et annet tilfelle, riktignok i Sverige denne gang, mistet en sykehusansatt jobben etter at det ble dokumentert at han hadde brukt 21 av de 23 siste arbeidsdagene til pornosurfing.
Orden i sysakene
Datatilsynet vil gjerne få orden i sysakene, og strever med å etablere klarere retningslinjer, blant annet for bruk av e-post.
– Arbeidsgivere har i liten grad utformet nødvendige retningslinjer for bruk av e-post, hevder tilsynsdirektør Georg Apenes.
Muligheten for kontroll og overvåking av enkeltpersoner er et område som preges av at det stadig utvikles ny teknologi som igjen skaper nye rammebetingelser. Det er en stor utfordring å lage et lovverk som ikke legger unødvendige og uønskede hindringer i veien for god bruk av ny teknologi.
– Det er viktig at partene vet hvilke spilleregler som gjelder, og at disse ikke endres hvert år, selv om området preges av rask utvikling, ifølge Apenes, som også peker på behovet for å tydeliggjøre visse nøkkelbegreper, som for eksempel ”sletting”.
Nye regler fra EU
På toppen av dette, kommer det planlagte nye EU-direktivet som pålegger lagring av sporingsdata (ikke innholdet) fra telefon og internett-trafikk i flere år.Hensikten er å bekjempe terrorisme og kriminalitet.
Direktivet, som skal gjelde fra 2007, vekker bekymring både hos teleoperatørene, som må lagre ufattelige datamengder om hver enkelt kunde, og hos Datatilsynet. – I kampen mot terrorspøkelset er vi i ferd med å få en fullstendig uthuling av personvernet, sa Apenes nylig i en kommentar til NRK.
Telekomeksperten Karl Trygve Kalleberg ved Institutt for Informatikk ved Universitetet i Bergen slakter direktivet i en kronikk i Aftenposten. – Direktivet ble solgt inn som et middel i kampen mot datakriminelle og terrorister, men kan enkelt omgås av dem. Her har noen kjøpt en veldig dyr sekk, og har ikke engang fått en katt, skriver han.
Skepsisen bunner i det faktum at kyndige datakriminelle opererer gjennom mange lag av infiserte datamaskiner verden rundt, noe som gjør sporing innen EU nytteløst. – Derimot åpner direktivet for omfattende og dyr sporing av lovlydige borgere, skriver Kalleberg videre. – Prisen målt i svekket personvern er viktigere enn montær verdi. Dataene kan kun brukes til spesifiserte former for etterforskning, slik som organisert datakriminalitet og terrorisme. Dessverre hersker det mye kontrovers over formuleringene. Det kreves ikke spesielle fullmakter for å få innsyn, og det er ingen begrensning på typen kriminalitet man kan få fullmakt for.
Kroll – det egentlige verdenspolitiet?
Ibas er blitt en del av et privat ”verdenspoliti”. Datarekonstruksjons- og etterforskningstjenestene som Ibas tilbyr, faller naturlig inn i globale Krolls produktportefølje. For et år siden var det tre noenlunde jevnbyrdige aktører på det markedet Ibas arbeider. I dag er det bare én. Britiske Vogon ble slukt av norske Ibas som igjen ble slukt av amerikanske Kroll Ontrack. Dermed finnes det bare én stor aktør på dette markedet globalt.
Og det er ikke hvem-som-helst. Moderselskapet til Ontrack, Kroll selv, er et verdensomspennende selskap som har som forretningsidé å tilby tjenester du vanligvis forbinder med politi og militærvesen.
På smørbrødlisten av tjenester og produkter fra Kroll, finnes interessante innslag som Electronic evidence & data recovery, Kidnap for ransom, Protective services and training, Asset searches, Anti money laundering, Electronic discovery, og Travel risk management.
Kroll selger ikke sine tjenester bare til amerikanske interesser. Etterforskere fra selskapet ble i 1998 engasjert av den saudiske eieren av El Shifa-fabrikken i Sudan, som amerikanerne bombet under påskudd av at den produserer kjemiske våpen. Kroll beviste at fabrikken ikke hadde produsert kjemiske våpen, og midler amerikanerne hadde frosset, måtte frigis.
Det var også Kroll som ble engasjert da saken om den italienske bankmannen Robert Calvi ble gjenopptatt, ti år etter at han ble funnet hengt under en bro i London. Kroll beviste at det ikke var selvmord.
Kroll Ontrack, som er datterselskapet som har overtatt Ibas, spesialiserer seg i likhet med Ibas på rekonstruksjon av data fra harddisker og andre lagringsmedier.
Del på Facebook:
Slik håndteres elektroniske spor
Politiets håndtering av elektroniske spor kan deles inn i tre faser
1.Sikring. Politiet kopierer all informasjon uten å endre originalen. Normalt er det slik at enhver aktivitet på en PC vil endre systemets statusinformasjon og derved gjøre at systemet strengt tatt ikke er det samme som i det øyeblikk politiet ankom åstedet. Det kreves også god innsikt for å unngå at spor ødelegges som bevis.
2.Teknisk analyse. Innebærer at sporene beskrives og konverteres til lesbar form.
3.Innholdsanalyse. Innholdet i sporene tas i bruk i etterforskningen.
Innsamling og lagring av elektroniske spor har tidligere vært manuelle operasjoner, med lokale lagringsmedier som kopieringsmedie. Med de store datamengdene som innhentes i saker, er det uoverkommelig og tidkrevende å gjennomgå dataene på en manuell måte. Politiets datakrimsenter har derfor utviklingsprosjekter hvor det utvikles intelligente systemer som kan automatisere analysen og rapporteringen av innholdsdata.
Hensikten er å få sikrere og mer effektive analyser ved å konstruere mer komplette profiler av mistenkelige personer, transaksjoner, og kanaler fra alle kilder, med mulighet for vasking av data, mer korrekt deteksjon og avvisning av falske positiver av mistenkelige mønstre som øker sannsynligheten for at man etterforsker de riktige sakene, og datamaskiner kan således hjelpe til å koble sammen informasjon fra mange registre for å finne sammenhenger som ikke kan ses ved kun å se på hvert enkelt register.
Elektronikk som sladrer
Lite av det du gjør på din PC, mobiltelefon, hjemme, i bilen eller på jobb eller på ferie, kan du regne som privat hvis det kniper.
Alle elektroniske tjenester avgir en eller annen form for "avtrykk" og spor. Sporene hentes fra medier som harddisker, flash- kort, minnebrikker og ulike elektroniske kort. Disse mediene er deler av større systemer, alt fra mobiltelefoner og PDA'er til store sentrale server-parker. Det er altså ikke bare PC'en din som avgir elektroniske spor.
Mobiltelefonen sladrer om hvem som har ringt deg, og hvem du har ringt til. GPS'en kan sladre om hvor du har vært. Det samme kan mobiltelefonen og bank- og kredittkortet ditt. Faksen, kopimaskinen, ditt chatte-program, din nettleser, automatiske fartskontroller, bompengeringer, overvåkningskameraer og adgangssystemet på jobben kan alle på oppfordring avsløre biter av informasjon til politiet. Til og med treningsstudioet kan være en kilde til informasjon om din gjøren og laden.
Komplett bilde
Til sammen kan dataetterforskerne ofte danne seg et komplett bilde av hvor du har vært og hva du sannsynligvis bedrev der.
Og verre skal det bli. Eller bedre, alt etter som du ser det. Snart kan cola-automaten nær åstedet avsløre at din RFID- brikke ble debitert rett før ranet ble begått. Snart kan politiet spørre kjøleskapet ditt om hvem som åpnet det, og hva de tok ut.
På den lyse side: Snart vil leiligheten din kunne bevise at du var hjemme og så på tv da mordet ble begått. Kjøleskapet og mikrobølgeovnen kan bli ditt tause alibi som vitner om at du faktisk tok ut en ferdigmiddag fra kjøleskapet da offeret ble drept klokken 19.36 og varmet den i ti minutter i mikrobølgeovnen mens liket ble kaldt.
Alt de vet
En analyse av data fra en PC vil blant annet kunne avdekke:
·alle filer på systemet, når de ble laget og sist brukt
·alle nylig slettede filer
·fragmenter av tidligere slettede filer
·all kommunikasjon
·alle nettsteder maskinen har besøkt
En analyse av en mobiltelefon (eller en kameramobil) kan avsløre:
·alle lagrede nummer
·innkomne samtaler
·utgående samtaler
·lagrede og slettede tekstmeldinger
·siste basestasjon tilknyttet
·bilder som er tatt
PIN-kode og PUK-kode får dataetterforskerne tak i gjennom leverandøren.
Det er også mulig å overvåke i sanntid hva en person gjør på PC’en sin, og faktisk overta kontrollen over PC’en via Internett. Det er (formodentlig) ikke overvåkningspolitiet, men kriminelle som gjør dette. Der hackere før bedrev avanserte guttestreker som ødela data eller forstyrret arbeidet ditt, infiserer de i dag PC’en med uønskede programmer du ikke merker noe til i daglig bruk, slik at PCen din blir et verktøy for kriminelle handlinger.
Slike programmer og trusler kan være:
·Datavirus: Kopierer seg selv. Aktiveres ofte på spesielle datoer.
·Ormer: «Sniker» seg inn «bakveien». Sprer seg raskere enn virus.
·Trojanere: Åpner PC-en fra innsiden så hackere kan overta den.
·Spionvare: Sladrer om dine surfevaner.
·Tastaturovervåkere: Stjeler passord, kredittkort-, kontonumre og lignende.
·Fjernstyrte roboter: Gir kontrollen over din PC til utenforstående.
·Phishing: Epost som ser ut som om den kommer fra banker og lignende. Husk: Banken ber deg ALDRI oppgi din PIN-kode i epost.
·Pharming: Phishing hvor selve nettsiden er forfalsket. Du tror du er i nettbanken din, men alt du skriver gir du til kriminelle.
Tekstmeldinger fra "Gud" felte Knutby-pastoren
En kald, mørk natt i januar 2004 glir en skygge stille gjennom Knutby, en rolig landsby ikke langt fra Uppsala. Skyggen ankommer et hus i utkanten av byen, og smetter lydløst inn døren. Ovenpå ligger den 23 år gamle Alexandra Fossmo og sover.
Alexandra er Helge Fossmos kone. Fossmo er pastor i en ekstrem pinsevennmenighet som dominerer det vesle samfunnet Inntrengeren går inn i rommet, fyrer to skudd mot Alexandras hode og et i magen. Udåden avrundes med en kniv i nakken. Kort tid senere ringer det på døren hos Daniel Linde, en nabo. Han går ut for å åpne, og stirrer inn i et revolverløp. Et skudd treffer ham i brystet, og et annet knuser kjevebenet hans. Men Daniel Linde overlever på mirakuløst vis. Angriperen forsvinner ut i vinternatten igjen.
Mediene kaster seg over den sensasjonelle saken. Det er en kriminalsak med ”alle” ingredienser: Sex, religion, hjernevasking, utroskap, drap, innbrudd og maktovergrep. Etter kort tid innrømmer pastor Helge Fossmos au pair, Sara Svensson, at hun gjorde det. Men hun hevder at hun gjorde det på oppdrag fra Gud.
Gud har instruert henne via anonyme tekstmeldinger.
Poltiet tviler. Det virker ikke sannsynlig at en ung, uerfaren barnepike skulle skaffe seg en revolver med skuddemper, og utføre et profesjonelt drap uten å stå i ledtog med andre. De tror at pastoren har en finger med i spillet. De vet han og Sara Svensson har utvekslet mer enn 2.000 tekstmeldinger seg imellom i de to månedene før mordet. De snakket dessuten sammen på telefonen 15 minutter etter at udåden var utført.
Men det finnes ingen tekniske bevis. På de beslaglagte mobiltelefonene er alle tekstmeldinger borte, nitidig slettet.
Ibas tar saken
Noen i politiet har hørt om et firma med utspring i Kongsvinger i Norge, ikke så langt fra svenskegrensa. De vet at Ibas er dyktige på å finne igjen data fra harddisker og andre lagringsmedier, og tar kontakt.
Ibas rekonstruerer 13 av de slettede tekstmeldingene. Det var nok. Denne informasjonen ble avgjørende bevis i den påfølgende rettssaken. Pastor Helge Fossmo dømmes til fengsel på lisvstid. Au pair’en blir funnet skyldig i mordet, men fengsles ikke. Hun er psykisk syk, og dømmes til psykiatrisk behandling.
Her er de mest sentrale tekstmeldingene:
·5 december 2003, kl 4.53: Du behöver fatta ett beslut och inte fundera på om. Finn en säker lösning. Du bevisar din kärlek genom att befria honom. Han behöver det. Hans gräns är snart nådd.
·7 december 2003, kl 21.37: Tiden går och den kan du inte skjuta framför dig. Känn inte och grubbla inte. Fatta ditt beslut och finn en säker lösning. Det är din väg till ro. Liksom hans.
·10 december 2003, kl 9.16: Nu måste du låta honom få besked. Håll honom i övrigt utanför. Men hans gräns är nådd och han behöver visshet. Tiden går. Agera innan det är för sent!
·17 december 2003, kl 1.06: Det första är ditt måste. Det andra kan du göra av kärlek. Det måste ske på något sätt. Din osjälviska hjälp skulle räknas dig tillgodo inför Honom.
·19 december 2003, kl 3.01: Det är inte för sent än. Men snart. Lita inte på andra. Du kan själv göra vad du ska. Riskera inte att han gör det i sin desperation. Du kommer göra det! Du kan!
·31 december 2003, kl 15.21: Det är inte ditt fel, så det finns fortfarande tid. För hans skull och på grund av hans vädjan för dig blir det inte för sent. Ta det till fullbordan nu!
·7 januari 2004, kl 17.03: Hej igen. Tänkte bara säga att om någon härifrån försöker ringa dig i dag, så svara inte. Precis som förra gången. Vi hörs senare. Jag önskar goda nyheter! Kram!
10 januari 2004, kl 4.31: Ja
Ett års abonnement av Teknisk Ukeblad kun 1590 kr!
