Dataetterforskningssjef Olav Nysæter i Kongsvinger-selskapet Ibas representerer et raskt voksende fag som ikke har noe godt norsk navn, men som definitivt er nært beslektet med heltene fra CSI.
På engelsk kaller man fagfeltet computer forensics.
Det handler om å samle inn datatekniske beviser i forbindelse med kriminelle handlinger, eller i forbindelse med sivilrettslige tvister. For i dagens elektroniske verden er det ikke nok å analysere blod, spytt og fingeravtrykk. Når politiet søker etter sporene til kriminelle, må de også inkludere elektroniske spor.
Avdekkingen av slike elektroniske spor må foregå etter tilsvarende retningslinjer som for andre beviser for å være brukbare i en eventuell rettssak. En ekspert på computer forensics må derfor også være drillet i prosedyrer og retningslinjer for hvordan bevisene skal behandles.
I følge ordboken er forensics et substantiv som enten er 1) en argumentasjonsøvelse; eller betyr kunsten å argumentere. En bedre definisjon er kanskje bevisførsel.
Datamagikerne fra Kongsvinger
Kjente og profilerte kriminalsaker som Knutby-drapet, Nokas-ranet, Rockness-forliset, er, i all sin tragedie, god PR for Ibas.
Brann, vann, tyver eller mordere - lite kan stoppe datamagikerne fra å lirke fram de mest forlorne data fra en hvilken som helst harddisk.
– De kommer til oss fra hele Europa, sier Olav Nysæter, dataetterforskningssjef i Ibas, ikke uten en viss stolthet.
Popstjerner, topphemmelige forsvarsoffiserer, multinasjonale konglomerater, politietterforskere og feriereisende kommer for å hente verdifulle data ut fra havarerte eller skadete harddisker eller andre lagringsenheter.
Rocknes-forliset, Nokas-ranet og en ødelagt originalinnspilling av Röyksopp er blant merittene selskapet gjerne trekker fram som interessante kunde-case. Høyest troner imidlertid den sensasjonelle Knutby-saken.
Ikke ”rocket science”
Men om kundene er dem evig takknemlige for hjelpen, så er det ingen rocket science de bedriver der oppe ved svenskegrensa.Gjennom årtier har det vært kjent at slettede data kan rekonstrueres fra de fleste elektroniske medier. Den praktiske begrensningen er at de ikke overskrives av nye data. Når du sletter en fil fra PCen, er det eneste som skjer at du angir i en tabell med pekere til filen, at filen er slettet. Dermed vet systemet at det kan overskrive området med nye data. Men det som ennå ikke er overskevet, ligger der som før, og kan pusles sammen ved hjelp av spesielle dataverktøy.
– Alt som utføres på en PC setter spor på harddisken, sier Nysæter. Sporene forsvinner ikke selv om filer slettes, men kan være tilgjengelig i lang tid etterpå. Tilsvarende spor kan finnes på PDA-er, mobiltelefoner og andre elektroniske enheter.
For at databevis skal holde må en være sikker på at informasjonen er fullstendig og korrekt. En kan derfor ikke slå på maskinen og hente ut informasjonen, men må følge spesielle prosedyrer. All aktivitet på maskinen endrer dens status, om det bare er å flytte på musa eller deaktivere skjermspareren.
– I det du starter opp Windows forandrer 260 ulike filer seg, sier Nysæter. – Det samme gjelder andre enheter, Vi skrur derfor aldri på en PC, PDA eller mobiltelefon, men fjerner lagringsenhetene og kopierer dataene. Harddisken må speilkopieres, og all analyse utføres på en kopi.
