IT-forensikern hittar de raderade spåren

Marknaden för it-forensik växer i takt med digitaliseringen. Varje gång vi använder datorer, mobiltelefoner, kameror och andra digitala enheter skapar vi också digitala spår. Utvecklarnas syfte med spåren kan vara allt från att konkret hjälpa den enskilda användaren till att spåra hens aktiviteter för att marknadsföra produkter och tjänster eller utveckla artificiell intelligens. Digitala data har ett närmast oskattbart värde. Men de digitala spåren kan också läggas en person som granskas till last.

Mikael Stathin är it-forensiker på Ahlberg data i Nacka, ett företag som vanligtvis både räddar kraschade hårddiskar och utreder interna oegentligheter åt företag och som har tagit uppdrag för allt från kända artister och sportklubbar till flera olika medier. Det var han som hjälpte Fouad Youcefi på SVT att säkerställa att innehållet på Hunter Bidens dator var vad det påstods vara.

– It-forensik handlar om att hitta, säkerställa och presentera digitala bevis. Det är väldigt brett och kan vara ganska många olika saker. Det jag håller på med är i första hand att kolla igenom lagringsmedier och säkerställa bevis för diverse olika syften.

Det hör till ovanligheterna att journalister hör av sig. När det gäller forensiska uppdrag är det vanligaste att arbetsgivare misstänker anställda för någonting, till exempel att ha tagit med sig information när de har bytt jobb.

Hur var det att undersöka kopian av Hunter Bidens hårddisk?

– Det var speciellt, vi har inte gjort någonting liknande tidigare. Det var en del märkligt innehåll på den där disken. Jag brydde mig ärligt talat inte om innehållet i sig, utan det var mer allt runtomkring. Att kunna säkerställa att det var hans dator.

Hur säker är du på att den var hans och att den inte hade manipulerats?

– Hyfsat säker, 99 procent. Det är ettor och nollor i grunden, men att kunna ändra på den nivån som krävs för att fejka detta, till exempel genom att gå in i varenda en av 115 000 mejlfiler och ändra data om servrar och tidpunkter så att det ser verkligt ut är för mig helt orimligt.

Skulle inte ens hackare kopplade till militär underrättelsetjänst i till exempel Ryssland eller Kina klara det?

– Då det handlar om digitala medier där allt i grunden är ettor och nollor, vilket absolut går att modifiera, så kan det så klart vara så att innehållet har ändrats. Jag bedömer ändå att arbetsinsatsen samt tidsåtgången för att lyckas med detta är högst orimlig.

Mikael Stathin var en av de första som gick Högskolan Dalarnas dåvarande treåriga utbildning för it-forensiker, digitalbrott och e-säkerhet. Arbetsmarknaden var god, men utbildningen finns inte längre kvar i samma form.

– Vi var lite av försökskaniner. Sista terminen hade princip samtliga hoppat av för de hade fått jobb, till exempel hos polisen. Vi bekantade oss med de mest kända verktygen och fick lära oss grunderna.

Så vad kan man hitta som it-forensiker? Mycket mer än vad en rutinerad datoranvändare kan ta reda på genom att bara snoka runt bland filer.

– Datorer sparar jättemycket information dolt, det är lite olika om det är Windows eller Mac och hur de är konfigurerade och inställda. Det allra mesta man hittar som man inte ser med ögonen är sådant som själva operativsystemet sparar. Som vilka de senast öppnade filerna är, vilka usb-enheter som har varit inkopplade. Man kan se när de sattes i första gången och när de drogs ur. En annan klassiker är internethistorik. Många kanske har använt
inkognitoläge, men det finns spår ändå.

Rent teoretiskt kan vem som helst titta i de vanligtvis dolda systemfilerna på en dator, men det räcker sällan för att dra några slutsatser. Man måste veta vilka filer man ska titta i och man måste kunna tolka allt man ser. Enligt Mikael Stathin är det ofta svårtydd information. Han använder speciella program, ofta samma som polisens utredare, som analyserar filerna och kan presentera fynden på ett greppbart sätt. Den som vill ägna sig åt enklare it-forensik som att granska fotons metadata har en lite lättare uppgift eftersom sådant är tillgängligt och går att tolka utan särskild programvara, även om vissa program kan underlätta en analys av stora mängder material.

En viktig fråga när man analyserar digitalt material är om fynden är autentiska. En it-forensiker tittar på flera olika sätt för att säkerställa autenticiteten.

– Teoretiskt är allt ettor och nollor och går att modifiera. Men det finns så många ställen man måste gå in på och göra ändringarna själv för att det ska se äkta ut, så det krävs orimliga kunskaper för att lyckas göra det snyggt. Det märks ganska tydligt om man har ändrat på en specifik grej och samma information finns oförändrad på tio andra ställen. Har man inte ändrat där också syns det att det kan vara ändrat. Där är Biden-disken ett bra exempel, det var mycket som var ändrat på den men själva originalinnehållet gick att härleda till filer som låg där innan datorn lämnades in på service.

Men kan inte klockan ha ställts om för att få filer att se äldre ut?

– Till viss del kan man göra så, men vissa grejer har legat halvt ute på nätet, som mejl och molndokument. Då är det betydligt svårare att ändra datum och få det snyggt. Det är skillnad om det till exempel gäller enstaka bilder, deras metadata är ganska enkla att ändra med gratisprogram. Gäller det en hel enhet krävs väldigt mycket för att man ska komma undan med det.

It-forensiken utvecklas ständigt, inte minst genom att programvarorna måste anpassas för nya versioner av operativsystem och appar så att rätt filer kan läsas av på ett korrekt sätt. En utmaning för it-forensiker är dagens hårda kryptering. Den som gör en återställning av en Iphone eller en Mac har också sopat igen samtliga spår eftersom innehållet krypteras och blir oläsligt utan rätt nyckel. En annan utmaning är enligt Mikael Stathin att flashlagring, som blir allt vanligare, är svårare att analysera än traditionella, mekaniska hårddiskar.

Kan vem som helst börja med it-forensik?

– Det krävs någon form av kompetens. Att kunna tolka all information handlar om erfarenhet, att veta var man ska leta. Att starta en sökning på en dator eller en mobil klarar många med datorkunskap, men att kunna tolka och presentera resultatet kräver lite mer. Det absolut viktigaste är att man skrivskyddar originalet och gör en kopia. Som utredare ska du ju inte kunna gå in och ändra någonting och inte ens ha möjligheten att göra det. Du ska kunna bevisa att du inte har ändrat själv.

Många missar det första steget, kanske med tanken att man bara ska försöka starta en dator och se vad som händer. Men så fort en dator får ström och börjar starta ändras en massa tidsstämplar och andra filer.

– Det är tyvärr väldigt vanligt att folk själva har försökt kolla en del saker på sådant vi få in här. Ibland kan det ställa till det lite, ibland mycket. Vi kopplar in hårddisken i en speciell port där det är fysiskt omöjligt att ändra någonting på det man kopplar in, sedan görs en spegelbild som analyseras.

It-forensik är ett relativt nytt område. Är potentialen underutnyttjad?

– Ja, det tror jag, det är inte alls många företag som håller på med det samtidigt som fler och fler använder digitala enheter på ett eller annat sätt. Vi märker att det är ganska få som har koll på att man ens kan göra en sådan här utredning. De som kontaktar oss har hittat oss via tips.