Kripos tester automatisk dataspion

En norsk student har utviklet et overvåkingsverktøy som Kripos bruker for å sjekke tips om barneporno. Den digitale politimannen krabber rundt på nettet og henter ned mistenkelige filer og organiserer dem for analyse.

Hovedfagsstudent Thomas Ekdahl fra Institutt for Informatikk ved Universitetet i Oslo har utviklet et overvåkingsverktøy som krabber rundt på nettet og leter opp mistenkelige filer, for så å sende dem tilbake til Kripos for analyse.

- Jeg kan ikke si så mye om det, annet enn at det har vært et prøveprosjekt og at det er endel detaljer som må på plass før vi kan implementere det fullt ut. Dessuten er det jo et verktøy som politiet skal jobbe med, så vi vil jo ikke avsløre all informasjon om det, sier Petter Dyhre i Kripos til digi.no.

Kriminalpolitisentralen, som har ansvaret for etterforskning av barneporno, har testet Ekdahls verktøy siden november i fjor. Prosjektet har tidligere vært omtalt i Teknisk Ukeblad og i torsdagens utgave av Aftenposten, hvor hovedoppgavens eksterne veileder omtaler den digitale politimannen som "svært effektiv".

- Jeg regner med at den første ransakingsordren basert på informasjon fra den digitale politimannen blir utstedt om kort tid, sier Per Myrdal. Myrdal har jobbet i Norsk Regnesentral til i sommer, og vært Ekdahls eksterne veileder i prosjektet.

Ekdahl har programmert alt fra bunnen av i programmeringsspråkene Perl, SQL og PHP, og har gjort verktøyet svært fleksibelt i forhold til å tilpasse seg funksjonalitetskravene fra Kripos.

Spionen består av et rammeverk som kontrollerer en samling crawlere (som krabber ut på nettet og henter ting) og agenter. Det crawles per protokoll, og så sitter det agenter bak og analyserer det som kommer inn.

- Når det kommer inn et tips vil pop-agentene (post office protocol, som brukes til e-post) finne lenken i teksten eller vedlegget og sende crawlerne ut på nettet for å hente ned filene som ligger på den nettadressen. Kripos setter selv opp sine egne innstillinger for hvor 'dypt' på nettstedet crawlerne skal gå, antall filer, størrelse på filer og liknende, sier Thomas Ekdahl til digi.no.

Alt crawlerne henter ned blir lagret sammen med informasjon om maskinen den lå på, stien som crawlerne har brukt for å komme seg til og fra, samt digitale "fingeravtrykk" av de forskjellige filene.

"Fingeravtrykkene" lagres i to forskjellige registre, ett for ord og tekst og ett for bilder. Alt som legges inn i registrene kan sammenliknes ut fra fingeravtrykket, som lages med MD5-modulen som er utviklet av sikkerhetsselskapet RSA.

Ved hjelp av fingeravtrykkene kan verktøyet spore, identifisere og sammenlikne bilder eller ord/fraser, og skaffe en oversikt over hva som ligger hvor, og hvor det ble publisert først. Dermed er verktøyet langt mer sofistikert enn spionroboten som amerikanske myndigheter har satt til å tråle nettet etter finanslureri.
Mer om USAs snuser:
Amerikansk spionrobot skal ta Internett-svindlere

Tysk politi har et program kalt Perkeo som analyserer beslaglagte datamaskiner. Dette benytter seg også av MD5-"fingeravtrykk", og Ekdahl ser for seg at politiet kan samarbeide ved å sammenlikne beslag, ved hjelp av dette systemet.


"Fingeravtrykkene" er imidlertid ikke sofistikerte nok til effektiv analyse av bilder, og vil trenge endel arbeid før sammenlikningen blir nøyaktig.

Kripos sier at det er noen juridiske forhold som må avklares før systemet kan settes i full drift, men at den digitale etterforskeren ser svært nyttig ut.

- Når det gjelder etterforskning i elektroniske medier så er det endel ting som må på plass rent juridisk. Men slik som systemet fungerer i dag er det bare en effektivisering av politiarbeid som ellers ville måtte utføres manuelt, sier Dyhre til digi.no.

Systemet skal være klarert med Datatilsynet i sin nåværende konfigurasjon, men Ekdahl mener det er mange ting som må oppklares før man kan få fullt utbytte av etterforskeren.

Systemet står per i dag ikke fast oppkoblet til nettet, da han mener sikkerheten ikke er god nok ennå. Kripos vil ikke ut med detaljer om oppkobling eller bruk, men etter det digi.no forstår skal de ha lastet ned rundt 800 MB med bilder fra nettet.

Spionen kan kamuflere seg slik at det blir vanskelig å stenge den ute fra serverne sine, og den kan også settes opp for forskjellige tilkoblingsmuligheter, selv om disse funksjonene ikke er implementert ennå.

- Utgangspunktet for prosjektet var bekjempelse av innholdskriminalitet på Internett, og verktøyet er ikke begrenset til å finne barneporno, sier Ekdahl.

I prinsippet kan den digitale etterforskeren finne en hvilken som helst filtype, på et hvilket som helst system med åpen tilkobling til Internett. Teoretisk sett kan den gå inn på 'åpne' maskiner (uten for eksempel passordbeskyttelse) og hente ut hva som helst som ligger der.

Ekdahl lanserer også konseptet Digitale Tollere som et forskningsprosjekt i hovedoppgaven sin. Digitale tollere kan sitte på trafikk-knutepunkter og overvåke trafikken på Internett. Men han understreker at han aldri vil utvikle noe sånt, både av juridiske og etiske hensyn.

Han har avsluttende eksamen i studieretningen Kommunikasjonssystemer i september, og vil deretter ut og kikke etter jobb og finansiering av dette og andre prosjekter, sier han til digi.no.

Til toppen