Snoperparadis stengt for de fleste

Vogon har oppgradert sin programvare for etterforskere, men antakelig får du ikke kjøpe den.

Vogon er den ledende britiske leverandøren av programvare for dataetterforskning. Norske Ibas inngikk i november 2000 avtale om å kjøpe Vogon, men vraket avtalen fire måneder seinere. For to år siden etablerte Vogon en egen avdeling i Norge, og for ett år siden fikk man vite at Økokrim testet selskapets «Forensic Software».

    Les også:

I dag, når man spør Økokrim hva slags inntrykk de har av Vogon-programvaren, er svaret «ingen kommentar», og andre mulige kunder er like ordknappe.

Vogons etterforskningsprogramvare selges fortrinnsvis i tilknytning til spesielt konstruerte arbeidsstasjoner og annet apparatur, men kan også leveres som eget produkt. Prisen er det heller ingen som vil kommentere, men man kan anta at en lisens kommer på et sted mellom 50.000 og 100.000 kroner.

– Pakken selges modulvis, sier Thor Hestnes som håndterer pressekontakten for den norske avdelingen. – Den mest komplette utgaven selges bare til politi, tollmyndigheter og tilsvarende myndigheter. Private kan kjøpe deler av pakken. Det vurderes fra tilfelle til tilfelle.

Offisielt materiale fra Vogon går ut på at programvaren «brukes av politi, myndigheter og andre virksomheter som har behov for profesjonell sikring og analyse av elektroniske spor». Den nyeste utgaven som ble kunngjort seint i fjor høst og som nå er tilgjengelig – i begrenset grad – i Norge, har nye funksjoner for og speile disker og andre lagringsmedier, samt søk, prosessering og analyse av data.

Grovt sett innebærer dataetterforskning to atskilte prosesser. For det første må man ta svært nøyaktige kopier – «speiling» – av lagringsenhetene som kan inneholde spor eller bevis. For det andre trenger man verktøy for å finne det man er ute etter. Disse operasjonene må gjennomføres etter strikte regler, slik at man kan være absolutt sikker på at avdekkede bevis stammer fra det opprinnelige materialet, og ikke kan ha dukket opp i løpet av selve speilingen og analysen.

Vogon-programvaren kan bearbeide enkeltdisker, RAID-disker, sikkerhetskopier på bånd, CD-er, DVD-er og alle typer minnebrikker. Speilkopiene som tas er så nøyaktige at de skal kunne avsløre også slettede og overskrevne data. Den kan speiles til to forskjellige enheter samtidig, slik at man får både en original og en kopi for å arbeide med søk og analyse. Også svært store disklagre lar seg speile.

Søkeredskapene farer også gjennom slettede filer, slettede partisjoner og dødplass, og lar seg ikke stoppe av verken høynivåformatering eller korrupte filsystemer. Egne verktøy er lagt til for å håndtere for eksempel kyrillisk og arabisk skrift.

Alt dette oppfattes som innhold, som søk- og analyseredskapene lagrer i en egen database. Indekseringsverktøy akselererer søk etter bestemte strenger og datatyper som telefonnummer og bankkoter. Er man ute etter en bestemt type innhold, skal det være fort gjort å identifisere filer som ikke er av interesse. Skreddersydde databaser kan opprettes for blant annet musikk og bilder.

Fra databasene henter man rapporter for nærmere granskning. Rapporter kan tas ut i html-format og leveres med grunnlagsinformasjonen på CD eller DVD til advokater eller andre etterforskere. Disse vil kunne lese materialet etter samme prinsipp som websider, og trenger ikke spesielle kunnskaper om dataetterforskning.

Vogon leverer stasjonære og bærbare arbeidsstasjoner for både speiling og analyse. Disse arbeidsstasjonene har et eget grensesnitt mot spesialisert apparatur som forenkler arbeidet med å speile forskjellige typer disker. Bildet til høyre viser en mobil enhet for speiling.

Blant spesialapparaturet er en «Password Cracking POD» som brukes til å knekke passordbeskyttelsen på disker på bærbare PC-er.

Denne passordknekkeren er for øvrig en av de enhetene som forbeholdes myndighetene. Den er i stand til å avdekke passordet som er brukt for å kryptere en harddisk, og fjerne krypteringen slik at disken kan speiles og analyseres på vanlig måte. Når disken er speilet krypteres den igjen med samme passord, slik at brukeren ikke er i stand til å oppdage at noen har vært og kopiert.

Vi kan forestille oss hvordan alt dette får fart i etterforskningen av for eksempel slettede, krypterte og ukrypterte e-post og dokumentlagre hos Tine, men siden Økokrim sier «ingen kommentar» kan vi, som nevnt, ikke vite det.

Til toppen