Transcript Bevis i digitale kopimaskiner

Bevis i digitale kopimaskiner
Av Svein Y. Willassen, dataetterforskningssjef, Ibas AS
Analyse av håndskrift er en tradisjonsrik metode i kriminalteknikken som gjennom historien
har avslørt mang en forbryter. Med dagens digitale teknologi har imidlertid
håndskriftanalysen på mange vis utspilt sin rolle, ettersom langt de fleste dokumenter
produseres på datamaskiner, skrives ut på skrivere og kopieres i kopimaskiner. Som erstatning
har vi fått dataetterforskning, ”computer forensics”, som muliggjør sporing av skrevne
dokumenter på datamaskiner og digitale nettverk.
Inspirert av håndskriftanalyse, foretok Ibas i 2003 flere forsøk på analyse av kopimaskiner for
spor fra dokumenter som har passert dem. Vi ble overveldet over resultatet. Det viser seg at
dagens kopimaskiner i stor grad ”tar vare” på informasjonen som går gjennom dem, og det
uten at brukerne har noen som helst anelse om det.
Digital vs analog
Kopimaskiner bygger på analog eller digital teknologi. Kort forklart er en analog kopimaskin
omtrent som et digert fotoapparat som gjennom et intrikat system av linser avfotograferer
papiret som skal kopieres og trykker en kopi på et annet ark. Slike maskiner foretar ingen
mellomlagring av innholdet i dokumentene. Dagens kopimaskiner er imidlertid i all hovedsak
digitale.
En digital kopimaskin er en datamaskin, som består av en styringsenhet, en skanner, en
laserskriver og et mellomlager. I mange tilfeller inneholder også maskinen moduler for
kommunikasjon med eksterne enheter, slik som nettverkskort og faks. Styringsenheten er en
vanlig datamaskin med prosessor og minne, og drives av et operativsystem som ligger lagret
internt i maskinen. Mellomlageret er et minne for mellomlagring av data som skal skrives ut.
Dette gjelder selvsagt for dokumenter som kopieres, men det kan også være dokumenter som
skrives ut via datanettverket, eller innkommende/utgående faks. Lageret kan være realisert
med forskjellige teknologier, som for eksempel vanlig RAM, Flash-minne eller harddisk.
Størrelsen på lageret varierer på forskjellige kopimaskiner, og vil selvsagt påvirke maskinens
ytelse. Skal man for eksempel lage to kopisett av en bunke dokumenter, må minnet være stort
nok for å lagre hele bunken da man ellers må legge bunken inn to ganger.
Minneteknologi i bruk
Hvilken minneteknologi som er brukt har selvfølgelig stor betydning for mulighetene for å
finne spor av dokumenter. Jo større minne som er brukt, jo lenger ”historikk” vil det være
mulig å hente frem. I tillegg har minnetypene ulik volatilitet. RAM er et volatilt minne, der
alle data forsvinner når strømmen skrus av. Således er det bare dataene siden forrige omstart
av maskinen som er lagret til enhver tid, og disse er meget vanskelig å hente ut ettersom en
ikke kan skru av enheten for å laste dem ut. Flash-minne og harddisk er imidlertid ikkevolatile minnetyper der data kan lagres i lang tid, og kan hentes ut forholdsvis enkelt etter at
enheten er skrudd av.
Hvilken lagringsteknologi som er benyttet i en kopimaskin finner man i dennes
spesifikasjoner. Det er vår erfaring at harddisk benyttes i stadig større grad. Årsaken er at det i
nyere maskiner er nødvendig med lagringskapasitet i Gigabyte-størrelse, noe som lar seg
realisere langt rimeligere med harddisk enn med RAM. De fleste kopimaskiner for bruk på
kontor fra år 2000 eller senere inneholder harddisk.
Konkrete eksperimenter
For å undersøke hva slags historikk man kan finne i kopimaskiner, undersøkte vi flere ulike
kopimaskiner vi hadde tilgjengelig. Maskinene var alle av nyere dato. Undersøkelsen ble
utført ved at kopimaskinen ble skrudd av, demontert og harddisken lokalisert. Denne
undersøkelsen medførte ulik grad av vanskelighet for de forskjellige maskinene, men var ikke
i noe tilfelle så vanskelig at det ikke kunne utføres av personell med erfaring i demontering av
datamaskiner i dataetterforskningsøyemed. Det er imidlertid verdt å merke seg at slike
kopimaskiner ofte har en verdi i hundretusenkronersklassen, og ofte er leaset fra produsenten.
Det kan derfor bli meget problematisk dersom man gjør feil som medfører skade.
Harddiskene som var montert i maskinene var utelukkende standard ATA- eller SCSIharddisker, som var enkle å speilkopiere med vanlige verktøy for bevissikring på
datamaskiner. Dette muliggjør bevissikring fra kopimaskiner i forbindelse med ransaking. Det
vil antagelig være uaktuelt i de fleste tilfeller å beslaglegge kopimaskiner på grunn av deres
størrelse og vanskeligheter med transport. Speilkopiering på stedet representerer således et
greit alternativ.
Tolkning av innholdet representerte imidlertid en langt større utfordring. Kopimaskiner
benytter egne sanntids operativsystemer med spesialskrevne filsystemer, som det i flere
tilfelle ikke finnes tilgjengelig informasjon om. Vi ble derfor i flere tilfeller henvist til
reverse-engineering (omvendt utvikling) av filsystemene, eller flatt søk etter antatte
filformater.
Følgende funn ble gjort:
-
-
Alle de analyserte kopimaskinene som realiserer utskrift via nettverk mellomlagrer
utskriftsfil på harddisk. Formatet er av samme type som ved mellomlagring av utskrift
på nettverksservere. (PCL er et vanlig slikt format)
De fleste maskinene realiserer mellomlagring av kopierte dokumenter på harddisk.
Dette gjelder uansett størrelse på kopijobben. Formatet er som regel dedikerte
sort/hvitt formater, som realiserer trinnvis økning av oppløsningen. (JBIG er et
eksempel på et slikt format)
Det skjer ingen fysisk sletting av dokumenter etter de er skrevet ut. (Data blir liggende
på harddisken til de blir overskrevet av nye data)
Data blir lagret etter flere forskjellige prinsipper. Det klart vanligste er imidlertid
direkte minnebruk med fast start. Etter dette prinsippet settes av en fast plass til hver
side som kopieres, og hver kopijobb starter alltid på begynnelsen av minnet. Bruk av
dette prinsippet medfører at dokumenter på en side alltid overskrives ved neste jobb,
mens de siste sidene av den største bunken som er kopiert alltid kan hentes frem.
Følger
Basert på våre eksperimenter kan en trekke konklusjonen at data lagres i kopimaskiner, og at
disse kan ha betydning som bevis. Analyse av slike er mulig, men hvor enkelt dette er å få til i
praksis vil variere fra maskin til maskin. Vi ser for oss at metoden bør brukes i saker der en i
forbindelse med ransaking leter etter spesielle dokumenter. Eksempler på slike kan være
bedragerier, forfalskninger, underslag, utroskap osv.
En annen følge er at en av sikkerhetshensyn bør være oppmerksom på hva som skjer når
kopimaskiner skiftes ut. Som nevnt er mange maskiner leaset, og kan når som helst byttes av
leverandøren. Informasjonen som er lagret på harddisken vil da følge med, og vil kunne havne
hos neste kunde, som i prinsippet kan være hvem som helst. Særlig offentlige etater bør passe
på dette, ettersom disse kopierer store mengder taushetsbelagte dokumenter.
Konklusjon
Konklusjonen må bli at selv om vi ikke lenger har stor nytte av håndskriftanalysens edle
kunst, er mulighetene for å analysere spor ikke uttømt. Dagens teknologi representerer i de
fleste tilfeller nye muligheter for sporsteder. Kopimaskiner er definitivt ikke noe unntak i så
måte.