Advokaten 1
Reportage Digitala bevis Digitala spår allt vikti
gare Smarta telefoner, surfplattor, digitalkameror och navigatorer – datoriserade hjälpmedel som vi i dag knappt kan vara utan. Men vad vi sällan tänker på är att vår datoranvändning lämnar mängder av spår efter sig, spår som kan bli viktiga bevis i rättsprocesser. I IT-samhället blir det nu allt viktigare för advokater att kunna hantera digitala bevis. TEXT ULRIKA ÖSTER FOTO ISTOCKPHOTO, IBAS M. FL. S å länge vi har använt datorer har vi också lämnat digitala spår efter oss. Men kanske var det för tio år sedan, i samband med den uppmärksammade Knutbyrättegången, som jurister och allmänhet för första gången förstod vidden av dessa spår och vad de kan användas till. IT-forensiker på företaget Ibas lyckades då på polisens uppdrag återställa en mängd sms som skickats mellan de båda huvudmisstänkta, meddelanden som kom att utgöra viktiga bevis i rättegången. Michael Nylén är IT-forensiker. Han har tidigare arbetat i många år på Ekobrottsmyndigheten med att få fram digitala bevis. Numera är han konsult på Ibas, och hjälper bland annat advokater att få fram bevis ur telefoner, datorer och annan teknik. – Intresset från advokater för dessa undersökningar tycks öka. De senaste åren har man mer och mer insett att man har nytta av detta i civilrättsliga processer. Jag tror också att allt fler brottmålsadvokater inser att det kan vara bra att få en second opinion när man har något som undersökts av polisen, säger han. en it-forensisk utredning syftar till att få fram och säkra uppgifter som kan vara till hjälp i en rättslig process. Men vad är det då man kan få fram? Mycket ORDLISTA metadata kan översättas med information om data. Mer konkret är det information som sparas om ett dokument och som inte är avsedd för användaren. Det kan handla om när dokumentet upprättats, vilken inloggad användare som upprättat det, hur det sparats, skickats och skrivits ut. tidsstämplar skapas i datorn eller andra elektroniska system av datorns egen tekniska klocka. Tids22 stämplarna är alltså oberoende av den klocka du som användare ställer in och av i vilken tidszon du befinner dig. De flesta tekniska system innehåller mängder av tidsstämplar som ofta är svåra eller omöjliga för vanliga användare att ändra eller kontrollera. webbläsare är program som används för att hämta, tolka och återge material på Internet, t.ex. Internet Explorer, Safari, Chrome och Firefox. mer än vad den vanliga användaren kan tro, förklarar Michael Nylén. – Det vanligaste är att man vill ha Michael Nylén är IT-forensiker på företaget Ibas Laboratories AB. Han har tidigare arbetat på Ekobrottsmyndigheten. fram kommunikation. Om man har skickat något, tagit emot något, gjort någon åtgärd så kan det vara viktig bevisning, säger han. Mycket av vår kommunikation sköts idag elektroniskt, via exempelvis epost och textmeddelanden på telefoner. Användaren kan, om han vill undvika att lämna spår, naturligtvis radera sina meddelanden. Men det innebär långt ifrån alltid att kommunikationen försvinner, konstaterar Michael Nylén. – Bara för att man inte ser något längre så betyder det inte att det inte finns. Det betyder bara att det här materialet har du som användare valt att inte se, säger han. I stället är det, för allt som lagras på något elektroniskt lagringsmedium, helt andra mekanismer än användarens knapptryckning som verkligen tar bort ett material. – I en mejlserver är det administratören som har bestämt när något ska raderas. När det gäller telefoner så handlar det i grunden om hur telefonen är konfigurerad av tillverkaren. Det avgör hur fort information försvinner, förklarar Nylén. En viktig uppgift för IT-forensiker är just att återskapa information som raderats men som ändå finns kvar i någon form på telefonen, i mejlservern, i datorn eller skrivaren. Hur man lyckas är beroende på två saker: dels att utrustningen verkligen har kvar materialet, dels att man kan konvertera informationen och få den läslig igen. Ibland går det över förväntan. Michael Nylén tömde nyligen en telefon och lyckades återskapa 14 000 raderade meddelanden. tidsangivelser kan också vara viktiga bevis i ett rättsligt ärende. Med hjälp av dem kan man många gånger kontrollera en berättelse, och rekonstruera ett förlopp. Och tidsangivelser, eller tidsstämplar, finns det gott om i datorer och telefoner. De flesta av dem ser den vanliga användaren aldrig till, och ännu mindre kan han eller hon manipulera dem. – Tekniker är barnsligt förtjusta i Advokaten Nr 1 • 2014