Bevisets umulige stilling i net-alderen

Jeg er bange for, at hverken det hårdt belastede politi eller domstole er klædt på til at tackle de store udfordringer, der er med bevisets stilling i net-alderen. Næsten alt det, man støttede sig til i ”gamle dage”, er forsvundet – frimærket, stemplet, skrivemaskineskriften, DNA’et for blot at nævne nogle af dem.

Den forfalskede underskrift er nok på vej til også at blive et nostalgisk minde

”Asger Jensby”-underskriften, som var med til at fælde Stein Bagger for bedrag? Den forfalskede underskrift er nok på vej til også at blive et nostalgisk minde i en udvikling, hvor elektroniske underskrifter (NemID) får samme juridiske gyldighed.

Retssikkerheden er kommet under ekstra pres på grund af teknologiernes kompleksitet, hvor spor også kan forfalskes eller sløres, men også på grund af den alvorlige mangel på eksperter på området. Det batter ikke meget, at hver politikreds skulle have fået tilknyttet en it-kyndig, og i forvejen lider politiet jo under egne dybt forældede systemer.

Frit spil for mørke kræfter

Vi vil se alt for mange sager blive henlagt eller ende som ”påstand mod påstand”. Der er ret så frit spil for dem, der skjuler sig bag anonymiseringsservere, dem, der kan hacke sig ind på andres pc og sende mails derfra eller slette data derpå, dem, der placerer aflytningssoftware på konkurrentens eller ex’en pc, dem der kan manipulere bits og bytes. Selv gerningsmanden vil kunne slå ud med armene med et beklagende ”jeg er blevet offer for en hacker”, og have en vis chance for at klare frisag.

I forvejen har politiet meldt pas i næsten alle sager om indbrud i pc’er

I forvejen har politiet meldt pas i næsten alle sager om indbrud i pc’er. Jeg kender i hvert fald adskillige, hvis anmeldelse ikke førte til efterforskning.

Skrækken og afmagten, man oplever, når man frygter at være blevet hacket, har jeg tidligere berettet om, for den indtrængende kan volde ubodelig skade – lige fra at slette data eller offentliggøre fortrolig viden til at låse data som gidsel i pengeafpresning.

Mere Kafka

Problemet med bevisets stilling handler ikke udelukkende om gerningsmænd, for det hænder desværre også, at data mistolkes hos politiet grundet ukyndighed eller sammenfald af tilfældigheder. En dag banker politiet måske på din dør, fordi du – på mistolket grundlag – anses for at være morder eller terroristsympatisør.

Lærerig er således sagen om, hvorledes anklagere ofte fremlægger oplysninger fra mobilmaster, som afgørende beviser for en anklagets færden, uden at fortælle om den store usikkerhed, der er forbundet med masteoplysninger. Tjek gerne dagbladet Informations artikel derom.

Der er dog andre sager op, nye som gamle, som har udløst dette blogindlæg om bevisets stilling i it-alderen. Her lidt om dem, men i fiktionaliseret form.

Ådselsgrippe på spil

For nyligt fik et menneske, der var i alvorlig nød i en sag, hvor myndigheder vendte det døve øre til, en mail med tilbud om hjælp. Det syntes som en gave fra himlen. Afsenderen havde ifølge mailen den uddannelse, de erfaringer og alle de forbindelser, der skulle til for at hjælpe personen, og det hele var pro bono, altså gratis. Afsender var nemlig nået dertil i en lang tilværelse, hvor det eneste vigtige er at hjælpe andre mennesker.

Det blev til et ”ja, tak” fra den udsatte person. Derefter anmodede hjælperen straks om en skriftlig fuldmagt samt et pænt stort fem-cifret beløb som forudsætning for at gå i gang. Penge, der skulle bruges til bl.a. rejser, forlød det.

”Ådselsgrippe” har fået lettere vilkår i netalderen

Da den udsatte person afviste at udstede fuldmagt til en vildt fremmed, der knapt var spor af på nettet, og ligeså værgede sig ved bare at overføre det store beløb, ændrede den frelsende engels tone sig drastisk. De få spor, der var, havde da også tydet på, at en kendt plattenslager var på spil, men inden beslutningen om, hvorvidt der skulle en politianmeldelse til eller ej, dumpede en mail ind om, at ”gerningsmandens” mail var hacket – at han var offer.

”Ådselsgrippe” har fået lettere vilkår i netalderen, og de dukker op i kølvandet på store og små katastrofer, om med tilbud om personlig hjælp eller med ”indsamlinger” til nødstedte. Politiet? Hvor højt op kommer det mon på en presset dagsorden?

Forfalskning af mail

I en helt anden retning er denne type historie, som jeg illustrerer via fiktion. En mand sender en slet skjult mordtrussel til en kreditor, der bliver nervøs, dels fordi han afkræves langt flere penge, end han skylder, dels fordi afsender er kendt for sine særlige, muskuløse forbindelser.

Modtageren anmelder truslen til politiet, der som altid har meget travlt. Afsenders pc bliver derfor først beslaglagt efter nogle måneder. I mellemtiden har afsenderen anmeldt kreditoren for at have forfalsket indhold af en ordinær rykkermail, så den fremstår som en mordtrussel. Forsøgte skyldneren bare at undgå at betale sin gæld ved at bringe debitoren i uføre?

Det kan ende med en henlæggelse af sagen, fordi påstand står mod påstand. Bevisernes stilling – de elektroniske spor – kan måske fortolkes begge veje. Det afhænger af ekspertniveauet hos den, som politiet overlader efterforskningen til (computer forensic-eksperten), og den som forsvareren har brugt. Og måske afhænger det også lidt af menneskelige faktorer, såsom hvem af parterne virker mest troværdig.

Jeg har selv haft et par dygtige it-sikkerhedseksperter til at kigge på, om en mail var forfalsket, og svaret i den sag var, at mailen sandsynligvis ikke var forfalsket, men: ”Ingen kan være helt sikker ud fra det foreliggende”. Det foreliggende var print, ikke en computer, beslaglagt tids nok.

Forbrydelser bag stjålen ID

Der er også alle hændelserne med en stjålen ID og stjålne kreditkort, hvor forbryderen indkøber masser af ting via nettet, og hvor den bestjålne hænger på regningen. I den forbindelse hørte jeg om ældre sag, der vidner om, hvor presset politiet var den gang (og måske stadig?). Der var simpelthen for mange sager vedrørende økonomisk kriminalitet til at politiansatte, med det speciale kunne klare det, så sager blev delt ud til alle typer politifolk, så f.eks. narkobetjenten skulle opklare falske netindkøb.

I den rigtig dyre ende er de seneste måneders bedragerier, hvor finanssektorens Swift-netværk er misbrugt til at lænse banker. Først kendt for at være ramt var en bank i Bangladesh, og stakkels den person, der overførte 81 millioner dollar til skurkene i tiltro til, at han havde fået ordren fra en autoriseret i banken. Senere kom det frem, at Bangladesh-banken ikke var den eneste, hvor nummeret er kørt. Swift selv forklarer, at der er ID-tyveri involveret:

“It said the attackers obtained valid credentials for operators authorized to create and approve SWIFT messages, then submitted fraudulent messages by impersonating those people.”

Historien blot nævnt til skræk og advarsel, så kommer der en underlig anmodning fra bossen, så snak lige med ham inden du adlyder ordre. Er skaden sket, så fortæl straks politiet om Swift-sagen.

Stalking og udspionering

Men 81 millioner dollars væk, foreløbig intet spor. Noget helt andet end gamle dages bankrøverier.

Et andet område, hvor teknologi har givet bedre vilkår for mørke kræfter er stalking og udspionering. Det er blevet vanskeligere at opklare og tage forholdsregler op disse områder.

I den fysiske verden risikerer stalkeren at blive set så meget, at det udløser et tilhold, hvis det f.eks. handler om vold og jalousi. Nu er det stort set frit frem og helt uforstyrret fra skrivebordsstolen, hvis bare krænkeren har lidt snilde, hvad angår de bittesmå videokameraer, og til at få listet GPS-tracking ind på offerets smartphone og få aktiveret mikrofonen, så alt kan høres.

Pc’er ses også fyldt med aflytningssoftware, ligeså er set, at gerningsmanden bare tænder for det videokamera, der er indbygget i computerens skærm. Jo privatlivets fred kan være udfordret, hvilket også fremgår af en artikel om, hvad irske skilsmisseadvokater ser.

Industrispioner nu om dage? Der en pæn sandsynlighed for, at de kan muntre sig hele vejen til banken, hvis ikke virksomheden er vældig godt med på sikkerhedsfronten. Finder virksomheden endelig ud af, at uautoriserede har kigget dybt i data, er spørgsmålet i hvilken grad politiet kan hjælpe med opklaringen, men måske søges hjælp hos Europol, og måske flyves andre eksperter ind.

De kriminelle er flyttet

Kriminaliteten i det ”fysiske” Danmark er som bekendt faldende, men kraftigt stigende i det virtuelle Danmark, og det er intet under, at kriminelle – om i Danmark eller udlandet – flytter så mange aktiviteter over i den elektroniske verden, hvor det er let af skjule sine spor, og hvor de elektroniske penge er lige ved hånden.

Det er heller ikke noget under, at alvorlige trusler mennesker imellem flyttes over i den verden. Ej heller, at tip fra anonyme med skidte motiver florerer flittigere end tidligere, eller at virksomheder og folk, der afskyr kritiske øjne, kan sætte fuld fart i netbåren bagtalelse, uden bagmænd kan identificeres og stilles for retten, og hvor indholdet er næsten umuligt at få fjernet.

Alt det gør, at næsten ingen af os længere kan føle sig helt sikker. Vi kan ikke være sikre på, hvad der sker i ens computer og mobil. På hvad der brygges sammen om en på nettet. På, hvad nogen konstruerer af “beviser” ud fra din færden – om i det virkelige liv eller på de sociale medier. På om vi kan få kyndig hjælp fra politiet, når det behøves, og fair, velinformeret retssag, skulle det nå dertil. Hele landsretssagen vedrørende hacket af CSC, der blandt andet betød læk af politiets registre og cpr-data, blev en klar illustration af, at it-kyndigheden bare ikke er på plads.