I sidste uge kom det frem, at Rigspolitiets Nationale IT-center i jagten på den tidligere spindoktor Lars Sønderskovs private e-mailadresse hos Google Gmail først efter et anonymt tip for nylig kom på at lede efter mailkonti, hvor bogstavet ø i Sønderskov var erstattet af det internationale oe.
Men det er faktisk relativt nemt at finde ud af, hvilke Gmail-konti en medarbejder har brugt fra en firma-pc.
Hvis altså ikke medarbejderen har gjort noget for at sløre brugen af kontoen.
Det fortæller seniorsikkerhedskonsulent Thomas Wong fra sikkerhedsfirmaet Fort Consult.
"Det vil tage 10 minutter, med mindre du har gjort noget specifikt for at undgå det," siger Thomas Wong.
"Hvis du ikke aktivt har været inde og slette tingene på din pc, så ligger der cookies og den slags. Det betyder ikke, at jeg vil kunne se dit password, men jeg kan i hvert fald se, at du har en konto," siger Thomas Wong.
Imidlertid er det ikke svært for en medarbejder at slette disse informationer fra en arbejdscomputer, fortæller Thomas Wong.
"Hvis det er blevet aktivt sløret, så er det andre ting, man skal ind og trække på. Logfiler på pc'en eller andre steder i firmaet. Så skal vi i gang med en lidt større mølle," siger Thomas Wong.
Få oplysninger gør eftersøgning sværere
Det kan være næsten umuligt at finde en mailadresse.
En e-mailadresse behøver jo ikke som i tilfældet med spindoktoren at have relation til det rigtige navn, hvor mailadressen efter et tip i sidste måned ledte auditørerne på sporet af Gmail-kontoen med oe i navnet Sønderskov.
"Selvfølgelig kan man godt få så lidt viden, at det er helt umuligt at finde ud af. Der vil selvfølgelig være nogle muligheder, hvis man kan gennemse den maskine, som eventuelle mails er blevet sendt fra," siger Thomas Wong.
Hvilke mails er tilgået, hvilke e-mailkonti er der blevet sendt til fra en eller anden bestemt organisation eller firma.
Herefter skal de fundne konti sorteres, så man forsker videre i dem som ikke umiddelbart kan identificeres.
Sådan finder it-specialisterne mailen
Når it-specialister skal lede efter en mail, som eksempelvis den lækkede arabiske oversættelse af jægerbogen fra Forsvaret, får de at vide, hvad de skal lede efter.
Det sker for at undgå at bruge alt for lang tid på at lede efter en nål i en høstak.
Det er også et spørgsmål om ressourcer.
"Hvis det ikke bliver serveret på et sølvfad er det ofte et ressource- og et kompetencespørgsmål," siger Thomas Wong.
I Jægerbogssagen har Politiets Nationale it-efterforsningscenter gennemgået 22 computere fra henholdsvis Forsvarskommandoen og Forsvarsministeriet.
"Man er nødt til at vide, hvad man leder efter, og måske indkredse, at det vi leder efter eksempelvis er alle billeder på en pc," siger Thomas Wong.
Leder ikke for specifikt
På samme måde har man formentlig gjort i Jægerbogssagen for at finde ud af, hvem der har sendt en mail med en arabisk oversættelse af jægerbogen til dagabladet B.T.
"De har måske sagt: Find ud af, hvilke mailadresser der har været tilgået fra den her pc, eller hvem den her pc har sendt mails til. Derefter må man jo gennemgå mailadresserne for at se, om de mailadresser matcher den person vi leder efter, " siger Thomas Wong.
Ifølge senioranalytikeren er denne tilgang den mest benyttede fremgangsmåde. Med forskellige metoder og teknikker generer den digitale efterforsker en liste over alle mailadresser, hvor man efterfølgende kan filtrere en hel del fra ved verificere dem.
Den tilbageværende gruppe af mailadresser gennemgås herefter ved at verificere, om de kan tilhøre den person sagen handler om.
Computerworld har spurgt Rigspolitiets Nationale IT-efterforskningscenter (NITEC) efter en kommentar, men de vil ikke udtale sig mens retssagen verserer.
I stedet henviser man til Forsvarets Auditørkorps, men heller ikke her vil man kommentere sagen.
Der bliver afsagt dom i jægersagen på fredag den 10. september.
Ud over Lars Sønderskov er også Forsvarets tidligere it-direktør, kommandør Jesper Britze, på anklagebænken. Begge nægter sig skyldige.