Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 2. februar 2007.
Otte danskere har gennemført en af verdens højeste tekniske uddannelser i it-sikkerhed. De er landets førende, når det gælder at sikre beviser fra it-kriminalitet.
I den amerikanske tv-serie CSI indsamler specialuddannet politi tekniske beviser ved at sprøjte kemiske stoffer på et gulvtæppe og derefter lyse på det med et specielt infrarødt lys for at se om der er blodpletter.
I it-verdenen hedder den slags folk IT Forensics Analyst.
Kaptajn Kim Guldberg fra Hærens Officersskole er én af de otte danskere, der snart kan smykke sig med titlen GCFA - Giac Certified Forensics Analyst. Han mangler blot at gå op til den afsluttende eksamen.
Certificeringen koster cirka 100.000 kroner at tage i USA. Som fjernundervisning kan man få certifikatet for 30.000 kroner.
Det gjorde Kim Guldberg sammen med en studiegruppe i Danmark bestående af to politifolk, to medarbejdere fra Lundbeck, en fra Bispebjerg Hospital, en selvstændig it-konsulent fra IC Companys A/S.
De fleste virksomheder har følsomme data liggende, som ikke må falde i de forkerte hænder. Og hvis de gør, skal de hurtigt kunne opspores.
Derfor skal virksomhederne have veltrænet personale til at beskytte sig i mod eventuelt uønskede gæster på deres interne intranet eller i deres databaser.
Til daglig arbejder Kim Guldberg med it-sikkerhed hos forsvaret og har igennem sin nye uddannelse lært at bruge de nyeste våben mod blandt andet hackere.
Et af de våben er at lave tidslinier over, hvornår og hvem der gjorde hvad. Akkurat som man kan se, hvornår der er lavet ændringer i et Word-dokument. Tidslinjer og analyser af, hvad der er foregået i andre filer, databaser og intranet med mere, er ekstremt vigtige beviser i en eventuel retssag.
Man kan let komme til at ødelægge beviser, forklarer Kim Guldberg. For eksempel hvis man tilslutter beslaglagt hardware til et Windows program. Windows programmet vil så "mounte" disken, hvilket betyder at programmet kan gå ind og ændre på filer, datoer og andre ting, der netop kan være vitale i forhold til en kommende retssag.
I løbet af uddannelsen lærte de otte it-eksperter også at kopiere harddisken, så de områder på computeren, der ikke består af filer kommer med. Der kan nemlig ligge vigtige spor og bevismateriale i den "usynlige" del af computerens harddisk.
- Derfor starter man kopieringen ved første sektor og får alle 0 og 1 tallerne med, bit for bit, siger han.
I den virkelige verden efterlader forbryderen sig altid spor, selvom han forsøger at slette dem. Det gør it-kriminelle også.
Kim Guldberg forklarer, at det derfor er vigtigt at kunne finde spor i meta-data, selvom forbryderen har forsøgt at slette sine spor der. Meta-data på en fil kan for eksempel være data om, hvornår filen sidst har været åben og i hvor lang tid.
Et andet område, der blev gjort meget ud af under uddannelsen, er at afkode hemmelige beskeder og information. Ved hjælp af små ændringer i pixels på billeder kan en person nemlig hemmeligt sende forretningskritiske beskeder og information.
- Hvis to personer har samme originalbillede, kan det være, at der på et nyt billede er ændret en enkelt farve på for eksempel et ur eller lignende og det kan være et kodesprog og indeholde skjulte data. Det tænker man jo ikke normalt over, og i de fleste tilfælde er det umuligt at se med det blotte øje, forklarer Kim Guldberg.
I virksomheder med forretningshemmeligheder, der er mange penge værd, sikrer it-eksperterne sig, at medarbejdere ikke sender fortrolige ting ud ved hjælp af tilsyneladende uskyldige familiebilleder.
- Almindelig scanning af e-mails vil fange vedhæftede filer med vigtig information, men hvis der er tale om 20-30 familiebilleder er mistanken måske ikke så stor, siger Kim Guldberg.
Selvom Kim Guldberg snart kan smykke sig med en certificering i at sikre it-beviser og har lært en række nye metoder, understreger han, at det altid er en løbende kamp, hvor modparten bliver stadig dygtigere.
- Derfor skal vi også fortsætte med at lære de nyeste ting, siger han.
Sans Instituttet i USA står for uddannelsen og certificeringen.
www.sans.org
www.giac.org
OriginalModTime: 01-02-2007 13:58:34
