Hopp til innhold

Masteravhandling med First Class Honours

Forside av masteravhandling med bilde av forfatter
FIRST CLASS HONOURS: Kurt-Helge Hansen har fått strålende resultater på sin masteravhandling.
Kurt-Helge Hansen sin masteravhandlingen «Blockhashing as a forensic method» er tatt ved University College Dublin innen fagområdet «forensic computing and cyber crime investigation».

Ifølge Kurt-Helge Hansen har masteroppgaven i korte trekk vært å verifisere teknologien bak identifisering av kjent materiale som er delvis overskrevet og basert på et visst antall gjenværende fragmenter er det mulig å konkludere med at et dataobjekt må ha vært på en brukers lagringsenhet på et ukjent tidspunkt.

Identifiseringen går ut på å fragmentere det kjente materialet i små biter og gjennomføre det samme på lagringsenheten som er gjenstand for undersøkelsen, ofte relatert til en maskin tilhørende en siktet i en sak. Identifiseringen er primært basert på sammenligning av digitale signaturer på hvert slikt fragment samt noen tilleggsparametre.

En mengde forsøk har vært gjennomført og teknikken har vært testet på skarp sak som gjelder seksuelle overgrep mot barn i form av bilder og video. Metoden ble fremført i retten på aktuelle sak og vedkommende ble dømt i tingretten. Vedkommende anket men trakk senere anken.

Teknikken er robust nok og er beskrevet i noen vitenskapelige artikler. Det primære med oppgaven har vært å beskrive en metode som innebærer å kvantifisere flere faktorer som kan bidra til å gjøre funnene gyldige som bevis i retten. Dette er det ingen forskning på tidligere.

Metoden har flere faktorer som må tilfredstilles og faktorene som er implisitt i metoden er:

  • Ferdighetsnivået på dataetterforskeren
  • Valg av blokkstørrelse
  • Krav til antall sammenfallende treff
  • Kvaliteten til treffene (om blokkene er i sammenheng)
  • Graden av variasjon i sammenfallende blokker (Entropy)
  • Verifiserbarhet

Konklusjonen har basert seg på funn i meget store datamengder og en database på 20 milliarder blokker har vært benyttet. Undersøkelsen viser at det er relativt liten grad av kollisjoner (falske positiver) i funnene og at disse avtar proposjonalt med blokkstørrelsen. Jo større blokkstørrelse, jo mindre grad av kollisjon. Imidlertid må blokkstørrelsen settes til en maksimal bias i forhold til filsystemet i undersøkt datalager. En har også konkludert med at blokker må ha en viss grad av sammenheng og øket mengde sammenhengende blokker øker bevisverdien.

Graden av entropy i blokkene er et sekundært parameter som bidrar til å styrke/svekke de sammenfallende blokkene som bevis.

I metoden er det beskrevet et mulig scenario for verifisering mellom referansemateriale og materiale som er gjenstand for undersøkelse.

Metoden innebærer krav til analyse som innebærer at undersøkelsen ikke skal foretas av etterforskere uten dyptgående innsikt i de ulike parametrene metoden er basert på.

Hele avhandlingen kan leses i PIA.

Publisert: - Sist oppdatert: |