Såpbubblor i en kaktusodling

I didn't do it!
Nobody saw me!
They can't prove it!
               - Bart Simpson

Bevisning i ett IT-mål, ofta gällande fildelning, är en historia för sig. Editerade skärmdumpar, foton av skärmdumpar, utskrifter av webbsidor, vittnesmål från folk som inte varit med och diverse saker som vore skrattretande om det inte hade varit så tragiskt.

Svenska domstolar godtar i stort sett precis vad som helst som bevisning, för att de inte har nog med grundläggande kunskap om området för att själva bilda sig en uppfattning. De utgår helt enkelt från att den som gjort förundersökningen har gjort ett bra jobb, något som sällan är fallet.

Det mesta av den "bevisning" som läggs fram i dessa mål är lika stark som såpbubblor i ett växthus fullt med kaktusar, den skulle vara väldigt enkel att spräcka.

Det finns två huvudanledningar att folk trots detta blir dömda:
    1. Försvarsadvokaterna är för det mesta inte heller kompetenta nog att ifrågasätta bevisningen, och den tilltalade (Som då oftast är någorlunda tekniskt kunnig) litar, av någon anledning, på att domstolen skall inse hur löjeväckande "bevisningen" är.
    2. När 7-8 poliser stormar in i lägenheten klockan 4 på morgonen brukar medelsvensson(tm) erkänna. Erkänner man så åker man in, så enkelt är det. Även om det du erkänner är något helt annat än det du anklagas för.
Det är ytterst ovanligt att bevisning överhuvudtaget ifrågasätts. Om den ifrågasätts blir det oftast ett frikännande.
Ett rätt talande exempel är ett mål för några år sedan (2006) där en kille åtalades för att ha laddat ner och delat ut filmen "Hip Hip Hora". I förhör frågade polisen honom om han fildelade, vilket han då erkände, fast senare under rättegången nekade han till att ha gjort det han anklagades för. Advokaten halvsov och första instans befann honom skyldig.

I hovrätten hade han en vaken och kompetent försvarare, som bland annat tog upp:
    * Att den dvd-skiva åklagaren viftat med gång efter annan som fysiskt bevis (Här är filmen) aldrig visats för rätten, eller ens testats i en spelare. Faktum var visade det sig att skivan inte var spelbar.
    * Att Polisen aldrig i förhöret frågat om just den film han var anklagad för, bara allmänt frågat om han fildelade för att sedan ta det jakande svaret som ett erkännande, fast man aldrig ens talat om vad det hela gällde. Dock är ju även att skicka ett attachment i ett mail att fildela, så det är klart han sade ja på en sådan fråga.
    * På vilket sätt det säkerställts att klockan på antipiratbyråns dator och ISP:n dhcp-server var samstämmig. Vet man ens vilken tidszon servern använder för sina loggar?
Nu blev det faktiskt det sistnämnda som hovrätten tog fasta på när de då frikände mannen. Men med tanke på att tingsrätten tog så hårt på hans erkännande så vill jag nog än en gång poängtera detta.

Om du erkänner något så är du rökt, oavsett vad du erkänner.
Om du nekar är det åklagaren som har bevisbördan. I teorin skall de ju ha det oavsett, men i realiteten så skiter rätten helt i bevisningen om du har erkänt. (Se bara Thomas Quick )

Bevisningen är oftast skrattretande dålig, men vad hjälper det när den inte ifrågasätts?
Specialåklagare utbildas, men tyvärr är det ingen som utbildar försvarsadvokaterna. Så när polis och åklagare ligger 10 år efter resten av samhället i teknikutvecklingen, så ligger oftast de offentliga försvararna ännu längre efter. Frågan är på vilket sätt detta främjar rättssäkerheten?

Mvh

/J-O

Tags: , ,

För övrigt anser jag att Beatrice Ask bör landsförvisas

Skönt att få rätt

Det här veckan har jag varit på en kurs omkring IT-forensics.
Inriktningen har varit allt kring bevisssäkring, bevisvärdering, vilken typ av elektroniska spår folk lämnar och alla juridiska aspekter omkring detta.

Föreläsare var it-forensiker, säkerhetsexperter, IT-brottsutredare samt jurister/advokater från både åklagarsidan och försvarssidan.

Jag räknar med att skriva en hel liten radda bloggposter inspirerad av det som sades på denna kurs. ;)

I denna post tänkte jag koncentrera mig på en sak som kom fram vid en föreläsning av en säkerhetsexpert och före detta specialutredare hos SÄPO som i grund och botten sågade allt bevisvärde i IT-spår, med tanke på hur enkelt det är att förvanska spår i en dator.

Men det är inte det som denna post kommer att handla om, nej mellan några powerpointbilder stannade han upp och totalsågade e-Legitimationer.

Jag har ju i ett par tidigare bloggposter sågat e-leg av ett par skäl, men den här föreläsaren sågade lösningen på helt andra skäl. Det blev en väldigt givande diskussion på kafferasten efteråt, och det verkade som att en del av de jurister som var där blev rätt chockade när de hörde vår diskussion, eftersom de verkligen utgått från att lösningen var säker.

Så när två stycken olika personer som sysslat med IT-säkerhet sedan 90-talet oberoende av varandra sågade lösningen, med hänvisning till helt olika men fullständigt giltliga skäl kunde man se en viss oro hos övriga deltagare.

Den Jurist som var huvudansvarig för att hålla utbildningen utbrast "Men det är ju oerhört, och så har de mage att lagstifta om att elektroniska signaturer inte får anses vara mindre trovärdiga än en riktig namnteckning"

De två huvudanledningarna till att jag sågar e-legitimation och inte kan tänka mig att skaffa en i nuvarande form är:
    1. En vanlig legitimation innehåller något som är unikt från dig, t.ex. din namnteckning. När det gäller e-legitimation så kommer det unika från banken. Banken utfärdar, banken har certifikaten, du har ingenting. Blir du av med ditt e-leg kan banken utfärda ett nytt, blir du inte av med det kan banken likt förbannat utfärda ett nytt.
    2. Jag anser att id-handlingar skall utfärdas av myndigheter inte privata företag. En bank gör hela tiden riskbedömningar och tar sina beslut gällande säkerhet på kommer vi gå plus eller minus. Hur många procent felaktigheter kan vi ta utan att det får inverkan på vår vinstmarginal. En myndighet har inget vinstintresse, utan har att följa lagstiftning.
Föreläsarens anledningar till att såga e-legitimation och varför han inte kommer att skaffa en.
    1. De har tillverkat en trojan som klarade av att extrahera nycklarna från e-leget, samt pinkod från användare och exportera detta (skicka i mail). Sedan var de in och gjorde ett otillåtet skatteavdrag för "testpersonen" genom att koppla upp sig mot skatteverkets deklarationstjänst. De har vid ett flertal tillfällen demonstrerat och visat på osäkerheten i systemet och bevisat att de kan plocka ut certifikatnycklarna. Skatteverket fortsätter dock med en dåres envishet att hävda att det är omöjligt att få tag på certifikatnycklarna och "lura systemet".
    2. Om det imorgon skulle komma en matematiker och säga att han knäckt RSA faller hela systemet. De hade som förslag redan före systemet började införas att man kunde haft en tre olika certifikat på e-leget, så att man i ett sådant fall skulle kunna revokera en hel algoritm. Säga att från och med idag kör vi inte med RSA utan med XXX. Men genom hela införandet valde man att bortse från alla tekniska råd man fick från expertgruppen.
Att skriva en mer användbar trojan, som t.ex. far runt och samlar in e-legitimationer och kanske vid ett framtida internetbaserat riksdags val röstar på något lämpligt parti vore enligt föreläsaren inte ens svårt.

Jag har ju sett en del remisser kring olika saker och för att komma runt en lagteknisk grej omkring upphandling finns det nu ett förslag att skapa en typ av federering mellan alla utgivare av e-legitimationer så att man kan koppla upp sig mot ett enda ställe för att kontrollera en e-legitimation. Den idén är faktiskt rätt bra, på den nivån. Men när man läser texten närmare så vill man på grund av EU, fri marknad o.s.v. tillåta andra än svenska företag att utfärda e-legitimationer.

Så det vi kan komma att hamna i inom något år, är att privata företag i andra länder kommer att kunna utfärda vad som i praktiken blir en giltig svensk ID-handling, och som våra myndigheter kommer att lita på.

Enligt det juristen sade så får enligt nuvarande lagstiftning en domstol inte anse att en elektronisk signatur är mindre trovärdig än en riktig. D.v.s. har du en e-legitimation och någon annan använder ditt certifikat så är du rökt. Är det ditt certifikat så är det enligt lagen DU som gjort det, oavsett vem som egentligen gjort det. Trots att det är en bank som har originalet och att det för en hackergrupp är tämligen trivialt att stjäla certifikatet från ditt lilla USB-minne.

Så det känns som att den klart bästa lösningen är att aldrig skaffa sig något överhuvudtaget.

Mvh

/J-O

Tags: , ,

För övrigt anser jag att Beatrice Ask bör landsförvisas

RSS 2.0