Kom over denne artikkelen i Digi.no, klikk på bilete og du kan lese alt:

Vedkomande har lagra 10 år med video og bilete, alt frå bryllaupsfeiring til barnedåpar som no kan gå tapt. Årsaka er at Telenor har fått treff på ei fil med same hash-verdi eller sjekksum som ein kjent hash-verdi frå overgrepsmateriale. Eg las gjennom teksten og den vekte minner frå mi tid som digital etterforskar.

Hash-verdi eller sjekksum er eit stort tal som representerer ein verdi frå avansert kalkulasjon på ein datastraum. Ein datastraum kan vere ei fil. Før i tida resulterte dette i ein sum representert på eit tal som var 128 kombinasjonar av 0 og 1. Opp gjennom åra har kalkylene endra seg. No er det vanleg at dei blir representert med 256 eller 512 kombinasjonar av 0 og 1. Større tal = mindre sjanse for at to filer skal skape same hash-verdien og matematisk framstå som identiske.

Vi skal vel 15 år tilbake i tid, då eg var opplæring i eit nytt verktøy for elektronisk etterforsking. Når ein etterforskar digitalt, er det viktig å fjerne det som er f.eks. kjente programfiler. Ein skal ikkje kaste bort tida med å sjå på det som ikkje har noko med saka å gjere.

Dei som kjenner meg veit at eg går djupt på det som interesserer meg. Eg hadde gjort meg kjent med hash-hånteringa i verktøyet, og såg at oversiktene over kjente filer berre var hash-verdiar, utan storleiken på datamengda. På den tida var hash-verdi eit tal som bestod av 160 kombinasjonar av 0 og 1. Foreleseran var hardnakka på at det var godt nok med berre hash-verdien. Eg var meir hardnakka sidan eg såg at det kunne forekomme ein, om enn mikroskopisk, sjanse for at ein hash-verdi for ei fil viktig for mi sak kunne generere same hash-verdi som ein av dei kjente programfilene. Eg såg for meg at eg kunne kome til å gå glipp av eit viktig bevis ved at ei fil vart feilaktig kategorisert som ei kjent programvarefil og halde skjult for meg.

Det var denne delen i artikkelen som vekte desse minna:

Telenor har ikke innsyn i brukernes filer, men kan ved hjelp av indikatorene gjøre søk i kundens filer.

I filarkivet til mannen skal Telenors automatiserte søk ha fått treff på en slik hash-verdi. Filen skal ha ligget der siden 18. juni 2018, og skal ikke ha blitt oppdaget ved tidligere søk.

Utifrå artikkelen tolkar eg det slik at Telenor har sett opp Min Sky slik at ingen mennesker (i ordinær drift) skal ha tilgang til brukarane sine filer. For å kunne sjekke mot Kripos sine hash-verdiar på kjent overgrepsmateriale, må Min Sky automatisk kalkulere hash-verdiar på filene etter kvart som dei vert lasta opp og/eller endra for å kunne samanlikne dei mot Kripos sine verdiar av kjent overgrepsmateriale.

Legg merke til at den aktuelle fila har lege i Min Sky sidan 18 juni 2018 utan å verte flagga, først no vart det treff. Det let meg til å tru at Telenor har motteke oppdaterte hash-verdiar frå Kripos. Telenor sler seg på bringa med at systemet er ufeilbarleg, men har ikkje sett på fila dette gjeld.

Alt utifrå artikkelen peikar mot at ein berre har sjekka hash-verdiar og ikkje noko anna. Ei av brukarens uskuldige filer har generert sama hash-verdi som Kripos har samla. Problemet er at utan at ein veit noko om datamengda som verdiane er kalkulert på, er det etter mi bok eit klassisk eksempel på ein hash-kollisjon mellom to ulike filer, ei uskuldig og ei ulovleg. Ta ein titt på fila, Telenor og verfiser min påstand.

Om du vil lese noko liknande, kan du ta ein titt på Apple CSAM (Child Sexual Abuse Material) dekonstruert.