Logo

Bevisets stilling

Det synes opplest og vedtatt at kilden for lekkasjen av politibildene som viser massemorderen på Utøya rett etter arrestasjonen 22. juli 2011 er Sigurd Klomsæts advokatkontor. Men hvor sikkert er politiets bildebevis?

Bakgrunnen for prosessen mot advokaten er materiale som politiet fredag den 3. februar 2012 utleverte på en CD til bistandsadvokatene i terror-rettsaken. Det var gjort en rekke sikkerhetstiltak for å sikre at uvedkommende ikke skulle få tilgang til disse CDene. Blant annet ble CDene overlevert personlig, innholdet på dem var kryptert og beskyttet med et unikt passord, og dette passordet ble overlevert i en separat prosess. For å spore eventuelle lekkasjer ble et at bildene (Bilde #2 gjengitt under) retusjert ved at den nederste låssylinder på døren bak terroristen ble retusjert bort, og det ble i tillegg laget en kanari-felle i form av en tallkode som var unik for hver enkelt advokat. Denne tallkoden ble så lagt skjult inn i hvert enkelt bilde i form av et såkalt digitalt vannmerke («Image ID»).

Når så bilder som var merket på denne måten dukket opp i diverse nettmedier denne fredagen, sjekket politiet «Image ID» i disse, og fant igjen «21303», som var koden som advokat Klomsæt var tildelt. Ut fra dette sluttet politiet at lekkasjen måtte ha kommet fra Klomsæts advokatkontor.

Saken har siden versert i diverse rettsinstanser, samt advokatbevillingsnemnda. Samtlige ser ut til å legge det samme faktum til grunn, basert på politiets forklaring av framgangsmåten. Her er et utdrag fra bevisvurderingen i lagmannsretten:

Lagmannsretten ser også bort fra den forklaring som er gitt fra advokat Klomsæt om at et slikt iD-merke kan fjernes, og at det kan legges inn en ny iD på bildet. Det vises til politiets redegjørelse om at det vil føre til at bildet blir uskarpt. Det var ikke tilfelle her og lagmannsretten bemerker at dette kan konstateres ved selvsyn ved de fremlagte dokumenter. De bilder som er publisert i pressen er like skarpe som de opprinnelige bildene.

Bildet under er et av de bildene som dukket opp i diverse nettmedier denne fredagen i februar. Dersom man sjekker det for digitale vannmerker, vil man oppdage at det er merket med «21303», altså koden som identifiserer Klomsæt.

d_21303.jpg
Bilde vannmerket med id: «21303». Foto: Politiet..

Under er en variant av det samme bildet. Dette bildet er også vannmerket, men til forskjell fra bildet over er det vannmerket med bilde-id «21304». Skal man legge til grunn det samme resonnement som er benyttet av de instanser som så langt har vurdert bevisene i saken må dette bildet være lekket av en annen bistandsadvokat (dvs. den advokat som er tildelt kode «21304»). For at ingen uskyldig skal komme i søkelyset skynder jeg meg med å opplyse om at koden (vannmerket) er påført bildet av meg.

d_21304.jpg
Bilde vannmerket med id: «21304». Foto: Politiet.

Er bildet mer uskarpt enn originalen? Ikke så langt jeg kan bedømme. Jeg stusser derfor over at lagmannsretten uten videre aksepterer politiets påstand om dette, uten å få utsagnet vurdert av en utenforstående instans. Jeg stusser også over at politiet ser ut til å feilinformere retten på dette punkt.

Poenget mitt er selvsagt at hvem som helst med en smule datakompetanse kan produsere slike vannmerkede bilder, og påføre dem nøyaktig den kode de måtte ønske.

For meg fortoner hele prosedyren med produksjon med av unike CD-er som personlig ble overlevert de ulike kontorene, hemmelige passord, og sikring mot at de fysiske CDene ikke kom uvedkommende i hende som ganske uvesentlig for bevisvurderingen. Så lenge politiet ikke har tatt de nødvendige forholdsregler for å knytte de lekkede bildene til en unik produsent (creator), er det umulig å vite hvor de lekkede bildene kommer fra. Med andre ord, de lekkede bildene trenger ikke stamme fra denne topphemmelige CDen i det hele tatt. De kan ha blitt produsert og distribuert av andre.

Så lenge man benytter demo-versjonen av Digimarc blir produsenten alltid identifisert med tallkoden «10101». I noen visningsprogrammer vises denne tallkoden direkte, i andre programmer (som i det som er benyttet til å illustrere denne artikkelen), vises teksten «Digimarc Demo».

For å etterprøve det jeg hevder ovenfor, trenger man en forholdsvis ny versjon av Photoshop. Velger man stien FilterDigimarcRead watermark… får man fram et panel som det under. Den unike koden som er preget i bildet framgår av posten «Image ID», og viser det den koden som jeg la inn, altså «21304».

d_21304a_wm.png
Slik vises vannmerket «21304» i Photoshop, laget med Digimarc Demo.

Problemet med politiets framgangsmåte for å merke bildene er altså at det er umulig å spore hvor bildene kommer fra. Enhver som har PhotoShop har automatisk Digimarc Demo, og kan lage slike vannmerkede bilder.

Så hva burde politiet ha gjort? Vel, noe som er ganske åpenbart er at politiet burde ha merket bildene på en slik måte at ikke bare mottaker kunne identifiseres, men også produsenten. Denne funksjonen er dessverre ikke tilgjengelig i den gratis demoversjonen av programmet som politiet valgte å benytte seg av, men den finnes i den profesjonelle versjonen (som det koster USD 49 pr. år å bruke).

Panelet under viser hvordan identitetssjekk av bilder vannmerket med ved bruk av den profesjonelle utgaven av Digimarc arter seg. Forskjellen er feltet Digimarc ID, der det står «115763». Dette er en unik kode som, ved oppslag i Digimarcs database (via knappen «Web Lookup») identifiserer meg (dvs. mitt selskap Hannemyr Nye Medier AS) som produsent (creator) av det merkede bildet. I motsetning til feltet Image ID kan ikke produsent­feltet endres av den som produserer merket.

d_21304b_wm.png
Digimarc Professional idenfiserer både produsent «115763» og mottager «21304».

Hadde politiet tatt seg råd til å benytte den profesjonelle utgaven, hadde det vært en tydeligere kobling mellom bildene produsert av politiet for den hemmelige CDen, og bildene som ble lekket til mediene. I og med at politiet nøyde seg med å benytte et gratisprogram som ikke identifiserer produsenten, er det i ettertid vanskelig å vite noe sikkert om hvor de lekkede bildene stammer fra.

I tillegg burde politiet ha benyttet seg av en annen framgangsmåte for å produsere de unike kodene som ble knyttet til hver ennkelt advokat. Politet valgte et system der et fast prefiks («213» i eksemplene over) identifiserer politimannen som har lagt inn vannmerket, og deretter et tosifret løpenummer («01», «02», «03», osv.) for hver av advokatene. Denne måten å identifisere produsent på ligner på bruken av feltet Digimarc ID i den profesjonelle versjonen, men har den svakheten at hvem som helst (ikke bare politimannen som er tildelt prefiks «213») kan legge inn dette som prefiks.

Dette systemet er dessuten forholdsvis enkelt å gjennomskue for en utenforstående som ønsker å fabrikere bevis. Hadde politiet benyttet tilfeldig genererte tallkoder, og feltet Digimarc ID til å identifisere produsent, hadde man eliminert begge disse mulige feilkildene.

Bilder

Tre bilder ble merket av politiet. Disse er gjengitt under.

triptyc.png

Tabellen under viser når ulike nettmedier først publiserte hvert av bildene. I kolonnen «medium» er det også lenker til originaloppslagene. De tre bildekolonnene viser dimensjonene (i piksel) som ble benyttet når bildene ble publisert. Et tall i tabellen «Noter» viser hvilken Digimarc «Image ID» bildene var utstyrt med (slik dette fortoner seg pr. 21. september 2012). Så vidt jeg vet var dette også situasjonen i februar 2012, bortsett fra for ABCnyheter, som først publiserte bilder med vannmerke, men fjernet disse senere (etter at polities framgangsmåte var blitt kjent).

PublisertMediumBilde #1Bilde #2Bilde #3Noter
2012-02-03 16:45NRK325x366325x366-21303
2012-02-03 17:23Dagbladet978x582320x506-21303
2012-02-03 17:33VG834x598260x554-21303
2012-02-03 17:38ABCnyheter309x384300x439-21303
2012-02-03 18:02Aftenposten-380x570-Ingen ID
2012-02-03 18:03TV2680x383-21303
2012-02-03 18:47Adressa380x286380x310-Ingen ID
2012-02-03 19:44Aftenbladet380x508--Ingen ID
2012-02-04 12:58Aftenposten--780x43821303
2012-05-25 08:30NRK-246x329-uretusjert

Når det gjelder den versjonen av Bilde #2 som ble publisert av NRK 25. mai 2012, så er dette bildet både umerket og uretusjert. Det stammer derfor neppe fra det materialet som ble distribuert til bistandsadvokatene 3. februar 2012, Men er etter alt å dømme lekket på et senere tidspunkt fra en person i politiet med tilgang til originalbildet.

Kjennelse i saken

Oppdatering: 2014-02-12:
Klomsæt ble torsdag 7. mars 2012 frikjent ved enstemmig dom i Oslo tingrett. Saken ble anket, og den 12. februar 2014 ble han av Borgarting Lagmannsrett kjent skylding for grov uforstand i tjenesten (Straffeloven § 325 nr. 1).

Comments

Bra!

Der fikk jeg svar på alle spørsmålene mine: Var alle utgavene av bildet vannmerket? Ja. Var det vanskelig å fake en ID? Nei. I tillegg formoder jeg at vannmerkingen var ukjent for mottakerne. Jeg trodde at politiet visste bedre enn dette.

Likevel synes jeg journalistene misbruker funnene dine. Det er teknisk mulig at det er en annen enn Klomsæt som har lekket bildene, ergo er han uskyldig. Jaja…

PS. Taggingen av bildene er illustrative, men ikke illustrerende. Foreslår at du tar dem vekk, jeg trodde en stund at det var tag-en som ble kalt vannmerke.

God rapport

Utvilsomt en interessant sak…
Der er et par ting jeg lurer på her:

1)
I din tabell for oversikt av bildene, betyr "Ingen ID" at
a) vannmerket er fjernet,
b)bildet har ikke hatt vannmerke
c) bildet kan ha hatt vannmerke, men er eventuelt fjernet?
(m.a.o. kunne du detektere hvorvidt bildet var originalt, uten noen tidligere vannmerking)

2)
Var selve CDen kryptert eller var det kun PDF-filen(e) som krevde passord?

3)
Jeg ser du gjorde forsøk med Digimarc.
Vet du om demo-versjonen gjør aksess mot nettstedet (digimarc.com e.l.) når du nytter den?
En god del software gjør så (for å søke etter oppgraderinger, registrere bruken, osv.)
Eller sagt med andre ord; kan du nytte denne uten at du har nettforbindelse?

En tankevekkende sak, når en ser hvordan elektronisk data kan bli brukt (eller misbrukt).

God rapport du har her :-)

@Britt,
bildene som ble publisert av Aftenposten, Adressa og Aftenbladet faller i din kategori a). Det er altså snakk om bilder som var utstyrt med vannmerke, men dette ble fjernet av noen før bildene ble publisert på nett. Eneste bilde helt uten vannmerke jeg er kjent med er det som ble publisert av NRK 25. mai 2012.

Jeg har ikke hatt tilgang til CDen, så detaljene mht. hvordan den var kryptografisk beskyttet vet jeg ikke. Stein Møllerhaug har studert CDen og kan gi svar på det du spør om.

Digimarc kan benyttes uavhengig av om man har nettforbindelse eller ikke.

En porsjon Barium
For å ta det siste først:
Det umerkede og uretusjerte bilde #2 publisert 25. mai...
NRK kan jo rett og slett ha spurt - og FÅTT det bildet av politiet?
For på det tidspunktet, i slutten av mai, hadde jo merkingen ingen hensikt lenger og bildet var allerede publisert i en rekke medier. Inkludert NRK. De la jo ut det selvsamme bildet i er bedre oppløsning den 3. februar... NRK hadde altså fotoet allerede. Så at dette bildet ble:

"etter alt å dømme lekket på et senere tidspunkt fra en person i politiet med tilgang til originalbildet."

Tja, det er vel å dra konspirasjonen litt langt....
Jeg tviler i alle fall på at bilde #2 er "dobbeltlekket".

Og når vi er inne på "dobbeltlekking":

Det å forstå at koden 21303 består av et perfiks og et løpenummer fordrer kjennskap til innholdet på to eller flere CD-er, eller hele operasjonen...
Den fredagen må noen virkelig ha stått på for å gjennomføre tidenes skittkasting mot en viss advokat.

Du skriver at de lekkede bildene ikke trenger å "stamme fra denne topphemmelige CDen i det hele tatt. De kan ha blitt produsert og distribuert av andre."
Og det er jo riktig. Men koblingen opp mot vannmerket er det ikke hvem som helst som kunne utført. For det må jo nødvendigvis ha skjedd senere i behandlingen av bildene. Et annet poeng er retusjeringen, for bildene ble jo garantert lekket etter at den var utført.

Også interessant å merke seg at Aftenposten først publiserer et bilde uten vannmerke, for så neste dag å publisere et bilde MED vannmerke.
-Tipper vaktistene vil vise at det var ulike folk på jobb fredag kveld og lørdag formiddag... ;-)
Men i alle fall EN av de ansvarlige for billedbehandling/publisering i Aftenposten, kjente til "vannmerker". Det gjorde jo ingen i noen av de andre mediene. Eller, de brydde seg ikke.

Mulig at vannmerkene var amatørmessige. Men retusjeringen var god.
Og politiets ide for å spore lekkasje var særdeles god.

Så har det jo også kommet frem at gjeldende advokatkontor hadde mildt sagt dårlige rutiner for håndtering av mottatt materiale.

Det blir spennende å følge denne saken videre.
Og enda mer etter din grundige gjennomgang!
TAKK for lærerik lesning.

@Rune,
når det gjelder NRKs bruk av bilde #2 den 25. mai, så er det faktisk “dobbeltlekket”.

Saken gikk for retten i uke 5, 2013. Jeg var til stede da akkurat dette bildet og publiseringen i mai ble drøftet av retten. Siri Kristiansen (fra regjeringsadvokatens kontor) opplyste at bildet ikke var utlevert NRK fra politiet, men at den uretusjerte versjonen hadde blitt gitt til bistandsadvokatene (men ikke Klomsæt, som på dette tidspunkt var tilbakekalt) i mars 2013. Jeg er derfor enig i at det ikke nødvendigvis er politiet som har lekket dette til NRK, og har korrigert teksten min på dette punktet.

Når det gjelder de to øverste bildene vil jeg si det er en markant forskjell hva gjelder skarphet. Dette kommer særlig godt frem hvis du zoomer inn på feks munnvik, politi-logoen, mellomrommet mellom panelene i veggen, ID-kort på brystet, sømmene i klærne og håndjernene på venstra arm.

Som Rune skriver er strukturen bak nummeret 21303 bygget på en slik måte at du bør ha kjennskap til dette, eller flere unike bilder, for å kunne trekke en sikker konklusjon om at det ikke er tilfeldige tall.

At politiet skulle ha 213 folk som er datakyndige nok til å legge på Digimarc virker i utgangspunktet ganske usannsynelig da de fortsatt ikke har tilgang til Internett ;-)

Hvis jeg skal tro på det som står i media i denne saken, er det én til tre personer i politiet som har sittet med disse vannmerkingene. Noen artikler sier til og med at øvrige politifolk ikke var klar over dette prosjektet, og at det kun var én person som gjorde dette på eget initiativ.

Uavhengig av hvem som har visst hva innad i politiet, lurer jeg på følgende:
Når de "produserer" vannmerkede bilder i Digimarc/Photoshop, og deretter brenner bildene på CD'er, er det ikke da naturlig at det ligger en kopi av det vannmerkede bildet på PC'en hvor vannmerkingen er gjort? Bildet blir jo trolig liggende i en temp-mappe, i tillegg til at det kanskje oppbevares for senere verifisering med sha-1/md5...

Når bildet i et slikt tilfelle ligger både på en CD, og på en PC, er det vel ikke gitt hvem som har lekket bildene?

Forutsatt at politiet har rutiner på å slette sine egne kopier på PC'ene, og bare har en liste over hvem som er tildelt hvilket vannmerke: Kan man garantere at enkeltpersoner i politiet har holdt orden på 171 ulike bilder, CD'er og konvolutter?

@TH,
under rettsaken er det slått fast at kopier av samtlige 171 "sett" med dokumenter som ble produsert for de 171 bistandsadvokatene finnes som kopi på en PC som tilhører den politimannen som var ansvarlig for denne kanarifellen.

Når det gjelder spørsmålet om bildene er lekket til pressen fra ett av disse settene fra politiets PC har dette også vært tema i rettsaken.