• No results found

Diskussion

In document Detektering av misstänkt grooming (Page 68-75)

6   Diskussion  och  Slutsats

6.1   Diskussion

Här förs en diskussion kring resultaten och en reflektion kommer även göras över de problem som denna studie handskades med. Studiens syfte besvaras i slutsatsen. Även förslag på fortsatt arbete ges.

6.1 Diskussion

Vid uppstarten av denna studie var det ganska klart vad målet var, det var att jämföra verktygen Overview och EnCase mot varandra. Vad som var mindre klart var hur vi skulle gå tillväga för att nå målet och lyckas besvara problemställningarna.

En tanke var att först använda oss av EnScript i EnCase och skapa ett skript motsvarande k-means clustering och på så sätt göra sökningar i chattkonversationerna. Men om det skulle göras ett eget skript ansåg vi att studien skulle ta en annan väg. Skriptet måste designas och utvecklas med programutveckling och då började vi tänka om. En annan tanke var då att inte använda EnCase alls, och istället utveckla ett skript i ett annat programmeringsspråk så som Java. Men så småningom bestämdes det slutligen att hålla sig till EnCase och dess inbyggda sökfunktioner. I problemdiskussionen nämnde vi att i och med att valet gjordes att använda inbyggda

sökfunktionerna i EnCase så begränsades även denna studie en hel del.

Planen var från början att själva agera minderåriga på olika svenska chattsidor för att på så sätt samla in chattkonversationer till ett dataset som skulle användas vid experimenten. På det här sättet skulle vi kunna få dessa på svenska och kunna skapa ordlistor utifrån svenska ord istället.

Men tidsramen tillät inte detta, då det skulle ta tid att samla in så mycket data, och dessutom skulle mycket tid läggas på att inte leda de här chattkonversationerna vid kontakt med en förövare. Däremot ville vi fortfarande undersöka problematiken kring grooming och hur vanligt förekommande det är på chattsidor där barn och ungdomar chattar. Därför gjordes ett par tester där vi loggade in med diverse olika namn, till exempel ”Josse13”, ”elinnn11”, ”pillan” med mera.

        58   Det dröjde inte länge innan vi blev kontaktade av andra användare med användarnamn så som

”singelpappa”, ”kille232”, ”killegbg” med mera. När vi blev tillfrågade om vår ålder skrev vi olika åldrar från 11-14 år. Av cirka 40 stycken chattkonversationer var det två personer som drog sig ur och loggade ut från chattkonversationen när vi nämnde vår påhittade ålder. Då skrev de helt enkelt ”du är för ung” eller bara ”hej då”. Utöver dessa två verkade inte åldern vara något som bekymrade de andra chattdeltagarna. De fortsatte istället att ställa frågor så som ”gillar du äldre killar?”, ”hade du velat mysa?” med mera. En hel del frågade även om man istället ville fortsätta konversationen på andra chattsidor, där sajtägarna inte har samarbete med polisen eller övervakning av konversationerna. Några användare skickade även bilder på sina könsdelar.

Våra två första problemställningar handlade om att undersöka till vilken grad verktygen kan identifiera misstänkt grooming i chattkonversationer med hjälp av dess egna metoder. Overview använder sig av metoderna tf-idf och k-means clustering som enligt vår åsikt är avancerade metoder. Att göra en jämförelse med de metoder EnCase använder sig av vid sökning i dokument hade varit intressant, men då det är konfidentiell information fick vi inte fram exakt vilka

metoder verktyget tillämpar. Den informationen om dess metoder som ingår i den här studien är alldeles för knapphändig för att kunna göra en relevant jämförelse av metoderna. Därför blir det svårt att dra någon slutsats om metoderna i sig, men emellertid kan verktygen fortfarande granskas. Valet av verktyget EnCase grundar sig på eget intresse men hade vi valt ett forensiskt verktyg med öppen källkod kunde vi ha redovisat dess metoder mer ingående.

När det gäller huruvida verktygen klarade av att identifiera misstänkt grooming i

chattkonversationer missade Overview ord i chattkonversationen då det förekommer symboler intill ordet. Anledningen är att verktyget endast letar efter hela ord. EnCase däremot kunde detektera det specifika ordet. I vår studie var detta inte av betydelse då ordet för det första bara återfanns en gång och för det andra återfanns det i harmlös diskussion. Men i verkligheten kan många chattkonversationer se ut på detta vis, att symboler ligger i direkt anslutning till orden. Vi menar på att det kan få konsekvenser vid analys av chattloggar om de orden inte visas som träff vid sökningen. Overview tillhandahåller en så kallad fuzzy sökning som kan kringgå detta problem men man måste då på förhand veta vilket ord som den sökningen ska göras på, vilket kan försvåra processen.

        59   Vid uppstarten och insamlande av data hade vi 14 stycken harmfulla chattkonversationer och 6 stycken harmlösa att jobba med. Egentligen fanns det mycket mer material att tillgå på de sidor där vi inhämtade informationen. Vi nämnde i problemdiskussionen att vårt största problem skulle bli insamling av data med tanke på vilken tid det kan ta och i och med att vi skulle skapa ordlistor utifrån dessa chattkonversationer och den tidsramen som vi hade, fick vi begränsa oss till enbart 20 chattkonversationer totalt. Detta kan såklart utökas och på så sätt kanske förbättra ordlistorna ytterligare. Att vår studie använder sig av en mindre mängd data kan vara till nackdel och vi är fullt medvetna om att om undersökningen gjorts på en större mängd kanske resultatet blivit annorlunda.

En betydande observation vid utfört experiment som är värd att nämnas är att EnCase inte kunde göra sökningar i .docx filerna som vi först använde oss av och därför behövdes experimentet göras om. Detta hade vi inte ens tagit med i åtanke som ett eventuellt problem som kunde uppstå.

Vi löste det snabbt genom att spara ner filerna som .txt filer istället och ett nytt fall kunde då skapas i EnCase och således kunde sökningarna genomföras.

På grund av tidsbrist genomfördes de tre experimenten endast en gång var på respektive verktyg, och det kanske hade varit önskvärt att dubbelkolla och köra experimenten en extra gång. Vi kände däremot inget behov av det och om misstanke hade uppstått att något blev fel i den första experimentomgången, hade självklart dessa gjorts om på nytt för att undvika ofullständigt resultat.

Att både Overview och EnCase till lika hög grad kan detektera misstänkt grooming i chattkonversationer, enligt denna studie, visar på att den IT-forensiska teknologin och data mining går hand i hand. Både vid data mining och vid IT-forensiska undersökningar ska stora mängder data bearbetas och det kan vara en anledning till att de är uppbyggda på liknande sätt.

Vår tredje problemställning handlade om att besvara vilket av verktygen som är mest tillämpbar för att framgångsrik detektera grooming i chattkonversationer, och vilka skillnader resultatet uppvisade. För den oinvigde kan programmet EnCase te sig vara väldigt komplicerad vid första anblick, medan Overview upplevs som mer lättförståelig enligt oss. Då vi inte hade någon

        60   praktisk erfarenhet av Overview när experimenten skulle genomföras var vi lite fundersamma på om det skulle ta tid att lära sig programmet. Därför gjordes några test-experiment innan studiens experiment. Det visade sig att Oveviews funktioner och användningssätt inte alls var

komplicerade och vi fick snabbt en förståelse hur verktyget arbetade. EnCase har vi jobbat med tidigare, och därför underlättade det för oss att genomföra de delarna av experimenten som berörde det programmet. För någon som är oerfaren av programmet kan EnCase upplevas som svårt och komplicerat. Overview är som sagt ett data mining-verktyg och programmet arbetade snabbt. Att ladda upp dokument och ordlistor i programmet var smidigt, sökningarna gick mycket fort och presentationen var utformad på ett enkelt men presentativt sätt. Vi blev lite förvånade över att se att Overview tillämpar flera sökfunktioner som återfinns i EnCase, såsom exempelvis GREP-funktionen, sökning på versaler och gemener samt sökning på hela eller delar av ord. Vi testade dessa olika funktioner i båda programmen, men då de inte har relevans för studien har de inte redovisats.

Ett problem vi hade från början var hur vi skulle åskådliggöra jämförelsen av de båda verktygen och hur resultatet skulle presenteras. Vi valde ut ett fåtal relevanta kategorier att undersöka närmare men ingen vidare undersökning om hur olika relevanta dessa kategorier är sinsemellan. I verkligheten är detta inte att föredra eftersom det exempelvis kanske inte spelar roll att EnCase tar lite längre tid på sig att göra sökningarna om det i slutändan visar på en tillförlitlig procedur.

Valet att betygsätta på det viset vi gjorde var för att vi själva inte ville lägga in våra egna åsikter på vilken kategori som väger tyngre än en annan. Trots dessa problem tycker vi att vi lyckats bra med jämförelsen och förhoppningsvis har vi fått med de kategorier som är av störst intresse för användaren.

Att EnCase enligt denna studie visade sig mindre tillämpbart verktyg vid detektering av

grooming i chattkonversationer beror på, enligt oss, att EnCase är ett mer komplext program och därför tar exempelvis dess sökningar längre tid. Detta visar dock inte på att verktyget EnCase inte kan utföra arbetet med just sökningarna. Om syftet är att detektera enstaka ord, och antal

förekomster av ord för att få ett mer statistiskt perspektiv är inte EnCase att föredra enligt oss.

Programmet hittar orden, men är inte anpassat för att redovisa exakta utslag och förekomster av ord. Det ska således inte glömmas bort att i EnCase finns möjligheten att implementera ett eget

        61   skript via EnScript, för att förbättra sökresultaten. En annan funktion som väger till EnCase fördel är programmets dokumentationsmöjligheter. Efter avslutad utredning och sökningar går det att bokmärka det som är av intresse och det som man vill redovisa, för att sedan via

funktionen “Report” få dessa bokmärken automatiskt inlagda i en färdigställd rapport. Denna möjlighet eller något liknande som sammanställer efter att en sökning har gjorts finns inte tillgänglig för Overview. EnCase är anpassat för IT-forensiska undersökningar och detta kunde man se spår av vid de olika sökningarna. Hashsummor, filstorlek, tidsstämplar med mera var information som kunde hittas om filerna. Dessa uppgifter var inte relevanta just för den här uppsatsen och de sökningarna vi gjorde och därför är de exkluderade. Att EnCase arbetar på detta vis gör att det förberedande arbetet tar längre tid än i Overview. Men när ett ärende väl är inlagt i programmet görs sökningarna relativt snabbt. Trots detta arbetar Overview snabbare än EnCase och vår hypotes om programmens arbetstid stämde.

Vid grooming-brott skapar förövaren en falsk identitet och chattar med minderåriga under en tid för att bygga upp en bekantskap som offret känner sig trygg i. Förövarens syfte är att så

småningom utnyttja offret sexuellt. Eftersom grooming-brott idag knappt alls detekteras i tid tyckte vi att det var en intressant uppgift att undersöka om Overview kunde vara till nytta i förebyggandet av sexuell kriminalitet på nätet. Efter genomförd studie anser vi att Overview kan användas i förebyggande syfte om mötet mellan förövare och offer inte har skett ännu. Men då ska detta vara grundat på att man har väl utförda ordlistor att implementera och använda sig av direkt. Till exempel om ansvarig på en webbsida anar suspekta chattkonversationer, ska denna lätt kunna kopiera in en särskild ordlista i Overview, och därmed snabbt kunna göra en sökning.

På så sätt kan de snabbt se om grooming försiggår och vidta åtgärder, och slipper även läsa genom alla dokument.

En intressant aspekt som inte undersöks i denna studie är hur polisen jobbar med grooming idag, och hur de spårar förövarna. I problemdiskussionen nämndes att en svaghet med denna studie är att undersökningen inte gjordes på ”live-data”. Det hade varit mycket intressant att få mer inblick i hur analys på pågående chattdiskussioner görs. Att vi innan studiens början inte hade någon som helst praktisk kunskap om hur man identifierar och detektera grooming tror vi har varit till

nackdel för oss. Efter att vi har läst studien Online Predation: A Linguistic Analysis of Online

        62   Predator Grooming75 skriven av Melissa Wollis fick vi en förståelse om att grooming-förövare arbetar under lång tid med sitt tilltänkta offer och skiftar sitt språkbruk genom ett flertal faser.

Denna studie har varit oss behjälpliga även om det har varit svårt för oss att fullt ut förstå vilka ord och fraser som används och när de används. Vi tycker dock att vi lyckats bra under de förutsättningar vi hade.

Det finns inga tidigare studier som har gjorts som har jämfört Overview och EnCase, och dessutom testat verktygen med två olika ordlistor. Därför är denna uppsats en unik jämförelse mellan de två verktygens metoder. Den tidigare utförda studien Suspicous data mining from chat and email76, skriven av S. Gowri, G.S Anandha Mala och G. Divya, var snarlik vår studie med tanke på att de använde sig av en ordlista för att eftersöka misstänkta konversationer i email och chattloggar. Det är svårt för oss att fullt ut avgöra hur bra deras modell är jämfört med vår studie eftersom de inte fullt ut har presenterat sitt resultat. Men i slutsatsen nämner de att deras modell rensar data från bland annat stoppord och efter det görs sökning. När man ska undersöka stora mängder data är det en fördel om man har ett verktyg som automatiskt rensar data från onödiga ord och symboler. I Overview finns möjligheten att själv välja de ord som inte ska inkluderas i sökningen samt att man kan välja de ord som ska vara av särskilt vikt vid en sökning. Eftersom verktyget Overview har samma egenskaper som den modell de tagit fram i sin studie känns vårt resultat mycket snarlikt deras resultat. De nämner, för vidare studier, att det finns behov av ett system som automatiskt letar efter de eftersökta orden i epost och chattmeddelanden och efter det sparas bara de meddelanden som är av intresse och resten raderas bort från databasen. Vår åsikt är att det låter som en god idé men för att säkerställa att inte fel data rensas behöver systemet ett flertal säkerhetsnivåer.

I problemdiskussionen nämnde vi att vår studie kanske inte skulle komma fram till något nytt och revolutionerande inom området på grund av att vi inte själva utvecklade någon ny metod. Med facit i hand kan vi konstatera att studien inte visar på någon ny teknik. Men studien visar på, enligt vår åsikt, att data mining, IT-forensik och dessutom lingvistik är en intressant kombination                                                                                                                          

75 Wollis, 2011

76 Gowri, Anandha och Divya, 2014

        63   att jobba utifrån. Vår förhoppning är att denna studie ska bidra till tankar om nya arbetsmetoder som kan användas inom till exempel sociala forum där barn och ungdomar surfar. En tanke är att man med en väl bearbetad ordlista snabbt ska kunna göra en sökning genom chattkonversationer för att kunna utesluta om grooming förekommer eller inte. Om en webbsideansvarig får in en anmälan om grooming eller själv upptäcker något som inte verkar stå rätt till, så är det en stor fördel att slippa läsa genom alla konversationer.

Ett utmärkande drag för studien är att vi inte endast håller oss till bitar som av många kan uppfattas som enbart akademiska och tekniska. Vi har även infört en del teori om grooming som brott för att väcka en viss opinionsbildning kring brottet och dess lagstiftning i Sverige. Det verkar även som att grooming inte är ett allmänt känt brott. Det är viktigt att lyfta fram frågan och även att uppmuntra till anmälan om man misstänker att någon utsatts för grooming. Detta har varit en viktig punkt och därför har vi även förlagt en del av studien kring dessa frågor, men även separerat dessa från de delar som berör experimenten.

Med den här studien och jämförelserna som vi har gjort ville vi påvisa vår kapacitet att göra utredningar. Genom inhämtning och raffinering av data som sen granskats och analyserats har vi påvisat vår förmåga att göra den djupare undersökningen som nextgenforensic77 efterfrågade. Det resultat som vi fick fram gällande Overview överensstämde en hel del med resultatet som Ian A.

Elliot kom vi fram till vid sin undersökning av Overview. Det som skiljer våra studier åt är att vi även gör en jämförelse av Overview med ett IT-forensiskt verktyg. Vi tycker vår studie visar på ett framåtskridande i det IT-forensiska området eftersom vi klargör att data mining-verktyget Overview går att använda för att identifiera misstänkt grooming i chattkonversationer och även att Overview är snäppet bättre än EnCase när det gäller tillämpbarheten vid undersökning av chattkonversationer innehållande grooming.

Det har varit mycket intressant att få göra en jämförelse mellan ett text-analys verktyg och ett IT-forensiskt verktyg. Genom att utföra denna studie har vi fått praktisk användning av våra

                                                                                                                         

77 Ian A. Elliott, 2014

 

        64   kunskaper och vi har specifikt fått tillämpa våra kunskaper inom statistiken genom att göra en sammanställning av ord och skapat en frekvensordlista samt utfört test av beroende på resultaten

In document Detektering av misstänkt grooming (Page 68-75)
Download now "Detektering av misstän..."

Outline

Related documents