Joakim von Braun, 55, är specialiserad på IT-säkerhet och underrättelseverksamhet. Han har arbetat åt Säkerhetspolisen och åt den militära underrättelsetjänsten IB, numera KSI. von Braun är ofta tillfrågad av svenska media vid större IT-säkerhets- och spionhändelser.
von Braun skrattar när han får höra att bombhotarens avsändares IP-adress ägs av polisen i Luleå.
"Går att spåra"
- Man kan göra det mesta och det går även att kapa IP-nummer. Men det går alltid att spåra var ett mejl kommer ifrån, jobba sig bakåt station för station och komma fram till var det ursprungligen kommer ifrån.
Enligt Joakim von Braun är det inga svårigheter för operatörerna att ta fram alla uppgifter om det finns misstanke om brott. Han ser två möjliga förklaringar till bombhotets avsändaradress.
- Det kan vara någon i polishuset eller på annat sätt ordnat tillträde till en dator.
När Joakim von Braun får veta att polisutredarna samlat ihop 35 datorer för att studera de enskilda maskinerna, säger han så här:
- Det låter som man gått längre i spårningen och det låter lite drastiskt. Om man hittat misstänkta datorer så borde det rimligen finnas spår i någon server att bombhotsmeddelandet mottagits från någon av dessa datorer.
Ett virus
- Nu vill man tydligen se vilken dator det är. Det finns alltid spår kvar i datorn efter ett meddelande.
Men det betyder inte att bombhotet skickats inifrån huset.
- Det kan vara en dator som smittats av ett virus, en trojansk häst som kan fjärrstyra datorn utifrån. Det kan också vara ett virus som skickat ett redan förutbestämt meddelande, det som innehöll bombhotet.
Joakim von Braun ger den här bilden av polisens IT-system:
- Polisen har säkert ett säkrare system än de allra flesta andra samhällsinstitutioner, men det finns inget 100-procentigt system. Det finns också många blottor bland användarna.
Och så här säger han om att bombhotet hade polisen som avsändaradress:
"Smutskasta polisen"
- Bombhotet kan vara mera riktat mot polisen än mot er på tidningen, ett sätt att smutskasta polisen.
Loggarna över mejltrafiken mellan den angivna IP-adressen och NSD visar att bombhotaren klockan 08.16 gick in på NSD:s hemsida för nyhetstips.
Klockan 08.39 hade bombhotaren författat sitt meddelande och tryckte på sänd.
Hotet mot NSD:s redaktion kom just efter morgonkaffet. Polisen tog hotet på högsta allvar och Mediehuset utrymdes kl 13.00.
Loggen över trafiken mellan polishuset och NSD visar att intresset för NSD:s rapportering kring bombhotet var stort. Klockan 10.14 lade NSD ut en artikel om hotet på hemsidan, redan klockan 10.15 var det någon från polishuset som läste den.
Enligt NSD:s IT-avdelning är det mycket sannolikt att den IP-adress som angetts är den korrekta eftersom trafiken på nyhetstipssidan på NSD:s hemsida vid det här tillfället var låg.