ICO wiki - User contributions [en]

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-13T05:45:44Z

Mkangur: /* Arvutikuritegevuse ja kriminalistika areng */

[[Category:ITSPEA 2016 kaugõpe]]
Autorid: Mari-Liis Oldja, Margit Kangur, Reilika Saks, Gregor Luukas

=Eessõna=
Tänapäeval on raske ette kujutada kuritegu, millel poleks digitaalset mõõdet. Erinevaid infotehnoloogilisi vahendeid võib leida iga inimese töökohast, kodust ja taskust. Iga arvutis, nutitelefonis või võrgus tehtud liigutus jätab endast maha jälje, olgu selleks siis arvuti IP-aadress, võrgus sooritatud infootsingu tulemus, salvestatud fail või mõni muu esmapilgul silmatorkamatuks jääda võiv märk, mis võib osutuda õlekõrreks kuriteo lahendamisel. Digitaalsete jälgede avastamine ja uurimine eeldab laialdasi teadmisi nii kriminalistikast, erinevatest uurimismeetoditest, kasutusel olevatest tööriistadest kui ka infotehnoloogiast üldisemalt.

=Arvutikuritegevuse ja kriminalistika areng=
Andmekaitse ja infoturbe leksikon defineerib arvutikriminalistikat kui arvutites ja digitaalsetel andmekandjatel olevate kohtukõlblike asitõendite avastamise ja uurimisega tegelevat kriminalistikaharu <ref>Andmekaitse ja infoturbe leksikon. http://akit.cyber.ee/term/492-arvutikriminalistika</ref>.

Kuigi teiste kriminalistikaharudega võrreldes peetakse arvutikriminalistikat suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuriteod iseenesest sugugi uus, vaid tänapäevale iseloomulik nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul hakati arvuti väärkasutuse juhtumeid dokumenteerima praktiliselt nende kasutuselevõtmise hetkest alates <ref>Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf</ref>. 1960-ndatel aastatel IT-töötajate ebaeetilist ja seadusevastast arvutikasutamist uurinud Stanfordi uurimisinstituudi teadlane Donn Parker tõdes: „''kui inimesed sisenesid arvutuskeskusesse, siis jätsid nad eetika ukse taha''“ <ref name="Bem">Bem, D., Feld, F., Huebner, E., Bem, O. (2008). Computer Forensics – Past, Present and Future. Journal of Information Science and Technology, JIST 5(3) 2008, lk 43-59. https://pdfs.semanticscholar.org/491f/9bf892071f5fc9773de1c9abc2df691391cd.pdf</ref>.

Arvutikuritegude hüppeline kasv sai alguse 1980-ndatel aastatel ühes personaalarvutite laiema levikuga ning viis selleni, et arvutikuriteod kuulutati eraldiseisvaks kuriteoliigiks. Nagu iga kuritegu, vajas ka arvutikuritegu kohtumenetluse läbiviimiseks usaldusväärset tõendusmaterjali, mis pani omakorda aluse arvutikriminalistika kui iseseisva kriminalistikaharu tekkele. 1990-ndateks aastateks olid kõik tehnoloogiliselt arenenud riigid arvutikuritegevuse olemusest ja võimalikest riskidest teadlikumaks saanud ning arvutikuritegude uurimiseks ja süülisuse tuvastamiseks hakati koostama täpsemaid protseduurireegleid. Selleks ajaks oli mitmel pool loodud ka spetsiaalseid arvutikuritegevusele keskendunud teaduslikke uurimiskeskusi ning tarkvaratootjad hakkasid omalt poolt pakkuma arvutikuritegude tuvastamiseks sobilikke tööriistu.<ref name="Bem"></ref>

Tänaseks on arvuti- või laiemas mõistes küberkuritegevusest saanud kõige kiiremini kasvav kuriteoliik maailmas. Möödunud aastal Suurbritannia riikliku kuritegevuse ameti (NCA) poolt avaldatud raportist selgub, et Suurbritannias ületab kübervahenditega seotud kuritegude arv juba kõik teised kuritegude liigid. Kübervahendite kaasabil toime pandud kuriteod nagu näiteks pettused, ebaseaduslik narkootikumide ostmine või interneti vahendusel laste seksuaalne ärakasutamine moodustas Suurbritannias 2015. aastal 36% kuritegudest. Kübervahenditele toetuvad kuriteod nagu näiteks pahavara levitamine, delikaatsete isikuandmete või ärisaladuste varastamine ja DDoS rünnakud aga 17% kõikidest kuritegudest.<ref name="NCA">National Crime Agency. (07.07.2016). Cyber Crime Assessment 2016. http://www.nationalcrimeagency.gov.uk/publications/709-cyber-crime-assessment-2016/file</ref>

Tõenäoliselt on arvutikuritegevus siiski veel rohkem levinud, kui numbrite põhjal järeldada võib, sest suurem osa intsidentidest jääb ametlikult registreerimata. Nii näiteks leidis Suurbritannias riikliku statistikaameti hinnangul 2015. aastal aset 2,46 miljonit küberintsidenti, mille tagajärjel kannatas 2,11 miljonit isikut, samas kui ametivõime teavitati vaid 16 349 kübervahenditele toetuvast ning umbes 700 000 kübervahendite kaasabil toime pandud intsidendist<ref name="NCA"></ref>. Ka Eesti keskkriminaalpolitsei küberkuritegude büroo juht tunnistab, et küberkuritegevusega seostub tihti ohvrimentaliteet. Inimene tunneb piinlikkust, et just tema või näiteks tema asutus kuriteo ohvriks langes ega taha juhtunust avalikult kõnelda.<ref>Lõugas, H. (27.11.2016). Mida tähendab Eestis küberkuritegevusega võitlemine? Loomingulisust, põnevust ja kohanemist. https://geenius.ee/uudis/mida-tahendab-eestis-kuberkuritegevusega-voitlemine-loomingulisust-ponevust-ja-kohanemist</ref>.

Üha agressiivsemaks ja tehniliselt võimekamaks muutuv arvutikuritegevus esitab kriminalistidele kahtlemata järjest suuremaid väljakutseid.

=Digitõendite kogumise protsess ning põhimeetodid=

Tänu indekseerimisele ja filtreerimisele, mis tagavad kiire juurdepääsu asjakohastele tõenditele, on kaasustes kasutatavate andmete analüüsiks kuluv aeg märkimisväärselt kahanenud. Kuid efektiivne juurdlus kohtuekspertiisis tähendab seda, et keskendutakse väga detailselt iga juurdluse kui arengu osasse vältimaks vigu, mis võivad kahjustada tugeva kaasuse sündi. Tänases kohtupraktikas panevad kaitsjad üha enam rõhku tõendite kõlblikkuse annulleerimisele, viidates vigadele, mida on tehtud tõendeid kogudes, talletades jms. Seetõttu ei saa ka arvutikriminalistikas läbi sõrmede vaadata just digitaalsete tõendite hankimise protsessidest. Kohtuekspertiisi digitaalsete tõendite juurdlus kätkeb endas põhiliselt nelja üksteisele järgnevat protsessi, milleks on ettevalmistus, omandamine/säilitamine, analüüs ja aruandlus/presenteerimine.

'''Ettevalmistus'''

Kohtuekspertiisi spetsialisti jaoks on väga tähtis olla ettevalmistatud eesolevaks juurdluseks ning silmas peaks pidama järgmisi aspekte:
 •enne tõendite koguma hakkamist, tuleb sätestada digijuurdluse üldprotsess;
 •väljaõpetatud väli- ja laborimeeskonnad peavad omama järgmist:
 •tehniline väljaõpe: vajalikud oskused ja teadlikkus, kuidas kasutada arvutikriminalistika vahendeid;
 •protseduuriline väljaõpe: vajalik konseptsioon parimatest tavadest, kordadest, töövoogudest (''workflow'') viimaks läbi digijuurdlust;
 •adekvaatne riist- ja tarkvara.<ref name="Carb">Carbone, F. (2014) Computer Forensics with FTK. Packt Publishing </ref>

'''Omandamine/säilitamine'''

Omandamist ning säilitamist loetakse kõige kriitilisemateks sammudeks digitaalsete tõendite kogumise protsessis, kuna eksimustele kehtib omandamise ajal nulltolerants. Põhiline printsiip arvutikriminalistikas on digitõendite rikkumatuse säilitamine.

Omandamine saavutatakse järgnevate vahendite kasutamisel:
 •kirjutamisblokk (''write blocker'') ehk seade, mis deaktiveerib redigreerimise võimalused vältimaks juhuslikke vigu omandamisel;
 •duplikaator (''forensic duplicator'') ehk seade, mis kopeerib kõvaketta sisu;
 •buudiketas ehk flopiketas või CD-ROM, mis sisaldab operatsioonisüsteemi põhiosi ja selle käivitamiseks vajalikke abifaile;
 •kaughaldus ehk spetsiaalne tarkvara seadmete kaugdiagnostikaks üle võrgu.<ref name="Carb"> </ref>

Näide Eesti kohtupraktikast, kus tõendusmaterjal kuulutati ebasobivaks:

2010. aastal jälgis Eesti avalikkus suure huviga maadevahetuse protsessi. Kohtumenetluse üheks oluliseks asitõendiks olid ühe kohtualuse arvuti kõvakettalt leitud dokumendid. Uurijad tõid tõendusmaterjalina kohtusse kõvaketta koopia, ent kui kohtualuse advokaat tegi ettepaneku kontrollida koopia digitaalset sõrmejälge ehk räsi (''hash''), siis selgus, et hash võti oli vahepeal muutunud. Kuna menetlejate tehtud vigade tõttu ei olnud tõendite autentsus ega puutumatus enam garanteeritud, siis tegi kohtualuse advokaat kohtule taotluse arvuti kõvakettalt leitud dokumente mitte avaldada.<ref>Eesti Ekspress. (18.05.2010) http://ekspress.delfi.ee/kuum/advokaadid-blokeerisid-kanguri-arvutist-leitud-dokumentide-avaldamise?id=31116149 </ref>

'''Analüüs'''

Analüüs on juurdluse selline faas, mis omab enim tehnilisi aspekte. Mõned näiteid nendest:
 •vajaduspärane tehniline teadmine operatsioonisüsteemist, failisüsteemist, arvutivõrgust ja aplikatsioonidest;
 •spetsiaalselt arendatud tarkvara on vajalik;
 •oskus luua filtreid ning otsida tõendeid arvuti operatsioonisüsteemi sündmustelogidest.<ref name="Carb"> </ref>

'''Aruandlus/presenteerimine'''

Pärast tulemuste saamist ning kokkuvõtete tegemist juurdluses, on vaja teostada järgmised sammud:
 •kohandada aruandluse keel konkreetsele sihtgrupile – kasutada tehnilist keelt tehnilise meeskonna tarbeks ja formaalset ning sobivat keelekasutust tuleks esitleda advokaatidele, kohtunikele jt;
 •hoolitseda, et aruanded oleksid selged, kokkuvõtvad ning arvamuste vabad;
 •tagada aruandlus erinevates failiformaatides nagu PDF, HTML, DOC jne.<ref name="Carb"> </ref>

'''Digitaalsete tõendite omandamise põhilised meetodid'''

'''Koopiate tegemine'''

Kindlustamaks kogutud andmete kõlblikkus, koostatakse tõendusmaterjalist täpseid koopiaid (''forensic images''), tuntud kui bitivoog (''bit stream''). See tagab andmete eelanalüüsi, informatsiooni otsingu ja hävimälust (''volatile memory'') andmete kogumise (nt RAM). Samuti loob see võimaluse mõista digitõendite kogumise protsessi, mis on üks kõige missioonikriitilisemaid faktoreid. On oluline mõista, et andmete omandamine võib olla võimalik mitte ainult kõvaketta ruumis, vaid ka teiste seadmete mälumahus. Mõningad näited -
 •flopikettad;
 •kõvakettad;
 •USB või PC-kaardid;
 •ZIP-kettad ja lintmäluseadmed;

optiline meedium:
 •CD-d;
 •CD-R-id ja CD-RW-d;
 •DVD-d;

alternatiivne meedium:
 •MP3 mängijad;
 •tahvelarvutid;
 •nutitelefonid;
 •videomängud, televiisor jne.

Bitivoog duplikeerib andmete kogumahu välistades juhusliku andmete muutmise võimalikkuse originaal-andmekandjal. Tõendusmaterjali täpne koopia on identne originaaliga, mis hõlmab ka andmekandja tühja ruumi või mitte andmetega täidetud mälumahtu. Samuti on võimalik kustutatud andmete taastamine. Kohtuekspertiisiline duplikeerimine lubab pidada kogu juurdlusprotsessi koopial, säilitades andmete originaalsuse esialgsel andmekandjal kasutamaks seda kohtukaasustes. Hilisem analüüs saab juba toimuda spetsiaalsel kohtuekspertiisi tarkvara platvormil, mis lubab andmete detailsemat uurimist ning saadud informatsioonist lõppraporti koostamist. <ref name="Carb"> </ref>

'''Operatsioonisüsteemi logide uurimine'''

Enamik spetsiaalseid kohtuekspertiisi tarkvara platvorme pakuvad võimalust vaadata andmeid operatsioonisüsteemide registritest detailsemalt, kuid suudavad anda ka ülevaatlikumat pilti kui näiteks Windowsis regedit. Vastupidiselt traditsioonilistest OSi registriredaktoritest suudavad spetsiaalselt kohtuekspertiisiks välja töötatud tarkvaraprogrammid visualiseerida kogupilti kõikidest operatsioonisüsteemidest. Samuti tagatakse kasutajale ligipääs registri poolt kaitstud andmetele, mis sisaldab endas paroole, kasutajanimesid, sisselogimiskordi, viimast sisselogimisaega, parooli muutmisi ja muud säärast kasutajaspetsiifilist infot. Enamasti on küll vajalik tunda failisüsteemi iseärasusi, et efektiivselt tööriistaga töötada. <ref name="Carb"> </ref>

=Andmete peitmine ja otsimine=
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

=Ekspertiis ja kohtupraktika=

==Eesti IT-ekspertiisi praktika==

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

==Eesti kohtupraktika==

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi. Kokku registreeriti 2016. aastal selliseid süütegusid 608. Seejuures üldine kuritegevuse tase langes 11% võrra. <ref name="J2017">Justiitsministeerium (2017) Kuritegevus Eestis 2016. http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf</ref> Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 https://www.riigiteataja.ee/akt/184411?leiaKehtiv</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses. <ref name="J2017"></ref>

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü. <ref name="J2017"></ref> Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud. <ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu. <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716</ref> Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²). Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137). <ref name="J2017"></ref> Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%). 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni. <ref name="J2017"></ref>

=Viited=

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-13T05:43:55Z

Mkangur: /* Digitõendite kogumise protsess ning põhimeetodid */

[[Category:ITSPEA 2016 kaugõpe]]
Autorid: Mari-Liis Oldja, Margit Kangur, Reilika Saks, Gregor Luukas

=Eessõna=
Tänapäeval on raske ette kujutada kuritegu, millel poleks digitaalset mõõdet. Erinevaid infotehnoloogilisi vahendeid võib leida iga inimese töökohast, kodust ja taskust. Iga arvutis, nutitelefonis või võrgus tehtud liigutus jätab endast maha jälje, olgu selleks siis arvuti IP-aadress, võrgus sooritatud infootsingu tulemus, salvestatud fail või mõni muu esmapilgul silmatorkamatuks jääda võiv märk, mis võib osutuda õlekõrreks kuriteo lahendamisel. Digitaalsete jälgede avastamine ja uurimine eeldab laialdasi teadmisi nii kriminalistikast, erinevatest uurimismeetoditest, kasutusel olevatest tööriistadest kui ka infotehnoloogiast üldisemalt.

=Arvutikuritegevuse ja kriminalistika areng=
Andmekaitse ja infoturbe leksikon defineerib arvutikriminalistikat kui arvutites ja digitaalsetel andmekandjatel olevate kohtukõlblike asitõendite avastamise ja uurimisega tegelevat kriminalistikaharu <ref>Andmekaitse ja infoturbe leksikon. http://akit.cyber.ee/term/492-arvutikriminalistika</ref>.

Kuigi teiste kriminalistikaharudega võrreldes peetakse arvutikriminalistikat suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuriteod iseenesest sugugi uus, vaid tänapäevale iseloomulik nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul hakati arvuti väärkasutuse juhtumeid dokumenteerima praktiliselt nende kasutuselevõtmise hetkest alates <ref>Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf</ref>. 1960-ndatel aastatel IT-töötajate ebaeetilist ja seadusevastast arvutikasutamist uurinud Stanfordi uurimisinstituudi teadlane Donn Parker tõdes: „''kui inimesed sisenesid arvutuskeskusesse, siis jätsid nad eetika ukse taha''“ <ref name="Bem">Bem, D., Feld, F., Huebner, E., Bem, O. (2008). Computer Forensics – Past, Present and Future. Journal of Information Science and Technology, JIST 5(3) 2008, lk 43-59. https://pdfs.semanticscholar.org/491f/9bf892071f5fc9773de1c9abc2df691391cd.pdf</ref>.

Arvutikuritegude hüppeline kasv sai alguse 1980-ndatel aastatel ühes personaalarvutite laiema levikuga ning viis selleni, et arvutikuriteod kuulutati eraldiseisvaks kuriteoliigiks. Nagu iga kuritegu, vajas ka arvutikuritegu kohtumenetluse läbiviimiseks usaldusväärset tõendusmaterjali, mis pani omakorda aluse arvutikriminalistika kui iseseisva kriminalistikaharu tekkele. 1990-ndateks aastateks olid kõik tehnoloogiliselt arenenud riigid arvutikuritegevuse olemusest ja võimalikest riskidest teadlikumaks saanud ning arvutikuritegude uurimiseks ja süülisuse tuvastamiseks hakati koostama täpsemaid protseduurireegleid. Selleks ajaks oli mitmel pool loodud spetsiaalseid arvutikuritegevusele keskendunud teaduslikke uurimiskeskusi ning ka tarkvaratootjad hakkasid omalt poolt pakkuma arvutikuritegude tuvastamiseks sobilikke tööriistu.<ref name="Bem"></ref>

Tänaseks on arvuti- või laiemas mõistes küberkuritegevusest saanud kõige kiiremini kasvav kuriteoliik maailmas. Möödunud aastal Suurbritannia riikliku kuritegevuse ameti (NCA) poolt avaldatud raportist selgub, et Suurbritannias ületab kübervahenditega seotud kuritegude arv juba kõik teised kuritegude liigid. Kübervahendite kaasabil toime pandud kuriteod nagu näiteks pettused, ebaseaduslik narkootikumide ostmine või interneti vahendusel laste seksuaalne ärakasutamine moodustas Suurbritannias 2015. aastal 36% kuritegudest. Kübervahenditele toetuvad kuriteod nagu näiteks pahavara levitamine, delikaatsete isikuandmete või ärisaladuste varastamine ja DDoS rünnakud aga 17% kõikidest kuritegudest.<ref name="NCA">National Crime Agency. (07.07.2016). Cyber Crime Assessment 2016. http://www.nationalcrimeagency.gov.uk/publications/709-cyber-crime-assessment-2016/file</ref>

Tõenäoliselt on arvutikuritegevus siiski veel rohkem levinud, kui numbrite põhjal järeldada võib, sest suurem osa intsidentidest jääb ametlikult registreerimata. Nii näiteks leidis Suurbritannias riikliku statistikaameti hinnangul 2015. aastal aset 2,46 miljonit küberintsidenti, mille tagajärjel kannatas 2,11 miljonit isikut, samas kui ametivõime teavitati vaid 16 349 kübervahenditele toetuvast ning umbes 700 000 kübervahendite kaasabil toime pandud intsidendist<ref name="NCA"></ref>. Ka Eesti keskkriminaalpolitsei küberkuritegude büroo juht tunnistab, et küberkuritegevusega seostub tihti ohvrimentaliteet. Inimene tunneb piinlikkust, et just tema või näiteks tema asutus kuriteo ohvriks langes ega taha juhtunust avalikult kõnelda.<ref>Lõugas, H. (27.11.2016). Mida tähendab Eestis küberkuritegevusega võitlemine? Loomingulisust, põnevust ja kohanemist. https://geenius.ee/uudis/mida-tahendab-eestis-kuberkuritegevusega-voitlemine-loomingulisust-ponevust-ja-kohanemist</ref>.

Üha agressiivsemaks ja tehniliselt võimekamaks muutuv arvutikuritegevus esitab kriminalistidele kahtlemata järjest suuremaid väljakutseid.

=Digitõendite kogumise protsess ning põhimeetodid=

Tänu indekseerimisele ja filtreerimisele, mis tagavad kiire juurdepääsu asjakohastele tõenditele, on kaasustes kasutatavate andmete analüüsiks kuluv aeg märkimisväärselt kahanenud. Kuid efektiivne juurdlus kohtuekspertiisis tähendab seda, et keskendutakse väga detailselt iga juurdluse kui arengu osasse vältimaks vigu, mis võivad kahjustada tugeva kaasuse sündi. Tänases kohtupraktikas panevad kaitsjad üha enam rõhku tõendite kõlblikkuse annulleerimisele, viidates vigadele, mida on tehtud tõendeid kogudes, talletades jms. Seetõttu ei saa ka arvutikriminalistikas läbi sõrmede vaadata just digitaalsete tõendite hankimise protsessidest. Kohtuekspertiisi digitaalsete tõendite juurdlus kätkeb endas põhiliselt nelja üksteisele järgnevat protsessi, milleks on ettevalmistus, omandamine/säilitamine, analüüs ja aruandlus/presenteerimine.

'''Ettevalmistus'''

Kohtuekspertiisi spetsialisti jaoks on väga tähtis olla ettevalmistatud eesolevaks juurdluseks ning silmas peaks pidama järgmisi aspekte:
 •enne tõendite koguma hakkamist, tuleb sätestada digijuurdluse üldprotsess;
 •väljaõpetatud väli- ja laborimeeskonnad peavad omama järgmist:
 •tehniline väljaõpe: vajalikud oskused ja teadlikkus, kuidas kasutada arvutikriminalistika vahendeid;
 •protseduuriline väljaõpe: vajalik konseptsioon parimatest tavadest, kordadest, töövoogudest (''workflow'') viimaks läbi digijuurdlust;
 •adekvaatne riist- ja tarkvara.<ref name="Carb">Carbone, F. (2014) Computer Forensics with FTK. Packt Publishing </ref>

'''Omandamine/säilitamine'''

Omandamist ning säilitamist loetakse kõige kriitilisemateks sammudeks digitaalsete tõendite kogumise protsessis, kuna eksimustele kehtib omandamise ajal nulltolerants. Põhiline printsiip arvutikriminalistikas on digitõendite rikkumatuse säilitamine.

Omandamine saavutatakse järgnevate vahendite kasutamisel:
 •kirjutamisblokk (''write blocker'') ehk seade, mis deaktiveerib redigreerimise võimalused vältimaks juhuslikke vigu omandamisel;
 •duplikaator (''forensic duplicator'') ehk seade, mis kopeerib kõvaketta sisu;
 •buudiketas ehk flopiketas või CD-ROM, mis sisaldab operatsioonisüsteemi põhiosi ja selle käivitamiseks vajalikke abifaile;
 •kaughaldus ehk spetsiaalne tarkvara seadmete kaugdiagnostikaks üle võrgu.<ref name="Carb"> </ref>

Näide Eesti kohtupraktikast, kus tõendusmaterjal kuulutati ebasobivaks:

2010. aastal jälgis Eesti avalikkus suure huviga maadevahetuse protsessi. Kohtumenetluse üheks oluliseks asitõendiks olid ühe kohtualuse arvuti kõvakettalt leitud dokumendid. Uurijad tõid tõendusmaterjalina kohtusse kõvaketta koopia, ent kui kohtualuse advokaat tegi ettepaneku kontrollida koopia digitaalset sõrmejälge ehk räsi (''hash''), siis selgus, et hash võti oli vahepeal muutunud. Kuna menetlejate tehtud vigade tõttu ei olnud tõendite autentsus ega puutumatus enam garanteeritud, siis tegi kohtualuse advokaat kohtule taotluse arvuti kõvakettalt leitud dokumente mitte avaldada.<ref>Eesti Ekspress. (18.05.2010) http://ekspress.delfi.ee/kuum/advokaadid-blokeerisid-kanguri-arvutist-leitud-dokumentide-avaldamise?id=31116149 </ref>

'''Analüüs'''

Analüüs on juurdluse selline faas, mis omab enim tehnilisi aspekte. Mõned näiteid nendest:
 •vajaduspärane tehniline teadmine operatsioonisüsteemist, failisüsteemist, arvutivõrgust ja aplikatsioonidest;
 •spetsiaalselt arendatud tarkvara on vajalik;
 •oskus luua filtreid ning otsida tõendeid arvuti operatsioonisüsteemi sündmustelogidest.<ref name="Carb"> </ref>

'''Aruandlus/presenteerimine'''

Pärast tulemuste saamist ning kokkuvõtete tegemist juurdluses, on vaja teostada järgmised sammud:
 •kohandada aruandluse keel konkreetsele sihtgrupile – kasutada tehnilist keelt tehnilise meeskonna tarbeks ja formaalset ning sobivat keelekasutust tuleks esitleda advokaatidele, kohtunikele jt;
 •hoolitseda, et aruanded oleksid selged, kokkuvõtvad ning arvamuste vabad;
 •tagada aruandlus erinevates failiformaatides nagu PDF, HTML, DOC jne.<ref name="Carb"> </ref>

'''Digitaalsete tõendite omandamise põhilised meetodid'''

'''Koopiate tegemine'''

Kindlustamaks kogutud andmete kõlblikkus, koostatakse tõendusmaterjalist täpseid koopiaid (''forensic images''), tuntud kui bitivoog (''bit stream''). See tagab andmete eelanalüüsi, informatsiooni otsingu ja hävimälust (''volatile memory'') andmete kogumise (nt RAM). Samuti loob see võimaluse mõista digitõendite kogumise protsessi, mis on üks kõige missioonikriitilisemaid faktoreid. On oluline mõista, et andmete omandamine võib olla võimalik mitte ainult kõvaketta ruumis, vaid ka teiste seadmete mälumahus. Mõningad näited -
 •flopikettad;
 •kõvakettad;
 •USB või PC-kaardid;
 •ZIP-kettad ja lintmäluseadmed;

optiline meedium:
 •CD-d;
 •CD-R-id ja CD-RW-d;
 •DVD-d;

alternatiivne meedium:
 •MP3 mängijad;
 •tahvelarvutid;
 •nutitelefonid;
 •videomängud, televiisor jne.

Bitivoog duplikeerib andmete kogumahu välistades juhusliku andmete muutmise võimalikkuse originaal-andmekandjal. Tõendusmaterjali täpne koopia on identne originaaliga, mis hõlmab ka andmekandja tühja ruumi või mitte andmetega täidetud mälumahtu. Samuti on võimalik kustutatud andmete taastamine. Kohtuekspertiisiline duplikeerimine lubab pidada kogu juurdlusprotsessi koopial, säilitades andmete originaalsuse esialgsel andmekandjal kasutamaks seda kohtukaasustes. Hilisem analüüs saab juba toimuda spetsiaalsel kohtuekspertiisi tarkvara platvormil, mis lubab andmete detailsemat uurimist ning saadud informatsioonist lõppraporti koostamist. <ref name="Carb"> </ref>

'''Operatsioonisüsteemi logide uurimine'''

Enamik spetsiaalseid kohtuekspertiisi tarkvara platvorme pakuvad võimalust vaadata andmeid operatsioonisüsteemide registritest detailsemalt, kuid suudavad anda ka ülevaatlikumat pilti kui näiteks Windowsis regedit. Vastupidiselt traditsioonilistest OSi registriredaktoritest suudavad spetsiaalselt kohtuekspertiisiks välja töötatud tarkvaraprogrammid visualiseerida kogupilti kõikidest operatsioonisüsteemidest. Samuti tagatakse kasutajale ligipääs registri poolt kaitstud andmetele, mis sisaldab endas paroole, kasutajanimesid, sisselogimiskordi, viimast sisselogimisaega, parooli muutmisi ja muud säärast kasutajaspetsiifilist infot. Enamasti on küll vajalik tunda failisüsteemi iseärasusi, et efektiivselt tööriistaga töötada. <ref name="Carb"> </ref>

=Andmete peitmine ja otsimine=
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

=Ekspertiis ja kohtupraktika=

==Eesti IT-ekspertiisi praktika==

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

==Eesti kohtupraktika==

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi. Kokku registreeriti 2016. aastal selliseid süütegusid 608. Seejuures üldine kuritegevuse tase langes 11% võrra. <ref name="J2017">Justiitsministeerium (2017) Kuritegevus Eestis 2016. http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf</ref> Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 https://www.riigiteataja.ee/akt/184411?leiaKehtiv</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses. <ref name="J2017"></ref>

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü. <ref name="J2017"></ref> Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud. <ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu. <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716</ref> Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²). Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137). <ref name="J2017"></ref> Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%). 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni. <ref name="J2017"></ref>

=Viited=

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-13T05:42:52Z

Mkangur: /* Digitõendite kogumise protsess ning põhimeetodid */

[[Category:ITSPEA 2016 kaugõpe]]
Autorid: Mari-Liis Oldja, Margit Kangur, Reilika Saks, Gregor Luukas

=Eessõna=
Tänapäeval on raske ette kujutada kuritegu, millel poleks digitaalset mõõdet. Erinevaid infotehnoloogilisi vahendeid võib leida iga inimese töökohast, kodust ja taskust. Iga arvutis, nutitelefonis või võrgus tehtud liigutus jätab endast maha jälje, olgu selleks siis arvuti IP-aadress, võrgus sooritatud infootsingu tulemus, salvestatud fail või mõni muu esmapilgul silmatorkamatuks jääda võiv märk, mis võib osutuda õlekõrreks kuriteo lahendamisel. Digitaalsete jälgede avastamine ja uurimine eeldab laialdasi teadmisi nii kriminalistikast, erinevatest uurimismeetoditest, kasutusel olevatest tööriistadest kui ka infotehnoloogiast üldisemalt.

=Arvutikuritegevuse ja kriminalistika areng=
Andmekaitse ja infoturbe leksikon defineerib arvutikriminalistikat kui arvutites ja digitaalsetel andmekandjatel olevate kohtukõlblike asitõendite avastamise ja uurimisega tegelevat kriminalistikaharu <ref>Andmekaitse ja infoturbe leksikon. http://akit.cyber.ee/term/492-arvutikriminalistika</ref>.

Kuigi teiste kriminalistikaharudega võrreldes peetakse arvutikriminalistikat suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuriteod iseenesest sugugi uus, vaid tänapäevale iseloomulik nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul hakati arvuti väärkasutuse juhtumeid dokumenteerima praktiliselt nende kasutuselevõtmise hetkest alates <ref>Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf</ref>. 1960-ndatel aastatel IT-töötajate ebaeetilist ja seadusevastast arvutikasutamist uurinud Stanfordi uurimisinstituudi teadlane Donn Parker tõdes: „''kui inimesed sisenesid arvutuskeskusesse, siis jätsid nad eetika ukse taha''“ <ref name="Bem">Bem, D., Feld, F., Huebner, E., Bem, O. (2008). Computer Forensics – Past, Present and Future. Journal of Information Science and Technology, JIST 5(3) 2008, lk 43-59. https://pdfs.semanticscholar.org/491f/9bf892071f5fc9773de1c9abc2df691391cd.pdf</ref>.

Arvutikuritegude hüppeline kasv sai alguse 1980-ndatel aastatel ühes personaalarvutite laiema levikuga ning viis selleni, et arvutikuriteod kuulutati eraldiseisvaks kuriteoliigiks. Nagu iga kuritegu, vajas ka arvutikuritegu kohtumenetluse läbiviimiseks usaldusväärset tõendusmaterjali, mis pani omakorda aluse arvutikriminalistika kui iseseisva kriminalistikaharu tekkele. 1990-ndateks aastateks olid kõik tehnoloogiliselt arenenud riigid arvutikuritegevuse olemusest ja võimalikest riskidest teadlikumaks saanud ning arvutikuritegude uurimiseks ja süülisuse tuvastamiseks hakati koostama täpsemaid protseduurireegleid. Selleks ajaks oli mitmel pool loodud spetsiaalseid arvutikuritegevusele keskendunud teaduslikke uurimiskeskusi ning ka tarkvaratootjad hakkasid omalt poolt pakkuma arvutikuritegude tuvastamiseks sobilikke tööriistu.<ref name="Bem"></ref>

Tänaseks on arvuti- või laiemas mõistes küberkuritegevusest saanud kõige kiiremini kasvav kuriteoliik maailmas. Möödunud aastal Suurbritannia riikliku kuritegevuse ameti (NCA) poolt avaldatud raportist selgub, et Suurbritannias ületab kübervahenditega seotud kuritegude arv juba kõik teised kuritegude liigid. Kübervahendite kaasabil toime pandud kuriteod nagu näiteks pettused, ebaseaduslik narkootikumide ostmine või interneti vahendusel laste seksuaalne ärakasutamine moodustas Suurbritannias 2015. aastal 36% kuritegudest. Kübervahenditele toetuvad kuriteod nagu näiteks pahavara levitamine, delikaatsete isikuandmete või ärisaladuste varastamine ja DDoS rünnakud aga 17% kõikidest kuritegudest.<ref name="NCA">National Crime Agency. (07.07.2016). Cyber Crime Assessment 2016. http://www.nationalcrimeagency.gov.uk/publications/709-cyber-crime-assessment-2016/file</ref>

Tõenäoliselt on arvutikuritegevus siiski veel rohkem levinud, kui numbrite põhjal järeldada võib, sest suurem osa intsidentidest jääb ametlikult registreerimata. Nii näiteks leidis Suurbritannias riikliku statistikaameti hinnangul 2015. aastal aset 2,46 miljonit küberintsidenti, mille tagajärjel kannatas 2,11 miljonit isikut, samas kui ametivõime teavitati vaid 16 349 kübervahenditele toetuvast ning umbes 700 000 kübervahendite kaasabil toime pandud intsidendist<ref name="NCA"></ref>. Ka Eesti keskkriminaalpolitsei küberkuritegude büroo juht tunnistab, et küberkuritegevusega seostub tihti ohvrimentaliteet. Inimene tunneb piinlikkust, et just tema või näiteks tema asutus kuriteo ohvriks langes ega taha juhtunust avalikult kõnelda.<ref>Lõugas, H. (27.11.2016). Mida tähendab Eestis küberkuritegevusega võitlemine? Loomingulisust, põnevust ja kohanemist. https://geenius.ee/uudis/mida-tahendab-eestis-kuberkuritegevusega-voitlemine-loomingulisust-ponevust-ja-kohanemist</ref>.

Üha agressiivsemaks ja tehniliselt võimekamaks muutuv arvutikuritegevus esitab kriminalistidele kahtlemata järjest suuremaid väljakutseid.

=Digitõendite kogumise protsess ning põhimeetodid=

Tänu indekseerimisele ja filtreerimisele, mis tagavad kiire juurdepääsu asjakohastele tõenditele, on kaasustes kasutatavate andmete analüüsiks kuluv aeg märkimisväärselt kahanenud. Kuid efektiivne juurdlus kohtuekspertiisis tähendab seda, et keskendutakse väga detailselt iga juurdluse kui arengu osasse vältimaks vigu, mis võivad kahjustada tugeva kaasuse sündi. Tänases kohtupraktikas panevad kaitsjad üha enam rõhku tõendite kõlblikkuse annulleerimisele, viidates vigadele, mida on tehtud tõendeid kogudes, talletades jms. Seetõttu ei saa ka arvutikriminalistikas läbi sõrmede vaadata just digitaalsete tõendite hankimise protsessidest. Kohtuekspertiisi digitaalsete tõendite juurdlus kätkeb endas põhiliselt nelja üksteisele järgnevat protsessi, milleks on ettevalmistus, omandamine/säilitamine, analüüs ja aruandlus/presenteerimine.

'''Ettevalmistus'''

Kohtuekspertiisi spetsialisti jaoks on väga tähtis olla ettevalmistatud eesolevaks juurdluseks ning silmas peaks pidama järgmisi aspekte:
 •enne tõendite koguma hakkamist, tuleb sätestada digijuurdluse üldprotsess;
 •väljaõpetatud väli- ja laborimeeskonnad peavad omama järgmist:
 •tehniline väljaõpe: vajalikud oskused ja teadlikkus, kuidas kasutada arvutikriminalistika vahendeid;
 •protseduuriline väljaõpe: vajalik konseptsioon parimatest tavadest, kordadest, töövoogudest (''workflow'') viimaks läbi digijuurdlust;
 •adekvaatne riist- ja tarkvara.<ref name="Carb">Carbone, F. (2014) Computer Forensics with FTK. Packt Publishing </ref>

'''Omandamine/säilitamine'''

Omandamist ning säilitamist loetakse kõige kriitilisemateks sammudeks digitaalsete tõendite kogumise protsessis, kuna eksimustele kehtib omandamise ajal nulltolerants. Põhiline printsiip arvutikriminalistikas on digitõendite rikkumatuse säilitamine.

Omandamine saavutatakse järgnevate vahendite kasutamisel:
 •kirjutamisblokk (''write blocker'') ehk seade, mis deaktiveerib redigreerimise võimalused vältimaks juhuslikke vigu omandamisel;
 •duplikaator (''forensic duplicator'') ehk seade, mis kopeerib kõvaketta sisu;
 •buudiketas ehk flopiketas või CD-ROM, mis sisaldab operatsioonisüsteemi põhiosi ja selle käivitamiseks vajalikke abifaile;
 •kaughaldus ehk spetsiaalne tarkvara seadmete kaugdiagnostikaks üle võrgu.<ref name="Carb"> </ref>

Näide Eesti kohtupraktikast, kus tõendusmaterjal kuulutati ebasobivaks:

2010. aastal jälgis Eesti avalikkus suure huviga maadevahetuse protsessi. Kohtumenetluse üheks oluliseks asitõendiks olid ühe kohtualuse arvuti kõvakettalt leitud dokumendid. Uurijad tõid tõendusmaterjalina kohtusse kõvaketta koopia, ent kui kohtualuse advokaat tegi ettepaneku kontrollida koopia digitaalset sõrmejälge ehk räsi (''hash''), siis selgus, et hash võti oli vahepeal muutunud. Kuna menetlejate tehtud vigade tõttu ei olnud tõendite autentsus ega puutumatus enam garanteeritud, siis tegi kohtualuse advokaat kohtule taotluse arvuti kõvakettalt leitud dokumente mitte avaldada.<ref>Eesti Ekspress. (18.05.2010) http://ekspress.delfi.ee/kuum/advokaadid-blokeerisid-kanguri-arvutist-leitud-dokumentide-avaldamise?id=31116149 </ref>

'''Analüüs'''

Analüüs on juurdluse selline faas, mis omab enim tehnilisi aspekte. Mõned näiteid nendest:
 •vajaduspärane tehniline teadmine operatsioonisüsteemist, failisüsteemist, arvutivõrgust ja aplikatsioonidest;
 •spetsiaalselt arendatud tarkvara on vajalik;
 •oskus luua filtreid ning otsida tõendeid arvuti operatsioonisüsteemi sündmustelogidest.<ref name="Carb"> </ref>

'''Aruandlus/presenteerimine'''

Pärast tulemuste saamist ning kokkuvõtete tegemist juurdluses, on vaja teostada järgmised sammud:
 •kohandada aruandluse keel konkreetsele sihtgrupile – kasutada tehnilist keelt tehnilise meeskonna tarbeks ja formaalset ning sobivat keelekasutust tuleks esitleda advokaatidele, kohtunikele jt;
 •hoolitseda, et aruanded oleksid selged, kokkuvõtvad ning arvamuste vabad;
 •tagada aruandlus erinevates failiformaatides nagu PDF, HTML, DOC jne.<ref name="Carb"> </ref>

'''Digitaalsete tõendite omandamise põhilised meetodid'''

'''Koopiate tegemine'''

Kindlustamaks kogutud andmete kõlblikkus, koostatakse tõendusmaterjalist täpseid koopiaid (''forensic images''), tuntud kui bitivoog (''bit stream''). See tagab andmete eelanalüüsi, informatsiooni otsingu ja hävimälust (''volatile memory'') andmete kogumise (nt RAM). Samuti loob see võimaluse mõista digitõendite kogumise protsessi, mis on üks kõige missioonikriitilisemaid faktoreid. On oluline mõista, et andmete omandamine võib olla võimalik mitte ainult kõvaketta ruumis, vaid ka teiste seadmete mälumahus. Mõningad näited -
 •flopikettad;
 •kõvakettad;
 •USB või PC-kaardid;
 •ZIP-kettad ja lintmäluseadmed;

optiline meedium:
 •CD-d;
 •CD-R-id ja CD-RW-d;
 •DVD-d;

alternatiivne meedium:
 •MP3 mängijad;
 •tahvelarvutid;
 •nutitelefonid;
 •videomängud, televiisor jne.

Bitivoog duplikeerib andmete kogumahu välistades juhusliku andmete muutmise võimalikkuse originaal-andmekandjal. Tõendusmaterjali täpne koopia on identne originaaliga, mis hõlmab ka andmekandja tühja ruumi või mitte andmetega täidetud mälumahtu. Samuti on võimalik kustutatud andmete taastamine. Kohtuekspertiisiline duplikeerimine lubab pidada kogu juurdlusprotsessi koopial, säilitades andmete originaalsuse esialgsel andmekandjal kasutamaks seda kohtukaasustes. Hilisem analüüs saab juba toimuda spetsiaalsel kohtuekspertiisi tarkvara platvormil, mis lubab andmete detailsemat uurimist ning saadud informatsioonist lõppraporti koostamist. <ref name="Carb"> </ref>

'''Operatsioonisüsteemi logide uurimine'''

Enamik spetsiaalseid kohtuekspertiisi tarkvara platvorme pakuvad võimalust vaadata andmeid operatsioonisüsteemide registritest detailsemalt, kuid suudavad anda ka ülevaatlikumat pilti kui näiteks Windowsis regedit. Vastupidiselt traditsioonilistest OSi registriredaktoritest suudavad spetsiaalselt kohtuekspertiisiks välja töötatud tarkvaraprogrammid visualiseerida kogupilti kõikidest operatsioonisüsteemidest. Samuti tagatakse kasutajale ligipääs registri poolt kaitstud andmetele, mis sisaldab endas paroole, kasutajanimesid, sisselogimiskordi, viimast sisselogimisaega, parooli muutmisi ja muud säärast kasutajaspetsiifilist infot. Enamasti on küll vajalik tunda failisüsteemi iseärasusi, et efektiivselt tööriistaga töötada. <ref name="Carb"> </ref>

=Andmete peitmine ja otsimine=
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

=Ekspertiis ja kohtupraktika=

==Eesti IT-ekspertiisi praktika==

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

==Eesti kohtupraktika==

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi. Kokku registreeriti 2016. aastal selliseid süütegusid 608. Seejuures üldine kuritegevuse tase langes 11% võrra. <ref name="J2017">Justiitsministeerium (2017) Kuritegevus Eestis 2016. http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf</ref> Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 https://www.riigiteataja.ee/akt/184411?leiaKehtiv</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses. <ref name="J2017"></ref>

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü. <ref name="J2017"></ref> Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud. <ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu. <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716</ref> Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²). Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137). <ref name="J2017"></ref> Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%). 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni. <ref name="J2017"></ref>

=Viited=

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-13T05:34:30Z

Mkangur: /* Sissejuhatus */

[[Category:ITSPEA 2016 kaugõpe]]
Autorid: Mari-Liis Oldja, Margit Kangur, Reilika Saks, Gregor Luukas

=Eessõna=
Tänapäeval on raske ette kujutada kuritegu, millel poleks digitaalset mõõdet. Erinevaid infotehnoloogilisi vahendeid võib leida iga inimese töökohast, kodust ja taskust. Iga arvutis, nutitelefonis või võrgus tehtud liigutus jätab endast maha jälje, olgu selleks siis arvuti IP-aadress, võrgus sooritatud infootsingu tulemus, salvestatud fail või mõni muu esmapilgul silmatorkamatuks jääda võiv märk, mis võib osutuda õlekõrreks kuriteo lahendamisel. Digitaalsete jälgede avastamine ja uurimine eeldab laialdasi teadmisi nii kriminalistikast, erinevatest uurimismeetoditest, kasutusel olevatest tööriistadest kui ka infotehnoloogiast üldisemalt.

=Arvutikuritegevuse ja kriminalistika areng=
Andmekaitse ja infoturbe leksikon defineerib arvutikriminalistikat kui arvutites ja digitaalsetel andmekandjatel olevate kohtukõlblike asitõendite avastamise ja uurimisega tegelevat kriminalistikaharu <ref>Andmekaitse ja infoturbe leksikon. http://akit.cyber.ee/term/492-arvutikriminalistika</ref>.

Kuigi teiste kriminalistikaharudega võrreldes peetakse arvutikriminalistikat suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuriteod iseenesest sugugi uus, vaid tänapäevale iseloomulik nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul hakati arvuti väärkasutuse juhtumeid dokumenteerima praktiliselt nende kasutuselevõtmise hetkest alates <ref>Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf</ref>. 1960-ndatel aastatel IT-töötajate ebaeetilist ja seadusevastast arvutikasutamist uurinud Stanfordi uurimisinstituudi teadlane Donn Parker tõdes: „''kui inimesed sisenesid arvutuskeskusesse, siis jätsid nad eetika ukse taha''“ <ref name="Bem">Bem, D., Feld, F., Huebner, E., Bem, O. (2008). Computer Forensics – Past, Present and Future. Journal of Information Science and Technology, JIST 5(3) 2008, lk 43-59. https://pdfs.semanticscholar.org/491f/9bf892071f5fc9773de1c9abc2df691391cd.pdf</ref>.

Arvutikuritegude hüppeline kasv sai alguse 1980-ndatel aastatel ühes personaalarvutite laiema levikuga ning viis selleni, et arvutikuriteod kuulutati eraldiseisvaks kuriteoliigiks. Nagu iga kuritegu, vajas ka arvutikuritegu kohtumenetluse läbiviimiseks usaldusväärset tõendusmaterjali, mis pani omakorda aluse arvutikriminalistika kui iseseisva kriminalistikaharu tekkele. 1990-ndateks aastateks olid kõik tehnoloogiliselt arenenud riigid arvutikuritegevuse olemusest ja võimalikest riskidest teadlikumaks saanud ning arvutikuritegude uurimiseks ja süülisuse tuvastamiseks hakati koostama täpsemaid protseduurireegleid. Selleks ajaks oli mitmel pool loodud spetsiaalseid arvutikuritegevusele keskendunud teaduslikke uurimiskeskusi ning ka tarkvaratootjad hakkasid omalt poolt pakkuma arvutikuritegude tuvastamiseks sobilikke tööriistu.<ref name="Bem"></ref>

Tänaseks on arvuti- või laiemas mõistes küberkuritegevusest saanud kõige kiiremini kasvav kuriteoliik maailmas. Möödunud aastal Suurbritannia riikliku kuritegevuse ameti (NCA) poolt avaldatud raportist selgub, et Suurbritannias ületab kübervahenditega seotud kuritegude arv juba kõik teised kuritegude liigid. Kübervahendite kaasabil toime pandud kuriteod nagu näiteks pettused, ebaseaduslik narkootikumide ostmine või interneti vahendusel laste seksuaalne ärakasutamine moodustas Suurbritannias 2015. aastal 36% kuritegudest. Kübervahenditele toetuvad kuriteod nagu näiteks pahavara levitamine, delikaatsete isikuandmete või ärisaladuste varastamine ja DDoS rünnakud aga 17% kõikidest kuritegudest.<ref name="NCA">National Crime Agency. (07.07.2016). Cyber Crime Assessment 2016. http://www.nationalcrimeagency.gov.uk/publications/709-cyber-crime-assessment-2016/file</ref>

Tõenäoliselt on arvutikuritegevus siiski veel rohkem levinud, kui numbrite põhjal järeldada võib, sest suurem osa intsidentidest jääb ametlikult registreerimata. Nii näiteks leidis Suurbritannias riikliku statistikaameti hinnangul 2015. aastal aset 2,46 miljonit küberintsidenti, mille tagajärjel kannatas 2,11 miljonit isikut, samas kui ametivõime teavitati vaid 16 349 kübervahenditele toetuvast ning umbes 700 000 kübervahendite kaasabil toime pandud intsidendist<ref name="NCA"></ref>. Ka Eesti keskkriminaalpolitsei küberkuritegude büroo juht tunnistab, et küberkuritegevusega seostub tihti ohvrimentaliteet. Inimene tunneb piinlikkust, et just tema või näiteks tema asutus kuriteo ohvriks langes ega taha juhtunust avalikult kõnelda.<ref>Lõugas, H. (27.11.2016). Mida tähendab Eestis küberkuritegevusega võitlemine? Loomingulisust, põnevust ja kohanemist. https://geenius.ee/uudis/mida-tahendab-eestis-kuberkuritegevusega-voitlemine-loomingulisust-ponevust-ja-kohanemist</ref>.

Üha agressiivsemaks ja tehniliselt võimekamaks muutuv arvutikuritegevus esitab kriminalistidele kahtlemata järjest suuremaid väljakutseid.

=Digitõendite kogumise protsess ning põhimeetodid=

Tänu indekseerimisele ja filtreerimisele, mis tagavad kiire juurdepääsu asjakohastele tõenditele, on kaasustes kasutatavate andmete analüüsiks kuluv aeg märkimisväärselt kahanenud. Kuid efektiivne juurdlus kohtuekspertiisis tähendab seda, et keskendutakse väga detailselt iga juurdluse kui arengu osasse vältimaks vigu, mis võivad kahjustada tugeva kaasuse sündi. Tänases kohtupraktikas panevad kaitsjad üha enam rõhku tõendite kõlblikkuse annulleerimisele, viidates vigadele, mida on tehtud tõendeid kogudes, talletades jms. Seetõttu ei saa ka arvutikriminalistikas läbi sõrmede vaadata just digitaalsete tõendite hankimise protsessidest. Kohtuekspertiisi digitaalsete tõendite juurdlus kätkeb endas põhiliselt nelja üksteisele järgnevat protsessi, milleks on ettevalmistus, omandamine/säilitamine, analüüs ja aruandlus/presenteerimine.

'''Ettevalmistus'''

Kohtuekspertiisi spetsialisti jaoks on väga tähtis olla ettevalmistatud eesolevaks juurdluseks ning silmas peaks pidama järgmisi aspekte:
 •enne tõendite koguma hakkamist, tuleb sätestada digijuurdluse üldprotsess;
 •väljaõpetatud väli- ja laborimeeskonnad peavad omama järgmist:
 •tehniline väljaõpe:
 •vajalikud oskused ja teadlikkus, kuidas kasutada arvutikriminalistika vahendeid;
 •protseduuriline väljaõpe: vajalik konseptsioon parimatest tavadest, kordadest, töövoogudest (''workflow'') viimaks läbi digijuurdlust;
 •adekvaatne riist- ja tarkvara;<ref name="Carb">Carbone, F. (2014) Computer Forensics with FTK. Packt Publishing </ref>

'''Omandamine/säilitamine'''

Omandamist ning säilitamist loetakse kõige kriitilisemateks sammudeks digitaalsete tõendite kogumise protsessis, kuna eksimustele kehtib omandamise ajal nulltolerants. Põhiline printsiip arvutikriminalistikas on digitõendite rikkumatuse säilitamine.

Omandamine saavutatakse järgnevate vahendite kasutamisel:
 •kirjutamisblokk (''write blocker'') ehk seade, mis deaktiveerib redigreerimise võimalused vältimaks juhuslikke vigu omandamisel;
 •duplikaator (''forensic duplicator'') ehk seade, mis kopeerib kõvaketta sisu;
 •buudiketas ehk flopiketas või CD-ROM, mis sisaldab operatsioonisüsteemi põhiosi ja selle käivitamiseks vajalikke abifaile;
 •kaughaldus ehk spetsiaalne tarkvara seadmete kaugdiagnostikaks üle võrgu;<ref name="Carb"> </ref>

Näide Eesti kohtupraktikast, kus tõendusmaterjal kuulutati ebasobivaks:

2010. aastal jälgis Eesti avalikkus suure huviga maadevahetuse protsessi. Kohtumenetluse üheks oluliseks asitõendiks olid ühe kohtualuse arvuti kõvakettalt leitud dokumendid. Uurijad tõid tõendusmaterjalina kohtusse kõvaketta koopia, ent kui kohtualuse advokaat tegi ettepaneku kontrollida koopia digitaalset sõrmejälge ehk räsi (''hash''), siis selgus, et hash võti oli vahepeal muutunud. Kuna menetlejate tehtud vigade tõttu ei olnud tõendite autentsus ega puutumatus enam garanteeritud, siis tegi kohtualuse advokaat kohtule taotluse arvuti kõvakettalt leitud dokumente mitte avaldada.<ref>Eesti Ekspress. (18.05.2010) http://ekspress.delfi.ee/kuum/advokaadid-blokeerisid-kanguri-arvutist-leitud-dokumentide-avaldamise?id=31116149 </ref>

'''Analüüs'''

Analüüs on juurdluse selline faas, mis omab enim tehnilisi aspekte. Mõned näiteid nendest:
 •vajaduspärane tehniline teadmine operatsioonisüsteemist, failisüsteemist, arvutivõrgust ja aplikatsioonidest;
 •spetsiaalselt arendatud tarkvara on vajalik;
 •oskus luua filtreid ning otsida tõendeid arvuti operatsioonisüsteemi sündmustelogidest;<ref name="Carb"> </ref>

'''Aruandlus/presenteerimine'''

Pärast tulemuste saamist ning kokkuvõtete tegemist juurdluses, on vaja teostada järgmised sammud:
 •kohandada aruandluse keel konkreetsele sihtgrupile – kasutada tehnilist keelt tehnilise meeskonna tarbeks ja formaalset ning sobivat keelekasutust tuleks esitleda advokaatidele, kohtunikele jt;
 •hoolitseda, et aruanded oleksid selged, kokkuvõtvad ning arvamuste vabad;
 •tagada aruandlus erinevates failiformaatides nagu PDF, HTML, DOC jne;<ref name="Carb"> </ref>

'''Digitaalsete tõendite omandamise põhilised meetodid'''

'''Koopiate tegemine'''

Kindlustamaks kogutud andmete kõlblikkus, koostatakse tõendusmaterjalist täpseid koopiaid (''forensic images''), tuntud kui bitivoog (''bit stream''). See tagab andmete eelanalüüsi, informatsiooni otsingu ja hävimälust (''volatile memory'') andmete kogumise (nt RAM). Samuti loob see võimaluse mõista digitõendite kogumise protsessi, mis on üks kõige missioonikriitilisemaid faktoreid. On oluline mõista, et andmete omandamine võib olla võimalik mitte ainult kõvaketta ruumis, vaid ka teiste seadmete mälumahus. Mõningad näited -
 •flopikettad;
 •kõvakettad;
 •USB või PC-kaardid;
 •ZIP-kettad ja lintmäluseadmed;

optiline meedium:
 •CD-d;
 •CD-R-id ja CD-RW-d;
 •DVD-d;

alternatiivne meedium:
 •MP3 mängijad;
 •tahvelarvutid;
 •nutitelefonid;
 •videomängud, televiisor jne;

Bitivoog duplikeerib andmete kogumahu välistades juhusliku andmete muutmise võimalikkuse originaal-andmekandjal. Tõendusmaterjali täpne koopia on identne originaaliga, mis hõlmab ka andmekandja tühja ruumi või mitte andmetega täidetud mälumahtu. Samuti on võimalik kustutatud andmete taastamine. Kohtuekspertiisiline duplikeerimine lubab pidada kogu juurdlusprotsessi koopial, säilitades andmete originaalsuse esialgsel andmekandjal kasutamaks seda kohtukaasustes. Hilisem analüüs saab juba toimuda spetsiaalsel kohtuekspertiisi tarkvara platvormil, mis lubab andmete detailsemat uurimist ning saadud informatsioonist lõppraporti koostamist. <ref name="Carb"> </ref>

'''Operatsioonisüsteemi logide uurimine'''

Enamik spetsiaalseid kohtuekspertiisi tarkvara platvorme pakuvad võimalust vaadata andmeid operatsioonisüsteemide registritest detailsemalt, kuid suudavad anda ka ülevaatlikumat pilti kui näiteks Windowsis regedit. Vastupidiselt traditsioonilistest OSi registriredaktoritest suudavad spetsiaalselt kohtuekspertiisiks välja töötatud tarkvaraprogrammid visualiseerida kogupilti kõikidest operatsioonisüsteemidest. Samuti tagatakse kasutajale ligipääs registri poolt kaitstud andmetele, mis sisaldab endas paroole, kasutajanimesid, sisselogimiskordi, viimast sisselogimisaega, parooli muutmisi ja muud säärast kasutajaspetsiifilist infot. Enamasti on küll vajalik tunda failisüsteemi iseärasusi, et efektiivselt tööriistaga töötada. <ref name="Carb"> </ref>

=Andmete peitmine ja otsimine=
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

=Ekspertiis ja kohtupraktika=

==Eesti IT-ekspertiisi praktika==

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

==Eesti kohtupraktika==

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi. Kokku registreeriti 2016. aastal selliseid süütegusid 608. Seejuures üldine kuritegevuse tase langes 11% võrra. <ref name="J2017">Justiitsministeerium (2017) Kuritegevus Eestis 2016. http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf</ref> Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 https://www.riigiteataja.ee/akt/184411?leiaKehtiv</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses. <ref name="J2017"></ref>

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü. <ref name="J2017"></ref> Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud. <ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu. <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716</ref> Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²). Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137). <ref name="J2017"></ref> Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%). 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni. <ref name="J2017"></ref>

=Viited=

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T20:55:14Z

Mkangur: /* Kokkuvõte */

[[Category:ITSPEA 2016 kaugõpe]]
Autorid: Mari-Liis Oldja, Margit Kangur, Reilika Saks, Gregor Luukas

=Sissejuhatus=
Tänapäeval on raske ette kujutada kuritegu, millel poleks digitaalset mõõdet. Erinevaid infotehnoloogilisi vahendeid võib leida iga inimese töökohast, kodust ja taskust. Iga arvutis, nutitelefonis või võrgus tehtud liigutus jätab endast maha jälje, olgu selleks siis arvuti IP-aadress, võrgus sooritatud infootsingu tulemus, salvestatud fail või mõni muu esmapilgul silmatorkamatuks jääda võiv märk, mis võib osutuda õlekõrreks kuriteo lahendamisel. Digitaalsete jälgede avastamine ja uurimine eeldab laialdasi teadmisi nii kriminalistikast, erinevatest uurimismeetoditest, kasutusel olevatest tööriistadest kui ka infotehnoloogiast üldisemalt.

=Arvutikuritegevuse ja kriminalistika areng=
Andmekaitse ja infoturbe leksikon defineerib arvutikriminalistikat kui arvutites ja digitaalsetel andmekandjatel olevate kohtukõlblike asitõendite avastamise ja uurimisega tegelevat kriminalistikaharu <ref>Andmekaitse ja infoturbe leksikon. http://akit.cyber.ee/term/492-arvutikriminalistika</ref>.

Kuigi teiste kriminalistikaharudega võrreldes peetakse arvutikriminalistikat suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuriteod iseenesest sugugi uus, vaid tänapäevale iseloomulik nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul hakati arvuti väärkasutuse juhtumeid dokumenteerima praktiliselt nende kasutuselevõtmise hetkest alates <ref>Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf</ref>. 1960-ndatel aastatel IT-töötajate ebaeetilist ja seadusevastast arvutikasutamist uurinud Stanfordi uurimisinstituudi teadlane Donn Parker tõdes: „''kui inimesed sisenesid arvutuskeskusesse, siis jätsid nad eetika ukse taha''“ <ref name="Bem">Bem, D., Feld, F., Huebner, E., Bem, O. (2008). Computer Forensics – Past, Present and Future. Journal of Information Science and Technology, JIST 5(3) 2008, lk 43-59. https://pdfs.semanticscholar.org/491f/9bf892071f5fc9773de1c9abc2df691391cd.pdf</ref>.

Arvutikuritegude hüppeline kasv sai alguse 1980-ndatel aastatel ühes personaalarvutite laiema levikuga ning viis selleni, et arvutikuriteod kuulutati eraldiseisvaks kuriteoliigiks. Nagu iga kuritegu, vajas ka arvutikuritegu kohtumenetluse läbiviimiseks usaldusväärset tõendusmaterjali, mis pani omakorda aluse arvutikriminalistika kui iseseisva kriminalistikaharu tekkele. 1990-ndateks aastateks olid kõik tehnoloogiliselt arenenud riigid arvutikuritegevuse olemusest ja võimalikest riskidest teadlikumaks saanud ning arvutikuritegude uurimiseks ja süülisuse tuvastamiseks hakati koostama täpsemaid protseduurireegleid. Selleks ajaks oli mitmel pool loodud spetsiaalseid arvutikuritegevusele keskendunud teaduslikke uurimiskeskusi ning ka tarkvaratootjad hakkasid omalt poolt pakkuma arvutikuritegude tuvastamiseks sobilikke tööriistu.<ref name="Bem"></ref>

Tänaseks on arvuti- või laiemas mõistes küberkuritegevusest saanud kõige kiiremini kasvav kuriteoliik maailmas. Möödunud aastal Suurbritannia riikliku kuritegevuse ameti (NCA) poolt avaldatud raportist selgub, et Suurbritannias ületab kübervahenditega seotud kuritegude arv juba kõik teised kuritegude liigid. Kübervahendite kaasabil toime pandud kuriteod nagu näiteks pettused, ebaseaduslik narkootikumide ostmine või interneti vahendusel laste seksuaalne ärakasutamine moodustas Suurbritannias 2015. aastal 36% kuritegudest. Kübervahenditele toetuvad kuriteod nagu näiteks pahavara levitamine, delikaatsete isikuandmete või ärisaladuste varastamine ja DDoS rünnakud aga 17% kõikidest kuritegudest.<ref name="NCA">National Crime Agency. (07.07.2016). Cyber Crime Assessment 2016. http://www.nationalcrimeagency.gov.uk/publications/709-cyber-crime-assessment-2016/file</ref>

Tõenäoliselt on arvutikuritegevus siiski veel rohkem levinud, kui numbrite põhjal järeldada võib, sest suurem osa intsidentidest jääb ametlikult registreerimata. Nii näiteks leidis Suurbritannias riikliku statistikaameti hinnangul 2015. aastal aset 2,46 miljonit küberintsidenti, mille tagajärjel kannatas 2,11 miljonit isikut, samas kui ametivõime teavitati vaid 16 349 kübervahenditele toetuvast ning umbes 700 000 kübervahendite kaasabil toime pandud intsidendist<ref name="NCA"></ref>. Ka Eesti keskkriminaalpolitsei küberkuritegude büroo juht tunnistab, et küberkuritegevusega seostub tihti ohvrimentaliteet. Inimene tunneb piinlikkust, et just tema või näiteks tema asutus kuriteo ohvriks langes ega taha juhtunust avalikult kõnelda.<ref>Lõugas, H. (27.11.2016). Mida tähendab Eestis küberkuritegevusega võitlemine? Loomingulisust, põnevust ja kohanemist. https://geenius.ee/uudis/mida-tahendab-eestis-kuberkuritegevusega-voitlemine-loomingulisust-ponevust-ja-kohanemist</ref>.

Üha agressiivsemaks ja tehniliselt võimekamaks muutuv arvutikuritegevus esitab kriminalistidele kahtlemata järjest suuremaid väljakutseid.

=Digitõendite kogumise protsess ning põhimeetodid=

Tänu indekseerimisele ja filtreerimisele, mis tagavad kiire juurdepääsu asjakohastele tõenditele, on kaasustes kasutatavate andmete analüüsiks kuluv aeg märkimisväärselt kahanenud. Kuid efektiivne juurdlus kohtuekspertiisis tähendab seda, et keskendutakse väga detailselt iga juurdluse kui arengu osasse vältimaks vigu, mis võivad kahjustada tugeva kaasuse sündi. Tänases kohtupraktikas panevad kaitsjad üha enam rõhku tõendite kõlblikkuse annulleerimisele, viidates vigadele, mida on tehtud tõendeid kogudes, talletades jms. Seetõttu ei saa ka arvutikriminalistikas läbi sõrmede vaadata just digitaalsete tõendite hankimise protsessidest. Kohtuekspertiisi digitaalsete tõendite juurdlus kätkeb endas põhiliselt nelja üksteisele järgnevat protsessi, milleks on ettevalmistus, omandamine/säilitamine, analüüs ja aruandlus/presenteerimine.

'''Ettevalmistus'''

Kohtuekspertiisi spetsialisti jaoks on väga tähtis olla ettevalmistatud eesolevaks juurdluseks ning silmas peaks pidama järgmisi aspekte:

enne tõendite koguma hakkamist, tuleb sätestada digijuurdluse üldprotsess;
väljaõpetatud väli- ja laborimeeskonnad peavad omama järgmist:
tehniline väljaõpe:
vajalikud oskused ja teadlikkus, kuidas kasutada arvutikriminalistika vahendeid;
protseduuriline väljaõpe: vajalik konseptsioon parimatest tavadest, kordadest, töövoogudest (''workflow'') viimaks läbi digijuurdlust;
adekvaatne riist- ja tarkvara;<ref name="Carb">Carbone, F. (2014) Computer Forensics with FTK. Packt Publishing </ref>

'''Omandamine/säilitamine'''

Omandamist ning säilitamist loetakse kõige kriitilisemateks sammudeks digitaalsete tõendite kogumise protsessis, kuna eksimustele kehtib omandamise ajal nulltolerants. Põhiline printsiip arvutikriminalistikas on digitõendite rikkumatuse säilitamine.

Omandamine saavutatakse järgnevate vahendite kasutamisel:
kirjutamisblokk (''write blocker'') ehk seade, mis deaktiveerib redigreerimise võimalused vältimaks juhuslikke vigu omandamisel;
duplikaator (''forensic duplicator'') ehk seade, mis kopeerib kõvaketta sisu;
buudiketas ehk flopiketas või CD-ROM, mis sisaldab operatsioonisüsteemi põhiosi ja selle käivitamiseks vajalikke abifaile;
kaughaldus ehk spetsiaalne tarkvara seadmete kaugdiagnostikaks üle võrgu;<ref name="Carb"> </ref>

Näide Eesti kohtupraktikast, kus tõendusmaterjal kuulutati ebasobivaks:

2010. aastal jälgis Eesti avalikkus suure huviga maadevahetuse protsessi. Kohtumenetluse üheks oluliseks asitõendiks olid ühe kohtualuse arvuti kõvakettalt leitud dokumendid. Uurijad tõid tõendusmaterjalina kohtusse kõvaketta koopia, ent kui kohtualuse advokaat tegi ettepaneku kontrollida koopia digitaalset sõrmejälge ehk räsi (''hash''), siis selgus, et hash võti oli vahepeal muutunud. Kuna menetlejate tehtud vigade tõttu ei olnud tõendite autentsus ega puutumatus enam garanteeritud, siis tegi kohtualuse advokaat kohtule taotluse arvuti kõvakettalt leitud dokumente mitte avaldada.<ref>Eesti Ekspress. (18.05.2010) http://ekspress.delfi.ee/kuum/advokaadid-blokeerisid-kanguri-arvutist-leitud-dokumentide-avaldamise?id=31116149 </ref>

'''Analüüs'''

Analüüs on juurdluse selline faas, mis omab enim tehnilisi aspekte. Mõned näiteid nendest:

vajaduspärane tehniline teadmine operatsioonisüsteemist, failisüsteemist, arvutivõrgust ja aplikatsioonidest;
spetsiaalselt arendatud tarkvara on vajalik;
oskus luua filtreid ning otsida tõendeid arvuti operatsioonisüsteemi sündmustelogidest;<ref name="Carb"> </ref>

'''Aruandlus/presenteerimine'''

Pärast tulemuste saamist ning kokkuvõtete tegemist juurdluses, on vaja teostada järgmised sammud:

kohandada aruandluse keel konkreetsele sihtgrupile – kasutada tehnilist keelt tehnilise meeskonna tarbeks ja formaalset ning sobivat keelekasutust tuleks esitleda advokaatidele, kohtunikele jt;
hoolitseda, et aruanded oleksid selged, kokkuvõtvad ning arvamuste vabad;
tagada aruandlus erinevates failiformaatides nagu PDF, HTML, DOC jne;<ref name="Carb"> </ref>

'''Digitaalsete tõendite omandamise põhilised meetodid'''

'''Koopiate tegemine'''

Kindlustamaks kogutud andmete kõlblikkus, koostatakse tõendusmaterjalist täpseid koopiaid (''forensic images''), tuntud kui bitivoog (''bit stream''). See tagab andmete eelanalüüsi, informatsiooni otsingu ja hävimälust (''volatile memory'') andmete kogumise (nt RAM). Samuti loob see võimaluse mõista digitõendite kogumise protsessi, mis on üks kõige missioonikriitilisemaid faktoreid. On oluline mõista, et andmete omandamine võib olla võimalik mitte ainult kõvaketta ruumis, vaid ka teiste seadmete mälumahus. Mõningad näited -
magnetmeedium:

flopikettad;
kõvakettad;
USB või PC-kaardid;
ZIP-kettad ja lintmäluseadmed;

optiline meedium:

CD-d;
CD-R-id ja CD-RW-d;
DVD-d;

alternatiivne meedium:

MP3 mängijad;
tahvelarvutid;
nutitelefonid;
videomängud, televiisor jne;

Bitivoog duplikeerib andmete kogumahu välistades juhusliku andmete muutmise võimalikkuse originaal-andmekandjal. Tõendusmaterjali täpne koopia on identne originaaliga, mis hõlmab ka andmekandja tühja ruumi või mitte andmetega täidetud mälumahtu. Samuti on võimalik kustutatud andmete taastamine. Kohtuekspertiisiline duplikeerimine lubab pidada kogu juurdlusprotsessi koopial, säilitades andmete originaalsuse esialgsel andmekandjal kasutamaks seda kohtukaasustes. Hilisem analüüs saab juba toimuda spetsiaalsel kohtuekspertiisi tarkvara platvormil, mis lubab andmete detailsemat uurimist ning saadud informatsioonist lõppraporti koostamist. <ref name="Carb"> </ref>

'''Operatsioonisüsteemi logide uurimine'''

Enamik spetsiaalseid kohtuekspertiisi tarkvara platvorme pakuvad võimalust vaadata andmeid operatsioonisüsteemide registritest detailsemalt, kuid suudavad anda ka ülevaatlikumat pilti kui näiteks Windowsis regedit. Vastupidiselt traditsioonilistest OSi registriredaktoritest suudavad spetsiaalselt kohtuekspertiisiks välja töötatud tarkvaraprogrammid visualiseerida kogupilti kõikidest operatsioonisüsteemidest. Samuti tagatakse kasutajale ligipääs registri poolt kaitstud andmetele, mis sisaldab endas paroole, kasutajanimesid, sisselogimiskordi, viimast sisselogimisaega, parooli muutmisi ja muud säärast kasutajaspetsiifilist infot. Enamasti on küll vajalik tunda failisüsteemi iseärasusi, et efektiivselt tööriistaga töötada. <ref name="Carb"> </ref>

=Andmete peitmine ja otsimine=
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

=Ekspertiis ja kohtupraktika=

==Eesti IT-ekspertiisi praktika==

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

==Eesti kohtupraktika==

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi. Kokku registreeriti 2016. aastal selliseid süütegusid 608. Seejuures üldine kuritegevuse tase langes 11% võrra. <ref name="J2017">Justiitsministeerium (2017) Kuritegevus Eestis 2016. http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf</ref> Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 https://www.riigiteataja.ee/akt/184411?leiaKehtiv</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses. <ref name="J2017"></ref>

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü. <ref name="J2017"></ref> Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud. <ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu. <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716</ref> Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²). Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137). <ref name="J2017"></ref> Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%). 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni. <ref name="J2017"></ref>

=Viited=

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T20:53:39Z

Mkangur: /* Digitõendite kogumise protsess ning põhimeetodid */

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T20:44:13Z

Mkangur: /* Digitõendite kogumise protsess ning põhimeetodid */

[[Category:ITSPEA 2016 kaugõpe]]
Autorid: Mari-Liis Oldja, Margit Kangur, Reilika Saks, Gregor Luukas

=Sissejuhatus=
Tänapäeval on raske ette kujutada kuritegu, millel poleks digitaalset mõõdet. Erinevaid infotehnoloogilisi vahendeid võib leida iga inimese töökohast, kodust ja taskust. Iga arvutis, nutitelefonis või võrgus tehtud liigutus jätab endast maha jälje, olgu selleks siis arvuti IP-aadress, võrgus sooritatud infootsingu tulemus, salvestatud fail või mõni muu esmapilgul silmatorkamatuks jääda võiv märk, mis võib osutuda õlekõrreks kuriteo lahendamisel. Digitaalsete jälgede avastamine ja uurimine eeldab laialdasi teadmisi nii kriminalistikast, erinevatest uurimismeetoditest, kasutusel olevatest tööriistadest kui ka infotehnoloogiast üldisemalt.

=Arvutikuritegevuse ja kriminalistika areng=
Andmekaitse ja infoturbe leksikon defineerib arvutikriminalistikat kui arvutites ja digitaalsetel andmekandjatel olevate kohtukõlblike asitõendite avastamise ja uurimisega tegelevat kriminalistikaharu <ref>Andmekaitse ja infoturbe leksikon. http://akit.cyber.ee/term/492-arvutikriminalistika</ref>.

Kuigi teiste kriminalistikaharudega võrreldes peetakse arvutikriminalistikat suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuriteod iseenesest sugugi uus, vaid tänapäevale iseloomulik nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul hakati arvuti väärkasutuse juhtumeid dokumenteerima praktiliselt nende kasutuselevõtmise hetkest alates <ref>Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf</ref>. 1960-ndatel aastatel IT-töötajate ebaeetilist ja seadusevastast arvutikasutamist uurinud Stanfordi uurimisinstituudi teadlane Donn Parker tõdes: „''kui inimesed sisenesid arvutuskeskusesse, siis jätsid nad eetika ukse taha''“ <ref name="Bem">Bem, D., Feld, F., Huebner, E., Bem, O. (2008). Computer Forensics – Past, Present and Future. Journal of Information Science and Technology, JIST 5(3) 2008, lk 43-59. https://pdfs.semanticscholar.org/491f/9bf892071f5fc9773de1c9abc2df691391cd.pdf</ref>.

Arvutikuritegude hüppeline kasv sai alguse 1980-ndatel aastatel ühes personaalarvutite laiema levikuga ning viis selleni, et arvutikuriteod kuulutati eraldiseisvaks kuriteoliigiks. Nagu iga kuritegu, vajas ka arvutikuritegu kohtumenetluse läbiviimiseks usaldusväärset tõendusmaterjali, mis pani omakorda aluse arvutikriminalistika kui iseseisva kriminalistikaharu tekkele. 1990-ndateks aastateks olid kõik tehnoloogiliselt arenenud riigid arvutikuritegevuse olemusest ja võimalikest riskidest teadlikumaks saanud ning arvutikuritegude uurimiseks ja süülisuse tuvastamiseks hakati koostama täpsemaid protseduurireegleid. Selleks ajaks oli mitmel pool loodud spetsiaalseid arvutikuritegevusele keskendunud teaduslikke uurimiskeskusi ning ka tarkvaratootjad hakkasid omalt poolt pakkuma arvutikuritegude tuvastamiseks sobilikke tööriistu.<ref name="Bem"></ref>

Tänaseks on arvuti- või laiemas mõistes küberkuritegevusest saanud kõige kiiremini kasvav kuriteoliik maailmas. Möödunud aastal Suurbritannia riikliku kuritegevuse ameti (NCA) poolt avaldatud raportist selgub, et Suurbritannias ületab kübervahenditega seotud kuritegude arv juba kõik teised kuritegude liigid. Kübervahendite kaasabil toime pandud kuriteod nagu näiteks pettused, ebaseaduslik narkootikumide ostmine või interneti vahendusel laste seksuaalne ärakasutamine moodustas Suurbritannias 2015. aastal 36% kuritegudest. Kübervahenditele toetuvad kuriteod nagu näiteks pahavara levitamine, delikaatsete isikuandmete või ärisaladuste varastamine ja DDoS rünnakud aga 17% kõikidest kuritegudest.<ref name="NCA">National Crime Agency. (07.07.2016). Cyber Crime Assessment 2016. http://www.nationalcrimeagency.gov.uk/publications/709-cyber-crime-assessment-2016/file</ref>

Tõenäoliselt on arvutikuritegevus siiski veel rohkem levinud, kui numbrite põhjal järeldada võib, sest suurem osa intsidentidest jääb ametlikult registreerimata. Nii näiteks leidis Suurbritannias riikliku statistikaameti hinnangul 2015. aastal aset 2,46 miljonit küberintsidenti, mille tagajärjel kannatas 2,11 miljonit isikut, samas kui ametivõime teavitati vaid 16 349 kübervahenditele toetuvast ning umbes 700 000 kübervahendite kaasabil toime pandud intsidendist<ref name="NCA"></ref>. Ka Eesti keskkriminaalpolitsei küberkuritegude büroo juht tunnistab, et küberkuritegevusega seostub tihti ohvrimentaliteet. Inimene tunneb piinlikkust, et just tema või näiteks tema asutus kuriteo ohvriks langes ega taha juhtunust avalikult kõnelda.<ref>Lõugas, H. (27.11.2016). Mida tähendab Eestis küberkuritegevusega võitlemine? Loomingulisust, põnevust ja kohanemist. https://geenius.ee/uudis/mida-tahendab-eestis-kuberkuritegevusega-voitlemine-loomingulisust-ponevust-ja-kohanemist</ref>.

Üha agressiivsemaks ja tehniliselt võimekamaks muutuv arvutikuritegevus esitab kriminalistidele kahtlemata järjest suuremaid väljakutseid.

=Digitõendite kogumise protsess ning põhimeetodid=

Tänu indekseerimisele ja filtreerimisele, mis tagavad kiire juurdepääsu asjakohastele tõenditele, on kaasustes kasutatavate andmete analüüsiks kuluv aeg märkimisväärselt kahanenud. Kuid efektiivne juurdlus kohtuekspertiisis tähendab seda, et keskendutakse väga detailselt iga juurdluse kui arengu osasse vältimaks vigu, mis võivad kahjustada tugeva kaasuse sündi. Tänases kohtupraktikas panevad kaitsjad üha enam rõhku tõendite kõlblikkuse annulleerimisele, viidates vigadele, mida on tehtud tõendeid kogudes, talletades jms. Seetõttu ei saa ka arvutikriminalistikas läbi sõrmede vaadata just digitaalsete tõendite hankimise protsessidest. Kohtuekspertiisi digitaalsete tõendite juurdlus kätkeb endas põhiliselt nelja üksteisele järgnevat protsessi, milleks on ettevalmistus, omandamine/säilitamine, analüüs ja aruandlus/presenteerimine.

'''Ettevalmistus'''

Kohtuekspertiisi spetsialisti jaoks on väga tähtis olla ettevalmistatud eesolevaks juurdluseks ning silmas peaks pidama järgmisi aspekte:

enne tõendite koguma hakkamist, tuleb sätestada digijuurdluse üldprotsess;
väljaõpetatud väli- ja laborimeeskonnad peavad omama järgmist:
tehniline väljaõpe:
vajalikud oskused ja teadlikkus, kuidas kasutada arvutikriminalistika vahendeid;
protseduuriline väljaõpe: vajalik konseptsioon parimatest tavadest, kordadest, töövoogudest (''ingl. k workflow'') viimaks läbi digijuurdlust;
adekvaatne riist- ja tarkvara;<ref name="Carb">Carbone, F. (2014) Computer Forensics with FTK. Packt Publishing </ref>

'''Omandamine/säilitamine'''

Omandamist ning säilitamist loetakse kõige kriitilisemateks sammudeks digitaalsete tõendite kogumise protsessis, kuna eksimustele kehtib omandamise ajal nulltolerants. Põhiline printsiip arvutikriminalistikas on digitõendite rikkumatuse säilitamine.

Omandamine saavutatakse järgnevate vahendite kasutamisel:
kirjutamisblokk (''ingl. k write blocker'') ehk seade, mis deaktiveerib redigreerimise võimalused vältimaks juhuslikke vigu omandamisel;
duplikaator (''ingl. k forensic duplicator'') ehk seade, mis kopeerib kõvaketta sisu;
buudiketas ehk flopiketas või CD-ROM, mis sisaldab operatsioonisüsteemi põhiosi ja selle käivitamiseks vajalikke abifaile;
kaughaldus ehk spetsiaalne tarkvara seadmete kaugdiagnostikaks üle võrgu;<ref name="Carb"> </ref>

Näide Eesti kohtupraktikast, kus tõendusmaterjal kuulutati ebasobivaks:

2010. aastal jälgis Eesti avalikkus suure huviga maadevahetuse protsessi. Kohtumenetluse üheks oluliseks asitõendiks olid ühe kohtualuse arvuti kõvakettalt leitud dokumendid. Uurijad tõid tõendusmaterjalina kohtusse kõvaketta koopia, ent kui kohtualuse advokaat tegi ettepaneku kontrollida koopia digitaalset sõrmejälge ehk räsi (hash), siis selgus, et hash võti oli vahepeal muutunud. Kuna menetlejate tehtud vigade tõttu ei olnud tõendite autentsus ega puutumatus enam garanteeritud, siis tegi kohtualuse advokaat kohtule taotluse arvuti kõvakettalt leitud dokumente mitte avaldada.<ref>Eesti Ekspress, 18.05.2010 http://ekspress.delfi.ee/kuum/advokaadid-blokeerisid-kanguri-arvutist-leitud-dokumentide-avaldamise?id=31116149 </ref>

'''Analüüs'''

Analüüs on juurdluse selline faas, mis omab enim tehnilisi aspekte. Mõned näiteid nendest:

vajaduspärane tehniline teadmine operatsioonisüsteemist, failisüsteemist, arvutivõrgust ja aplikatsioonidest;
spetsiaalselt arendatud tarkvara on vajalik;
oskus luua filtreid ning otsida tõendeid arvuti operatsioonisüsteemi sündmustelogidest;<ref name="Carb"> </ref>

'''Aruandlus/presenteerimine'''

Pärast tulemuste saamist ning kokkuvõtete tegemist juurdluses, on vaja teostada järgmised sammud:

kohandada aruandluse keel konkreetsele sihtgrupile – kasutada tehnilist keelt tehnilise meeskonna tarbeks ja formaalset ning sobivat keelekasutust tuleks esitleda advokaatidele, kohtunikele jt;
hoolitseda, et aruanded oleksid selged, kokkuvõtvad ning arvamuste vabad;
tagada aruandlus erinevates failiformaatides nagu PDF, HTML, DOC jne;<ref name="Carb"> </ref>

'''Digitaalsete tõendite omandamise põhilised meetodid'''

'''Koopiate tegemine'''

Kindlustamaks kogutud andmete kõlblikkus, koostatakse tõendusmaterjalist täpseid koopiaid(ingl. k forensic images), tuntud kui bitivoog(ingl. k bit stream). See tagab andmete eelanalüüsi, informatsiooni otsingu ja hävimälust(ingl. k volatile memory) andmete kogumise(nt RAM). Samuti loob see võimaluse mõista digitõendite kogumise protsessi, mis on üks kõige missioonikriitilisemaid faktoreid. On oluline mõista, et andmete omandamine võib olla võimalik mitte ainult kõvaketta ruumis, vaid ka teiste seadmete mälumahus. Mõningad näited -
magnetmeedium:

flopikettad;
kõvakettad;
USB või PC-kaardid;
ZIP-kettad ja lintmäluseadmed;

optiline meedium:

CD-d;
CD-R-id ja CD-RW-d;
DVD-d;

alternatiivne meedium:

MP3 mängijad;
tahvelarvutid;
nutitelefonid;
videomängud, televiisor jne;

Bitivoog duplikeerib andmete kogumahu, välistades juhusliku andmete muutmise võimalikkuse originaal-andmekandjal. Tõendusmaterjali täpne koopia on identne originaaliga, mis hõlmab ka andmekandja tühja ruumi või mitte andmetega täidetud mälumahu. Samuti on võimalik kustutatud andmete taastamine. Kohtuekspertiisiline duplikeerimine lubab pidada kogu juurdlusprotsessi koopial, säilitades andmete originaalsuse esialgsel andmekandjal kasutamaks seda kohtukaasustes. Hilisem analüüs saab juba toimuda spetsiaalsel kohtuekspertiisi tarkvara platvormil, mis lubab andmete detailsemat uurimist ning saadud informatsioonist lõppraporti koostamist. <ref name="Carb"> </ref>

'''Operatsioonisüsteemi logide uurimine'''

Enamik spetsiaalseid kohtuekspertiisi tarkvara platvorme pakuvad võimalust ka vaadata ka andmeid operatsioonisüsteemide registritest detailsemalt kuid suudavad anda ka ülevaatlikumat pilti, kui näiteks Windowsis regedit. Vastupidiselt traditsioonilistest OSi registriredaktoritest suudavad spetsiaalselt kohtuekspertiisiks välja töötatud tarkvaraprogrammid visualiseerida kogupilti kõikides operatsioonisüsteemidest . Samuti tagatakse kasutajale ligipääs registry poolt kaitstud andmetele, mis sisaldab endas paroole, kasutajanimesid, sisselogimiskordi, viimast sisselogimisaega, parooli muutmisi ja muud säärast kasutajaspetsiifilist infot. Enamasti on küll vajalik tunda failisüsteemi iseärasusi, et efektiivselt tööriistaga töötada. <ref name="Carb"> </ref>

=Andmete peitmine ja otsimine=
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

=Ekspertiis ja kohtupraktika=

==Eesti IT-ekspertiisi praktika==

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

==Eesti kohtupraktika==

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi. Kokku registreeriti 2016. aastal selliseid süütegusid 608. Seejuures üldine kuritegevuse tase langes 11% võrra. <ref name="J2017">Justiitsministeerium (2017) Kuritegevus Eestis 2016. http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf</ref> Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 https://www.riigiteataja.ee/akt/184411?leiaKehtiv</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses. <ref name="J2017"></ref>

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü. <ref name="J2017"></ref> Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud. <ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu. <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716</ref> Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²). Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137). <ref name="J2017"></ref> Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%). 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni. <ref name="J2017"></ref>

=Kokkuvõte=

=Viited=

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T20:08:08Z

Mkangur: /* Arvutikriminalistika areng */

[[Category:ITSPEA 2016 kaugõpe]]
Autorid: Mari-Liis Oldja, Margit Kangur, Reilika Saks, Gregor Luukas

=Sissejuhatus=
Tänapäeval on raske ette kujutada kuritegu, millel poleks digitaalset mõõdet. Erinevaid infotehnoloogilisi vahendeid võib leida iga inimese töökohast, kodust ja taskust. Iga arvutis, nutitelefonis või võrgus tehtud liigutus jätab endast maha jälje, olgu selleks siis arvuti IP-aadress, võrgus sooritatud infootsingu tulemus, salvestatud fail või mõni muu esmapilgul silmatorkamatuks jääda võiv märk, mis võib osutuda õlekõrreks kuriteo lahendamisel. Digitaalsete jälgede avastamine ja uurimine eeldab laialdasi teadmisi nii kriminalistikast, erinevatest uurimismeetoditest, kasutusel olevatest tööriistadest kui ka infotehnoloogiast üldisemalt.

=Arvutikuritegevuse ja kriminalistika areng=
Andmekaitse ja infoturbe leksikon defineerib arvutikriminalistikat kui arvutites ja digitaalsetel andmekandjatel olevate kohtukõlblike asitõendite avastamise ja uurimisega tegelevat kriminalistikaharu <ref>Andmekaitse ja infoturbe leksikon. http://akit.cyber.ee/term/492-arvutikriminalistika</ref>.

Kuigi teiste kriminalistikaharudega võrreldes peetakse arvutikriminalistikat suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuriteod iseenesest sugugi uus, vaid tänapäevale iseloomulik nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul hakati arvuti väärkasutuse juhtumeid dokumenteerima praktiliselt nende kasutuselevõtmise hetkest alates <ref>Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf</ref>. 1960-ndatel aastatel IT-töötajate ebaeetilist ja seadusevastast arvutikasutamist uurinud Stanfordi uurimisinstituudi teadlane Donn Parker tõdes: „''kui inimesed sisenesid arvutuskeskusesse, siis jätsid nad eetika ukse taha''“ <ref name="Bem">Bem, D., Feld, F., Huebner, E., Bem, O. (2008). Computer Forensics – Past, Present and Future. Journal of Information Science and Technology, JIST 5(3) 2008, lk 43-59. https://pdfs.semanticscholar.org/491f/9bf892071f5fc9773de1c9abc2df691391cd.pdf</ref>.

Arvutikuritegude hüppeline kasv sai alguse 1980-ndatel aastatel ühes personaalarvutite laiema levikuga ning viis selleni, et arvutikuriteod kuulutati eraldiseisvaks kuriteoliigiks. Nagu iga kuritegu, vajas ka arvutikuritegu kohtumenetluse läbiviimiseks usaldusväärset tõendusmaterjali, mis pani omakorda aluse arvutikriminalistika kui iseseisva kriminalistikaharu tekkele. 1990-ndateks aastateks olid kõik tehnoloogiliselt arenenud riigid arvutikuritegevuse olemusest ja võimalikest riskidest teadlikumaks saanud ning arvutikuritegude uurimiseks ja süülisuse tuvastamiseks hakati koostama täpsemaid protseduurireegleid. Selleks ajaks oli mitmel pool loodud spetsiaalseid arvutikuritegevusele keskendunud teaduslikke uurimiskeskusi ning ka tarkvaratootjad hakkasid omalt poolt pakkuma arvutikuritegude tuvastamiseks sobilikke tööriistu.<ref name="Bem"></ref>

Tänaseks on arvuti- või laiemas mõistes küberkuritegevusest saanud kõige kiiremini kasvav kuriteoliik maailmas. Möödunud aastal Suurbritannia riikliku kuritegevuse ameti (NCA) poolt avaldatud raportist selgub, et Suurbritannias ületab kübervahenditega seotud kuritegude arv juba kõik teised kuritegude liigid. Kübervahendite kaasabil toime pandud kuriteod nagu näiteks pettused, ebaseaduslik narkootikumide ostmine või interneti vahendusel laste seksuaalne ärakasutamine moodustas Suurbritannias 2015. aastal 36% kuritegudest. Kübervahenditele toetuvad kuriteod nagu näiteks pahavara levitamine, delikaatsete isikuandmete või ärisaladuste varastamine ja DDoS rünnakud aga 17% kõikidest kuritegudest.<ref name="NCA">National Crime Agency. (07.07.2016). Cyber Crime Assessment 2016. http://www.nationalcrimeagency.gov.uk/publications/709-cyber-crime-assessment-2016/file</ref>

Tõenäoliselt on arvutikuritegevus siiski veel rohkem levinud, kui numbrite põhjal järeldada võib, sest suurem osa intsidentidest jääb ametlikult registreerimata. Nii näiteks leidis Suurbritannias riikliku statistikaameti hinnangul 2015. aastal aset 2,46 miljonit küberintsidenti, mille tagajärjel kannatas 2,11 miljonit isikut, samas kui ametivõime teavitati vaid 16 349 kübervahenditele toetuvast ning umbes 700 000 kübervahendite kaasabil toime pandud intsidendist<ref name="NCA"></ref>. Ka Eesti keskkriminaalpolitsei küberkuritegude büroo juht tunnistab, et küberkuritegevusega seostub tihti ohvrimentaliteet. Inimene tunneb piinlikkust, et just tema või näiteks tema asutus kuriteo ohvriks langes ega taha juhtunust avalikult kõnelda.<ref>Lõugas, H. (27.11.2016). Mida tähendab Eestis küberkuritegevusega võitlemine? Loomingulisust, põnevust ja kohanemist. https://geenius.ee/uudis/mida-tahendab-eestis-kuberkuritegevusega-voitlemine-loomingulisust-ponevust-ja-kohanemist</ref>.

Üha agressiivsemaks ja tehniliselt võimekamaks muutuv arvutikuritegevus esitab kriminalistidele kahtlemata järjest suuremaid väljakutseid.

=Tõendite kogumise protsess ning selle tähtsus=

Tänu indekseerimisele ja filtreerimisele, mis tagavad kiire juurdepääsu asjakohastele tõenditele, on kaasustes kasutatavate andmete analüüsiks kuluv aeg märkimisväärselt kahanenud. Kuid efektiivne juurdlus kohtuekspertiisis tähendab seda, et keskendutakse väga detailselt iga juurdluse kui arengu osasse, vältimaks vigu, mis võivad kahjustada tugeva kaasuse sündi. Tänases kohtupraktikas panevad kaitsjad üha enam rõhku tõendite kõlblikkuse annulleerimisele, viidates vigadele, mida on tehtud tõendeid kogudes, talletades jms. Seetõttu ei saa ka arvutikriminalistikas läbi sõrmede vaadata just digitaalsete tõendite hankimise protsessidest. Kohtuekpertiisi digitaalsete tõendite juurdlus kätkeb endas põhiliselt nelja üksteisele järgnevat protsessi, milleks on ettevalmistus, omandamine/säilitamine, analüüs ja aruandlus/presenteerimine.

'''Ettevalmistus'''

Kohtuekspertiisi spetsialisti jaoks on väga tähtis olla ettevalmistatud eesolevaks juurdluseks ning peaks silmas pidama järgmisi aspekte:

enne tõendite koguma hakkamist, tuleb sätestada digijuurdluse üldprotsess;
väljaõpetatud väli- ja laborimeeskonnad peavad omama järgmist:
tehniline väljaõpe:
vajalikud oskused ja teadlikkus, kuidas kasutada arvutikriminalistika vahendeid;
protseduuriline väljaõpe: vajalik konseptsioon parimatest tavadest, kordadest, töövoogudest( ingl. k workflow) viimaks läbi digijuurdlust;
adekvaatne riist- ja tarkvara;<ref name="Carb">Carbone, F. (2014) Computer Forensics with FTK. Packt Publishing </ref>

'''Omandamine/säilitamine'''

Omandamist ning säilitamist loetakse kõige kriitilisemateks sammudeks digitaalsete tõendite kogumise protsessis, kuna eksimustele kehtib omandamise ajal nulltolerants. Põhiline printsiip arvutikriminalistikas on digitõendite rikkumatuse säilitamine.

Omandamine saavutatakse järgnevate vahendite kasutamisel:
kirjutamisblokk(ingl. k write blocker) ehk seade, mis deaktiveerib redigreerimise võimalused vältimaks juhuslikke vigu omandamisel;
duplikaator(ingl. k forensic duplicator) ehk seade, mis kopeerib kõvaketta sisu;
buudiketas ehk flopiketas või CD-ROM, mis sisaldab operatsioonisüsteemi põhiosi ja selle käivitamiseks vajalikke abifaile;
kaughaldus ehk spetsiaalne tarkvara seadmete kaugdiagnostikaks üle võrgu;<ref name="Carb"> </ref>

'''Analüüs'''

Analüüs on juurdluse selline faas, mis omab enim tehnilisi aspekte. Mõned näiteid nendest:

vajaduspärane tehniline teadmine operatsioonisüsteemist, failisüsteemist, arvutivõrgust ja aplikatsioonidest;
spetsiaalselt arendatud tarkvara on vajalik;
oskus luua filtreid ning otsida tõendeid arvuti operatsioonisüsteemi sündmustelogidest;<ref name="Carb"> </ref>

'''Aruandlus/presenteerimine'''

Pärast tulemuste saamist ning kokkuvõtete tegemist juurdluses, on vaja teostada järgmised sammud:

kohandada aruandluse keel konkreetsele sihtgrupile – kasutada tehnilist keelt tehnilise meeskonna tarbeks ja formaalset ning sobivat keelekasutust tuleks esitleda advokaatidele, kohtunikele jt;
hoolitseda, et aruanded oleksid selged, kokkuvõtvad ning arvamuste vabad;
tagada aruandlus erinevates failiformaatides nagu PDF, HTML, DOC jne;<ref name="Carb"> </ref>

'''Digitaalsete tõendite omandamise põhilised meetodid'''

'''Koopiate tegemine'''

Kindlustamaks kogutud andmete kõlblikkus, koostatakse tõendusmaterjalist täpseid koopiaid(ingl. k forensic images), tuntud kui bitivoog(ingl. k bit stream). See tagab andmete eelanalüüsi, informatsiooni otsingu ja hävimälust(ingl. k volatile memory) andmete kogumise(nt RAM). Samuti loob see võimaluse mõista digitõendite kogumise protsessi, mis on üks kõige missioonikriitilisemaid faktoreid. On oluline mõista, et andmete omandamine võib olla võimalik mitte ainult kõvaketta ruumis, vaid ka teiste seadmete mälumahus. Mõningad näited -
magnetmeedium:

flopikettad;
kõvakettad;
USB või PC-kaardid;
ZIP-kettad ja lintmäluseadmed;

optiline meedium:

CD-d;
CD-R-id ja CD-RW-d;
DVD-d;

alternatiivne meedium:

MP3 mängijad;
tahvelarvutid;
nutitelefonid;
videomängud, televiisor jne;

Bitivoog duplikeerib andmete kogumahu, välistades juhusliku andmete muutmise võimalikkuse originaal-andmekandjal. Tõendusmaterjali täpne koopia on identne originaaliga, mis hõlmab ka andmekandja tühja ruumi või mitte andmetega täidetud mälumahu. Samuti on võimalik kustutatud andmete taastamine. Kohtuekspertiisiline duplikeerimine lubab pidada kogu juurdlusprotsessi koopial, säilitades andmete originaalsuse esialgsel andmekandjal kasutamaks seda kohtukaasustes. Hilisem analüüs saab juba toimuda spetsiaalsel kohtuekspertiisi tarkvara platvormil, mis lubab andmete detailsemat uurimist ning saadud informatsioonist lõppraporti koostamist. <ref name="Carb"> </ref>

'''Operatsioonisüsteemi logide uurimine'''

Enamik spetsiaalseid kohtuekspertiisi tarkvara platvorme pakuvad võimalust ka vaadata ka andmeid operatsioonisüsteemide registritest detailsemalt kuid suudavad anda ka ülevaatlikumat pilti, kui näiteks Windowsis regedit. Vastupidiselt traditsioonilistest OSi registriredaktoritest suudavad spetsiaalselt kohtuekspertiisiks välja töötatud tarkvaraprogrammid visualiseerida kogupilti kõikides operatsioonisüsteemidest . Samuti tagatakse kasutajale ligipääs registry poolt kaitstud andmetele, mis sisaldab endas paroole, kasutajanimesid, sisselogimiskordi, viimast sisselogimisaega, parooli muutmisi ja muud säärast kasutajaspetsiifilist infot. Enamasti on küll vajalik tunda failisüsteemi iseärasusi, et efektiivselt tööriistaga töötada. <ref name="Carb"> </ref>

=Andmete peitmine ja otsimine=
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

=Ekspertiis ja kohtupraktika=

==Eesti IT-ekspertiisi praktika==

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

==Eesti kohtupraktika==

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi. Kokku registreeriti 2016. aastal selliseid süütegusid 608. Seejuures üldine kuritegevuse tase langes 11% võrra. <ref name="J2017">Justiitsministeerium (2017) Kuritegevus Eestis 2016. http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf</ref> Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 https://www.riigiteataja.ee/akt/184411?leiaKehtiv</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses. <ref name="J2017"></ref>

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü. <ref name="J2017"></ref> Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud. <ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu. <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716</ref> Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²). Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137). <ref name="J2017"></ref> Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%). 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni. <ref name="J2017"></ref>

=Kokkuvõte=

=Viited=

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T20:05:36Z

Mkangur: /* Arvutikriminalistika areng */

[[Category:ITSPEA 2016 kaugõpe]]
Autorid: Mari-Liis Oldja, Margit Kangur, Reilika Saks, Gregor Luukas

=Sissejuhatus=
Tänapäeval on raske ette kujutada kuritegu, millel poleks digitaalset mõõdet. Erinevaid infotehnoloogilisi vahendeid võib leida iga inimese töökohast, kodust ja taskust. Iga arvutis, nutitelefonis või võrgus tehtud liigutus jätab endast maha jälje, olgu selleks siis arvuti IP-aadress, võrgus sooritatud infootsingu tulemus, salvestatud fail või mõni muu esmapilgul silmatorkamatuks jääda võiv märk, mis võib osutuda õlekõrreks kuriteo lahendamisel. Digitaalsete jälgede avastamine ja uurimine eeldab laialdasi teadmisi nii kriminalistikast, erinevatest uurimismeetoditest, kasutusel olevatest tööriistadest kui ka infotehnoloogiast üldisemalt.

=Arvutikriminalistika areng=
Andmekaitse ja infoturbe leksikon defineerib arvutikriminalistikat kui arvutites ja digitaalsetel andmekandjatel olevate kohtukõlblike asitõendite avastamise ja uurimisega tegelevat kriminalistikaharu <ref>Andmekaitse ja infoturbe leksikon. http://akit.cyber.ee/term/492-arvutikriminalistika</ref>.

Kuigi teiste kriminalistikaharudega võrreldes peetakse arvutikriminalistikat suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuriteod iseenesest sugugi uus, vaid tänapäevale iseloomulik nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul hakati arvuti väärkasutuse juhtumeid dokumenteerima praktiliselt nende kasutuselevõtmise hetkest alates <ref>Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf</ref>. 1960-ndatel aastatel IT-töötajate ebaeetilist ja seadusevastast arvutikasutamist uurinud Stanfordi uurimisinstituudi teadlane Donn Parker tõdes: „''kui inimesed sisenesid arvutuskeskusesse, siis jätsid nad eetika ukse taha''“ <ref name="Bem">Bem, D., Feld, F., Huebner, E., Bem, O. (2008). Computer Forensics – Past, Present and Future. Journal of Information Science and Technology, JIST 5(3) 2008, lk 43-59. https://pdfs.semanticscholar.org/491f/9bf892071f5fc9773de1c9abc2df691391cd.pdf</ref>.

Arvutikuritegude hüppeline kasv sai alguse 1980-ndatel aastatel ühes personaalarvutite laiema levikuga ning viis selleni, et arvutikuriteod kuulutati eraldiseisvaks kuriteoliigiks. Nagu iga kuritegu, vajas ka arvutikuritegu kohtumenetluse läbiviimiseks usaldusväärset tõendusmaterjali, mis pani omakorda aluse arvutikriminalistika kui iseseisva kriminalistikaharu tekkele. 1990-ndateks aastateks olid kõik tehnoloogiliselt arenenud riigid arvutikuritegevuse olemusest ja võimalikest riskidest teadlikumaks saanud ning arvutikuritegude uurimiseks ja süülisuse tuvastamiseks hakati koostama täpsemaid protseduurireegleid. Selleks ajaks oli mitmel pool loodud spetsiaalseid arvutikuritegevusele keskendunud teaduslikke uurimiskeskusi ning ka tarkvaratootjad hakkasid omalt poolt pakkuma arvutikuritegude tuvastamiseks sobilikke tööriistu.<ref name="Bem"></ref>

Tänaseks on arvuti- või laiemas mõistes küberkuritegevusest saanud kõige kiiremini kasvav kuriteoliik maailmas. Möödunud aastal Suurbritannia riikliku kuritegevuse ameti (NCA) poolt avaldatud raportist selgub, et Suurbritannias ületab kübervahenditega seotud kuritegude arv juba kõik teised kuritegude liigid. Kübervahendite kaasabil toime pandud kuriteod nagu näiteks pettused, ebaseaduslik narkootikumide ostmine või interneti vahendusel laste seksuaalne ärakasutamine moodustas Suurbritannias 2015. aastal 36% kuritegudest. Kübervahenditele toetuvad kuriteod nagu näiteks pahavara levitamine, delikaatsete isikuandmete või ärisaladuste varastamine ja DDoS rünnakud aga 17% kõikidest kuritegudest.<ref name="NCA">National Crime Agency. (07.07.2016). Cyber Crime Assessment 2016. http://www.nationalcrimeagency.gov.uk/publications/709-cyber-crime-assessment-2016/file</ref>

Tõenäoliselt on arvutikuritegevus siiski veel rohkem levinud, kui numbrite põhjal järeldada võib, sest suurem osa intsidentidest jääb ametlikult registreerimata. Nii näiteks leidis Suurbritannias riikliku statistikaameti hinnangul 2015. aastal aset 2,46 miljonit küberintsidenti, mille tagajärjel kannatas 2,11 miljonit isikut, samas kui ametivõime teavitati vaid 16 349 kübervahenditele toetuvast ning umbes 700 000 kübervahendite kaasabil toime pandud intsidendist<ref name="NCA"></ref>. Ka Eesti keskkriminaalpolitsei küberkuritegude büroo juht tunnistab, et küberkuritegevusega seostub tihti ohvrimentaliteet. Inimene tunneb piinlikkust, et just tema või näiteks tema asutus kuriteo ohvriks langes ega taha juhtunust avalikult kõnelda.<ref>Lõugas, H. (27.11.2016). Mida tähendab Eestis küberkuritegevusega võitlemine? Loomingulisust, põnevust ja kohanemist. https://geenius.ee/uudis/mida-tahendab-eestis-kuberkuritegevusega-voitlemine-loomingulisust-ponevust-ja-kohanemist</ref>.

Üha agressiivsemaks ja tehniliselt võimekamaks muutuv arvutikuritegevus esitab kriminalistidele kahtlemata järjest suuremaid väljakutseid.

=Tõendite kogumise protsess ning nende omandamine arvutikriminalistikas=

Tänu indekseerimisele ja filtreerimisele, mis tagavad kiire juurdepääsu asjakohastele tõenditele, on kaasustes kasutatavate andmete analüüsiks kuluv aeg märkimisväärselt kahanenud. Kuid efektiivne juurdlus kohtuekspertiisis tähendab seda, et keskendutakse väga detailselt iga juurdluse kui arengu osasse, vältimaks vigu, mis võivad kahjustada tugeva kaasuse sündi. Tänases kohtupraktikas panevad kaitsjad üha enam rõhku tõendite kõlblikkuse annulleerimisele, viidates vigadele, mida on tehtud tõendeid kogudes, talletades jms. Seetõttu ei saa ka arvutikriminalistikas läbi sõrmede vaadata just digitaalsete tõendite hankimise protsessidest. Kohtuekpertiisi digitaalsete tõendite juurdlus kätkeb endas põhiliselt nelja üksteisele järgnevat protsessi, milleks on ettevalmistus, omandamine/säilitamine, analüüs ja aruandlus/presenteerimine.

'''Ettevalmistus'''

Kohtuekspertiisi spetsialisti jaoks on väga tähtis olla ettevalmistatud eesolevaks juurdluseks ning peaks silmas pidama järgmisi aspekte:

enne tõendite koguma hakkamist, tuleb sätestada digijuurdluse üldprotsess;
väljaõpetatud väli- ja laborimeeskonnad peavad omama järgmist:
tehniline väljaõpe:
vajalikud oskused ja teadlikkus, kuidas kasutada arvutikriminalistika vahendeid;
protseduuriline väljaõpe: vajalik konseptsioon parimatest tavadest, kordadest, töövoogudest( ingl. k workflow) viimaks läbi digijuurdlust;
adekvaatne riist- ja tarkvara;<ref name="Carb">Carbone, F. (2014) Computer Forensics with FTK. Packt Publishing </ref>

'''Omandamine/säilitamine'''

Omandamist ning säilitamist loetakse kõige kriitilisemateks sammudeks digitaalsete tõendite kogumise protsessis, kuna eksimustele kehtib omandamise ajal nulltolerants. Põhiline printsiip arvutikriminalistikas on digitõendite rikkumatuse säilitamine.

Omandamine saavutatakse järgnevate vahendite kasutamisel:
kirjutamisblokk(ingl. k write blocker) ehk seade, mis deaktiveerib redigreerimise võimalused vältimaks juhuslikke vigu omandamisel;
duplikaator(ingl. k forensic duplicator) ehk seade, mis kopeerib kõvaketta sisu;
buudiketas ehk flopiketas või CD-ROM, mis sisaldab operatsioonisüsteemi põhiosi ja selle käivitamiseks vajalikke abifaile;
kaughaldus ehk spetsiaalne tarkvara seadmete kaugdiagnostikaks üle võrgu;<ref name="Carb"> </ref>

'''Analüüs'''

Analüüs on juurdluse selline faas, mis omab enim tehnilisi aspekte. Mõned näiteid nendest:

vajaduspärane tehniline teadmine operatsioonisüsteemist, failisüsteemist, arvutivõrgust ja aplikatsioonidest;
spetsiaalselt arendatud tarkvara on vajalik;
oskus luua filtreid ning otsida tõendeid arvuti operatsioonisüsteemi sündmustelogidest;<ref name="Carb"> </ref>

'''Aruandlus/presenteerimine'''

Pärast tulemuste saamist ning kokkuvõtete tegemist juurdluses, on vaja teostada järgmised sammud:

kohandada aruandluse keel konkreetsele sihtgrupile – kasutada tehnilist keelt tehnilise meeskonna tarbeks ja formaalset ning sobivat keelekasutust tuleks esitleda advokaatidele, kohtunikele jt;
hoolitseda, et aruanded oleksid selged, kokkuvõtvad ning arvamuste vabad;
tagada aruandlus erinevates failiformaatides nagu PDF, HTML, DOC jne;<ref name="Carb"> </ref>

'''Digitaalsete tõendite omandamise põhilised meetodid'''

'''Koopiate tegemine'''

Kindlustamaks kogutud andmete kõlblikkus, koostatakse tõendusmaterjalist täpseid koopiaid(ingl. k forensic images), tuntud kui bitivoog(ingl. k bit stream). See tagab andmete eelanalüüsi, informatsiooni otsingu ja hävimälust(ingl. k volatile memory) andmete kogumise(nt RAM). Samuti loob see võimaluse mõista digitõendite kogumise protsessi, mis on üks kõige missioonikriitilisemaid faktoreid. On oluline mõista, et andmete omandamine võib olla võimalik mitte ainult kõvaketta ruumis, vaid ka teiste seadmete mälumahus. Mõningad näited -
magnetmeedium:

flopikettad;
kõvakettad;
USB või PC-kaardid;
ZIP-kettad ja lintmäluseadmed;

optiline meedium:

CD-d;
CD-R-id ja CD-RW-d;
DVD-d;

alternatiivne meedium:

MP3 mängijad;
tahvelarvutid;
nutitelefonid;
videomängud, televiisor jne;

Bitivoog duplikeerib andmete kogumahu, välistades juhusliku andmete muutmise võimalikkuse originaal-andmekandjal. Tõendusmaterjali täpne koopia on identne originaaliga, mis hõlmab ka andmekandja tühja ruumi või mitte andmetega täidetud mälumahu. Samuti on võimalik kustutatud andmete taastamine. Kohtuekspertiisiline duplikeerimine lubab pidada kogu juurdlusprotsessi koopial, säilitades andmete originaalsuse esialgsel andmekandjal kasutamaks seda kohtukaasustes. Hilisem analüüs saab juba toimuda spetsiaalsel kohtuekspertiisi tarkvara platvormil, mis lubab andmete detailsemat uurimist ning saadud informatsioonist lõppraporti koostamist. <ref name="Carb"> </ref>

'''Operatsioonisüsteemi logide uurimine'''

Enamik spetsiaalseid kohtuekspertiisi tarkvara platvorme pakuvad võimalust ka vaadata ka andmeid operatsioonisüsteemide registritest detailsemalt kuid suudavad anda ka ülevaatlikumat pilti, kui näiteks Windowsis regedit. Vastupidiselt traditsioonilistest OSi registriredaktoritest suudavad spetsiaalselt kohtuekspertiisiks välja töötatud tarkvaraprogrammid visualiseerida kogupilti kõikides operatsioonisüsteemidest . Samuti tagatakse kasutajale ligipääs registry poolt kaitstud andmetele, mis sisaldab endas paroole, kasutajanimesid, sisselogimiskordi, viimast sisselogimisaega, parooli muutmisi ja muud säärast kasutajaspetsiifilist infot. Enamasti on küll vajalik tunda failisüsteemi iseärasusi, et efektiivselt tööriistaga töötada. <ref name="Carb"> </ref>

=Andmete peitmine ja otsimine=
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

=Ekspertiis ja kohtupraktika=

==Eesti IT-ekspertiisi praktika==

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

==Eesti kohtupraktika==

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi. Kokku registreeriti 2016. aastal selliseid süütegusid 608. Seejuures üldine kuritegevuse tase langes 11% võrra. <ref name="J2017">Justiitsministeerium (2017) Kuritegevus Eestis 2016. http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf</ref> Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 https://www.riigiteataja.ee/akt/184411?leiaKehtiv</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses. <ref name="J2017"></ref>

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü. <ref name="J2017"></ref> Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud. <ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu. <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716</ref> Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²). Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137). <ref name="J2017"></ref> Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%). 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni. <ref name="J2017"></ref>

=Kokkuvõte=

=Viited=

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T19:58:50Z

Mkangur: /* Kokkuvõte */

[[Category:ITSPEA 2016 kaugõpe]]
Autorid: Mari-Liis Oldja, Margit Kangur, Reilika Saks, Gregor Luukas

=Sissejuhatus=
Tänapäeval on raske ette kujutada kuritegu, millel poleks digitaalset mõõdet. Erinevaid infotehnoloogilisi vahendeid võib leida iga inimese töökohast, kodust ja taskust. Iga arvutis, nutitelefonis või võrgus tehtud liigutus jätab endast maha jälje, olgu selleks siis arvuti IP-aadress, võrgus sooritatud infootsingu tulemus, salvestatud fail või mõni muu esmapilgul silmatorkamatuks jääda võiv märk, mis võib osutuda õlekõrreks kuriteo lahendamisel. Digitaalsete jälgede avastamine ja uurimine eeldab laialdasi teadmisi nii kriminalistikast, erinevatest uurimismeetoditest, kasutusel olevatest tööriistadest kui ka infotehnoloogiast üldisemalt.

=Arvutikriminalistika areng=
Andmekaitse ja infoturbe leksikon defineerib arvutikriminalistikat kui arvutites ja digitaalsetel andmekandjatel olevate kohtukõlblike asitõendite avastamise ja uurimisega tegelevat kriminalistikaharu <ref>Andmekaitse ja infoturbe leksikon. http://akit.cyber.ee/term/492-arvutikriminalistika</ref>.

Kuigi teiste kriminalistikaharudega võrreldes peetakse arvutikriminalistikat suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuriteod iseenesest sugugi uus, vaid tänapäevale iseloomulik nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul hakati arvuti väärkasutuse juhtumeid dokumenteerima praktiliselt nende kasutuselevõtmise hetkest alates <ref>Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf</ref>. 1960-ndatel aastatel IT-töötajate ebaeetilist ja seadusevastast arvutikasutamist uurinud Stanfordi uurimisinstituudi teadlane Donn Parker tõdes: „''kui inimesed sisenesid arvutuskeskusesse, siis jätsid nad eetika ukse taha''“ <ref name="Bem">Bem, D., Feld, F., Huebner, E., Bem, O. (2008). Computer Forensics – Past, Present and Future. Journal of Information Science and Technology, JIST 5(3) 2008, lk 43-59. https://pdfs.semanticscholar.org/491f/9bf892071f5fc9773de1c9abc2df691391cd.pdf</ref>.

Arvutikuritegude hüppeline kasv sai alguse 1980-ndatel aastatel ühes personaalarvutite laiema levikuga ning viis selleni, et arvutikuriteod kuulutati eraldiseisvaks kuriteoliigiks. Nagu iga kuritegu, vajas ka arvutikuritegu kohtumenetluse läbiviimiseks usaldusväärset tõendusmaterjali, mis pani omakorda aluse arvutikriminalistika kui iseseisva kriminalistikaharu tekkele. 1990-ndateks aastateks olid kõik tehnoloogiliselt arenenud riigid arvutikuritegevuse olemusest ja võimalikest riskidest teadlikumaks saanud ning arvutikuritegude uurimiseks ja süülisuse tuvastamiseks hakati koostama täpsemaid protseduurireegleid. Selleks ajaks oli mitmel pool loodud spetsiaalseid arvutikuritegevusele keskendunud teaduslikke uurimiskeskusi ning ka tarkvaratootjad hakkasid omalt poolt pakkuma arvutikuritegude tuvastamiseks sobilikke tööriistu.<ref name="Bem"></ref>

Tänaseks on arvuti- või laiemas mõistes küberkuritegevusest saanud kõige kiiremini kasvav kuriteoliik maailmas. Möödunud aastal Suurbritannia riikliku kuritegevuse ameti (NCA) poolt avaldatud raportist selgub, et Suurbritannias ületab kübervahenditega seotud kuritegude arv juba kõik teised kuritegude liigid. Kübervahendite kaasabil toime pandud kuriteod nagu näiteks pettused, ebaseaduslik narkootikumide ostmine või interneti vahendusel laste seksuaalne ärakasutamine moodustas Suurbritannias 2015. aastal 36% kuritegudest. Kübervahenditele toetuvad kuriteod nagu näiteks pahavara levitamine, delikaatsete isikuandmete või ärisaladuste varastamine ja DDoS rünnakud aga 17% kõikidest kuritegudest.<ref name="NCA">National Crime Agency. (07.07.2016). Cyber Crime Assessment 2016. http://www.nationalcrimeagency.gov.uk/publications/709-cyber-crime-assessment-2016/file</ref>

Tõenäoliselt on arvutikuritegevus siiski veel rohkem levinud, kui numbrite põhjal järeldada võib, sest suurem osa intsidentidest jääb ametlikult registreerimata. Nii näiteks leidis Suurbritannias riikliku statistikaameti hinnangul 2015. aastal aset 2,46 miljonit küberintsidenti, mille tagajärjel kannatas 2,11 miljonit isikut, samas kui ametivõime teavitati vaid 16 349 kübervahenditele toetuvast ning umbes 700 000 kübervahendite kaasabil toime pandud intsidendist<ref name="NCA"></ref>. Ka Eesti keskkriminaalpolitsei küberkuritegude büroo juht tunnistab, et küberkuritegevusega seostub tihti ohvrimentaliteet. Inimene tunneb piinlikkust, et just tema või näiteks tema asutus kuriteo ohvriks langes ega taha juhtunust avalikult kõnelda.<ref>Lõugas, H. (27.11.2016). Mida tähendab Eestis küberkuritegevusega võitlemine? Loomingulisust, põnevust ja kohanemist. https://geenius.ee/uudis/mida-tahendab-eestis-kuberkuritegevusega-voitlemine-loomingulisust-ponevust-ja-kohanemist</ref>.

=Tõendite kogumise protsess ning nende omandamine arvutikriminalistikas=

Tänu indekseerimisele ja filtreerimisele, mis tagavad kiire juurdepääsu asjakohastele tõenditele, on kaasustes kasutatavate andmete analüüsiks kuluv aeg märkimisväärselt kahanenud. Kuid efektiivne juurdlus kohtuekspertiisis tähendab seda, et keskendutakse väga detailselt iga juurdluse kui arengu osasse, vältimaks vigu, mis võivad kahjustada tugeva kaasuse sündi. Tänases kohtupraktikas panevad kaitsjad üha enam rõhku tõendite kõlblikkuse annulleerimisele, viidates vigadele, mida on tehtud tõendeid kogudes, talletades jms. Seetõttu ei saa ka arvutikriminalistikas läbi sõrmede vaadata just digitaalsete tõendite hankimise protsessidest. Kohtuekpertiisi digitaalsete tõendite juurdlus kätkeb endas põhiliselt nelja üksteisele järgnevat protsessi, milleks on ettevalmistus, omandamine/säilitamine, analüüs ja aruandlus/presenteerimine.

'''Ettevalmistus'''

Kohtuekspertiisi spetsialisti jaoks on väga tähtis olla ettevalmistatud eesolevaks juurdluseks ning peaks silmas pidama järgmisi aspekte:

enne tõendite koguma hakkamist, tuleb sätestada digijuurdluse üldprotsess;
väljaõpetatud väli- ja laborimeeskonnad peavad omama järgmist:
tehniline väljaõpe:
vajalikud oskused ja teadlikkus, kuidas kasutada arvutikriminalistika vahendeid;
protseduuriline väljaõpe: vajalik konseptsioon parimatest tavadest, kordadest, töövoogudest( ingl. k workflow) viimaks läbi digijuurdlust;
adekvaatne riist- ja tarkvara;<ref name="Carb">Carbone, F. (2014) Computer Forensics with FTK. Packt Publishing </ref>

'''Omandamine/säilitamine'''

Omandamist ning säilitamist loetakse kõige kriitilisemateks sammudeks digitaalsete tõendite kogumise protsessis, kuna eksimustele kehtib omandamise ajal nulltolerants. Põhiline printsiip arvutikriminalistikas on digitõendite rikkumatuse säilitamine.

Omandamine saavutatakse järgnevate vahendite kasutamisel:
kirjutamisblokk(ingl. k write blocker) ehk seade, mis deaktiveerib redigreerimise võimalused vältimaks juhuslikke vigu omandamisel;
duplikaator(ingl. k forensic duplicator) ehk seade, mis kopeerib kõvaketta sisu;
buudiketas ehk flopiketas või CD-ROM, mis sisaldab operatsioonisüsteemi põhiosi ja selle käivitamiseks vajalikke abifaile;
kaughaldus ehk spetsiaalne tarkvara seadmete kaugdiagnostikaks üle võrgu;<ref name="Carb"> </ref>

'''Analüüs'''

Analüüs on juurdluse selline faas, mis omab enim tehnilisi aspekte. Mõned näiteid nendest:

vajaduspärane tehniline teadmine operatsioonisüsteemist, failisüsteemist, arvutivõrgust ja aplikatsioonidest;
spetsiaalselt arendatud tarkvara on vajalik;
oskus luua filtreid ning otsida tõendeid arvuti operatsioonisüsteemi sündmustelogidest;<ref name="Carb"> </ref>

'''Aruandlus/presenteerimine'''

Pärast tulemuste saamist ning kokkuvõtete tegemist juurdluses, on vaja teostada järgmised sammud:

kohandada aruandluse keel konkreetsele sihtgrupile – kasutada tehnilist keelt tehnilise meeskonna tarbeks ja formaalset ning sobivat keelekasutust tuleks esitleda advokaatidele, kohtunikele jt;
hoolitseda, et aruanded oleksid selged, kokkuvõtvad ning arvamuste vabad;
tagada aruandlus erinevates failiformaatides nagu PDF, HTML, DOC jne;<ref name="Carb"> </ref>

'''Digitaalsete tõendite omandamise põhilised meetodid'''

'''Koopiate tegemine'''

Kindlustamaks kogutud andmete kõlblikkus, koostatakse tõendusmaterjalist täpseid koopiaid(ingl. k forensic images), tuntud kui bitivoog(ingl. k bit stream). See tagab andmete eelanalüüsi, informatsiooni otsingu ja hävimälust(ingl. k volatile memory) andmete kogumise(nt RAM). Samuti loob see võimaluse mõista digitõendite kogumise protsessi, mis on üks kõige missioonikriitilisemaid faktoreid. On oluline mõista, et andmete omandamine võib olla võimalik mitte ainult kõvaketta ruumis, vaid ka teiste seadmete mälumahus. Mõningad näited -
magnetmeedium:

flopikettad;
kõvakettad;
USB või PC-kaardid;
ZIP-kettad ja lintmäluseadmed;

optiline meedium:

CD-d;
CD-R-id ja CD-RW-d;
DVD-d;

alternatiivne meedium:

MP3 mängijad;
tahvelarvutid;
nutitelefonid;
videomängud, televiisor jne;

Bitivoog duplikeerib andmete kogumahu, välistades juhusliku andmete muutmise võimalikkuse originaal-andmekandjal. Tõendusmaterjali täpne koopia on identne originaaliga, mis hõlmab ka andmekandja tühja ruumi või mitte andmetega täidetud mälumahu. Samuti on võimalik kustutatud andmete taastamine. Kohtuekspertiisiline duplikeerimine lubab pidada kogu juurdlusprotsessi koopial, säilitades andmete originaalsuse esialgsel andmekandjal kasutamaks seda kohtukaasustes. Hilisem analüüs saab juba toimuda spetsiaalsel kohtuekspertiisi tarkvara platvormil, mis lubab andmete detailsemat uurimist ning saadud informatsioonist lõppraporti koostamist. <ref name="Carb"> </ref>

'''Operatsioonisüsteemi logide uurimine'''

Enamik spetsiaalseid kohtuekspertiisi tarkvara platvorme pakuvad võimalust ka vaadata ka andmeid operatsioonisüsteemide registritest detailsemalt kuid suudavad anda ka ülevaatlikumat pilti, kui näiteks Windowsis regedit. Vastupidiselt traditsioonilistest OSi registriredaktoritest suudavad spetsiaalselt kohtuekspertiisiks välja töötatud tarkvaraprogrammid visualiseerida kogupilti kõikides operatsioonisüsteemidest . Samuti tagatakse kasutajale ligipääs registry poolt kaitstud andmetele, mis sisaldab endas paroole, kasutajanimesid, sisselogimiskordi, viimast sisselogimisaega, parooli muutmisi ja muud säärast kasutajaspetsiifilist infot. Enamasti on küll vajalik tunda failisüsteemi iseärasusi, et efektiivselt tööriistaga töötada. <ref name="Carb"> </ref>

=Andmete peitmine ja otsimine=
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

=Ekspertiis ja kohtupraktika=

==Eesti IT-ekspertiisi praktika==

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

==Eesti kohtupraktika==

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi. Kokku registreeriti 2016. aastal selliseid süütegusid 608. Seejuures üldine kuritegevuse tase langes 11% võrra. <ref name="J2017">Justiitsministeerium (2017) Kuritegevus Eestis 2016. http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf</ref> Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 https://www.riigiteataja.ee/akt/184411?leiaKehtiv</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses. <ref name="J2017"></ref>

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü. <ref name="J2017"></ref> Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud. <ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu. <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716</ref> Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²). Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137). <ref name="J2017"></ref> Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%). 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni. <ref name="J2017"></ref>

=Kokkuvõte=

=Viited=

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T19:58:07Z

Mkangur: /* Arvutikriminalistika areng */

[[Category:ITSPEA 2016 kaugõpe]]
Autorid: Mari-Liis Oldja, Margit Kangur, Reilika Saks, Gregor Luukas

=Sissejuhatus=
Tänapäeval on raske ette kujutada kuritegu, millel poleks digitaalset mõõdet. Erinevaid infotehnoloogilisi vahendeid võib leida iga inimese töökohast, kodust ja taskust. Iga arvutis, nutitelefonis või võrgus tehtud liigutus jätab endast maha jälje, olgu selleks siis arvuti IP-aadress, võrgus sooritatud infootsingu tulemus, salvestatud fail või mõni muu esmapilgul silmatorkamatuks jääda võiv märk, mis võib osutuda õlekõrreks kuriteo lahendamisel. Digitaalsete jälgede avastamine ja uurimine eeldab laialdasi teadmisi nii kriminalistikast, erinevatest uurimismeetoditest, kasutusel olevatest tööriistadest kui ka infotehnoloogiast üldisemalt.

=Arvutikriminalistika areng=
Andmekaitse ja infoturbe leksikon defineerib arvutikriminalistikat kui arvutites ja digitaalsetel andmekandjatel olevate kohtukõlblike asitõendite avastamise ja uurimisega tegelevat kriminalistikaharu <ref>Andmekaitse ja infoturbe leksikon. http://akit.cyber.ee/term/492-arvutikriminalistika</ref>.

Kuigi teiste kriminalistikaharudega võrreldes peetakse arvutikriminalistikat suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuriteod iseenesest sugugi uus, vaid tänapäevale iseloomulik nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul hakati arvuti väärkasutuse juhtumeid dokumenteerima praktiliselt nende kasutuselevõtmise hetkest alates <ref>Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf</ref>. 1960-ndatel aastatel IT-töötajate ebaeetilist ja seadusevastast arvutikasutamist uurinud Stanfordi uurimisinstituudi teadlane Donn Parker tõdes: „''kui inimesed sisenesid arvutuskeskusesse, siis jätsid nad eetika ukse taha''“ <ref name="Bem">Bem, D., Feld, F., Huebner, E., Bem, O. (2008). Computer Forensics – Past, Present and Future. Journal of Information Science and Technology, JIST 5(3) 2008, lk 43-59. https://pdfs.semanticscholar.org/491f/9bf892071f5fc9773de1c9abc2df691391cd.pdf</ref>.

Arvutikuritegude hüppeline kasv sai alguse 1980-ndatel aastatel ühes personaalarvutite laiema levikuga ning viis selleni, et arvutikuriteod kuulutati eraldiseisvaks kuriteoliigiks. Nagu iga kuritegu, vajas ka arvutikuritegu kohtumenetluse läbiviimiseks usaldusväärset tõendusmaterjali, mis pani omakorda aluse arvutikriminalistika kui iseseisva kriminalistikaharu tekkele. 1990-ndateks aastateks olid kõik tehnoloogiliselt arenenud riigid arvutikuritegevuse olemusest ja võimalikest riskidest teadlikumaks saanud ning arvutikuritegude uurimiseks ja süülisuse tuvastamiseks hakati koostama täpsemaid protseduurireegleid. Selleks ajaks oli mitmel pool loodud spetsiaalseid arvutikuritegevusele keskendunud teaduslikke uurimiskeskusi ning ka tarkvaratootjad hakkasid omalt poolt pakkuma arvutikuritegude tuvastamiseks sobilikke tööriistu.<ref name="Bem"></ref>

Tänaseks on arvuti- või laiemas mõistes küberkuritegevusest saanud kõige kiiremini kasvav kuriteoliik maailmas. Möödunud aastal Suurbritannia riikliku kuritegevuse ameti (NCA) poolt avaldatud raportist selgub, et Suurbritannias ületab kübervahenditega seotud kuritegude arv juba kõik teised kuritegude liigid. Kübervahendite kaasabil toime pandud kuriteod nagu näiteks pettused, ebaseaduslik narkootikumide ostmine või interneti vahendusel laste seksuaalne ärakasutamine moodustas Suurbritannias 2015. aastal 36% kuritegudest. Kübervahenditele toetuvad kuriteod nagu näiteks pahavara levitamine, delikaatsete isikuandmete või ärisaladuste varastamine ja DDoS rünnakud aga 17% kõikidest kuritegudest.<ref name="NCA">National Crime Agency. (07.07.2016). Cyber Crime Assessment 2016. http://www.nationalcrimeagency.gov.uk/publications/709-cyber-crime-assessment-2016/file</ref>

Tõenäoliselt on arvutikuritegevus siiski veel rohkem levinud, kui numbrite põhjal järeldada võib, sest suurem osa intsidentidest jääb ametlikult registreerimata. Nii näiteks leidis Suurbritannias riikliku statistikaameti hinnangul 2015. aastal aset 2,46 miljonit küberintsidenti, mille tagajärjel kannatas 2,11 miljonit isikut, samas kui ametivõime teavitati vaid 16 349 kübervahenditele toetuvast ning umbes 700 000 kübervahendite kaasabil toime pandud intsidendist<ref name="NCA"></ref>. Ka Eesti keskkriminaalpolitsei küberkuritegude büroo juht tunnistab, et küberkuritegevusega seostub tihti ohvrimentaliteet. Inimene tunneb piinlikkust, et just tema või näiteks tema asutus kuriteo ohvriks langes ega taha juhtunust avalikult kõnelda.<ref>Lõugas, H. (27.11.2016). Mida tähendab Eestis küberkuritegevusega võitlemine? Loomingulisust, põnevust ja kohanemist. https://geenius.ee/uudis/mida-tahendab-eestis-kuberkuritegevusega-voitlemine-loomingulisust-ponevust-ja-kohanemist</ref>.

=Tõendite kogumise protsess ning nende omandamine arvutikriminalistikas=

Tänu indekseerimisele ja filtreerimisele, mis tagavad kiire juurdepääsu asjakohastele tõenditele, on kaasustes kasutatavate andmete analüüsiks kuluv aeg märkimisväärselt kahanenud. Kuid efektiivne juurdlus kohtuekspertiisis tähendab seda, et keskendutakse väga detailselt iga juurdluse kui arengu osasse, vältimaks vigu, mis võivad kahjustada tugeva kaasuse sündi. Tänases kohtupraktikas panevad kaitsjad üha enam rõhku tõendite kõlblikkuse annulleerimisele, viidates vigadele, mida on tehtud tõendeid kogudes, talletades jms. Seetõttu ei saa ka arvutikriminalistikas läbi sõrmede vaadata just digitaalsete tõendite hankimise protsessidest. Kohtuekpertiisi digitaalsete tõendite juurdlus kätkeb endas põhiliselt nelja üksteisele järgnevat protsessi, milleks on ettevalmistus, omandamine/säilitamine, analüüs ja aruandlus/presenteerimine.

'''Ettevalmistus'''

Kohtuekspertiisi spetsialisti jaoks on väga tähtis olla ettevalmistatud eesolevaks juurdluseks ning peaks silmas pidama järgmisi aspekte:

enne tõendite koguma hakkamist, tuleb sätestada digijuurdluse üldprotsess;
väljaõpetatud väli- ja laborimeeskonnad peavad omama järgmist:
tehniline väljaõpe:
vajalikud oskused ja teadlikkus, kuidas kasutada arvutikriminalistika vahendeid;
protseduuriline väljaõpe: vajalik konseptsioon parimatest tavadest, kordadest, töövoogudest( ingl. k workflow) viimaks läbi digijuurdlust;
adekvaatne riist- ja tarkvara;<ref name="Carb">Carbone, F. (2014) Computer Forensics with FTK. Packt Publishing </ref>

'''Omandamine/säilitamine'''

Omandamist ning säilitamist loetakse kõige kriitilisemateks sammudeks digitaalsete tõendite kogumise protsessis, kuna eksimustele kehtib omandamise ajal nulltolerants. Põhiline printsiip arvutikriminalistikas on digitõendite rikkumatuse säilitamine.

Omandamine saavutatakse järgnevate vahendite kasutamisel:
kirjutamisblokk(ingl. k write blocker) ehk seade, mis deaktiveerib redigreerimise võimalused vältimaks juhuslikke vigu omandamisel;
duplikaator(ingl. k forensic duplicator) ehk seade, mis kopeerib kõvaketta sisu;
buudiketas ehk flopiketas või CD-ROM, mis sisaldab operatsioonisüsteemi põhiosi ja selle käivitamiseks vajalikke abifaile;
kaughaldus ehk spetsiaalne tarkvara seadmete kaugdiagnostikaks üle võrgu;<ref name="Carb"> </ref>

'''Analüüs'''

Analüüs on juurdluse selline faas, mis omab enim tehnilisi aspekte. Mõned näiteid nendest:

vajaduspärane tehniline teadmine operatsioonisüsteemist, failisüsteemist, arvutivõrgust ja aplikatsioonidest;
spetsiaalselt arendatud tarkvara on vajalik;
oskus luua filtreid ning otsida tõendeid arvuti operatsioonisüsteemi sündmustelogidest;<ref name="Carb"> </ref>

'''Aruandlus/presenteerimine'''

Pärast tulemuste saamist ning kokkuvõtete tegemist juurdluses, on vaja teostada järgmised sammud:

kohandada aruandluse keel konkreetsele sihtgrupile – kasutada tehnilist keelt tehnilise meeskonna tarbeks ja formaalset ning sobivat keelekasutust tuleks esitleda advokaatidele, kohtunikele jt;
hoolitseda, et aruanded oleksid selged, kokkuvõtvad ning arvamuste vabad;
tagada aruandlus erinevates failiformaatides nagu PDF, HTML, DOC jne;<ref name="Carb"> </ref>

'''Digitaalsete tõendite omandamise põhilised meetodid'''

'''Koopiate tegemine'''

Kindlustamaks kogutud andmete kõlblikkus, koostatakse tõendusmaterjalist täpseid koopiaid(ingl. k forensic images), tuntud kui bitivoog(ingl. k bit stream). See tagab andmete eelanalüüsi, informatsiooni otsingu ja hävimälust(ingl. k volatile memory) andmete kogumise(nt RAM). Samuti loob see võimaluse mõista digitõendite kogumise protsessi, mis on üks kõige missioonikriitilisemaid faktoreid. On oluline mõista, et andmete omandamine võib olla võimalik mitte ainult kõvaketta ruumis, vaid ka teiste seadmete mälumahus. Mõningad näited -
magnetmeedium:

flopikettad;
kõvakettad;
USB või PC-kaardid;
ZIP-kettad ja lintmäluseadmed;

optiline meedium:

CD-d;
CD-R-id ja CD-RW-d;
DVD-d;

alternatiivne meedium:

MP3 mängijad;
tahvelarvutid;
nutitelefonid;
videomängud, televiisor jne;

Bitivoog duplikeerib andmete kogumahu, välistades juhusliku andmete muutmise võimalikkuse originaal-andmekandjal. Tõendusmaterjali täpne koopia on identne originaaliga, mis hõlmab ka andmekandja tühja ruumi või mitte andmetega täidetud mälumahu. Samuti on võimalik kustutatud andmete taastamine. Kohtuekspertiisiline duplikeerimine lubab pidada kogu juurdlusprotsessi koopial, säilitades andmete originaalsuse esialgsel andmekandjal kasutamaks seda kohtukaasustes. Hilisem analüüs saab juba toimuda spetsiaalsel kohtuekspertiisi tarkvara platvormil, mis lubab andmete detailsemat uurimist ning saadud informatsioonist lõppraporti koostamist. <ref name="Carb"> </ref>

'''Operatsioonisüsteemi logide uurimine'''

Enamik spetsiaalseid kohtuekspertiisi tarkvara platvorme pakuvad võimalust ka vaadata ka andmeid operatsioonisüsteemide registritest detailsemalt kuid suudavad anda ka ülevaatlikumat pilti, kui näiteks Windowsis regedit. Vastupidiselt traditsioonilistest OSi registriredaktoritest suudavad spetsiaalselt kohtuekspertiisiks välja töötatud tarkvaraprogrammid visualiseerida kogupilti kõikides operatsioonisüsteemidest . Samuti tagatakse kasutajale ligipääs registry poolt kaitstud andmetele, mis sisaldab endas paroole, kasutajanimesid, sisselogimiskordi, viimast sisselogimisaega, parooli muutmisi ja muud säärast kasutajaspetsiifilist infot. Enamasti on küll vajalik tunda failisüsteemi iseärasusi, et efektiivselt tööriistaga töötada. <ref name="Carb"> </ref>

=Andmete peitmine ja otsimine=
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

=Ekspertiis ja kohtupraktika=

==Eesti IT-ekspertiisi praktika==

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

==Eesti kohtupraktika==

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi. Kokku registreeriti 2016. aastal selliseid süütegusid 608. Seejuures üldine kuritegevuse tase langes 11% võrra. <ref name="J2017">Justiitsministeerium (2017) Kuritegevus Eestis 2016. http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf</ref> Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 https://www.riigiteataja.ee/akt/184411?leiaKehtiv</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses. <ref name="J2017"></ref>

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü. <ref name="J2017"></ref> Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud. <ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu. <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716</ref> Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²). Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137). <ref name="J2017"></ref> Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%). 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni. <ref name="J2017"></ref>

=Kokkuvõte=
Tehnoloogiavaldkonna kiire areng seab arvutikriminalistid silmitsi järjest suuremate väljakutsetega. Olemasolevad tehnoloogiad vananevad, uued tehnoloogiad arenevad, samal ajal muutub arvutikuritegevus järjest agressiivsemaks ja tehniliselt võimekamaks – kriminalistid peavad suutma selle arenguga sammu pidada.

=Viited=

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T19:53:23Z

Mkangur: /* Arvutikriminalistika areng */

[[Category:ITSPEA 2016 kaugõpe]]
Autorid: Mari-Liis Oldja, Margit Kangur, Reilika Saks, Gregor Luukas

=Sissejuhatus=
Tänapäeval on raske ette kujutada kuritegu, millel poleks digitaalset mõõdet. Erinevaid infotehnoloogilisi vahendeid võib leida iga inimese töökohast, kodust ja taskust. Iga arvutis, nutitelefonis või võrgus tehtud liigutus jätab endast maha jälje, olgu selleks siis arvuti IP-aadress, võrgus sooritatud infootsingu tulemus, salvestatud fail või mõni muu esmapilgul silmatorkamatuks jääda võiv märk, mis võib osutuda õlekõrreks kuriteo lahendamisel. Digitaalsete jälgede avastamine ja uurimine eeldab laialdasi teadmisi nii kriminalistikast, erinevatest uurimismeetoditest, kasutusel olevatest tööriistadest kui ka infotehnoloogiast üldisemalt.

=Arvutikriminalistika areng=
Andmekaitse ja infoturbe leksikon defineerib arvutikriminalistikat kui arvutites ja digitaalsetel andmekandjatel olevate kohtukõlblike asitõendite avastamise ja uurimisega tegelevat kriminalistikaharu <ref>Andmekaitse ja infoturbe leksikon. http://akit.cyber.ee/term/492-arvutikriminalistika</ref>.

Kuigi teiste kriminalistikaharudega võrreldes peetakse arvutikriminalistikat suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuriteod iseenesest sugugi uus, vaid tänapäevale iseloomulik nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul hakati arvuti väärkasutuse juhtumeid dokumenteerima praktiliselt nende kasutuselevõtmise hetkest alates <ref>Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf</ref>. 1960-ndatel aastatel IT-töötajate ebaeetilist ja seadusevastast arvutikasutamist uurinud Stanfordi uurimisinstituudi teadlane Donn Parker tõdes: „''kui inimesed sisenesid arvutuskeskusesse, siis jätsid nad eetika ukse taha''“ <ref name="Bem">Bem, D., Feld, F., Huebner, E., Bem, O. (2008). Computer Forensics – Past, Present and Future. Journal of Information Science and Technology, JIST 5(3) 2008, lk 43-59. https://pdfs.semanticscholar.org/491f/9bf892071f5fc9773de1c9abc2df691391cd.pdf</ref>.

Arvutikuritegude hüppeline kasv sai alguse 1980-ndatel aastatel ühes personaalarvutite laiema levikuga ning viis selleni, et arvutikuriteod kuulutati eraldiseisvaks kuriteoliigiks. Nagu iga kuritegu, vajas ka arvutikuritegu kohtumenetluse läbiviimiseks usaldusväärset tõendusmaterjali, mis pani omakorda aluse arvutikriminalistika kui iseseisva kriminalistikaharu tekkele. 1990-ndateks aastateks olid kõik tehnoloogiliselt arenenud riigid arvutikuritegevuse olemusest ja võimalikest riskidest teadlikumaks saanud ning arvutikuritegude uurimiseks ja süülisuse tuvastamiseks hakati koostama täpsemaid protseduurireegleid. Selleks ajaks oli mitmel pool loodud spetsiaalseid arvutikuritegevusele keskendunud teaduslikke uurimiskeskusi ning ka tarkvaratootjad hakkasid omalt poolt pakkuma arvutikuritegude tuvastamiseks sobilikke tööriistu.<ref name="Bem"></ref>

Tänaseks on arvuti- või laiemas mõistes küberkuritegevusest saanud kõige kiiremini kasvav kuriteoliik maailmas. Möödunud aastal Suurbritannia riikliku kuritegevuse ameti (NCA) poolt avaldatud raportist selgub, et Suurbritannias ületab kübervahenditega seotud kuritegude arv juba kõik teised kuritegude liigid. Kübervahendite kaasabil toime pandud kuriteod nagu näiteks pettused, ebaseaduslik narkootikumide ostmine või interneti vahendusel laste seksuaalne ärakasutamine moodustas Suurbritannias 2015. aastal 36% kuritegudest. Kübervahenditele toetuvad kuriteod nagu näiteks pahavara levitamine, delikaatsete isikuandmete või ärisaladuste varastamine ja DDoS rünnakud aga 17% kõikidest kuritegudest.<ref name="NCA">National Crime Agency. (07.07.2016). Cyber Crime Assessment 2016. http://www.nationalcrimeagency.gov.uk/publications/709-cyber-crime-assessment-2016/file</ref>

Tõenäoliselt on arvutikuritegevus siiski palju rohkem levinud, kui numbrite põhjal järeldada võib, sest suurem osa intsidentidest jääb ametlikult registreerimata. Nii näiteks leidis Suurbritannia riikliku statistikaameti hinnangul 2015. aastal riigis aset 2,46 miljonit küberintsidenti, mille tagajärjel kannatas 2,11 miljonit isikut, samas kui ametivõime teavitati vaid 16 349 kübervahenditele toetuvast ning umbes 700 000 kübervahendite abiga toime pandud intsidendist<ref name="NCA"></ref>. Ka Eesti keskkriminaalpolitsei küberkuritegude büroo juht tunnistab, et küberkuritegevusega seostub tihti ohvrimentaliteet. Inimene tunneb piinlikkust, et just tema või näiteks tema asutus kuriteo ohvriks langes ega taha juhtunust avalikult kõnelda.<ref>Lõugas, H. (27.11.2016). Mida tähendab Eestis küberkuritegevusega võitlemine? Loomingulisust, põnevust ja kohanemist. https://geenius.ee/uudis/mida-tahendab-eestis-kuberkuritegevusega-voitlemine-loomingulisust-ponevust-ja-kohanemist</ref>.

=Tõendite kogumise protsess ning nende omandamine arvutikriminalistikas=

Tänu indekseerimisele ja filtreerimisele, mis tagavad kiire juurdepääsu asjakohastele tõenditele, on kaasustes kasutatavate andmete analüüsiks kuluv aeg märkimisväärselt kahanenud. Kuid efektiivne juurdlus kohtuekspertiisis tähendab seda, et keskendutakse väga detailselt iga juurdluse kui arengu osasse, vältimaks vigu, mis võivad kahjustada tugeva kaasuse sündi. Tänases kohtupraktikas panevad kaitsjad üha enam rõhku tõendite kõlblikkuse annulleerimisele, viidates vigadele, mida on tehtud tõendeid kogudes, talletades jms. Seetõttu ei saa ka arvutikriminalistikas läbi sõrmede vaadata just digitaalsete tõendite hankimise protsessidest. Kohtuekpertiisi digitaalsete tõendite juurdlus kätkeb endas põhiliselt nelja üksteisele järgnevat protsessi, milleks on ettevalmistus, omandamine/säilitamine, analüüs ja aruandlus/presenteerimine.

'''Ettevalmistus'''

Kohtuekspertiisi spetsialisti jaoks on väga tähtis olla ettevalmistatud eesolevaks juurdluseks ning peaks silmas pidama järgmisi aspekte:

enne tõendite koguma hakkamist, tuleb sätestada digijuurdluse üldprotsess;
väljaõpetatud väli- ja laborimeeskonnad peavad omama järgmist:
tehniline väljaõpe:
vajalikud oskused ja teadlikkus, kuidas kasutada arvutikriminalistika vahendeid;
protseduuriline väljaõpe: vajalik konseptsioon parimatest tavadest, kordadest, töövoogudest( ingl. k workflow) läbi viimaks läbi digijuurdlust;
adekvaatne riist- ja tarkvara;<ref name="Carb">Carbone, F. (2014) Computer Forensics with FTK. Packt Publishing </ref>

'''Omandamine/säilitamine'''

Omandamist ning säilitamist loetakse kõige kriitilisemateks sammudeks digitaalsete tõendite kogumise protsessis, kuna eksimustele kehtib omandamise ajal nulltolerants. Põhiline printsiip arvutikriminalistikas on digitõendite rikkumatuse säilitamine.

Omandamine saavutatakse järgnevate vahendite kasutamisel:
kirjutamisblokk(ingl. k write blocker) ehk seade, mis deaktiveerib redigreerimise võimalused vältimaks juhuslikke vigu omandamisel;
duplikaator(ingl. k forensic duplicator) ehk seade, mis kopeerib kõvaketta sisu;
buudiketas ehk flopiketas või CD-ROM, mis sisaldab operatsioonisüsteemi põhiosi ja selle käivitamiseks vajalikke abifaile;
kaughaldus ehk spetsiaalne tarkvara seadmete kaugdiagnostikaks üle võrgu;<ref name="Carb"> </ref>

'''Analüüs'''

Analüüs on juurdluse selline faas, mis omab enim tehnilisi aspekte. Mõned näiteid nendest:

vajaduspärane tehniline teadmine operatsioonisüsteemist, failisüsteemist, arvutivõrgust ja aplikatsioonidest;
spetsiaalselt arendatud tarkvara on vajalik;
oskus luua filtreid ning otsida tõendeid arvuti operatsioonisüsteemi sündmustelogidest;<ref name="Carb"> </ref>

'''Aruandlus/presenteerimine'''

Pärast tulemuste saamist ning kokkuvõtete tegemist juurdluses, on vaja teostada järgmised sammud:

kohandada aruandluse keel konkreetsele sihtgrupile – kasutada tehnilist keelt tehnilise meeskonna tarbeks ja formaalset ning sobivat keelekasutust tuleks esitleda advokaatidele, kohtunikele jt;
hoolitseda, et aruanded oleksid selged, kokkuvõtvad ning arvamuste vabad;
tagada aruandlus erinevates failiformaatides nagu PDF, HTML, DOC jne;<ref name="Carb"> </ref>

'''Digitaalsete tõendite omandamise põhilised meetodid'''

'''Koopiate tegemine'''

Kindlustamaks kogutud andmete kõlblikkus, koostatakse tõendusmaterjalist täpseid koopiaid(ingl. k forensic images), tuntud kui bitivoog(ingl. k bit stream). See tagab andmete eelanalüüsi, informatsiooni otsingu ja hävimälust(ingl. k volatile memory) andmete kogumise(nt RAM). Samuti loob see võimaluse mõista digitõendite kogumise protsessi, mis on üks kõige missioonikriitilisemaid faktoreid. On oluline mõista, et andmete omandamine võib olla võimalik mitte ainult kõvaketta ruumis, vaid ka teiste seadmete mälumahus. Mõningad näited -
magnetmeedium:

flopikettad;
kõvakettad;
USB või PC-kaardid;
ZIP-kettad ja lintmäluseadmed;

optiline meedium:

CD-d;
CD-R-id ja CD-RW-d;
DVD-d;

alternatiivne meedium:

MP3 mängijad;
tahvelarvutid;
nutitelefonid;
videomängud, televiisor jne;

Bitivoog duplikeerib andmete kogumahu, välistades juhusliku andmete muutmise võimalikkuse originaal-andmekandjal. Tõendusmaterjali täpne koopia on identne originaaliga, mis hõlmab ka andmekandja tühja ruumi või mitte andmetega täidetud mälumahu. Samuti on võimalik kustutatud andmete taastamine. Kohtuekspertiisiline duplikeerimine lubab pidada kogu juurdlusprotsessi koopial, säilitades andmete originaalsuse esialgsel andmekandjal kasutamaks seda kohtukaasustes. Hilisem analüüs saab juba toimuda spetsiaalsel kohtuekspertiisi tarkvara platvormil, mis lubab andmete detailsemat uurimist ning saadud informatsioonist lõppraporti koostamist. <ref name="Carb"> </ref>

'''Operatsioonisüsteemi logide uurimine'''

Enamik spetsiaalseid kohtuekspertiisi tarkvara platvorme pakuvad võimalust ka vaadata ka andmeid operatsioonisüsteemide registritest detailsemalt kuid suudavad anda ka ülevaatlikumat pilti, kui näiteks Windowsis regedit. Vastupidiselt traditsioonilistest OSi registriredaktoritest suudavad spetsiaalselt kohtuekspertiisiks välja töötatud tarkvaraprogrammid visualiseerida kogupilti kõikides operatsioonisüsteemidest . Samuti tagatakse kasutajale ligipääs registry poolt kaitstud andmetele, mis sisaldab endas paroole, kasutajanimesid, sisselogimiskordi, viimast sisselogimisaega, parooli muutmisi ja muud säärast kasutajaspetsiifilist infot. Enamasti on küll vajalik tunda failisüsteemi iseärasusi, et efektiivselt tööriistaga töötada. <ref name="Carb"> </ref>

=Andmete peitmine ja otsimine=
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

=Ekspertiis ja kohtupraktika=

==Eesti IT-ekspertiisi praktika==

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

==Eesti kohtupraktika==

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi. Kokku registreeriti 2016. aastal selliseid süütegusid 608. Seejuures üldine kuritegevuse tase langes 11% võrra. <ref name="J2017">Justiitsministeerium (2017) Kuritegevus Eestis 2016. http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf</ref> Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 https://www.riigiteataja.ee/akt/184411?leiaKehtiv</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses. <ref name="J2017"></ref>

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü. <ref name="J2017"></ref> Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud. <ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu. <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716</ref> Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²). Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137). <ref name="J2017"></ref> Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%). 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni. <ref name="J2017"></ref>

=Kokkuvõte=
Tehnoloogiavaldkonna kiire areng seab arvutikriminalistid silmitsi järjest suuremate väljakutsetega. Olemasolevad tehnoloogiad vananevad, uued tehnoloogiad arenevad, samal ajal muutub arvutikuritegevus järjest agressiivsemaks ja tehniliselt võimekamaks – kriminalistid peavad suutma selle arenguga sammu pidada.

=Viited=

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T19:52:53Z

Mkangur: /* Arvutikriminalistika areng */

[[Category:ITSPEA 2016 kaugõpe]]
Autorid: Mari-Liis Oldja, Margit Kangur, Reilika Saks, Gregor Luukas

=Sissejuhatus=
Tänapäeval on raske ette kujutada kuritegu, millel poleks digitaalset mõõdet. Erinevaid infotehnoloogilisi vahendeid võib leida iga inimese töökohast, kodust ja taskust. Iga arvutis, nutitelefonis või võrgus tehtud liigutus jätab endast maha jälje, olgu selleks siis arvuti IP-aadress, võrgus sooritatud infootsingu tulemus, salvestatud fail või mõni muu esmapilgul silmatorkamatuks jääda võiv märk, mis võib osutuda õlekõrreks kuriteo lahendamisel. Digitaalsete jälgede avastamine ja uurimine eeldab laialdasi teadmisi nii kriminalistikast, erinevatest uurimismeetoditest, kasutusel olevatest tööriistadest kui ka infotehnoloogiast üldisemalt.

=Arvutikriminalistika areng=
Andmekaitse ja infoturbe leksikon defineerib arvutikriminalistikat kui arvutites ja digitaalsetel andmekandjatel olevate kohtukõlblike asitõendite avastamise ja uurimisega tegelevat kriminalistikaharu <ref>Andmekaitse ja infoturbe leksikon. http://akit.cyber.ee/term/492-arvutikriminalistika</ref>.

Kuigi teiste kriminalistikaharudega võrreldes peetakse arvutikriminalistikat suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuriteod iseenesest sugugi uus, vaid tänapäevale iseloomulik nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul hakati arvuti väärkasutuse juhtumeid dokumenteerima praktiliselt nende kasutuselevõtmise hetkest alates <ref>Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf</ref>. 1960-ndatel aastatel IT-töötajate ebaeetilist ja seadusevastast arvutikasutamist uurinud Stanfordi uurimisinstituudi teadlane Donn Parker tõdes: „''kui inimesed sisenesid arvutuskeskusesse, siis jätsid nad eetika ukse taha''“ <ref name="Bem">Bem, D., Feld, F., Huebner, E., Bem, O. (2008). Computer Forensics – Past, Present and Future. Journal of Information Science and Technology, JIST 5(3) 2008, lk 43-59. https://pdfs.semanticscholar.org/491f/9bf892071f5fc9773de1c9abc2df691391cd.pdf</ref>.

Arvutikuritegude hüppeline kasv sai alguse 1980-ndatel aastatel ühes personaalarvutite laiema levikuga ning viis selleni, et arvutikuriteod kuulutati eraldiseisvaks kuriteoliigiks. Nagu iga kuritegu, vajas ka arvutikuritegu kohtumenetluse läbiviimiseks usaldusväärset tõendusmaterjali, mis pani omakorda aluse arvutikriminalistika kui iseseisva kriminalistikaharu tekkele. 1990-ndateks aastateks olid kõik tehnoloogiliselt arenenud riigid arvutikuritegevuse olemusest ja võimalikest riskidest teadlikumaks saanud ning arvutikuritegude uurimiseks ja süülisuse tuvastamiseks hakati koostama täpsemaid protseduurireegleid. Selleks ajaks oli mitmel pool loodud spetsiaalseid arvutikuritegevusele keskendunud teaduslikke uurimiskeskusi ning ka tarkvaratootjad hakkasid omalt poolt pakkuma arvutikuritegude tuvastamiseks sobilikke tööriistu.<ref name="Bem"></ref>

Tänaseks on arvuti- või laiemas mõistes küberkuritegevusest saanud kõige kiiremini kasvav kuriteoliik maailmas. Möödunud aastal Suurbritannia riikliku kuritegevuse ameti (NCA) poolt avaldatud raportist selgub, et Suurbritannias ületab kübervahenditega seotud kuritegude arv juba kõik teised kuritegude liigid. Kübervahendite kaasabil toime pandud kuriteod nagu näiteks pettused, ebaseaduslik narkootikumide ostmine või interneti vahendusel laste seksuaalne ärakasutamine moodustas Suurbritannias 2015. aastal 36% kuritegudest. Kübervahenditele toetuvad kuriteod nagu näiteks pahavara levitamine, delikaatsete isikuandmete või ärisaladuste varastamine ja DDoS rünnakud aga 17% kuritegudest.<ref name="NCA">National Crime Agency. (07.07.2016). Cyber Crime Assessment 2016. http://www.nationalcrimeagency.gov.uk/publications/709-cyber-crime-assessment-2016/file</ref>

Tõenäoliselt on arvutikuritegevus siiski palju rohkem levinud, kui numbrite põhjal järeldada võib, sest suurem osa intsidentidest jääb ametlikult registreerimata. Nii näiteks leidis Suurbritannia riikliku statistikaameti hinnangul 2015. aastal riigis aset 2,46 miljonit küberintsidenti, mille tagajärjel kannatas 2,11 miljonit isikut, samas kui ametivõime teavitati vaid 16 349 kübervahenditele toetuvast ning umbes 700 000 kübervahendite abiga toime pandud intsidendist<ref name="NCA"></ref>. Ka Eesti keskkriminaalpolitsei küberkuritegude büroo juht tunnistab, et küberkuritegevusega seostub tihti ohvrimentaliteet. Inimene tunneb piinlikkust, et just tema või näiteks tema asutus kuriteo ohvriks langes ega taha juhtunust avalikult kõnelda.<ref>Lõugas, H. (27.11.2016). Mida tähendab Eestis küberkuritegevusega võitlemine? Loomingulisust, põnevust ja kohanemist. https://geenius.ee/uudis/mida-tahendab-eestis-kuberkuritegevusega-voitlemine-loomingulisust-ponevust-ja-kohanemist</ref>.

=Tõendite kogumise protsess ning nende omandamine arvutikriminalistikas=

Tänu indekseerimisele ja filtreerimisele, mis tagavad kiire juurdepääsu asjakohastele tõenditele, on kaasustes kasutatavate andmete analüüsiks kuluv aeg märkimisväärselt kahanenud. Kuid efektiivne juurdlus kohtuekspertiisis tähendab seda, et keskendutakse väga detailselt iga juurdluse kui arengu osasse, vältimaks vigu, mis võivad kahjustada tugeva kaasuse sündi. Tänases kohtupraktikas panevad kaitsjad üha enam rõhku tõendite kõlblikkuse annulleerimisele, viidates vigadele, mida on tehtud tõendeid kogudes, talletades jms. Seetõttu ei saa ka arvutikriminalistikas läbi sõrmede vaadata just digitaalsete tõendite hankimise protsessidest. Kohtuekpertiisi digitaalsete tõendite juurdlus kätkeb endas põhiliselt nelja üksteisele järgnevat protsessi, milleks on ettevalmistus, omandamine/säilitamine, analüüs ja aruandlus/presenteerimine.

'''Ettevalmistus'''

Kohtuekspertiisi spetsialisti jaoks on väga tähtis olla ettevalmistatud eesolevaks juurdluseks ning peaks silmas pidama järgmisi aspekte:

enne tõendite koguma hakkamist, tuleb sätestada digijuurdluse üldprotsess;
väljaõpetatud väli- ja laborimeeskonnad peavad omama järgmist:
tehniline väljaõpe:
vajalikud oskused ja teadlikkus, kuidas kasutada arvutikriminalistika vahendeid;
protseduuriline väljaõpe: vajalik konseptsioon parimatest tavadest, kordadest, töövoogudest( ingl. k workflow) läbi viimaks läbi digijuurdlust;
adekvaatne riist- ja tarkvara;<ref name="Carb">Carbone, F. (2014) Computer Forensics with FTK. Packt Publishing </ref>

'''Omandamine/säilitamine'''

Omandamist ning säilitamist loetakse kõige kriitilisemateks sammudeks digitaalsete tõendite kogumise protsessis, kuna eksimustele kehtib omandamise ajal nulltolerants. Põhiline printsiip arvutikriminalistikas on digitõendite rikkumatuse säilitamine.

Omandamine saavutatakse järgnevate vahendite kasutamisel:
kirjutamisblokk(ingl. k write blocker) ehk seade, mis deaktiveerib redigreerimise võimalused vältimaks juhuslikke vigu omandamisel;
duplikaator(ingl. k forensic duplicator) ehk seade, mis kopeerib kõvaketta sisu;
buudiketas ehk flopiketas või CD-ROM, mis sisaldab operatsioonisüsteemi põhiosi ja selle käivitamiseks vajalikke abifaile;
kaughaldus ehk spetsiaalne tarkvara seadmete kaugdiagnostikaks üle võrgu;<ref name="Carb"> </ref>

'''Analüüs'''

Analüüs on juurdluse selline faas, mis omab enim tehnilisi aspekte. Mõned näiteid nendest:

vajaduspärane tehniline teadmine operatsioonisüsteemist, failisüsteemist, arvutivõrgust ja aplikatsioonidest;
spetsiaalselt arendatud tarkvara on vajalik;
oskus luua filtreid ning otsida tõendeid arvuti operatsioonisüsteemi sündmustelogidest;<ref name="Carb"> </ref>

'''Aruandlus/presenteerimine'''

Pärast tulemuste saamist ning kokkuvõtete tegemist juurdluses, on vaja teostada järgmised sammud:

kohandada aruandluse keel konkreetsele sihtgrupile – kasutada tehnilist keelt tehnilise meeskonna tarbeks ja formaalset ning sobivat keelekasutust tuleks esitleda advokaatidele, kohtunikele jt;
hoolitseda, et aruanded oleksid selged, kokkuvõtvad ning arvamuste vabad;
tagada aruandlus erinevates failiformaatides nagu PDF, HTML, DOC jne;<ref name="Carb"> </ref>

'''Digitaalsete tõendite omandamise põhilised meetodid'''

'''Koopiate tegemine'''

Kindlustamaks kogutud andmete kõlblikkus, koostatakse tõendusmaterjalist täpseid koopiaid(ingl. k forensic images), tuntud kui bitivoog(ingl. k bit stream). See tagab andmete eelanalüüsi, informatsiooni otsingu ja hävimälust(ingl. k volatile memory) andmete kogumise(nt RAM). Samuti loob see võimaluse mõista digitõendite kogumise protsessi, mis on üks kõige missioonikriitilisemaid faktoreid. On oluline mõista, et andmete omandamine võib olla võimalik mitte ainult kõvaketta ruumis, vaid ka teiste seadmete mälumahus. Mõningad näited -
magnetmeedium:

flopikettad;
kõvakettad;
USB või PC-kaardid;
ZIP-kettad ja lintmäluseadmed;

optiline meedium:

CD-d;
CD-R-id ja CD-RW-d;
DVD-d;

alternatiivne meedium:

MP3 mängijad;
tahvelarvutid;
nutitelefonid;
videomängud, televiisor jne;

Bitivoog duplikeerib andmete kogumahu, välistades juhusliku andmete muutmise võimalikkuse originaal-andmekandjal. Tõendusmaterjali täpne koopia on identne originaaliga, mis hõlmab ka andmekandja tühja ruumi või mitte andmetega täidetud mälumahu. Samuti on võimalik kustutatud andmete taastamine. Kohtuekspertiisiline duplikeerimine lubab pidada kogu juurdlusprotsessi koopial, säilitades andmete originaalsuse esialgsel andmekandjal kasutamaks seda kohtukaasustes. Hilisem analüüs saab juba toimuda spetsiaalsel kohtuekspertiisi tarkvara platvormil, mis lubab andmete detailsemat uurimist ning saadud informatsioonist lõppraporti koostamist. <ref name="Carb"> </ref>

'''Operatsioonisüsteemi logide uurimine'''

Enamik spetsiaalseid kohtuekspertiisi tarkvara platvorme pakuvad võimalust ka vaadata ka andmeid operatsioonisüsteemide registritest detailsemalt kuid suudavad anda ka ülevaatlikumat pilti, kui näiteks Windowsis regedit. Vastupidiselt traditsioonilistest OSi registriredaktoritest suudavad spetsiaalselt kohtuekspertiisiks välja töötatud tarkvaraprogrammid visualiseerida kogupilti kõikides operatsioonisüsteemidest . Samuti tagatakse kasutajale ligipääs registry poolt kaitstud andmetele, mis sisaldab endas paroole, kasutajanimesid, sisselogimiskordi, viimast sisselogimisaega, parooli muutmisi ja muud säärast kasutajaspetsiifilist infot. Enamasti on küll vajalik tunda failisüsteemi iseärasusi, et efektiivselt tööriistaga töötada. <ref name="Carb"> </ref>

=Andmete peitmine ja otsimine=
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

=Ekspertiis ja kohtupraktika=

==Eesti IT-ekspertiisi praktika==

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

==Eesti kohtupraktika==

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi. Kokku registreeriti 2016. aastal selliseid süütegusid 608. Seejuures üldine kuritegevuse tase langes 11% võrra. <ref name="J2017">Justiitsministeerium (2017) Kuritegevus Eestis 2016. http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf</ref> Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 https://www.riigiteataja.ee/akt/184411?leiaKehtiv</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses. <ref name="J2017"></ref>

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü. <ref name="J2017"></ref> Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud. <ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu. <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716</ref> Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²). Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137). <ref name="J2017"></ref> Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%). 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni. <ref name="J2017"></ref>

=Kokkuvõte=
Tehnoloogiavaldkonna kiire areng seab arvutikriminalistid silmitsi järjest suuremate väljakutsetega. Olemasolevad tehnoloogiad vananevad, uued tehnoloogiad arenevad, samal ajal muutub arvutikuritegevus järjest agressiivsemaks ja tehniliselt võimekamaks – kriminalistid peavad suutma selle arenguga sammu pidada.

=Viited=

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T19:51:41Z

Mkangur: /* Arvutikriminalistika areng */

[[Category:ITSPEA 2016 kaugõpe]]
Autorid: Mari-Liis Oldja, Margit Kangur, Reilika Saks, Gregor Luukas

=Sissejuhatus=
Tänapäeval on raske ette kujutada kuritegu, millel poleks digitaalset mõõdet. Erinevaid infotehnoloogilisi vahendeid võib leida iga inimese töökohast, kodust ja taskust. Iga arvutis, nutitelefonis või võrgus tehtud liigutus jätab endast maha jälje, olgu selleks siis arvuti IP-aadress, võrgus sooritatud infootsingu tulemus, salvestatud fail või mõni muu esmapilgul silmatorkamatuks jääda võiv märk, mis võib osutuda õlekõrreks kuriteo lahendamisel. Digitaalsete jälgede avastamine ja uurimine eeldab laialdasi teadmisi nii kriminalistikast, erinevatest uurimismeetoditest, kasutusel olevatest tööriistadest kui ka infotehnoloogiast üldisemalt.

=Arvutikriminalistika areng=
Andmekaitse ja infoturbe leksikon defineerib arvutikriminalistikat kui arvutites ja digitaalsetel andmekandjatel olevate kohtukõlblike asitõendite avastamise ja uurimisega tegelevat kriminalistikaharu <ref>Andmekaitse ja infoturbe leksikon. http://akit.cyber.ee/term/492-arvutikriminalistika</ref>.

Kuigi teiste kriminalistikaharudega võrreldes peetakse arvutikriminalistikat suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuriteod iseenesest sugugi uus, vaid tänapäevale iseloomulik nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul hakati arvuti väärkasutuse juhtumeid dokumenteerima praktiliselt nende kasutuselevõtmise hetkest alates <ref>Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf</ref>. 1960-ndatel aastatel IT-töötajate ebaeetilist ja seadusevastast arvutikasutamist uurinud Stanfordi uurimisinstituudi teadlane Donn Parker tõdes: „''kui inimesed sisenesid arvutuskeskusesse, siis jätsid nad eetika ukse taha''“ <ref name="Bem">Bem, D., Feld, F., Huebner, E., Bem, O. (2008). Computer Forensics – Past, Present and Future. Journal of Information Science and Technology, JIST 5(3) 2008, lk 43-59. https://pdfs.semanticscholar.org/491f/9bf892071f5fc9773de1c9abc2df691391cd.pdf</ref>.

Arvutikuritegude hüppeline kasv sai alguse 1980-ndatel aastatel ühes personaalarvutite laiema levikuga ning viis selleni, et arvutikuriteod kuulutati eraldiseisvaks kuriteoliigiks. Nagu iga kuritegu, vajas ka arvutikuritegu kohtumenetluse läbiviimiseks usaldusväärset tõendusmaterjali, mis pani omakorda aluse arvutikriminalistika kui iseseisva kriminalistikaharu tekkele. 1990-ndateks aastateks olid kõik tehnoloogiliselt arenenud riigid arvutikuritegevuse olemusest ja võimalikest riskidest teadlikumaks saanud ning arvutikuritegude uurimiseks ja süülisuse tuvastamiseks hakati koostama täpsemaid protseduurireegleid. Selleks ajaks oli mitmel pool loodud spetsiaalseid arvutikuritegevusele keskendunud teaduslikke uurimiskeskusi ning ka tarkvaratootjad hakkasid omalt poolt pakkuma arvutikuritegude tuvastamiseks sobilikke tööriistu.<ref name="Bem"></ref>

Tänaseks on arvuti- või laiemas mõistes küberkuritegevusest saanud kõige kiiremini kasvav kuriteoliik maailmas. Möödunud aastal Suurbritannia riikliku kuritegevuse ameti (NCA) poolt avaldatud raportist selgub, et Suurbritannias ületab kübervahenditega seotud kuritegude arv juba kõik teised kuritegude liigid. Kübervahendite kaasabil toime pandud kuriteod nagu näiteks pettused, ebaseaduslik narkootikumide ostmine või interneti vahendusel laste seksuaalne ärakasutamine moodustas Suurbritannias 2015. aastal 36% kuritegudest. Kübervahenditele toetuvad kuriteod nagu näiteks pahavara levitamine, delikaatsete isikuandmete või ärisaladuste varastamine ja DdoS rünnakud aga 17% kuritegudest.<ref name="NCA">National Crime Agency. (07.07.2016). Cyber Crime Assessment 2016. http://www.nationalcrimeagency.gov.uk/publications/709-cyber-crime-assessment-2016/file</ref>

Tõenäoliselt on arvutikuritegevus siiski palju rohkem levinud, kui numbrite põhjal järeldada võib, sest suurem osa intsidentidest jääb ametlikult registreerimata. Nii näiteks leidis Suurbritannia riikliku statistikaameti hinnangul 2015. aastal riigis aset 2,46 miljonit küberintsidenti, mille tagajärjel kannatas 2,11 miljonit isikut, samas kui ametivõime teavitati vaid 16 349 kübervahenditele toetuvast ning umbes 700 000 kübervahendite abiga toime pandud intsidendist<ref name="NCA"></ref>. Ka Eesti keskkriminaalpolitsei küberkuritegude büroo juht tunnistab, et küberkuritegevusega seostub tihti ohvrimentaliteet. Inimene tunneb piinlikkust, et just tema või näiteks tema asutus kuriteo ohvriks langes ega taha juhtunust avalikult kõnelda.<ref>Lõugas, H. (27.11.2016). Mida tähendab Eestis küberkuritegevusega võitlemine? Loomingulisust, põnevust ja kohanemist. https://geenius.ee/uudis/mida-tahendab-eestis-kuberkuritegevusega-voitlemine-loomingulisust-ponevust-ja-kohanemist</ref>.

=Tõendite kogumise protsess ning nende omandamine arvutikriminalistikas=

Tänu indekseerimisele ja filtreerimisele, mis tagavad kiire juurdepääsu asjakohastele tõenditele, on kaasustes kasutatavate andmete analüüsiks kuluv aeg märkimisväärselt kahanenud. Kuid efektiivne juurdlus kohtuekspertiisis tähendab seda, et keskendutakse väga detailselt iga juurdluse kui arengu osasse, vältimaks vigu, mis võivad kahjustada tugeva kaasuse sündi. Tänases kohtupraktikas panevad kaitsjad üha enam rõhku tõendite kõlblikkuse annulleerimisele, viidates vigadele, mida on tehtud tõendeid kogudes, talletades jms. Seetõttu ei saa ka arvutikriminalistikas läbi sõrmede vaadata just digitaalsete tõendite hankimise protsessidest. Kohtuekpertiisi digitaalsete tõendite juurdlus kätkeb endas põhiliselt nelja üksteisele järgnevat protsessi, milleks on ettevalmistus, omandamine/säilitamine, analüüs ja aruandlus/presenteerimine.

'''Ettevalmistus'''

Kohtuekspertiisi spetsialisti jaoks on väga tähtis olla ettevalmistatud eesolevaks juurdluseks ning peaks silmas pidama järgmisi aspekte:

enne tõendite koguma hakkamist, tuleb sätestada digijuurdluse üldprotsess;
väljaõpetatud väli- ja laborimeeskonnad peavad omama järgmist:
tehniline väljaõpe:
vajalikud oskused ja teadlikkus, kuidas kasutada arvutikriminalistika vahendeid;
protseduuriline väljaõpe: vajalik konseptsioon parimatest tavadest, kordadest, töövoogudest( ingl. k workflow) läbi viimaks läbi digijuurdlust;
adekvaatne riist- ja tarkvara;<ref name="Carb">Carbone, F. (2014) Computer Forensics with FTK. Packt Publishing </ref>

'''Omandamine/säilitamine'''

Omandamist ning säilitamist loetakse kõige kriitilisemateks sammudeks digitaalsete tõendite kogumise protsessis, kuna eksimustele kehtib omandamise ajal nulltolerants. Põhiline printsiip arvutikriminalistikas on digitõendite rikkumatuse säilitamine.

Omandamine saavutatakse järgnevate vahendite kasutamisel:
kirjutamisblokk(ingl. k write blocker) ehk seade, mis deaktiveerib redigreerimise võimalused vältimaks juhuslikke vigu omandamisel;
duplikaator(ingl. k forensic duplicator) ehk seade, mis kopeerib kõvaketta sisu;
buudiketas ehk flopiketas või CD-ROM, mis sisaldab operatsioonisüsteemi põhiosi ja selle käivitamiseks vajalikke abifaile;
kaughaldus ehk spetsiaalne tarkvara seadmete kaugdiagnostikaks üle võrgu;<ref name="Carb"> </ref>

'''Analüüs'''

Analüüs on juurdluse selline faas, mis omab enim tehnilisi aspekte. Mõned näiteid nendest:

vajaduspärane tehniline teadmine operatsioonisüsteemist, failisüsteemist, arvutivõrgust ja aplikatsioonidest;
spetsiaalselt arendatud tarkvara on vajalik;
oskus luua filtreid ning otsida tõendeid arvuti operatsioonisüsteemi sündmustelogidest;

'''Aruandlus/presenteerimine'''

Pärast tulemuste saamist ning kokkuvõtete tegemist juurdluses, on vaja teostada järgmised sammud:

kohandada aruandluse keel konkreetsele sihtgrupile – kasutada tehnilist keelt tehnilise meeskonna tarbeks ja formaalset ning sobivat keelekasutust tuleks esitleda advokaatidele, kohtunikele jt;
hoolitseda, et aruanded oleksid selged, kokkuvõtvad ning arvamuste vabad;
tagada aruandlus erinevates failiformaatides nagu PDF, HTML, DOC jne;

'''Digitaalsete tõendite omandamise põhilised meetodid'''

'''Koopiate tegemine'''

Kindlustamaks kogutud andmete kõlblikkus, koostatakse tõendusmaterjalist täpseid koopiaid(ingl. k forensic images), tuntud kui bitivoog(ingl. k bit stream). See tagab andmete eelanalüüsi, informatsiooni otsingu ja hävimälust(ingl. k volatile memory) andmete kogumise(nt RAM). Samuti loob see võimaluse mõista digitõendite kogumise protsessi, mis on üks kõige missioonikriitilisemaid faktoreid. On oluline mõista, et andmete omandamine võib olla võimalik mitte ainult kõvaketta ruumis, vaid ka teiste seadmete mälumahus. Mõningad näited -
magnetmeedium:

flopikettad;
kõvakettad;
USB või PC-kaardid;
ZIP-kettad ja lintmäluseadmed;

optiline meedium:

CD-d;
CD-R-id ja CD-RW-d;
DVD-d;

alternatiivne meedium:

MP3 mängijad;
tahvelarvutid;
nutitelefonid;
videomängud, televiisor jne;

Bitivoog duplikeerib andmete kogumahu, välistades juhusliku andmete muutmise võimalikkuse originaal-andmekandjal. Tõendusmaterjali täpne koopia on identne originaaliga, mis hõlmab ka andmekandja tühja ruumi või mitte andmetega täidetud mälumahu. Samuti on võimalik kustutatud andmete taastamine. Kohtuekspertiisiline duplikeerimine lubab pidada kogu juurdlusprotsessi koopial, säilitades andmete originaalsuse esialgsel andmekandjal kasutamaks seda kohtukaasustes. Hilisem analüüs saab juba toimuda spetsiaalsel kohtuekspertiisi tarkvara platvormil, mis lubab andmete detailsemat uurimist ning saadud informatsioonist lõppraporti koostamist. <ref name="Carb"> </ref>

'''Operatsioonisüsteemi logide uurimine'''

Enamik spetsiaalseid kohtuekspertiisi tarkvara platvorme pakuvad võimalust ka vaadata ka andmeid operatsioonisüsteemide registritest detailsemalt kuid suudavad anda ka ülevaatlikumat pilti, kui näiteks Windowsis regedit. Vastupidiselt traditsioonilistest OSi registriredaktoritest suudavad spetsiaalselt kohtuekspertiisiks välja töötatud tarkvaraprogrammid visualiseerida kogupilti kõikides operatsioonisüsteemidest . Samuti tagatakse kasutajale ligipääs registry poolt kaitstud andmetele, mis sisaldab endas paroole, kasutajanimesid, sisselogimiskordi, viimast sisselogimisaega, parooli muutmisi ja muud säärast kasutajaspetsiifilist infot. Enamasti on küll vajalik tunda failisüsteemi iseärasusi, et efektiivselt tööriistaga töötada. <ref name="Carb"> </ref>

=Andmete peitmine ja otsimine=
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

=Ekspertiis ja kohtupraktika=

==Eesti IT-ekspertiisi praktika==

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

==Eesti kohtupraktika==

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi. Kokku registreeriti 2016. aastal selliseid süütegusid 608. Seejuures üldine kuritegevuse tase langes 11% võrra. <ref name="J2017">Justiitsministeerium (2017) Kuritegevus Eestis 2016. http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf</ref> Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 https://www.riigiteataja.ee/akt/184411?leiaKehtiv</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses. <ref name="J2017"></ref>

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü. <ref name="J2017"></ref> Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud. <ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu. <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716</ref> Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²). Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137). <ref name="J2017"></ref> Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%). 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni. <ref name="J2017"></ref>

=Kokkuvõte=
Tehnoloogiavaldkonna kiire areng seab arvutikriminalistid silmitsi järjest suuremate väljakutsetega. Olemasolevad tehnoloogiad vananevad, uued tehnoloogiad arenevad, samal ajal muutub arvutikuritegevus järjest agressiivsemaks ja tehniliselt võimekamaks – kriminalistid peavad suutma selle arenguga sammu pidada.

=Viited=

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T19:50:50Z

Mkangur: /* Arvutikriminalistika areng */

[[Category:ITSPEA 2016 kaugõpe]]
Autorid: Mari-Liis Oldja, Margit Kangur, Reilika Saks, Gregor Luukas

=Sissejuhatus=
Tänapäeval on raske ette kujutada kuritegu, millel poleks digitaalset mõõdet. Erinevaid infotehnoloogilisi vahendeid võib leida iga inimese töökohast, kodust ja taskust. Iga arvutis, nutitelefonis või võrgus tehtud liigutus jätab endast maha jälje, olgu selleks siis arvuti IP-aadress, võrgus sooritatud infootsingu tulemus, salvestatud fail või mõni muu esmapilgul silmatorkamatuks jääda võiv märk, mis võib osutuda õlekõrreks kuriteo lahendamisel. Digitaalsete jälgede avastamine ja uurimine eeldab laialdasi teadmisi nii kriminalistikast, erinevatest uurimismeetoditest, kasutusel olevatest tööriistadest kui ka infotehnoloogiast üldisemalt.

=Arvutikriminalistika areng=
Andmekaitse ja infoturbe leksikon defineerib arvutikriminalistikat kui arvutites ja digitaalsetel andmekandjatel olevate kohtukõlblike asitõendite avastamise ja uurimisega tegelevat kriminalistikaharu <ref>Andmekaitse ja infoturbe leksikon. http://akit.cyber.ee/term/492-arvutikriminalistika</ref>.

Kuigi teiste kriminalistikaharudega võrreldes peetakse arvutikriminalistikat suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuriteod iseenesest sugugi uus, vaid tänapäevale iseloomulik nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul hakati arvuti väärkasutuse juhtumeid dokumenteerima praktiliselt nende kasutuselevõtmise hetkest alates <ref>Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf</ref>. 1960-ndatel aastatel IT-töötajate ebaeetilist ja seadusevastast arvutikasutamist uurinud Stanfordi uurimisinstituudi teadlane Donn Parker tõdes: „''kui inimesed sisenesid arvutuskeskusesse, siis jätsid nad eetika ukse taha''“ <ref name="Bem">Bem, D., Feld, F., Huebner, E., Bem, O. (2008). Computer Forensics – Past, Present and Future. Journal of Information Science and Technology, JIST 5(3) 2008, lk 43-59. https://pdfs.semanticscholar.org/491f/9bf892071f5fc9773de1c9abc2df691391cd.pdf</ref>.

Arvutikuritegude hüppeline kasv sai alguse 1980-ndatel aastatel ühes personaalarvutite laiema levikuga ning viis selleni, et arvutikuriteod kuulutati eraldiseisvaks kuriteoliigiks. Nagu iga kuritegu, vajas ka arvutikuritegu kohtumenetluse läbiviimiseks usaldusväärset tõendusmaterjali, mis pani omakorda aluse arvutikriminalistika kui iseseisva kriminalistikaharu tekkele. 1990-ndateks aastateks olid kõik tehnoloogiliselt arenenud riigid arvutikuritegevuse olemusest ja võimalikest riskidest teadlikumaks saanud ning arvutikuritegude uurimiseks ja süülisuse tuvastamiseks hakati koostama täpsemaid protseduurireegleid. Selleks ajaks oli mitmel pool loodud spetsiaalseid arvutikuritegevusele keskendunud teaduslikke uurimiskeskusi ning ka tarkvaratootjad hakkasid omalt poolt pakkuma arvutikuritegude tuvastamiseks sobilikke tööriistu.<ref name="Bem"></ref>

Tänaseks on arvuti- või laiemas mõistes küberkuritegevusest saanud kõige kiiremini kasvav kuriteoliik maailmas. Möödunud aastal Suurbritannia riikliku kuritegevuse ameti (NCA) poolt avaldatud raportist selgub, et Suurbritannias ületab kübervahenditega seotud kuritegude arv juba kõik teised kuritegude liigid. Kübervahendite abiga toime pandud kuriteod nagu näiteks pettused, ebaseaduslik narkootikumide ostmine või interneti vahendusel laste seksuaalne ärakasutamine moodustas Suurbritannias 2015. aastal 36% kuritegudest. Kübervahenditele toetuvad kuriteod nagu näiteks pahavara levitamine, delikaatsete isikuandmete või ärisaladuste varastamine ja DdoS rünnakud aga 17% kuritegudest.<ref name="NCA">National Crime Agency. (07.07.2016). Cyber Crime Assessment 2016. http://www.nationalcrimeagency.gov.uk/publications/709-cyber-crime-assessment-2016/file</ref>

Tõenäoliselt on arvutikuritegevus siiski palju rohkem levinud, kui numbrite põhjal järeldada võib, sest suurem osa intsidentidest jääb ametlikult registreerimata. Nii näiteks leidis Suurbritannia riikliku statistikaameti hinnangul 2015. aastal riigis aset 2,46 miljonit küberintsidenti, mille tagajärjel kannatas 2,11 miljonit isikut, samas kui ametivõime teavitati vaid 16 349 kübervahenditele toetuvast ning umbes 700 000 kübervahendite abiga toime pandud intsidendist<ref name="NCA"></ref>. Ka Eesti keskkriminaalpolitsei küberkuritegude büroo juht tunnistab, et küberkuritegevusega seostub tihti ohvrimentaliteet. Inimene tunneb piinlikkust, et just tema või näiteks tema asutus kuriteo ohvriks langes ega taha juhtunust avalikult kõnelda.<ref>Lõugas, H. (27.11.2016). Mida tähendab Eestis küberkuritegevusega võitlemine? Loomingulisust, põnevust ja kohanemist. https://geenius.ee/uudis/mida-tahendab-eestis-kuberkuritegevusega-voitlemine-loomingulisust-ponevust-ja-kohanemist</ref>.

=Tõendite kogumise protsess ning nende omandamine arvutikriminalistikas=

Tänu indekseerimisele ja filtreerimisele, mis tagavad kiire juurdepääsu asjakohastele tõenditele, on kaasustes kasutatavate andmete analüüsiks kuluv aeg märkimisväärselt kahanenud. Kuid efektiivne juurdlus kohtuekspertiisis tähendab seda, et keskendutakse väga detailselt iga juurdluse kui arengu osasse, vältimaks vigu, mis võivad kahjustada tugeva kaasuse sündi. Tänases kohtupraktikas panevad kaitsjad üha enam rõhku tõendite kõlblikkuse annulleerimisele, viidates vigadele, mida on tehtud tõendeid kogudes, talletades jms. Seetõttu ei saa ka arvutikriminalistikas läbi sõrmede vaadata just digitaalsete tõendite hankimise protsessidest. Kohtuekpertiisi digitaalsete tõendite juurdlus kätkeb endas põhiliselt nelja üksteisele järgnevat protsessi, milleks on ettevalmistus, omandamine/säilitamine, analüüs ja aruandlus/presenteerimine.

'''Ettevalmistus'''

Kohtuekspertiisi spetsialisti jaoks on väga tähtis olla ettevalmistatud eesolevaks juurdluseks ning peaks silmas pidama järgmisi aspekte:

enne tõendite koguma hakkamist, tuleb sätestada digijuurdluse üldprotsess;
väljaõpetatud väli- ja laborimeeskonnad peavad omama järgmist:
tehniline väljaõpe:
vajalikud oskused ja teadlikkus, kuidas kasutada arvutikriminalistika vahendeid;
protseduuriline väljaõpe: vajalik konseptsioon parimatest tavadest, kordadest, töövoogudest( ingl. k workflow) läbi viimaks läbi digijuurdlust;
adekvaatne riist- ja tarkvara;

'''Omandamine/säilitamine'''

Omandamist ning säilitamist loetakse kõige kriitilisemateks sammudeks digitaalsete tõendite kogumise protsessis, kuna eksimustele kehtib omandamise ajal nulltolerants. Põhiline printsiip arvutikriminalistikas on digitõendite rikkumatuse säilitamine.

Omandamine saavutatakse järgnevate vahendite kasutamisel:
kirjutamisblokk(ingl. k write blocker) ehk seade, mis deaktiveerib redigreerimise võimalused vältimaks juhuslikke vigu omandamisel;
duplikaator(ingl. k forensic duplicator) ehk seade, mis kopeerib kõvaketta sisu;
buudiketas ehk flopiketas või CD-ROM, mis sisaldab operatsioonisüsteemi põhiosi ja selle käivitamiseks vajalikke abifaile;
kaughaldus ehk spetsiaalne tarkvara seadmete kaugdiagnostikaks üle võrgu;<ref>Carbone, F. (2014) Computer Forensics with FTK. Packt Publishing </ref>

'''Analüüs'''

Analüüs on juurdluse selline faas, mis omab enim tehnilisi aspekte. Mõned näiteid nendest:

vajaduspärane tehniline teadmine operatsioonisüsteemist, failisüsteemist, arvutivõrgust ja aplikatsioonidest;
spetsiaalselt arendatud tarkvara on vajalik;
oskus luua filtreid ning otsida tõendeid arvuti operatsioonisüsteemi sündmustelogidest;

'''Aruandlus/presenteerimine'''

Pärast tulemuste saamist ning kokkuvõtete tegemist juurdluses, on vaja teostada järgmised sammud:

kohandada aruandluse keel konkreetsele sihtgrupile – kasutada tehnilist keelt tehnilise meeskonna tarbeks ja formaalset ning sobivat keelekasutust tuleks esitleda advokaatidele, kohtunikele jt;
hoolitseda, et aruanded oleksid selged, kokkuvõtvad ning arvamuste vabad;
tagada aruandlus erinevates failiformaatides nagu PDF, HTML, DOC jne;

'''Digitaalsete tõendite omandamise põhilised meetodid'''

'''Koopiate tegemine'''

Kindlustamaks kogutud andmete kõlblikkus, koostatakse tõendusmaterjalist täpseid koopiaid(ingl. k forensic images), tuntud kui bitivoog(ingl. k bit stream). See tagab andmete eelanalüüsi, informatsiooni otsingu ja hävimälust(ingl. k volatile memory) andmete kogumise(nt RAM). Samuti loob see võimaluse mõista digitõendite kogumise protsessi, mis on üks kõige missioonikriitilisemaid faktoreid. On oluline mõista, et andmete omandamine võib olla võimalik mitte ainult kõvaketta ruumis, vaid ka teiste seadmete mälumahus. Mõningad näited -
magnetmeedium:

flopikettad;
kõvakettad;
USB või PC-kaardid;
ZIP-kettad ja lintmäluseadmed;

optiline meedium:

CD-d;
CD-R-id ja CD-RW-d;
DVD-d;

alternatiivne meedium:

MP3 mängijad;
tahvelarvutid;
nutitelefonid;
videomängud, televiisor jne;

Bitivoog duplikeerib andmete kogumahu, välistades juhusliku andmete muutmise võimalikkuse originaal-andmekandjal. Tõendusmaterjali täpne koopia on identne originaaliga, mis hõlmab ka andmekandja tühja ruumi või mitte andmetega täidetud mälumahu. Samuti on võimalik kustutatud andmete taastamine. Kohtuekspertiisiline duplikeerimine lubab pidada kogu juurdlusprotsessi koopial, säilitades andmete originaalsuse esialgsel andmekandjal kasutamaks seda kohtukaasustes. Hilisem analüüs saab juba toimuda spetsiaalsel kohtuekspertiisi tarkvara platvormil, mis lubab andmete detailsemat uurimist ning saadud informatsioonist lõppraporti koostamist. <ref>Carbone, F. (2014) Computer Forensics with FTK. Packt Publishing </ref>

'''Operatsioonisüsteemi logide uurimine'''

Enamik spetsiaalseid kohtuekspertiisi tarkvara platvorme pakuvad võimalust ka vaadata ka andmeid operatsioonisüsteemide registritest detailsemalt kuid suudavad anda ka ülevaatlikumat pilti, kui näiteks Windowsis regedit. Vastupidiselt traditsioonilistest OSi registriredaktoritest suudavad spetsiaalselt kohtuekspertiisiks välja töötatud tarkvaraprogrammid visualiseerida kogupilti kõikides operatsioonisüsteemidest . Samuti tagatakse kasutajale ligipääs registry poolt kaitstud andmetele, mis sisaldab endas paroole, kasutajanimesid, sisselogimiskordi, viimast sisselogimisaega, parooli muutmisi ja muud säärast kasutajaspetsiifilist infot. Enamasti on küll vajalik tunda failisüsteemi iseärasusi, et efektiivselt tööriistaga töötada. <ref>Carbone, F. (2014) Computer Forensics with FTK. Packt Publishing </ref>

=Andmete peitmine ja otsimine=
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

=Ekspertiis ja kohtupraktika=

==Eesti IT-ekspertiisi praktika==

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

==Eesti kohtupraktika==

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi. Kokku registreeriti 2016. aastal selliseid süütegusid 608. Seejuures üldine kuritegevuse tase langes 11% võrra. <ref name="J2017">Justiitsministeerium (2017) Kuritegevus Eestis 2016. http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf</ref> Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 https://www.riigiteataja.ee/akt/184411?leiaKehtiv</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses. <ref name="J2017"></ref>

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü. <ref name="J2017"></ref> Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud. <ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu. <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716</ref> Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²). Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137). <ref name="J2017"></ref> Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%). 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni. <ref name="J2017"></ref>

=Kokkuvõte=
Tehnoloogiavaldkonna kiire areng seab arvutikriminalistid silmitsi järjest suuremate väljakutsetega. Olemasolevad tehnoloogiad vananevad, uued tehnoloogiad arenevad, samal ajal muutub arvutikuritegevus järjest agressiivsemaks ja tehniliselt võimekamaks – kriminalistid peavad suutma selle arenguga sammu pidada.

=Viited=

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T19:47:28Z

Mkangur: /* Arvutikriminalistika areng */

[[Category:ITSPEA 2016 kaugõpe]]
Autorid: Mari-Liis Oldja, Margit Kangur, Reilika Saks, Gregor Luukas

=Sissejuhatus=
Tänapäeval on raske ette kujutada kuritegu, millel poleks digitaalset mõõdet. Erinevaid infotehnoloogilisi vahendeid võib leida iga inimese töökohast, kodust ja taskust. Iga arvutis, nutitelefonis või võrgus tehtud liigutus jätab endast maha jälje, olgu selleks siis arvuti IP-aadress, võrgus sooritatud infootsingu tulemus, salvestatud fail või mõni muu esmapilgul silmatorkamatuks jääda võiv märk, mis võib osutuda õlekõrreks kuriteo lahendamisel. Digitaalsete jälgede avastamine ja uurimine eeldab laialdasi teadmisi nii kriminalistikast, erinevatest uurimismeetoditest, kasutusel olevatest tööriistadest kui ka infotehnoloogiast üldisemalt.

=Arvutikriminalistika areng=
Andmekaitse ja infoturbe leksikon defineerib arvutikriminalistikat kui arvutites ja digitaalsetel andmekandjatel olevate kohtukõlblike asitõendite avastamise ja uurimisega tegelevat kriminalistikaharu <ref>Andmekaitse ja infoturbe leksikon. http://akit.cyber.ee/term/492-arvutikriminalistika</ref>.

Kuigi teiste kriminalistikaharudega võrreldes peetakse arvutikriminalistikat suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuriteod iseenesest sugugi uus, vaid tänapäevale iseloomulik nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul hakati arvuti väärkasutuse juhtumeid dokumenteerima praktiliselt nende kasutuselevõtmise hetkest alates <ref>Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf</ref>. 1960-ndatel aastatel IT-töötajate ebaeetilist ja seadusevastast arvutikasutamist uurinud Stanfordi uurimisinstituudi teadlane Donn Parker tõdes: „''kui inimesed sisenesid arvutuskeskusesse, siis jätsid nad eetika ukse taha''“ <ref name="Bem">Bem, D., Feld, F., Huebner, E., Bem, O. (2008). Computer Forensics – Past, Present and Future. Journal of Information Science and Technology, JIST 5(3) 2008, lk 43-59. https://pdfs.semanticscholar.org/491f/9bf892071f5fc9773de1c9abc2df691391cd.pdf</ref>.

Arvutikuritegude hüppeline kasv sai alguse 1980-ndatel aastatel ühes personaalarvutite laiema levikuga ning viis selleni, et arvutikuriteod kuulutati eraldiseisvaks kuriteoliigiks. Nagu iga kuritegu, vajas ka arvutikuritegu kohtumenetluse läbiviimiseks usaldusväärset tõendusmaterjali, mis pani omakorda aluse arvutikriminalistika kui iseseisva kriminalistikaharu tekkele. 1990-ndateks aastateks olid kõik tehnoloogiliselt arenenud riigid arvutikuritegevuse olemusest ja võimalikest riskidest teadlikumaks saanud ning arvutikuritegude uurimiseks ja süülisuse tuvastamiseks hakati koostama täpsemaid protseduurireegleid. Selleks ajaks oli mitmel pool loodud spetsiaalseid arvutikuritegevusele keskendunud teaduslikke uurimiskeskusi ning ka tarkvaratootjad hakkasid omalt poolt pakkuma arvutikuritegude tuvastamiseks sobilikke tööriistu.<ref name="Bem"></ref>

Tänaseks on arvuti- või laiemas mõistes küberkuritegevusest saanud kõige kiiremini kasvav kuriteoliik maailmas. Möödunud aastal Suurbritannia riikliku kuritegevuse ameti (NCA) poolt avaldatud raportist selgub, et Suurbritannias ületab kübervahenditega seotud kuritegude arv juba kõik teised kuritegude liigid. Kübervahendite abiga toime pandud kuriteod nagu näiteks pettused, ebaseaduslik narkootikumide ostmine või interneti vahendusel laste seksuaalne ärakasutamine moodustas 2015. aastal 36% kuritegudest. Kübervahenditele toetuvad kuriteod nagu näiteks pahavara levitamine, delikaatsete isikuandmete või ärisaladuste varastamine ja DdoS rünnakud aga 17% kuritegudest.<ref name="NCA">National Crime Agency. (07.07.2016). Cyber Crime Assessment 2016. http://www.nationalcrimeagency.gov.uk/publications/709-cyber-crime-assessment-2016/file</ref>

Tõenäoliselt on arvutikuritegevus siiski palju rohkem levinud, kui numbrite põhjal järeldada võib, sest suurem osa intsidentidest jääb ametlikult registreerimata. Nii näiteks leidis Suurbritannia riikliku statistikaameti hinnangul 2015. aastal riigis aset 2,46 miljonit küberintsidenti, mille tagajärjel kannatas 2,11 miljonit isikut, samas kui ametivõime teavitati vaid 16 349 kübervahenditele toetuvast ning umbes 700 000 kübervahendite abiga toime pandud intsidendist<ref name="NCA"></ref>. Ka Eesti keskkriminaalpolitsei küberkuritegude büroo juht tunnistab, et küberkuritegevusega seostub tihti ohvrimentaliteet. Inimene tunneb piinlikkust, et just tema või näiteks tema asutus kuriteo ohvriks langes ega taha juhtunust avalikult kõnelda.<ref>Lõugas, H. (27.11.2016). Mida tähendab Eestis küberkuritegevusega võitlemine? Loomingulisust, põnevust ja kohanemist. https://geenius.ee/uudis/mida-tahendab-eestis-kuberkuritegevusega-voitlemine-loomingulisust-ponevust-ja-kohanemist</ref>.

=Tõendite kogumise protsess ning nende omandamine arvutikriminalistikas=

Tänu indekseerimisele ja filtreerimisele, mis tagavad kiire juurdepääsu asjakohastele tõenditele, on kaasustes kasutatavate andmete analüüsiks kuluv aeg märkimisväärselt kahanenud. Kuid efektiivne juurdlus kohtuekspertiisis tähendab seda, et keskendutakse väga detailselt iga juurdluse kui arengu osasse, vältimaks vigu, mis võivad kahjustada tugeva kaasuse sündi. Tänases kohtupraktikas panevad kaitsjad üha enam rõhku tõendite kõlblikkuse annulleerimisele, viidates vigadele, mida on tehtud tõendeid kogudes, talletades jms. Seetõttu ei saa ka arvutikriminalistikas läbi sõrmede vaadata just digitaalsete tõendite hankimise protsessidest. Kohtuekpertiisi digitaalsete tõendite juurdlus kätkeb endas põhiliselt nelja üksteisele järgnevat protsessi, milleks on ettevalmistus, omandamine/säilitamine, analüüs ja aruandlus/presenteerimine.

'''Ettevalmistus'''

Kohtuekspertiisi spetsialisti jaoks on väga tähtis olla ettevalmistatud eesolevaks juurdluseks ning peaks silmas pidama järgmisi aspekte:

enne tõendite koguma hakkamist, tuleb sätestada digijuurdluse üldprotsess;
väljaõpetatud väli- ja laborimeeskonnad peavad omama järgmist:
tehniline väljaõpe:
vajalikud oskused ja teadlikkus, kuidas kasutada arvutikriminalistika vahendeid;
protseduuriline väljaõpe: vajalik konseptsioon parimatest tavadest, kordadest, töövoogudest( ingl. k workflow) läbi viimaks läbi digijuurdlust;
adekvaatne riist- ja tarkvara;

'''Omandamine/säilitamine'''

Omandamist ning säilitamist loetakse kõige kriitilisemateks sammudeks digitaalsete tõendite kogumise protsessis, kuna eksimustele kehtib omandamise ajal nulltolerants. Põhiline printsiip arvutikriminalistikas on digitõendite rikkumatuse säilitamine.

Omandamine saavutatakse järgnevate vahendite kasutamisel:
kirjutamisblokk(ingl. k write blocker) ehk seade, mis deaktiveerib redigreerimise võimalused vältimaks juhuslikke vigu omandamisel;
duplikaator(ingl. k forensic duplicator) ehk seade, mis kopeerib kõvaketta sisu;
buudiketas ehk flopiketas või CD-ROM, mis sisaldab operatsioonisüsteemi põhiosi ja selle käivitamiseks vajalikke abifaile;
kaughaldus ehk spetsiaalne tarkvara seadmete kaugdiagnostikaks üle võrgu;<ref>Carbone, F. (2014) Computer Forensics with FTK. Packt Publishing </ref>

'''Analüüs'''

Analüüs on juurdluse selline faas, mis omab enim tehnilisi aspekte. Mõned näiteid nendest:

vajaduspärane tehniline teadmine operatsioonisüsteemist, failisüsteemist, arvutivõrgust ja aplikatsioonidest;
spetsiaalselt arendatud tarkvara on vajalik;
oskus luua filtreid ning otsida tõendeid arvuti operatsioonisüsteemi sündmustelogidest;

'''Aruandlus/presenteerimine'''

Pärast tulemuste saamist ning kokkuvõtete tegemist juurdluses, on vaja teostada järgmised sammud:

kohandada aruandluse keel konkreetsele sihtgrupile – kasutada tehnilist keelt tehnilise meeskonna tarbeks ja formaalset ning sobivat keelekasutust tuleks esitleda advokaatidele, kohtunikele jt;
hoolitseda, et aruanded oleksid selged, kokkuvõtvad ning arvamuste vabad;
tagada aruandlus erinevates failiformaatides nagu PDF, HTML, DOC jne;

'''Digitaalsete tõendite omandamise põhilised meetodid'''

'''Koopiate tegemine'''

Kindlustamaks kogutud andmete kõlblikkus, koostatakse tõendusmaterjalist täpseid koopiaid(ingl. k forensic images), tuntud kui bitivoog(ingl. k bit stream). See tagab andmete eelanalüüsi, informatsiooni otsingu ja hävimälust(ingl. k volatile memory) andmete kogumise(nt RAM). Samuti loob see võimaluse mõista digitõendite kogumise protsessi, mis on üks kõige missioonikriitilisemaid faktoreid. On oluline mõista, et andmete omandamine võib olla võimalik mitte ainult kõvaketta ruumis, vaid ka teiste seadmete mälumahus. Mõningad näited -
magnetmeedium:

flopikettad;
kõvakettad;
USB või PC-kaardid;
ZIP-kettad ja lintmäluseadmed;

optiline meedium:

CD-d;
CD-R-id ja CD-RW-d;
DVD-d;

alternatiivne meedium:

MP3 mängijad;
tahvelarvutid;
nutitelefonid;
videomängud, televiisor jne;

Bitivoog duplikeerib andmete kogumahu, välistades juhusliku andmete muutmise võimalikkuse originaal-andmekandjal. Tõendusmaterjali täpne koopia on identne originaaliga, mis hõlmab ka andmekandja tühja ruumi või mitte andmetega täidetud mälumahu. Samuti on võimalik kustutatud andmete taastamine. Kohtuekspertiisiline duplikeerimine lubab pidada kogu juurdlusprotsessi koopial, säilitades andmete originaalsuse esialgsel andmekandjal kasutamaks seda kohtukaasustes. Hilisem analüüs saab juba toimuda spetsiaalsel kohtuekspertiisi tarkvara platvormil, mis lubab andmete detailsemat uurimist ning saadud informatsioonist lõppraporti koostamist. <ref>Carbone, F. (2014) Computer Forensics with FTK. Packt Publishing </ref>

'''Operatsioonisüsteemi logide uurimine'''

Enamik spetsiaalseid kohtuekspertiisi tarkvara platvorme pakuvad võimalust ka vaadata ka andmeid operatsioonisüsteemide registritest detailsemalt kuid suudavad anda ka ülevaatlikumat pilti, kui näiteks Windowsis regedit. Vastupidiselt traditsioonilistest OSi registriredaktoritest suudavad spetsiaalselt kohtuekspertiisiks välja töötatud tarkvaraprogrammid visualiseerida kogupilti kõikides operatsioonisüsteemidest . Samuti tagatakse kasutajale ligipääs registry poolt kaitstud andmetele, mis sisaldab endas paroole, kasutajanimesid, sisselogimiskordi, viimast sisselogimisaega, parooli muutmisi ja muud säärast kasutajaspetsiifilist infot. Enamasti on küll vajalik tunda failisüsteemi iseärasusi, et efektiivselt tööriistaga töötada. <ref>Carbone, F. (2014) Computer Forensics with FTK. Packt Publishing </ref>

=Andmete peitmine ja otsimine=
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

=Ekspertiis ja kohtupraktika=

==Eesti IT-ekspertiisi praktika==

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

==Eesti kohtupraktika==

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi. Kokku registreeriti 2016. aastal selliseid süütegusid 608. Seejuures üldine kuritegevuse tase langes 11% võrra. <ref name="J2017">Justiitsministeerium (2017) Kuritegevus Eestis 2016. http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf</ref> Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 https://www.riigiteataja.ee/akt/184411?leiaKehtiv</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses. <ref name="J2017"></ref>

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü. <ref name="J2017"></ref> Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud. <ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu. <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716</ref> Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²). Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137). <ref name="J2017"></ref> Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%). 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni. <ref name="J2017"></ref>

=Kokkuvõte=
Tehnoloogiavaldkonna kiire areng seab arvutikriminalistid silmitsi järjest suuremate väljakutsetega. Olemasolevad tehnoloogiad vananevad, uued tehnoloogiad arenevad, samal ajal muutub arvutikuritegevus järjest agressiivsemaks ja tehniliselt võimekamaks – kriminalistid peavad suutma selle arenguga sammu pidada.

=Viited=

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T19:42:48Z

Mkangur: /* Arvutikriminalistika areng */

[[Category:ITSPEA 2016 kaugõpe]]
Autorid: Mari-Liis Oldja, Margit Kangur, Reilika Saks, Gregor Luukas

=Sissejuhatus=
Tänapäeval on raske ette kujutada kuritegu, millel poleks digitaalset mõõdet. Erinevaid infotehnoloogilisi vahendeid võib leida iga inimese töökohast, kodust ja taskust. Iga arvutis, nutitelefonis või võrgus tehtud liigutus jätab endast maha jälje, olgu selleks siis arvuti IP-aadress, võrgus sooritatud infootsingu tulemus, salvestatud fail või mõni muu esmapilgul silmatorkamatuks jääda võiv märk, mis võib osutuda õlekõrreks kuriteo lahendamisel. Digitaalsete jälgede avastamine ja uurimine eeldab laialdasi teadmisi nii kriminalistikast, erinevatest uurimismeetoditest, kasutusel olevatest tööriistadest kui ka infotehnoloogiast üldisemalt.

=Arvutikriminalistika areng=
Andmekaitse ja infoturbe leksikon defineerib arvutikriminalistikat kui arvutites ja digitaalsetel andmekandjatel olevate kohtukõlblike asitõendite avastamise ja uurimisega tegelevat kriminalistikaharu <ref>Andmekaitse ja infoturbe leksikon. http://akit.cyber.ee/term/492-arvutikriminalistika</ref>.

Kuigi teiste kriminalistikaharudega võrreldes peetakse arvutikriminalistikat suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuriteod iseenesest sugugi uus, vaid tänapäevale iseloomulik nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul hakati arvuti väärkasutuse juhtumeid dokumenteerima praktiliselt nende kasutuselevõtmise hetkest alates <ref>Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf</ref>. 1960-ndatel aastatel IT-töötajate ebaeetilist ja seadusevastast arvutikasutamist uurinud Stanfordi uurimisinstituudi teadlane Donn Parker tõdes: „''kui inimesed sisenesid arvutuskeskusesse, siis jätsid nad eetika ukse taha''“ <ref name="Bem">Bem, D., Feld, F., Huebner, E., Bem, O. (2008). Computer Forensics – Past, Present and Future. Journal of Information Science and Technology, JIST 5(3) 2008, lk 43-59. https://pdfs.semanticscholar.org/491f/9bf892071f5fc9773de1c9abc2df691391cd.pdf</ref>.

Arvutikuritegude hüppeline kasv sai alguse 1980-ndatel aastatel ühes personaalarvutite laiema levikuga ning viis selleni, et arvutikuriteod kuulutati eraldiseisvaks kuriteoliigiks. Nagu iga kuritegu, vajas ka arvutikuritegu kohtumenetluse läbiviimiseks usaldusväärset tõendusmaterjali, mis omakorda pani aluse arvutikriminalistika kui iseseisva kriminalistikaharu tekkele. 1990-ndateks aastateks olid kõik tehnoloogiliselt arenenud riigid arvutikuritegevuse olemusest ja võimalikest riskidest teadlikumaks saanud ning arvutikuritegude uurimiseks ja süülisuse tuvastamiseks hakati koostama täpsemaid protseduurireegleid. Selleks ajaks oli mitmel pool loodud spetsiaalseid arvutikuritegevusele keskendunud teaduslikke uurimiskeskusi ning ka tarkvaratootjad hakkasid omalt poolt pakkuma arvutikuritegude tuvastamiseks sobilikke tööriistu.<ref name="Bem"></ref>

Tänaseks on arvuti- või laiemas mõistes küberkuritegevusest saanud kõige kiiremini kasvav kuriteoliik maailmas. Möödunud aastal Suurbritannia riikliku kuritegevuse ameti (NCA) poolt avaldatud raportist selgub, et Suurbritannias ületab kübervahenditega seotud kuritegude arv juba kõik teised kuritegude liigid. Kübervahendite abiga toime pandud kuriteod nagu näiteks pettused, ebaseaduslik narkootikumide ostmine või interneti vahendusel laste seksuaalne ärakasutamine moodustas 2015. aastal 36% kuritegudest. Kübervahenditele toetuvad kuriteod nagu näiteks pahavara levitamine, delikaatsete isikuandmete või ärisaladuste varastamine ja DdoS rünnakud aga 17% kuritegudest.<ref name="NCA">National Crime Agency. (07.07.2016). Cyber Crime Assessment 2016. http://www.nationalcrimeagency.gov.uk/publications/709-cyber-crime-assessment-2016/file</ref>

Tõenäoliselt on arvutikuritegevus siiski palju rohkem levinud, kui numbrite põhjal järeldada võib, sest suurem osa intsidentidest jääb ametlikult registreerimata. Nii näiteks leidis Suurbritannia riikliku statistikaameti hinnangul 2015. aastal riigis aset 2,46 miljonit küberintsidenti, mille tagajärjel kannatas 2,11 miljonit isikut, samas kui ametivõime teavitati vaid 16 349 kübervahenditele toetuvast ning umbes 700 000 kübervahendite abiga toime pandud intsidendist<ref name="NCA"></ref>. Ka Eesti keskkriminaalpolitsei küberkuritegude büroo juht tunnistab, et küberkuritegevusega seostub tihti ohvrimentaliteet. Inimene tunneb piinlikkust, et just tema või näiteks tema asutus kuriteo ohvriks langes ega taha juhtunust avalikult kõnelda.<ref>Lõugas, H. (27.11.2016). Mida tähendab Eestis küberkuritegevusega võitlemine? Loomingulisust, põnevust ja kohanemist. https://geenius.ee/uudis/mida-tahendab-eestis-kuberkuritegevusega-voitlemine-loomingulisust-ponevust-ja-kohanemist</ref>.

=Tõendite kogumise protsess ning nende omandamine arvutikriminalistikas=

Tänu indekseerimisele ja filtreerimisele, mis tagavad kiire juurdepääsu asjakohastele tõenditele, on kaasustes kasutatavate andmete analüüsiks kuluv aeg märkimisväärselt kahanenud. Kuid efektiivne juurdlus kohtuekspertiisis tähendab seda, et keskendutakse väga detailselt iga juurdluse kui arengu osasse, vältimaks vigu, mis võivad kahjustada tugeva kaasuse sündi. Tänases kohtupraktikas panevad kaitsjad üha enam rõhku tõendite kõlblikkuse annulleerimisele, viidates vigadele, mida on tehtud tõendeid kogudes, talletades jms. Seetõttu ei saa ka arvutikriminalistikas läbi sõrmede vaadata just digitaalsete tõendite hankimise protsessidest. Kohtuekpertiisi digitaalsete tõendite juurdlus kätkeb endas põhiliselt nelja üksteisele järgnevat protsessi, milleks on ettevalmistus, omandamine/säilitamine, analüüs ja aruandlus/presenteerimine.

'''Ettevalmistus'''

Kohtuekspertiisi spetsialisti jaoks on väga tähtis olla ettevalmistatud eesolevaks juurdluseks ning peaks silmas pidama järgmisi aspekte:

enne tõendite koguma hakkamist, tuleb sätestada digijuurdluse üldprotsess;
väljaõpetatud väli- ja laborimeeskonnad peavad omama järgmist:
tehniline väljaõpe:
vajalikud oskused ja teadlikkus, kuidas kasutada arvutikriminalistika vahendeid;
protseduuriline väljaõpe: vajalik konseptsioon parimatest tavadest, kordadest, töövoogudest( ingl. k workflow) läbi viimaks läbi digijuurdlust;
adekvaatne riist- ja tarkvara;

'''Omandamine/säilitamine'''

Omandamist ning säilitamist loetakse kõige kriitilisemateks sammudeks digitaalsete tõendite kogumise protsessis, kuna eksimustele kehtib omandamise ajal nulltolerants. Põhiline printsiip arvutikriminalistikas on digitõendite rikkumatuse säilitamine.

Omandamine saavutatakse järgnevate vahendite kasutamisel:
kirjutamisblokk(ingl. k write blocker) ehk seade, mis deaktiveerib redigreerimise võimalused vältimaks juhuslikke vigu omandamisel;
duplikaator(ingl. k forensic duplicator) ehk seade, mis kopeerib kõvaketta sisu;
buudiketas ehk flopiketas või CD-ROM, mis sisaldab operatsioonisüsteemi põhiosi ja selle käivitamiseks vajalikke abifaile;
kaughaldus ehk spetsiaalne tarkvara seadmete kaugdiagnostikaks üle võrgu;

'''Analüüs'''

Analüüs on juurdluse selline faas, mis omab enim tehnilisi aspekte. Mõned näiteid nendest:

vajaduspärane tehniline teadmine operatsioonisüsteemist, failisüsteemist, arvutivõrgust ja aplikatsioonidest;
spetsiaalselt arendatud tarkvara on vajalik;
oskus luua filtreid ning otsida tõendeid arvuti operatsioonisüsteemi sündmustelogidest;

'''Aruandlus/presenteerimine'''

Pärast tulemuste saamist ning kokkuvõtete tegemist juurdluses, on vaja teostada järgmised sammud:

kohandada aruandluse keel konkreetsele sihtgrupile – kasutada tehnilist keelt tehnilise meeskonna tarbeks ja formaalset ning sobivat keelekasutust tuleks esitleda advokaatidele, kohtunikele jt;
hoolitseda, et aruanded oleksid selged, kokkuvõtvad ning arvamuste vabad;
tagada aruandlus erinevates failiformaatides nagu PDF, HTML, DOC jne;

'''Digitaalsete tõendite omandamise põhilised meetodid'''

'''Koopiate tegemine'''

Kindlustamaks kogutud andmete kõlblikkus, koostatakse tõendusmaterjalist täpseid koopiaid(ingl. k forensic images), tuntud kui bitivoog(ingl. k bit stream). See tagab andmete eelanalüüsi, informatsiooni otsingu ja hävimälust(ingl. k volatile memory) andmete kogumise(nt RAM). Samuti loob see võimaluse mõista digitõendite kogumise protsessi, mis on üks kõige missioonikriitilisemaid faktoreid. On oluline mõista, et andmete omandamine võib olla võimalik mitte ainult kõvaketta ruumis, vaid ka teiste seadmete mälumahus. Mõningad näited -
magnetmeedium:

flopikettad;
kõvakettad;
USB või PC-kaardid;
ZIP-kettad ja lintmäluseadmed;

optiline meedium:

CD-d;
CD-R-id ja CD-RW-d;
DVD-d;

alternatiivne meedium:

MP3 mängijad;
tahvelarvutid;
nutitelefonid;
videomängud, televiisor jne;

Bitivoog duplikeerib andmete kogumahu, välistades juhusliku andmete muutmise võimalikkuse originaal-andmekandjal. Tõendusmaterjali täpne koopia on identne originaaliga, mis hõlmab ka andmekandja tühja ruumi või mitte andmetega täidetud mälumahu. Samuti on võimalik kustutatud andmete taastamine. Kohtuekspertiisiline duplikeerimine lubab pidada kogu juurdlusprotsessi koopial, säilitades andmete originaalsuse esialgsel andmekandjal kasutamaks seda kohtukaasustes. Hilisem analüüs saab juba toimuda spetsiaalsel kohtuekspertiisi tarkvara platvormil, mis lubab andmete detailsemat uurimist ning saadud informatsioonist lõppraporti koostamist.

'''Operatsioonisüsteemi logide uurimine'''

Enamik spetsiaalseid kohtuekspertiisi tarkvara platvorme pakuvad võimalust ka vaadata ka andmeid operatsioonisüsteemide registritest detailsemalt kuid suudavad anda ka ülevaatlikumat pilti, kui näiteks Windowsis regedit. Vastupidiselt traditsioonilistest OSi registriredaktoritest suudavad spetsiaalselt kohtuekspertiisiks välja töötatud tarkvaraprogrammid visualiseerida kogupilti kõikides operatsioonisüsteemidest . Samuti tagatakse kasutajale ligipääs registry poolt kaitstud andmetele, mis sisaldab endas paroole, kasutajanimesid, sisselogimiskordi, viimast sisselogimisaega, parooli muutmisi ja muud säärast kasutajaspetsiifilist infot. Enamasti on küll vajalik tunda failisüsteemi iseärasusi, et efektiivselt tööriistaga töötada.

=Andmete peitmine ja otsimine=
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

=Ekspertiis ja kohtupraktika=

==Eesti IT-ekspertiisi praktika==

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

==Eesti kohtupraktika==

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi. Kokku registreeriti 2016. aastal selliseid süütegusid 608. Seejuures üldine kuritegevuse tase langes 11% võrra. <ref name="J2017">Justiitsministeerium (2017) Kuritegevus Eestis 2016. http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf</ref> Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 https://www.riigiteataja.ee/akt/184411?leiaKehtiv</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses. <ref name="J2017"></ref>

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü. <ref name="J2017"></ref> Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud. <ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu. <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716</ref> Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²). Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137). <ref name="J2017"></ref> Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%). 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni. <ref name="J2017"></ref>

=Kokkuvõte=
Tehnoloogiavaldkonna kiire areng seab arvutikriminalistid silmitsi järjest suuremate väljakutsetega. Olemasolevad tehnoloogiad vananevad, uued tehnoloogiad arenevad, samal ajal muutub arvutikuritegevus järjest agressiivsemaks ja tehniliselt võimekamaks – kriminalistid peavad suutma selle arenguga sammu pidada.

=Viited=

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T19:34:09Z

Mkangur: /* Arvutikriminalistika areng */

[[Category:ITSPEA 2016 kaugõpe]]
Autorid: Mari-Liis Oldja, Margit Kangur, Reilika Saks, Gregor Luukas

=Sissejuhatus=
Tänapäeval on raske ette kujutada kuritegu, millel poleks digitaalset mõõdet. Erinevaid infotehnoloogilisi vahendeid võib leida iga inimese töökohast, kodust ja taskust. Iga arvutis, nutitelefonis või võrgus tehtud liigutus jätab endast maha jälje, olgu selleks siis arvuti IP-aadress, võrgus sooritatud infootsingu tulemus, salvestatud fail või mõni muu esmapilgul silmatorkamatuks jääda võiv märk, mis võib osutuda õlekõrreks kuriteo lahendamisel. Digitaalsete jälgede avastamine ja uurimine eeldab laialdasi teadmisi nii kriminalistikast, erinevatest uurimismeetoditest, kasutusel olevatest tööriistadest kui ka infotehnoloogiast üldisemalt.

=Arvutikriminalistika areng=
Andmekaitse ja infoturbe leksikon defineerib arvutikriminalistikat kui arvutites ja digitaalsetel andmekandjatel olevate kohtukõlblike asitõendite avastamise ja uurimisega tegelevat kriminalistikaharu <ref>Andmekaitse ja infoturbe leksikon. http://akit.cyber.ee/term/492-arvutikriminalistika</ref>.

Kuigi teiste kriminalistikaharudega võrreldes peetakse arvutikriminalistikat suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuriteod iseenesest sugugi uus, vaid tänapäevale iseloomulik nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul hakati arvuti väärkasutuse juhtumeid dokumenteerima praktiliselt nende kasutuselevõtmise hetkest alates <ref>Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf</ref>. 1960-ndatel aastatel IT-töötajate ebaeetilist ja seadusevastast arvutikasutamist uurinud Stanfordi uurimisinstituudi teadlane Donn Parker pidi tõdema: „''kui inimesed sisenesid arvutuskeskusesse, siis jätsid nad eetika ukse taha''“ <ref name="Bem">Bem, D., Feld, F., Huebner, E., Bem, O. (2008). Computer Forensics – Past, Present and Future. Journal of Information Science and Technology, JIST 5(3) 2008, lk 43-59. https://pdfs.semanticscholar.org/491f/9bf892071f5fc9773de1c9abc2df691391cd.pdf</ref>.

Arvutikuritegude hüppeline kasv sai alguse 1980-ndatel aastatel ühes personaalarvutite laiema levikuga ning viis selleni, et arvutikuriteod kuulutati eraldiseisvaks kuriteoliigiks. Nagu iga kuritegu, vajas ka arvutikuritegu kohtumenetluse läbiviimiseks usaldusväärset tõendusmaterjali, mis omakorda pani aluse arvutikriminalistika kui iseseisva kriminalistikaharu tekkele. 1990-ndateks aastateks olid kõik tehnoloogiliselt arenenud riigid arvutikuritegevuse olemusest ja võimalikest riskidest teadlikumaks saanud ning arvutikuritegude uurimiseks ja süüdistuste esitamiseks hakati koostama vastavaid protseduurireegleid. Selleks ajaks oli loodud mitmeid arvutikuritegevusele keskenduvaid teaduslikke uurimiskeskusi ning ka tarkvaratootjad hakkasid omalt poolt pakkuma spetsiaalseid tööriistu arvutikuritegude paremaks tuvastamiseks.<ref name="Bem"></ref>

Tänaseks on arvuti- või laiemas mõistes küberkuritegevusest saanud kõige kiiremini kasvav kuriteoliik maailmas. Möödunud aastal Suurbritannia riikliku kuritegevuse ameti (NCA) poolt avaldatud raportist selgub, et Suurbritannias ületab kübervahenditega seotud kuritegude arv juba kõik teised kuritegude liigid. Kübervahendite abiga toime pandud kuriteod nagu näiteks pettused, ebaseaduslik narkootikumide ostmine või interneti vahendusel laste seksuaalne ärakasutamine moodustas 2015. aastal 36% kuritegudest. Kübervahenditele toetuvad kuriteod nagu näiteks pahavara levitamine, delikaatsete isikuandmete või ärisaladuste varastamine ja DdoS rünnakud aga 17% kuritegudest.<ref name="NCA">National Crime Agency. (07.07.2016). Cyber Crime Assessment 2016. http://www.nationalcrimeagency.gov.uk/publications/709-cyber-crime-assessment-2016/file</ref>

Tõenäoliselt on arvutikuritegevus siiski palju rohkem levinud, kui numbrite põhjal järeldada võib, sest suurem osa intsidentidest jääb ametlikult registreerimata. Nii näiteks leidis Suurbritannia riikliku statistikaameti hinnangul 2015. aastal riigis aset 2,46 miljonit küberintsidenti, mille tagajärjel kannatas 2,11 miljonit isikut, samas kui ametivõime teavitati vaid 16 349 kübervahenditele toetuvast ning umbes 700 000 kübervahendite abiga toime pandud intsidendist<ref name="NCA"></ref>. Ka Eesti keskkriminaalpolitsei küberkuritegude büroo juht tunnistab, et küberkuritegevusega seostub tihti ohvrimentaliteet. Inimene tunneb piinlikkust, et just tema või näiteks tema asutus kuriteo ohvriks langes ega taha juhtunust avalikult kõnelda.<ref>Lõugas, H. (27.11.2016). Mida tähendab Eestis küberkuritegevusega võitlemine? Loomingulisust, põnevust ja kohanemist. https://geenius.ee/uudis/mida-tahendab-eestis-kuberkuritegevusega-voitlemine-loomingulisust-ponevust-ja-kohanemist</ref>.

=Tõendite kogumise protsess ning nende omandamine arvutikriminalistikas=

Tänu indekseerimisele ja filtreerimisele, mis tagavad kiire juurdepääsu asjakohastele tõenditele, on kaasustes kasutatavate andmete analüüsiks kuluv aeg märkimisväärselt kahanenud. Kuid efektiivne juurdlus kohtuekspertiisis tähendab seda, et keskendutakse väga detailselt iga juurdluse kui arengu osasse, vältimaks vigu, mis võivad kahjustada tugeva kaasuse sündi. Tänases kohtupraktikas panevad kaitsjad üha enam rõhku tõendite kõlblikkuse annulleerimisele, viidates vigadele, mida on tehtud tõendeid kogudes, talletades jms. Seetõttu ei saa ka arvutikriminalistikas läbi sõrmede vaadata just digitaalsete tõendite hankimise protsessidest. Kohtuekpertiisi digitaalsete tõendite juurdlus kätkeb endas põhiliselt nelja üksteisele järgnevat protsessi, milleks on ettevalmistus, omandamine/säilitamine, analüüs ja aruandlus/presenteerimine.

'''Ettevalmistus'''

Kohtuekspertiisi spetsialisti jaoks on väga tähtis olla ettevalmistatud eesolevaks juurdluseks ning peaks silmas pidama järgmisi aspekte:

enne tõendite koguma hakkamist, tuleb sätestada digijuurdluse üldprotsess;
väljaõpetatud väli- ja laborimeeskonnad peavad omama järgmist:
tehniline väljaõpe:
vajalikud oskused ja teadlikkus, kuidas kasutada arvutikriminalistika vahendeid;
protseduuriline väljaõpe: vajalik konseptsioon parimatest tavadest, kordadest, töövoogudest( ingl. k workflow) läbi viimaks läbi digijuurdlust;
adekvaatne riist- ja tarkvara;

'''Omandamine/säilitamine'''

Omandamist ning säilitamist loetakse kõige kriitilisemateks sammudeks digitaalsete tõendite kogumise protsessis, kuna eksimustele kehtib omandamise ajal nulltolerants. Põhiline printsiip arvutikriminalistikas on digitõendite rikkumatuse säilitamine.

Omandamine saavutatakse järgnevate vahendite kasutamisel:
kirjutamisblokk(ingl. k write blocker) ehk seade, mis deaktiveerib redigreerimise võimalused vältimaks juhuslikke vigu omandamisel;
duplikaator(ingl. k forensic duplicator) ehk seade, mis kopeerib kõvaketta sisu;
buudiketas ehk flopiketas või CD-ROM, mis sisaldab operatsioonisüsteemi põhiosi ja selle käivitamiseks vajalikke abifaile;
kaughaldus ehk spetsiaalne tarkvara seadmete kaugdiagnostikaks üle võrgu;

'''Analüüs'''

Analüüs on juurdluse selline faas, mis omab enim tehnilisi aspekte. Mõned näiteid nendest:

vajaduspärane tehniline teadmine operatsioonisüsteemist, failisüsteemist, arvutivõrgust ja aplikatsioonidest;
spetsiaalselt arendatud tarkvara on vajalik;
oskus luua filtreid ning otsida tõendeid arvuti operatsioonisüsteemi sündmustelogidest;

'''Aruandlus/presenteerimine'''

Pärast tulemuste saamist ning kokkuvõtete tegemist juurdluses, on vaja teostada järgmised sammud:

kohandada aruandluse keel konkreetsele sihtgrupile – kasutada tehnilist keelt tehnilise meeskonna tarbeks ja formaalset ning sobivat keelekasutust tuleks esitleda advokaatidele, kohtunikele jt;
hoolitseda, et aruanded oleksid selged, kokkuvõtvad ning arvamuste vabad;
tagada aruandlus erinevates failiformaatides nagu PDF, HTML, DOC jne;

'''Digitaalsete tõendite omandamise põhilised meetodid'''

'''Koopiate tegemine'''

Kindlustamaks kogutud andmete kõlblikkus, koostatakse tõendusmaterjalist täpseid koopiaid(ingl. k forensic images), tuntud kui bitivoog(ingl. k bit stream). See tagab andmete eelanalüüsi, informatsiooni otsingu ja hävimälust(ingl. k volatile memory) andmete kogumise(nt RAM). Samuti loob see võimaluse mõista digitõendite kogumise protsessi, mis on üks kõige missioonikriitilisemaid faktoreid. On oluline mõista, et andmete omandamine võib olla võimalik mitte ainult kõvaketta ruumis, vaid ka teiste seadmete mälumahus. Mõningad näited -
magnetmeedium:

flopikettad;
kõvakettad;
USB või PC-kaardid;
ZIP-kettad ja lintmäluseadmed;

optiline meedium:

CD-d;
CD-R-id ja CD-RW-d;
DVD-d;

alternatiivne meedium:

MP3 mängijad;
tahvelarvutid;
nutitelefonid;
videomängud, televiisor jne;

Bitivoog duplikeerib andmete kogumahu, välistades juhusliku andmete muutmise võimalikkuse originaal-andmekandjal. Tõendusmaterjali täpne koopia on identne originaaliga, mis hõlmab ka andmekandja tühja ruumi või mitte andmetega täidetud mälumahu. Samuti on võimalik kustutatud andmete taastamine. Kohtuekspertiisiline duplikeerimine lubab pidada kogu juurdlusprotsessi koopial, säilitades andmete originaalsuse esialgsel andmekandjal kasutamaks seda kohtukaasustes. Hilisem analüüs saab juba toimuda spetsiaalsel kohtuekspertiisi tarkvara platvormil, mis lubab andmete detailsemat uurimist ning saadud informatsioonist lõppraporti koostamist.

'''Operatsioonisüsteemi logide uurimine'''

Enamik spetsiaalseid kohtuekspertiisi tarkvara platvorme pakuvad võimalust ka vaadata ka andmeid operatsioonisüsteemide registritest detailsemalt kuid suudavad anda ka ülevaatlikumat pilti, kui näiteks Windowsis regedit. Vastupidiselt traditsioonilistest OSi registriredaktoritest suudavad spetsiaalselt kohtuekspertiisiks välja töötatud tarkvaraprogrammid visualiseerida kogupilti kõikides operatsioonisüsteemidest . Samuti tagatakse kasutajale ligipääs registry poolt kaitstud andmetele, mis sisaldab endas paroole, kasutajanimesid, sisselogimiskordi, viimast sisselogimisaega, parooli muutmisi ja muud säärast kasutajaspetsiifilist infot. Enamasti on küll vajalik tunda failisüsteemi iseärasusi, et efektiivselt tööriistaga töötada.

=Andmete peitmine ja otsimine=
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

=Ekspertiis ja kohtupraktika=

==Eesti IT-ekspertiisi praktika==

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

==Eesti kohtupraktika==

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi. Kokku registreeriti 2016. aastal selliseid süütegusid 608. Seejuures üldine kuritegevuse tase langes 11% võrra. <ref name="J2017">Justiitsministeerium (2017) Kuritegevus Eestis 2016. http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf</ref> Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 https://www.riigiteataja.ee/akt/184411?leiaKehtiv</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses. <ref name="J2017"></ref>

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü. <ref name="J2017"></ref> Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud. <ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu. <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716</ref> Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²). Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137). <ref name="J2017"></ref> Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%). 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni. <ref name="J2017"></ref>

=Kokkuvõte=
Tehnoloogiavaldkonna kiire areng seab arvutikriminalistid silmitsi järjest suuremate väljakutsetega. Olemasolevad tehnoloogiad vananevad, uued tehnoloogiad arenevad, samal ajal muutub arvutikuritegevus järjest agressiivsemaks ja tehniliselt võimekamaks – kriminalistid peavad suutma selle arenguga sammu pidada.

=Viited=

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T19:30:26Z

Mkangur: /* Arvutikriminalistika areng */

[[Category:ITSPEA 2016 kaugõpe]]
Autorid: Mari-Liis Oldja, Margit Kangur, Reilika Saks, Gregor Luukas

=Sissejuhatus=
Tänapäeval on raske ette kujutada kuritegu, millel poleks digitaalset mõõdet. Erinevaid infotehnoloogilisi vahendeid võib leida iga inimese töökohast, kodust ja taskust. Iga arvutis, nutitelefonis või võrgus tehtud liigutus jätab endast maha jälje, olgu selleks siis arvuti IP-aadress, võrgus sooritatud infootsingu tulemus, salvestatud fail või mõni muu esmapilgul silmatorkamatuks jääda võiv märk, mis võib osutuda õlekõrreks kuriteo lahendamisel. Digitaalsete jälgede avastamine ja uurimine eeldab laialdasi teadmisi nii kriminalistikast, erinevatest uurimismeetoditest, kasutusel olevatest tööriistadest kui ka infotehnoloogiast üldisemalt.

=Arvutikriminalistika areng=
Andmekaitse ja infoturbe leksikon defineerib arvutikriminalistikat kui arvutites ja digitaalsetel andmekandjatel olevate kohtukõlblike asitõendite avastamise ja uurimisega tegelevat kriminalistikaharu <ref>Andmekaitse ja infoturbe leksikon. http://akit.cyber.ee/term/492-arvutikriminalistika</ref>.

Kuigi teiste kriminalistikaharudega võrreldes peetakse arvutikriminalistikat suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuriteod iseenesest sugugi uus, vaid tänapäevale iseloomulik nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul see nii ei olnud, arvutite väärkasutuse juhtumeid hakati dokumenteerima praktiliselt arvutite kasutuselevõtmise hetkest alates <ref>Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf</ref>. 1960-ndatel aastatel IT-töötajate ebaeetilist ja seadusevastast arvutikasutamist uurinud Stanfordi uurimisinstituudi teadlane Donn Parker pidi tõdema: „''kui inimesed sisenesid arvutuskeskusesse, siis jätsid nad eetika ukse taha''“ <ref name="Bem">Bem, D., Feld, F., Huebner, E., Bem, O. (2008). Computer Forensics – Past, Present and Future. Journal of Information Science and Technology, JIST 5(3) 2008, lk 43-59. https://pdfs.semanticscholar.org/491f/9bf892071f5fc9773de1c9abc2df691391cd.pdf</ref>.

Arvutikuritegude hüppeline kasv sai alguse 1980-ndatel aastatel ühes personaalarvutite laiema levikuga ning viis selleni, et arvutikuriteod kuulutati eraldiseisvaks kuriteoliigiks. Nagu iga kuritegu, vajas ka arvutikuritegu kohtumenetluse läbiviimiseks usaldusväärset tõendusmaterjali, mis omakorda pani aluse arvutikriminalistika kui iseseisva kriminalistikaharu tekkele. 1990-ndateks aastateks olid kõik tehnoloogiliselt arenenud riigid arvutikuritegevuse olemusest ja võimalikest riskidest teadlikumaks saanud ning arvutikuritegude uurimiseks ja süüdistuste esitamiseks hakati koostama vastavaid protseduurireegleid. Selleks ajaks oli loodud mitmeid arvutikuritegevusele keskenduvaid teaduslikke uurimiskeskusi ning ka tarkvaratootjad hakkasid omalt poolt pakkuma spetsiaalseid tööriistu arvutikuritegude paremaks tuvastamiseks.<ref name="Bem"></ref>

Tänaseks on arvuti- või laiemas mõistes küberkuritegevusest saanud kõige kiiremini kasvav kuriteoliik maailmas. Möödunud aastal Suurbritannia riikliku kuritegevuse ameti (NCA) poolt avaldatud raportist selgub, et Suurbritannias ületab kübervahenditega seotud kuritegude arv juba kõik teised kuritegude liigid. Kübervahendite abiga toime pandud kuriteod nagu näiteks pettused, ebaseaduslik narkootikumide ostmine või interneti vahendusel laste seksuaalne ärakasutamine moodustas 2015. aastal 36% kuritegudest. Kübervahenditele toetuvad kuriteod nagu näiteks pahavara levitamine, delikaatsete isikuandmete või ärisaladuste varastamine ja DdoS rünnakud aga 17% kuritegudest.<ref name="NCA">National Crime Agency. (07.07.2016). Cyber Crime Assessment 2016. http://www.nationalcrimeagency.gov.uk/publications/709-cyber-crime-assessment-2016/file</ref>

Tõenäoliselt on arvutikuritegevus siiski palju rohkem levinud, kui numbrite põhjal järeldada võib, sest suurem osa intsidentidest jääb ametlikult registreerimata. Nii näiteks leidis Suurbritannia riikliku statistikaameti hinnangul 2015. aastal riigis aset 2,46 miljonit küberintsidenti, mille tagajärjel kannatas 2,11 miljonit isikut, samas kui ametivõime teavitati vaid 16 349 kübervahenditele toetuvast ning umbes 700 000 kübervahendite abiga toime pandud intsidendist<ref name="NCA"></ref>. Ka Eesti keskkriminaalpolitsei küberkuritegude büroo juht tunnistab, et küberkuritegevusega seostub tihti ohvrimentaliteet. Inimene tunneb piinlikkust, et just tema või näiteks tema asutus kuriteo ohvriks langes ega taha juhtunust avalikult kõnelda.<ref>Lõugas, H. (27.11.2016). Mida tähendab Eestis küberkuritegevusega võitlemine? Loomingulisust, põnevust ja kohanemist. https://geenius.ee/uudis/mida-tahendab-eestis-kuberkuritegevusega-voitlemine-loomingulisust-ponevust-ja-kohanemist</ref>.

=Tõendite kogumise protsess ning nende omandamine arvutikriminalistikas=

Tänu indekseerimisele ja filtreerimisele, mis tagavad kiire juurdepääsu asjakohastele tõenditele, on kaasustes kasutatavate andmete analüüsiks kuluv aeg märkimisväärselt kahanenud. Kuid efektiivne juurdlus kohtuekspertiisis tähendab seda, et keskendutakse väga detailselt iga juurdluse kui arengu osasse, vältimaks vigu, mis võivad kahjustada tugeva kaasuse sündi. Tänases kohtupraktikas panevad kaitsjad üha enam rõhku tõendite kõlblikkuse annulleerimisele, viidates vigadele, mida on tehtud tõendeid kogudes, talletades jms. Seetõttu ei saa ka arvutikriminalistikas läbi sõrmede vaadata just digitaalsete tõendite hankimise protsessidest. Kohtuekpertiisi digitaalsete tõendite juurdlus kätkeb endas põhiliselt nelja üksteisele järgnevat protsessi, milleks on ettevalmistus, omandamine/säilitamine, analüüs ja aruandlus/presenteerimine.

'''Ettevalmistus'''

Kohtuekspertiisi spetsialisti jaoks on väga tähtis olla ettevalmistatud eesolevaks juurdluseks ning peaks silmas pidama järgmisi aspekte:

enne tõendite koguma hakkamist, tuleb sätestada digijuurdluse üldprotsess;
väljaõpetatud väli- ja laborimeeskonnad peavad omama järgmist:
tehniline väljaõpe:
vajalikud oskused ja teadlikkus, kuidas kasutada arvutikriminalistika vahendeid;
protseduuriline väljaõpe: vajalik konseptsioon parimatest tavadest, kordadest, töövoogudest( ingl. k workflow) läbi viimaks läbi digijuurdlust;
adekvaatne riist- ja tarkvara;

'''Omandamine/säilitamine'''

Omandamist ning säilitamist loetakse kõige kriitilisemateks sammudeks digitaalsete tõendite kogumise protsessis, kuna eksimustele kehtib omandamise ajal nulltolerants. Põhiline printsiip arvutikriminalistikas on digitõendite rikkumatuse säilitamine.

Omandamine saavutatakse järgnevate vahendite kasutamisel:
kirjutamisblokk(ingl. k write blocker) ehk seade, mis deaktiveerib redigreerimise võimalused vältimaks juhuslikke vigu omandamisel;
duplikaator(ingl. k forensic duplicator) ehk seade, mis kopeerib kõvaketta sisu;
buudiketas ehk flopiketas või CD-ROM, mis sisaldab operatsioonisüsteemi põhiosi ja selle käivitamiseks vajalikke abifaile;
kaughaldus ehk spetsiaalne tarkvara seadmete kaugdiagnostikaks üle võrgu;

'''Analüüs'''

Analüüs on juurdluse selline faas, mis omab enim tehnilisi aspekte. Mõned näiteid nendest:

vajaduspärane tehniline teadmine operatsioonisüsteemist, failisüsteemist, arvutivõrgust ja aplikatsioonidest;
spetsiaalselt arendatud tarkvara on vajalik;
oskus luua filtreid ning otsida tõendeid arvuti operatsioonisüsteemi sündmustelogidest;

'''Aruandlus/presenteerimine'''

Pärast tulemuste saamist ning kokkuvõtete tegemist juurdluses, on vaja teostada järgmised sammud:

kohandada aruandluse keel konkreetsele sihtgrupile – kasutada tehnilist keelt tehnilise meeskonna tarbeks ja formaalset ning sobivat keelekasutust tuleks esitleda advokaatidele, kohtunikele jt;
hoolitseda, et aruanded oleksid selged, kokkuvõtvad ning arvamuste vabad;
tagada aruandlus erinevates failiformaatides nagu PDF, HTML, DOC jne;

'''Digitaalsete tõendite omandamise põhilised meetodid'''

'''Koopiate tegemine'''

Kindlustamaks kogutud andmete kõlblikkus, koostatakse tõendusmaterjalist täpseid koopiaid(ingl. k forensic images), tuntud kui bitivoog(ingl. k bit stream). See tagab andmete eelanalüüsi, informatsiooni otsingu ja hävimälust(ingl. k volatile memory) andmete kogumise(nt RAM). Samuti loob see võimaluse mõista digitõendite kogumise protsessi, mis on üks kõige missioonikriitilisemaid faktoreid. On oluline mõista, et andmete omandamine võib olla võimalik mitte ainult kõvaketta ruumis, vaid ka teiste seadmete mälumahus. Mõningad näited -
magnetmeedium:

flopikettad;
kõvakettad;
USB või PC-kaardid;
ZIP-kettad ja lintmäluseadmed;

optiline meedium:

CD-d;
CD-R-id ja CD-RW-d;
DVD-d;

alternatiivne meedium:

MP3 mängijad;
tahvelarvutid;
nutitelefonid;
videomängud, televiisor jne;

Bitivoog duplikeerib andmete kogumahu, välistades juhusliku andmete muutmise võimalikkuse originaal-andmekandjal. Tõendusmaterjali täpne koopia on identne originaaliga, mis hõlmab ka andmekandja tühja ruumi või mitte andmetega täidetud mälumahu. Samuti on võimalik kustutatud andmete taastamine. Kohtuekspertiisiline duplikeerimine lubab pidada kogu juurdlusprotsessi koopial, säilitades andmete originaalsuse esialgsel andmekandjal kasutamaks seda kohtukaasustes. Hilisem analüüs saab juba toimuda spetsiaalsel kohtuekspertiisi tarkvara platvormil, mis lubab andmete detailsemat uurimist ning saadud informatsioonist lõppraporti koostamist.

'''Operatsioonisüsteemi logide uurimine'''

Enamik spetsiaalseid kohtuekspertiisi tarkvara platvorme pakuvad võimalust ka vaadata ka andmeid operatsioonisüsteemide registritest detailsemalt kuid suudavad anda ka ülevaatlikumat pilti, kui näiteks Windowsis regedit. Vastupidiselt traditsioonilistest OSi registriredaktoritest suudavad spetsiaalselt kohtuekspertiisiks välja töötatud tarkvaraprogrammid visualiseerida kogupilti kõikides operatsioonisüsteemidest . Samuti tagatakse kasutajale ligipääs registry poolt kaitstud andmetele, mis sisaldab endas paroole, kasutajanimesid, sisselogimiskordi, viimast sisselogimisaega, parooli muutmisi ja muud säärast kasutajaspetsiifilist infot. Enamasti on küll vajalik tunda failisüsteemi iseärasusi, et efektiivselt tööriistaga töötada.

=Andmete peitmine ja otsimine=
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

=Ekspertiis ja kohtupraktika=

==Eesti IT-ekspertiisi praktika==

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

==Eesti kohtupraktika==

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi. Kokku registreeriti 2016. aastal selliseid süütegusid 608. Seejuures üldine kuritegevuse tase langes 11% võrra. <ref name="J2017">Justiitsministeerium (2017) Kuritegevus Eestis 2016. http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf</ref> Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 https://www.riigiteataja.ee/akt/184411?leiaKehtiv</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses. <ref name="J2017"></ref>

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü. <ref name="J2017"></ref> Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud. <ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu. <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716</ref> Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²). Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137). <ref name="J2017"></ref> Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%). 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni. <ref name="J2017"></ref>

=Kokkuvõte=
Tehnoloogiavaldkonna kiire areng seab arvutikriminalistid silmitsi järjest suuremate väljakutsetega. Olemasolevad tehnoloogiad vananevad, uued tehnoloogiad arenevad, samal ajal muutub arvutikuritegevus järjest agressiivsemaks ja tehniliselt võimekamaks – kriminalistid peavad suutma selle arenguga sammu pidada.

=Viited=

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T19:28:03Z

Mkangur: /* Arvutikriminalistika areng */

[[Category:ITSPEA 2016 kaugõpe]]
Autorid: Mari-Liis Oldja, Margit Kangur, Reilika Saks, Gregor Luukas

=Sissejuhatus=
Tänapäeval on raske ette kujutada kuritegu, millel poleks digitaalset mõõdet. Erinevaid infotehnoloogilisi vahendeid võib leida iga inimese töökohast, kodust ja taskust. Iga arvutis, nutitelefonis või võrgus tehtud liigutus jätab endast maha jälje, olgu selleks siis arvuti IP-aadress, võrgus sooritatud infootsingu tulemus, salvestatud fail või mõni muu esmapilgul silmatorkamatuks jääda võiv märk, mis võib osutuda õlekõrreks kuriteo lahendamisel. Digitaalsete jälgede avastamine ja uurimine eeldab laialdasi teadmisi nii kriminalistikast, erinevatest uurimismeetoditest, kasutusel olevatest tööriistadest kui ka infotehnoloogiast üldisemalt.

=Arvutikriminalistika areng=
Andmekaitse ja infoturbe leksikon defineerib arvutikriminalistikat kui arvutites ja digitaalsetel andmekandjatel olevate kohtukõlblike asitõendite avastamise ja uurimisega tegelevat kriminalistikaharu <ref>Andmekaitse ja infoturbe leksikon. http://akit.cyber.ee/term/492-arvutikriminalistika</ref>.

Kuigi teiste kriminalistikaharudega võrreldes peetakse arvutikriminalistikat suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuriteod iseenesest sugugi uus, tänapäevale iseloomulik nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul see nii ei olnud, arvutite väärkasutuse juhtumeid hakati dokumenteerima kohe arvutite kasutuselevõtmise hetkest alates <ref>Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf</ref>. 1960-ndatel aastatel IT-töötajate ebaeetilist ja seadusevastast arvutikasutamist uurinud Stanfordi uurimisinstituudi teadlane Donn Parker pidi tõdema: „''kui inimesed sisenesid arvutuskeskusesse, siis jätsid nad eetika ukse taha''“ <ref name="Bem">Bem, D., Feld, F., Huebner, E., Bem, O. (2008). Computer Forensics – Past, Present and Future. Journal of Information Science and Technology, JIST 5(3) 2008, lk 43-59. https://pdfs.semanticscholar.org/491f/9bf892071f5fc9773de1c9abc2df691391cd.pdf</ref>.

Arvutikuritegude hüppeline kasv sai alguse 1980-ndatel aastatel ühes personaalarvutite laiema levikuga ning viis selleni, et arvutikuriteod kuulutati eraldiseisvaks kuriteoliigiks. Nagu iga kuritegu, vajas ka arvutikuritegu kohtumenetluse läbiviimiseks usaldusväärset tõendusmaterjali, mis omakorda pani aluse arvutikriminalistika kui iseseisva kriminalistikaharu tekkele. 1990-ndateks aastateks olid kõik tehnoloogiliselt arenenud riigid arvutikuritegevuse olemusest ja võimalikest riskidest teadlikumaks saanud ning arvutikuritegude uurimiseks ja süüdistuste esitamiseks hakati koostama vastavaid protseduurireegleid. Selleks ajaks oli loodud mitmeid arvutikuritegevusele keskenduvaid teaduslikke uurimiskeskusi ning ka tarkvaratootjad hakkasid omalt poolt pakkuma spetsiaalseid tööriistu arvutikuritegude paremaks tuvastamiseks.<ref name="Bem"></ref>

Tänaseks on arvuti- või laiemas mõistes küberkuritegevusest saanud kõige kiiremini kasvav kuriteoliik maailmas. Möödunud aastal Suurbritannia riikliku kuritegevuse ameti (NCA) poolt avaldatud raportist selgub, et Suurbritannias ületab kübervahenditega seotud kuritegude arv juba kõik teised kuritegude liigid. Kübervahendite abiga toime pandud kuriteod nagu näiteks pettused, ebaseaduslik narkootikumide ostmine või interneti vahendusel laste seksuaalne ärakasutamine moodustas 2015. aastal 36% kuritegudest. Kübervahenditele toetuvad kuriteod nagu näiteks pahavara levitamine, delikaatsete isikuandmete või ärisaladuste varastamine ja DdoS rünnakud aga 17% kuritegudest.<ref name="NCA">National Crime Agency. (07.07.2016). Cyber Crime Assessment 2016. http://www.nationalcrimeagency.gov.uk/publications/709-cyber-crime-assessment-2016/file</ref>

Tõenäoliselt on arvutikuritegevus siiski palju rohkem levinud, kui numbrite põhjal järeldada võib, sest suurem osa intsidentidest jääb ametlikult registreerimata. Nii näiteks leidis Suurbritannia riikliku statistikaameti hinnangul 2015. aastal riigis aset 2,46 miljonit küberintsidenti, mille tagajärjel kannatas 2,11 miljonit isikut, samas kui ametivõime teavitati vaid 16 349 kübervahenditele toetuvast ning umbes 700 000 kübervahendite abiga toime pandud intsidendist<ref name="NCA"></ref>. Ka Eesti keskkriminaalpolitsei küberkuritegude büroo juht tunnistab, et küberkuritegevusega seostub tihti ohvrimentaliteet. Inimene tunneb piinlikkust, et just tema või näiteks tema asutus kuriteo ohvriks langes ega taha juhtunust avalikult kõnelda.<ref>Lõugas, H. (27.11.2016). Mida tähendab Eestis küberkuritegevusega võitlemine? Loomingulisust, põnevust ja kohanemist. https://geenius.ee/uudis/mida-tahendab-eestis-kuberkuritegevusega-voitlemine-loomingulisust-ponevust-ja-kohanemist</ref>.

=Tõendite kogumise protsess ning nende omandamine arvutikriminalistikas=

Tänu indekseerimisele ja filtreerimisele, mis tagavad kiire juurdepääsu asjakohastele tõenditele, on kaasustes kasutatavate andmete analüüsiks kuluv aeg märkimisväärselt kahanenud. Kuid efektiivne juurdlus kohtuekspertiisis tähendab seda, et keskendutakse väga detailselt iga juurdluse kui arengu osasse, vältimaks vigu, mis võivad kahjustada tugeva kaasuse sündi. Tänases kohtupraktikas panevad kaitsjad üha enam rõhku tõendite kõlblikkuse annulleerimisele, viidates vigadele, mida on tehtud tõendeid kogudes, talletades jms. Seetõttu ei saa ka arvutikriminalistikas läbi sõrmede vaadata just digitaalsete tõendite hankimise protsessidest. Kohtuekpertiisi digitaalsete tõendite juurdlus kätkeb endas põhiliselt nelja üksteisele järgnevat protsessi, milleks on ettevalmistus, omandamine/säilitamine, analüüs ja aruandlus/presenteerimine.

'''Ettevalmistus'''

Kohtuekspertiisi spetsialisti jaoks on väga tähtis olla ettevalmistatud eesolevaks juurdluseks ning peaks silmas pidama järgmisi aspekte:

enne tõendite koguma hakkamist, tuleb sätestada digijuurdluse üldprotsess;
väljaõpetatud väli- ja laborimeeskonnad peavad omama järgmist:
tehniline väljaõpe:
vajalikud oskused ja teadlikkus, kuidas kasutada arvutikriminalistika vahendeid;
protseduuriline väljaõpe: vajalik konseptsioon parimatest tavadest, kordadest, töövoogudest( ingl. k workflow) läbi viimaks läbi digijuurdlust;
adekvaatne riist- ja tarkvara;

'''Omandamine/säilitamine'''

Omandamist ning säilitamist loetakse kõige kriitilisemateks sammudeks digitaalsete tõendite kogumise protsessis, kuna eksimustele kehtib omandamise ajal nulltolerants. Põhiline printsiip arvutikriminalistikas on digitõendite rikkumatuse säilitamine.

Omandamine saavutatakse järgnevate vahendite kasutamisel:
kirjutamisblokk(ingl. k write blocker) ehk seade, mis deaktiveerib redigreerimise võimalused vältimaks juhuslikke vigu omandamisel;
duplikaator(ingl. k forensic duplicator) ehk seade, mis kopeerib kõvaketta sisu;
buudiketas ehk flopiketas või CD-ROM, mis sisaldab operatsioonisüsteemi põhiosi ja selle käivitamiseks vajalikke abifaile;
kaughaldus ehk spetsiaalne tarkvara seadmete kaugdiagnostikaks üle võrgu;

'''Analüüs'''

Analüüs on juurdluse selline faas, mis omab enim tehnilisi aspekte. Mõned näiteid nendest:

vajaduspärane tehniline teadmine operatsioonisüsteemist, failisüsteemist, arvutivõrgust ja aplikatsioonidest;
spetsiaalselt arendatud tarkvara on vajalik;
oskus luua filtreid ning otsida tõendeid arvuti operatsioonisüsteemi sündmustelogidest;

'''Aruandlus/presenteerimine'''

Pärast tulemuste saamist ning kokkuvõtete tegemist juurdluses, on vaja teostada järgmised sammud:

kohandada aruandluse keel konkreetsele sihtgrupile – kasutada tehnilist keelt tehnilise meeskonna tarbeks ja formaalset ning sobivat keelekasutust tuleks esitleda advokaatidele, kohtunikele jt;
hoolitseda, et aruanded oleksid selged, kokkuvõtvad ning arvamuste vabad;
tagada aruandlus erinevates failiformaatides nagu PDF, HTML, DOC jne;

'''Digitaalsete tõendite omandamise põhilised meetodid'''

'''Koopiate tegemine'''

Kindlustamaks kogutud andmete kõlblikkus, koostatakse tõendusmaterjalist täpseid koopiaid(ingl. k forensic images), tuntud kui bitivoog(ingl. k bit stream). See tagab andmete eelanalüüsi, informatsiooni otsingu ja hävimälust(ingl. k volatile memory) andmete kogumise(nt RAM). Samuti loob see võimaluse mõista digitõendite kogumise protsessi, mis on üks kõige missioonikriitilisemaid faktoreid. On oluline mõista, et andmete omandamine võib olla võimalik mitte ainult kõvaketta ruumis, vaid ka teiste seadmete mälumahus. Mõningad näited -
magnetmeedium:

flopikettad;
kõvakettad;
USB või PC-kaardid;
ZIP-kettad ja lintmäluseadmed;

optiline meedium:

CD-d;
CD-R-id ja CD-RW-d;
DVD-d;

alternatiivne meedium:

MP3 mängijad;
tahvelarvutid;
nutitelefonid;
videomängud, televiisor jne;

Bitivoog duplikeerib andmete kogumahu, välistades juhusliku andmete muutmise võimalikkuse originaal-andmekandjal. Tõendusmaterjali täpne koopia on identne originaaliga, mis hõlmab ka andmekandja tühja ruumi või mitte andmetega täidetud mälumahu. Samuti on võimalik kustutatud andmete taastamine. Kohtuekspertiisiline duplikeerimine lubab pidada kogu juurdlusprotsessi koopial, säilitades andmete originaalsuse esialgsel andmekandjal kasutamaks seda kohtukaasustes. Hilisem analüüs saab juba toimuda spetsiaalsel kohtuekspertiisi tarkvara platvormil, mis lubab andmete detailsemat uurimist ning saadud informatsioonist lõppraporti koostamist.

'''Operatsioonisüsteemi logide uurimine'''

Enamik spetsiaalseid kohtuekspertiisi tarkvara platvorme pakuvad võimalust ka vaadata ka andmeid operatsioonisüsteemide registritest detailsemalt kuid suudavad anda ka ülevaatlikumat pilti, kui näiteks Windowsis regedit. Vastupidiselt traditsioonilistest OSi registriredaktoritest suudavad spetsiaalselt kohtuekspertiisiks välja töötatud tarkvaraprogrammid visualiseerida kogupilti kõikides operatsioonisüsteemidest . Samuti tagatakse kasutajale ligipääs registry poolt kaitstud andmetele, mis sisaldab endas paroole, kasutajanimesid, sisselogimiskordi, viimast sisselogimisaega, parooli muutmisi ja muud säärast kasutajaspetsiifilist infot. Enamasti on küll vajalik tunda failisüsteemi iseärasusi, et efektiivselt tööriistaga töötada.

=Andmete peitmine ja otsimine=
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

=Ekspertiis ja kohtupraktika=

==Eesti IT-ekspertiisi praktika==

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

==Eesti kohtupraktika==

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi. Kokku registreeriti 2016. aastal selliseid süütegusid 608. Seejuures üldine kuritegevuse tase langes 11% võrra. <ref name="J2017">Justiitsministeerium (2017) Kuritegevus Eestis 2016. http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf</ref> Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 https://www.riigiteataja.ee/akt/184411?leiaKehtiv</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses. <ref name="J2017"></ref>

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü. <ref name="J2017"></ref> Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud. <ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu. <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716</ref> Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²). Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137). <ref name="J2017"></ref> Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%). 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni. <ref name="J2017"></ref>

=Kokkuvõte=
Tehnoloogiavaldkonna kiire areng seab arvutikriminalistid silmitsi järjest suuremate väljakutsetega. Olemasolevad tehnoloogiad vananevad, uued tehnoloogiad arenevad, samal ajal muutub arvutikuritegevus järjest agressiivsemaks ja tehniliselt võimekamaks – kriminalistid peavad suutma selle arenguga sammu pidada.

=Viited=

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T19:26:02Z

Mkangur: /* Arvutikriminalistika areng */

[[Category:ITSPEA 2016 kaugõpe]]
Autorid: Mari-Liis Oldja, Margit Kangur, Reilika Saks, Gregor Luukas

=Sissejuhatus=
Tänapäeval on raske ette kujutada kuritegu, millel poleks digitaalset mõõdet. Erinevaid infotehnoloogilisi vahendeid võib leida iga inimese töökohast, kodust ja taskust. Iga arvutis, nutitelefonis või võrgus tehtud liigutus jätab endast maha jälje, olgu selleks siis arvuti IP-aadress, võrgus sooritatud infootsingu tulemus, salvestatud fail või mõni muu esmapilgul silmatorkamatuks jääda võiv märk, mis võib osutuda õlekõrreks kuriteo lahendamisel. Digitaalsete jälgede avastamine ja uurimine eeldab laialdasi teadmisi nii kriminalistikast, erinevatest uurimismeetoditest, kasutusel olevatest tööriistadest kui ka infotehnoloogiast üldisemalt.

=Arvutikriminalistika areng=
Andmekaitse ja infoturbe leksikon defineerib arvutikriminalistikat kui arvutites ja digitaalsetel andmekandjatel olevate kohtukõlblike asitõendite avastamise ja uurimisega tegelevat kriminalistikaharu <ref>Andmekaitse ja infoturbe leksikon. http://akit.cyber.ee/term/492-arvutikriminalistika</ref>.

Kuigi teiste kriminalistikaharudega võrreldes peetakse arvutikriminalistikat suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuritegu iseenesest sugugi uus, ainult tänapäeva kuuluv nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul see nii ei olnud, arvutite väärkasutuse juhtumeid hakati dokumenteerima kohe arvutite kasutuselevõtmise hetkest alates <ref>Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf</ref>. 1960-ndatel aastatel IT-töötajate ebaeetilist ja seadusevastast arvutikasutamist uurinud Stanfordi uurimisinstituudi teadlane Donn Parker pidi tõdema: „''kui inimesed sisenesid arvutuskeskusesse, siis jätsid nad eetika ukse taha''“ <ref name="Bem">Bem, D., Feld, F., Huebner, E., Bem, O. (2008). Computer Forensics – Past, Present and Future. Journal of Information Science and Technology, JIST 5(3) 2008, lk 43-59. https://pdfs.semanticscholar.org/491f/9bf892071f5fc9773de1c9abc2df691391cd.pdf</ref>.

Arvutikuritegude hüppeline kasv sai alguse 1980-ndatel aastatel ühes personaalarvutite laiema levikuga ning viis selleni, et arvutikuriteod kuulutati eraldiseisvaks kuriteoliigiks. Nagu iga kuritegu, vajas ka arvutikuritegu kohtumenetluse läbiviimiseks usaldusväärset tõendusmaterjali, mis omakorda pani aluse arvutikriminalistika kui iseseisva kriminalistikaharu tekkele. 1990-ndateks aastateks olid kõik tehnoloogiliselt arenenud riigid arvutikuritegevuse olemusest ja võimalikest riskidest teadlikumaks saanud ning arvutikuritegude uurimiseks ja süüdistuste esitamiseks hakati koostama vastavaid protseduurireegleid. Selleks ajaks oli loodud mitmeid arvutikuritegevusele keskenduvaid teaduslikke uurimiskeskusi ning ka tarkvaratootjad hakkasid omalt poolt pakkuma spetsiaalseid tööriistu arvutikuritegude paremaks tuvastamiseks.<ref name="Bem"></ref>

Tänaseks on arvuti- või laiemas mõistes küberkuritegevusest saanud kõige kiiremini kasvav kuriteoliik maailmas. Möödunud aastal Suurbritannia riikliku kuritegevuse ameti (NCA) poolt avaldatud raportist selgub, et Suurbritannias ületab kübervahenditega seotud kuritegude arv juba kõik teised kuritegude liigid. Kübervahendite abiga toime pandud kuriteod nagu näiteks pettused, ebaseaduslik narkootikumide ostmine või interneti vahendusel laste seksuaalne ärakasutamine moodustas 2015. aastal 36% kuritegudest. Kübervahenditele toetuvad kuriteod nagu näiteks pahavara levitamine, delikaatsete isikuandmete või ärisaladuste varastamine ja DdoS rünnakud aga 17% kuritegudest.<ref name="NCA">National Crime Agency. (07.07.2016). Cyber Crime Assessment 2016. http://www.nationalcrimeagency.gov.uk/publications/709-cyber-crime-assessment-2016/file</ref>

Tõenäoliselt on arvutikuritegevus siiski palju rohkem levinud, kui numbrite põhjal järeldada võib, sest suurem osa intsidentidest jääb ametlikult registreerimata. Nii näiteks leidis Suurbritannia riikliku statistikaameti hinnangul 2015. aastal riigis aset 2,46 miljonit küberintsidenti, mille tagajärjel kannatas 2,11 miljonit isikut, samas kui ametivõime teavitati vaid 16 349 kübervahenditele toetuvast ning umbes 700 000 kübervahendite abiga toime pandud intsidendist<ref name="NCA"></ref>. Ka Eesti keskkriminaalpolitsei küberkuritegude büroo juht tunnistab, et küberkuritegevusega seostub tihti ohvrimentaliteet. Inimene tunneb piinlikkust, et just tema või näiteks tema asutus kuriteo ohvriks langes ega taha juhtunust avalikult kõnelda.<ref>Lõugas, H. (27.11.2016). Mida tähendab Eestis küberkuritegevusega võitlemine? Loomingulisust, põnevust ja kohanemist. https://geenius.ee/uudis/mida-tahendab-eestis-kuberkuritegevusega-voitlemine-loomingulisust-ponevust-ja-kohanemist</ref>.

=Tõendite kogumise protsess ning nende omandamine arvutikriminalistikas=

Tänu indekseerimisele ja filtreerimisele, mis tagavad kiire juurdepääsu asjakohastele tõenditele, on kaasustes kasutatavate andmete analüüsiks kuluv aeg märkimisväärselt kahanenud. Kuid efektiivne juurdlus kohtuekspertiisis tähendab seda, et keskendutakse väga detailselt iga juurdluse kui arengu osasse, vältimaks vigu, mis võivad kahjustada tugeva kaasuse sündi. Tänases kohtupraktikas panevad kaitsjad üha enam rõhku tõendite kõlblikkuse annulleerimisele, viidates vigadele, mida on tehtud tõendeid kogudes, talletades jms. Seetõttu ei saa ka arvutikriminalistikas läbi sõrmede vaadata just digitaalsete tõendite hankimise protsessidest. Kohtuekpertiisi digitaalsete tõendite juurdlus kätkeb endas põhiliselt nelja üksteisele järgnevat protsessi, milleks on ettevalmistus, omandamine/säilitamine, analüüs ja aruandlus/presenteerimine.

'''Ettevalmistus'''

Kohtuekspertiisi spetsialisti jaoks on väga tähtis olla ettevalmistatud eesolevaks juurdluseks ning peaks silmas pidama järgmisi aspekte:

enne tõendite koguma hakkamist, tuleb sätestada digijuurdluse üldprotsess;
väljaõpetatud väli- ja laborimeeskonnad peavad omama järgmist:
tehniline väljaõpe:
vajalikud oskused ja teadlikkus, kuidas kasutada arvutikriminalistika vahendeid;
protseduuriline väljaõpe: vajalik konseptsioon parimatest tavadest, kordadest, töövoogudest( ingl. k workflow) läbi viimaks läbi digijuurdlust;
adekvaatne riist- ja tarkvara;

'''Omandamine/säilitamine'''

Omandamist ning säilitamist loetakse kõige kriitilisemateks sammudeks digitaalsete tõendite kogumise protsessis, kuna eksimustele kehtib omandamise ajal nulltolerants. Põhiline printsiip arvutikriminalistikas on digitõendite rikkumatuse säilitamine.

Omandamine saavutatakse järgnevate vahendite kasutamisel:
kirjutamisblokk(ingl. k write blocker) ehk seade, mis deaktiveerib redigreerimise võimalused vältimaks juhuslikke vigu omandamisel;
duplikaator(ingl. k forensic duplicator) ehk seade, mis kopeerib kõvaketta sisu;
buudiketas ehk flopiketas või CD-ROM, mis sisaldab operatsioonisüsteemi põhiosi ja selle käivitamiseks vajalikke abifaile;
kaughaldus ehk spetsiaalne tarkvara seadmete kaugdiagnostikaks üle võrgu;

'''Analüüs'''

Analüüs on juurdluse selline faas, mis omab enim tehnilisi aspekte. Mõned näiteid nendest:

vajaduspärane tehniline teadmine operatsioonisüsteemist, failisüsteemist, arvutivõrgust ja aplikatsioonidest;
spetsiaalselt arendatud tarkvara on vajalik;
oskus luua filtreid ning otsida tõendeid arvuti operatsioonisüsteemi sündmustelogidest;

'''Aruandlus/presenteerimine'''

Pärast tulemuste saamist ning kokkuvõtete tegemist juurdluses, on vaja teostada järgmised sammud:

kohandada aruandluse keel konkreetsele sihtgrupile – kasutada tehnilist keelt tehnilise meeskonna tarbeks ja formaalset ning sobivat keelekasutust tuleks esitleda advokaatidele, kohtunikele jt;
hoolitseda, et aruanded oleksid selged, kokkuvõtvad ning arvamuste vabad;
tagada aruandlus erinevates failiformaatides nagu PDF, HTML, DOC jne;

'''Digitaalsete tõendite omandamise põhilised meetodid'''

'''Koopiate tegemine'''

Kindlustamaks kogutud andmete kõlblikkus, koostatakse tõendusmaterjalist täpseid koopiaid(ingl. k forensic images), tuntud kui bitivoog(ingl. k bit stream). See tagab andmete eelanalüüsi, informatsiooni otsingu ja hävimälust(ingl. k volatile memory) andmete kogumise(nt RAM). Samuti loob see võimaluse mõista digitõendite kogumise protsessi, mis on üks kõige missioonikriitilisemaid faktoreid. On oluline mõista, et andmete omandamine võib olla võimalik mitte ainult kõvaketta ruumis, vaid ka teiste seadmete mälumahus. Mõningad näited -
magnetmeedium:

flopikettad;
kõvakettad;
USB või PC-kaardid;
ZIP-kettad ja lintmäluseadmed;

optiline meedium:

CD-d;
CD-R-id ja CD-RW-d;
DVD-d;

alternatiivne meedium:

MP3 mängijad;
tahvelarvutid;
nutitelefonid;
videomängud, televiisor jne;

Bitivoog duplikeerib andmete kogumahu, välistades juhusliku andmete muutmise võimalikkuse originaal-andmekandjal. Tõendusmaterjali täpne koopia on identne originaaliga, mis hõlmab ka andmekandja tühja ruumi või mitte andmetega täidetud mälumahu. Samuti on võimalik kustutatud andmete taastamine. Kohtuekspertiisiline duplikeerimine lubab pidada kogu juurdlusprotsessi koopial, säilitades andmete originaalsuse esialgsel andmekandjal kasutamaks seda kohtukaasustes. Hilisem analüüs saab juba toimuda spetsiaalsel kohtuekspertiisi tarkvara platvormil, mis lubab andmete detailsemat uurimist ning saadud informatsioonist lõppraporti koostamist.

'''Operatsioonisüsteemi logide uurimine'''

Enamik spetsiaalseid kohtuekspertiisi tarkvara platvorme pakuvad võimalust ka vaadata ka andmeid operatsioonisüsteemide registritest detailsemalt kuid suudavad anda ka ülevaatlikumat pilti, kui näiteks Windowsis regedit. Vastupidiselt traditsioonilistest OSi registriredaktoritest suudavad spetsiaalselt kohtuekspertiisiks välja töötatud tarkvaraprogrammid visualiseerida kogupilti kõikides operatsioonisüsteemidest . Samuti tagatakse kasutajale ligipääs registry poolt kaitstud andmetele, mis sisaldab endas paroole, kasutajanimesid, sisselogimiskordi, viimast sisselogimisaega, parooli muutmisi ja muud säärast kasutajaspetsiifilist infot. Enamasti on küll vajalik tunda failisüsteemi iseärasusi, et efektiivselt tööriistaga töötada.

=Andmete peitmine ja otsimine=
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

=Ekspertiis ja kohtupraktika=

==Eesti IT-ekspertiisi praktika==

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

==Eesti kohtupraktika==

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi. Kokku registreeriti 2016. aastal selliseid süütegusid 608. Seejuures üldine kuritegevuse tase langes 11% võrra. <ref name="J2017">Justiitsministeerium (2017) Kuritegevus Eestis 2016. http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf</ref> Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 https://www.riigiteataja.ee/akt/184411?leiaKehtiv</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses. <ref name="J2017"></ref>

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü. <ref name="J2017"></ref> Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud. <ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu. <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716</ref> Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²). Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137). <ref name="J2017"></ref> Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%). 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni. <ref name="J2017"></ref>

=Kokkuvõte=
Tehnoloogiavaldkonna kiire areng seab arvutikriminalistid silmitsi järjest suuremate väljakutsetega. Olemasolevad tehnoloogiad vananevad, uued tehnoloogiad arenevad, samal ajal muutub arvutikuritegevus järjest agressiivsemaks ja tehniliselt võimekamaks – kriminalistid peavad suutma selle arenguga sammu pidada.

=Viited=

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T19:17:25Z

Mkangur: /* Sissejuhatus */

[[Category:ITSPEA 2016 kaugõpe]]
Autorid: Mari-Liis Oldja, Margit Kangur, Reilika Saks, Gregor Luukas

=Sissejuhatus=
Tänapäeval on raske ette kujutada kuritegu, millel poleks digitaalset mõõdet. Erinevaid infotehnoloogilisi vahendeid võib leida iga inimese töökohast, kodust ja taskust. Iga arvutis, nutitelefonis või võrgus tehtud liigutus jätab endast maha jälje, olgu selleks siis arvuti IP-aadress, võrgus sooritatud infootsingu tulemus, salvestatud fail või mõni muu esmapilgul silmatorkamatuks jääda võiv märk, mis võib osutuda õlekõrreks kuriteo lahendamisel. Digitaalsete jälgede avastamine ja uurimine eeldab laialdasi teadmisi nii kriminalistikast, erinevatest uurimismeetoditest, kasutusel olevatest tööriistadest kui ka infotehnoloogiast üldisemalt.

=Arvutikriminalistika areng=
Andmekaitse ja infoturbe leksikon defineerib arvutikriminalistikat kui arvutites ja digitaalsetel andmekandjatel olevate kohtukõlblike asitõendite avastamise ja uurimisega tegelevat kriminalistikaharu <ref>Andmekaitse ja infoturbe leksikon. http://akit.cyber.ee/term/492-arvutikriminalistika</ref>.

Kuigi arvutikriminalistikat peetakse teiste kriminalistikaharudega võrreldes suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuritegu iseenesest sugugi uus, ainult tänapäeva kuuluv nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul see nii ei olnud, arvutite väärkasutuse juhtumeid hakati dokumenteerima kohe arvutite kasutuselevõtmise hetkest alates <ref>Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf</ref>. 1960-ndatel aastatel IT-töötajate ebaeetilist ja seadusevastast arvutikasutamist uurinud Stanfordi uurimisinstituudi teadlane Donn Parker pidi tõdema: „''kui inimesed sisenesid arvutuskeskusesse, siis jätsid nad eetika ukse taha''“ <ref name="Bem">Bem, D., Feld, F., Huebner, E., Bem, O. (2008). Computer Forensics – Past, Present and Future. Journal of Information Science and Technology, JIST 5(3) 2008, lk 43-59. https://pdfs.semanticscholar.org/491f/9bf892071f5fc9773de1c9abc2df691391cd.pdf</ref>.

Arvutikuritegude hüppeline kasv sai alguse 1980-ndatel aastatel ühes personaalarvutite laiema levikuga ning viis selleni, et arvutikuriteod kuulutati eraldiseisvaks kuriteoliigiks. Nagu iga kuritegu, vajas ka arvutikuritegu kohtumenetluse läbiviimiseks usaldusväärset tõendusmaterjali, mis omakorda pani aluse arvutikriminalistika kui iseseisva kriminalistikaharu tekkele. 1990-ndateks aastateks olid kõik tehnoloogiliselt arenenud riigid arvutikuritegevuse olemusest ja võimalikest riskidest teadlikumaks saanud ning arvutikuritegude uurimiseks ja süüdistuste esitamiseks hakati koostama vastavaid protseduurireegleid. Selleks ajaks oli loodud mitmeid arvutikuritegevusele keskenduvaid teaduslikke uurimiskeskusi ning ka tarkvaratootjad hakkasid omalt poolt pakkuma spetsiaalseid tööriistu arvutikuritegude paremaks tuvastamiseks.<ref name="Bem"></ref>

Tänaseks on arvuti- või laiemas mõistes küberkuritegevusest saanud kõige kiiremini kasvav kuriteoliik maailmas. Möödunud aastal Suurbritannia riikliku kuritegevuse ameti (NCA) poolt avaldatud raportist selgub, et Suurbritannias ületab kübervahenditega seotud kuritegude arv juba kõik teised kuritegude liigid. Kübervahendite abiga toime pandud kuriteod nagu näiteks pettused, ebaseaduslik narkootikumide ostmine või interneti vahendusel laste seksuaalne ärakasutamine moodustas 2015. aastal 36% kuritegudest. Kübervahenditele toetuvad kuriteod nagu näiteks pahavara levitamine, delikaatsete isikuandmete või ärisaladuste varastamine ja DdoS rünnakud aga 17% kuritegudest.<ref name="NCA">National Crime Agency. (07.07.2016). Cyber Crime Assessment 2016. http://www.nationalcrimeagency.gov.uk/publications/709-cyber-crime-assessment-2016/file</ref>

Tõenäoliselt on arvutikuritegevus siiski palju rohkem levinud, kui numbrite põhjal järeldada võib, sest suurem osa intsidentidest jääb ametlikult registreerimata. Nii näiteks leidis Suurbritannia riikliku statistikaameti hinnangul 2015. aastal riigis aset 2,46 miljonit küberintsidenti, mille tagajärjel kannatas 2,11 miljonit isikut, samas kui ametivõime teavitati vaid 16 349 kübervahenditele toetuvast ning umbes 700 000 kübervahendite abiga toime pandud intsidendist<ref name="NCA"></ref>. Ka Eesti keskkriminaalpolitsei küberkuritegude büroo juht tunnistab, et küberkuritegevusega seostub tihti ohvrimentaliteet. Inimene tunneb piinlikkust, et just tema või näiteks tema asutus kuriteo ohvriks langes ega taha juhtunust avalikult kõnelda.<ref>Lõugas, H. (27.11.2016). Mida tähendab Eestis küberkuritegevusega võitlemine? Loomingulisust, põnevust ja kohanemist. https://geenius.ee/uudis/mida-tahendab-eestis-kuberkuritegevusega-voitlemine-loomingulisust-ponevust-ja-kohanemist</ref>.

=Tõendite kogumise protsess ning nende omandamine arvutikriminalistikas=

Tänu indekseerimisele ja filtreerimisele, mis tagavad kiire juurdepääsu asjakohastele tõenditele, on kaasustes kasutatavate andmete analüüsiks kuluv aeg märkimisväärselt kahanenud. Kuid efektiivne juurdlus kohtuekspertiisis tähendab seda, et keskendutakse väga detailselt iga juurdluse kui arengu osasse, vältimaks vigu, mis võivad kahjustada tugeva kaasuse sündi. Tänases kohtupraktikas panevad kaitsjad üha enam rõhku tõendite kõlblikkuse annulleerimisele, viidates vigadele, mida on tehtud tõendeid kogudes, talletades jms. Seetõttu ei saa ka arvutikriminalistikas läbi sõrmede vaadata just digitaalsete tõendite hankimise protsessidest. Kohtuekpertiisi digitaalsete tõendite juurdlus kätkeb endas põhiliselt nelja üksteisele järgnevat protsessi, milleks on ettevalmistus, omandamine/säilitamine, analüüs ja aruandlus/presenteerimine.

'''Ettevalmistus'''

Kohtuekspertiisi spetsialisti jaoks on väga tähtis olla ettevalmistatud eesolevaks juurdluseks ning peaks silmas pidama järgmisi aspekte:

enne tõendite koguma hakkamist, tuleb sätestada digijuurdluse üldprotsess;
väljaõpetatud väli- ja laborimeeskonnad peavad omama järgmist:
tehniline väljaõpe:
vajalikud oskused ja teadlikkus, kuidas kasutada arvutikriminalistika vahendeid;
protseduuriline väljaõpe: vajalik konseptsioon parimatest tavadest, kordadest, töövoogudest( ingl. k workflow) läbi viimaks läbi digijuurdlust;
adekvaatne riist- ja tarkvara;

'''Omandamine/säilitamine'''

Omandamist ning säilitamist loetakse kõige kriitilisemateks sammudeks digitaalsete tõendite kogumise protsessis, kuna eksimustele kehtib omandamise ajal nulltolerants. Põhiline printsiip arvutikriminalistikas on digitõendite rikkumatuse säilitamine.

Omandamine saavutatakse järgnevate vahendite kasutamisel:
kirjutamisblokk(ingl. k write blocker) ehk seade, mis deaktiveerib redigreerimise võimalused vältimaks juhuslikke vigu omandamisel;
duplikaator(ingl. k forensic duplicator) ehk seade, mis kopeerib kõvaketta sisu;
buudiketas ehk flopiketas või CD-ROM, mis sisaldab operatsioonisüsteemi põhiosi ja selle käivitamiseks vajalikke abifaile;
kaughaldus ehk spetsiaalne tarkvara seadmete kaugdiagnostikaks üle võrgu;

'''Analüüs'''

Analüüs on juurdluse selline faas, mis omab enim tehnilisi aspekte. Mõned näiteid nendest:

vajaduspärane tehniline teadmine operatsioonisüsteemist, failisüsteemist, arvutivõrgust ja aplikatsioonidest;
spetsiaalselt arendatud tarkvara on vajalik;
oskus luua filtreid ning otsida tõendeid arvuti operatsioonisüsteemi sündmustelogidest;

'''Aruandlus/presenteerimine'''

Pärast tulemuste saamist ning kokkuvõtete tegemist juurdluses, on vaja teostada järgmised sammud:

kohandada aruandluse keel konkreetsele sihtgrupile – kasutada tehnilist keelt tehnilise meeskonna tarbeks ja formaalset ning sobivat keelekasutust tuleks esitleda advokaatidele, kohtunikele jt;
hoolitseda, et aruanded oleksid selged, kokkuvõtvad ning arvamuste vabad;
tagada aruandlus erinevates failiformaatides nagu PDF, HTML, DOC jne;

'''Digitaalsete tõendite omandamise põhilised meetodid'''

'''Koopiate tegemine'''

Kindlustamaks kogutud andmete kõlblikkus, koostatakse tõendusmaterjalist täpseid koopiaid(ingl. k forensic images), tuntud kui bitivoog(ingl. k bit stream). See tagab andmete eelanalüüsi, informatsiooni otsingu ja hävimälust(ingl. k volatile memory) andmete kogumise(nt RAM). Samuti loob see võimaluse mõista digitõendite kogumise protsessi, mis on üks kõige missioonikriitilisemaid faktoreid. On oluline mõista, et andmete omandamine võib olla võimalik mitte ainult kõvaketta ruumis, vaid ka teiste seadmete mälumahus. Mõningad näited -
magnetmeedium:

flopikettad;
kõvakettad;
USB või PC-kaardid;
ZIP-kettad ja lintmäluseadmed;

optiline meedium:

CD-d;
CD-R-id ja CD-RW-d;
DVD-d;

alternatiivne meedium:

MP3 mängijad;
tahvelarvutid;
nutitelefonid;
videomängud, televiisor jne;

Bitivoog duplikeerib andmete kogumahu, välistades juhusliku andmete muutmise võimalikkuse originaal-andmekandjal. Tõendusmaterjali täpne koopia on identne originaaliga, mis hõlmab ka andmekandja tühja ruumi või mitte andmetega täidetud mälumahu. Samuti on võimalik kustutatud andmete taastamine. Kohtuekspertiisiline duplikeerimine lubab pidada kogu juurdlusprotsessi koopial, säilitades andmete originaalsuse esialgsel andmekandjal kasutamaks seda kohtukaasustes. Hilisem analüüs saab juba toimuda spetsiaalsel kohtuekspertiisi tarkvara platvormil, mis lubab andmete detailsemat uurimist ning saadud informatsioonist lõppraporti koostamist.

'''Operatsioonisüsteemi logide uurimine'''

Enamik spetsiaalseid kohtuekspertiisi tarkvara platvorme pakuvad võimalust ka vaadata ka andmeid operatsioonisüsteemide registritest detailsemalt kuid suudavad anda ka ülevaatlikumat pilti, kui näiteks Windowsis regedit. Vastupidiselt traditsioonilistest OSi registriredaktoritest suudavad spetsiaalselt kohtuekspertiisiks välja töötatud tarkvaraprogrammid visualiseerida kogupilti kõikides operatsioonisüsteemidest . Samuti tagatakse kasutajale ligipääs registry poolt kaitstud andmetele, mis sisaldab endas paroole, kasutajanimesid, sisselogimiskordi, viimast sisselogimisaega, parooli muutmisi ja muud säärast kasutajaspetsiifilist infot. Enamasti on küll vajalik tunda failisüsteemi iseärasusi, et efektiivselt tööriistaga töötada.

=Andmete peitmine ja otsimine=
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

=Ekspertiis ja kohtupraktika=

==Eesti IT-ekspertiisi praktika==

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

==Eesti kohtupraktika==

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi. Kokku registreeriti 2016. aastal selliseid süütegusid 608. Seejuures üldine kuritegevuse tase langes 11% võrra. <ref name="J2017">Justiitsministeerium (2017) Kuritegevus Eestis 2016. http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf</ref> Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 https://www.riigiteataja.ee/akt/184411?leiaKehtiv</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses. <ref name="J2017"></ref>

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü. <ref name="J2017"></ref> Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud. <ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu. <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716</ref> Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²). Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137). <ref name="J2017"></ref> Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%). 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni. <ref name="J2017"></ref>

=Kokkuvõte=
Tehnoloogiavaldkonna kiire areng seab arvutikriminalistid silmitsi järjest suuremate väljakutsetega. Olemasolevad tehnoloogiad vananevad, uued tehnoloogiad arenevad, samal ajal muutub arvutikuritegevus järjest agressiivsemaks ja tehniliselt võimekamaks – kriminalistid peavad suutma selle arenguga sammu pidada.

=Viited=

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T18:44:45Z

Mkangur: /* Arvutikriminalistika areng */

[[Category:ITSPEA 2016 kaugõpe]]
Autorid: Mari-Liis Oldja, Margit Kangur, Reilika Saks, Gregor Luukas

=Sissejuhatus=
Tänapäeval on raske ette kujutada kuritegu, millel poleks mõnda digitaalset mõõdet. Erinevaid infotehnoloogilisi vahendeid võib leida iga inimese töökohalt, kodust, taskust. Iga arvutis, nutitelefonis või võrgus tehtud liigutus jätab endast maha jälje, olgu see siis arvuti IP-aadressi, võrgus sooritatud infootsingu tulemuse, salvestatud faili või mõne muu esmapilgul silmatorkamatuks jääda võiva märgi näol, mis võib leidmise korral osutuda õlekõrreks kuriteo lahendamisel. Selliste digitaalsete jälgede avastamiseks ja uurimiseks läheb vaja laialdasi teadmisi nii kriminalistikast, erinevatest uurimismeetoditest, kasutatavatest tööriistadest kui ka infotehnoloogiast üldisemalt.

=Arvutikriminalistika areng=
Andmekaitse ja infoturbe leksikon defineerib arvutikriminalistikat kui arvutites ja digitaalsetel andmekandjatel olevate kohtukõlblike asitõendite avastamise ja uurimisega tegelevat kriminalistikaharu <ref>Andmekaitse ja infoturbe leksikon. http://akit.cyber.ee/term/492-arvutikriminalistika</ref>.

Kuigi arvutikriminalistikat peetakse teiste kriminalistikaharudega võrreldes suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuritegu iseenesest sugugi uus, ainult tänapäeva kuuluv nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul see nii ei olnud, arvutite väärkasutuse juhtumeid hakati dokumenteerima kohe arvutite kasutuselevõtmise hetkest alates <ref>Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf</ref>. 1960-ndatel aastatel IT-töötajate ebaeetilist ja seadusevastast arvutikasutamist uurinud Stanfordi uurimisinstituudi teadlane Donn Parker pidi tõdema: „''kui inimesed sisenesid arvutuskeskusesse, siis jätsid nad eetika ukse taha''“ <ref name="Bem">Bem, D., Feld, F., Huebner, E., Bem, O. (2008). Computer Forensics – Past, Present and Future. Journal of Information Science and Technology, JIST 5(3) 2008, lk 43-59. https://pdfs.semanticscholar.org/491f/9bf892071f5fc9773de1c9abc2df691391cd.pdf</ref>.

Arvutikuritegude hüppeline kasv sai alguse 1980-ndatel aastatel ühes personaalarvutite laiema levikuga ning viis selleni, et arvutikuriteod kuulutati eraldiseisvaks kuriteoliigiks. Nagu iga kuritegu, vajas ka arvutikuritegu kohtumenetluse läbiviimiseks usaldusväärset tõendusmaterjali, mis omakorda pani aluse arvutikriminalistika kui iseseisva kriminalistikaharu tekkele. 1990-ndateks aastateks olid kõik tehnoloogiliselt arenenud riigid arvutikuritegevuse olemusest ja võimalikest riskidest teadlikumaks saanud ning arvutikuritegude uurimiseks ja süüdistuste esitamiseks hakati koostama vastavaid protseduurireegleid. Selleks ajaks oli loodud mitmeid arvutikuritegevusele keskenduvaid teaduslikke uurimiskeskusi ning ka tarkvaratootjad hakkasid omalt poolt pakkuma spetsiaalseid tööriistu arvutikuritegude paremaks tuvastamiseks.<ref name="Bem"></ref>

Tänaseks on arvuti- või laiemas mõistes küberkuritegevusest saanud kõige kiiremini kasvav kuriteoliik maailmas. Möödunud aastal Suurbritannia riikliku kuritegevuse ameti (NCA) poolt avaldatud raportist selgub, et Suurbritannias ületab kübervahenditega seotud kuritegude arv juba kõik teised kuritegude liigid. Kübervahendite abiga toime pandud kuriteod nagu näiteks pettused, ebaseaduslik narkootikumide ostmine või interneti vahendusel laste seksuaalne ärakasutamine moodustas 2015. aastal 36% kuritegudest. Kübervahenditele toetuvad kuriteod nagu näiteks pahavara levitamine, delikaatsete isikuandmete või ärisaladuste varastamine ja DdoS rünnakud aga 17% kuritegudest.<ref name="NCA">National Crime Agency. (07.07.2016). Cyber Crime Assessment 2016. http://www.nationalcrimeagency.gov.uk/publications/709-cyber-crime-assessment-2016/file</ref>

Tõenäoliselt on arvutikuritegevus siiski palju rohkem levinud, kui numbrite põhjal järeldada võib, sest suurem osa intsidentidest jääb ametlikult registreerimata. Nii näiteks leidis Suurbritannia riikliku statistikaameti hinnangul 2015. aastal riigis aset 2,46 miljonit küberintsidenti, mille tagajärjel kannatas 2,11 miljonit isikut, samas kui ametivõime teavitati vaid 16 349 kübervahenditele toetuvast ning umbes 700 000 kübervahendite abiga toime pandud intsidendist<ref name="NCA"></ref>. Ka Eesti keskkriminaalpolitsei küberkuritegude büroo juht tunnistab, et küberkuritegevusega seostub tihti ohvrimentaliteet. Inimene tunneb piinlikkust, et just tema või näiteks tema asutus kuriteo ohvriks langes ega taha juhtunust avalikult kõnelda.<ref>Lõugas, H. (27.11.2016). Mida tähendab Eestis küberkuritegevusega võitlemine? Loomingulisust, põnevust ja kohanemist. https://geenius.ee/uudis/mida-tahendab-eestis-kuberkuritegevusega-voitlemine-loomingulisust-ponevust-ja-kohanemist</ref>.

=Tõendite kogumise protsess ning nende omandamine arvutikriminalistikas=

Tänu indekseerimisele ja filtreerimisele, mis tagavad kiire juurdepääsu asjakohastele tõenditele, on kaasustes kasutatavate andmete analüüsiks kuluv aeg märkimisväärselt kahanenud. Kuid efektiivne juurdlus kohtuekspertiisis tähendab seda, et keskendutakse väga detailselt iga juurdluse kui arengu osasse, vältimaks vigu, mis võivad kahjustada tugeva kaasuse sündi. Tänases kohtupraktikas panevad kaitsjad üha enam rõhku tõendite kõlblikkuse annulleerimisele, viidates vigadele, mida on tehtud tõendeid kogudes, talletades jms. Seetõttu ei saa ka arvutikriminalistikas läbi sõrmede vaadata just digitaalsete tõendite hankimise protsessidest. Kohtuekpertiisi digitaalsete tõendite juurdlus kätkeb endas põhiliselt nelja üksteisele järgnevat protsessi, milleks on ettevalmistus, omandamine/säilitamine, analüüs ja aruandlus/presenteerimine.

'''Ettevalmistus'''

Kohtuekspertiisi spetsialisti jaoks on väga tähtis olla ettevalmistatud eesolevaks juurdluseks ning peaks silmas pidama järgmisi aspekte:

enne tõendite koguma hakkamist, tuleb sätestada digijuurdluse üldprotsess;
väljaõpetatud väli- ja laborimeeskonnad peavad omama järgmist:
tehniline väljaõpe:
vajalikud oskused ja teadlikkus, kuidas kasutada arvutikriminalistika vahendeid;
protseduuriline väljaõpe: vajalik konseptsioon parimatest tavadest, kordadest, töövoogudest( ingl. k workflow) läbi viimaks läbi digijuurdlust;
adekvaatne riist- ja tarkvara;

'''Omandamine/säilitamine'''

Omandamist ning säilitamist loetakse kõige kriitilisemateks sammudeks digitaalsete tõendite kogumise protsessis, kuna eksimustele kehtib omandamise ajal nulltolerants. Põhiline printsiip arvutikriminalistikas on digitõendite rikkumatuse säilitamine.

Omandamine saavutatakse järgnevate vahendite kasutamisel:
kirjutamisblokk(ingl. k write blocker) ehk seade, mis deaktiveerib redigreerimise võimalused vältimaks juhuslikke vigu omandamisel;
duplikaator(ingl. k forensic duplicator) ehk seade, mis kopeerib kõvaketta sisu;
buudiketas ehk flopiketas või CD-ROM, mis sisaldab operatsioonisüsteemi põhiosi ja selle käivitamiseks vajalikke abifaile;
kaughaldus ehk spetsiaalne tarkvara seadmete kaugdiagnostikaks üle võrgu;

'''Analüüs'''

Analüüs on juurdluse selline faas, mis omab enim tehnilisi aspekte. Mõned näiteid nendest:

vajaduspärane tehniline teadmine operatsioonisüsteemist, failisüsteemist, arvutivõrgust ja aplikatsioonidest;
spetsiaalselt arendatud tarkvara on vajalik;
oskus luua filtreid ning otsida tõendeid arvuti operatsioonisüsteemi sündmustelogidest;

'''Aruandlus/presenteerimine'''

Pärast tulemuste saamist ning kokkuvõtete tegemist juurdluses, on vaja teostada järgmised sammud:

kohandada aruandluse keel konkreetsele sihtgrupile – kasutada tehnilist keelt tehnilise meeskonna tarbeks ja formaalset ning sobivat keelekasutust tuleks esitleda advokaatidele, kohtunikele jt;
hoolitseda, et aruanded oleksid selged, kokkuvõtvad ning arvamuste vabad;
tagada aruandlus erinevates failiformaatides nagu PDF, HTML, DOC jne;

'''Digitaalsete tõendite omandamise põhilised meetodid'''

'''Koopiate tegemine'''

Kindlustamaks kogutud andmete kõlblikkus, koostatakse tõendusmaterjalist täpseid koopiaid(ingl. k forensic images), tuntud kui bitivoog(ingl. k bit stream). See tagab andmete eelanalüüsi, informatsiooni otsingu ja hävimälust(ingl. k volatile memory) andmete kogumise(nt RAM). Samuti loob see võimaluse mõista digitõendite kogumise protsessi, mis on üks kõige missioonikriitilisemaid faktoreid. On oluline mõista, et andmete omandamine võib olla võimalik mitte ainult kõvaketta ruumis, vaid ka teiste seadmete mälumahus. Mõningad näited -
magnetmeedium:

flopikettad;
kõvakettad;
USB või PC-kaardid;
ZIP-kettad ja lintmäluseadmed;

optiline meedium:

CD-d;
CD-R-id ja CD-RW-d;
DVD-d;

alternatiivne meedium:

MP3 mängijad;
tahvelarvutid;
nutitelefonid;
videomängud, televiisor jne;

Bitivoog duplikeerib andmete kogumahu, välistades juhusliku andmete muutmise võimalikkuse originaal-andmekandjal. Tõendusmaterjali täpne koopia on identne originaaliga, mis hõlmab ka andmekandja tühja ruumi või mitte andmetega täidetud mälumahu. Samuti on võimalik kustutatud andmete taastamine. Kohtuekspertiisiline duplikeerimine lubab pidada kogu juurdlusprotsessi koopial, säilitades andmete originaalsuse esialgsel andmekandjal kasutamaks seda kohtukaasustes. Hilisem analüüs saab juba toimuda spetsiaalsel kohtuekspertiisi tarkvara platvormil, mis lubab andmete detailsemat uurimist ning saadud informatsioonist lõppraporti koostamist.

'''Operatsioonisüsteemi logide uurimine'''

Enamik spetsiaalseid kohtuekspertiisi tarkvara platvorme pakuvad võimalust ka vaadata ka andmeid operatsioonisüsteemide registritest detailsemalt kuid suudavad anda ka ülevaatlikumat pilti, kui näiteks Windowsis regedit. Vastupidiselt traditsioonilistest OSi registriredaktoritest suudavad spetsiaalselt kohtuekspertiisiks välja töötatud tarkvaraprogrammid visualiseerida kogupilti kõikides operatsioonisüsteemidest . Samuti tagatakse kasutajale ligipääs registry poolt kaitstud andmetele, mis sisaldab endas paroole, kasutajanimesid, sisselogimiskordi, viimast sisselogimisaega, parooli muutmisi ja muud säärast kasutajaspetsiifilist infot. Enamasti on küll vajalik tunda failisüsteemi iseärasusi, et efektiivselt tööriistaga töötada.

=Andmete peitmine ja otsimine=
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

=Ekspertiis ja kohtupraktika=

==Eesti IT-ekspertiisi praktika==

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

==Eesti kohtupraktika==

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi. Kokku registreeriti 2016. aastal selliseid süütegusid 608. Seejuures üldine kuritegevuse tase langes 11% võrra. <ref name="J2017">Justiitsministeerium (2017) Kuritegevus Eestis 2016. http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf</ref> Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 https://www.riigiteataja.ee/akt/184411?leiaKehtiv</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses. <ref name="J2017"></ref>

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü. <ref name="J2017"></ref> Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud. <ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu. <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716</ref> Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²). Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137). <ref name="J2017"></ref> Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%). 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni. <ref name="J2017"></ref>

=Kokkuvõte=
Tehnoloogiavaldkonna kiire areng seab arvutikriminalistid silmitsi järjest suuremate väljakutsetega. Olemasolevad tehnoloogiad vananevad, uued tehnoloogiad arenevad, samal ajal muutub arvutikuritegevus järjest agressiivsemaks ja tehniliselt võimekamaks – kriminalistid peavad suutma selle arenguga sammu pidada.

=Viited=

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T18:41:10Z

Mkangur: /* Arvutikriminalistika */

[[Category:ITSPEA 2016 kaugõpe]]
Autorid: Mari-Liis Oldja, Margit Kangur, Reilika Saks, Gregor Luukas

=Sissejuhatus=
Tänapäeval on raske ette kujutada kuritegu, millel poleks mõnda digitaalset mõõdet. Erinevaid infotehnoloogilisi vahendeid võib leida iga inimese töökohalt, kodust, taskust. Iga arvutis, nutitelefonis või võrgus tehtud liigutus jätab endast maha jälje, olgu see siis arvuti IP-aadressi, võrgus sooritatud infootsingu tulemuse, salvestatud faili või mõne muu esmapilgul silmatorkamatuks jääda võiva märgi näol, mis võib leidmise korral osutuda õlekõrreks kuriteo lahendamisel. Selliste digitaalsete jälgede avastamiseks ja uurimiseks läheb vaja laialdasi teadmisi nii kriminalistikast, erinevatest uurimismeetoditest, kasutatavatest tööriistadest kui ka infotehnoloogiast üldisemalt.

=Arvutikriminalistika areng=
Kuigi arvutikriminalistikat peetakse teiste kriminalistikaharudega võrreldes suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuritegu iseenesest sugugi uus, ainult tänapäeva kuuluv nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul see nii ei olnud, arvutite väärkasutuse juhtumeid hakati dokumenteerima kohe arvutite kasutuselevõtmise hetkest alates <ref>Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf</ref>. 1960-ndatel aastatel IT-töötajate ebaeetilist ja seadusevastast arvutikasutamist uurinud Stanfordi uurimisinstituudi teadlane Donn Parker pidi tõdema: „''kui inimesed sisenesid arvutuskeskusesse, siis jätsid nad eetika ukse taha''“ <ref name="Bem">Bem, D., Feld, F., Huebner, E., Bem, O. (2008). Computer Forensics – Past, Present and Future. Journal of Information Science and Technology, JIST 5(3) 2008, lk 43-59. https://pdfs.semanticscholar.org/491f/9bf892071f5fc9773de1c9abc2df691391cd.pdf</ref>.

Arvutikuritegude hüppeline kasv sai alguse 1980-ndatel aastatel ühes personaalarvutite laiema levikuga ning viis selleni, et arvutikuriteod kuulutati eraldiseisvaks kuriteoliigiks. Nagu iga kuritegu, vajas ka arvutikuritegu kohtumenetluse läbiviimiseks usaldusväärset tõendusmaterjali, mis omakorda pani aluse arvutikriminalistika kui iseseisva kriminalistikaharu tekkele. 1990-ndateks aastateks olid kõik tehnoloogiliselt arenenud riigid arvutikuritegevuse olemusest ja võimalikest riskidest teadlikumaks saanud ning arvutikuritegude uurimiseks ja süüdistuste esitamiseks hakati koostama vastavaid protseduurireegleid. Selleks ajaks oli loodud mitmeid arvutikuritegevusele keskenduvaid teaduslikke uurimiskeskusi ning ka tarkvaratootjad hakkasid omalt poolt pakkuma spetsiaalseid tööriistu arvutikuritegude paremaks tuvastamiseks.<ref name="Bem"></ref>

Andmekaitse ja infoturbe leksikon defineerib arvutikriminalistikat kui arvutites ja digitaalsetel andmekandjatel olevate kohtukõlblike asitõendite avastamise ja uurimisega tegelevat kriminalistikaharu <ref>Andmekaitse ja infoturbe leksikon. http://akit.cyber.ee/term/492-arvutikriminalistika</ref>.

...

Arvuti- või laiemas mõistes küberkuritegevusest on saanud kõige kiiremini kasvav kuriteoliik maailmas. Möödunud aastal Suurbritannia riikliku kuritegevuse ameti (NCA) poolt avaldatud raportist selgub, et Suurbritannias ületab kübervahenditega seotud kuritegude arv juba kõik teised kuritegude liigid. Kübervahendite abiga toime pandud kuriteod nagu näiteks pettused, ebaseaduslik narkootikumide ostmine või interneti vahendusel laste seksuaalne ärakasutamine moodustas 2015. aastal 36% kuritegudest. Kübervahenditele toetuvad kuriteod nagu näiteks pahavara levitamine, delikaatsete isikuandmete või ärisaladuste varastamine ja DdoS rünnakud aga 17% kuritegudest.<ref name="NCA">National Crime Agency. (07.07.2016). Cyber Crime Assessment 2016. http://www.nationalcrimeagency.gov.uk/publications/709-cyber-crime-assessment-2016/file</ref>

Tõenäoliselt on arvutikuritegevus siiski palju rohkem levinud, kui numbrite põhjal järeldada võib, sest suurem osa intsidentidest jääb ametlikult registreerimata. Nii näiteks leidis Suurbritannia riikliku statistikaameti hinnangul 2015. aastal riigis aset 2,46 miljonit küberintsidenti, mille tagajärjel kannatas 2,11 miljonit isikut, samas kui ametivõime teavitati vaid 16 349 kübervahenditele toetuvast ning umbes 700 000 kübervahendite abiga toime pandud intsidendist<ref name="NCA"></ref>. Ka Eesti keskkriminaalpolitsei küberkuritegude büroo juht tunnistab, et küberkuritegevusega seostub tihti ohvrimentaliteet. Inimene tunneb piinlikkust, et just tema või näiteks tema asutus kuriteo ohvriks langes ega taha juhtunust avalikult kõnelda.<ref>Lõugas, H. (27.11.2016). Mida tähendab Eestis küberkuritegevusega võitlemine? Loomingulisust, põnevust ja kohanemist. https://geenius.ee/uudis/mida-tahendab-eestis-kuberkuritegevusega-voitlemine-loomingulisust-ponevust-ja-kohanemist</ref>.

=Tõendite kogumise protsess ning nende omandamine arvutikriminalistikas=

Tänu indekseerimisele ja filtreerimisele, mis tagavad kiire juurdepääsu asjakohastele tõenditele, on kaasustes kasutatavate andmete analüüsiks kuluv aeg märkimisväärselt kahanenud. Kuid efektiivne juurdlus kohtuekspertiisis tähendab seda, et keskendutakse väga detailselt iga juurdluse kui arengu osasse, vältimaks vigu, mis võivad kahjustada tugeva kaasuse sündi. Tänases kohtupraktikas panevad kaitsjad üha enam rõhku tõendite kõlblikkuse annulleerimisele, viidates vigadele, mida on tehtud tõendeid kogudes, talletades jms. Seetõttu ei saa ka arvutikriminalistikas läbi sõrmede vaadata just digitaalsete tõendite hankimise protsessidest. Kohtuekpertiisi digitaalsete tõendite juurdlus kätkeb endas põhiliselt nelja üksteisele järgnevat protsessi, milleks on ettevalmistus, omandamine/säilitamine, analüüs ja aruandlus/presenteerimine.

'''Ettevalmistus'''

Kohtuekspertiisi spetsialisti jaoks on väga tähtis olla ettevalmistatud eesolevaks juurdluseks ning peaks silmas pidama järgmisi aspekte:

enne tõendite koguma hakkamist, tuleb sätestada digijuurdluse üldprotsess;
väljaõpetatud väli- ja laborimeeskonnad peavad omama järgmist:
tehniline väljaõpe:
vajalikud oskused ja teadlikkus, kuidas kasutada arvutikriminalistika vahendeid;
protseduuriline väljaõpe: vajalik konseptsioon parimatest tavadest, kordadest, töövoogudest( ingl. k workflow) läbi viimaks läbi digijuurdlust;
adekvaatne riist- ja tarkvara;

'''Omandamine/säilitamine'''

Omandamist ning säilitamist loetakse kõige kriitilisemateks sammudeks digitaalsete tõendite kogumise protsessis, kuna eksimustele kehtib omandamise ajal nulltolerants. Põhiline printsiip arvutikriminalistikas on digitõendite rikkumatuse säilitamine.

Omandamine saavutatakse järgnevate vahendite kasutamisel:
kirjutamisblokk(ingl. k write blocker) ehk seade, mis deaktiveerib redigreerimise võimalused vältimaks juhuslikke vigu omandamisel;
duplikaator(ingl. k forensic duplicator) ehk seade, mis kopeerib kõvaketta sisu;
buudiketas ehk flopiketas või CD-ROM, mis sisaldab operatsioonisüsteemi põhiosi ja selle käivitamiseks vajalikke abifaile;
kaughaldus ehk spetsiaalne tarkvara seadmete kaugdiagnostikaks üle võrgu;

'''Analüüs'''

Analüüs on juurdluse selline faas, mis omab enim tehnilisi aspekte. Mõned näiteid nendest:

vajaduspärane tehniline teadmine operatsioonisüsteemist, failisüsteemist, arvutivõrgust ja aplikatsioonidest;
spetsiaalselt arendatud tarkvara on vajalik;
oskus luua filtreid ning otsida tõendeid arvuti operatsioonisüsteemi sündmustelogidest;

'''Aruandlus/presenteerimine'''

Pärast tulemuste saamist ning kokkuvõtete tegemist juurdluses, on vaja teostada järgmised sammud:

kohandada aruandluse keel konkreetsele sihtgrupile – kasutada tehnilist keelt tehnilise meeskonna tarbeks ja formaalset ning sobivat keelekasutust tuleks esitleda advokaatidele, kohtunikele jt;
hoolitseda, et aruanded oleksid selged, kokkuvõtvad ning arvamuste vabad;
tagada aruandlus erinevates failiformaatides nagu PDF, HTML, DOC jne;

'''Digitaalsete tõendite omandamise põhilised meetodid'''

'''Koopiate tegemine'''

Kindlustamaks kogutud andmete kõlblikkus, koostatakse tõendusmaterjalist täpseid koopiaid(ingl. k forensic images), tuntud kui bitivoog(ingl. k bit stream). See tagab andmete eelanalüüsi, informatsiooni otsingu ja hävimälust(ingl. k volatile memory) andmete kogumise(nt RAM). Samuti loob see võimaluse mõista digitõendite kogumise protsessi, mis on üks kõige missioonikriitilisemaid faktoreid. On oluline mõista, et andmete omandamine võib olla võimalik mitte ainult kõvaketta ruumis, vaid ka teiste seadmete mälumahus. Mõningad näited -
magnetmeedium:

flopikettad;
kõvakettad;
USB või PC-kaardid;
ZIP-kettad ja lintmäluseadmed;

optiline meedium:

CD-d;
CD-R-id ja CD-RW-d;
DVD-d;

alternatiivne meedium:

MP3 mängijad;
tahvelarvutid;
nutitelefonid;
videomängud, televiisor jne;

Bitivoog duplikeerib andmete kogumahu, välistades juhusliku andmete muutmise võimalikkuse originaal-andmekandjal. Tõendusmaterjali täpne koopia on identne originaaliga, mis hõlmab ka andmekandja tühja ruumi või mitte andmetega täidetud mälumahu. Samuti on võimalik kustutatud andmete taastamine. Kohtuekspertiisiline duplikeerimine lubab pidada kogu juurdlusprotsessi koopial, säilitades andmete originaalsuse esialgsel andmekandjal kasutamaks seda kohtukaasustes. Hilisem analüüs saab juba toimuda spetsiaalsel kohtuekspertiisi tarkvara platvormil, mis lubab andmete detailsemat uurimist ning saadud informatsioonist lõppraporti koostamist.

'''Operatsioonisüsteemi logide uurimine'''

Enamik spetsiaalseid kohtuekspertiisi tarkvara platvorme pakuvad võimalust ka vaadata ka andmeid operatsioonisüsteemide registritest detailsemalt kuid suudavad anda ka ülevaatlikumat pilti, kui näiteks Windowsis regedit. Vastupidiselt traditsioonilistest OSi registriredaktoritest suudavad spetsiaalselt kohtuekspertiisiks välja töötatud tarkvaraprogrammid visualiseerida kogupilti kõikides operatsioonisüsteemidest . Samuti tagatakse kasutajale ligipääs registry poolt kaitstud andmetele, mis sisaldab endas paroole, kasutajanimesid, sisselogimiskordi, viimast sisselogimisaega, parooli muutmisi ja muud säärast kasutajaspetsiifilist infot. Enamasti on küll vajalik tunda failisüsteemi iseärasusi, et efektiivselt tööriistaga töötada.

=Andmete peitmine ja otsimine=
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

=Ekspertiis ja kohtupraktika=

==Eesti IT-ekspertiisi praktika==

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

==Eesti kohtupraktika==

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi. Kokku registreeriti 2016. aastal selliseid süütegusid 608. Seejuures üldine kuritegevuse tase langes 11% võrra. <ref name="J2017">Justiitsministeerium (2017) Kuritegevus Eestis 2016. http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf</ref> Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 https://www.riigiteataja.ee/akt/184411?leiaKehtiv</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses. <ref name="J2017"></ref>

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü. <ref name="J2017"></ref> Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud. <ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu. <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716</ref> Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²). Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137). <ref name="J2017"></ref> Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%). 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni. <ref name="J2017"></ref>

=Kokkuvõte=
Tehnoloogiavaldkonna kiire areng seab arvutikriminalistid silmitsi järjest suuremate väljakutsetega. Olemasolevad tehnoloogiad vananevad, uued tehnoloogiad arenevad, samal ajal muutub arvutikuritegevus järjest agressiivsemaks ja tehniliselt võimekamaks – kriminalistid peavad suutma selle arenguga sammu pidada.

=Viited=

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T17:56:08Z

Mkangur: /* Arvutikriminalistika minevik, olevik ja tulevik */

[[Category:ITSPEA 2016 kaugõpe]]
=Arvutikriminalistika=
Tänapäeval on raske ette kujutada kuritegu, millel poleks mõnda digitaalset mõõdet. Erinevaid infotehnoloogilisi vahendeid võib leida iga inimese töökohalt, kodust, taskust. Iga arvutis, nutitelefonis või võrgus tehtud liigutus jätab endast maha jälje, olgu see siis arvuti IP-aadressi, võrgus sooritatud infootsingu tulemuse, salvestatud faili või mõne muu esmapilgul silmatorkamatuks jääda võiva märgi näol, mis võib leidmise korral osutuda õlekõrreks kuriteo lahendamisel. Selliste digitaalsete jälgede avastamiseks ja uurimiseks läheb vaja laialdasi teadmisi nii kriminalistikast, erinevatest uurimismeetoditest, kasutatavatest tööriistadest kui ka infotehnoloogiast üldisemalt.

==Arvutikriminalistika areng==
Kuigi arvutikriminalistikat peetakse teiste kriminalistikaharudega võrreldes suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuritegu iseenesest sugugi uus, ainult tänapäeva kuuluv nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul see nii ei olnud, arvutite väärkasutuse juhtumeid hakati dokumenteerima kohe arvutite kasutuselevõtmise hetkest alates <ref>Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf</ref>. 1960-ndatel aastatel IT-töötajate ebaeetilist ja seadusevastast arvutikasutamist uurinud Stanfordi uurimisinstituudi teadlane Donn Parker pidi tõdema: „''kui inimesed sisenesid arvutuskeskusesse, siis jätsid nad eetika ukse taha''“ <ref name="Bem">Bem, D., Feld, F., Huebner, E., Bem, O. (2008). Computer Forensics – Past, Present and Future. Journal of Information Science and Technology, JIST 5(3) 2008, lk 43-59. https://pdfs.semanticscholar.org/491f/9bf892071f5fc9773de1c9abc2df691391cd.pdf</ref>.

Arvutikuritegude hüppeline kasv sai alguse 1980-ndatel aastatel ühes personaalarvutite laiema levikuga ning viis selleni, et arvutikuriteod kuulutati eraldiseisvaks kuriteoliigiks. Nagu iga kuritegu, vajas ka arvutikuritegu kohtumenetluse läbiviimiseks usaldusväärset tõendusmaterjali, mis omakorda pani aluse arvutikriminalistika kui iseseisva kriminalistikaharu tekkele. 1990-ndateks aastateks olid kõik tehnoloogiliselt arenenud riigid arvutikuritegevuse olemusest ja võimalikest riskidest teadlikumaks saanud ning arvutikuritegude uurimiseks ja süüdistuste esitamiseks hakati koostama vastavaid protseduurireegleid. Selleks ajaks oli loodud mitmeid arvutikuritegevusele keskenduvaid teaduslikke uurimiskeskusi ning ka tarkvaratootjad hakkasid omalt poolt pakkuma spetsiaalseid tööriistu arvutikuritegude paremaks tuvastamiseks.<ref name="Bem"></ref>

Andmekaitse ja infoturbe leksikon defineerib arvutikriminalistikat kui arvutites ja digitaalsetel andmekandjatel olevate kohtukõlblike asitõendite avastamise ja uurimisega tegelevat kriminalistikaharu <ref>Andmekaitse ja infoturbe leksikon. http://akit.cyber.ee/term/492-arvutikriminalistika</ref>.

...

Arvuti- või laiemas mõistes küberkuritegevusest on saanud kõige kiiremini kasvav kuriteoliik maailmas. Möödunud aastal Suurbritannia riikliku kuritegevuse ameti (NCA) poolt avaldatud raportist selgub, et Suurbritannias ületab kübervahenditega seotud kuritegude arv juba kõik teised kuritegude liigid. Kübervahendite abiga toime pandud kuriteod nagu näiteks pettused, ebaseaduslik narkootikumide ostmine või interneti vahendusel laste seksuaalne ärakasutamine moodustas 2015. aastal 36% kuritegudest. Kübervahenditele toetuvad kuriteod nagu näiteks pahavara levitamine, delikaatsete isikuandmete või ärisaladuste varastamine ja DdoS rünnakud aga 17% kuritegudest.<ref name="NCA">National Crime Agency. (07.07.2016). Cyber Crime Assessment 2016. http://www.nationalcrimeagency.gov.uk/publications/709-cyber-crime-assessment-2016/file</ref>

Tõenäoliselt on arvutikuritegevus siiski palju rohkem levinud, kui numbrite põhjal järeldada võib, sest suurem osa intsidentidest jääb ametlikult registreerimata. Nii näiteks leidis Suurbritannia riikliku statistikaameti hinnangul 2015. aastal riigis aset 2,46 miljonit küberintsidenti, mille tagajärjel kannatas 2,11 miljonit isikut, samas kui ametivõime teavitati vaid 16 349 kübervahenditele toetuvast ning umbes 700 000 kübervahendite abiga toime pandud intsidendist<ref name="NCA"></ref>. Ka Eesti keskkriminaalpolitsei küberkuritegude büroo juht tunnistab, et küberkuritegevusega seostub tihti ohvrimentaliteet. Inimene tunneb piinlikkust, et just tema või näiteks tema asutus kuriteo ohvriks langes ega taha juhtunust avalikult kõnelda.<ref>Lõugas, H. (27.11.2016). Mida tähendab Eestis küberkuritegevusega võitlemine? Loomingulisust, põnevust ja kohanemist. https://geenius.ee/uudis/mida-tahendab-eestis-kuberkuritegevusega-voitlemine-loomingulisust-ponevust-ja-kohanemist</ref>.

==Arvutikriminalistika metoodikad==

==Andmete peitmine ja otsimine==
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

==Ekspertiis ja kohtupraktika==

===Eesti IT-ekspertiisi praktika===

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

===Eesti kohtupraktika===

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi. Kokku registreeriti 2016. aastal selliseid süütegusid 608. Seejuures üldine kuritegevuse tase langes 11% võrra. <ref name="J2017">Justiitsministeerium (2017) Kuritegevus Eestis 2016. http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf</ref> Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 https://www.riigiteataja.ee/akt/184411?leiaKehtiv</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses. <ref name="J2017"></ref>

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü. <ref name="J2017"></ref> Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud. <ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu. <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716</ref> Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²). Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137). <ref name="J2017"></ref> Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%). 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni. <ref name="J2017"></ref>

==Kokkuvõte==
Tehnoloogiavaldkonna kiire areng seab arvutikriminalistid silmitsi järjest suuremate väljakutsetega. Olemasolevad tehnoloogiad vananevad, uued tehnoloogiad arenevad, samal ajal muutub arvutikuritegevus järjest agressiivsemaks ja tehniliselt võimekamaks – kriminalistid peavad suutma selle arenguga sammu pidada.

==Viited==

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T17:48:44Z

Mkangur: /* Kokkuvõte */

[[Category:ITSPEA 2016 kaugõpe]]
=Arvutikriminalistika=
Tänapäeval on raske ette kujutada kuritegu, millel poleks mõnda digitaalset mõõdet. Erinevaid infotehnoloogilisi vahendeid võib leida iga inimese töökohalt, kodust, taskust. Iga arvutis, nutitelefonis või võrgus tehtud liigutus jätab endast maha jälje, olgu see siis arvuti IP-aadressi, võrgus sooritatud infootsingu tulemuse, salvestatud faili või mõne muu esmapilgul silmatorkamatuks jääda võiva märgi näol, mis võib leidmise korral osutuda õlekõrreks kuriteo lahendamisel. Selliste digitaalsete jälgede avastamiseks ja uurimiseks läheb vaja laialdasi teadmisi nii kriminalistikast, erinevatest uurimismeetoditest, kasutatavatest tööriistadest kui ka infotehnoloogiast üldisemalt.

==Arvutikriminalistika minevik, olevik ja tulevik==
Kuigi arvutikriminalistikat peetakse teiste kriminalistikaharudega võrreldes suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuritegu iseenesest sugugi uus, ainult tänapäeva kuuluv nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul see nii ei olnud, arvutite väärkasutuse juhtumeid hakati dokumenteerima kohe arvutite kasutuselevõtmise hetkest alates <ref>Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf</ref>. 1960-ndatel aastatel IT-töötajate ebaeetilist ja seadusevastast arvutikasutamist uurinud Stanfordi uurimisinstituudi teadlane Donn Parker pidi tõdema: „''kui inimesed sisenesid arvutuskeskusesse, siis jätsid nad eetika ukse taha''“ <ref name="Bem">Bem, D., Feld, F., Huebner, E., Bem, O. (2008). Computer Forensics – Past, Present and Future. Journal of Information Science and Technology, JIST 5(3) 2008, lk 43-59. https://pdfs.semanticscholar.org/491f/9bf892071f5fc9773de1c9abc2df691391cd.pdf</ref>.

Arvutikuritegude hüppeline kasv sai alguse 1980-ndatel aastatel ühes personaalarvutite laiema levikuga ning viis selleni, et arvutikuriteod kuulutati eraldiseisvaks kuriteoliigiks. Nagu iga kuritegu, vajas ka arvutikuritegu kohtumenetluse läbiviimiseks usaldusväärset tõendusmaterjali, mis omakorda pani aluse arvutikriminalistika kui iseseisva kriminalistikaharu tekkele. 1990-ndateks aastateks olid kõik tehnoloogiliselt arenenud riigid arvutikuritegevuse olemusest ja võimalikest riskidest teadlikumaks saanud ning arvutikuritegude uurimiseks ja süüdistuste esitamiseks hakati koostama vastavaid protseduurireegleid. Selleks ajaks oli loodud mitmeid arvutikuritegevusele keskenduvaid teaduslikke uurimiskeskusi ning ka tarkvaratootjad hakkasid omalt poolt pakkuma spetsiaalseid tööriistu arvutikuritegude paremaks tuvastamiseks.<ref name="Bem"></ref>

Andmekaitse ja infoturbe leksikon defineerib arvutikriminalistikat kui arvutites ja digitaalsetel andmekandjatel olevate kohtukõlblike asitõendite avastamise ja uurimisega tegelevat kriminalistikaharu <ref>Andmekaitse ja infoturbe leksikon. http://akit.cyber.ee/term/492-arvutikriminalistika</ref>.

...

Arvuti- või laiemas mõistes küberkuritegevusest on saanud kõige kiiremini kasvav kuriteoliik maailmas. Möödunud aastal Suurbritannia riikliku kuritegevuse ameti (NCA) poolt avaldatud raportist selgub, et Suurbritannias ületab kübervahenditega seotud kuritegude arv juba kõik teised kuritegude liigid. Kübervahendite abiga toime pandud kuriteod nagu näiteks pettused, ebaseaduslik narkootikumide ostmine või interneti vahendusel laste seksuaalne ärakasutamine moodustas 2015. aastal 36% kuritegudest. Kübervahenditele toetuvad kuriteod nagu näiteks pahavara levitamine, delikaatsete isikuandmete või ärisaladuste varastamine ja DdoS rünnakud aga 17% kuritegudest.<ref name="NCA">National Crime Agency. (07.07.2016). Cyber Crime Assessment 2016. http://www.nationalcrimeagency.gov.uk/publications/709-cyber-crime-assessment-2016/file</ref>

Tõenäoliselt on arvutikuritegevus siiski palju rohkem levinud, kui numbrite põhjal järeldada võib, sest suurem osa intsidentidest jääb ametlikult registreerimata. Nii näiteks leidis Suurbritannia riikliku statistikaameti hinnangul 2015. aastal riigis aset 2,46 miljonit küberintsidenti, mille tagajärjel kannatas 2,11 miljonit isikut, samas kui ametivõime teavitati vaid 16 349 kübervahenditele toetuvast ning umbes 700 000 kübervahendite abiga toime pandud intsidendist<ref name="NCA"></ref>. Ka Eesti keskkriminaalpolitsei küberkuritegude büroo juht tunnistab, et küberkuritegevusega seostub tihti ohvrimentaliteet. Inimene tunneb piinlikkust, et just tema või näiteks tema asutus kuriteo ohvriks langes ega taha juhtunust avalikult kõnelda.<ref>Lõugas, H. (27.11.2016). Mida tähendab Eestis küberkuritegevusega võitlemine? Loomingulisust, põnevust ja kohanemist. https://geenius.ee/uudis/mida-tahendab-eestis-kuberkuritegevusega-voitlemine-loomingulisust-ponevust-ja-kohanemist</ref>.

==Arvutikriminalistika metoodikad==

==Andmete peitmine ja otsimine==
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

==Ekspertiis ja kohtupraktika==

===Eesti IT-ekspertiisi praktika===

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

===Eesti kohtupraktika===

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi. Kokku registreeriti 2016. aastal selliseid süütegusid 608. Seejuures üldine kuritegevuse tase langes 11% võrra. <ref name="J2017">Justiitsministeerium (2017) Kuritegevus Eestis 2016. http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf</ref> Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 https://www.riigiteataja.ee/akt/184411?leiaKehtiv</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses. <ref name="J2017"></ref>

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü. <ref name="J2017"></ref> Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud. <ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu. <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716</ref> Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²). Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137). <ref name="J2017"></ref> Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%). 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni. <ref name="J2017"></ref>

==Kokkuvõte==
Tehnoloogiavaldkonna kiire areng seab arvutikriminalistid silmitsi järjest suuremate väljakutsetega. Olemasolevad tehnoloogiad vananevad, uued tehnoloogiad arenevad, samal ajal muutub arvutikuritegevus järjest agressiivsemaks ja tehniliselt võimekamaks – kriminalistid peavad suutma selle arenguga sammu pidada.

==Viited==

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T17:47:04Z

Mkangur: /* Arvutikriminalistika minevik, olevik ja tulevik */

[[Category:ITSPEA 2016 kaugõpe]]
=Arvutikriminalistika=
Tänapäeval on raske ette kujutada kuritegu, millel poleks mõnda digitaalset mõõdet. Erinevaid infotehnoloogilisi vahendeid võib leida iga inimese töökohalt, kodust, taskust. Iga arvutis, nutitelefonis või võrgus tehtud liigutus jätab endast maha jälje, olgu see siis arvuti IP-aadressi, võrgus sooritatud infootsingu tulemuse, salvestatud faili või mõne muu esmapilgul silmatorkamatuks jääda võiva märgi näol, mis võib leidmise korral osutuda õlekõrreks kuriteo lahendamisel. Selliste digitaalsete jälgede avastamiseks ja uurimiseks läheb vaja laialdasi teadmisi nii kriminalistikast, erinevatest uurimismeetoditest, kasutatavatest tööriistadest kui ka infotehnoloogiast üldisemalt.

==Arvutikriminalistika minevik, olevik ja tulevik==
Kuigi arvutikriminalistikat peetakse teiste kriminalistikaharudega võrreldes suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuritegu iseenesest sugugi uus, ainult tänapäeva kuuluv nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul see nii ei olnud, arvutite väärkasutuse juhtumeid hakati dokumenteerima kohe arvutite kasutuselevõtmise hetkest alates <ref>Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf</ref>. 1960-ndatel aastatel IT-töötajate ebaeetilist ja seadusevastast arvutikasutamist uurinud Stanfordi uurimisinstituudi teadlane Donn Parker pidi tõdema: „''kui inimesed sisenesid arvutuskeskusesse, siis jätsid nad eetika ukse taha''“ <ref name="Bem">Bem, D., Feld, F., Huebner, E., Bem, O. (2008). Computer Forensics – Past, Present and Future. Journal of Information Science and Technology, JIST 5(3) 2008, lk 43-59. https://pdfs.semanticscholar.org/491f/9bf892071f5fc9773de1c9abc2df691391cd.pdf</ref>.

Arvutikuritegude hüppeline kasv sai alguse 1980-ndatel aastatel ühes personaalarvutite laiema levikuga ning viis selleni, et arvutikuriteod kuulutati eraldiseisvaks kuriteoliigiks. Nagu iga kuritegu, vajas ka arvutikuritegu kohtumenetluse läbiviimiseks usaldusväärset tõendusmaterjali, mis omakorda pani aluse arvutikriminalistika kui iseseisva kriminalistikaharu tekkele. 1990-ndateks aastateks olid kõik tehnoloogiliselt arenenud riigid arvutikuritegevuse olemusest ja võimalikest riskidest teadlikumaks saanud ning arvutikuritegude uurimiseks ja süüdistuste esitamiseks hakati koostama vastavaid protseduurireegleid. Selleks ajaks oli loodud mitmeid arvutikuritegevusele keskenduvaid teaduslikke uurimiskeskusi ning ka tarkvaratootjad hakkasid omalt poolt pakkuma spetsiaalseid tööriistu arvutikuritegude paremaks tuvastamiseks.<ref name="Bem"></ref>

Andmekaitse ja infoturbe leksikon defineerib arvutikriminalistikat kui arvutites ja digitaalsetel andmekandjatel olevate kohtukõlblike asitõendite avastamise ja uurimisega tegelevat kriminalistikaharu <ref>Andmekaitse ja infoturbe leksikon. http://akit.cyber.ee/term/492-arvutikriminalistika</ref>.

...

Arvuti- või laiemas mõistes küberkuritegevusest on saanud kõige kiiremini kasvav kuriteoliik maailmas. Möödunud aastal Suurbritannia riikliku kuritegevuse ameti (NCA) poolt avaldatud raportist selgub, et Suurbritannias ületab kübervahenditega seotud kuritegude arv juba kõik teised kuritegude liigid. Kübervahendite abiga toime pandud kuriteod nagu näiteks pettused, ebaseaduslik narkootikumide ostmine või interneti vahendusel laste seksuaalne ärakasutamine moodustas 2015. aastal 36% kuritegudest. Kübervahenditele toetuvad kuriteod nagu näiteks pahavara levitamine, delikaatsete isikuandmete või ärisaladuste varastamine ja DdoS rünnakud aga 17% kuritegudest.<ref name="NCA">National Crime Agency. (07.07.2016). Cyber Crime Assessment 2016. http://www.nationalcrimeagency.gov.uk/publications/709-cyber-crime-assessment-2016/file</ref>

Tõenäoliselt on arvutikuritegevus siiski palju rohkem levinud, kui numbrite põhjal järeldada võib, sest suurem osa intsidentidest jääb ametlikult registreerimata. Nii näiteks leidis Suurbritannia riikliku statistikaameti hinnangul 2015. aastal riigis aset 2,46 miljonit küberintsidenti, mille tagajärjel kannatas 2,11 miljonit isikut, samas kui ametivõime teavitati vaid 16 349 kübervahenditele toetuvast ning umbes 700 000 kübervahendite abiga toime pandud intsidendist<ref name="NCA"></ref>. Ka Eesti keskkriminaalpolitsei küberkuritegude büroo juht tunnistab, et küberkuritegevusega seostub tihti ohvrimentaliteet. Inimene tunneb piinlikkust, et just tema või näiteks tema asutus kuriteo ohvriks langes ega taha juhtunust avalikult kõnelda.<ref>Lõugas, H. (27.11.2016). Mida tähendab Eestis küberkuritegevusega võitlemine? Loomingulisust, põnevust ja kohanemist. https://geenius.ee/uudis/mida-tahendab-eestis-kuberkuritegevusega-voitlemine-loomingulisust-ponevust-ja-kohanemist</ref>.

==Arvutikriminalistika metoodikad==

==Andmete peitmine ja otsimine==
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

==Ekspertiis ja kohtupraktika==

===Eesti IT-ekspertiisi praktika===

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

===Eesti kohtupraktika===

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi. Kokku registreeriti 2016. aastal selliseid süütegusid 608. Seejuures üldine kuritegevuse tase langes 11% võrra. <ref name="J2017">Justiitsministeerium (2017) Kuritegevus Eestis 2016. http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf</ref> Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 https://www.riigiteataja.ee/akt/184411?leiaKehtiv</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses. <ref name="J2017"></ref>

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü. <ref name="J2017"></ref> Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud. <ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu. <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716</ref> Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²). Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137). <ref name="J2017"></ref> Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%). 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni. <ref name="J2017"></ref>

==Kokkuvõte==

==Viited==

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T17:44:36Z

Mkangur: /* Arvutikriminalistika minevik, olevik ja tulevik */

[[Category:ITSPEA 2016 kaugõpe]]
=Arvutikriminalistika=
Tänapäeval on raske ette kujutada kuritegu, millel poleks mõnda digitaalset mõõdet. Erinevaid infotehnoloogilisi vahendeid võib leida iga inimese töökohalt, kodust, taskust. Iga arvutis, nutitelefonis või võrgus tehtud liigutus jätab endast maha jälje, olgu see siis arvuti IP-aadressi, võrgus sooritatud infootsingu tulemuse, salvestatud faili või mõne muu esmapilgul silmatorkamatuks jääda võiva märgi näol, mis võib leidmise korral osutuda õlekõrreks kuriteo lahendamisel. Selliste digitaalsete jälgede avastamiseks ja uurimiseks läheb vaja laialdasi teadmisi nii kriminalistikast, erinevatest uurimismeetoditest, kasutatavatest tööriistadest kui ka infotehnoloogiast üldisemalt.

==Arvutikriminalistika minevik, olevik ja tulevik==
Kuigi arvutikriminalistikat peetakse teiste kriminalistikaharudega võrreldes suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuritegu iseenesest sugugi uus, ainult tänapäeva kuuluv nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul see nii ei olnud, arvutite väärkasutuse juhtumeid hakati dokumenteerima kohe arvutite kasutuselevõtmise hetkest alates <ref>Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf</ref>. 1960-ndatel aastatel IT-töötajate ebaeetilist ja seadusevastast arvutikasutamist uurinud Stanfordi uurimisinstituudi teadlane Donn Parker pidi tõdema: „''kui inimesed sisenesid arvutuskeskusesse, siis jätsid nad eetika ukse taha''“ <ref name="Bem">, D., Feld, F., Huebner, E., Bem, O. (2008). Computer Forensics – Past, Present and Future. Journal of Information Science and Technology, JIST 5(3) 2008, lk 43-59. https://pdfs.semanticscholar.org/491f/9bf892071f5fc9773de1c9abc2df691391cd.pdf</ref>.

Arvutikuritegude hüppeline kasv sai alguse 1980-ndatel aastatel ühes personaalarvutite laiema levikuga ning viis selleni, et arvutikuriteod kuulutati eraldiseisvaks kuriteoliigiks. Nagu iga kuritegu, vajas ka arvutikuritegu kohtumenetluse läbiviimiseks usaldusväärset tõendusmaterjali, mis omakorda pani aluse arvutikriminalistika kui iseseisva kriminalistikaharu tekkele. 1990-ndateks aastateks olid kõik tehnoloogiliselt arenenud riigid arvutikuritegevuse olemusest ja võimalikest riskidest teadlikumaks saanud ning arvutikuritegude uurimiseks ja süüdistuste esitamiseks hakati koostama vastavaid protseduurireegleid. Selleks ajaks oli loodud mitmeid arvutikuritegevusele keskenduvaid teaduslikke uurimiskeskusi ning ka tarkvaratootjad hakkasid omalt poolt pakkuma spetsiaalseid tööriistu arvutikuritegude paremaks tuvastamiseks.<ref name="Bem"></ref>

Andmekaitse ja infoturbe leksikon defineerib arvutikriminalistikat kui arvutites ja digitaalsetel andmekandjatel olevate kohtukõlblike asitõendite avastamise ja uurimisega tegelevat kriminalistikaharu <ref>Andmekaitse ja infoturbe leksikon. http://akit.cyber.ee/term/492-arvutikriminalistika</ref>.

...

Arvuti- või laiemas mõistes küberkuritegevusest on saanud kõige kiiremini kasvav kuriteoliik maailmas. Möödunud aastal Suurbritannia riikliku kuritegevuse ameti (NCA) poolt avaldatud raportist selgub, et Suurbritannias ületab kübervahenditega seotud kuritegude arv juba kõik teised kuritegude liigid. Kübervahendite abiga toime pandud kuriteod nagu näiteks pettused, ebaseaduslik narkootikumide ostmine või interneti vahendusel laste seksuaalne ärakasutamine moodustas 2015. aastal 36% kuritegudest. Kübervahenditele toetuvad kuriteod nagu näiteks pahavara levitamine, delikaatsete isikuandmete või ärisaladuste varastamine ja DdoS rünnakud aga 17% kuritegudest.<ref name="National Crime Agency">. (07.07.2016). Cyber Crime Assessment 2016. http://www.nationalcrimeagency.gov.uk/publications/709-cyber-crime-assessment-2016/file</ref>

Tõenäoliselt on arvutikuritegevus siiski palju rohkem levinud, kui numbrite põhjal järeldada võib, sest suurem osa intsidentidest jääb ametlikult registreerimata. Nii näiteks leidis Suurbritannia riikliku statistikaameti hinnangul 2015. aastal riigis aset 2,46 miljonit küberintsidenti, mille tagajärjel kannatas 2,11 miljonit isikut, samas kui ametivõime teavitati vaid 16 349 kübervahenditele toetuvast ning umbes 700 000 kübervahendite abiga toime pandud intsidendist<ref name="National Crime Agency"></ref>. Ka Eesti keskkriminaalpolitsei küberkuritegude büroo juht tunnistab, et küberkuritegevusega seostub tihti ohvrimentaliteet. Inimene tunneb piinlikkust, et just tema või näiteks tema asutus kuriteo ohvriks langes ega taha juhtunust avalikult kõnelda.<ref>Lõugas, H. (27.11.2016). Mida tähendab Eestis küberkuritegevusega võitlemine? Loomingulisust, põnevust ja kohanemist. https://geenius.ee/uudis/mida-tahendab-eestis-kuberkuritegevusega-voitlemine-loomingulisust-ponevust-ja-kohanemist</ref>.

==Arvutikriminalistika metoodikad==

==Andmete peitmine ja otsimine==
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

==Ekspertiis ja kohtupraktika==

===Eesti IT-ekspertiisi praktika===

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

===Eesti kohtupraktika===

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi. Kokku registreeriti 2016. aastal selliseid süütegusid 608. Seejuures üldine kuritegevuse tase langes 11% võrra. <ref name="J2017">Justiitsministeerium (2017) Kuritegevus Eestis 2016. http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf</ref> Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 https://www.riigiteataja.ee/akt/184411?leiaKehtiv</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses. <ref name="J2017"></ref>

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü. <ref name="J2017"></ref> Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud. <ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu. <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716</ref> Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²). Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137). <ref name="J2017"></ref> Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%). 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni. <ref name="J2017"></ref>

==Kokkuvõte==

==Viited==

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T17:23:15Z

Mkangur: /* Arvutikriminalistika minevik, olevik ja tulevik */

[[Category:ITSPEA 2016 kaugõpe]]
=Arvutikriminalistika=
Tänapäeval on raske ette kujutada kuritegu, millel poleks mõnda digitaalset mõõdet. Erinevaid infotehnoloogilisi vahendeid võib leida iga inimese töökohalt, kodust, taskust. Iga arvutis, nutitelefonis või võrgus tehtud liigutus jätab endast maha jälje, olgu see siis arvuti IP-aadressi, võrgus sooritatud infootsingu tulemuse, salvestatud faili või mõne muu esmapilgul silmatorkamatuks jääda võiva märgi näol, mis võib leidmise korral osutuda õlekõrreks kuriteo lahendamisel. Selliste digitaalsete jälgede avastamiseks ja uurimiseks läheb vaja laialdasi teadmisi nii kriminalistikast, erinevatest uurimismeetoditest, kasutatavatest tööriistadest kui ka infotehnoloogiast üldisemalt.

==Arvutikriminalistika minevik, olevik ja tulevik==
Kuigi arvutikriminalistikat peetakse teiste kriminalistikaharudega võrreldes suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuritegu iseenesest sugugi uus, ainult tänapäeva kuuluv nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul see nii ei olnud, arvutite väärkasutuse juhtumeid hakati dokumenteerima kohe arvutite kasutuselevõtmise hetkest alates <ref>Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf</ref>. 1960-ndatel aastatel IT-töötajate ebaeetilist ja seadusevastast arvutikasutamist uurinud Stanfordi uurimisinstituudi teadlane Donn Parker pidi tõdema: „''kui inimesed sisenesid arvutuskeskusesse, siis jätsid nad eetika ukse taha''“ <ref name="Bem">, D., Feld, F., Huebner, E., Bem, O. (2008). Computer Forensics – Past, Present and Future. Journal of Information Science and Technology, JIST 5(3) 2008, lk 43-59. https://pdfs.semanticscholar.org/491f/9bf892071f5fc9773de1c9abc2df691391cd.pdf</ref>.

Arvutikuritegude hüppeline kasv sai alguse 1980-ndatel aastatel ühes personaalarvutite laiema levikuga ning viis selleni, et arvutikuriteod kuulutati eraldiseisvaks kuriteoliigiks. Nagu iga kuritegu, vajas ka arvutikuritegu kohtumenetluse läbiviimiseks usaldusväärset tõendusmaterjali, mis omakorda pani aluse arvutikriminalistika kui iseseisva kriminalistikaharu tekkele. 1990-ndateks aastateks olid kõik tehnoloogiliselt arenenud riigid arvutikuritegevuse olemusest ja võimalikest riskidest teadlikumaks saanud ning arvutikuritegude uurimiseks ja süüdistuste esitamiseks hakati koostama vastavaid protseduurireegleid. Selleks ajaks oli loodud mitmeid arvutikuritegevusele keskenduvaid teaduslikke uurimiskeskusi ning ka tarkvaratootjad hakkasid omalt poolt pakkuma spetsiaalseid tööriistu arvutikuritegude paremaks tuvastamiseks.<ref name="Bem"></ref>

==Arvutikriminalistika metoodikad==

==Andmete peitmine ja otsimine==
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

==Ekspertiis ja kohtupraktika==

===Eesti IT-ekspertiisi praktika===

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

===Eesti kohtupraktika===

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi. Kokku registreeriti 2016. aastal selliseid süütegusid 608. Seejuures üldine kuritegevuse tase langes 11% võrra. <ref name="J2017">Justiitsministeerium (2017) Kuritegevus Eestis 2016. http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf</ref> Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 https://www.riigiteataja.ee/akt/184411?leiaKehtiv</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses. <ref name="J2017"></ref>

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü. <ref name="J2017"></ref> Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud. <ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu. <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716</ref> Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²). Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137). <ref name="J2017"></ref> Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%). 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni. <ref name="J2017"></ref>

==Kokkuvõte==

==Viited==

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T17:21:28Z

Mkangur: /* Arvutikriminalistika minevik, olevik ja tulevik */

[[Category:ITSPEA 2016 kaugõpe]]
=Arvutikriminalistika=
Tänapäeval on raske ette kujutada kuritegu, millel poleks mõnda digitaalset mõõdet. Erinevaid infotehnoloogilisi vahendeid võib leida iga inimese töökohalt, kodust, taskust. Iga arvutis, nutitelefonis või võrgus tehtud liigutus jätab endast maha jälje, olgu see siis arvuti IP-aadressi, võrgus sooritatud infootsingu tulemuse, salvestatud faili või mõne muu esmapilgul silmatorkamatuks jääda võiva märgi näol, mis võib leidmise korral osutuda õlekõrreks kuriteo lahendamisel. Selliste digitaalsete jälgede avastamiseks ja uurimiseks läheb vaja laialdasi teadmisi nii kriminalistikast, erinevatest uurimismeetoditest, kasutatavatest tööriistadest kui ka infotehnoloogiast üldisemalt.

==Arvutikriminalistika minevik, olevik ja tulevik==
Kuigi arvutikriminalistikat peetakse teiste kriminalistikaharudega võrreldes suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuritegu iseenesest sugugi uus, ainult tänapäeva kuuluv nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul see nii ei olnud, arvutite väärkasutuse juhtumeid hakati dokumenteerima kohe arvutite kasutuselevõtmise hetkest alates <ref>Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf</ref>. 1960-ndatel aastatel IT-töötajate ebaeetilist ja seadusevastast arvutikasutamist uurinud Stanfordi uurimisinstituudi teadlane Donn Parker pidi tõdema: „''kui inimesed sisenesid arvutuskeskusesse, siis jätsid nad eetika ukse taha''“ <ref> name="Bem">, D., Feld, F., Huebner, E., Bem, O. (2008). Computer Forensics – Past, Present and Future. Journal of Information Science and Technology, JIST 5(3) 2008, lk 43-59. https://pdfs.semanticscholar.org/491f/9bf892071f5fc9773de1c9abc2df691391cd.pdf</ref>.

Arvutikuritegude hüppeline kasv sai alguse 1980-ndatel aastatel ühes personaalarvutite laiema levikuga ning viis selleni, et arvutikuriteod kuulutati eraldiseisvaks kuriteoliigiks. Nagu iga kuritegu, vajas ka arvutikuritegu kohtumenetluse läbiviimiseks usaldusväärset tõendusmaterjali, mis omakorda pani aluse arvutikriminalistika kui iseseisva kriminalistikaharu tekkele. 1990-ndateks aastateks olid kõik tehnoloogiliselt arenenud riigid arvutikuritegevuse olemusest ja võimalikest riskidest teadlikumaks saanud ning arvutikuritegude uurimiseks ja süüdistuste esitamiseks hakati koostama vastavaid protseduurireegleid. Selleks ajaks oli loodud mitmeid arvutikuritegevusele keskenduvaid teaduslikke uurimiskeskusi ning ka tarkvaratootjad hakkasid omalt poolt pakkuma spetsiaalseid tööriistu arvutikuritegude paremaks tuvastamiseks.<ref name="Bem"></ref>

==Arvutikriminalistika metoodikad==

==Andmete peitmine ja otsimine==
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

==Ekspertiis ja kohtupraktika==

===Eesti IT-ekspertiisi praktika===

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

===Eesti kohtupraktika===

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi. Kokku registreeriti 2016. aastal selliseid süütegusid 608. Seejuures üldine kuritegevuse tase langes 11% võrra. <ref name="J2017">Justiitsministeerium (2017) Kuritegevus Eestis 2016. http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf</ref> Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 https://www.riigiteataja.ee/akt/184411?leiaKehtiv</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses. <ref name="J2017"></ref>

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü. <ref name="J2017"></ref> Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud. <ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu. <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716</ref> Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²). Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137). <ref name="J2017"></ref> Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%). 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni. <ref name="J2017"></ref>

==Kokkuvõte==

==Viited==

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T17:13:25Z

Mkangur: /* Arvutikriminalistika minevik, olevik ja tulevik */

[[Category:ITSPEA 2016 kaugõpe]]
=Arvutikriminalistika=
Tänapäeval on raske ette kujutada kuritegu, millel poleks mõnda digitaalset mõõdet. Erinevaid infotehnoloogilisi vahendeid võib leida iga inimese töökohalt, kodust, taskust. Iga arvutis, nutitelefonis või võrgus tehtud liigutus jätab endast maha jälje, olgu see siis arvuti IP-aadressi, võrgus sooritatud infootsingu tulemuse, salvestatud faili või mõne muu esmapilgul silmatorkamatuks jääda võiva märgi näol, mis võib leidmise korral osutuda õlekõrreks kuriteo lahendamisel. Selliste digitaalsete jälgede avastamiseks ja uurimiseks läheb vaja laialdasi teadmisi nii kriminalistikast, erinevatest uurimismeetoditest, kasutatavatest tööriistadest kui ka infotehnoloogiast üldisemalt.

==Arvutikriminalistika minevik, olevik ja tulevik==
Kuigi arvutikriminalistikat peetakse teiste kriminalistikaharudega võrreldes suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuritegu iseenesest sugugi uus, ainult tänapäeva kuuluv nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul see nii ei olnud, arvutite väärkasutuse juhtumeid hakati dokumenteerima kohe arvutite kasutuselevõtmise hetkest alates <ref>name=Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf</ref>. 1960-ndatel aastatel IT-töötajate ebaeetilist ja seadusevastast arvutikasutamist uurinud Stanfordi uurimisinstituudi teadlane Donn Parker pidi tõdema: „''kui inimesed sisenesid arvutuskeskusesse, siis jätsid nad eetika ukse taha''“ <ref>name="Bem", D., Feld, F., Huebner, E., Bem, O. (2008). Computer Forensics – Past, Present and Future. Journal of Information Science and Technology, JIST 5(3) 2008, lk 43-59. https://pdfs.semanticscholar.org/491f/9bf892071f5fc9773de1c9abc2df691391cd.pdf</ref>.

Arvutikuritegude hüppeline kasv sai alguse 1980-ndatel aastatel ühes personaalarvutite laiema levikuga ning viis selleni, et arvutikuriteod kuulutati eraldiseisvaks kuriteoliigiks. Nagu iga kuritegu, vajas ka arvutikuritegu kohtumenetluse läbiviimiseks usaldusväärset tõendusmaterjali, mis omakorda pani aluse arvutikriminalistika kui iseseisva kriminalistikaharu tekkele. 1990-ndateks aastateks olid kõik tehnoloogiliselt arenenud riigid arvutikuritegevuse olemusest ja võimalikest riskidest teadlikumaks saanud ning arvutikuritegude uurimiseks ja süüdistuste esitamiseks hakati koostama vastavaid protseduurireegleid. Selleks ajaks oli loodud mitmeid arvutikuritegevusele keskenduvaid teaduslikke uurimiskeskusi ning ka tarkvaratootjad hakkasid omalt poolt pakkuma spetsiaalseid tööriistu arvutikuritegude paremaks tuvastamiseks.<ref name="Bem"></ref>

==Arvutikriminalistika metoodikad==

==Andmete peitmine ja otsimine==
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

==Ekspertiis ja kohtupraktika==

===Eesti IT-ekspertiisi praktika===

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

===Eesti kohtupraktika===

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi. Kokku registreeriti 2016. aastal selliseid süütegusid 608. Seejuures üldine kuritegevuse tase langes 11% võrra. <ref name="J2017">Justiitsministeerium (2017) Kuritegevus Eestis 2016. http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf</ref> Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 https://www.riigiteataja.ee/akt/184411?leiaKehtiv</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses. <ref name="J2017"></ref>

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü. <ref name="J2017"></ref> Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud. <ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu. <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716</ref> Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²). Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137). <ref name="J2017"></ref> Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%). 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni. <ref name="J2017"></ref>

==Kokkuvõte==

==Viited==

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T17:08:25Z

Mkangur: /* Arvutikriminalistika minevik, olevik ja tulevik */

[[Category:ITSPEA 2016 kaugõpe]]
=Arvutikriminalistika=
Tänapäeval on raske ette kujutada kuritegu, millel poleks mõnda digitaalset mõõdet. Erinevaid infotehnoloogilisi vahendeid võib leida iga inimese töökohalt, kodust, taskust. Iga arvutis, nutitelefonis või võrgus tehtud liigutus jätab endast maha jälje, olgu see siis arvuti IP-aadressi, võrgus sooritatud infootsingu tulemuse, salvestatud faili või mõne muu esmapilgul silmatorkamatuks jääda võiva märgi näol, mis võib leidmise korral osutuda õlekõrreks kuriteo lahendamisel. Selliste digitaalsete jälgede avastamiseks ja uurimiseks läheb vaja laialdasi teadmisi nii kriminalistikast, erinevatest uurimismeetoditest, kasutatavatest tööriistadest kui ka infotehnoloogiast üldisemalt.

==Arvutikriminalistika minevik, olevik ja tulevik==
Kuigi arvutikriminalistikat peetakse teiste kriminalistikaharudega võrreldes suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuritegu iseenesest sugugi uus, ainult tänapäeva kuuluv nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul see nii ei olnud, arvutite väärkasutuse juhtumeid hakati dokumenteerima kohe arvutite kasutuselevõtmise hetkest alates <ref>name=Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf</ref>. 1960-ndatel aastatel IT-töötajate ebaeetilist ja seadusevastast arvutikasutamist uurinud Stanfordi uurimisinstituudi teadlane Donn Parker pidi tõdema: „''kui inimesed sisenesid arvutuskeskusesse, siis jätsid nad eetika ukse taha''“ <ref>name=Bem, D., Feld, F., Huebner, E., Bem, O. (2008). Computer Forensics – Past, Present and Future. Journal of Information Science and Technology, JIST 5(3) 2008, lk 43-59. https://pdfs.semanticscholar.org/491f/9bf892071f5fc9773de1c9abc2df691391cd.pdf</ref>.

Arvutikuritegude hüppeline kasv sai alguse 1980-ndatel aastatel ühes personaalarvutite laiema levikuga ning viis selleni, et arvutikuriteod kuulutati eraldiseisvaks kuriteoliigiks. Nagu iga kuritegu, vajas ka arvutikuritegu kohtumenetluse läbiviimiseks usaldusväärset tõendusmaterjali, mis omakorda pani aluse arvutikriminalistika kui iseseisva kriminalistikaharu tekkele. 1990-ndateks aastateks olid kõik tehnoloogiliselt arenenud riigid arvutikuritegevuse olemusest ja võimalikest riskidest teadlikumaks saanud ning arvutikuritegude uurimiseks ja süüdistuste esitamiseks hakati koostama vastavaid protseduurireegleid. Selleks ajaks oli loodud mitmeid arvutikuritegevusele keskenduvaid teaduslikke uurimiskeskusi ning ka tarkvaratootjad hakkasid omalt poolt pakkuma spetsiaalseid tööriistu arvutikuritegude paremaks tuvastamiseks.<name=Bem/>

==Arvutikriminalistika metoodikad==

==Andmete peitmine ja otsimine==
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

==Ekspertiis ja kohtupraktika==

===Eesti IT-ekspertiisi praktika===

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

===Eesti kohtupraktika===

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi. Kokku registreeriti 2016. aastal selliseid süütegusid 608. Seejuures üldine kuritegevuse tase langes 11% võrra. <ref name="J2017">Justiitsministeerium (2017) Kuritegevus Eestis 2016. http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf</ref> Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 https://www.riigiteataja.ee/akt/184411?leiaKehtiv</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses. <ref name="J2017"></ref>

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü. <ref name="J2017"></ref> Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud. <ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu. <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716</ref> Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²). Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137). <ref name="J2017"></ref> Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%). 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni. <ref name="J2017"></ref>

==Kokkuvõte==

==Viited==

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T16:58:43Z

Mkangur: Undo revision 122327 by Mkangur (talk)

[[Category:ITSPEA 2016 kaugõpe]]
=Arvutikriminalistika=
Tänapäeval on raske ette kujutada kuritegu, millel poleks mõnda digitaalset mõõdet. Erinevaid infotehnoloogilisi vahendeid võib leida iga inimese töökohalt, kodust, taskust. Iga arvutis, nutitelefonis või võrgus tehtud liigutus jätab endast maha jälje, olgu see siis arvuti IP-aadressi, võrgus sooritatud infootsingu tulemuse, salvestatud faili või mõne muu esmapilgul silmatorkamatuks jääda võiva märgi näol, mis võib leidmise korral osutuda õlekõrreks kuriteo lahendamisel. Selliste digitaalsete jälgede avastamiseks ja uurimiseks läheb vaja laialdasi teadmisi nii kriminalistikast, erinevatest uurimismeetoditest, kasutatavatest tööriistadest kui ka infotehnoloogiast üldisemalt.

==Arvutikriminalistika minevik, olevik ja tulevik==
Kuigi arvutikriminalistikat peetakse teiste kriminalistikaharudega võrreldes suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuritegu iseenesest sugugi uus, ainult tänapäeva kuuluv nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul see nii ei olnud, arvutite väärkasutuse juhtumeid hakati dokumenteerima kohe arvutite kasutuselevõtmise hetkest alates <ref>Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf</ref>. 1960-ndatel aastatel IT-töötajate ebaeetilist ja seadusevastast arvutikasutamist uurinud Stanfordi uurimisinstituudi teadlane Donn Parker pidi tõdema: „''kui inimesed sisenesid arvutuskeskusesse, siis jätsid nad eetika ukse taha''“ <ref>Bem, D., Feld, F., Huebner, E., Bem, O. (2008). Computer Forensics – Past, Present and Future. Journal of Information Science and Technology, JIST 5(3) 2008, lk 43-59. https://pdfs.semanticscholar.org/491f/9bf892071f5fc9773de1c9abc2df691391cd.pdf</ref>.

Arvutikuritegude hüppeline kasv sai alguse 1980-ndatel aastatel ühes personaalarvutite laiema levikuga ning viis selleni, et arvutikuriteod kuulutati eraldiseisvaks kuriteoliigiks. Nagu iga kuritegu, vajas ka arvutikuritegu kohtumenetluse läbiviimiseks usaldusväärset tõendusmaterjali, mis omakorda pani aluse arvutikriminalistika kui iseseisva kriminalistikaharu tekkele. 1990-ndateks aastateks olid kõik tehnoloogiliselt arenenud riigid arvutikuritegevuse olemusest ja võimalikest riskidest teadlikumaks saanud ning arvutikuritegude uurimiseks ja süüdistuste esitamiseks hakati koostama vastavaid protseduurireegleid. Selleks ajaks oli loodud mitmeid arvutikuritegevusele keskenduvaid teaduslikke uurimiskeskusi ning ka tarkvaratootjad hakkasid omalt poolt pakkuma spetsiaalseid tööriistu arvutikuritegude paremaks tuvastamiseks.<ref>Bem, D., Feld, F., Huebner, E., Bem, O. (2008).</ref>

==Arvutikriminalistika metoodikad==

==Andmete peitmine ja otsimine==
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

==Ekspertiis ja kohtupraktika==

===Eesti IT-ekspertiisi praktika===

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

===Eesti kohtupraktika===

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi. Kokku registreeriti 2016. aastal selliseid süütegusid 608. Seejuures üldine kuritegevuse tase langes 11% võrra. <ref name="J2017">Justiitsministeerium (2017) Kuritegevus Eestis 2016. http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf</ref> Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 https://www.riigiteataja.ee/akt/184411?leiaKehtiv</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses. <ref name="J2017"></ref>

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü. <ref name="J2017"></ref> Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud. <ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu. <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716</ref> Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²). Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137). <ref name="J2017"></ref> Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%). 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni. <ref name="J2017"></ref>

==Kokkuvõte==

==Viited==

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T16:58:07Z

Mkangur: /* Arvutikriminalistika minevik, olevik ja tulevik */

[[Category:ITSPEA 2016 kaugõpe]]
=Arvutikriminalistika=
Tänapäeval on raske ette kujutada kuritegu, millel poleks mõnda digitaalset mõõdet. Erinevaid infotehnoloogilisi vahendeid võib leida iga inimese töökohalt, kodust, taskust. Iga arvutis, nutitelefonis või võrgus tehtud liigutus jätab endast maha jälje, olgu see siis arvuti IP-aadressi, võrgus sooritatud infootsingu tulemuse, salvestatud faili või mõne muu esmapilgul silmatorkamatuks jääda võiva märgi näol, mis võib leidmise korral osutuda õlekõrreks kuriteo lahendamisel. Selliste digitaalsete jälgede avastamiseks ja uurimiseks läheb vaja laialdasi teadmisi nii kriminalistikast, erinevatest uurimismeetoditest, kasutatavatest tööriistadest kui ka infotehnoloogiast üldisemalt.

==Arvutikriminalistika minevik, olevik ja tulevik==
Kuigi arvutikriminalistikat peetakse teiste kriminalistikaharudega võrreldes suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuritegu iseenesest sugugi uus, ainult tänapäeva kuuluv nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul see nii ei olnud, arvutite väärkasutuse juhtumeid hakati dokumenteerima kohe arvutite kasutuselevõtmise hetkest alates <ref>Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf</ref>. 1960-ndatel aastatel IT-töötajate ebaeetilist ja seadusevastast arvutikasutamist uurinud Stanfordi uurimisinstituudi teadlane Donn Parker pidi tõdema: „''kui inimesed sisenesid arvutuskeskusesse, siis jätsid nad eetika ukse taha''“ <ref>Bem, D., Feld, F., Huebner, E., Bem, O. (2008). Computer Forensics – Past, Present and Future. Journal of Information Science and Technology, JIST 5(3) 2008, lk 43-59. https://pdfs.semanticscholar.org/491f/9bf892071f5fc9773de1c9abc2df691391cd.pdf</ref>.

Arvutikuritegude hüppeline kasv sai alguse 1980-ndatel aastatel ühes personaalarvutite laiema levikuga ning viis selleni, et arvutikuriteod kuulutati eraldiseisvaks kuriteoliigiks. Nagu iga kuritegu, vajas ka arvutikuritegu kohtumenetluse läbiviimiseks usaldusväärset tõendusmaterjali, mis omakorda pani aluse arvutikriminalistika kui iseseisva kriminalistikaharu tekkele. 1990-ndateks aastateks olid kõik tehnoloogiliselt arenenud riigid arvutikuritegevuse olemusest ja võimalikest riskidest teadlikumaks saanud ning arvutikuritegude uurimiseks ja süüdistuste esitamiseks hakati koostama vastavaid protseduurireegleid. Selleks ajaks oli loodud mitmeid arvutikuritegevusele keskenduvaid teaduslikke uurimiskeskusi ning ka tarkvaratootjad hakkasid omalt poolt pakkuma spetsiaalseid tööriistu arvutikuritegude paremaks tuvastamiseks.<ref>Bem</>

==Arvutikriminalistika metoodikad==

==Andmete peitmine ja otsimine==
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

==Ekspertiis ja kohtupraktika==

===Eesti IT-ekspertiisi praktika===

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

===Eesti kohtupraktika===

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi. Kokku registreeriti 2016. aastal selliseid süütegusid 608. Seejuures üldine kuritegevuse tase langes 11% võrra. <ref name="J2017">Justiitsministeerium (2017) Kuritegevus Eestis 2016. http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf</ref> Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 https://www.riigiteataja.ee/akt/184411?leiaKehtiv</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses. <ref name="J2017"></ref>

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü. <ref name="J2017"></ref> Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud. <ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu. <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716</ref> Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²). Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137). <ref name="J2017"></ref> Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%). 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni. <ref name="J2017"></ref>

==Kokkuvõte==

==Viited==

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T16:55:52Z

Mkangur: /* Arvutikriminalistika minevik, olevik ja tulevik */

[[Category:ITSPEA 2016 kaugõpe]]
=Arvutikriminalistika=
Tänapäeval on raske ette kujutada kuritegu, millel poleks mõnda digitaalset mõõdet. Erinevaid infotehnoloogilisi vahendeid võib leida iga inimese töökohalt, kodust, taskust. Iga arvutis, nutitelefonis või võrgus tehtud liigutus jätab endast maha jälje, olgu see siis arvuti IP-aadressi, võrgus sooritatud infootsingu tulemuse, salvestatud faili või mõne muu esmapilgul silmatorkamatuks jääda võiva märgi näol, mis võib leidmise korral osutuda õlekõrreks kuriteo lahendamisel. Selliste digitaalsete jälgede avastamiseks ja uurimiseks läheb vaja laialdasi teadmisi nii kriminalistikast, erinevatest uurimismeetoditest, kasutatavatest tööriistadest kui ka infotehnoloogiast üldisemalt.

==Arvutikriminalistika minevik, olevik ja tulevik==
Kuigi arvutikriminalistikat peetakse teiste kriminalistikaharudega võrreldes suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuritegu iseenesest sugugi uus, ainult tänapäeva kuuluv nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul see nii ei olnud, arvutite väärkasutuse juhtumeid hakati dokumenteerima kohe arvutite kasutuselevõtmise hetkest alates <ref>Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf</ref>. 1960-ndatel aastatel IT-töötajate ebaeetilist ja seadusevastast arvutikasutamist uurinud Stanfordi uurimisinstituudi teadlane Donn Parker pidi tõdema: „''kui inimesed sisenesid arvutuskeskusesse, siis jätsid nad eetika ukse taha''“ <ref>Bem, D., Feld, F., Huebner, E., Bem, O. (2008). Computer Forensics – Past, Present and Future. Journal of Information Science and Technology, JIST 5(3) 2008, lk 43-59. https://pdfs.semanticscholar.org/491f/9bf892071f5fc9773de1c9abc2df691391cd.pdf</ref>.

Arvutikuritegude hüppeline kasv sai alguse 1980-ndatel aastatel ühes personaalarvutite laiema levikuga ning viis selleni, et arvutikuriteod kuulutati eraldiseisvaks kuriteoliigiks. Nagu iga kuritegu, vajas ka arvutikuritegu kohtumenetluse läbiviimiseks usaldusväärset tõendusmaterjali, mis omakorda pani aluse arvutikriminalistika kui iseseisva kriminalistikaharu tekkele. 1990-ndateks aastateks olid kõik tehnoloogiliselt arenenud riigid arvutikuritegevuse olemusest ja võimalikest riskidest teadlikumaks saanud ning arvutikuritegude uurimiseks ja süüdistuste esitamiseks hakati koostama vastavaid protseduurireegleid. Selleks ajaks oli loodud mitmeid arvutikuritegevusele keskenduvaid teaduslikke uurimiskeskusi ning ka tarkvaratootjad hakkasid omalt poolt pakkuma spetsiaalseid tööriistu arvutikuritegude paremaks tuvastamiseks.<ref>Bem, D., Feld, F., Huebner, E., Bem, O. (2008).</ref>

==Arvutikriminalistika metoodikad==

==Andmete peitmine ja otsimine==
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

==Ekspertiis ja kohtupraktika==

===Eesti IT-ekspertiisi praktika===

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

===Eesti kohtupraktika===

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi. Kokku registreeriti 2016. aastal selliseid süütegusid 608. Seejuures üldine kuritegevuse tase langes 11% võrra. <ref name="J2017">Justiitsministeerium (2017) Kuritegevus Eestis 2016. http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf</ref> Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 https://www.riigiteataja.ee/akt/184411?leiaKehtiv</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses. <ref name="J2017"></ref>

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü. <ref name="J2017"></ref> Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud. <ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu. <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716</ref> Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²). Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137). <ref name="J2017"></ref> Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%). 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni. <ref name="J2017"></ref>

==Kokkuvõte==

==Viited==

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T16:52:01Z

Mkangur: /* Arvutikriminalistika */

[[Category:ITSPEA 2016 kaugõpe]]
=Arvutikriminalistika=
Tänapäeval on raske ette kujutada kuritegu, millel poleks mõnda digitaalset mõõdet. Erinevaid infotehnoloogilisi vahendeid võib leida iga inimese töökohalt, kodust, taskust. Iga arvutis, nutitelefonis või võrgus tehtud liigutus jätab endast maha jälje, olgu see siis arvuti IP-aadressi, võrgus sooritatud infootsingu tulemuse, salvestatud faili või mõne muu esmapilgul silmatorkamatuks jääda võiva märgi näol, mis võib leidmise korral osutuda õlekõrreks kuriteo lahendamisel. Selliste digitaalsete jälgede avastamiseks ja uurimiseks läheb vaja laialdasi teadmisi nii kriminalistikast, erinevatest uurimismeetoditest, kasutatavatest tööriistadest kui ka infotehnoloogiast üldisemalt.

==Arvutikriminalistika minevik, olevik ja tulevik==
Kuigi arvutikriminalistikat peetakse teiste kriminalistikaharudega võrreldes suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuritegu iseenesest sugugi uus, ainult tänapäeva kuuluv nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul see nii ei olnud, arvutite väärkasutuse juhtumeid hakati dokumenteerima kohe arvutite kasutuselevõtmise hetkest alates <ref>Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf</ref>. 1960-ndatel aastatel IT-töötajate ebaeetilist ja seadusevastast arvutikasutamist uurinud Stanfordi uurimisinstituudi teadlane Donn Parker pidi tõdema: „kui inimesed sisenesid arvutuskeskusesse, siis jätsid nad eetika ukse taha“ <ref>Bem, D., Feld, F., Huebner, E., Bem, O. (2008). Computer Forensics – Past, Present and Future. Journal of Information Science and Technology, JIST 5(3) 2008, lk 43-59. https://pdfs.semanticscholar.org/491f/9bf892071f5fc9773de1c9abc2df691391cd.pdf</ref>.

==Arvutikriminalistika metoodikad==

==Andmete peitmine ja otsimine==
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

==Ekspertiis ja kohtupraktika==

===Eesti IT-ekspertiisi praktika===

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

===Eesti kohtupraktika===

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi. Kokku registreeriti 2016. aastal selliseid süütegusid 608. Seejuures üldine kuritegevuse tase langes 11% võrra. <ref name="J2017">Justiitsministeerium (2017) Kuritegevus Eestis 2016. http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf</ref> Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 https://www.riigiteataja.ee/akt/184411?leiaKehtiv</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses. <ref name="J2017"></ref>

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü. <ref name="J2017"></ref> Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud. <ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu. <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716</ref> Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²). Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137). <ref name="J2017"></ref> Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%). 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni. <ref name="J2017"></ref>

==Kokkuvõte==

==Viited==

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T16:51:42Z

Mkangur: /* Arvutikriminalistika */

[[Category:ITSPEA 2016 kaugõpe]]
=Arvutikriminalistika=
Tänapäeval on raske ette kujutada kuritegu, millel poleks mõnda digitaalset mõõdet. Erinevaid infotehnoloogilisi vahendeid võib leida iga inimese töökohalt, kodust, taskust. Iga arvutis, nutitelefonis või võrgus tehtud liigutus jätab endast maha jälje, olgu see siis arvuti IP-aadressi, võrgus sooritatud infootsingu tulemuse, salvestatud faili või mõne muu esmapilgul silmatorkamatuks jääda võiva märgi näol, mis võib leidmise korral osutuda õlekõrreks kuriteo lahendamisel. Selliste digitaalsete jälgede avastamiseks ja uurimiseks läheb vaja laialdasi teadmisi nii kriminalistikast, erinevatest uurimismeetoditest, kasutatavatest tööriistadest kui ka infotehnoloogiast üldisemalt.

==Arvutikriminalistika minevik, olevik ja tulevik==
Kuigi arvutikriminalistikat peetakse teiste kriminalistikaharudega võrreldes suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuritegu iseenesest sugugi uus, ainult tänapäeva kuuluv nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul see nii ei olnud, arvutite väärkasutuse juhtumeid hakati dokumenteerima kohe arvutite kasutuselevõtmise hetkest alates <ref>Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf</ref>. 1960-ndatel aastatel IT-töötajate ebaeetilist ja seadusevastast arvutikasutamist uurinud Stanfordi uurimisinstituudi teadlane Donn Parker pidi tõdema: „kui inimesed sisenesid arvutuskeskusesse, siis jätsid nad eetika ukse taha“ <ref>Bem, D., Feld, F., Huebner, E., Bem, O. (2008). Computer Forensics – Past, Present and Future. Journal of Information Science and Technology, JIST 5(3) 2008, lk 43-59. https://pdfs.semanticscholar.org/491f/9bf892071f5fc9773de1c9abc2df691391cd.pdf</ref>.

==Arvutikriminalistika metoodikad==

==Andmete peitmine ja otsimine==
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

==Ekspertiis ja kohtupraktika==

===Eesti IT-ekspertiisi praktika===

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

===Eesti kohtupraktika===

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi. Kokku registreeriti 2016. aastal selliseid süütegusid 608. Seejuures üldine kuritegevuse tase langes 11% võrra. <ref name="J2017">Justiitsministeerium (2017) Kuritegevus Eestis 2016. http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf</ref> Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 https://www.riigiteataja.ee/akt/184411?leiaKehtiv</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses. <ref name="J2017"></ref>

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü. <ref name="J2017"></ref> Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud. <ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu. <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716</ref> Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²). Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137). <ref name="J2017"></ref> Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%). 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni. <ref name="J2017"></ref>

==Kokkuvõte==

==Viited==

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T16:51:05Z

Mkangur: /* Arvutikriminalistika */

[[Category:ITSPEA 2016 kaugõpe]]
=Arvutikriminalistika=
Sissejuhatus <ref>Brian Carrier - File System Forensic Analysis</ref>
Tänapäeval on raske ette kujutada kuritegu, millel poleks mõnda digitaalset mõõdet. Erinevaid infotehnoloogilisi vahendeid võib leida iga inimese töökohalt, kodust, taskust. Iga arvutis, nutitelefonis või võrgus tehtud liigutus jätab endast maha jälje, olgu see siis arvuti IP-aadressi, võrgus sooritatud infootsingu tulemuse, salvestatud faili või mõne muu esmapilgul silmatorkamatuks jääda võiva märgi näol, mis võib leidmise korral osutuda õlekõrreks kuriteo lahendamisel. Selliste digitaalsete jälgede avastamiseks ja uurimiseks läheb vaja laialdasi teadmisi nii kriminalistikast, erinevatest uurimismeetoditest, kasutatavatest tööriistadest kui ka infotehnoloogiast üldisemalt.

==Arvutikriminalistika minevik, olevik ja tulevik==
Kuigi arvutikriminalistikat peetakse teiste kriminalistikaharudega võrreldes suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuritegu iseenesest sugugi uus, ainult tänapäeva kuuluv nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul see nii ei olnud, arvutite väärkasutuse juhtumeid hakati dokumenteerima kohe arvutite kasutuselevõtmise hetkest alates <ref>Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf</ref>. 1960-ndatel aastatel IT-töötajate ebaeetilist ja seadusevastast arvutikasutamist uurinud Stanfordi uurimisinstituudi teadlane Donn Parker pidi tõdema: „kui inimesed sisenesid arvutuskeskusesse, siis jätsid nad eetika ukse taha“ <ref>Bem, D., Feld, F., Huebner, E., Bem, O. (2008). Computer Forensics – Past, Present and Future. Journal of Information Science and Technology, JIST 5(3) 2008, lk 43-59. https://pdfs.semanticscholar.org/491f/9bf892071f5fc9773de1c9abc2df691391cd.pdf</ref>.

==Arvutikriminalistika metoodikad==

==Andmete peitmine ja otsimine==
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

==Ekspertiis ja kohtupraktika==

===Eesti IT-ekspertiisi praktika===

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

===Eesti kohtupraktika===

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi. Kokku registreeriti 2016. aastal selliseid süütegusid 608. Seejuures üldine kuritegevuse tase langes 11% võrra. <ref name="J2017">Justiitsministeerium (2017) Kuritegevus Eestis 2016. http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf</ref> Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 https://www.riigiteataja.ee/akt/184411?leiaKehtiv</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses. <ref name="J2017"></ref>

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü. <ref name="J2017"></ref> Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud. <ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu. <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716</ref> Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²). Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137). <ref name="J2017"></ref> Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%). 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni. <ref name="J2017"></ref>

==Kokkuvõte==

==Viited==

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T16:50:22Z

Mkangur: Undo revision 122321 by Mkangur (talk)

[[Category:ITSPEA 2016 kaugõpe]]
=Arvutikriminalistika=
Sissejuhatus <ref>Brian Carrier - File System Forensic Analysis</ref>

==Arvutikriminalistika minevik, olevik ja tulevik==
Kuigi arvutikriminalistikat peetakse teiste kriminalistikaharudega võrreldes suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuritegu iseenesest sugugi uus, ainult tänapäeva kuuluv nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul see nii ei olnud, arvutite väärkasutuse juhtumeid hakati dokumenteerima kohe arvutite kasutuselevõtmise hetkest alates <ref>Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf</ref>. 1960-ndatel aastatel IT-töötajate ebaeetilist ja seadusevastast arvutikasutamist uurinud Stanfordi uurimisinstituudi teadlane Donn Parker pidi tõdema: „kui inimesed sisenesid arvutuskeskusesse, siis jätsid nad eetika ukse taha“ <ref>Bem, D., Feld, F., Huebner, E., Bem, O. (2008). Computer Forensics – Past, Present and Future. Journal of Information Science and Technology, JIST 5(3) 2008, lk 43-59. https://pdfs.semanticscholar.org/491f/9bf892071f5fc9773de1c9abc2df691391cd.pdf</ref>.

==Arvutikriminalistika metoodikad==

==Andmete peitmine ja otsimine==
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

==Ekspertiis ja kohtupraktika==

===Eesti IT-ekspertiisi praktika===

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

===Eesti kohtupraktika===

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi. Kokku registreeriti 2016. aastal selliseid süütegusid 608. Seejuures üldine kuritegevuse tase langes 11% võrra. <ref name="J2017">Justiitsministeerium (2017) Kuritegevus Eestis 2016. http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf</ref> Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 https://www.riigiteataja.ee/akt/184411?leiaKehtiv</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses. <ref name="J2017"></ref>

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü. <ref name="J2017"></ref> Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud. <ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu. <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716</ref> Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²). Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137). <ref name="J2017"></ref> Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%). 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni. <ref name="J2017"></ref>

==Kokkuvõte==

==Viited==

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T16:47:58Z

Mkangur: /* Arvutikriminalistika */

[[Category:ITSPEA 2016 kaugõpe]]
=Arvutikriminalistika=Tänapäeval on raske ette kujutada kuritegu, millel poleks mõnda digitaalset mõõdet. Erinevaid infotehnoloogilisi vahendeid võib leida iga inimese töökohalt, kodust, taskust. Iga arvutis, nutitelefonis või võrgus tehtud liigutus jätab endast maha jälje, olgu see siis arvuti IP-aadressi, võrgus sooritatud infootsingu tulemuse, salvestatud faili või mõne muu esmapilgul silmatorkamatuks jääda võiva märgi näol, mis võib leidmise korral osutuda õlekõrreks kuriteo lahendamisel. Selliste digitaalsete jälgede avastamiseks ja uurimiseks läheb vaja laialdasi teadmisi nii kriminalistikast, erinevatest uurimismeetoditest, kasutatavatest tööriistadest kui ka infotehnoloogiast üldisemalt.

==Arvutikriminalistika minevik, olevik ja tulevik==
Kuigi arvutikriminalistikat peetakse teiste kriminalistikaharudega võrreldes suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuritegu iseenesest sugugi uus, ainult tänapäeva kuuluv nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul see nii ei olnud, arvutite väärkasutuse juhtumeid hakati dokumenteerima kohe arvutite kasutuselevõtmise hetkest alates <ref>Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf</ref>. 1960-ndatel aastatel IT-töötajate ebaeetilist ja seadusevastast arvutikasutamist uurinud Stanfordi uurimisinstituudi teadlane Donn Parker pidi tõdema: „kui inimesed sisenesid arvutuskeskusesse, siis jätsid nad eetika ukse taha“ <ref>Bem, D., Feld, F., Huebner, E., Bem, O. (2008). Computer Forensics – Past, Present and Future. Journal of Information Science and Technology, JIST 5(3) 2008, lk 43-59. https://pdfs.semanticscholar.org/491f/9bf892071f5fc9773de1c9abc2df691391cd.pdf</ref>.

==Arvutikriminalistika metoodikad==

==Andmete peitmine ja otsimine==
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

==Ekspertiis ja kohtupraktika==

===Eesti IT-ekspertiisi praktika===

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

===Eesti kohtupraktika===

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi. Kokku registreeriti 2016. aastal selliseid süütegusid 608. Seejuures üldine kuritegevuse tase langes 11% võrra. <ref name="J2017">Justiitsministeerium (2017) Kuritegevus Eestis 2016. http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf</ref> Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 https://www.riigiteataja.ee/akt/184411?leiaKehtiv</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses. <ref name="J2017"></ref>

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü. <ref name="J2017"></ref> Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud. <ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu. <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716</ref> Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²). Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137). <ref name="J2017"></ref> Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%). 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni. <ref name="J2017"></ref>

==Kokkuvõte==

==Viited==

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T16:37:22Z

Mkangur: /* Arvutikriminalistika minevik, olevik ja tulevik */

[[Category:ITSPEA 2016 kaugõpe]]
=Arvutikriminalistika=
Sissejuhatus <ref>Brian Carrier - File System Forensic Analysis</ref>

==Arvutikriminalistika minevik, olevik ja tulevik==
Kuigi arvutikriminalistikat peetakse teiste kriminalistikaharudega võrreldes suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuritegu iseenesest sugugi uus, ainult tänapäeva kuuluv nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul see nii ei olnud, arvutite väärkasutuse juhtumeid hakati dokumenteerima kohe arvutite kasutuselevõtmise hetkest alates <ref>Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf</ref>. 1960-ndatel aastatel IT-töötajate ebaeetilist ja seadusevastast arvutikasutamist uurinud Stanfordi uurimisinstituudi teadlane Donn Parker pidi tõdema: „kui inimesed sisenesid arvutuskeskusesse, siis jätsid nad eetika ukse taha“ <ref>Bem, D., Feld, F., Huebner, E., Bem, O. (2008). Computer Forensics – Past, Present and Future. Journal of Information Science and Technology, JIST 5(3) 2008, lk 43-59. https://pdfs.semanticscholar.org/491f/9bf892071f5fc9773de1c9abc2df691391cd.pdf</ref>.

==Arvutikriminalistika metoodikad==

==Andmete peitmine ja otsimine==
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

==Ekspertiis ja kohtupraktika==

===Eesti IT-ekspertiisi praktika===

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. URL http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

===Eesti kohtupraktika===

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi. Kokku registreeriti 2016. aastal selliseid süütegusid 608. Seejuures üldine kuritegevuse tase langes 11% võrra. <ref name="J2017">Justiitsministeerium (2017) Kuritegevus Eestis 2016. URL http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf</ref> Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 URL https://www.riigiteataja.ee/akt/184411?leiaKehtiv</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses. <ref name="J2017"></ref>

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü. <ref name="J2017"></ref> Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud. <ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu. <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716</ref> Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²). Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137). <ref name="J2017"></ref> Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. URL http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%). 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni. <ref name="J2017"></ref>

==Kokkuvõte==

==Viited==

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T16:18:04Z

Mkangur: /* Arvutikriminalistika minevik, olevik ja tulevik */

[[Category:ITSPEA 2016 kaugõpe]]
=Arvutikriminalistika=
Sissejuhatus <ref>Brian Carrier - File System Forensic Analysis</ref>

==Arvutikriminalistika minevik, olevik ja tulevik==
Kuigi arvutikriminalistikat peetakse teiste kriminalistikaharudega võrreldes suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuritegu iseenesest sugugi uus, ainult tänapäeva kuuluv nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul see nii ei olnud, arvutite väärkasutuse juhtumeid hakati dokumenteerima kohe arvutite kasutuselevõtmise hetkest alates <ref>Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf</ref>.

==Arvutikriminalistika metoodikad==

==Andmete peitmine ja otsimine==
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

==Ekspertiis ja kohtupraktika==

===Eesti IT-ekspertiisi praktika===

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. URL http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf (09.05.2017)</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

===Eesti kohtupraktika===

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi <ref name="J2017">Justiitsministeerium (2017). Kuritegevus Eestis 2016. URL http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf (09.05.2017)</ref>. Kokku registreeriti 2016. aastal selliseid süütegusid 608 <ref name="J2017"></ref>. Seejuures üldine kuritegevuse tase langes 11% võrra <ref name="J2017"></ref>. Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 URL https://www.riigiteataja.ee/akt/184411?leiaKehtiv (09.05.2017)</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal <ref name="J2017"></ref>. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses <ref name="J2017"></ref>.

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%<ref name="J2017"></ref>. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus<ref name="J2017"></ref>. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü<ref name="J2017"></ref>. Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud <ref name="J2017"></ref>. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet<ref name="J2017"></ref>. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud<ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716 (11.05.2017)</ref>. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises <ref name="MPIR"></ref>. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu <ref name="MPIR"></ref>. Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²) <ref name="J2017"></ref>. Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137) <ref name="J2017"></ref>. Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. URL http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid (11.05.2017)</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu <ref name="J2017"></ref>. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%) <ref name="J2017"></ref>. 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93 <ref name="J2017"></ref>. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni <ref name="J2017"></ref>.

==Kokkuvõte==

==Viited==

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T16:04:47Z

Mkangur: /* Arvutikriminalistika minevik, olevik ja tulevik */

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T15:59:31Z

Mkangur: /* Arvutikriminalistika areng, ajalugu, terminoloogia */

[[Category:ITSPEA 2016 kaugõpe]]
=Arvutikriminalistika=
Sissejuhatus <ref>Brian Carrier - File System Forensic Analysis</ref>

==Arvutikriminalistika minevik, olevik ja tulevik==

==Arvutikriminalistika metoodikad==

==Andmete peitmine ja otsimine==
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

==Ekspertiis ja kohtupraktika==

==Kokkuvõte==

==Viited==

User:Mkangur

2014-12-19T14:58:29Z

Mkangur: /* Erialatutvustuse aine arvestustöö */

[[Category:Erialatutvustus 2014 (Päevaõpe)]]
=Erialatutvustuse aine arvestustöö=
Autor: M. Kangur

Esitamise kuupäev: 23. oktoober 2014

==Essee==
Õpingud Eesti Infotehnoloogia Kolledžis algavad kõikidele esmakursuslastele sõltumata valitud õppekavast sissejuhatava ainega Õpingukorraldus ja erialatutvustus <ref>[https://itcollege.ois.ee/subject/view?subject_id=173 Õppeaine Õpingukorraldus ja erialatutvustus aineprogramm]</ref>. Aine eesmärgiks on tutvustada koolis kehtivaid õppekorralduse reegleid ja utsitada värskeid tudengeid endale õppetöös eesmärke seadma. Kursus koosneb peaasjalikult kohtumistest erinevate esinejatega, kes kõik tegutsedes spetsialistidena väga erinevates infotehnoloogia valdkondades, peaksid oma kogemustele toetudes ja tähelepanekuid jagades avardama algajate infotehnoloogia tudengite maailmapilti, motiveerima neid õpingutes ning andma selgema ettekujutuse tulevasest tööst.

Ootasin selle õppeaine algust põnevusega, sest tegemist oli meie kõige esimese kursusega selles koolis ning teadupärast on just esmamulje see, mis paneb aluse edasiste õpingute edukusele. Erinevate külalisesinejate kaasamine tõotas heita pilku infotehnoloogia maailma telgitagustesse ning tutvuda valitud eriala selliste tahkudega, millest mul suhteliselt IT-kauge inimesena väga palju ettekujutust ei olnud. Ma ei pidanud pettuma. Tegemist oli äärmiselt huvitava ja kaasahaarava kursusega, mis andis infotehnoloogia valdkonnast laiapõhjalise ülevaate, palju mõtteainet edaspidiseks ning oli abiks eesmärkide seadmisel nii õppimises kui tööalases tegevuses. Järgnevalt minu muljed ja tähelepanekud toimunud kaheksast loengust.

Esimene sissejuhatav õppekorraldust ja sisekorda puudutav loeng <ref>[https://echo360.e-ope.ee/ess/echo/presentation/552b549b-da8b-48c4-9047-cf34af6e6188 Vau, I., Ernits, M., Varendi, M., Tretjakov, J. Sissejuhatus erialasse ja õppekorraldussse. EIK loengusalvestus 27.08.2014]</ref> toimus eelnädalal enne õppetöö ametlikku algust ning selles rääkisid õppeosakonna juhataja Inga Vau koolis kehtivatest õppekorralduse reeglitest, aine vastutav õppejõud Margus Ernits koolis tegutsevatest laboritest ja klubilisest tegevusest, kvaliteedijuht Merle Varendi tagasiside andmise võimalustest ja stipendiumitest ning haridustehnoloog Juri Tretjakov koolis kasutatavatest tehnilistest tugisüsteemidest. Teisisõnu, saime põhjaliku ülevaate kõigest sellest, mida üks rebane peab teadma ja tegema, et tema õpingud IT Kolledžis algaksid ja sujuksid ladusalt. Olles IT Kolledžisse sisseastumiseks juba mitu aastat julgust kogunud, olin küll kooli kodulehel oleva info algusest lõpuni ja risti-põiki läbi lugenud, kuid kuulsin sellegipoolest nii mõndagi uut ja huvitavat. Nii tuli mulle näiteks positiivse üllatusena loengute salvestamise võimalus, mis võimaldab õppetööst osa saada isegi haiguse korral või korduvvaadata mõnd esiti segaseks jäänud loengut.

Teises loengus <ref>[https://echo360.e-ope.ee/ess/echo/presentation/4d88020e-ceeb-46cf-a017-a5497a9644a0 Ernits, M. Õppimine ja motivatsioon. EIK loengusalvestus 04.09.2014]</ref> rääkis Margus Ernits õppimisest, motivatsioonist, akadeemilisest petturlusest ja sellest, millised on tulemused, kui tudeng üritab kergemini läbi saada. Õppimise ja motivatsiooni leidmise või hoidmise teema on ehk aktuaalsem nende jaoks, kes otse gümnaasiumipingist tulnud ega ole veel päris kindlad, mida elult tahta või kes pole veendunud valitud eriala õigsuses. Isiklikult ma ei tundnud, et need teemad otseselt mind oleksid puudutanud. Üliõpilase eetikakoodeksiga olen tutvunud juba varasemate õpingute käigus, viitamise reeglid peaksid ka enam-vähem selged olema ja otse loomulikult polnud mul sellises vanuses IT Kolledžisse õppima asudes enam eesmärgiks lihtsalt lati alt läbi jooksmine. Pole vahet, oled sa admin või arendaja, infotehnoloogia valdkonnas ei ole lihtsalt võimalik ebakompetentsust varjata. Sa kas oskad seda või siis mitte. Seega on mõistlik mitte minna kergema vastupanu teed, vaid teha juba kooliajal endale asjad selgeks ning võtta õpingutest maksimum. Loengus öeldi ka ausalt välja, et suurt osa sellest, mida koolis õpitakse, ei lähe töös mitte kunagi vaja, ent olemasolevate teadmiste külge on alati lihtsam uusi teadmisi siduda ja kõik, mis esmapilgul mittevajalik tundub, võib oluliseks muutuda alles palju hiljem.

Kolmas loeng <ref>[https://echo360.e-ope.ee/ess/echo/presentation/df5a30a1-6110-4c8a-a7fa-f6343c8cae65 Ernits, M. Robootika ja häkkimine. EIK loengusalvestus 11.09.2014]</ref> jätkus Margus Ernitsa eestvedamisel robootika ja häkkimise teemadel. IT Kolledži Robootikaklubist oli meile põgusalt räägitud ka kahes esimeses loengus, seega teadsin juba, et tegemist on ühe toreda klubiga, kus õppimine käib läbi praktilise ja huvitava tegevuse ning kuhu on võimalik tohutult palju oma aega matta. Robootikaklubi, mille juhendajana Margus aastaid on tegutsenud, kõrgest tasemest annavad aimu arvukad esikohad Robotexi võistluselt. Robootikaklubi on üks nendest klubidest, millega oleksin tahtnud ka ise heal meelel liituda, kuid kahjuks ei jää mul muude kohustuste kõrvalt sellega tegelemiseks piisavalt aega. Robotite ehitamine on suuresti meeskonnatöö ja oleks ebaõiglane liituda mõne meeskonnaga ise mitte aktiivselt panustades. Pigem panustan siis Robotexil IT Kolledži Robootikaklubi pöidlahoidjana.

Alates neljandast loengust jõudis esinemisjärjekord külalisesinejate kätte. Hetkel Toggle’s programmeerijana töötav Janika Liiv tegi ettekande teemal Subjektiivselt programmeerimisest, stereotüüpidest ja kogukonnast <ref>[https://echo360.e-ope.ee/ess/echo/presentation/cc18f732-a0f2-4264-a3b8-d1a281583016 Liiv, J. Subjektiivselt programmeerimisest, stereotüüpidest ja kogukonnast. EIK loengusalvestus 18.09.2014]</ref>. Väga paljud programmeerijad on võrrelnud programmeerimist loovkirjutamisega. Ka Janika tõmbas programmeerimisest rääkides paralleele filmistsenaariumi kirjutamisega, kus jutustataval lool peab olema selge mõte, teemaarendus ning lõpptulemus. Seejuures peab kõik toimima intuitiivselt, sest kui oled midagi valmis kirjutanud, siis pead leppima ka sellega, et inimesed kasutavad seda valesti. Kogukondadest rääkides rõhutas Janika nende olulisust. Just kogukond on see, kelle hulka sa kuulud, kelle kaudu leiad uusi kontakte ning kes sind vajadusel aitab. Ega asjata öelda, et suurepärast tarkvara pole võimalik luua ilma suurepärase meeskonnata. Janika ettekanne mõjus inspireerivalt ilmselt enamusele kuulajatest, kellel puudub eelnev programmeerimiskogemus, tema eestvedamisel tegutseva TechSisters’i klubi tegemistel olen aga juba pikalt silma peal hoidnud lootuses nendega kunagi liituda.

Viienda loengu <ref>[https://echo360.e-ope.ee/ess/echo/presentation/ff9f663f-f616-4dea-b9b1-85616acfcccc Fischer, C. IT süsteemide administraatorilt esmakursuslasele. EIK loengusalvestus 25.09.2014]</ref> külalisesinejaks oli Skype süsteemiadministraator Carolyn Fischer, kes oma ametinimetusest tulenevalt tutvustas IT süsteemide administreerimisest. Võrreldes arenduse, analüüsi ja testimisega on administreerimise valdkond minust alati väga kaugele jäänud. Liiga tehniline ja liiga keeruline. Seda huvitavam oli näha ja kuulata naisterahvast, kes selles üdini maskuliinses valdkonnas nii edukalt läbi on löönud. Carolyn tõi välja, et administreerimine on eelkõige süstemaatiline mõtlemine ning tänapäeval pole suurt vahet, kas oled administraator või arendaja, kuna ka administraator peab oskama teataval määral programmeerida ning arendaja süsteeme seadistada. Carolyni jutust jäi kõlama ettevalmistuste tähtsus ning soovitus mitte ühegi asjaga hiljaks jääda. See viimane soovitus oli vähemalt minu jaoks, kes ma alati viimasel minutil ja tihtipeale veel minut-kaks hiljemgi oma töödega ühele poole saan, nagu rusikas silmaauku.

Kuuendas loengus <ref>[https://echo360.e-ope.ee/ess/echo/presentation/75d683be-016f-45e4-916d-d71a8c9c3d43 Karmo, K. Testimine ja tarkvara kvaliteet. EIK loengusalvestus 02.10.2014]</ref> rääkis Kristjan Karmo ASA Quality Service’st testimisest ja tarkvara kvaliteedist. Testija töö seisneb arendaja poolt tehtud vigade otsimises. Mida vähem vigu, seda kvaliteetsem tarkvara. Mida varem viga avastatakse, seda odavam on seda parandada. Mingil arusaamatul põhjusel olin alati arvanud, et just testimine võiks olla see valdkond, milles kunagi IT tööturule sisenen. See tundus olevat selline jõukohane töö, millega iga algaja arendaja peaks suurema vaevata hakkama saama. Minu illusioonid said aga Kristjani poolt armutult purustatud. Selgus, et hea testija eelduseks on eelkõige aastate pikkune arenduskogemus. Testijate töö on IT valdkonnas tihtipeale vähetähtsustatud, aga Kristjan tõi vaid paari näite varal välja, kui oluline on testijate töö tegelikult ja millised võivad olla tagajärjed, kui vigadele läbi sõrmede vaadatakse.

Seitsmenda loengu <ref>[https://echo360.e-ope.ee/ess/echo/presentation/0326c0ae-9a48-4b1f-bbbc-0cfb8b94991c Septer, A. IT tööturust. EIK loengusalvestus 09.10.2014]</ref> viis läbi kahtlemata kursuse kõige karismaatilisem esineja Andres Septer, kes rääkis oma tähelepanekutest Eesti IT tööturul toimuvast. Suhteliselt pessimistlikus ja kohati kritiseerivas toonis ettekanne, mida ilmestasid koomilised näited ja mahlakas sõnavara, mõjus kokkuvõttes pigem positiivsena ja andis hea laengu. Andres võrdles töötamist era- ja avalikus sektoris, väike- ja suurettevõttes ning selgitas, et igal töökohal on omad plussid ja miinused. See, mis sobib ühele, ei pruugi sobida teisele. Kuigi üldjuhul rõhutatakse spetsialiseerumise vajadust, siis Andres juhtis tähelepanu asjaolule, et Eesti tööturu väiksust arvestades on oluline vältida liiga kitsast spetsialiseerumist, mis võib hiljem tekitada raskusi erialase töö leidmisel. Kindlasti on tulevikus töökoha valiku sihte seades kasulik meenutada ettekandes väljatoodud fakte erinevate IT valdkonna asutuste ja töökohtade kohta. Näiteid oli tõesti seinast seina.

Kaheksandas ja ühtlasi kursuse viimases loengus <ref>[https://echo360.e-ope.ee/ess/echo/presentation/791a5ecb-f27c-4401-8565-1dbd16894f27?ec=true Lang, E. Suhtumine õppetöösse ja veebirakenduste turvalisus. EIK loengusalvestus 16.10.2014]</ref> rääkis Elar Lang ettevõttest Clarified Security suhtumisest õppetöösse ja veebirakenduste turvalisusest. Elar rõhutas suhtumise olulisust nii töös kui koolis. Just suhtumine on see, mis määrab sinu oleviku ja tuleviku. Oluline pole mitte see, mida sa praegu oskad, vaid see, mida sa tahad osata, sest kui on olemas tahe õppida ja areneda, siis on kõik saavutatav. Seega on kõik suhtumise küsimus. Ka turvalisus on eelkõige suhtumise küsimus. Privaatsusest on saanud luksuskaup ja ainult sinu enda tegevusest sõltub sinu andmete turvalisus, sest Internet on ühesuunaline tee. Selle loenguga sai kursusele justkui täisring peale tehtud ning väga sobivalt oli Elari ettekande põhirõhk taaskord õppimisel.

Kõige rohkem panigi mind mõtlema viimane loeng ja tegelikult üks pealtnäha tühine infokild. Diplomitöö. Kui oluline on valida teema, mis sind kõnetab ja mida on võimalik veel aastaid hiljemgi oma töös kasutada. Diplomitöö olulisust selle kursuse raames kahjuks ei rõhutatud, kuid minu meelest on väga oluline, et tudeng püüaks juba oma õpingute alguses hakata mõtlema, millist teed ta edaspidi käia soovib ja kuhu välja jõuda tahab. Diplomitöö ei ole lihtsalt tüütu kohustus, mis tuleb lõpetamiseks vajaliku paberi saamiseks ülejala ära teha, vaid õigesti valitud teemast võib alguse saada midagi suurepärast. Lõppude lõpuks on kõik meie peas kinni.

==Õpingukorralduse küsimused==
===Küsimus A===
Kukkusid eksamil läbi. Kaua on võimalik eksamit järele teha? Kellega kokkuleppida, et järeleksamit teha? Kuidas toimub järeleksamile registreerimine? Mis on tähtajad? Palju maksab, kui oled riigi finantseeritaval (RF) õppekohal? Palju maksab, kui oled tasulisel (OF) õppekohal?

'''Vastus'''

Peale eksamil läbi kukkumist võin sooritada korduseksami kahe semestri jooksul pärast aine õpetamissemestri lõppu, kusjuures õppejõul on õigus anda mulle täiendavaid ülesandeid, mille täitmine on korduseksamile lubamise eelduseks. Korduseksamite tähtajad määrab ainet õpetav õppejõud kooskõlas õppeosakonnas koostatud ajakavaga. <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 5.3.6.]</ref>
Korduseksamile registreerimine toimub Õppeinfosüsteemis <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 5.2.8.]</ref> ning registreerumise ja soorituse vahele peab jääma vähemalt 2 tööpäeva <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 5.2.9.]</ref>. Riigi finantseeritaval (RF) õppekohal õppijatele on korduseksamid tasuta. Tasulisel (OF) õppekohal õppijatele on korduseksamid tasulised ning tasu suurus kehtestatakse rektori käskkirjaga <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 5.2.7.]</ref>. 2014/2015 õppeaastal on kordussoorituse tasu 20 eurot <ref>[http://www.itcollege.ee/tudengile/finantsinfo/pangarekvisiidid/ Teenuste tasumäärad 2014/2015 õppeaastal, punkt 5.]</ref>.

===Küsimus 1===
Teisel või kolmandal õppeaastal avastad, et teine õppekava sobib paremini ja sa otsustad õppekava vahetada. Millised on tegevused ja mis ajaks tuleb need teha, et vahetada õppekava?
Kas deklareeritud, kuid tegemata jäänud valikaine tuleb kolledži lõpetamiseks tingimata sooritada? Millega pean arvestama, deklareerides valikaineid üle õppekavas ette nähtud mahu (sh. deklareeritud, kuid sooritamata jäänud valikained)?

'''Vastus'''

Õppekava vahetamise taotlemiseks pean esitama hiljemalt 1 tööpäev enne semestri punase joone päeva EIK õppeosakonda rektori nimele vabas vormis kirjaliku avalduse ja nimekirja õppesooritustest, mille arvestamist uue õppekava osana taotlen <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 7.2.1.]</ref>.
Õpinguaja jooksul pean sooritama kõik minu poolt täidetavas õppekavas olevad kohustuslikud ained ja õppekavas ettenähtud mahus valikaineid. <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 1.3.6.]</ref> EIK lõpetamiseks ja vastava lõpudokumendi saamiseks pean täitma kõik tema õppekava lõpetamistingimused. <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 5.6.1.]</ref>
Seega, kui õppekava lõpetamistingimused on täidetud, siis deklareeritud, kuid tegemata jäänud valikainet sooritama ei pea.

Üliõpilasel, kes lõpetab õpingud nominaalajaga, on õigus avalduse alusel taotleda õppemaksu tagastamist 180 EAP ületavate EAPde eest kuni 2 EAP ulatuses. Avaldus õppemaksu tagastamiseks esitatakse õppeosakonda peale diplomitöö edukat kaitsmist viie tööpäeva jooksul alates kaitsmise tulemuste teatavaks tegemisest.<ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 3.1.8.]</ref>. Deklareerides valikaineid üle õppekavas ette nähtud mahu, esitatakse mulle õppemaksu arve õppekava nominaalmahtu ületavate õpingute eest.

===Ülesanne===
Kui mitme EAP ulatuses tuleb õppekulud osaliselt hüvitada aasta lõpuks, kui esimese semestri lõpuks on olemas 22 EAPd ja teise semestri lõpuks 19 EAPd?

'''Vastus'''

Õppekulude osalise hüvitamise kohustuse <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 1.2.18.]</ref> tekkimise aluseks oleva õppekava täies mahus täitmise määr on vastavalt Eesti Infotehnoloogia Kolledži nõukogu otsusele (protokoll nr 3C-1/13-2, 27.02.2013) 2014/2015 õppeaastal 27 EAP semestris ja õppekulude osalise hüvitamise määr on 50 € 1 EAP kohta. Õppekulude osaline hüvitamine toimub õppekava täies mahus täitmata jäänud semestrile järgneval semestril, täpne maksetähtaeg on määratud esitataval arvel. <ref>[http://www.itcollege.ee/tudengile/finantsinfo/ Finantsinfo]</ref>

Kui esimese semestri lõpuks on olemas 22 EAPd, siis teise semestri alguses esitatakse arve 5 EAP eest summas 250 eurot.
Kui teise semestri lõpuks on olemas 19 EAPd ja kumulatiivselt kokku 41 EAPd, siis aasta lõpuks esitatakse arve 13 EAP eest summas 650 eurot.

=Viited=
<references />

User:Mkangur

2014-10-23T06:58:17Z

Mkangur: /* Essee */

[[Category:Erialatutvustus 2014 (Päevaõpe)]]
=Erialatutvustuse aine arvestustöö=
Autor: Margit Kangur

Esitamise kuupäev: 23. oktoober 2014

==Essee==
Õpingud Eesti Infotehnoloogia Kolledžis algavad kõikidele esmakursuslastele sõltumata valitud õppekavast sissejuhatava ainega Õpingukorraldus ja erialatutvustus <ref>[https://itcollege.ois.ee/subject/view?subject_id=173 Õppeaine Õpingukorraldus ja erialatutvustus aineprogramm]</ref>. Aine eesmärgiks on tutvustada koolis kehtivaid õppekorralduse reegleid ja utsitada värskeid tudengeid endale õppetöös eesmärke seadma. Kursus koosneb peaasjalikult kohtumistest erinevate esinejatega, kes kõik tegutsedes spetsialistidena väga erinevates infotehnoloogia valdkondades, peaksid oma kogemustele toetudes ja tähelepanekuid jagades avardama algajate infotehnoloogia tudengite maailmapilti, motiveerima neid õpingutes ning andma selgema ettekujutuse tulevasest tööst.

Ootasin selle õppeaine algust põnevusega, sest tegemist oli meie kõige esimese kursusega selles koolis ning teadupärast on just esmamulje see, mis paneb aluse edasiste õpingute edukusele. Erinevate külalisesinejate kaasamine tõotas heita pilku infotehnoloogia maailma telgitagustesse ning tutvuda valitud eriala selliste tahkudega, millest mul suhteliselt IT-kauge inimesena väga palju ettekujutust ei olnud. Ma ei pidanud pettuma. Tegemist oli äärmiselt huvitava ja kaasahaarava kursusega, mis andis infotehnoloogia valdkonnast laiapõhjalise ülevaate, palju mõtteainet edaspidiseks ning oli abiks eesmärkide seadmisel nii õppimises kui tööalases tegevuses. Järgnevalt minu muljed ja tähelepanekud toimunud kaheksast loengust.

Esimene sissejuhatav õppekorraldust ja sisekorda puudutav loeng <ref>[https://echo360.e-ope.ee/ess/echo/presentation/552b549b-da8b-48c4-9047-cf34af6e6188 Vau, I., Ernits, M., Varendi, M., Tretjakov, J. Sissejuhatus erialasse ja õppekorraldussse. EIK loengusalvestus 27.08.2014]</ref> toimus eelnädalal enne õppetöö ametlikku algust ning selles rääkisid õppeosakonna juhataja Inga Vau koolis kehtivatest õppekorralduse reeglitest, aine vastutav õppejõud Margus Ernits koolis tegutsevatest laboritest ja klubilisest tegevusest, kvaliteedijuht Merle Varendi tagasiside andmise võimalustest ja stipendiumitest ning haridustehnoloog Juri Tretjakov koolis kasutatavatest tehnilistest tugisüsteemidest. Teisisõnu, saime põhjaliku ülevaate kõigest sellest, mida üks rebane peab teadma ja tegema, et tema õpingud IT Kolledžis algaksid ja sujuksid ladusalt. Olles IT Kolledžisse sisseastumiseks juba mitu aastat julgust kogunud, olin küll kooli kodulehel oleva info algusest lõpuni ja risti-põiki läbi lugenud, kuid kuulsin sellegipoolest nii mõndagi uut ja huvitavat. Nii tuli mulle näiteks positiivse üllatusena loengute salvestamise võimalus, mis võimaldab õppetööst osa saada isegi haiguse korral või korduvvaadata mõnd esiti segaseks jäänud loengut.

Teises loengus <ref>[https://echo360.e-ope.ee/ess/echo/presentation/4d88020e-ceeb-46cf-a017-a5497a9644a0 Ernits, M. Õppimine ja motivatsioon. EIK loengusalvestus 04.09.2014]</ref> rääkis Margus Ernits õppimisest, motivatsioonist, akadeemilisest petturlusest ja sellest, millised on tulemused, kui tudeng üritab kergemini läbi saada. Õppimise ja motivatsiooni leidmise või hoidmise teema on ehk aktuaalsem nende jaoks, kes otse gümnaasiumipingist tulnud ega ole veel päris kindlad, mida elult tahta või kes pole veendunud valitud eriala õigsuses. Isiklikult ma ei tundnud, et need teemad otseselt mind oleksid puudutanud. Üliõpilase eetikakoodeksiga olen tutvunud juba varasemate õpingute käigus, viitamise reeglid peaksid ka enam-vähem selged olema ja otse loomulikult polnud mul sellises vanuses IT Kolledžisse õppima asudes enam eesmärgiks lihtsalt lati alt läbi jooksmine. Pole vahet, oled sa admin või arendaja, infotehnoloogia valdkonnas ei ole lihtsalt võimalik ebakompetentsust varjata. Sa kas oskad seda või siis mitte. Seega on mõistlik mitte minna kergema vastupanu teed, vaid teha juba kooliajal endale asjad selgeks ning võtta õpingutest maksimum. Loengus öeldi ka ausalt välja, et suurt osa sellest, mida koolis õpitakse, ei lähe töös mitte kunagi vaja, ent olemasolevate teadmiste külge on alati lihtsam uusi teadmisi siduda ja kõik, mis esmapilgul mittevajalik tundub, võib oluliseks muutuda alles palju hiljem.

Kolmas loeng <ref>[https://echo360.e-ope.ee/ess/echo/presentation/df5a30a1-6110-4c8a-a7fa-f6343c8cae65 Ernits, M. Robootika ja häkkimine. EIK loengusalvestus 11.09.2014]</ref> jätkus Margus Ernitsa eestvedamisel robootika ja häkkimise teemadel. IT Kolledži Robootikaklubist oli meile põgusalt räägitud ka kahes esimeses loengus, seega teadsin juba, et tegemist on ühe toreda klubiga, kus õppimine käib läbi praktilise ja huvitava tegevuse ning kuhu on võimalik tohutult palju oma aega matta. Robootikaklubi, mille juhendajana Margus aastaid on tegutsenud, kõrgest tasemest annavad aimu arvukad esikohad Robotexi võistluselt. Robootikaklubi on üks nendest klubidest, millega oleksin tahtnud ka ise heal meelel liituda, kuid kahjuks ei jää mul muude kohustuste kõrvalt sellega tegelemiseks piisavalt aega. Robotite ehitamine on suuresti meeskonnatöö ja oleks ebaõiglane liituda mõne meeskonnaga ise mitte aktiivselt panustades. Pigem panustan siis Robotexil IT Kolledži Robootikaklubi pöidlahoidjana.

Alates neljandast loengust jõudis esinemisjärjekord külalisesinejate kätte. Hetkel Toggle’s programmeerijana töötav Janika Liiv tegi ettekande teemal Subjektiivselt programmeerimisest, stereotüüpidest ja kogukonnast <ref>[https://echo360.e-ope.ee/ess/echo/presentation/cc18f732-a0f2-4264-a3b8-d1a281583016 Liiv, J. Subjektiivselt programmeerimisest, stereotüüpidest ja kogukonnast. EIK loengusalvestus 18.09.2014]</ref>. Väga paljud programmeerijad on võrrelnud programmeerimist loovkirjutamisega. Ka Janika tõmbas programmeerimisest rääkides paralleele filmistsenaariumi kirjutamisega, kus jutustataval lool peab olema selge mõte, teemaarendus ning lõpptulemus. Seejuures peab kõik toimima intuitiivselt, sest kui oled midagi valmis kirjutanud, siis pead leppima ka sellega, et inimesed kasutavad seda valesti. Kogukondadest rääkides rõhutas Janika nende olulisust. Just kogukond on see, kelle hulka sa kuulud, kelle kaudu leiad uusi kontakte ning kes sind vajadusel aitab. Ega asjata öelda, et suurepärast tarkvara pole võimalik luua ilma suurepärase meeskonnata. Janika ettekanne mõjus inspireerivalt ilmselt enamusele kuulajatest, kellel puudub eelnev programmeerimiskogemus, tema eestvedamisel tegutseva TechSisters’i klubi tegemistel olen aga juba pikalt silma peal hoidnud lootuses nendega kunagi liituda.

Viienda loengu <ref>[https://echo360.e-ope.ee/ess/echo/presentation/ff9f663f-f616-4dea-b9b1-85616acfcccc Fischer, C. IT süsteemide administraatorilt esmakursuslasele. EIK loengusalvestus 25.09.2014]</ref> külalisesinejaks oli Skype süsteemiadministraator Carolyn Fischer, kes oma ametinimetusest tulenevalt tutvustas IT süsteemide administreerimisest. Võrreldes arenduse, analüüsi ja testimisega on administreerimise valdkond minust alati väga kaugele jäänud. Liiga tehniline ja liiga keeruline. Seda huvitavam oli näha ja kuulata naisterahvast, kes selles üdini maskuliinses valdkonnas nii edukalt läbi on löönud. Carolyn tõi välja, et administreerimine on eelkõige süstemaatiline mõtlemine ning tänapäeval pole suurt vahet, kas oled administraator või arendaja, kuna ka administraator peab oskama teataval määral programmeerida ning arendaja süsteeme seadistada. Carolyni jutust jäi kõlama ettevalmistuste tähtsus ning soovitus mitte ühegi asjaga hiljaks jääda. See viimane soovitus oli vähemalt minu jaoks, kes ma alati viimasel minutil ja tihtipeale veel minut-kaks hiljemgi oma töödega ühele poole saan, nagu rusikas silmaauku.

Kuuendas loengus <ref>[https://echo360.e-ope.ee/ess/echo/presentation/75d683be-016f-45e4-916d-d71a8c9c3d43 Karmo, K. Testimine ja tarkvara kvaliteet. EIK loengusalvestus 02.10.2014]</ref> rääkis Kristjan Karmo ASA Quality Service’st testimisest ja tarkvara kvaliteedist. Testija töö seisneb arendaja poolt tehtud vigade otsimises. Mida vähem vigu, seda kvaliteetsem tarkvara. Mida varem viga avastatakse, seda odavam on seda parandada. Mingil arusaamatul põhjusel olin alati arvanud, et just testimine võiks olla see valdkond, milles kunagi IT tööturule sisenen. See tundus olevat selline jõukohane töö, millega iga algaja arendaja peaks suurema vaevata hakkama saama. Minu illusioonid said aga Kristjani poolt armutult purustatud. Selgus, et hea testija eelduseks on eelkõige aastate pikkune arenduskogemus. Testijate töö on IT valdkonnas tihtipeale vähetähtsustatud, aga Kristjan tõi vaid paari näite varal välja, kui oluline on testijate töö tegelikult ja millised võivad olla tagajärjed, kui vigadele läbi sõrmede vaadatakse.

Seitsmenda loengu <ref>[https://echo360.e-ope.ee/ess/echo/presentation/0326c0ae-9a48-4b1f-bbbc-0cfb8b94991c Septer, A. IT tööturust. EIK loengusalvestus 09.10.2014]</ref> viis läbi kahtlemata kursuse kõige karismaatilisem esineja Andres Septer, kes rääkis oma tähelepanekutest Eesti IT tööturul toimuvast. Suhteliselt pessimistlikus ja kohati kritiseerivas toonis ettekanne, mida ilmestasid koomilised näited ja mahlakas sõnavara, mõjus kokkuvõttes pigem positiivsena ja andis hea laengu. Andres võrdles töötamist era- ja avalikus sektoris, väike- ja suurettevõttes ning selgitas, et igal töökohal on omad plussid ja miinused. See, mis sobib ühele, ei pruugi sobida teisele. Kuigi üldjuhul rõhutatakse spetsialiseerumise vajadust, siis Andres juhtis tähelepanu asjaolule, et Eesti tööturu väiksust arvestades on oluline vältida liiga kitsast spetsialiseerumist, mis võib hiljem tekitada raskusi erialase töö leidmisel. Kindlasti on tulevikus töökoha valiku sihte seades kasulik meenutada ettekandes väljatoodud fakte erinevate IT valdkonna asutuste ja töökohtade kohta. Näiteid oli tõesti seinast seina.

Kaheksandas ja ühtlasi kursuse viimases loengus <ref>[https://echo360.e-ope.ee/ess/echo/presentation/791a5ecb-f27c-4401-8565-1dbd16894f27?ec=true Lang, E. Suhtumine õppetöösse ja veebirakenduste turvalisus. EIK loengusalvestus 16.10.2014]</ref> rääkis Elar Lang ettevõttest Clarified Security suhtumisest õppetöösse ja veebirakenduste turvalisusest. Elar rõhutas suhtumise olulisust nii töös kui koolis. Just suhtumine on see, mis määrab sinu oleviku ja tuleviku. Oluline pole mitte see, mida sa praegu oskad, vaid see, mida sa tahad osata, sest kui on olemas tahe õppida ja areneda, siis on kõik saavutatav. Seega on kõik suhtumise küsimus. Ka turvalisus on eelkõige suhtumise küsimus. Privaatsusest on saanud luksuskaup ja ainult sinu enda tegevusest sõltub sinu andmete turvalisus, sest Internet on ühesuunaline tee. Selle loenguga sai kursusele justkui täisring peale tehtud ning väga sobivalt oli Elari ettekande põhirõhk taaskord õppimisel.

Kõige rohkem panigi mind mõtlema viimane loeng ja tegelikult üks pealtnäha tühine infokild. Diplomitöö. Kui oluline on valida teema, mis sind kõnetab ja mida on võimalik veel aastaid hiljemgi oma töös kasutada. Diplomitöö olulisust selle kursuse raames kahjuks ei rõhutatud, kuid minu meelest on väga oluline, et tudeng püüaks juba oma õpingute alguses hakata mõtlema, millist teed ta edaspidi käia soovib ja kuhu välja jõuda tahab. Diplomitöö ei ole lihtsalt tüütu kohustus, mis tuleb lõpetamiseks vajaliku paberi saamiseks ülejala ära teha, vaid õigesti valitud teemast võib alguse saada midagi suurepärast. Lõppude lõpuks on kõik meie peas kinni.

==Õpingukorralduse küsimused==
===Küsimus A===
Kukkusid eksamil läbi. Kaua on võimalik eksamit järele teha? Kellega kokkuleppida, et järeleksamit teha? Kuidas toimub järeleksamile registreerimine? Mis on tähtajad? Palju maksab, kui oled riigi finantseeritaval (RF) õppekohal? Palju maksab, kui oled tasulisel (OF) õppekohal?

'''Vastus'''

Peale eksamil läbi kukkumist võin sooritada korduseksami kahe semestri jooksul pärast aine õpetamissemestri lõppu, kusjuures õppejõul on õigus anda mulle täiendavaid ülesandeid, mille täitmine on korduseksamile lubamise eelduseks. Korduseksamite tähtajad määrab ainet õpetav õppejõud kooskõlas õppeosakonnas koostatud ajakavaga. <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 5.3.6.]</ref>
Korduseksamile registreerimine toimub Õppeinfosüsteemis <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 5.2.8.]</ref> ning registreerumise ja soorituse vahele peab jääma vähemalt 2 tööpäeva <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 5.2.9.]</ref>. Riigi finantseeritaval (RF) õppekohal õppijatele on korduseksamid tasuta. Tasulisel (OF) õppekohal õppijatele on korduseksamid tasulised ning tasu suurus kehtestatakse rektori käskkirjaga <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 5.2.7.]</ref>. 2014/2015 õppeaastal on kordussoorituse tasu 20 eurot <ref>[http://www.itcollege.ee/tudengile/finantsinfo/pangarekvisiidid/ Teenuste tasumäärad 2014/2015 õppeaastal, punkt 5.]</ref>.

===Küsimus 1===
Teisel või kolmandal õppeaastal avastad, et teine õppekava sobib paremini ja sa otsustad õppekava vahetada. Millised on tegevused ja mis ajaks tuleb need teha, et vahetada õppekava?
Kas deklareeritud, kuid tegemata jäänud valikaine tuleb kolledži lõpetamiseks tingimata sooritada? Millega pean arvestama, deklareerides valikaineid üle õppekavas ette nähtud mahu (sh. deklareeritud, kuid sooritamata jäänud valikained)?

'''Vastus'''

Õppekava vahetamise taotlemiseks pean esitama hiljemalt 1 tööpäev enne semestri punase joone päeva EIK õppeosakonda rektori nimele vabas vormis kirjaliku avalduse ja nimekirja õppesooritustest, mille arvestamist uue õppekava osana taotlen <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 7.2.1.]</ref>.
Õpinguaja jooksul pean sooritama kõik minu poolt täidetavas õppekavas olevad kohustuslikud ained ja õppekavas ettenähtud mahus valikaineid. <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 1.3.6.]</ref> EIK lõpetamiseks ja vastava lõpudokumendi saamiseks pean täitma kõik tema õppekava lõpetamistingimused. <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 5.6.1.]</ref>
Seega, kui õppekava lõpetamistingimused on täidetud, siis deklareeritud, kuid tegemata jäänud valikainet sooritama ei pea.

Üliõpilasel, kes lõpetab õpingud nominaalajaga, on õigus avalduse alusel taotleda õppemaksu tagastamist 180 EAP ületavate EAPde eest kuni 2 EAP ulatuses. Avaldus õppemaksu tagastamiseks esitatakse õppeosakonda peale diplomitöö edukat kaitsmist viie tööpäeva jooksul alates kaitsmise tulemuste teatavaks tegemisest.<ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 3.1.8.]</ref>. Deklareerides valikaineid üle õppekavas ette nähtud mahu, esitatakse mulle õppemaksu arve õppekava nominaalmahtu ületavate õpingute eest.

===Ülesanne===
Kui mitme EAP ulatuses tuleb õppekulud osaliselt hüvitada aasta lõpuks, kui esimese semestri lõpuks on olemas 22 EAPd ja teise semestri lõpuks 19 EAPd?

'''Vastus'''

Õppekulude osalise hüvitamise kohustuse <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 1.2.18.]</ref> tekkimise aluseks oleva õppekava täies mahus täitmise määr on vastavalt Eesti Infotehnoloogia Kolledži nõukogu otsusele (protokoll nr 3C-1/13-2, 27.02.2013) 2014/2015 õppeaastal 27 EAP semestris ja õppekulude osalise hüvitamise määr on 50 € 1 EAP kohta. Õppekulude osaline hüvitamine toimub õppekava täies mahus täitmata jäänud semestrile järgneval semestril, täpne maksetähtaeg on määratud esitataval arvel. <ref>[http://www.itcollege.ee/tudengile/finantsinfo/ Finantsinfo]</ref>

Kui esimese semestri lõpuks on olemas 22 EAPd, siis teise semestri alguses esitatakse arve 5 EAP eest summas 250 eurot.
Kui teise semestri lõpuks on olemas 19 EAPd ja kumulatiivselt kokku 41 EAPd, siis aasta lõpuks esitatakse arve 13 EAP eest summas 650 eurot.

=Viited=
<references />

User:Mkangur

2014-10-23T06:55:09Z

Mkangur: /* Essee */

[[Category:Erialatutvustus 2014 (Päevaõpe)]]
=Erialatutvustuse aine arvestustöö=
Autor: Margit Kangur

Esitamise kuupäev: 23. oktoober 2014

==Essee==
Õpingud Eesti Infotehnoloogia Kolledžis algavad kõikidele esmakursuslastele sõltumata valitud õppekavast sissejuhatava ainega Õpingukorraldus ja erialatutvustus <ref>[https://itcollege.ois.ee/subject/view?subject_id=173 Õppeaine Õpingukorraldus ja erialatutvustus aineprogramm]</ref>. Aine eesmärgiks on tutvustada koolis kehtivaid õppekorralduse reegleid ja utsitada värskeid tudengeid endale õppetöös eesmärke seadma. Kursus koosneb peaasjalikult kohtumistest erinevate esinejatega, kes kõik tegutsedes spetsialistidena väga erinevates infotehnoloogia valdkondades, peaksid oma kogemustele toetudes ja tähelepanekuid jagades avardama algajate infotehnoloogia tudengite maailmapilti, motiveerima neid õpingutes ning andma selgema ettekujutuse tulevasest tööst.

Ootasin selle õppeaine algust põnevusega, sest tegemist oli meie kõige esimese kursusega selles koolis ning teadupärast on just esmamulje see, mis paneb aluse edasiste õpingute edukusele. Erinevate külalisesinejate kaasamine tõotas heita pilku infotehnoloogia maailma telgitagustesse ning tutvuda valitud eriala selliste tahkudega, millest mul suhteliselt IT-kauge inimesena väga palju ettekujutust ei olnud. Ma ei pidanud pettuma. Tegemist oli äärmiselt huvitava ja kaasahaarava kursusega, mis andis infotehnoloogia valdkonnast laiapõhjalise ülevaate, palju mõtteainet edaspidiseks ning oli abiks eesmärkide seadmisel nii õppimises kui tööalases tegevuses. Järgnevalt minu muljed ja tähelepanekud toimunud kaheksast loengust.

Esimene sissejuhatav õppekorraldust ja sisekorda puudutav loeng <ref>[https://echo360.e-ope.ee/ess/echo/presentation/552b549b-da8b-48c4-9047-cf34af6e6188 Vau, I., Ernits, M., Varendi, M., Tretjakov, J. Sissejuhatus erialasse ja õppekorraldussse. EIK loengusalvestus 27.08.2014]</ref> toimus eelnädalal enne õppetöö ametlikku algust ning selles rääkisid õppeosakonna juhataja Inga Vau koolis kehtivatest õppekorralduse reeglitest, aine vastutav õppejõud Margus Ernits koolis tegutsevatest laboritest ja klubilisest tegevusest, kvaliteedijuht Merle Varendi tagasiside andmise võimalustest ja stipendiumitest ning haridustehnoloog Juri Tretjakov koolis kasutatavatest tehnilistest tugisüsteemidest. Teisisõnu, saime põhjaliku ülevaate kõigest sellest, mida üks rebane peab teadma ja tegema, et tema õpingud IT Kolledžis algaksid ja sujuksid ladusalt. Olles IT Kolledžisse sisseastumiseks juba mitu aastat julgust kogunud, olin küll kooli kodulehel oleva info algusest lõpuni ja risti-põiki läbi lugenud, kuid kuulsin sellegipoolest nii mõndagi uut ja huvitavat. Nii tuli mulle näiteks positiivse üllatusena loengute salvestamise võimalus, mis võimaldab õppetööst osa saada isegi haiguse korral või korduvvaadata mõnd esiti segaseks jäänud loengut.

Teises loengus <ref>[https://echo360.e-ope.ee/ess/echo/presentation/4d88020e-ceeb-46cf-a017-a5497a9644a0 Ernits, M. Õppimine ja motivatsioon. EIK loengusalvestus 04.09.2014]</ref> rääkis Margus Ernits õppimisest, motivatsioonist, akadeemilisest petturlusest ja sellest, millised on tulemused, kui tudeng üritab kergemini läbi saada. Õppimise ja motivatsiooni leidmise või hoidmise teema on ehk aktuaalsem nende jaoks, kes otse gümnaasiumipingist tulnud ega ole veel päris kindlad, mida elult tahta või kes pole veendunud valitud eriala õigsuses. Isiklikult ma ei tundnud, et need teemad otseselt mind oleksid puudutanud. Üliõpilase eetikakoodeksiga olen tutvunud juba varasemate õpingute käigus, viitamise reeglid peaksid ka enam-vähem selged olema ja otse loomulikult polnud mul sellises vanuses IT Kolledžisse õppima asudes enam eesmärgiks lihtsalt lati alt läbi jooksmine. Pole vahet, oled sa admin või arendaja, infotehnoloogia valdkonnas ei ole lihtsalt võimalik ebakompetentsust varjata. Sa kas oskad seda või siis mitte. Seega on mõistlik mitte minna kergema vastupanu teed, vaid teha juba kooliajal endale asjad selgeks ning võtta õpingutest maksimum. Loengus öeldi ka ausalt välja, et suurt osa sellest, mida koolis õpitakse, ei lähe töös mitte kunagi vaja, ent olemasolevate teadmiste külge on alati lihtsam uusi teadmisi siduda ja kõik, mis esmapilgul mittevajalik tundub, võib oluliseks muutuda alles palju hiljem.

Kolmas loeng <ref>[https://echo360.e-ope.ee/ess/echo/presentation/df5a30a1-6110-4c8a-a7fa-f6343c8cae65 Ernits, M. Robootika ja häkkimine. EIK loengusalvestus 11.09.2014]</ref> jätkus Margus Ernitsa eestvedamisel robootika ja häkkimise teemadel. IT Kolledži Robootikaklubist oli meile põgusalt räägitud ka kahes esimeses loengus, seega teadsin juba, et tegemist on ühe toreda klubiga, kus õppimine käib läbi praktilise ja huvitava tegevuse ning kuhu on võimalik tohutult palju oma aega matta. Robootikaklubi, mille juhendajana Margus aastaid on tegutsenud, kõrgest tasemest annavad aimu arvukad esikohad Robotexi võistluselt. Robootikaklubi on üks nendest klubidest, millega oleksin tahtnud ka ise heal meelel liituda, kuid kahjuks ei jää mul muude kohustuste kõrvalt sellega tegelemiseks piisavalt aega. Robotite ehitamine on suuresti meeskonnatöö ja oleks ebaõiglane liituda mõne meeskonnaga ise mitte aktiivselt panustades. Pigem panustan siis Robotexil IT Kolledži Robootikaklubi pöidlahoidjana.

Alates neljandast loengust jõudis esinemisjärjekord külalisesinejate kätte. Hetkel Toggle’s programmeerijana töötav Janika Liiv tegi ettekande teemal Subjektiivselt programmeerimisest, stereotüüpidest ja kogukonnast <ref>[https://echo360.e-ope.ee/ess/echo/presentation/cc18f732-a0f2-4264-a3b8-d1a281583016 Liiv, J. Subjektiivselt programmeerimisest, stereotüüpidest ja kogukonnast. EIK loengusalvestus 18.09.2014]</ref>. Väga paljud programmeerijad on võrrelnud programmeerimist loovkirjutamisega. Ka Janika tõmbas programmeerimisest rääkides paralleele filmistsenaariumi kirjutamisega, kus jutustataval lool peab olema selge mõte, teemaarendus ning lõpptulemus. Seejuures peab kõik toimima intuitiivselt, sest kui oled midagi valmis kirjutanud, siis pead leppima ka sellega, et inimesed kasutavad seda valesti. Kogukondadest rääkides rõhutas Janika nende olulisust. Just kogukond on see, kelle hulka sa kuulud, kelle kaudu leiad uusi kontakte ning kes sind vajadusel aitab. Ega asjata öelda, et suurepärast tarkvara pole võimalik luua ilma suurepärase meeskonnata. Janika ettekanne mõjus inspireerivalt ilmselt enamusele kuulajatest, kellel puudub eelnev programmeerimiskogemus, tema eestvedamisel tegutseva TechSisters’i klubi tegemistel olen aga juba pikalt silma peal hoidnud lootuses nendega kunagi liituda.

Viienda loengu <ref>[https://echo360.e-ope.ee/ess/echo/presentation/ff9f663f-f616-4dea-b9b1-85616acfcccc Fischer, C. IT süsteemide administraatorilt esmakursuslasele. EIK loengusalvestus 25.09.2014]</ref> külalisesinejaks oli Skype süsteemiadministraator Carolyn Fischer, kes oma ametinimetusest tulenevalt tutvustas IT süsteemide administreerimisest. Võrreldes arenduse, analüüsi ja testimisega on administreerimise valdkond minust alati väga kaugele jäänud. Liiga tehniline ja liiga keeruline. Seda huvitavam oli näha ja kuulata naisterahvast, kes selles üdini maskuliinses valdkonnas nii edukalt läbi on löönud. Carolyn tõi välja, et administreerimine on eelkõige süstemaatiline mõtlemine ning tänapäeval pole suurt vahet, kas oled administraator või arendaja, kuna ka administraator peab oskama teataval määral programmeerida ning arendaja süsteeme seadistada. Carolyni jutust jäi kõlama ettevalmistuste tähtsus ning soovitus mitte ühegi asjaga hiljaks jääda. See viimane soovitus oli vähemalt minu jaoks, kes ma alati viimasel minutil ja tihtipeale veel minut-kaks hiljemgi oma töödega ühele poole saan, nagu rusikas silmaauku.

Kuuendas loengus <ref>[https://echo360.e-ope.ee/ess/echo/presentation/75d683be-016f-45e4-916d-d71a8c9c3d43 Karmo, K. Testimine ja tarkvara kvaliteet. EIK loengusalvestus 02.10.2014]</ref> rääkis Kristjan Karmo ASA Quality Service’st testimisest ja tarkvara kvaliteedist. Testija töö seisneb arendaja poolt tehtud vigade otsimises. Mida vähem vigu, seda kvaliteetsem tarkvara. Mida varem viga avastatakse, seda odavam on seda parandada. Mingil arusaamatul põhjusel olin alati arvanud, et just testimine võiks olla see valdkond, milles kunagi IT tööturule sisenen. See tundus olevat selline jõukohane töö, millega iga algaja arendaja peaks suurema vaevata hakkama saama. Minu illusioonid said aga Kristjani poolt armutult purustatud. Selgus, et hea testija eelduseks on eelkõige aastate pikkune arenduskogemus. Testijate töö on IT valdkonnas tihtipeale vähetähtsustatud, aga Kristjan tõi vaid paari näite varal välja, kui oluline on testijate töö tegelikult ja millised võivad olla tagajärjed, kui vigadele läbi sõrmede vaadatakse.

Seitsmenda loengu <ref>[https://echo360.e-ope.ee/ess/echo/presentation/0326c0ae-9a48-4b1f-bbbc-0cfb8b94991c Septer, A. IT tööturust. EIK loengusalvestus 09.10.2014]</ref> viis läbi kahtlemata kursuse kõige karismaatilisem esineja Andres Septer, kes rääkis oma tähelepanekutest Eesti IT tööturul toimuvast. Suhteliselt pessimistlikus ja kohati kritiseerivas toonis ettekanne, mida ilmestasid koomilised näited ja mahlakas sõnavara, mõjus kokkuvõttes pigem positiivsena ja andis hea laengu. Andres võrdles töötamist era- ja avalikus sektoris, väike- ja suurettevõttes ning selgitas, et igal töökohal on omad plussid ja miinused. See, mis sobib ühele, ei pruugi sobida teisele. Kuigi üldjuhul rõhutatakse spetsialiseerumise vajadust, siis Andres juhtis tähelepanu asjaolule, et Eesti tööturu väiksust arvestades on oluline vältida liiga kitsast spetsialiseerumist, mis võib hiljem tekitada raskusi erialase töö leidmisel. Kindlasti on tulevikus töökoha valiku sihte seades kasulik meenutada ettekandes väljatoodud fakte erinevate IT valdkonna asutuste ja töökohtade kohta. Näiteid oli tõesti seinast seina.

Kaheksandas ja ühtlasi kursuse viimases loengus <ref>[https://echo360.e-ope.ee/ess/echo/presentation/791a5ecb-f27c-4401-8565-1dbd16894f27?ec=true Lang, E. Suhtumine õppetöösse ja veebirakenduste turvalisus. EIK loengusalvestus 16.10.2014]</ref> rääkis Elar Lang ettevõttest Clarified Security suhtumisest õppetöösse ja veebirakenduste turvalisusest. Elar rõhutas suhtumise olulisust nii töös kui koolis. Just suhtumine on see, mis määrab sinu oleviku ja tuleviku. Oluline pole mitte see, mida sa praegu oskad, vaid see, mida sa tahad osata, sest kui on olemas tahe õppida ja areneda, siis on kõik saavutatav. Seega on kõik suhtumise küsimus. Ka turvalisus on eelkõige suhtumise küsimus. Privaatsusest on saanud luksuskaup ja ainult sinu enda tegevusest sõltub sinu andmete turvalisus, sest Internet on ühesuunaline tee. Selle loenguga sai kursusele justkui täisring peale tehtud ning väga sobivalt oli Elari ettekande põhirõhk taaskord õppimisel.

Kõige rohkem panigi mind mõtlema viimane loeng ja tegelikult üks pealtnäha tühine infokild. Diplomitöö. Kui oluline on valida teema, mis sind kõnetab ja mida on võimalik veel aastaid hiljemgi oma töös kasutada. Diplomitöö olulisust selle kursuse raames kahjuks ei rõhutatud, kuid minu meelest on väga oluline, et tudeng püüaks juba oma õpingute alguses hakata mõtlema, millist teed ta edaspidi käia ja kuhu välja jõuda tahab. Diplomitöö ei ole lihtsalt tüütu kohustus, mis tuleb lõpetamiseks vajaliku paberi saamiseks ülejala ära teha, vaid õigesti valitud teemast võib alguse saada midagi suurepärast. Kõik on meie peas kinni.

==Õpingukorralduse küsimused==
===Küsimus A===
Kukkusid eksamil läbi. Kaua on võimalik eksamit järele teha? Kellega kokkuleppida, et järeleksamit teha? Kuidas toimub järeleksamile registreerimine? Mis on tähtajad? Palju maksab, kui oled riigi finantseeritaval (RF) õppekohal? Palju maksab, kui oled tasulisel (OF) õppekohal?

'''Vastus'''

Peale eksamil läbi kukkumist võin sooritada korduseksami kahe semestri jooksul pärast aine õpetamissemestri lõppu, kusjuures õppejõul on õigus anda mulle täiendavaid ülesandeid, mille täitmine on korduseksamile lubamise eelduseks. Korduseksamite tähtajad määrab ainet õpetav õppejõud kooskõlas õppeosakonnas koostatud ajakavaga. <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 5.3.6.]</ref>
Korduseksamile registreerimine toimub Õppeinfosüsteemis <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 5.2.8.]</ref> ning registreerumise ja soorituse vahele peab jääma vähemalt 2 tööpäeva <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 5.2.9.]</ref>. Riigi finantseeritaval (RF) õppekohal õppijatele on korduseksamid tasuta. Tasulisel (OF) õppekohal õppijatele on korduseksamid tasulised ning tasu suurus kehtestatakse rektori käskkirjaga <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 5.2.7.]</ref>. 2014/2015 õppeaastal on kordussoorituse tasu 20 eurot <ref>[http://www.itcollege.ee/tudengile/finantsinfo/pangarekvisiidid/ Teenuste tasumäärad 2014/2015 õppeaastal, punkt 5.]</ref>.

===Küsimus 1===
Teisel või kolmandal õppeaastal avastad, et teine õppekava sobib paremini ja sa otsustad õppekava vahetada. Millised on tegevused ja mis ajaks tuleb need teha, et vahetada õppekava?
Kas deklareeritud, kuid tegemata jäänud valikaine tuleb kolledži lõpetamiseks tingimata sooritada? Millega pean arvestama, deklareerides valikaineid üle õppekavas ette nähtud mahu (sh. deklareeritud, kuid sooritamata jäänud valikained)?

'''Vastus'''

Õppekava vahetamise taotlemiseks pean esitama hiljemalt 1 tööpäev enne semestri punase joone päeva EIK õppeosakonda rektori nimele vabas vormis kirjaliku avalduse ja nimekirja õppesooritustest, mille arvestamist uue õppekava osana taotlen <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 7.2.1.]</ref>.
Õpinguaja jooksul pean sooritama kõik minu poolt täidetavas õppekavas olevad kohustuslikud ained ja õppekavas ettenähtud mahus valikaineid. <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 1.3.6.]</ref> EIK lõpetamiseks ja vastava lõpudokumendi saamiseks pean täitma kõik tema õppekava lõpetamistingimused. <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 5.6.1.]</ref>
Seega, kui õppekava lõpetamistingimused on täidetud, siis deklareeritud, kuid tegemata jäänud valikainet sooritama ei pea.

Üliõpilasel, kes lõpetab õpingud nominaalajaga, on õigus avalduse alusel taotleda õppemaksu tagastamist 180 EAP ületavate EAPde eest kuni 2 EAP ulatuses. Avaldus õppemaksu tagastamiseks esitatakse õppeosakonda peale diplomitöö edukat kaitsmist viie tööpäeva jooksul alates kaitsmise tulemuste teatavaks tegemisest.<ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 3.1.8.]</ref>. Deklareerides valikaineid üle õppekavas ette nähtud mahu, esitatakse mulle õppemaksu arve õppekava nominaalmahtu ületavate õpingute eest.

===Ülesanne===
Kui mitme EAP ulatuses tuleb õppekulud osaliselt hüvitada aasta lõpuks, kui esimese semestri lõpuks on olemas 22 EAPd ja teise semestri lõpuks 19 EAPd?

'''Vastus'''

Õppekulude osalise hüvitamise kohustuse <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 1.2.18.]</ref> tekkimise aluseks oleva õppekava täies mahus täitmise määr on vastavalt Eesti Infotehnoloogia Kolledži nõukogu otsusele (protokoll nr 3C-1/13-2, 27.02.2013) 2014/2015 õppeaastal 27 EAP semestris ja õppekulude osalise hüvitamise määr on 50 € 1 EAP kohta. Õppekulude osaline hüvitamine toimub õppekava täies mahus täitmata jäänud semestrile järgneval semestril, täpne maksetähtaeg on määratud esitataval arvel. <ref>[http://www.itcollege.ee/tudengile/finantsinfo/ Finantsinfo]</ref>

Kui esimese semestri lõpuks on olemas 22 EAPd, siis teise semestri alguses esitatakse arve 5 EAP eest summas 250 eurot.
Kui teise semestri lõpuks on olemas 19 EAPd ja kumulatiivselt kokku 41 EAPd, siis aasta lõpuks esitatakse arve 13 EAP eest summas 650 eurot.

=Viited=
<references />

User:Mkangur

2014-10-23T06:20:52Z

Mkangur: /* Essee */

[[Category:Erialatutvustus 2014 (Päevaõpe)]]
=Erialatutvustuse aine arvestustöö=
Autor: Margit Kangur

Esitamise kuupäev: 23. oktoober 2014

==Essee==
Õpingud Eesti Infotehnoloogia Kolledžis algavad kõikidele esmakursuslastele sõltumata valitud õppekavast sissejuhatava ainega Õpingukorraldus ja erialatutvustus <ref>[https://itcollege.ois.ee/subject/view?subject_id=173 Õppeaine Õpingukorraldus ja erialatutvustus aineprogramm]</ref>. Aine eesmärgiks on tutvustada koolis kehtivaid õppekorralduse reegleid ja utsitada värskeid tudengeid endale õppetöös eesmärke seadma. Kursus koosneb peaasjalikult kohtumistest erinevate esinejatega, kes kõik tegutsedes spetsialistidena väga erinevates infotehnoloogia valdkondades, peaksid oma kogemustele toetudes ja tähelepanekuid jagades avardama algajate infotehnoloogia tudengite maailmapilti, motiveerima neid õpingutes ning andma selgema ettekujutuse tulevasest tööst.

Ootasin selle õppeaine algust põnevusega, sest tegemist oli meie kõige esimese kursusega selles koolis ning teadupärast on just esmamulje see, mis paneb aluse edasiste õpingute edukusele. Erinevate külalisesinejate kaasamine tõotas heita pilku infotehnoloogia maailma telgitagustesse ning tutvuda valitud eriala selliste tahkudega, millest mul suhteliselt IT-kauge inimesena väga palju ettekujutust ei olnud. Ma ei pidanud pettuma. Tegemist oli äärmiselt huvitava ja kaasahaarava kursusega, mis andis infotehnoloogia valdkonnast laiapõhjalise ülevaate, palju mõtteainet edaspidiseks ning oli abiks eesmärkide seadmisel nii õppimises kui tööalases tegevuses. Järgnevalt minu muljed ja tähelepanekud toimunud kaheksast loengust.

Esimene sissejuhatav õppekorraldust ja sisekorda puudutav loeng <ref>[https://echo360.e-ope.ee/ess/echo/presentation/552b549b-da8b-48c4-9047-cf34af6e6188 Vau, I., Ernits, M., Varendi, M., Tretjakov, J. Sissejuhatus erialasse ja õppekorraldussse. EIK loengusalvestus 27.08.2014]</ref> toimus eelnädalal enne õppetöö ametlikku algust ning selles rääkisid õppeosakonna juhataja Inga Vau koolis kehtivatest õppekorralduse reeglitest, aine vastutav õppejõud Margus Ernits koolis tegutsevatest laboritest ja klubilisest tegevusest, kvaliteedijuht Merle Varendi tagasiside andmise võimalustest ja stipendiumitest ning haridustehnoloog Juri Tretjakov koolis kasutatavatest tehnilistest tugisüsteemidest. Teisisõnu, saime põhjaliku ülevaate kõigest sellest, mida üks rebane peab teadma ja tegema, et tema õpingud IT Kolledžis algaksid ja sujuksid ladusalt. Olles IT Kolledžisse sisseastumiseks juba mitu aastat julgust kogunud, olin küll kooli kodulehel oleva info algusest lõpuni ja risti-põiki läbi lugenud, kuid kuulsin sellegipoolest nii mõndagi uut ja huvitavat. Nii tuli mulle näiteks positiivse üllatusena loengute salvestamise võimalus, mis võimaldab õppetööst osa saada isegi haiguse korral või korduvvaadata mõnd esiti segaseks jäänud loengut.

Teises loengus <ref>[https://echo360.e-ope.ee/ess/echo/presentation/4d88020e-ceeb-46cf-a017-a5497a9644a0 Ernits, M. Õppimine ja motivatsioon. EIK loengusalvestus 04.09.2014]</ref> rääkis Margus Ernits õppimisest, motivatsioonist, akadeemilisest petturlusest ja sellest, millised on tulemused, kui tudeng üritab kergemini läbi saada. Õppimise ja motivatsiooni leidmise või hoidmise teema on ehk aktuaalsem nende jaoks, kes otse gümnaasiumipingist tulnud ega ole veel päris kindlad, mida elult tahta või kes pole veendunud valitud eriala õigsuses. Isiklikult ma ei tundnud, et need teemad otseselt mind oleksid puudutanud. Üliõpilase eetikakoodeksiga olen tutvunud juba varasemate õpingute käigus, viitamise reeglid peaksid ka enam-vähem selged olema ja otse loomulikult polnud mul sellises vanuses IT Kolledžisse õppima asudes enam eesmärgiks lihtsalt lati alt läbi jooksmine. Pole vahet, oled sa admin või arendaja, infotehnoloogia valdkonnas ei ole lihtsalt võimalik ebakompetentsust varjata. Sa kas oskad seda või siis mitte. Seega on mõistlik mitte minna kergema vastupanu teed, vaid teha juba kooliajal endale asjad selgeks ning võtta õpingutest maksimum. Loengus öeldi ka ausalt välja, et suurt osa sellest, mida koolis õpitakse, ei lähe töös mitte kunagi vaja, ent olemasolevate teadmiste külge on alati lihtsam uusi teadmisi siduda ja kõik, mis esmapilgul mittevajalik tundub, võib oluliseks muutuda alles palju hiljem.

Kolmas loeng <ref>[https://echo360.e-ope.ee/ess/echo/presentation/df5a30a1-6110-4c8a-a7fa-f6343c8cae65 Ernits, M. Robootika ja häkkimine. EIK loengusalvestus 11.09.2014]</ref> jätkus Margus Ernitsa eestvedamisel robootika ja häkkimise teemadel. IT Kolledži Robootikaklubist oli meile põgusalt räägitud ka kahes esimeses loengus, seega teadsin juba, et tegemist on ühe toreda klubiga, kus õppimine käib läbi praktilise ja huvitava tegevuse ning kuhu on võimalik tohutult palju oma aega matta. Robootikaklubi, mille juhendajana Margus aastaid on tegutsenud, kõrgest tasemest annavad aimu arvukad esikohad Robotexi võistluselt. Robootikaklubi on üks nendest klubidest, millega oleksin tahtnud ka ise heal meelel liituda, kuid kahjuks ei jää mul muude kohustuste kõrvalt sellega tegelemiseks piisavalt aega. Robotite ehitamine on suuresti meeskonnatöö ja oleks ebaõiglane liituda mõne meeskonnaga ise mitte aktiivselt panustades. Pigem panustan siis Robotexil IT Kolledži Robootikaklubi pöidlahoidjana.

Alates neljandast loengust jõudis esinemisjärjekord külalisesinejate kätte. Hetkel Toggle’s programmeerijana töötav Janika Liiv tegi ettekande teemal Subjektiivselt programmeerimisest, stereotüüpidest ja kogukonnast <ref>[https://echo360.e-ope.ee/ess/echo/presentation/cc18f732-a0f2-4264-a3b8-d1a281583016 Liiv, J. Subjektiivselt programmeerimisest, stereotüüpidest ja kogukonnast. EIK loengusalvestus 18.09.2014]</ref>. Väga paljud programmeerijad on võrrelnud programmeerimist loovkirjutamisega. Ka Janika tõmbas programmeerimisest rääkides paralleele filmistsenaariumi kirjutamisega, kus jutustataval lool peab olema selge mõte, teemaarendus ning lõpptulemus. Seejuures peab kõik toimima intuitiivselt, sest kui oled midagi valmis kirjutanud, siis pead leppima ka sellega, et inimesed kasutavad seda valesti. Kogukondadest rääkides rõhutas Janika nende olulisust. Just kogukond on see, kelle hulka sa kuulud, kelle kaudu leiad uusi kontakte ning kes sind vajadusel aitab. Ega asjata öelda, et suurepärast tarkvara pole võimalik luua ilma suurepärase meeskonnata. Janika ettekanne mõjus inspireerivalt ilmselt enamusele kuulajatest, kellel puudub eelnev programmeerimiskogemus, tema eestvedamisel tegutseva TechSisters’i klubi tegemistel olen aga juba pikalt silma peal hoidnud lootuses nendega kunagi liituda.

Viienda loengu <ref>[https://echo360.e-ope.ee/ess/echo/presentation/ff9f663f-f616-4dea-b9b1-85616acfcccc Fischer, C. IT süsteemide administraatorilt esmakursuslasele. EIK loengusalvestus 25.09.2014]</ref> külalisesinejaks oli Skype süsteemiadministraator Carolyn Fischer, kes oma ametinimetusest tulenevalt tutvustas IT süsteemide administreerimisest. Võrreldes arenduse, analüüsi ja testimisega on administreerimise valdkond minust alati väga kaugele jäänud. Liiga tehniline ja liiga keeruline. Seda huvitavam oli näha ja kuulata naisterahvast, kes selles üdini maskuliinses valdkonnas nii edukalt läbi on löönud. Carolyn tõi välja, et administreerimine on eelkõige süstemaatiline mõtlemine ning tänapäeval pole suurt vahet, kas oled administraator või arendaja, kuna ka administraator peab oskama teataval määral programmeerida ning arendaja süsteeme seadistada. Carolyni jutust jäi kõlama ettevalmistuste tähtsus ning soovitus mitte ühegi asjaga hiljaks jääda. See viimane soovitus oli vähemalt minu jaoks, kes ma alati viimasel minutil ja tihtipeale veel minut-kaks hiljemgi oma töödega ühele poole saan, nagu rusikas silmaauku.

Kuuendas loengus <ref>[https://echo360.e-ope.ee/ess/echo/presentation/75d683be-016f-45e4-916d-d71a8c9c3d43 Karmo, K. Testimine ja tarkvara kvaliteet. EIK loengusalvestus 02.10.2014]</ref> rääkis Kristjan Karmo ASA Quality Service’st testimisest ja tarkvara kvaliteedist. Testija töö seisneb arendaja poolt tehtud vigade otsimises. Mida vähem vigu, seda kvaliteetsem tarkvara. Mida varem viga avastatakse, seda odavam on seda parandada. Mingil arusaamatul põhjusel olin alati arvanud, et just testimine võiks olla see valdkond, milles kunagi IT tööturule sisenen. See tundus olevat selline jõukohane töö, millega iga algaja arendaja peaks suurema vaevata hakkama saama. Minu illusioonid said aga Kristjani poolt armutult purustatud. Selgus, et hea testija eelduseks on eelkõige aastate pikkune arenduskogemus. Testijate töö on IT valdkonnas tihtipeale vähetähtsustatud, aga Kristjan tõi vaid paari näite varal välja, kui oluline on testijate töö tegelikult ja millised võivad olla tagajärjed, kui vigadele läbi sõrmede vaadatakse.

Seitsmenda loengu <ref>[https://echo360.e-ope.ee/ess/echo/presentation/0326c0ae-9a48-4b1f-bbbc-0cfb8b94991c Septer, A. IT tööturust. EIK loengusalvestus 09.10.2014]</ref> viis läbi kahtlemata kursuse kõige karismaatilisem esineja Andres Septer, kes rääkis oma tähelepanekutest Eesti IT tööturul toimuvast. Suhteliselt pessimistlikus ja kohati kritiseerivas toonis ettekanne, mida ilmestasid koomilised näited ja mahlakas sõnavara, mõjus kokkuvõttes pigem positiivsena ja andis hea laengu. Andres võrdles töötamist era- ja avalikus sektoris, väike- ja suurettevõttes ning selgitas, et igal töökohal on omad plussid ja miinused. See, mis sobib ühele, ei pruugi sobida teisele. Kuigi üldjuhul rõhutatakse spetsialiseerumise vajadust, siis Andres juhtis tähelepanu asjaolule, et Eesti tööturu väiksust arvestades on oluline vältida liiga kitsast spetsialiseerumist, mis võib hiljem tekitada raskusi erialase töö leidmisel. Kindlasti on tulevikus töökoha valiku sihte seades kasulik meenutada ettekandes väljatoodud fakte erinevate IT valdkonna asutuste ja töökohtade kohta. Näiteid oli tõesti seinast seina.

Kaheksandas ja ühtlasi kursuse viimases loengus <ref>[https://echo360.e-ope.ee/ess/echo/presentation/791a5ecb-f27c-4401-8565-1dbd16894f27?ec=true Lang, E. Suhtumine õppetöösse ja veebirakenduste turvalisus. EIK loengusalvestus 16.10.2014]</ref> rääkis Elar Lang ettevõttest Clarified Security suhtumisest õppetöösse ja veebirakenduste turvalisusest. Elar rõhutas suhtumise olulisust nii töös kui koolis. Oluline pole mitte see, mida sa praegu oskad, vaid see, mida sa tahad osata ühe aasta pärast. Kui on olemas tahe õppida ja areneda, siis on kõik saavutatav. Seega on kõik suhtumise küsimus. Ka turvalisus on eelkõige suhtumise küsimus. Privaatsusest on saanud luksuskaup ja ainult sinu enda tegevusest sõltub sinu andmete turvalisus, sest Internet on ühesuunaline tee. Elari loengust sain kinnitust, et kasutan

==Õpingukorralduse küsimused==
===Küsimus A===
Kukkusid eksamil läbi. Kaua on võimalik eksamit järele teha? Kellega kokkuleppida, et järeleksamit teha? Kuidas toimub järeleksamile registreerimine? Mis on tähtajad? Palju maksab, kui oled riigi finantseeritaval (RF) õppekohal? Palju maksab, kui oled tasulisel (OF) õppekohal?

'''Vastus'''

Peale eksamil läbi kukkumist võin sooritada korduseksami kahe semestri jooksul pärast aine õpetamissemestri lõppu, kusjuures õppejõul on õigus anda mulle täiendavaid ülesandeid, mille täitmine on korduseksamile lubamise eelduseks. Korduseksamite tähtajad määrab ainet õpetav õppejõud kooskõlas õppeosakonnas koostatud ajakavaga. <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 5.3.6.]</ref>
Korduseksamile registreerimine toimub Õppeinfosüsteemis <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 5.2.8.]</ref> ning registreerumise ja soorituse vahele peab jääma vähemalt 2 tööpäeva <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 5.2.9.]</ref>. Riigi finantseeritaval (RF) õppekohal õppijatele on korduseksamid tasuta. Tasulisel (OF) õppekohal õppijatele on korduseksamid tasulised ning tasu suurus kehtestatakse rektori käskkirjaga <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 5.2.7.]</ref>. 2014/2015 õppeaastal on kordussoorituse tasu 20 eurot <ref>[http://www.itcollege.ee/tudengile/finantsinfo/pangarekvisiidid/ Teenuste tasumäärad 2014/2015 õppeaastal, punkt 5.]</ref>.

===Küsimus 1===
Teisel või kolmandal õppeaastal avastad, et teine õppekava sobib paremini ja sa otsustad õppekava vahetada. Millised on tegevused ja mis ajaks tuleb need teha, et vahetada õppekava?
Kas deklareeritud, kuid tegemata jäänud valikaine tuleb kolledži lõpetamiseks tingimata sooritada? Millega pean arvestama, deklareerides valikaineid üle õppekavas ette nähtud mahu (sh. deklareeritud, kuid sooritamata jäänud valikained)?

'''Vastus'''

Õppekava vahetamise taotlemiseks pean esitama hiljemalt 1 tööpäev enne semestri punase joone päeva EIK õppeosakonda rektori nimele vabas vormis kirjaliku avalduse ja nimekirja õppesooritustest, mille arvestamist uue õppekava osana taotlen <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 7.2.1.]</ref>.
Õpinguaja jooksul pean sooritama kõik minu poolt täidetavas õppekavas olevad kohustuslikud ained ja õppekavas ettenähtud mahus valikaineid. <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 1.3.6.]</ref> EIK lõpetamiseks ja vastava lõpudokumendi saamiseks pean täitma kõik tema õppekava lõpetamistingimused. <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 5.6.1.]</ref>
Seega, kui õppekava lõpetamistingimused on täidetud, siis deklareeritud, kuid tegemata jäänud valikainet sooritama ei pea.

Üliõpilasel, kes lõpetab õpingud nominaalajaga, on õigus avalduse alusel taotleda õppemaksu tagastamist 180 EAP ületavate EAPde eest kuni 2 EAP ulatuses. Avaldus õppemaksu tagastamiseks esitatakse õppeosakonda peale diplomitöö edukat kaitsmist viie tööpäeva jooksul alates kaitsmise tulemuste teatavaks tegemisest.<ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 3.1.8.]</ref>. Deklareerides valikaineid üle õppekavas ette nähtud mahu, esitatakse mulle õppemaksu arve õppekava nominaalmahtu ületavate õpingute eest.

===Ülesanne===
Kui mitme EAP ulatuses tuleb õppekulud osaliselt hüvitada aasta lõpuks, kui esimese semestri lõpuks on olemas 22 EAPd ja teise semestri lõpuks 19 EAPd?

'''Vastus'''

Õppekulude osalise hüvitamise kohustuse <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 1.2.18.]</ref> tekkimise aluseks oleva õppekava täies mahus täitmise määr on vastavalt Eesti Infotehnoloogia Kolledži nõukogu otsusele (protokoll nr 3C-1/13-2, 27.02.2013) 2014/2015 õppeaastal 27 EAP semestris ja õppekulude osalise hüvitamise määr on 50 € 1 EAP kohta. Õppekulude osaline hüvitamine toimub õppekava täies mahus täitmata jäänud semestrile järgneval semestril, täpne maksetähtaeg on määratud esitataval arvel. <ref>[http://www.itcollege.ee/tudengile/finantsinfo/ Finantsinfo]</ref>

Kui esimese semestri lõpuks on olemas 22 EAPd, siis teise semestri alguses esitatakse arve 5 EAP eest summas 250 eurot.
Kui teise semestri lõpuks on olemas 19 EAPd ja kumulatiivselt kokku 41 EAPd, siis aasta lõpuks esitatakse arve 13 EAP eest summas 650 eurot.

=Viited=
<references />

User:Mkangur

2014-10-23T06:13:27Z

Mkangur: /* Erialatutvustuse aine arvestustöö */

[[Category:Erialatutvustus 2014 (Päevaõpe)]]
=Erialatutvustuse aine arvestustöö=
Autor: Margit Kangur

Esitamise kuupäev: 23. oktoober 2014

==Essee==
Õpingud Eesti Infotehnoloogia Kolledžis algavad kõikidele esmakursuslastele sõltumata valitud õppekavast sissejuhatava ainega Õpingukorraldus ja erialatutvustus <ref>[https://itcollege.ois.ee/subject/view?subject_id=173 Õppeaine Õpingukorraldus ja erialatutvustus aineprogramm]</ref>. Aine eesmärgiks on tutvustada koolis kehtivaid õppekorralduse reegleid ja utsitada värskeid tudengeid endale õppetöös eesmärke seadma. Kursus koosneb peaasjalikult kohtumistest erinevate esinejatega, kes kõik tegutsedes spetsialistidena väga erinevates infotehnoloogia valdkondades, peaksid oma kogemustele toetudes ja tähelepanekuid jagades avardama algajate infotehnoloogia tudengite maailmapilti, motiveerima neid õpingutes ning andma selgema ettekujutuse tulevasest tööst.

Ootasin selle õppeaine algust põnevusega, sest tegemist oli meie kõige esimese kursusega selles koolis ning teadupärast on just esmamulje see, mis paneb aluse edasiste õpingute edukusele. Erinevate külalisesinejate kaasamine tõotas heita pilku infotehnoloogia maailma telgitagustesse ning tutvuda valitud eriala selliste tahkudega, millest mul suhteliselt IT-kauge inimesena väga palju ettekujutust ei olnud. Ma ei pidanud pettuma. Tegemist oli äärmiselt huvitava ja kaasahaarava kursusega, mis andis infotehnoloogia valdkonnast laiapõhjalise ülevaate, palju mõtteainet edaspidiseks ning oli abiks eesmärkide seadmisel nii õppimises kui tööalases tegevuses. Järgnevalt minu muljed ja tähelepanekud toimunud kaheksast loengust.

Esimene sissejuhatav õppekorraldust ja sisekorda puudutav loeng <ref>[https://echo360.e-ope.ee/ess/echo/presentation/552b549b-da8b-48c4-9047-cf34af6e6188 Vau, I., Ernits, M., Varendi, M., Tretjakov, J. Sissejuhatus erialasse ja õppekorraldussse. EIK loengusalvestus 27.08.2014]</ref> toimus eelnädalal enne õppetöö ametlikku algust ning selles rääkisid õppeosakonna juhataja Inga Vau koolis kehtivatest õppekorralduse reeglitest, aine vastutav õppejõud Margus Ernits koolis tegutsevatest laboritest ja klubilisest tegevusest, kvaliteedijuht Merle Varendi tagasiside andmise võimalustest ja stipendiumitest ning haridustehnoloog Juri Tretjakov koolis kasutatavatest tehnilistest tugisüsteemidest. Teisisõnu, saime põhjaliku ülevaate kõigest sellest, mida üks rebane peab teadma ja tegema, et tema õpingud IT Kolledžis algaksid ja sujuksid ladusalt. Olles IT Kolledžisse sisseastumiseks juba mitu aastat julgust kogunud, olin küll kooli kodulehel oleva info algusest lõpuni ja risti-põiki läbi lugenud, kuid kuulsin sellegipoolest nii mõndagi uut ja huvitavat. Nii tuli mulle näiteks positiivse üllatusena loengute salvestamise võimalus, mis võimaldab õppetööst osa saada isegi haiguse korral või korduvvaadata mõnd esiti segaseks jäänud loengut.

Teises loengus <ref>[https://echo360.e-ope.ee/ess/echo/presentation/4d88020e-ceeb-46cf-a017-a5497a9644a0 Ernits, M. Õppimine ja motivatsioon. EIK loengusalvestus 04.09.2014]</ref> rääkis Margus Ernits õppimisest, motivatsioonist, akadeemilisest petturlusest ja sellest, millised on tulemused, kui tudeng üritab kergemini läbi saada. Õppimise ja motivatsiooni leidmise või hoidmise teema on ehk aktuaalsem nende jaoks, kes otse gümnaasiumipingist tulnud ega ole veel päris kindlad, mida elult tahta või kes pole veendunud valitud eriala õigsuses. Isiklikult ma ei tundnud, et need teemad otseselt mind oleksid puudutanud. Üliõpilase eetikakoodeksiga olen tutvunud juba varasemate õpingute käigus, viitamise reeglid peaksid ka enam-vähem selged olema ja otse loomulikult polnud mul sellises vanuses IT Kolledžisse õppima asudes enam eesmärgiks lihtsalt lati alt läbi jooksmine. Pole vahet, oled sa admin või arendaja, infotehnoloogia valdkonnas ei ole lihtsalt võimalik ebakompetentsust varjata. Sa kas oskad seda või siis mitte. Seega on mõistlik mitte minna kergema vastupanu teed, vaid teha juba kooliajal endale asjad selgeks ning võtta õpingutest maksimum. Loengus öeldi ka ausalt välja, et suurt osa sellest, mida koolis õpitakse, ei lähe töös mitte kunagi vaja, ent olemasolevate teadmiste külge on alati lihtsam uusi teadmisi siduda ja kõik, mis esmapilgul mittevajalik tundub, võib oluliseks muutuda alles palju hiljem.

Kolmas loeng <ref>[https://echo360.e-ope.ee/ess/echo/presentation/df5a30a1-6110-4c8a-a7fa-f6343c8cae65 Ernits, M. Robootika ja häkkimine. EIK loengusalvestus 11.09.2014]</ref> jätkus Margus Ernitsa eestvedamisel robootika ja häkkimise teemadel. IT Kolledži Robootikaklubist oli meile põgusalt räägitud ka kahes esimeses loengus, seega teadsin juba, et tegemist on ühe toreda klubiga, kus õppimine käib läbi praktilise ja huvitava tegevuse ning kuhu on võimalik tohutult palju oma aega matta. Robootikaklubi, mille juhendajana Margus aastaid on tegutsenud, kõrgest tasemest annavad aimu arvukad esikohad Robotexi võistluselt. Robootikaklubi on üks nendest klubidest, millega oleksin tahtnud ka ise heal meelel liituda, kuid kahjuks ei jää mul muude kohustuste kõrvalt sellega tegelemiseks piisavalt aega. Robotite ehitamine on suuresti meeskonnatöö ja oleks ebaõiglane liituda mõne meeskonnaga ise mitte aktiivselt panustades. Pigem panustan siis Robotexil IT Kolledži Robootikaklubi pöidlahoidjana.

Alates neljandast loengust jõudis esinemisjärjekord külalisesinejate kätte. Hetkel Toggle’s programmeerijana töötav Janika Liiv tegi ettekande teemal Subjektiivselt programmeerimisest, stereotüüpidest ja kogukonnast <ref>[https://echo360.e-ope.ee/ess/echo/presentation/cc18f732-a0f2-4264-a3b8-d1a281583016 Liiv, J. Subjektiivselt programmeerimisest, stereotüüpidest ja kogukonnast. EIK loengusalvestus 18.09.2014]</ref>. Väga paljud programmeerijad on võrrelnud programmeerimist loovkirjutamisega. Ka Janika tõmbas programmeerimisest rääkides paralleele filmistsenaariumi kirjutamisega, kus jutustataval lool peab olema selge mõte, teemaarendus ning lõpptulemus. Seejuures peab kõik toimima intuitiivselt, sest kui oled midagi valmis kirjutanud, siis pead leppima ka sellega, et inimesed kasutavad seda valesti. Kogukondadest rääkides rõhutas Janika nende olulisust. Just kogukond on see, kelle hulka sa kuulud, kelle kaudu leiad uusi kontakte ning kes sind vajadusel aitab. Ega asjata öelda, et suurepärast tarkvara pole võimalik luua ilma suurepärase meeskonnata. Janika ettekanne mõjus inspireerivalt ilmselt enamusele kuulajatest, kellel puudub eelnev programmeerimiskogemus, tema eestvedamisel tegutseva TechSisters’i klubi tegemistel olen aga juba pikalt silma peal hoidnud lootuses nendega kunagi liituda.

Viienda loengu <ref>[https://echo360.e-ope.ee/ess/echo/presentation/ff9f663f-f616-4dea-b9b1-85616acfcccc Fischer, C. IT süsteemide administraatorilt esmakursuslasele. EIK loengusalvestus 25.09.2014]</ref> külalisesinejaks oli Skype süsteemiadministraator Carolyn Fischer, kes oma ametinimetusest tulenevalt tutvustas IT süsteemide administreerimisest. Võrreldes arenduse, analüüsi ja testimisega on administreerimise valdkond minust alati väga kaugele jäänud. Liiga tehniline ja liiga keeruline. Seda huvitavam oli näha ja kuulata naisterahvast, kes selles üdini maskuliinses valdkonnas nii edukalt läbi on löönud. Carolyn tõi välja, et administreerimine on eelkõige süstemaatiline mõtlemine ning tänapäeval pole suurt vahet, kas oled administraator või arendaja, kuna ka administraator peab oskama teataval määral programmeerida ning arendaja süsteeme seadistada. Carolyni jutust jäi kõlama ettevalmistuste tähtsus ning soovitus mitte ühegi asjaga hiljaks jääda. See viimane soovitus oli vähemalt minu jaoks, kes ma alati viimasel minutil ja tihtipeale veel minut-kaks hiljemgi oma töödega ühele poole saan, küll kui rusikas silmaauku.

Kuuendas loengus <ref>[https://echo360.e-ope.ee/ess/echo/presentation/75d683be-016f-45e4-916d-d71a8c9c3d43 Karmo, K. Testimine ja tarkvara kvaliteet. EIK loengusalvestus 02.10.2014]</ref> rääkis Kristjan Karmo ASA Quality Service’st testimisest ja tarkvara kvaliteedist. Testija töö seisneb arendaja poolt tehtud vigade otsimises. Mida vähem vigu, seda kvaliteetsem tarkvara. Mida varem viga avastatakse, seda odavam on seda parandada. Mingil arusaamatul põhjusel olin alati arvanud, et just testimine võiks olla see valdkond, milles kunagi IT tööturule sisenen. See tundus olevat selline jõukohane töö, millega iga algaja arendaja peaks suurema vaevata hakkama saama. Minu illusioonid said aga Kristjani poolt armutult purustatud. Selgus, et hea testija eelduseks on eelkõige aastate pikkune arenduskogemus. Testijate töö on IT valdkonnas tihtipeale vähetähtsustatud, aga Kristjan tõi vaid paari näite varal välja, kui oluline on testijate töö tegelikult ja millised võivad olla tagajärjed, kui vigadele läbi sõrmede vaadatakse.

Seitsmenda loengu <ref>[https://echo360.e-ope.ee/ess/echo/presentation/0326c0ae-9a48-4b1f-bbbc-0cfb8b94991c Septer, A. IT tööturust. EIK loengusalvestus 09.10.2014]</ref> viis läbi kahtlemata kursuse kõige karismaatilisem esineja Andres Septer, kes rääkis oma tähelepanekutest Eesti IT tööturul toimuvast. Suhteliselt pessimistlikus ja kohati kritiseerivas toonis ettekanne, mida ilmestasid koomilised näited ja mahlakas sõnavara, mõjus kokkuvõttes pigem positiivsena ja andis hea laengu. Andres võrdles töötamist era- ja avalikus sektoris, väike- ja suurettevõttes ning selgitas, et igal töökohal on omad plussid ja miinused. See, mis sobib ühele, ei pruugi sobida teisele. Kuigi üldjuhul rõhutatakse spetsialiseerumise vajadust, siis Andres juhtis tähelepanu asjaolule, et Eesti tööturu väiksust arvestades on oluline vältida liiga kitsast spetsialiseerumist, mis võib hiljem tekitada raskusi erialase töö leidmisel. Kindlasti on tulevikus töökoha valiku sihte seades kasulik meenutada ettekandes väljatoodud fakte erinevate IT valdkonna asutuste ja töökohtade kohta. Näiteid oli tõesti seinast seina.

Kaheksandas ja ühtlasi kursuse viimases loengus <ref>[https://echo360.e-ope.ee/ess/echo/presentation/791a5ecb-f27c-4401-8565-1dbd16894f27?ec=true Lang, E. Suhtumine õppetöösse ja veebirakenduste turvalisus. EIK loengusalvestus 16.10.2014]</ref> rääkis Elar Lang ettevõttest Clarified Security suhtumisest õppetöösse ja veebirakenduste turvalisusest. Elar rõhutas suhtumise olulisust nii töös kui koolis. Oluline pole mitte see, mida sa praegu oskad, vaid see, mida sa tahad osata ühe aasta pärast. Kui on olemas tahe õppida ja areneda, siis on kõik saavutatav. Seega on kõik suhtumise küsimus. Ka turvalisus on eelkõige suhtumise küsimus. Privaatsusest on saanud luksuskaup ja ainult sinu enda tegevusest sõltub sinu andmete turvalisus, sest Internet on ühesuunaline tee. Elari loengust sain kinnitust, et kasutan

==Õpingukorralduse küsimused==
===Küsimus A===
Kukkusid eksamil läbi. Kaua on võimalik eksamit järele teha? Kellega kokkuleppida, et järeleksamit teha? Kuidas toimub järeleksamile registreerimine? Mis on tähtajad? Palju maksab, kui oled riigi finantseeritaval (RF) õppekohal? Palju maksab, kui oled tasulisel (OF) õppekohal?

'''Vastus'''

Peale eksamil läbi kukkumist võin sooritada korduseksami kahe semestri jooksul pärast aine õpetamissemestri lõppu, kusjuures õppejõul on õigus anda mulle täiendavaid ülesandeid, mille täitmine on korduseksamile lubamise eelduseks. Korduseksamite tähtajad määrab ainet õpetav õppejõud kooskõlas õppeosakonnas koostatud ajakavaga. <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 5.3.6.]</ref>
Korduseksamile registreerimine toimub Õppeinfosüsteemis <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 5.2.8.]</ref> ning registreerumise ja soorituse vahele peab jääma vähemalt 2 tööpäeva <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 5.2.9.]</ref>. Riigi finantseeritaval (RF) õppekohal õppijatele on korduseksamid tasuta. Tasulisel (OF) õppekohal õppijatele on korduseksamid tasulised ning tasu suurus kehtestatakse rektori käskkirjaga <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 5.2.7.]</ref>. 2014/2015 õppeaastal on kordussoorituse tasu 20 eurot <ref>[http://www.itcollege.ee/tudengile/finantsinfo/pangarekvisiidid/ Teenuste tasumäärad 2014/2015 õppeaastal, punkt 5.]</ref>.

===Küsimus 1===
Teisel või kolmandal õppeaastal avastad, et teine õppekava sobib paremini ja sa otsustad õppekava vahetada. Millised on tegevused ja mis ajaks tuleb need teha, et vahetada õppekava?
Kas deklareeritud, kuid tegemata jäänud valikaine tuleb kolledži lõpetamiseks tingimata sooritada? Millega pean arvestama, deklareerides valikaineid üle õppekavas ette nähtud mahu (sh. deklareeritud, kuid sooritamata jäänud valikained)?

'''Vastus'''

Õppekava vahetamise taotlemiseks pean esitama hiljemalt 1 tööpäev enne semestri punase joone päeva EIK õppeosakonda rektori nimele vabas vormis kirjaliku avalduse ja nimekirja õppesooritustest, mille arvestamist uue õppekava osana taotlen <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 7.2.1.]</ref>.
Õpinguaja jooksul pean sooritama kõik minu poolt täidetavas õppekavas olevad kohustuslikud ained ja õppekavas ettenähtud mahus valikaineid. <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 1.3.6.]</ref> EIK lõpetamiseks ja vastava lõpudokumendi saamiseks pean täitma kõik tema õppekava lõpetamistingimused. <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 5.6.1.]</ref>
Seega, kui õppekava lõpetamistingimused on täidetud, siis deklareeritud, kuid tegemata jäänud valikainet sooritama ei pea.

Üliõpilasel, kes lõpetab õpingud nominaalajaga, on õigus avalduse alusel taotleda õppemaksu tagastamist 180 EAP ületavate EAPde eest kuni 2 EAP ulatuses. Avaldus õppemaksu tagastamiseks esitatakse õppeosakonda peale diplomitöö edukat kaitsmist viie tööpäeva jooksul alates kaitsmise tulemuste teatavaks tegemisest.<ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 3.1.8.]</ref>. Deklareerides valikaineid üle õppekavas ette nähtud mahu, esitatakse mulle õppemaksu arve õppekava nominaalmahtu ületavate õpingute eest.

===Ülesanne===
Kui mitme EAP ulatuses tuleb õppekulud osaliselt hüvitada aasta lõpuks, kui esimese semestri lõpuks on olemas 22 EAPd ja teise semestri lõpuks 19 EAPd?

'''Vastus'''

Õppekulude osalise hüvitamise kohustuse <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 1.2.18.]</ref> tekkimise aluseks oleva õppekava täies mahus täitmise määr on vastavalt Eesti Infotehnoloogia Kolledži nõukogu otsusele (protokoll nr 3C-1/13-2, 27.02.2013) 2014/2015 õppeaastal 27 EAP semestris ja õppekulude osalise hüvitamise määr on 50 € 1 EAP kohta. Õppekulude osaline hüvitamine toimub õppekava täies mahus täitmata jäänud semestrile järgneval semestril, täpne maksetähtaeg on määratud esitataval arvel. <ref>[http://www.itcollege.ee/tudengile/finantsinfo/ Finantsinfo]</ref>

Kui esimese semestri lõpuks on olemas 22 EAPd, siis teise semestri alguses esitatakse arve 5 EAP eest summas 250 eurot.
Kui teise semestri lõpuks on olemas 19 EAPd ja kumulatiivselt kokku 41 EAPd, siis aasta lõpuks esitatakse arve 13 EAP eest summas 650 eurot.

=Viited=
<references />

User:Mkangur

2014-10-23T06:12:33Z

Mkangur: /* Ülesanne */

[[Category:Erialatutvustus 2014 (Päevaõpe)]]
=Erialatutvustuse aine arvestustöö=
Autor: Margit Kangur

Esitamise kuupäev: 23. oktoober 2014

==Essee==
Õpingud Eesti Infotehnoloogia Kolledžis algavad kõikidele esmakursuslastele sõltumata valitud õppekavast sissejuhatava ainega Õpingukorraldus ja erialatutvustus <ref>[https://itcollege.ois.ee/subject/view?subject_id=173 Õppeaine Õpingukorraldus ja erialatutvustus aineprogramm]</ref>. Aine eesmärgiks on tutvustada koolis kehtivaid õppekorralduse reegleid ja utsitada värskeid tudengeid endale õppetöös eesmärke seadma. Kursus koosneb peaasjalikult kohtumistest erinevate esinejatega, kes kõik tegutsedes spetsialistidena väga erinevates infotehnoloogia valdkondades, peaksid oma kogemustele toetudes ja tähelepanekuid jagades avardama algajate infotehnoloogia tudengite maailmapilti, motiveerima neid õpingutes ning andma selgema ettekujutuse tulevasest tööst.

Ootasin selle õppeaine algust põnevusega, sest tegemist oli meie kõige esimese kursusega selles koolis ning teadupärast on just esmamulje see, mis paneb aluse edasiste õpingute edukusele. Erinevate külalisesinejate kaasamine tõotas heita pilku infotehnoloogia maailma telgitagustesse ning tutvuda valitud eriala selliste tahkudega, millest mul suhteliselt IT-kauge inimesena väga palju ettekujutust ei olnud. Ma ei pidanud pettuma. Tegemist oli äärmiselt huvitava ja kaasahaarava kursusega, mis andis infotehnoloogia valdkonnast laiapõhjalise ülevaate, palju mõtteainet edaspidiseks ning oli abiks eesmärkide seadmisel nii õppimises kui tööalases tegevuses. Järgnevalt minu muljed ja tähelepanekud toimunud kaheksast loengust.

Esimene sissejuhatav õppekorraldust ja sisekorda puudutav loeng <ref>[https://echo360.e-ope.ee/ess/echo/presentation/552b549b-da8b-48c4-9047-cf34af6e6188 Vau, I., Ernits, M., Varendi, M., Tretjakov, J. Sissejuhatus erialasse ja õppekorraldussse. EIK loengusalvestus 27.08.2014]</ref> toimus eelnädalal enne õppetöö ametlikku algust ning selles rääkisid õppeosakonna juhataja Inga Vau koolis kehtivatest õppekorralduse reeglitest, aine vastutav õppejõud Margus Ernits koolis tegutsevatest laboritest ja klubilisest tegevusest, kvaliteedijuht Merle Varendi tagasiside andmise võimalustest ja stipendiumitest ning haridustehnoloog Juri Tretjakov koolis kasutatavatest tehnilistest tugisüsteemidest. Teisisõnu, saime põhjaliku ülevaate kõigest sellest, mida üks rebane peab teadma ja tegema, et tema õpingud IT Kolledžis algaksid ja sujuksid ladusalt. Olles IT Kolledžisse sisseastumiseks juba mitu aastat julgust kogunud, olin küll kooli kodulehel oleva info algusest lõpuni ja risti-põiki läbi lugenud, kuid kuulsin sellegipoolest nii mõndagi uut ja huvitavat. Nii tuli mulle näiteks positiivse üllatusena loengute salvestamise võimalus, mis võimaldab õppetööst osa saada isegi haiguse korral või korduvvaadata mõnd esiti segaseks jäänud loengut.

Teises loengus <ref>[https://echo360.e-ope.ee/ess/echo/presentation/4d88020e-ceeb-46cf-a017-a5497a9644a0 Ernits, M. Õppimine ja motivatsioon. EIK loengusalvestus 04.09.2014]</ref> rääkis Margus Ernits õppimisest, motivatsioonist, akadeemilisest petturlusest ja sellest, millised on tulemused, kui tudeng üritab kergemini läbi saada. Õppimise ja motivatsiooni leidmise või hoidmise teema on ehk aktuaalsem nende jaoks, kes otse gümnaasiumipingist tulnud ega ole veel päris kindlad, mida elult tahta või kes pole veendunud valitud eriala õigsuses. Isiklikult ma ei tundnud, et need teemad otseselt mind oleksid puudutanud. Üliõpilase eetikakoodeksiga olen tutvunud juba varasemate õpingute käigus, viitamise reeglid peaksid ka enam-vähem selged olema ja otse loomulikult polnud mul sellises vanuses IT Kolledžisse õppima asudes enam eesmärgiks lihtsalt lati alt läbi jooksmine. Pole vahet, oled sa admin või arendaja, infotehnoloogia valdkonnas ei ole lihtsalt võimalik ebakompetentsust varjata. Sa kas oskad seda või siis mitte. Seega on mõistlik mitte minna kergema vastupanu teed, vaid teha juba kooliajal endale asjad selgeks ning võtta õpingutest maksimum. Loengus öeldi ka ausalt välja, et suurt osa sellest, mida koolis õpitakse, ei lähe töös mitte kunagi vaja, ent olemasolevate teadmiste külge on alati lihtsam uusi teadmisi siduda ja kõik, mis esmapilgul mittevajalik tundub, võib oluliseks muutuda alles palju hiljem.

Kolmas loeng <ref>[https://echo360.e-ope.ee/ess/echo/presentation/df5a30a1-6110-4c8a-a7fa-f6343c8cae65 Ernits, M. Robootika ja häkkimine. EIK loengusalvestus 11.09.2014]</ref> jätkus Margus Ernitsa eestvedamisel robootika ja häkkimise teemadel. IT Kolledži Robootikaklubist oli meile põgusalt räägitud ka kahes esimeses loengus, seega teadsin juba, et tegemist on ühe toreda klubiga, kus õppimine käib läbi praktilise ja huvitava tegevuse ning kuhu on võimalik tohutult palju oma aega matta. Robootikaklubi, mille juhendajana Margus aastaid on tegutsenud, kõrgest tasemest annavad aimu arvukad esikohad Robotexi võistluselt. Robootikaklubi on üks nendest klubidest, millega oleksin tahtnud ka ise heal meelel liituda, kuid kahjuks ei jää mul muude kohustuste kõrvalt sellega tegelemiseks piisavalt aega. Robotite ehitamine on suuresti meeskonnatöö ja oleks ebaõiglane liituda mõne meeskonnaga ise mitte aktiivselt panustades. Pigem panustan siis Robotexil IT Kolledži Robootikaklubi pöidlahoidjana.

Alates neljandast loengust jõudis esinemisjärjekord külalisesinejate kätte. Hetkel Toggle’s programmeerijana töötav Janika Liiv tegi ettekande teemal Subjektiivselt programmeerimisest, stereotüüpidest ja kogukonnast <ref>[https://echo360.e-ope.ee/ess/echo/presentation/cc18f732-a0f2-4264-a3b8-d1a281583016 Liiv, J. Subjektiivselt programmeerimisest, stereotüüpidest ja kogukonnast. EIK loengusalvestus 18.09.2014]</ref>. Väga paljud programmeerijad on võrrelnud programmeerimist loovkirjutamisega. Ka Janika tõmbas programmeerimisest rääkides paralleele filmistsenaariumi kirjutamisega, kus jutustataval lool peab olema selge mõte, teemaarendus ning lõpptulemus. Seejuures peab kõik toimima intuitiivselt, sest kui oled midagi valmis kirjutanud, siis pead leppima ka sellega, et inimesed kasutavad seda valesti. Kogukondadest rääkides rõhutas Janika nende olulisust. Just kogukond on see, kelle hulka sa kuulud, kelle kaudu leiad uusi kontakte ning kes sind vajadusel aitab. Ega asjata öelda, et suurepärast tarkvara pole võimalik luua ilma suurepärase meeskonnata. Janika ettekanne mõjus inspireerivalt ilmselt enamusele kuulajatest, kellel puudub eelnev programmeerimiskogemus, tema eestvedamisel tegutseva TechSisters’i klubi tegemistel olen aga juba pikalt silma peal hoidnud lootuses nendega kunagi liituda.

Viienda loengu <ref>[https://echo360.e-ope.ee/ess/echo/presentation/ff9f663f-f616-4dea-b9b1-85616acfcccc Fischer, C. IT süsteemide administraatorilt esmakursuslasele. EIK loengusalvestus 25.09.2014]</ref> külalisesinejaks oli Skype süsteemiadministraator Carolyn Fischer, kes oma ametinimetusest tulenevalt tutvustas IT süsteemide administreerimisest. Võrreldes arenduse, analüüsi ja testimisega on administreerimise valdkond minust alati väga kaugele jäänud. Liiga tehniline ja liiga keeruline. Seda huvitavam oli näha ja kuulata naisterahvast, kes selles üdini maskuliinses valdkonnas nii edukalt läbi on löönud. Carolyn tõi välja, et administreerimine on eelkõige süstemaatiline mõtlemine ning tänapäeval pole suurt vahet, kas oled administraator või arendaja, kuna ka administraator peab oskama teataval määral programmeerida ning arendaja süsteeme seadistada. Carolyni jutust jäi kõlama ettevalmistuste tähtsus ning soovitus mitte ühegi asjaga hiljaks jääda. See viimane soovitus oli vähemalt minu jaoks, kes ma alati viimasel minutil ja tihtipeale veel minut-kaks hiljemgi oma töödega ühele poole saan, küll kui rusikas silmaauku.

Kuuendas loengus <ref>[https://echo360.e-ope.ee/ess/echo/presentation/75d683be-016f-45e4-916d-d71a8c9c3d43 Karmo, K. Testimine ja tarkvara kvaliteet. EIK loengusalvestus 02.10.2014]</ref> rääkis Kristjan Karmo ASA Quality Service’st testimisest ja tarkvara kvaliteedist. Testija töö seisneb arendaja poolt tehtud vigade otsimises. Mida vähem vigu, seda kvaliteetsem tarkvara. Mida varem viga avastatakse, seda odavam on seda parandada. Mingil arusaamatul põhjusel olin alati arvanud, et just testimine võiks olla see valdkond, milles kunagi IT tööturule sisenen. See tundus olevat selline jõukohane töö, millega iga algaja arendaja peaks suurema vaevata hakkama saama. Minu illusioonid said aga Kristjani poolt armutult purustatud. Selgus, et hea testija eelduseks on eelkõige aastate pikkune arenduskogemus. Testijate töö on IT valdkonnas tihtipeale vähetähtsustatud, aga Kristjan tõi vaid paari näite varal välja, kui oluline on testijate töö tegelikult ja millised võivad olla tagajärjed, kui vigadele läbi sõrmede vaadatakse.

Seitsmenda loengu <ref>[https://echo360.e-ope.ee/ess/echo/presentation/0326c0ae-9a48-4b1f-bbbc-0cfb8b94991c Septer, A. IT tööturust. EIK loengusalvestus 09.10.2014]</ref> viis läbi kahtlemata kursuse kõige karismaatilisem esineja Andres Septer, kes rääkis oma tähelepanekutest Eesti IT tööturul toimuvast. Suhteliselt pessimistlikus ja kohati kritiseerivas toonis ettekanne, mida ilmestasid koomilised näited ja mahlakas sõnavara, mõjus kokkuvõttes pigem positiivsena ja andis hea laengu. Andres võrdles töötamist era- ja avalikus sektoris, väike- ja suurettevõttes ning selgitas, et igal töökohal on omad plussid ja miinused. See, mis sobib ühele, ei pruugi sobida teisele. Kuigi üldjuhul rõhutatakse spetsialiseerumise vajadust, siis Andres juhtis tähelepanu asjaolule, et Eesti tööturu väiksust arvestades on oluline vältida liiga kitsast spetsialiseerumist, mis võib hiljem tekitada raskusi erialase töö leidmisel. Kindlasti on tulevikus töökoha valiku sihte seades kasulik meenutada ettekandes väljatoodud fakte erinevate IT valdkonna asutuste ja töökohtade kohta. Näiteid oli tõesti seinast seina.

Kaheksandas ja ühtlasi kursuse viimases loengus <ref>[https://echo360.e-ope.ee/ess/echo/presentation/791a5ecb-f27c-4401-8565-1dbd16894f27?ec=true Lang, E. Suhtumine õppetöösse ja veebirakenduste turvalisus. EIK loengusalvestus 16.10.2014]</ref> rääkis Elar Lang ettevõttest Clarified Security suhtumisest õppetöösse ja veebirakenduste turvalisusest. Elar rõhutas suhtumise olulisust nii töös kui koolis. Oluline pole mitte see, mida sa praegu oskad, vaid see, mida sa tahad osata ühe aasta pärast. Kui on olemas tahe õppida ja areneda, siis on kõik saavutatav. Seega on kõik suhtumise küsimus. Ka turvalisus on eelkõige suhtumise küsimus. Privaatsusest on saanud luksuskaup ja ainult sinu enda tegevusest sõltub sinu andmete turvalisus, sest Internet on ühesuunaline tee. Elari loengust sain kinnitust, et kasutan

==Õpingukorralduse küsimused==
===Küsimus A===
Kukkusid eksamil läbi. Kaua on võimalik eksamit järele teha? Kellega kokkuleppida, et järeleksamit teha? Kuidas toimub järeleksamile registreerimine? Mis on tähtajad? Palju maksab, kui oled riigi finantseeritaval (RF) õppekohal? Palju maksab, kui oled tasulisel (OF) õppekohal?

'''Vastus'''

Peale eksamil läbi kukkumist võin sooritada korduseksami kahe semestri jooksul pärast aine õpetamissemestri lõppu, kusjuures õppejõul on õigus anda mulle täiendavaid ülesandeid, mille täitmine on korduseksamile lubamise eelduseks. Korduseksamite tähtajad määrab ainet õpetav õppejõud kooskõlas õppeosakonnas koostatud ajakavaga. <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 5.3.6.]</ref>
Korduseksamile registreerimine toimub Õppeinfosüsteemis <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 5.2.8.]</ref> ning registreerumise ja soorituse vahele peab jääma vähemalt 2 tööpäeva <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 5.2.9.]</ref>. Riigi finantseeritaval (RF) õppekohal õppijatele on korduseksamid tasuta. Tasulisel (OF) õppekohal õppijatele on korduseksamid tasulised ning tasu suurus kehtestatakse rektori käskkirjaga <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 5.2.7.]</ref>. 2014/2015 õppeaastal on kordussoorituse tasu 20 eurot <ref>[http://www.itcollege.ee/tudengile/finantsinfo/pangarekvisiidid/ Teenuste tasumäärad 2014/2015 õppeaastal, punkt 5.]</ref>.

===Küsimus 1===
Teisel või kolmandal õppeaastal avastad, et teine õppekava sobib paremini ja sa otsustad õppekava vahetada. Millised on tegevused ja mis ajaks tuleb need teha, et vahetada õppekava?
Kas deklareeritud, kuid tegemata jäänud valikaine tuleb kolledži lõpetamiseks tingimata sooritada? Millega pean arvestama, deklareerides valikaineid üle õppekavas ette nähtud mahu (sh. deklareeritud, kuid sooritamata jäänud valikained)?

'''Vastus'''

Õppekava vahetamise taotlemiseks pean esitama hiljemalt 1 tööpäev enne semestri punase joone päeva EIK õppeosakonda rektori nimele vabas vormis kirjaliku avalduse ja nimekirja õppesooritustest, mille arvestamist uue õppekava osana taotlen <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 7.2.1.]</ref>.
Õpinguaja jooksul pean sooritama kõik minu poolt täidetavas õppekavas olevad kohustuslikud ained ja õppekavas ettenähtud mahus valikaineid. <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 1.3.6.]</ref> EIK lõpetamiseks ja vastava lõpudokumendi saamiseks pean täitma kõik tema õppekava lõpetamistingimused. <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 5.6.1.]</ref>
Seega, kui õppekava lõpetamistingimused on täidetud, siis deklareeritud, kuid tegemata jäänud valikainet sooritama ei pea.

Üliõpilasel, kes lõpetab õpingud nominaalajaga, on õigus avalduse alusel taotleda õppemaksu tagastamist 180 EAP ületavate EAPde eest kuni 2 EAP ulatuses. Avaldus õppemaksu tagastamiseks esitatakse õppeosakonda peale diplomitöö edukat kaitsmist viie tööpäeva jooksul alates kaitsmise tulemuste teatavaks tegemisest.<ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 3.1.8.]</ref>. Deklareerides valikaineid üle õppekavas ette nähtud mahu, esitatakse mulle õppemaksu arve õppekava nominaalmahtu ületavate õpingute eest.

===Ülesanne===
Kui mitme EAP ulatuses tuleb õppekulud osaliselt hüvitada aasta lõpuks, kui esimese semestri lõpuks on olemas 22 EAPd ja teise semestri lõpuks 19 EAPd?

'''Vastus'''

Õppekulude osalise hüvitamise kohustuse <ref>[http://www.itcollege.ee/tudengile/eeskirjad-ja-juhendid/oppekorraldus-eeskiri/#eksamid Õppekorralduse eeskiri, punkt 1.2.18.]</ref> tekkimise aluseks oleva õppekava täies mahus täitmise määr on vastavalt Eesti Infotehnoloogia Kolledži nõukogu otsusele (protokoll nr 3C-1/13-2, 27.02.2013) 2014/2015 õppeaastal 27 EAP semestris ja õppekulude osalise hüvitamise määr on 50 € 1 EAP kohta. Õppekulude osaline hüvitamine toimub õppekava täies mahus täitmata jäänud semestrile järgneval semestril, täpne maksetähtaeg on määratud esitataval arvel. <ref>[http://www.itcollege.ee/tudengile/finantsinfo/ Finantsinfo]</ref>

Kui esimese semestri lõpuks on olemas 22 EAPd, siis teise semestri alguses esitatakse arve 5 EAP eest summas 250 eurot.
Kui teise semestri lõpuks on olemas 19 EAPd ja kumulatiivselt kokku 41 EAPd, siis aasta lõpuks esitatakse arve 13 EAP eest summas 650 eurot.

=Viited=
<references />