ICO wiki - User contributions [en]

I027 iseseisvad tööd

2017-05-23T15:10:49Z

Rsaks:

Käesolev artikkel on loodud aine "[[Sissejuhatus infotehnoloogiasse ja riistvarasse]] (ainekoodiga I027)" iseseisvate tööde haldamiseks.
Aines on vaja teha 3 praktilist tööd ja seminaritöö, mis on kõik kirjeldatud "Praktikumid" pealkirja all viidatud dokumendis.

Palun siia dokumenti panna kirja valitud praktikumi nimetus. Ülikooli kasutajaga saavad tudengid ka vikit muuta. Muudatused salvestuvad ka ajaloos.

See üllas eesmärk on, et võimalikult erinevaid praktikumid ja probleemilahendus saaks valitud.
Siit dokumendist te näete, mida keegi parasjagu tegemas on.

=1.praktikum=
* '''Eesnimi Perenimi, grupp - valitud teema'''
* Mark Selezenev, IA17 - Linuxi tööjaama paigaldus
* Egert Närep, DK11 - SSH vestlus
* Ingvar Lukas, 14 - Info riistvara kohta
* Jaan Veikesaar, 11 - Linuxi tööjaama paigaldus
* Rando Rommot, 13 - Linuxile teine töölaud
* Nele Naris, IA18 - Info riistvara kohta
* Katrin Lasberg, DK13 - Info riistvara kohta
* Andrek Laanemets, 11 - Info riistvara kohta
* Peeter Fridolin, 13 - SSH Windows + Linux
* Kristo Tero, IA18 - LAMP paigaldus
* Siim Kustassoo, IA18 - Info riistavara kohta
* Rain Adamson, 41 - APT'i analoog Windowsile
* Rein Remsu, IA17 - SSH Windows + Linux
* Piret Spitsõn, DK11 - Info riistvara kohta
* Tanel Vari, DK13 - Linuxi tööjaama paigaldus
* Mihkel-Erik Mägi - Linuxile teine töölaud
* Jaan Koolmeister, DK 13 - Info riistvara kohta
* Sander Ratassepp, 13 - Linuxile teine töölaud
* Marilyn Võsu, DK11 - Info riistvara kohta
* Triin Palm, IA18 - Linuxi tööjaama paigaldus
* Maie Palmeos, DK11 - Kaksikkäivitus Windows + Linux
* Dmitri Lukaš, DK11 - Info ristvara kohta
* Dmitri Tšurjumov, IA17 - Info riistvara kohta
* Leonid Grigorjevski, IA18 - Info riistvara kohta
* Merilyn Merisalu, 13 - Linuxi serveri paigaldus
* Iakov Kanyuchka, IA18 - Info riistvara kohta
* Madis Roosioks, D22 - Info riistvara kohta
* Rauno Lõhmus, 13 - Kaksikkäivitus Windows+Linux
* Maile Mäesalu, DK14 - Info riistvara kohta
* Alan Alliksoo, DK11 - Info riistvara kohta
* Reilika Saks, IA17 - MSO->ODF dokumentide konvertimine
* Andres Tambek, DK12 - Info riistvara kohta
* Hardi Tiitus, DK12 - Info riistvara kohta
* Jan Pentšuk, DK12 - Info riistvara kohta
* Pille Ulmas, DK13 - Info riistvara kohta
* Peeter Stamberg, DK 11 - Info riistvara kohta
* Karit Kilgi, DK 32 - Kaksikkäivitus Windows + Linux
* Kreet Solnask, IA17 - Linuxi tööjaama paigaldus
* Kristo Leesmann, 13 - LAMP paigaldus
* Kristjan Leotoots, DK12 - SSH Windows + Linux
* Erki Aas, 12 - LAMP paigaldus
* Liis Talimaa, DK12, Info riistvara kohta
* Irina Geidarova, IA18 Linuxi tööjaama paigaldus
* Ruudi Vinter, DK12 - Info riistvara kohta
* Anton Kuksov, 12 - LAMP paigaldus
* Eduard Kõre, AK11 - Info riistvara kohta
* Marie Udam, DK14 - Info riistvara kohta
* Erik Ehrbach, DK14 - LAMP paigaldus
* Jüri Ahhundov, DK11 - Info riistvara kohta
* Kristina Garmatjuk, DK11 - Info riistvara kohta
* Kaisa Lindström, 15 - Info riistvara kohta
* Marko Esna, AK11 - APT'i analoog Windowsile
* Jana Kindlam, DK12 – info riistvara kohta
* Ave-Liis Saluveer, DK13 - info riistvara kohta
* Kadi Koppelmann, DK14 - info riistvara kohta
* Anita Sepp, DK12 - Info riistvara kohta
* Madis Võrklaev, AK11 - Info riistvara kohta
* Rudolf Purge, AK11 - Info riistvara kohta
* Ilmar Ermus, IA17 - Kaksikkäivitus Windows + Linux
* Leho Kivistik, 14 - Info riistvara kohta
* Hannes Mäeorg, 14 - Info riistvara kohta
* Alexander Teder, 12 - Info riistvara kohta
* Jüri Vinnal, IA18 - Info riistvara kohta
* Marko Mõznikov, DK12 - Info riistvara kohta
* Radne Kaal, IA18 - Info riistvara kohta
* Kaarel Pärtel, 14 - Lapikute serverite töökorrastamine: Riistvara, Arch ja SSH.
* Kuldar Teinmann, AK11 - LAMP paigaldus
* Pavel Fleišer, 14 - LAMP paigaldus
* Katrin Kello, 14 - Info riistvara kohta
* Madis Liik, IA18 - Linuxi tööjaama paigaldus
* Andero Samelselg, 15 - LAMP paigaldus
* Konstantin Dmitrijev, IA18 - Linuxile teine töölaud
* Filip Fjodorov, AK11 - Info riistvara kohta
* Jevgeni Jurtsenko, DK13 - info riistvara kohta
* Ruti Kerro, IA17 - LAMP paigaldus
* Artur Kapranov, IA17 - Linuxi tööjaama paigaldus
* Annika Kask, 11 - Windows Subsystem for Linux (WSL)
* Anton Meženin, DK14 - Info riistvara kohta
* Martti-Heiki Must, IA17 - Info riistvara kohta
* Marten Tammeleht, 13 - Kaksikkäivitus Windows + Linux
* Indro Kottise, 15 - Info riistvara kohta
* Karl-Hendrik Muuga, 15 - LAMP paigaldus
* Priit Rätsep, DK12 - Info riistvara kohta
* Merike Meizner, DK11 - Linuxi tööjaama paigaldus
* Simo Jaanus, 13 - Info riistvara kohta
* Henri Annilo, DK13 - SSH Windows + Linux
* Laura Lenbaum, IA18 - Info riistvara kohta
* Donna Nurmbek, IA17 - Linuxi tööjaama paigaldus
* Rando Kurel, 12 - Info riistvara kohta
* Joonas Rihma, DK11 - Kaksikkäivitus Windows + Linux
* Helen Oppar, DK12 - Info riistvara kohta
* Tanel Peep, AK11 - Linux serveri paigaldus
* Brit Valdek, DK14 - Info riistvara kohta
* Oliver Nurk, 11 - Info riistvara kohta
* Erik Kaup, 13 - Info riistvara kohta
* Rait Rand, 11 - Info riistvara kohtan
* Elizaveta Romanova, 11 - Linuxi tööjaama paigaldus
* Meelis Mikk, 11 - Info riistvara kohta
* Karoliina Vasli - LAMP paigaldus
* Aare Taveter - IA17 - Linuxi tööjaama paigaldus
* Simo Sirkas, 15 - Info riistvara kohta
* Mihkel Tääkre, 15 - Info riistvara kohta
* Annely Vattis AK11- Info riistvara kohta
* Valdo Taevere, 13 - Kaksikkäivitus Windows + Linux
* Anni- Bessie Kitt, DK14 - Info riistvara kohta
* Reio Meiusi, 15 - Info riistvara kohta
* Marju Niinemaa IA17 - Info riistvara kohta
* Tarmo Luugus, 14 - Info riistvara kohta
* Martin Laadoga, 14 - Kaksikkäivitus Windows + Linux
* Rasmus Tammets, AK11 - Linuxi tööjaama paigaldus
* Sirli Mürk, AK11 - Linuxi tööjaama paigaldus
* Rene Väli, DK13 - Info riistvara kohta
* Andrei Pugatšov, DK14 - Info riistvara kohta
* Markus Kildemaa, 15 - Linuxile teine töölaud
* Anna Levijeva, 12 - LAMP paigaldus
* Maarja-Liisa Pilvik, DK14 - Info riistvara kohta
* Henrik Prangel, 12 - Info riistvara kohta
* Vjatsheslav Aprelkov, DK11 - Info riistvara kohta
* Sergei Kaganski, DK14 - Info riistvara kohta
* Andrei Tomba, DK14 - info riistvara kohta
* Siim Oselein, ISa11 - Kaksikkäivitus Windows + Linux
* Lisette Noor, D23 - Info riistvara kohta
* Kirstin Saluveer, DK13 - APT'i analoog Windowsile
* Lauri Üksti, DK14 - info riistvara kohta
* Arnika Rästa, ISd14 - info riistvara kohta
* Alo Avi, ISd14 - LAMP paigaldus
* Gert Vesterberg, DK11 - LAMP paigaldus
* Anna Amelkina, AK11 - Info riistvara kohta
* Egert Loss, DK14, Linux serveri paigaldus
* Ahto Ahven, 15, Info riistvara kohta
* Villem Markus Loigom, 11, SSH vestlus
* Frank Karl Koppel, 11, SSH vestlus
* Juta Jaama, IA18 - Info riistvara kohta
* Kaarel Kaine, DK12 - Info riistvara kohta
* Kert Saarma, 12 - Info riistvara kohta
* Martin Kokk, 11 - Linuxi serveri paigaldus
* Artur Tammiste, 14 - Info riistvara kohta
* Paul Richard Lettens, 12 - Info riistvara kohta
* Liina Laumets, DK13 - Info riistvara kohta
* Martin Tammai, 11 - Info riistvara kohta
* Margus Põlma, 15, LAMP paigaldus
* Kersti Perandi, DK13 - Info riistvara kohta
* Tõnis Prants, 15, Linuxi tööjaama paigaldus
* Andres Kalavus, 12, APT-i analoog Windowsis
* Sven Veelaid, ISd14 - info riistvara kohta
* Helen Riisalu, 11 - Info riistvara kohta
* Aleksandr Petrušihin, DK14 - Info riistvara kohta
* Kädi-Kristlin Miggur, IA 17 - Info riistvara kohta
* Karl Erik Õunapuu, 15 - LAMP paigaldus
* Marite Rammo, 15 - Info riistvara kohta
* Georg Kahest, AK11 - Linux serveri paigaldus
* Jekaterina Losseva, DK12 - Info riistvara kohta
* Madis Niinelt, IA18 - Info riistvara kohta
* Madis Tammekänd, DK12 - Info riistvara kohta
* Brita Pentšuk, 13 - Info riistvara kohta
* Dmitri Kiriljuk, AK11 - Info riistvara kohta
* Joonas Ervald, DK11 - Linuxi tööjaama paigaldus
* Priit Järv, 12 - Info riistvara kohta
* Henri Paves, AK11 - Info riistvara kohta
* Aleksandra Sepp, AK11 - Info riistvara kohta
* Sander Pihelgas, AK11 - Info riistvara kohta
* Andreas Porman, DK13 - Kaksikkäivitus Windows+Linux
* Andres Leppik, DK13 - Info riistvara kohta

=2.praktikum=
* '''Eesnimi Perenimi, grupp - valitud teema'''
* Mark Selezenev, IA17 - Linuxile Teine Töölaud
* Egert Närep, DK11 - SSH Windows+Linux
* Jaan Veikesaar, 11 - Linuxile teine töölaud
* Rando Rommot, 13 - LAMP Paigaldus
* Katrin Lasberg, DK13 - Windows Subsystem for Linux (WSL)
* Andrek Laanemets, 11 - Linuxile teine töölaud
* Kristo Tero, IA18 - APT'i analoog Windowsile
* Siim Kustassoo, IA18 - Teine GUI Windowsile
* Rain Adamson, 41 - LibreOffice'i hulgipaigaldus
* Rein Remsu, IA17 - Kaksikkäivitus Windows+Linux
* Mihkel-Erik Mägi, 13 - Teine GUI Windowsile.
* Nele Naris, IA18 - LAMP paigaldus
* Piret Spitsõn, DK11 - Linuxi tööjaama paigaldus
* Dmitri Tšurjumov, IA17 - Linuxi tööjaama paigaldus
* Tanel Vari, DK 13 - Info riistvara kohta
* Jaan Koolmeister, DK 13 - Linuxile teine töölaud
* Marilyn Võsu, DK11 - Kaksikkäivitus Windows+Linux
* Madis Roosioks, D22 - Kaksikkäivitus Windows+Linux
* Triin Palm, IA18 - Linuxile teine töölaud
* Maie Palmeos, DK11 - Windows Subsystem for Linux (WSL)
* Dmitri Lukaš, DK11 - Windows Subsystem for Linux / APT'i analoog Windowsile
* Leonid Grigorjevski, IA18 - Linuxi tööjaama paigaldus
* Alan Alliksoo, DK11 - Kaksikkäivitus Windows+Linux
* Reilika Saks, IA17 - E-posti krüpto
* Andres Tambek, DK12 - Linuxi tööjaama paigaldus
* Hardi Tiitus, DK12 - Linuxile teine töölaud
* Jan Pentšuk, DK12 - Linuxi tööjaama paigaldus
* Irina Geidarova, IA18 Info riistvara kohta
* Karit Kilgi, DK 32 - Teine GUI Windowsile
* Kreet Solnask, IA17 - MSO->ODF dokumentide konvertimine
* Kristjan Leotoots, DK12 - APT'i analoog Windowsile
* Liis Talimaa, DK12, SSH Windows+Linux
* Eduard Kõre, AK12 - SSH Windows+Linux
* Erik Ehrbach, DK14 - SSH Windows+Linux
* Helen Oppar, DK12 - Linuxile teine töölaud
* Jüri Ahhundov, DK11 - MSO->ODF dokumentide konvertimine
* Kristina Garmatjuk, DK11 - LAMP paigaldus
* Jana Kindlam, DK12 – Linuxi tööjaama paigaldus
* Ave-Liis Saluveer, DK13 - LAMP paigaldus
* Marko Esna, AK11 - Linuxile teine töölaud
* Alexander Teder, 12 - Kaksikkäivitus Windows+Linux
* Marko Mõznikov, DK12 - LAMP paigaldus
* Madis Liik, IA18 - Teine GUI Windowsile
* Annika Kask, 11 - Info riistvara kohta
* Rando Kurel, 12- Linuxi tööjaama paigaldus
* Karl-Hendrik Muuga, 15 - LAMP paigaldus
* Ingvar Lukas, 14 - LAMP paigaldus
* Markus Kildemaa, 15 - Linuxi serveri paigaldus
* Brita Pentšuk, 13 - Linuxi serveri paigaldus
* Anton Kuksov, 12 - MSO->ODF dokumentide konvertimine
* Kristo Leesmann, 13 - APT-i analoog Windowsile
* Sander Ratassepp, 13 - Windows Subsystem for Linux (WSL)
* Peeter Fridolin, 13 - Windows Subsystem for Linux (WSL)
* Joonas Rihma, DK11 - LAMP paigaldus
* Priit Rätsep, DK12 - Kaksikkäivitus Windows+Linux
* Andrei Tomba, DK14 - Raspberry Pi
* Vjatšeslav Aprelkov, DK11 - Linuxile teine töölaud
* Sergei Kaganski, DK14 - Raspberry Pi
* Jevgeni Jurtsenko, DK13 - LAMP paigaldus
* Merike Meizner, DK11 - Windows Subsystem for Linux (WSL)
* Andrei Pugatšov, DK14 - Windows Subsystem for Linux (WSL)
* Joonas Ervald, DK11 - Raspberry Pi
* Kuldar Teinmann, AK11 - SSH Windows+Linux
* Lauri Üksti, DK14 - Mac+Windows kaksikkäivitus, uusim LTS, uus vaikimisi töölaua keskkond
* Pavel Fleišer, 14 - Linuxi tööjaama paigaldus
* Simo Jaanus, 13 - Linuxile Teine Töölaud
* Marten Tammeleht, 13 - Teine GUI Windowsile
* Anna Levijeva, 12 - Linuxi tööjaama paigaldus
* Andero Samelselg, 15 - E-posti krüpto
* Laura Lenbaum IA18- E-posti krüpto
* Henri Paves, AK11 - Linuxile teine töölaud
* Ruti Kerro, IA17 - APT analoog Windowsile
* Merilyn Merisalu, 13 - LAMP paigaldus
* Anton Meženin, DK14 - Windows Subsystem for Linux (WSL)
* Marie Udam, DK14 - Linuxile teine töölaud
* Ilmar Ermus, IA17 - SSH Windows + Linux
* Madis Niinelt, IA18 - Windows Subsystem for Linux (WSL)
* Maile Mäesalu, DK14 - Linuxile teine töölaud
* Andreas Porman, DK13 - LAMP paigaldus
* Pille Ulmas, DK13 - Kaksikkäivitus Windows+Linux
* Henrik Prangel, 12 - Linuxile teine töölaud
* Konstantin Dmitrijev, IA18 - info riistvara kohta
* Anita Sepp, DK12 - Kaksikkäivitus Windows+Linux
* Radne Kaal, IA18 - E-posti krüpto
* Sander Pihelgas, AK11 - LAMP paigaldus
* Andres Leppik, DK13 - Linuxile teine töölaud

=Probleemilahendus=
* '''Eesnimi Perenimi, grupp - valitud teema'''
* Egert Närep, DK11 - VPN Linuxis
* Jaan Veikesaar, 11 - Ekraani värvitemperatuuri muutmine Linuxis
* Laura Lenbaum, IA18 - Salasõna eemaldamine PDF-faililt.
* Nele Naris, IA18 - ePub loomine Windowsis
* Madis Roosioks, D22 - Ekraani värvitemperatuuri muutmine Windowsis
* Katrin Lasberg, DK13 - Talveune lubamine või keelamine
* Andrek Laanemets, 11 - Kasutaja lukustamine Linuxis
* Kristo Tero, IA18 - Võrgust sõltumatu vabatarkvaraline kaughaldus
* Siim Kustassoo IA18 - ePub loomine Windowsis
* Rain Adamson, 41 - Ajastatud toimingute keelamine kasutajatele Linuxis.
* Rein Remsu, IA17 - Sügavkülmutus Linuxis
* Jooni Soots, IA17 - Kodukataloogi krüpteerimine
* Piret Spitsõn, DK11 - Salasõna eemaldamine PDF-faililt
* Kreet Solnask, IA17 - ePub loomine MacOS-is
* Tanel Vari, DK 13 - QR kood MacOS-s
* Jaan Koolmeister, DK 13 - Kiirusetest Linuxis
* Rando Rommot, 13 - Kasutaja lukustamine Linuxis.
* Marilyn Võsu, DK11 - Kustunud faili(de) taastamine
* Triin Palm, IA18 - Pilveketas sõltumata operatsioonisüsteemist
* Maie Palmeos, DK11 - Automaatne privaatne veebilehitseja Windowsis
* Dmitri Lukaš, DK11 - ePub loomine Windowsis / Programmide automaatkäivitus / Ekraani värvitemperatuuri muutmine Windowsis
* Dmitri Tšurjumov. IA17 - Võrguprobleem sõltumata operatsioonisüsteemist.
* Leonid Grigorjevski, IA18 - Unustatud salasõna taastamine
* Alan Alliksoo, DK11 - Automaatne Windowsi uuendamine etteantud ajal
* Reilika Saks, IA17 - Salasõna eemaldamine PDF-faililt
* Andres Tambek, DK12 - Külalise kasutaja disainimine Linuxis.
* Jan Pentšuk, DK12 - Kustunud faili(de) taastamine
* Filip Fjodorov, AK11 - Ekraani värvitemperatuuri muutmine Windowsis.
* Karit Kilgi, DK 32 - Ekraani värvitemperatuuri muutmine Windowsis.
* Eduard Kõre, AK12 - Võrguprobleem sõltumata operatsioonisüsteemist.
* Jüri Ahhundov, DK11 - Kodukataloogi krüpteerimine.
* Ave-Liis Saluveer, DK13 - Salasõna eemaldamine PDF-faililt
* Madis Võrklaev, AK11 - Kioskirežiim Linuxis
* Marko Esna, AK11 - Ekraani värvitemperatuuri muutmine Windowsis.
* Alexander Teder, 12 Automaatne Windowsi uuendamine etteantud ajal.
* Merilyn Merisalu, 13 - Automaatne sisselogimine külalise kontoga
* Ruti Kerro, IA17 - Programmi sulgemine jõuga ja kokkujooksmise vältimine Linuxis
* Karl-Hendrik Muuga, 15 - Tekstirežiimis (CLI) käivitamine
* Markus Kildemaa, 15 - Külalise konto vaikimisi sisse logima
* Brita Pentšuk, 13 - Failisüsteemi haakimine - NTFS Linuxis
* Peeter Fridolin, 13 - Skype’i turvaline analoog Linuxile
* Andrei Tomba, DK14 - Kiirusetest Linuxis
* Priit Rätsep, DK12 - Ekraani värvitemperatuuri muutmine Windowsis
* Annika Kask, 11 - ePubi loomine Windowsis
* Ingvar Lukas, 14 - Kiire sulgemine, väljalogimine Linuxis.
* Joonas Ervald, DK11 - Protsessori ülekiirendamine
* Merike Meizner, DK11, Automaatne privaatne veebilehitsemine Linuxis
* Kuldar Teinmann, AK11 - Failijagamine FTP-ga Linuxis
* Madis Niinelt, IA18 - Kioskirežiim Linuxis
* Pavel Fleišer, 14 - Failijagamine FTP-ga Linuxis / Skype’i turvaline analoog Linuxile
* Simo Jaanus, 13 - Kiire sulgemine, väljalogimine Linuxis
* Marten Tammeleht, 13 - Külalise kasutaja disainimine Linuxis
* Hardi Tiitus, DK12 - Kiire sulgemine, väljalogimine Linuxis
* Helen Oppar, DK12 - Kiire sulgemine, väljalogimine Linuxis
* Henri Paves, AK11 - Paigaldatud teise töölauakeskkonna eemaldamine
* Andrei Pugatšov, DK14 - Viirusetõrje Linuxis
* Anton Meženin, DK14 - Viirusetõrje Linuxis
* Kristo Leesmann, 13 - Skype’i turvaline analoog Linuxile
* Kristina Garmatjuk, DK11 - Kiire sulgemine, väljalogimine Linuxis.
* Vjatsheslav Aprelkov,DK11 - Paigaldatud teise töölauakeskkonna eemaldamine
* Anita Sepp, DK12 - Teine töölauakeskkond Linuxile
* Radne Kaal, IA18 - Automaatne privaatne veebilehtisemine Windowsis.
* Andero Samelselg, 15 - Vabavaraline salasõnade haldur
* Pille Ulmas, DK13 - Kasutaja lukustamine Linuxis

[[Category:Sissejuhatus infotehnoloogiasse ja riistvarasse]]

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T16:38:33Z

Rsaks: /* Ekspertiis ja kohtupraktika */

[[Category:ITSPEA 2016 kaugõpe]]
=Arvutikriminalistika=
Sissejuhatus <ref>Brian Carrier - File System Forensic Analysis</ref>

==Arvutikriminalistika minevik, olevik ja tulevik==
Kuigi arvutikriminalistikat peetakse teiste kriminalistikaharudega võrreldes suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuritegu iseenesest sugugi uus, ainult tänapäeva kuuluv nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul see nii ei olnud, arvutite väärkasutuse juhtumeid hakati dokumenteerima kohe arvutite kasutuselevõtmise hetkest alates <ref>Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf</ref>. 1960-ndatel aastatel IT-töötajate ebaeetilist ja seadusevastast arvutikasutamist uurinud Stanfordi uurimisinstituudi teadlane Donn Parker pidi tõdema: „kui inimesed sisenesid arvutuskeskusesse, siis jätsid nad eetika ukse taha“ <ref>Bem, D., Feld, F., Huebner, E., Bem, O. (2008). Computer Forensics – Past, Present and Future. Journal of Information Science and Technology, JIST 5(3) 2008, lk 43-59. https://pdfs.semanticscholar.org/491f/9bf892071f5fc9773de1c9abc2df691391cd.pdf</ref>.

==Arvutikriminalistika metoodikad==

==Andmete peitmine ja otsimine==
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

==Ekspertiis ja kohtupraktika==

===Eesti IT-ekspertiisi praktika===

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

===Eesti kohtupraktika===

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi. Kokku registreeriti 2016. aastal selliseid süütegusid 608. Seejuures üldine kuritegevuse tase langes 11% võrra. <ref name="J2017">Justiitsministeerium (2017) Kuritegevus Eestis 2016. http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf</ref> Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 https://www.riigiteataja.ee/akt/184411?leiaKehtiv</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses. <ref name="J2017"></ref>

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü. <ref name="J2017"></ref> Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud. <ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu. <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716</ref> Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²). Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137). <ref name="J2017"></ref> Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%). 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni. <ref name="J2017"></ref>

==Kokkuvõte==

==Viited==

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T16:35:41Z

Rsaks: /* Eesti kohtupraktika */

[[Category:ITSPEA 2016 kaugõpe]]
=Arvutikriminalistika=
Sissejuhatus <ref>Brian Carrier - File System Forensic Analysis</ref>

==Arvutikriminalistika minevik, olevik ja tulevik==
Kuigi arvutikriminalistikat peetakse teiste kriminalistikaharudega võrreldes suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuritegu iseenesest sugugi uus, ainult tänapäeva kuuluv nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul see nii ei olnud, arvutite väärkasutuse juhtumeid hakati dokumenteerima kohe arvutite kasutuselevõtmise hetkest alates <ref>Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf</ref>.

==Arvutikriminalistika metoodikad==

==Andmete peitmine ja otsimine==
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

==Ekspertiis ja kohtupraktika==

===Eesti IT-ekspertiisi praktika===

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. URL http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

===Eesti kohtupraktika===

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi. Kokku registreeriti 2016. aastal selliseid süütegusid 608. Seejuures üldine kuritegevuse tase langes 11% võrra. <ref name="J2017">Justiitsministeerium (2017) Kuritegevus Eestis 2016. URL http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf</ref> Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 URL https://www.riigiteataja.ee/akt/184411?leiaKehtiv</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses. <ref name="J2017"></ref>

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü. <ref name="J2017"></ref> Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud. <ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu. <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716</ref> Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²). Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137). <ref name="J2017"></ref> Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. URL http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%). 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni. <ref name="J2017"></ref>

==Kokkuvõte==

==Viited==

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T16:20:01Z

Rsaks: /* Ekspertiis ja kohtupraktika */

[[Category:ITSPEA 2016 kaugõpe]]
=Arvutikriminalistika=
Sissejuhatus <ref>Brian Carrier - File System Forensic Analysis</ref>

==Arvutikriminalistika minevik, olevik ja tulevik==
Kuigi arvutikriminalistikat peetakse teiste kriminalistikaharudega võrreldes suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuritegu iseenesest sugugi uus, ainult tänapäeva kuuluv nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul see nii ei olnud, arvutite väärkasutuse juhtumeid hakati dokumenteerima kohe arvutite kasutuselevõtmise hetkest alates <ref>Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf</ref>.

==Arvutikriminalistika metoodikad==

==Andmete peitmine ja otsimine==
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

==Ekspertiis ja kohtupraktika==

===Eesti IT-ekspertiisi praktika===

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. URL http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

===Eesti kohtupraktika===

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi <ref name="J2017">Justiitsministeerium (2017). Kuritegevus Eestis 2016. URL http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf</ref>. Kokku registreeriti 2016. aastal selliseid süütegusid 608 <ref name="J2017"></ref>. Seejuures üldine kuritegevuse tase langes 11% võrra <ref name="J2017"></ref>. Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 URL https://www.riigiteataja.ee/akt/184411?leiaKehtiv</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal <ref name="J2017"></ref>. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses <ref name="J2017"></ref>.

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%<ref name="J2017"></ref>. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus<ref name="J2017"></ref>. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü<ref name="J2017"></ref>. Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud <ref name="J2017"></ref>. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet<ref name="J2017"></ref>. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud<ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716</ref>. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises <ref name="MPIR"></ref>. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu <ref name="MPIR"></ref>. Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²) <ref name="J2017"></ref>. Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137) <ref name="J2017"></ref>. Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. URL http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu <ref name="J2017"></ref>. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%) <ref name="J2017"></ref>. 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93 <ref name="J2017"></ref>. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni <ref name="J2017"></ref>.

==Kokkuvõte==

==Viited==

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T16:15:43Z

Rsaks: /* Eesti kohtupraktika */

[[Category:ITSPEA 2016 kaugõpe]]
=Arvutikriminalistika=
Sissejuhatus <ref>Brian Carrier - File System Forensic Analysis</ref>

==Arvutikriminalistika minevik, olevik ja tulevik==
Kuigi arvutikriminalistikat peetakse teiste kriminalistikaharudega võrreldes suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuritegu iseenesest sugugi uus, ainult tänapäeva kuuluv nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul see nii ei olnud, arvutite väärkasutuse juhtumeid hakati dokumenteerima kohe arvutite kasutuselevõtmise hetkest alates.

==Arvutikriminalistika metoodikad==

==Andmete peitmine ja otsimine==
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

==Ekspertiis ja kohtupraktika==

===Eesti IT-ekspertiisi praktika===

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. URL http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf (09.05.2017)</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

===Eesti kohtupraktika===

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi <ref name="J2017">Justiitsministeerium (2017). Kuritegevus Eestis 2016. URL http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf (09.05.2017)</ref>. Kokku registreeriti 2016. aastal selliseid süütegusid 608 <ref name="J2017"></ref>. Seejuures üldine kuritegevuse tase langes 11% võrra <ref name="J2017"></ref>. Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 URL https://www.riigiteataja.ee/akt/184411?leiaKehtiv (09.05.2017)</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal <ref name="J2017"></ref>. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses <ref name="J2017"></ref>.

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%<ref name="J2017"></ref>. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus<ref name="J2017"></ref>. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü<ref name="J2017"></ref>. Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud <ref name="J2017"></ref>. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet<ref name="J2017"></ref>. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud<ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716 (11.05.2017)</ref>. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises <ref name="MPIR"></ref>. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu <ref name="MPIR"></ref>. Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²) <ref name="J2017"></ref>. Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137) <ref name="J2017"></ref>. Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. URL http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid (11.05.2017)</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu <ref name="J2017"></ref>. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%) <ref name="J2017"></ref>. 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93 <ref name="J2017"></ref>. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni <ref name="J2017"></ref>.

==Kokkuvõte==

==Viited==

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T16:11:51Z

Rsaks: /* Ekspertiis ja kohtupraktika */

[[Category:ITSPEA 2016 kaugõpe]]
=Arvutikriminalistika=
Sissejuhatus <ref>Brian Carrier - File System Forensic Analysis</ref>

==Arvutikriminalistika minevik, olevik ja tulevik==
Kuigi arvutikriminalistikat peetakse teiste kriminalistikaharudega võrreldes suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuritegu iseenesest sugugi uus, ainult tänapäeva kuuluv nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul see nii ei olnud, arvutite väärkasutuse juhtumeid hakati dokumenteerima kohe arvutite kasutuselevõtmise hetkest alates.

==Arvutikriminalistika metoodikad==

==Andmete peitmine ja otsimine==
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

==Ekspertiis ja kohtupraktika==

===Eesti IT-ekspertiisi praktika===

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. URL http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf (09.05.2017)</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

===Eesti kohtupraktika===

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi <ref name="J2017">Justiitsministeerium (2017). Kuritegevus Eestis 2016. URL http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf (09.05.2017)</ref>. Kokku registreeriti 2016. aastal selliseid süütegusid 608 <ref name="J2017"></ref>. Seejuures üldine kuritegevuse tase langes 11% võrra <ref name="J2017"></ref>. Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 URL https://www.riigiteataja.ee/akt/184411?leiaKehtiv (09.05.2017)</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal <ref name="J2017"></ref>. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses <ref name="J2017"></ref>.

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%<ref name="J2017"></ref>. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus<ref name="J2017"></ref>. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü<ref name="J2017"></ref>. Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud <ref name="J2017"></ref>. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet<ref name="J2017"></ref>. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud<ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716 (11.05.2017)</ref>. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises <ref name="MPIR"></ref>. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu <ref name="MPIR"></ref>. Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²) <ref name="J2017"></ref>. Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137) <ref name="J2017"></ref>. Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. URL http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid (11.05.2017)</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu <ref name="J2017"></ref>. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%) <ref name="J2017"></ref>. 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93 <ref name="J2017"></ref>. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni <ref name="J2017"></ref>�.

==Kokkuvõte==

==Viited==

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T16:10:54Z

Rsaks: /* Ekspertiis ja kohtupraktika */

[[Category:ITSPEA 2016 kaugõpe]]
=Arvutikriminalistika=
Sissejuhatus <ref>Brian Carrier - File System Forensic Analysis</ref>

==Arvutikriminalistika minevik, olevik ja tulevik==
Kuigi arvutikriminalistikat peetakse teiste kriminalistikaharudega võrreldes suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuritegu iseenesest sugugi uus, ainult tänapäeva kuuluv nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul see nii ei olnud, arvutite väärkasutuse juhtumeid hakati dokumenteerima kohe arvutite kasutuselevõtmise hetkest alates.

==Arvutikriminalistika metoodikad==

==Andmete peitmine ja otsimine==
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

==Ekspertiis ja kohtupraktika==

Eesti IT-ekspertiisi praktika

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. URL http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf (09.05.2017)</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

Eesti kohtupraktika
Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi <ref name="J2017">Justiitsministeerium (2017). Kuritegevus Eestis 2016. URL http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf (09.05.2017)</ref>. Kokku registreeriti 2016. aastal selliseid süütegusid 608 <ref name="J2017"></ref>. Seejuures üldine kuritegevuse tase langes 11% võrra <ref name="J2017"></ref>. Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 URL https://www.riigiteataja.ee/akt/184411?leiaKehtiv (09.05.2017)</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal <ref name="J2017"></ref>. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses <ref name="J2017"></ref>.

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%<ref name="J2017"></ref>. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus<ref name="J2017"></ref>. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü<ref name="J2017"></ref>. Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud <ref name="J2017"></ref>. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet<ref name="J2017"></ref>. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud<ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716 (11.05.2017)</ref>. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises <ref name="MPIR"></ref>. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu <ref name="MPIR"></ref>. Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²) <ref name="J2017"></ref>. Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137) <ref name="J2017"></ref>. Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. URL http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid (11.05.2017)</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu <ref name="J2017"></ref>. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%) <ref name="J2017"></ref>. 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93 <ref name="J2017"></ref>. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni <ref name="J2017"></ref>�.

==Kokkuvõte==

==Viited==

I026 - Kevad 2017 - Arvutikriminalistika

2017-05-12T16:09:31Z

Rsaks: /* Ekspertiis ja kohtupraktika */

[[Category:ITSPEA 2016 kaugõpe]]
=Arvutikriminalistika=
Sissejuhatus <ref>Brian Carrier - File System Forensic Analysis</ref>

==Arvutikriminalistika minevik, olevik ja tulevik==
Kuigi arvutikriminalistikat peetakse teiste kriminalistikaharudega võrreldes suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuritegu iseenesest sugugi uus, ainult tänapäeva kuuluv nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul see nii ei olnud, arvutite väärkasutuse juhtumeid hakati dokumenteerima kohe arvutite kasutuselevõtmise hetkest alates.

==Arvutikriminalistika metoodikad==

==Andmete peitmine ja otsimine==
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)<ref name="Scott Mueller">Scott Mueller - Upgrading and Repairing PCs</ref> failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi<ref name="Scott Mueller"/> on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia<ref>Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
</ref> on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.<ref>Lossy vs Lossless Compression –
https://optimus.keycdn.com/support/lossy-vs-lossless/</ref> JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt.
Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect <ref>stegDetect - https://github.com/abeluck/stegdetect</ref> – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS <ref>JPHS - https://github.com/h3xx/jphs
</ref><ref>JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm</ref> – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki<ref>Wireshark võrgu liikluse jaoks - https://www.wireshark.org/</ref> kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva<ref>Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/</ref>, kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex <ref>Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/</ref>. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare<ref>VMWare virtuaalmasinate jaoks - http://www.vmware.com/</ref> või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

==Ekspertiis ja kohtupraktika==

Eesti IT-ekspertiisi praktika

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. <ref name="EKEI">Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. URL http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf (09.05.2017)</ref>

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.<ref name="EKEI"></ref>

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.<ref name="EKEI"></ref>

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.<ref name="EKEI"></ref>

Eesti kohtupraktika
Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi <ref name="J2017">Justiitsministeerium. (2017). Kuritegevus Eestis 2016. URL http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf (09.05.2017)</ref>. Kokku registreeriti 2016. aastal selliseid süütegusid 608 <ref name="J2017"></ref>. Seejuures üldine kuritegevuse tase langes 11% võrra <ref name="J2017"></ref>. Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” <ref name="KARS">Karistusseadustik. (2017). RT I, 31.12.2016, 14 URL https://www.riigiteataja.ee/akt/184411?leiaKehtiv (09.05.2017)</ref>. Ligi pooled arvutikelmused on toime pandud Harjumaal <ref name="J2017"></ref>. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses <ref name="J2017"></ref>.

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.<ref name="J2017"></ref>

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. <ref name="J2017"></ref>

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%<ref name="J2017"></ref>. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus<ref name="J2017"></ref>. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü<ref name="J2017"></ref>. Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist <ref name="KARS"></ref>. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud <ref name="J2017"></ref>. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet<ref name="J2017"></ref>. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud<ref name="J2017"></ref> Tuntuim näide on ilmselt Mart Pirita kaasus <ref name="MPIR">1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716 (11.05.2017)</ref>. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises <ref name="MPIR"></ref>. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu <ref name="MPIR"></ref>. Mõningal määral esineb ka lunavara juhtumeid <ref name="J2017"></ref>.

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²) <ref name="J2017"></ref>. Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137) <ref name="J2017"></ref>. Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks <ref name="J2015">Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. URL http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid (11.05.2017)</ref>. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu <ref name="J2017"></ref>. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%) <ref name="J2017"></ref>. 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93 <ref name="J2017"></ref>. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni <ref name="J2017"></ref>�.

==Kokkuvõte==

==Viited==

I027 iseseisvad tööd

2017-02-24T10:08:11Z

Rsaks: /* Probleemilahendus */

I027 iseseisvad tööd

2017-02-24T09:58:00Z

Rsaks: /* 2.praktikum */

I027 iseseisvad tööd

2017-02-24T09:56:29Z

Rsaks: /* 1.praktikum */