I026 - Kevad 2017 - Arvutikriminalistika: Difference between revisions
Line 16: | Line 16: | ||
Tõenäoliselt on arvutikuritegevus siiski veel rohkem levinud, kui numbrite põhjal järeldada võib, sest suurem osa intsidentidest jääb ametlikult registreerimata. Nii näiteks leidis Suurbritannias riikliku statistikaameti hinnangul 2015. aastal aset 2,46 miljonit küberintsidenti, mille tagajärjel kannatas 2,11 miljonit isikut, samas kui ametivõime teavitati vaid 16 349 kübervahenditele toetuvast ning umbes 700 000 kübervahendite kaasabil toime pandud intsidendist<ref name="NCA"></ref>. Ka Eesti keskkriminaalpolitsei küberkuritegude büroo juht tunnistab, et küberkuritegevusega seostub tihti ohvrimentaliteet. Inimene tunneb piinlikkust, et just tema või näiteks tema asutus kuriteo ohvriks langes ega taha juhtunust avalikult kõnelda.<ref>Lõugas, H. (27.11.2016). Mida tähendab Eestis küberkuritegevusega võitlemine? Loomingulisust, põnevust ja kohanemist. https://geenius.ee/uudis/mida-tahendab-eestis-kuberkuritegevusega-voitlemine-loomingulisust-ponevust-ja-kohanemist</ref>. | Tõenäoliselt on arvutikuritegevus siiski veel rohkem levinud, kui numbrite põhjal järeldada võib, sest suurem osa intsidentidest jääb ametlikult registreerimata. Nii näiteks leidis Suurbritannias riikliku statistikaameti hinnangul 2015. aastal aset 2,46 miljonit küberintsidenti, mille tagajärjel kannatas 2,11 miljonit isikut, samas kui ametivõime teavitati vaid 16 349 kübervahenditele toetuvast ning umbes 700 000 kübervahendite kaasabil toime pandud intsidendist<ref name="NCA"></ref>. Ka Eesti keskkriminaalpolitsei küberkuritegude büroo juht tunnistab, et küberkuritegevusega seostub tihti ohvrimentaliteet. Inimene tunneb piinlikkust, et just tema või näiteks tema asutus kuriteo ohvriks langes ega taha juhtunust avalikult kõnelda.<ref>Lõugas, H. (27.11.2016). Mida tähendab Eestis küberkuritegevusega võitlemine? Loomingulisust, põnevust ja kohanemist. https://geenius.ee/uudis/mida-tahendab-eestis-kuberkuritegevusega-voitlemine-loomingulisust-ponevust-ja-kohanemist</ref>. | ||
Üha agressiivsemaks ja tehniliselt võimekamaks muutuv arvutikuritegevus esitab kriminalistidele kahtlemata järjest suuremaid väljakutseid. | |||
=Tõendite kogumise protsess ning nende omandamine arvutikriminalistikas= | =Tõendite kogumise protsess ning nende omandamine arvutikriminalistikas= |
Revision as of 22:05, 12 May 2017
Autorid: Mari-Liis Oldja, Margit Kangur, Reilika Saks, Gregor Luukas
Sissejuhatus
Tänapäeval on raske ette kujutada kuritegu, millel poleks digitaalset mõõdet. Erinevaid infotehnoloogilisi vahendeid võib leida iga inimese töökohast, kodust ja taskust. Iga arvutis, nutitelefonis või võrgus tehtud liigutus jätab endast maha jälje, olgu selleks siis arvuti IP-aadress, võrgus sooritatud infootsingu tulemus, salvestatud fail või mõni muu esmapilgul silmatorkamatuks jääda võiv märk, mis võib osutuda õlekõrreks kuriteo lahendamisel. Digitaalsete jälgede avastamine ja uurimine eeldab laialdasi teadmisi nii kriminalistikast, erinevatest uurimismeetoditest, kasutusel olevatest tööriistadest kui ka infotehnoloogiast üldisemalt.
Arvutikriminalistika areng
Andmekaitse ja infoturbe leksikon defineerib arvutikriminalistikat kui arvutites ja digitaalsetel andmekandjatel olevate kohtukõlblike asitõendite avastamise ja uurimisega tegelevat kriminalistikaharu [1].
Kuigi teiste kriminalistikaharudega võrreldes peetakse arvutikriminalistikat suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuriteod iseenesest sugugi uus, vaid tänapäevale iseloomulik nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul hakati arvuti väärkasutuse juhtumeid dokumenteerima praktiliselt nende kasutuselevõtmise hetkest alates [2]. 1960-ndatel aastatel IT-töötajate ebaeetilist ja seadusevastast arvutikasutamist uurinud Stanfordi uurimisinstituudi teadlane Donn Parker tõdes: „kui inimesed sisenesid arvutuskeskusesse, siis jätsid nad eetika ukse taha“ [3].
Arvutikuritegude hüppeline kasv sai alguse 1980-ndatel aastatel ühes personaalarvutite laiema levikuga ning viis selleni, et arvutikuriteod kuulutati eraldiseisvaks kuriteoliigiks. Nagu iga kuritegu, vajas ka arvutikuritegu kohtumenetluse läbiviimiseks usaldusväärset tõendusmaterjali, mis pani omakorda aluse arvutikriminalistika kui iseseisva kriminalistikaharu tekkele. 1990-ndateks aastateks olid kõik tehnoloogiliselt arenenud riigid arvutikuritegevuse olemusest ja võimalikest riskidest teadlikumaks saanud ning arvutikuritegude uurimiseks ja süülisuse tuvastamiseks hakati koostama täpsemaid protseduurireegleid. Selleks ajaks oli mitmel pool loodud spetsiaalseid arvutikuritegevusele keskendunud teaduslikke uurimiskeskusi ning ka tarkvaratootjad hakkasid omalt poolt pakkuma arvutikuritegude tuvastamiseks sobilikke tööriistu.[3]
Tänaseks on arvuti- või laiemas mõistes küberkuritegevusest saanud kõige kiiremini kasvav kuriteoliik maailmas. Möödunud aastal Suurbritannia riikliku kuritegevuse ameti (NCA) poolt avaldatud raportist selgub, et Suurbritannias ületab kübervahenditega seotud kuritegude arv juba kõik teised kuritegude liigid. Kübervahendite kaasabil toime pandud kuriteod nagu näiteks pettused, ebaseaduslik narkootikumide ostmine või interneti vahendusel laste seksuaalne ärakasutamine moodustas Suurbritannias 2015. aastal 36% kuritegudest. Kübervahenditele toetuvad kuriteod nagu näiteks pahavara levitamine, delikaatsete isikuandmete või ärisaladuste varastamine ja DDoS rünnakud aga 17% kõikidest kuritegudest.[4]
Tõenäoliselt on arvutikuritegevus siiski veel rohkem levinud, kui numbrite põhjal järeldada võib, sest suurem osa intsidentidest jääb ametlikult registreerimata. Nii näiteks leidis Suurbritannias riikliku statistikaameti hinnangul 2015. aastal aset 2,46 miljonit küberintsidenti, mille tagajärjel kannatas 2,11 miljonit isikut, samas kui ametivõime teavitati vaid 16 349 kübervahenditele toetuvast ning umbes 700 000 kübervahendite kaasabil toime pandud intsidendist[4]. Ka Eesti keskkriminaalpolitsei küberkuritegude büroo juht tunnistab, et küberkuritegevusega seostub tihti ohvrimentaliteet. Inimene tunneb piinlikkust, et just tema või näiteks tema asutus kuriteo ohvriks langes ega taha juhtunust avalikult kõnelda.[5].
Üha agressiivsemaks ja tehniliselt võimekamaks muutuv arvutikuritegevus esitab kriminalistidele kahtlemata järjest suuremaid väljakutseid.
Tõendite kogumise protsess ning nende omandamine arvutikriminalistikas
Tänu indekseerimisele ja filtreerimisele, mis tagavad kiire juurdepääsu asjakohastele tõenditele, on kaasustes kasutatavate andmete analüüsiks kuluv aeg märkimisväärselt kahanenud. Kuid efektiivne juurdlus kohtuekspertiisis tähendab seda, et keskendutakse väga detailselt iga juurdluse kui arengu osasse, vältimaks vigu, mis võivad kahjustada tugeva kaasuse sündi. Tänases kohtupraktikas panevad kaitsjad üha enam rõhku tõendite kõlblikkuse annulleerimisele, viidates vigadele, mida on tehtud tõendeid kogudes, talletades jms. Seetõttu ei saa ka arvutikriminalistikas läbi sõrmede vaadata just digitaalsete tõendite hankimise protsessidest. Kohtuekpertiisi digitaalsete tõendite juurdlus kätkeb endas põhiliselt nelja üksteisele järgnevat protsessi, milleks on ettevalmistus, omandamine/säilitamine, analüüs ja aruandlus/presenteerimine.
Ettevalmistus
Kohtuekspertiisi spetsialisti jaoks on väga tähtis olla ettevalmistatud eesolevaks juurdluseks ning peaks silmas pidama järgmisi aspekte:
enne tõendite koguma hakkamist, tuleb sätestada digijuurdluse üldprotsess; väljaõpetatud väli- ja laborimeeskonnad peavad omama järgmist: tehniline väljaõpe: vajalikud oskused ja teadlikkus, kuidas kasutada arvutikriminalistika vahendeid; protseduuriline väljaõpe: vajalik konseptsioon parimatest tavadest, kordadest, töövoogudest( ingl. k workflow) viimaks läbi digijuurdlust; adekvaatne riist- ja tarkvara;[6]
Omandamine/säilitamine
Omandamist ning säilitamist loetakse kõige kriitilisemateks sammudeks digitaalsete tõendite kogumise protsessis, kuna eksimustele kehtib omandamise ajal nulltolerants. Põhiline printsiip arvutikriminalistikas on digitõendite rikkumatuse säilitamine.
Omandamine saavutatakse järgnevate vahendite kasutamisel: kirjutamisblokk(ingl. k write blocker) ehk seade, mis deaktiveerib redigreerimise võimalused vältimaks juhuslikke vigu omandamisel; duplikaator(ingl. k forensic duplicator) ehk seade, mis kopeerib kõvaketta sisu; buudiketas ehk flopiketas või CD-ROM, mis sisaldab operatsioonisüsteemi põhiosi ja selle käivitamiseks vajalikke abifaile; kaughaldus ehk spetsiaalne tarkvara seadmete kaugdiagnostikaks üle võrgu;[6]
Analüüs
Analüüs on juurdluse selline faas, mis omab enim tehnilisi aspekte. Mõned näiteid nendest:
vajaduspärane tehniline teadmine operatsioonisüsteemist, failisüsteemist, arvutivõrgust ja aplikatsioonidest; spetsiaalselt arendatud tarkvara on vajalik; oskus luua filtreid ning otsida tõendeid arvuti operatsioonisüsteemi sündmustelogidest;[6]
Aruandlus/presenteerimine
Pärast tulemuste saamist ning kokkuvõtete tegemist juurdluses, on vaja teostada järgmised sammud:
kohandada aruandluse keel konkreetsele sihtgrupile – kasutada tehnilist keelt tehnilise meeskonna tarbeks ja formaalset ning sobivat keelekasutust tuleks esitleda advokaatidele, kohtunikele jt; hoolitseda, et aruanded oleksid selged, kokkuvõtvad ning arvamuste vabad; tagada aruandlus erinevates failiformaatides nagu PDF, HTML, DOC jne;[6]
Digitaalsete tõendite omandamise põhilised meetodid
Koopiate tegemine
Kindlustamaks kogutud andmete kõlblikkus, koostatakse tõendusmaterjalist täpseid koopiaid(ingl. k forensic images), tuntud kui bitivoog(ingl. k bit stream). See tagab andmete eelanalüüsi, informatsiooni otsingu ja hävimälust(ingl. k volatile memory) andmete kogumise(nt RAM). Samuti loob see võimaluse mõista digitõendite kogumise protsessi, mis on üks kõige missioonikriitilisemaid faktoreid. On oluline mõista, et andmete omandamine võib olla võimalik mitte ainult kõvaketta ruumis, vaid ka teiste seadmete mälumahus. Mõningad näited - magnetmeedium:
flopikettad; kõvakettad; USB või PC-kaardid; ZIP-kettad ja lintmäluseadmed;
optiline meedium:
CD-d; CD-R-id ja CD-RW-d; DVD-d;
alternatiivne meedium:
MP3 mängijad; tahvelarvutid; nutitelefonid; videomängud, televiisor jne;
Bitivoog duplikeerib andmete kogumahu, välistades juhusliku andmete muutmise võimalikkuse originaal-andmekandjal. Tõendusmaterjali täpne koopia on identne originaaliga, mis hõlmab ka andmekandja tühja ruumi või mitte andmetega täidetud mälumahu. Samuti on võimalik kustutatud andmete taastamine. Kohtuekspertiisiline duplikeerimine lubab pidada kogu juurdlusprotsessi koopial, säilitades andmete originaalsuse esialgsel andmekandjal kasutamaks seda kohtukaasustes. Hilisem analüüs saab juba toimuda spetsiaalsel kohtuekspertiisi tarkvara platvormil, mis lubab andmete detailsemat uurimist ning saadud informatsioonist lõppraporti koostamist. [6]
Operatsioonisüsteemi logide uurimine
Enamik spetsiaalseid kohtuekspertiisi tarkvara platvorme pakuvad võimalust ka vaadata ka andmeid operatsioonisüsteemide registritest detailsemalt kuid suudavad anda ka ülevaatlikumat pilti, kui näiteks Windowsis regedit. Vastupidiselt traditsioonilistest OSi registriredaktoritest suudavad spetsiaalselt kohtuekspertiisiks välja töötatud tarkvaraprogrammid visualiseerida kogupilti kõikides operatsioonisüsteemidest . Samuti tagatakse kasutajale ligipääs registry poolt kaitstud andmetele, mis sisaldab endas paroole, kasutajanimesid, sisselogimiskordi, viimast sisselogimisaega, parooli muutmisi ja muud säärast kasutajaspetsiifilist infot. Enamasti on küll vajalik tunda failisüsteemi iseärasusi, et efektiivselt tööriistaga töötada. [6]
Andmete peitmine ja otsimine
Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.
Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)[7] failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.
Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi[7] on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.
Steganograafia[8] on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.[9] JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt. Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect [10] – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS [11][12] – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.
Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki[13] kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.
Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva[14], kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex [15]. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare[16] või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.
Ekspertiis ja kohtupraktika
Eesti IT-ekspertiisi praktika
Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. [17]
Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.[17]
Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.[17]
Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.[17]
Eesti kohtupraktika
Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi. Kokku registreeriti 2016. aastal selliseid süütegusid 608. Seejuures üldine kuritegevuse tase langes 11% võrra. [18] Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” [19]. Ligi pooled arvutikelmused on toime pandud Harjumaal. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses. [18]
Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.[18]
Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. [18]
Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü. [18] Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist [19]. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud. [18] Tuntuim näide on ilmselt Mart Pirita kaasus. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu. [20] Mõningal määral esineb ka lunavara juhtumeid [18].
Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²). Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137). [18] Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks [21]. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%). 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni. [18]
Kokkuvõte
Viited
- ↑ Andmekaitse ja infoturbe leksikon. http://akit.cyber.ee/term/492-arvutikriminalistika
- ↑ Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf
- ↑ 3.0 3.1 Bem, D., Feld, F., Huebner, E., Bem, O. (2008). Computer Forensics – Past, Present and Future. Journal of Information Science and Technology, JIST 5(3) 2008, lk 43-59. https://pdfs.semanticscholar.org/491f/9bf892071f5fc9773de1c9abc2df691391cd.pdf
- ↑ 4.0 4.1 National Crime Agency. (07.07.2016). Cyber Crime Assessment 2016. http://www.nationalcrimeagency.gov.uk/publications/709-cyber-crime-assessment-2016/file
- ↑ Lõugas, H. (27.11.2016). Mida tähendab Eestis küberkuritegevusega võitlemine? Loomingulisust, põnevust ja kohanemist. https://geenius.ee/uudis/mida-tahendab-eestis-kuberkuritegevusega-voitlemine-loomingulisust-ponevust-ja-kohanemist
- ↑ 6.0 6.1 6.2 6.3 6.4 6.5 Carbone, F. (2014) Computer Forensics with FTK. Packt Publishing
- ↑ 7.0 7.1 Scott Mueller - Upgrading and Repairing PCs
- ↑ Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
- ↑ Lossy vs Lossless Compression – https://optimus.keycdn.com/support/lossy-vs-lossless/
- ↑ stegDetect - https://github.com/abeluck/stegdetect
- ↑ JPHS - https://github.com/h3xx/jphs
- ↑ JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm
- ↑ Wireshark võrgu liikluse jaoks - https://www.wireshark.org/
- ↑ Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/
- ↑ Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/
- ↑ VMWare virtuaalmasinate jaoks - http://www.vmware.com/
- ↑ 17.0 17.1 17.2 17.3 Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf
- ↑ 18.0 18.1 18.2 18.3 18.4 18.5 18.6 18.7 18.8 Justiitsministeerium (2017) Kuritegevus Eestis 2016. http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf
- ↑ 19.0 19.1 Karistusseadustik. (2017). RT I, 31.12.2016, 14 https://www.riigiteataja.ee/akt/184411?leiaKehtiv
- ↑ 1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716
- ↑ Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid