I026 - Kevad 2017 - Arvutikriminalistika

From ICO wiki
Jump to navigationJump to search

Arvutikriminalistika

Sissejuhatus [1]

Arvutikriminalistika minevik, olevik ja tulevik

Kuigi arvutikriminalistikat peetakse teiste kriminalistikaharudega võrreldes suhteliselt nooreks ja alles arenevaks valdkonnaks, pole arvutikuritegu iseenesest sugugi uus, ainult tänapäeva kuuluv nähtus. Kui enamasti märgatakse uute tehnoloogiate kasutuselevõtmisel esmajoones nende kasulikke omadusi ning negatiivsed tagajärjed tulevad nähtavale oluliselt hiljem, siis arvutite puhul see nii ei olnud, arvutite väärkasutuse juhtumeid hakati dokumenteerima kohe arvutite kasutuselevõtmise hetkest alates [2]. 1960-ndatel aastatel IT-töötajate ebaeetilist ja seadusevastast arvutikasutamist uurinud Stanfordi uurimisinstituudi teadlane Donn Parker pidi tõdema: „kui inimesed sisenesid arvutuskeskusesse, siis jätsid nad eetika ukse taha“ [3].

Arvutikriminalistika metoodikad

Andmete peitmine ja otsimine

Elame ajas, kus arvuti ei tähenda sugugi enam ainult personaalarvutit - arvutid on kõikjal meie ümber, mis tähendab, et ka digitaalseid andmeid ja digitaalseid tõendeid tuleb otsida kõikjalt. Üks klassikalisem näide, millele inimesed tihti ei mõtle on printerid - tänapäeval on suuremal jaol printeritel mälu, mida harva tühjendatakse. Kõigist dokumentidest, mis printerist läbi käinud on, on jäänud jälg ning sellest, et dokument ise paberhundist läbi lasta, ei piisa selleks, et info enam leitav ei oleks. Printeri mälus olevad andmed ei pruugi ka krüpteeritud olla ning üldjuhul piisab andmete leidmiseks lihtsalt sellest, et neid sealt otsida. Avalikkusele kättesaadavaid printereid kasutades tasub mõelda sellele, et kas saadaksite prinditava oma tuttavatele, riputaksite selle avalikult veebi? Kui vastus on ei, kuid vajadus on asi ikkagi välja printida, siis tasuks investeerida isiklikku printerisse ning aeg ajalt selle mälu üle kirjutada.

Selleks, et mõista, kust arvutis olevaid peidetud andmeid otsida, on tarvis mõista seda, kuidas andmeid arvutis kirjutatakse ja hoiustatakse. Erinevates adresseerimismudelites on ka nii öelda peidukohad erinevad – näiteks MS DOS ja vanemad Windowsi versioonid kasutavad FAT (file allocation table)[4] failisüsteemi. Iga faili kohta tehakse tabelisse kanne, mis sisaldab faili nime, suurust ning esimese sektori aadressi. Failisüsteemi esimene sektor on boot sektor, kui aga süsteem ei ole bootitav, siis võib see olla üks kohtadest kuhu saab andmeid peita. Lisaks võib andmeid olla failisüsteemi lõpu ja tegeliku ketta lõpu vahel – nii öelda slack space. Seda võib lihtsasti tuvastada kui failisüsteemi sektorite arv erineb ketta sektorite arvust. FAT failisüsteemis kasutatakse ka klastreid järjestikuste sektorite grupeerimiseks – iga klastri kohta on tabelis kanne, ning peetakse ka nii öelda sisukorda klastrite kohta, mis on korrumpeerunud ning kuhu andmeid ei kirjutata. Kui need klastrid on aga tegelikult töökorras siis võib andmeid peita ka seal – failisüsteem neid andmeid avalikult ei näita kuna usub need olevat vigased.

Natuke uuemate Windowsite – 2000 ja XP ning ka Windows serveri puhul on kasutusel NFTS failisüsteem. Kui FATi puhul on süsteem täpselt osadeks jagatud, kus on andmed, kus on info andmete kohta, kus tabel, siis NFTSi[4] on kogu süsteem justkui andmete jaoks ning kasutatakse mitut tüüpi adresseerimist, ühe faili sektorid ei pruugi sugugi füüsiliselt järjest asetseda. Kui NFTS süsteemis fail kustutada, siis faili tegelikult ei kustutata vaid sektor märgitakse eraldamata sektoriks ning kirje eemaldatakse MFT tabelist (eesmärk sarnane FAT tabelile, iga faili kohta vähemalt üks kirje – koopia võib viidata samale failile), pointereid aga ei eemaldata. See tähendab, et kui eraldamata ala uurida ning leida mingi osa failist, siis selle juurest on võimalik liikuda faili järgmise sektori juurde ja nii edasi – faili, või vähemalt osa sellest, on võimalik taastada.

Steganograafia[5] on praktika, kus andmed peidetakse muude andmete sisse. Nii võib pildi bittide sisse olla peidetud sõnumid või teised pildid või süütuna tunduva sõnumivahetuse sisse süngemad salajased sõnumid. Kui krüptitud andmete leidmisel üritatakse kohe kindlasti krüpteeringut murda, siis steganograafia puhul võib andmete krüpteeritus tihtilugu jääda täiesti märkamata, mis teeb peidetud sõnumite avastamise märksa keerulisemaks. Üldjuhul peidetakse andmed pildi või audio faili sisse ning tihemini kui mitte on need ka omakorda krüpteeritud. Pildi formaatidest sobivad steganograafia jaoks BMP ja GIF failid, sest teatavasti pakitakse need kokku ilma kadudeta.[6] JPEG pakkimine on kadudega ning seetõttu võivad mõned peidetud bittidest kaduma minna, mis teeb andmete taastamise keeruliseks, see teeb steganograafia kasutamise JPEG failidega keerulisemaks, kuid sellele vaatamata on see väga levinud. Palja silma või kõrvaga steganograafiat tuvastada on keeruline ning seega võib juhtuda, et mõne pildi sisse, mida meie tuttavad Facebooki või mõne muu kanali kaudu levitavad on tegelikult peidetud täiesti teine pilt. Üks tööriist steganograafia tuvastamiseks ja murdmiseks on stegDetect [7] – olemas nii Linuxile kui ka Windowsile. Lisaks on nii Windowsile kui Linuxile olemas ka JPHS [8][9] – JPHide ja JPSeek vastavalt siis info peitmiseks ja info leidmiseks, mõeldud kasutamiseks JPEG piltidega. Tuleb aga silmas pidada, et kuigi stegDetect töötab üldjuhul hästi on siiski võimalikud nii vale positiivsed kui vale negatiivsed vastused peidetud andmete olemasolu kohta. Kui peidetud bitid moodustavad 5% või alla selle kogu andmete mahust, siis on ilma algfaili olemasoluta väga peidetud info olemasolu tuvastamine. Kui aga peidetu on 15% või rohkem faili bittidest, siis võib juhtuda, et selle olemasolu on juba palja silmaga tuvastatav. Kui andmed peidetakse pildi sisse, siis on väga oluline see, milline pilt katteks valitud on. Kui pilt on väga ühe tooniline ja ilma mürata – näiteks selgest taevast, siis on võimalik näha juba pisemaid tonaalseid erinevusi. Kirjud pildid teevad erinevuste nägemise keerulisemaks.

Lisaks neile andmetele, mis kohalikus süsteemis kättesaadavad, salvestatakse muidugi andmeid ka interneti kasutuse käigus ning selleks, et oma tegevust peita ei piisa sugugi ainult sellest, et aeg-ajalt oma brauseri ajalugu tühjendada. Nimelt piisab võrgu logidest, et näha, mis saite olete külastanud, milliseid pilte vaadanud ning mis faile alla laadinud. Kõige inkrimineerivamaks võib saada neist ilmselt viimane. Isegi kui allalaaditu ei ole enam internetis kättesaadav siis ainuüksi võrgu logi põhjal faili taastamine näiteks Wiresharki[10] kasutades on võrdlemisi lihtne. Kui laete alla ebaseadusliku sisuga pilte, siis piisab võrulogist, et teie tegevus taastada ja teie süüd tõestada.

Lisaks juba mainitutele on veel palju tööriistu, mis tulevad kasuks kui üritate andmeid peita või vastupidi, peidetud andmeid leida. Andmete taastamiseks on kasulik näiteks Recuva[11], kindlasti tasub uurida hexadecimali redaktoreid – nii andmete madalal tasemel lähemalt vaatamiseks kui ka modifitseerimiseks – kasulik nii andmete taastamisel kui ka peidetud andmete tuvastamisel, näiteks sobivad WinHex ja FlexHex [12]. Juba mainitud stegDetect ja JPHS steganograafia tuvastamiseks ja murdmiseks. Wireshark (Etheral) võrgu liikluse analüüsimiseks, jälgimiseks ja taastamiseks. FCIV, md5sum või mõni muu hashimise mehhanism (üldjuhul on operatsiooni süsteemiga kaasas vähemalt üks) – vajalik juhul kui asi läheb kohtusse ning on vaja tõestada, et kohtus tõenditena esitatud andmed ei ole vahepeal muude kanalite vahendusel muudetud. Üldjuhul hashitakse kogu süsteem enne ning pärast lugemist (kasutades lugemis-kirjutamis kaitseid jmt, et kindlustada, et lugemise käigus süsteemi ei muudeta). Zipcracker, paraben või mõni muu taoline tööriist tuleb kasuks kui on tarvis paroole murda. Otseselt mitte seotud, kuid kindlasti on kasulik ka VMWare[13] või mõni muu virtuaalmasina jooksutamise tarkvara – juhuks kui soov kasutada mõnd tööriista, mis ei ole kõigile operatsioonisüsteemidele kättesaadav.

Ekspertiis ja kohtupraktika

Eesti IT-ekspertiisi praktika

Eestis alustati IT-ekspertiisidega Kohtuekspertiisi ja Kriminalistika Keskuse dokumendiosakonnas 1997. aastal. Toona kasutati tööks selliseid laiatarbe- ja tarkvararakendusi nagu Norton Diskedit ja Norton Unerase, ent peagi tunti vajadust kasutada asitõendite kaitse- ja muutumatuse säilitamise huvides erivahendeid. Aastal 2000 võeti kasutusele tarkvara nimega Encase tootjalt Guidance Software, mis võimaldas andmekandjate turvalist kopeerimist ning integreeritud uurimiskeskkonda. [14]

Arvutitega seotud kuriteod võivad olla sellised, kus arvuti on ainult üks kaudne abivahend kuriteo toimepanemisel ning ka sellised, kus nii rünnatav objekt kui ka kuriteo vahend on arvuti. IT-ekspertiisi eesmärgiks on leida võimaliku kuriteo jälgesid, uurides selleks mitmesuguseid digitaalset informatsiooni sisaldavaid seadmeid ja andmekandjaid. Ekspertiiside ning uuringute läbiviimisel lähtutakse põhimõttest, et andmekandjatel asuvad andmed ei muutuks. Andmed jagatakse arvuti käitlemise ohutuse vaatenurgast mittetundlikeks ning tundlikeks andmeteks. Mittetundlike andmete näiteks on andmed, millele kasutaja vabalt ligi pääseb. Seevastu tundlikud andmed on pidevas hävimis- ehk ülekirjutamisohus, nagu näiteks kustutatud või ajutised failid ning andmekandja vaba ala. Ülekirjutamist või hävimist võib põhjustada näiteks arvuti sisse- või väljalülitamine ja muud arvuti harilikud protsessid. Kaasaegsete operatsioonisüsteemide töötamisega kaasneb teatud andmete kirjutamine ja olemasolevate andmete ülekirjutamine. Sellisteks andmeteks on viited kasutaja toimingute kohta, nagu näiteks viimati avatud dokumendid, äsja kustutatud failid, internetikülastused või käivitatud programmid.[14]

Võimalik on aga kasutada arvutit jätmata ühtegi jälge ega logi, kui arvuti käivitada üleslaadimisplaadilt. Teine efektiivne andmete varjamise meetod on andmete krüpteerimine. Tänapäeva krüpteerimistehnoloogiad on aga nii turvalised, et nende lahti murdmine on praeguste vahendite juures praktiliselt võimatu. Kõige populaarsem krüpteerimistarkvara on vabavara TrueCrypt. Veel ühe lahendusena andmete varjamisel kasutatakse steganograafiat, mis tähistab tekstisõnumi peitmist pildi-, audio või videofaili sees. On ka muid tarkvaralahendusi, mis näiteks puhastavad arvutit ajutistest logidest ja failidest või kirjutavad üle kõik kustutatud andmed. Lisaks andmete varjamisele on võimalik digitaalseid andmeid ka võltsida, näiteks kellaaegu.[14]

Andmemahtude pidev kasv on tähendanud ka IT-ekspertiisi jaoks pidevat töömahu suurenemist. Ekspertiisimäärusega ei tasu küsida liiga üldist informatsiooni nagu näiteks, millist informatsiooni arvutis on. Küsimuste puhul võib ekspertidega konsulteerida. Infotehnoloogiaeksperdi arvamus on enamasti aga tõenäoline, sest andmete seisukord sõltub mitmetest asjaoludest.[14]

Eesti kohtupraktika

Võrreldes 2015. aastaga registreeriti aastal 2016 märkimisväärselt, see tähendab 23% rohkem arvutikelmusi. Kokku registreeriti 2016. aastal selliseid süütegusid 608. Seejuures üldine kuritegevuse tase langes 11% võrra. [15] Arvutikelmusena käsitletakse karistusseadustiku § 213 järgi süütegusid, kus tegu on “Varalise kasu saamise eest arvutiprogrammide või andmete sisestamise, vahetamise, kustutamise, sulustamise või muul viisil andmetöötlusprotsessi sekkumise teel, kui sellega on mõjutatud andmete töötlemise tulemust” [16]. Ligi pooled arvutikelmused on toime pandud Harjumaal. Aastal 2016 tekitati arvutikelmustega kahju kokku ligi 800 000 euro väärtuses. [15]

Küberkuritegudena käsitletakse lisaks eelnevalt nimetatud ning sagedamini esinevatele arvutikelmustele (§ 213) ka arvutisüsteemis olevate andmete vastaseid kuritegusid. Nendeks on tänase seisuga arvutiandmetesse sekkumine (§ 206), terminalseadme identifitseerimisvahendi ebaseaduslik kõrvaldamine ja muutmine (§ 206¹), arvutisüsteemi toimimise takistamine (§ 207), arvutikuriteo ettevalmistamine (§ 216¹), arvutisüsteemile ebaseaduslikult juurdepääsu hankimine (§ 217) ning ebaseaduslikult kõrvaldatud ja muudetud identifitseerimisvahendiga terminalseadme kasutamine (§ 217¹). 2016. aastal kasvas küberkuritegude arv 13% ehk 96 süüteo võrra. Küberkuritegude arv on perioodil 2007-2006 kasvanud 79% võrra, seejuures on viimase nelja aasta jooksul see kasv olnud tagasihoidlikum, jäädes 6-13% juurde.[15]

Arvutisüsteemi andmete vastastest kuritegudest on enam levinud arvutisüsteemi ebaseadusliku juurdepääsu hankimine (§ 217). Kõige sagedamini on tegu kurjategija sisenemisega kellegi internetipanka, e-posti serverisse või mõnele kontole ning seal mingite toimingute läbiviimisega. Ligipääs on seejuures saavutatud tavaliselt läbi õngitsemiskirjade. Teine levinud skeem on ohvri wifi-ruuteritesse ebaseaduslik sisenemine ja saadud numbrite kasutamine näiteks eratariifsete sõnumite saatmiseks või kõnede tegemiseks, ent mitmel korral ka Tallinna vanalinna tsoonis parkimiseks. Paaril korral saavutati niimoodi ka juurdepääs õpetaja e-kooli paroolidele ning muudeti nende abil õpilaste hindeid. Selliste süütegudega tehti 2016. aastal varalist kahju kokku 145 365 euro väärtusest, millest ligi 100 000 eurot oli kahju ühele isikule. [15]

Aastal 2016 oli arvutiandmetesse sekkumise ehk karistusseadustiku § 206 järgi kvalifitseeritavate süütegude lahendamismäär 12%. Kui vaadata süütegusid üleüldiselt, on enamasti menetluse lõpetamise aluseks see, et kuriteo toimepanijat ei selgitatud välja. Teine enam levinud alus on leppimise tõttu lõpetatud menetlus. Kolmas menetlemise lõppemise alus on avaliku huvi puudumine ning vähene süü. [15] Arvutiandmetesse sekkumise süüteo all peetakse silmas arvutisüsteemis olevate andmete ebaseaduslikku muutmist, kustutamist, rikkumist või sulustamist [16]. Enamasti on siin tegu krüptoviiruse paigaldamise juhtumitega, millega saadeti ohvrite aadressitelt rämpsposti või kirju, mida ohver ei koostanud. Samas esines ka juhtumeid, kus veebileheküljed muudetud nende õiguspärasele kasutajale kättesaamatuks ja muudeti või kustutati kodulehel olevat teavet. Lisaks tundmatutele inimestele kahtlustati paaris süüteos ka isikut, kes oli tööalaselt sellise kodulehekülje haldamisega kokku puutunud. [15] Tuntuim näide on ilmselt Mart Pirita kaasus. Teda süüdistati seadusliku aluse ja volituseta 2014. augustis Siseministeeriumi haldusala töötajate kaugligipääsu portaalides 14 kasutaja, sealhulgas siseminister Hanno Pevkuri ning politsei- ja piirivalveameti peadirektori Elmar Vaheri meilikontode sulustamises. Tallinna Ringkonnakohtus mõistis ta õigeks otseste asitõendite puudumise tõttu. [17] Mõningal määral esineb ka lunavara juhtumeid [15].

Arvuti abil pannakse toime ka muid kuritegusid, näiteks teise isiku identiteedi ebaseaduslikku kasutamist (§ 157²). Samuti võib välja tuua eraviisilise jälitustegevuse kuriteo (§ 137). [15] Veel ühe olulise näitena võib välja tuua seksuaalkuriteod. Alaealiste vastu toime pandud raske isikuvastane kuritegevus, eelkõige seksuaalkuritegevus on üheks valitsuse peamiseks kuritegevusevastaseks prioriteediks [18]. Aastal 2016 pandi toime kokku 118 lasteporno valmistamise ja selle võimaldamise süütegu. Enamasti oli tegemist lapse seksuaalset väärkohtlemist kujutavate failide hoidmisega arvutis või muul andmekandjal (35%), keelatud failide allalaadimise ja jagamisega kasutades P2P tarkvara (27%) ning muul moel allalaadimise ja jagamisega (15%). 2016. aastal registreeriti lapseealise seksuaalse ahvatlemise (§ 179) süütegusid 93. Neist valdav osa leidsid aset veebikeskkonnas, kus võõras täiskasvanu üritas lapsega suheldes jõuda seksuaalse sisuga vestluse ning järgmiste eesmärkideni. [15]

Kokkuvõte

Viited

  1. Brian Carrier - File System Forensic Analysis
  2. Hollinger, R.C. (2000). Computer Crime. University of Florida. http://users.clas.ufl.edu/rhollin/Computer_Crime.pdf
  3. Bem, D., Feld, F., Huebner, E., Bem, O. (2008). Computer Forensics – Past, Present and Future. Journal of Information Science and Technology, JIST 5(3) 2008, lk 43-59. https://pdfs.semanticscholar.org/491f/9bf892071f5fc9773de1c9abc2df691391cd.pdf
  4. 4.0 4.1 Scott Mueller - Upgrading and Repairing PCs
  5. Gary C. Kessler Steganography: Hiding Data Within Data -http://www.garykessler.net/library/steganography.html
  6. Lossy vs Lossless Compression – https://optimus.keycdn.com/support/lossy-vs-lossless/
  7. stegDetect - https://github.com/abeluck/stegdetect
  8. JPHS - https://github.com/h3xx/jphs
  9. JPHS Windows binary - http://www.scanwith.com/download/JPHS_for_Windows.htm
  10. Wireshark võrgu liikluse jaoks - https://www.wireshark.org/
  11. Recuva kustutatud failide taastamiseks - https://recuva.en.softonic.com/
  12. Hexadecimali redaktorid - https://www.x-ways.net/winhex/ ja http://www.flexhex.com/
  13. VMWare virtuaalmasinate jaoks - http://www.vmware.com/
  14. 14.0 14.1 14.2 14.3 Eesti Kohtuekspertiisi Instituut (2013). Kriminalistikaekspertiisid. URL http://www.sisekaitse.ee/public/kirjastus/ekspertiisid_sisu_veebi.pdf
  15. 15.0 15.1 15.2 15.3 15.4 15.5 15.6 15.7 15.8 Justiitsministeerium (2017) Kuritegevus Eestis 2016. URL http://www.kriminaalpoliitika.ee/sites/krimipoliitika/files/elfinder/dokumendid/kuritegevus_eestis_est_web_0.pdf
  16. 16.0 16.1 Karistusseadustik. (2017). RT I, 31.12.2016, 14 URL https://www.riigiteataja.ee/akt/184411?leiaKehtiv
  17. 1-15-509 Tallinna Ringkonnakohus https://www.riigiteataja.ee/kohtulahendid/detailid.html?id=180104716
  18. Justiitsministeerium (2015). Kuritegevusvastased prioriteedid. URL http://www.just.ee/et/eesmargid-tegevused/kriminaalpoliitika/kuritegevusvastased-prioriteedid