Mitte väga ammu, kui soovisid jälgida ja jäädvustada kellegi tegevust, pidid tal kaameraga sabas käima. Aga tänapäeval annab kiire pilguheit inimese digiseadmetesse palju rohkem informatsiooni, kui oskame ette kujutada. See on reaalsus, millega küberruumis toimetades peame arvestama. Suhtleme omavahel arvutite abil ning kogu maailma miljonites arvutites salvestatud info on kättesaadav suhtluskanalite kaudu ja süsteemidest küberjälgi uurides.
Kaasaegne tehnoloogia mõjutab meie igapäevast era- ja tööelu. Kõik me jätame endast digitaalse jälje, mida uurides on võimalik tuvastada aset leidnud sündmusi ja asjaolusid. Sellega tegelebki küberkriminalistika ehk digitaalne ekspertiis (inglise keeles digital forensics), analüüsides arvutitesse aja jooksul talletunud info, kirjavahetuste, kõne- ja jutulogisid, mis juhatavad juhtumite motiivide ja sooritajateni.
Küberkuritegevus toob maailmas hinnanguliselt kokku kahju 1,5 triljonit dollarit aastas ja see on maailmas kõige kiiremini kasvav kuritegevuse valdkond. 2021. aastaks hinnatakse kahjudeks 6 triljonit aastas, s.o. oluliselt rohkem kui looduskatastroofide poolt tekitatud kulud ja kasulikum kui ebaseaduslike narkootikumide äri.
Informatsiooni vargus, kaotus või ründed on nüüd valdav kuritegevuse viis organisatsioonide vastu – ületades varade füüsilise varguse, mis oli kõige tüüpilisem kuritegu kuni aastani 2017.
Küberkuritegevus on globaalne nähtus ja ka Eesti ei jää maailmatrendidest puutumata. Arvestades meie internetikasutust ja internetti ühendatud seadmete, s.o. „tarkade asjade” järjest laialdasemat kasutuselevõttu, muutume järjest lihtsamaks ja kasulikumaks sihtmärgiks. Digiseadmed ja -rakendused jätavad meie elu kohta suhteliselt kättesaadava ja objektiivse jälje. Selline informatsioon sisaldab näiteks kuupäeva, aega, asukohti ja muud olulist teavet, mis aitab uurimise käigus tervikpildi kokku panna. Kui seadmesse häkitakse, siis tekivad selle kohta andmed (logid), mida „lugedes“ näeme ka kurjategija jälgi. Seega on riistvarasse, sotsiaalmeediasse, mobiiliäppidesse jm. jäetud info muutunud väga oluliseks.
Mõned maailmakuulsad näited küberkriminalistikast
Popikuninga Michael Jacksoni surma põhjuseks oli ravimi (propofooli) üledoos ja Jacksoni arst Conrad Murray mõisteti süüdi tema surma põhjustamises. Uurijad kogusid surmava ravimidoosi autoriseerimise kohta tõendeid tema arvutist ja iPhone’st. Tõenditeks olid ekraanitõmmised ja e-kirjad, milles olid märkmed Jacksoni varjunimedega patsientide kohta. Näiteks üks email küsis Murray’lt: „Kas see on ka tema?” („Is that him too?“).
Mark Zuckerberg, Facebooki looja ja juht on samuti küberkriminalistikaga kokku puutunud. 2010. aastal kaebas Paul Ceglia Mark Zuckerbergi kohtusse väites, et 2003. aastal allakirjutatud lepingu alusel oli Ceglia teinud ka 1000 dollarilise investeeringu „leheraamatusse“ („The Page Book“). Ceglia esitas kohtule nii lepingu kui kirjavahetuse, mis näitasid 50/50 omandijaotust. Kohtuvaidluse käigus uuriti Ceglia arvutit ja kõvakettalt leiti originaalleping 2004. aastast, mis ei maininud „leheraamatut“. Uurijad tuvastasid ka mälupulkade kasutust, millel ühel oli kaust nimega “Facebook Files” ja pildifail “Zuckerberg Contract page1.tif,” mida Ceglia väitis oma nõude aluseks. Facebook väitis, et see lepingu lehekülg on võltsitud. Samuti ei leitud Zuckerbergi emaili kontolt kirjavahetust, mis oleks Ceglia väidet tõendanud. Kohtuasi lõppes süüdistusega, mitte loodetud miljardite dollarite väärtuses Facebooki omandamisega.
Kevin Mitnick on kuulus küberturvalisuse ekspert, kuid minevikus süüdi mõistetud küberkuritegevuses. Ta häkkis näiteks USA Kaitseministeeriumi arvutivõrku ja üks tema kuulsamaid vargusi oli $1 miljoni dollari väärtuses tarkvara varastamine Digital Equipment Corporationilt. Isegi FBI eest põgenedes ja varjates, jätkas Mitnick infovõrkudesse sisse murdmist, varastades tarkvara, faile, ligipääsu koode ja muud, sh. 20,000 krediitkaardi numbrid.
Küberkriminalistidel on lai ja keeruline tööpõld
Paljud küberkurjategijad toimetavad siiski „varjus“ ilma meedia tähelepanuta. Suur osa neist jäävad püüdmata, kuna nad oskavad oma jälgi katta, s.o. „haihtuda“ (näiteks kasutades suhtluskanaleid läbi mitmete riikide, Tor internetibrauserit, krüpteerimist, jne). Ainult 5% küberkurjategijatest on pidanud oma tegude eest kohtulikult vastutama – see näitab, et uurijatel on suur tööpõld ees. Küberkurjategijate kinnipüüdmine võtab palju aega ja nõuab koostööd paljude uurijate vahel. Siiski häkkerid on inimesed – aga inimesed teevad vigu ja jäävad vahele. Näiteks 2016. aastal häkkisid kurjategijad Bangladeshi Keskpanga süsteemi sisse ja varastasid 81 miljonit dollarit. Püüdes edasi varastada 1 miljardit dollarit, tegid nad maksekorraldusel kirjavea (“foundation” kirjutati kui “fandation”), mida pangatöötaja märkas ja peatas makse.
Digitaalset ekspertiisi kasutatakse häkkimise, ebaseadusliku varade kasutuse või füüsilise kuriteo uurimisel, kui kahtlustava isiku valduses on mõni digitaalne seade. Mitte alati ei ole uuritavad juhtumid vägivaldse iseloomuga või rahaliselt motiveeritud – näiteks ekspertiis võidakse läbi viia, kui ettevõte kahtlustab, et tema töötaja on konfidentsiaalset informatsiooni varastanud ja selle abil konkureeriva ettevõtte loonud, jms. juhtudel.
Milline näeb välja ekspertiisi protsess?
Nii lihtsalt nagu telekast nähtud kaasaegsetes kriminullides, kus ekspert vajutab ühte nuppu ja on kohe kõikjale süsteemidesse sisse tunginud, uurimine siiski ei käi. Laias laastus saab digitaalse ekspertiisi jagada kaheks:
- Võrgud – sissetuleva ja väljamineva võrguliikluse analüüs, et määrata kindlaks, kuidas uuritav sündmus läbi viidi ning sisemiste ja väliste ohtude tuvastamiseks;
- Seadmed – IT seadmete (sh. arvutite, tahvlite, mobiilide) analüüs ja nendelt andmete kogumine.
Ekspertiisi protsessi võib jagada kolmeks sammuks:
- Andmete kogumine
Andmete ja füüsiliste tõendite kogumine uuritava intsidendi kohta, säilitades seejuures digitaalsete tõendite usaldusväärsus ning rikkumatus. Tavaliselt kopeeritakse andmed kahtluse all olevast seadmest usaldusväärsesse seadmesse, kasutades selleks erinevaid seadmeid ja vahendeid, et uuritav seade ei muutuks ja kõik andmed saaks kopeeritud. Uurijate üheks mõttekohaks on ekspertiisi käigus kasutatud seadmete ja vahendite usaldusväärsus. Näiteks litsentseerimata tarkvara kasutades võivad selle abil kogutud tõendid olla kasutud. Avatud lähtekoodiga tarkvara puhul tuleb kindel olla, et kasutatakse autoriseeritud versiooni. Samuti tuleb kogutud tõendid hoiustada, et neid vajadusel taasesitada.
Andmete omandamine ning säilitamine on kriitiline samm, kuna omandamisel tehtud eksimused võivad andmed õigustühisteks muuta. Näiteks ei tohi muutuda koopia digitaalne sõrmejälg ehk räsi (hash), sest selle muutumisel ei ole tõendite autentsus ega puutumatus enam garanteeritud. Digitõendite kogumine ei erine pärismaailmast ja seda koheldakse sarnaselt mõrvapaigalt vereplekkidega relva leidmisega.
- Analüüs
Selles faasis on enim tehnilisi aspekte, näiteks peab uurija aru saama operatsioonisüsteemist, failisüsteemist, arvutivõrgust ja aplikatsioonidest. Analüüsimiseks on vajalik selleks spetsiaalselt arendatud tarkvara ja uurija peab oskama luua filtreid ning otsida tõendeid arvuti operatsioonisüsteemi sündmuste logidest. Tõendid jagatakse tavaliselt kolme kategooriasse – uurimist toetavad tõendid, vastuolulised tõendid ja tõendid, mis ei ole ei pooldavad või vastuolulised, vaid tõendavad lihtsalt asjaolu, et süsteemidega on manipuleeritud.
- Aruandlus
Pärast tulemuste saamist ning kokkuvõtete tegemist tuleb koostada raport vastavalt sihtgrupile, näiteks kirjutada lihtsalt ja arusaadavalt kohtuvaidluse jaoks. Aruanded peavad olema selged, kokkuvõtvad ning arvamuste vabad.
Ei ole kahtlustki, et kurikaelade tabamine on raske ülesanne ja nad oskavad päris hästi „haihtuda“. Kuni nende tegevus on kasumlik, selline kassi-hiir mäng uurijate ja kurjategijate vahel jätkub. Samas aitab digitaalne ekspertiis siiski paljud küberjäljed üles leida ning valguse ette tuua. Samuti peame arvestama enda küberjälgedega, et me end liiga lihtsalt leitavaks ja lihtsaks sihtmärgiks ei teeks.