- COMP.SEC.100
- 10. Sähköisen todistusaineiston tutkinta eli forensiikka
- 10.1 Määritelmiä ja perustietoa
Määritelmiä ja perustietoa¶
Sopivasta ympäristöstä löytyvät bitit voivat riittää todisteeksi, että on tapahtunut tiettyä prosessointia tai tietyn tiedon välittämistä ja/tai tallentamista. Tuollaisia bittejä kutsutaan termillä forensinen jälki tai digitaalinen rikostekninen jälki. Tapahtumat voivat olla seurausta ihmisen ja tietokoneen välisestä vuorovaikutuksesta, kuten sovelluksen käynnistämisestä, tai ne voivat olla seurausta tietojärjestelmän itsenäisestä toiminnasta, esim. ajoitetusta varmuuskopioinnista. Samakin tapahtuma voi jättää jälkiä useaan paikkaan samassa laitteessa tai usealle laitteelle eikä vain paikallisesti. Eksplisiittiset jäljet tallentavat suoraan tietyntyyppisten tapahtumien esiintymisen osana järjestelmän normaalia toimintaa; kaikkein näkyvimmät tällaiset ovat erilaisia aikaleimattuja järjestelmän ja sovellusten tapahtumalokeja. Implisiittiset jäljet ovat monimuotoisia eivätkä itsessään “kerro”, mitä ne tarkoittavat vaan toimivat lähtökohtina päätelmille. Esimerkiksi, jos tallennuslaitteelta löytyy riittävän iso katkelma tunnetusta tiedostosta, voidaan päätellä, että koko tiedosto on todennäköisesti ollut tallennettuna mutta sittemmin poistettiin ja kirjoitettiin osittain päälle. Jos tavanomaisten lokitiedostojen havaitaan puuttuvan, voidaan päätellä, että on todennäköisesti tapahtunut tietomurto, jonka aikana tekijät pyyhkivät järjestelmälokit peittääkseen jälkensä.
Tietorikosten tutkimista kutsutaan toisinaan nimellä forensiikka, sillä sana forensic viittaa oikeusopilliseen argumentointiin (latinaksi alun perin forumilla eli torilla) ja termiä digital forensics käytetään erilaisista jäljitystoimista, joilla selvitetään, mitä rikoksesta epäilty on tehnyt omalla tai jonkun muun tietokoneella. Tutkittava rikos voi tietysti liittyä aivan muihin asioihin kuin tietotekniikkaan. Tässä materiaalissa käytetään yksinkertaisuuden vuoksi termiä forensiikka tarkoittamaan digitaalista rikosteknistä tutkimusta. Siihen sisältyy todisteiden keräämistä, säilyttämistä ja analysointia. Perinteisesti rikostutkimus tarkoittaa fyysisten näytteiden systemaattista analysointia tapahtumien välisten seuraussuhteiden määrittämiseksi sekä alkuperään ja aitouteen liittyvien kysymysten ratkaisemiseksi. On tärkeää huomata, että pysyviä jälkiä ei enää samalla tavalla luontaisesti synny digitaalisen tiedon käsittelystä ja välittämisestä. Toki digilaitteiden pinnalta löytyy kaikenlaista jälkeä rikostutkinnankin tarpeisiin, ja sana digitaalinen sinänsä viittaa sormiin, mutta jätetään kosketusnäytön tahratkin nyt huomiotta.
Kun tietoteknisistä vuorovaikutuksista löytyy forensiikkajälkiä, ne ovat usein tietojärjestelmiin ilman forensista tarkoitusta suunniteltuja ominaisuuksia. Vaikka lokitietoja toki kerätään tapahtumien selvittämiseksi jälkikäteen, keruujärjestelyjä ei välttämättä ole suunniteltu oikeudenkäyntejä varten. Tällä seikalla voi olla oleellinen vaikutus digitaalisten todisteiden alkuperää ja aitoutta tarkasteltaessa. Sitä mukaa kun tietotekninen kehitys on tehnyt muistiteknologiasta ja tietoliikenteestä halvempaa, sekä sovellukset, käyttöjärjestelmä että protokollat ovat alkaneet tuottaa entistä enemmän oheisdataa kuten lokeja. Tämä on merkinnyt sitä, että forensiikan painopiste on voinut siirtyä eksplisiittisiin jälkiin. Käyttöjärjestelmät ovat samalla monipuolistuneet ja mutkistuneet siinä määrin, että tavallisella käyttäjällä, rikollisellakaan, ei yleensä ole riittäviä taitoja kaikkien jälkien siivoamiseen. Toisen koneelle verkoitse murtautuvalla on toki verkkotekniset keinonsa sekä usein hyvät murtovälineet (kuten MetaSploit), joilla voi minimoida forensiikkajälkiä.
Tietokoneella olevan datan tutkimista voi hankaloittaa salauksella tai piilotusjärjestelyillä — periaatteessa samoilla keinoilla, joilla konettaan laillisiin tarkoituksiin käyttävä suojaa tietojaan varkauksia ja murtautumisia vastaan. Siinä missä lailliset suojaukset heikentävät forensiikan tehoa, forensiikan menetelmät ovat hyödyllisiä myös laittomiin tarkoituksiin. Käynnissä olevan koneen tutkiminen on yleensä helpompaa kuin sammutetun, varsinkin jos rikostutkija tai hyökkääjä on siihen kirjautuneena. Silloin päästään penkomaan muistia, jonka sisältö häviää virran mukana. Voidaan löytää avoimia tiedostoja, verkkoyhteyksiä, hiljattain käytettyjä (vielä päällekirjoittamattomia) salasanoja verkon kohteisiin ja erityisen mieluusti tiedostojen salaukseen käytettyjä avaimia. Tällaisiin tietoihin voidaan päästä käsiksi myös pian sammutuksen jälkeen, jos kone on ensin jäähdytetty hyvin kylmäksi. Sammutuksen jälkeen kone käynnistetään live-CD:ltä, jolla on myös muistin kopiointiin soveltuva ohjelma. Tämä on ns. cold boot attack (Halderman ym. 2008).
Vaikka laitteen muistin tutkiminen onnistuisi, se voi olla forensiikkatarkoituksessa hankalaa todisteketjun pitävyyden kannalta. Tutkiminen ei saisi muuttaa kohdetta, mutta käynnissä olevassa koneessa tämä on vaikeaa. Tämä vuoksi tutkittavan koneen massamuisti yleensä irrotetaan ja kopioidaan toisessa koneessa.
Silloinkin, kun epäilykset ovat aiheellisia, rikostutkimus saattaa paljastaa asiaan liittymättömiä yksityisasioita. Tämä pätee tietenkin myös muussa rikostutkimuksessa, mutta yleiskäyttöisen tietokoneen tapauksessa erilaiset tiedot saattavat olla tavallista lähempänä toisiaan. Jos löytyy jotain laitonta, tiedot pitää luonnollisesti hävittää, ja silloin on vaikea säästää mitään dataa ja palauttaa tietovälineitä rikoksentekijälle. Näennäisen viaton muu data voi sisältää steganografisen (“bitteihin piilotetun”) kopion laittomasta tiedosta.
Forensiikka on tiedettä ja tekniikkaa, mutta sen tulosten käyttö oikeusprosesseissa voi vaikeutua, jos käytössä on ollut uudenlaisia menetelmiä, joita oikeusprosessi ei riittävästi tunne. Hyväksyttävän näytön luonne muuttuu ajan myötä vastaavasti kuin tietorikosten käsitteet täsmentyvät. Esimerkkinä Yhdysvalloissa forensiikkaa koskeva ns. Frye-standardi (1920-luku) on korvautunut ns. Daubert-standardilla (1990-luku), joka koskee näytön tieteellisyyttä: Erityisesti forensiikkamenetelmillä pitää olla teoreettiset perusteet ja niiden pitää tuottaa testattavia ennusteita, joiden avulla teoria voidaan myös kumota. Tämän lisäksi oikeudellinen käsittely voi tuottaa vastaavia haasteita kuin valheenpaljastin kohtaa: Sitä voidaan pitää paitsi teknisesti liian epäluotettavana todistelussa myös kohtuuttomana siihen nähden, että todistajalla on oikeus vaieta. Luonnollisesti eri oikeusjärjestelmät voivat muutenkin suhtautua eri tavoin siihen, mitä forensiikka saa tutkia ja mikä kelpaa näytöksi. Suomessa asiaan tutustumisen voi aloittaa pakkokeinolaista, joka määrittelee mm. laite-etsinnän, teknisen laitetarkkailun, telekuuntelun sekä teknisen kuuntelun, katselun ja seurannan. On syytä huomata, että forensinen tekniikka soveltuu myös tilanteisiin, joissa ei epäillä rikosta.
Kahvilaforensiikkaa
Teemu ja Teija omistavat yhdessä kahvilan, jossa he tarjoavat asiakkaille langattoman internet-yhteyden. He huomaavat, että kahvilassa on käynyt epäilyttävästi toimineita asiakkaita, jolloin langattomassa verkossa on samoihin aikoihin tapahtunut jotakin erikoista. He palkkaavat tietoturvatiimin tutkimaan tapausta.
Tietoturvatiimi aloittaa tarkastelemalla kahvilan verkkolaitteiden lokitietoja ja havaitsee niistä tosiaankin epäilyttäviä tapahtumia kahvilan verkossa: verkkolaitetta on selvästi skannattu, sillä verkkoliikennettä on kohdistunut portteihin, joihin tavallinen käyttäjä ei ikinä viestittäisi. Tämä on eksplisiittinen jälki. Lokitiedoista myös selviää, että hyökkääjä on löytänyt kahvilan palvelintietokoneen sisäverkko-osoitteen, sekä kohdistanut koneeseen arveluttavaa, mutta salattua liikennettä.
Palvelintietokoneelta ei suoraan löydy eksplisiittisiä jälkiä, lokitiedotkin vaikuttaisivat olevan tallella. Tietoturvatiimi epäilee hyökkääjän siivonneen hyökkäyksen jälkiä, ja niinpä he tutkivat koneen kovalevyn sisältöä forensisella ohjelmalla. He onnistuvat palauttamaan poistetun tiedoston, joka paljastuu osaksi murtautumistyökalua. Lisäksi he onnistuvat palauttamaan aikaisemman version palomuurin lokitiedostosta, joka paljastaa, että palomuurisääntöjä on käpälöity, ja lokitiedosto on korvattu väärennöksellä hämäämään forensiikkaa. Nämä ovat implisiittisiä jälkiä. Lokitiedostosta paljastuu, että hyökkääjä on hyödyntänyt palvelintietokoneen etähallintaprotokollan haavoittuvuutta ladatakseen murtautumistyökalun koneelle. Hyökkäystapa alkaa siis olla selvillä, mutta vielä pitäisi löytää jokin forensinen jälki sen mahdollisesta laajuudesta.
Verkon lokitiedoista huomataan, että palvelinkone on lähettänyt pian hyökkäyksen jälkeen huomattavan määrän tietoa TOR-verkon yli. Tiedon määrä on valtaosa koko kovalevylle tallenetun tiedon koosta. Vaikuttaa, että hyökkääjä on pakannut lähes koko kovalevyn sisällön ja siirtänyt sen verkon yli omalle laitteelleen. On siis syytä epäillä, että kahvilan tilausasiakkaiden henkilötietoja on vuotanut vääriin käsiin. Lisäksi hyökkääjällä on nyt hallussaan Teijan palkittu juustokakkuresepti sekä muita liikesalaisuuksia.
Palautettu murtautumisohjelman osa antaa tietoturvatiimille vinkkejä mahdollisesta tekijästä. Käyttäen stylometriaa he tulevat melko vakuuttuneeksi siitä, että hyökkäyksen takana on kansainvälinen megakorporaatio, joka on aikaisemminkin jäänyt kiinni vakoilusta.
Teemulla ja Teijalla on 72 tuntia aikaa tehdä ilmoitus tietoturvaloukkauksesta tietosuojavaltuutetun toimistoon, siitä kun he saavat tietää, että henkilötietoja on vuotanut.