- COMP.SEC.100
- 10. Sähköisen todistusaineiston tutkinta eli forensiikka
- 10.3 Kooste digitaalisista ja muista jäljistä (syventävä)
Kooste digitaalisista ja muista jäljistä (syventävä)¶
Tässä alaluvussa on tarkoitus yksinkertaisella koosteella osoittaa, miten monipuolinen forensiikan kenttä voi olla. Tietoja voidaan ensinnäkin saada noin kolmesta suunnasta: Päätelmiä pyritään tekemään jäljistä, joita
- jostain tapahtumasta vain on sattunut jäämään.
- on osattu ennakoida ja on mahdollisesti kerätty juuri senkaltaisia tietoja. Jäljet ovat muuten silti luonteeltaan 1:n kaltaisia.
- on varta vasten rakennettu jäämään tapahtumista.
Esimerkkejä muualla tässä aineistossa käsiteltävistä “isommista asioista” ovat:
- Biometriset jäljet: yleensä tyyppiä 1, mutta niitä on voitu taltioida toimijoilta etukäteen.
- Lokitiedot ja tunkeutumisen yms. havainnointi: tyyppiä 2. Katso aiempi luku.
- Vesileimaus ja muut keinot, joilla voidaan tunnistaa ja jäljittää kopioita: tyyppiä 2.
- Laitteiden peukaloinninsieto: tyyppiä 3. Väärennettyjen dokumenttien, erityisesti setelien yms. havaitseminen on jossain määrin tämän kaltainen.
Tavoitteet jakautuvat kahteen haaraan: pyritään
- palauttamaan jälkien jättäjä itse, eli jäljet sinänsä ovat särkyneen tiedon palasia:
- tyhjäksi pyyhitty magneettinen tallennusväline.
- silputtu paperi tai muu tallenne: skannaus ja käsittely tietokoneella tekee tämän oleellisesti helpommaksi kuin fyysisten palapelien kokoamisen. Samoja tekniikoita voi soveltaa myös arkeologisiin lähteisiin (ja niiden sisältöihin).
- selvittämään jälkien tausta:
- minkä tai kenen toiminnan tulosta jäljet ovat.
- missä tai milloin jäljet ovat syntyneet.
- erityisesti liittyykö jälkien syntyyn jotain rikollista, kuten väärennös.
Yleisesti ottaen kyse on inverssiongelmasta eli eräänlaisesta funktion “kääntämisestä”. Sitä kautta krypto- ja stegoanalyysikin voidaan nähdä osaksi tätä kenttää.
Seuraavassa on muutama esimerkki alussa mainituista tavallista “pienemmistä” jäljistä.
Tyyppi 1, eli satunnaiselta näyttävät jäljet
- Vertailemalla tekstejä voidaan yrittää selvittää
- onko ohjelma tai teksti plagioitu,
- rikkoiko eronnut ohjelmoija kopio-oikeuttaan vai käyttikö vain omaa muistiaan.
- kuka teki tietokoneviruksen.
- kirjoittiko Bacon Shakespearen teokset.
- Vertailua voidaan tehdä tilastollisesti mm. teksteissä esiintyvien harvinaisimpien sanojen perusteella.
Kielelliset vivahteet, sanonnat ja jopa yksikkömuunnoksiin liittyvät pyöristykset voivat antaa viitteitä tekstin lähteestä tai reitistä.
Väärennösten löytämisessä voi olla apua Benfordin lakina tunnetusta ilmiöstä. Se esittää, miten luonnollisista lähteistä peräisin olevat numerotiedot jakautuvat, kun ne ilmaistaan eri lukujärjestelmissä. Ilmiöstä julkaistiin havainto jo vuonna 1881 ja Benford antoi sille vuonna 1938 matemaattisen muodon, jonka mukaan desimaaliluvuista osuus \(log_{10}(1+1/d)\) alkaa numerolla \(d (d=1..9)\), erityisesti 1:llä alkaa n. 30%. Tällä “lailla” on merkitystä esim. tilintarkastuksessa: jos huijari kehittelee täysin satunnaisesti uusia lukuja kirjanpitoon, ne eivät noudata Benfordin lakia ja kokonaisuus herättää tarkastajien huomion.
Tyyppi 3, tuotetaan yksilöllisiä jälkiä
Eräänlaisia sormenjälkiä voidaan luoda erilaisiin yhteyksiin:
- Salaisten dokumenttien sisällöllistä jäljitystä voidaan helpottaa tekemällä eri kopioihin tekstuaalisia variaatioita, jotka eivät muuta merkitystä.
- Dokumenttien fyysistä jäljitystä varten voidaan tehdä pieniä mekaanisia muunnoksia
- kopiokoneisiin ja tulostimiin
- papereihin (kuituihin tai fyysisiin vesileimoihin kuten ennen vanhaan)
- jopa paperisilppureihin
Vastaavia jälkiä voidaan käyttää jäljitykseen ilman tarkoituksellista muunteluakin, sillä kaikista näistä löytyy luonnollista variaatiota, jos vain tutkitaan tarpeeksi tarkasti.
- Fyysisten rikosten selvittämiseksi voidaan/voitaisiin merkitä — aseet — luodit — jopa lyijy, jotta itse valetut luoditkin voitaisiin jäljittää lyijyn ostopaikkaan.
Vastaava ilmiö toteutuu ympäristön suojelussa, jos “päästöalttiita” aineita varustetaan kemiallisilla sormenjäljillä.
- Jos edellä sanotut tuntuvat vanhanaikaisilta, sopii miettiä, mitä vastaavaa tapahtuu (tai voidaan ehkä toteuttaa) digikameroiden ja älypuhelimien valokennoissa. Tämäkään ei ole uutta. Melko yleistajuinen artikkeli vuodelta 2021 viittaa vuoden 2005 tutkimuksiin. Sitäkin varhemmin tutkittiiin jo viallisia pikseleitä.