Frankfurtissa 18.-29. marraskuuta pidetyissä tietotekniikan rikostutkintaa käsittelevissä seminaareissamme, joissa keskityttiin Detego Global:n ja MOBILeditin kaltaisiin työkaluihin ja erityisesti SQLite-tietokantojen analysointiin ja manuaaliseen tarkistamiseen, käsiteltiin seuraavia aiheita.
Kattava johdatus digitaaliseen säilyttämiseen ja todisteiden analysointiin. Sekä tekniset että oikeudelliset näkökohdat ovat tässä keskeisiä. Seuraavassa esitetään yksityiskohtainen katsaus käsiteltäviin aiheisiin.
Detego Global
Detego® Unified Forensics Platform on tehokas digitaalisen rikostekniikan ratkaisu, joka on suunniteltu erityisesti nopeaan keräämiseen, analysointiin ja raportointiin. Se mahdollistaa:
- Tuhansien laitteiden, kuten älypuhelinten, tietokoneiden ja IoT-laitteiden, tietojen rikostekninen turvaaminen.
- Tekoälyn tukemat analyysit ihmisten, laitteiden ja tapausten välisten yhteyksien tunnistamiseksi.
- GPS-tietojen analysoinnin, hash-arvojen täsmäytyksen ja automatisoitujen työnkulkujen kaltaisten toimintojen käyttäminen tehokkaisiin tutkimuksiin.
MOBILedit on monipuolinen työkalu tietojen poimimiseen ja analysointiin mobiililaitteista ja älykelloista. Se tarjoaa:
- Fyysinen ja looginen tiedonhankinta.
- Poistettujen tietojen palauttaminen.
- Tuki lukuisille sovelluksille, kuten WhatsAppille, Instagramille ja Snapchatille ja monille muille.
- Edistyneet toiminnot, kuten salasanan murtaminen ja salauksen purkaminen.
Molemmat työkalut on suunniteltu turvaamaan todistusaineisto oikeudenkäyntiä varten välttämällä muutoksia alkuperäisiin tietoihin.
SQLite-tietokantojen analysointi
SQLite-tietokantoja käytetään laajalti sovelluksissa, kuten matkapuhelimissa, messenger-palveluissa ja käyttöjärjestelmissä. Niiden rikostekninen analyysi sisältää:
- Poistettujen tietueiden, usein myös väliaikaisten tiedostojen, kuten WAL-lokien (write-ahead logs), palauttaminen.
- Erikoisohjelmistojen, kuten MobilEdit tai Rabbithole, käyttö tietokantojen sisällön analysointiin.
- Mahdollisuus rekonstruoida toimintoja ja aikasekvenssejä, mikä tekee niistä tärkeän todistusaineiston lähteen.
Matkapuhelimen juurruttaminen on usein tarpeen, jotta rikosteknisiä tutkimuksia varten on mahdollista päästä syvemmälle. Tämä edellyttää järjestelmänvalvojan oikeuksien vapauttamista, jotta käyttöjärjestelmän suojattuihin alueisiin voidaan päästä käsiksi. Menetelmiä ovat mm:
- Mukautettujen palautussovellusten ja root-pakettien käyttö.
- On kuitenkin tärkeää varmistaa, ettei tietoja muuteta. Tämä varmistetaan vertaamalla hash-arvoja ennen ja jälkeen tarkastelun.
Todisteiden eheyden varmistaminen
IT-teknisen rikostutkinnan keskeinen osa-alue on sen varmistaminen, että analysoituja tietoja ei voida muuttaa:
- Rikosteknisten kopioiden (1:1-kopioiden) luominen tietovälineistä.
- Kaikkien vaiheiden dokumentointi tuomioistuinkelpoisessa asiantuntijalausunnossa.
- Hash-arvojen käyttö tietojen eheyden tarkistamiseen.
Seminaarissa opetettiin tärkeitä tietotekniikan rikosteknisten analyysien perusasioita: Detegon ja MOBILeditin kaltaisten erikoistyökalujen käyttöä, SQLite-tietokantojen analysointia ja mobiililaitteiden juurruttamistekniikoita. Keskittymällä todisteiden eheyteen varmistetaan, että tulokset ovat käyttökelpoisia oikeudessa. Tällainen koulutus on välttämätöntä digitaalisen rikostekniikan ammattilaisille, jotta he voivat vastata nykyaikaisen tutkinnan vaatimuksiin.
