Forensiikka - SecMeter

Digitaalinen forensiikka on osa nykyaikaista rikostutkintaa. Poliisin velvollisuus on tutkia ja analysoida digitaalisia todisteita oikeudellisesti pätevällä tavalla. Tässä prosessissa erilaiset digitaalisen forensiikan työkalut ovat keskeisessä asemassa. Ne mahdollistavat todisteiden keruun, säilyttämisen, analysoinnin ja esittämisen kiistämättömällä tavalla, joka kestää oikeudellisen tarkastelun.

Forensiikkatyökalujen kehityksen myötä poliisin kyky tutkia myös monimutkaisempia rikoksia digitaalisessa ympäristössä on tehostunut. Forensiikkaohjelmistot, kuten EnCase, FTK, Cellebrite ja Magnet AXIOM, mahdollistavat todisteiden keruun ja analyysin tavalla, joka täyttää sekä tekniset että oikeudelliset vaatimukset. Työkaluilla voidaan tutkia rikospaikalta takavarikoituja laitteita, kuten tietokoneita, puhelimia ja muita digitaalisia tallennusvälineitä.

Poliisilla tai tiedustelupalveluilla ei ole taikatyökaluja, joilla kaikkien laitteiden lukitus olisi mahdollista avata. Vippaskonstejakin on käytettävissä rajoitetusti. Viranomaiset joutuvat odottamaan uusia haavoittuvuuksia, joilla laitteeseen olisi mahdollista päästään kiinni. Usein joudutaan käyttämään sivumenetelmiä (pilvipalvelut, varmuuskopiot, metatieto) ja koota dataa muista lähteistä, kuten epäillyn ystävien puhelimista, operaattoreilta tai sähköpostitileiltä.

Ellei PIN-koodi ole tiedossa tai puhelin lukitsematta, on tilanne hankala forensiikan kannalta. Nollapäivähaavoittuvuudet on usein laitteessa ehditty jo korjata. Operaattoritason kontrolli SIMillä on mahdollisuus päivittää SIMien sisältöä OTA (over-the-air), mutta tämäkään ei vaikuta lukitusnäyttöön.

SIM ei voi avata puhelimen lukitusta, koska puhelinlaitteen salaus perustuu laitteen omaan Secure Element/TEE -piiriin, ei SIMiin. SIM-kortti ei pääse suoraan käyttöjärjestelmään kiinni, eikä se voi ajaa koodia laitteessa ilman lupaa. Android- ja iOS-laitteet eristävät SIMin toiminnot täysin käyttöliittymästä ja datasta. Teoreettinen mahdollisuus on puhelimen roottaus, jolloin SIMin kautta voi teoriassa ajaa komentoja STK:n avulla, mutta edellytyksenä on, että laite on jo valmiiksi kompromississa.

Roottaus tarkoittaa prosessia, joka antaa käyttäjälle pääkäyttäjän oikeudet (eli "root-oikeudet") käyttöjärjestelmään. Root-oikeuksilla voi

1. poistaa esiasennettuja sovelluksia (bloatware)
2. asentaa täysin uusia ROM-käyttöjärjestelmiä (esim. LineageOS)
3. käyttää tehokkaita säätösovelluksia (esim. CPU-ohjaus, akkukäyttäytyminen)
4. saada täydellisen varmuuskopion
5. suorittaa automatisointia esimerkiksi Tasker + root-yhdistelmät.

Kokonaisvaltaiset tutkimusohjelmistot

Poliisit käyttävät ensisijaisesti kaupallisia, korkeatasoisia forensiikkatyökaluja, jotka tarjoavat laajan valikoiman toimintoja digitaalisten todisteiden käsittelyyn. Yksi yleisimmin käytetyistä ohjelmistoista on EnCase Forensic. Se on monipuolinen ja vakiintunut työkalu, jota käytetään esimerkiksi kiintolevyjen sisällön analysointiin, piilotettujen tai poistettujen tiedostojen palautukseen sekä todisteiden luotettavaan dokumentointiin.

Toinen vastaava työkalu on FTK (Forensic Toolkit), joka tarjoaa tehokkaita hakutoimintoja ja tukee suurten tietomäärien käsittelyä, mikä on erityisen tärkeää monimutkaisissa tutkintatapauksissa.

Mobiililaitteiden tutkimus

Älypuhelimet ja -kellot sekä tabletit ovat tuoneet uuden ulottuvuuden rikostutkintaan. Poliisin käytössä on tähän tarkoitukseen suunniteltuja erikoistyökaluja, kuten Cellebrite UFED ja MSAB XRY. Nämä ohjelmistot mahdollistavat mobiililaitteiden tietojen, kuten viestien, valokuvien, sijaintitietojen ja sovellustietojen purkamisen ja analysoinnin myös silloin, kun laitteet ovat suojattuja tai salattuja. Mobiililaitteiden tutkimus voi paljastaa rikosten motiiveja, yhteyksiä ja aikajanoja, jotka olisivat muutoin työläästi hahmotettavissa.

Usein kuulee kysyttävän saako viranomainen puhelimeni lukiuksen avattua. Tähän ei ole muuta vastausta. kuin se, että uusimmat puhelinmallit ovat vanhempia turvallisempia. Puhelimen lukituksen avaaminen on pakkotoimi, johon vaaditaan laillinen etsintälupa. Toselle henkilölle kuuluvan puhelimen avaukseen ei voi ryhtyä omatoimisesti yritys, eikä yksityishenkilö. Suomessa viranomainen ei voi murtaa puhelinta mielivaltaisesti, vaan oikeudellisten edellytysten on täytyttävä, kuten

• pakkokeinolain säädökset, jos halutaan tuoda laite purettavaksi
• etsintälupa, jos halutaan päästä laitteeseen.

Lisäksi viranomaisen vastuullaan on varmistaa tietojen eheyden säilyminen, jotta tiedot ovat eheitä ja käyttökelpoisia oikeudessa.

Yleisin ja helpoin tapa avata puhelimen lukitus on saada omistaja luovuttamaan puhelimen PIN-koodi tai omistaja avaa itse esimerkiksi biometrisellä tunnisteella puhelimen lukituksen. Poliisi käyttää tarvittaessa Cellebriten erikoistyökaluja puhelimen avaamiseen. Cellebrite on israelilainen teknologiayritys, joka kehittää digitaalisen forensiikan ohjelmistoja ja laitteistoja viranomaisille. Cellebrite ei automaattisesti riko salausta, vaan se hyödyntää tunnettuja heikkouksia tai ohittaa lukituksia, jos se on mahdollista.

Cellebriten tuotteet on suunniteltu mobiililaitteiden, kuten älypuhelimien ja tablettien, tietojen purkamiseen, analysointiin ja raportointiin. Se on yksi tunnetuimmista ja käytetyimmistä työkaluista poliisin ja muiden viranomaisten rikostutkinnassa maailmanlaajuisesti, mutta silläkin on rajoituksensa. Cellebrite UFED (Universal Forensic Extraction Device) avulla voidaan:

1. Ohittaa puhelimen lukitus, jos laitteen suojaus ei ole kaikkein uusinta mallia
   
2. Purkaa ja kopioida tietoja puhelimesta: viestit, kuvat, lokit, sovellustiedot (esim. WhatsApp, Telegram)
3. Analysoida tietoja: ajankohdat, viestiketjut, kontaktit, sijainnit, jne.
4. Tuottaa oikeuskelpoisia raportteja tutkinnan tueksi.
   

Cellebrite laite kytketään fyysisesti puhelimeen kiinni. Tämän jälkeen voidaan käyttää ohjelmiston eri tekniikoita ohjelmointivirheitä, ohjelmistohaavoittuvuuksia, tai suoraa pääsyä muistiin. Jos salaus on vahvaa tai laite on uusi, Cellebrite ei välttämättä pysty avaamaan puhelimen lukitusta. Esimerkiksi uudemmat iPhonet (varsinkin iOS 13+:n jälkeen) ovat vaikeita tai mahdottomia murtaa, ellei ole haavoittuvuutta löydetty.

Vuonna 2019 Cellebrite ilmoitti, että sen UFED Premium -työkalu pystyy avaamaan iOS-laitteita, mukaan lukien iOS 12.3 -versiota käyttävät laitteet, sekä monia Android-puhelimia, kuten Samsung Galaxy S9. Tämä työkalu on suunnattu viranomaisille ja mahdollistaa tietojen purkamisen laitteista, jotka aiemmin olivat vaikeasti saavutettavissa. Lähde: (wired.com 14.6.2018)

Amnesty Internationalin raportin mukaan Serbian viranomaiset ovat käyttäneet Cellebriten teknologiaa yhdessä muun vakoiluohjelmiston kanssa valvoakseen toimittajia ja aktivisteja ilman laillista perustetta. Raportin mukaan laitteita on manipuloitu poliisin pidätysten aikana, mikä viittaa teknologian mahdolliseen väärinkäyttöön. Lähde: (theguardian.com 16.12.2023) Suomen viranomaiset (esim. poliisi, KRP) toimivat tilanteissa, joissa puhelinta ei saada auki kotimaisin keinoin:

Paikallispoliisilla saattaa olla haasteita avata pakkotoimen kohteena olevan puhelimen lukitus omatoimisesti. Keskusrikospoliisi ja osa suurimmista poliisipiireistä esimerkiksi Helsinki ja Itä-Uusimaa käyttävät työkaluja kuten:

• Cellebrite UFED
• MSAB XRY
• Magnet AXIOM

Jos puhelin on uutta mallia tai erittäin hyvin suojattu, laitteen lukituksen avaus tai tiedostojen purku voi epäonnistua. Kun omat keinot eivät riitä, voi poliisilaitos lähettää laitteen Keskusrikospoliisin digitaalisen rikostekniikan yksikköön. Keskusrikospoliisilla on laajemmat resurssit ja pääsy useisiin kaupallisiin murto- ja analysointityökaluihin. Jos KRP:n asiantuntemus ei riitä, on mahdollista:

• Tehdä virka-apupyyntö Europolille (Euroopan poliisivirasto). Europolilla on EC3 (European Cybercrime Centre), jossa käytössä huipputason teknologiaa ja osaamista.
• Tehdä virka-apupyyntö FBI:lle tai muille Yhdysvaltojen viranomaisille. Tämä vaatii MLAT-pyynnön (Mutual Legal Assistance Treaty), mikä on virallinen kansainvälinen oikeusapupyyntö. FBI:llä on oma RCFL-verkosto (Regional Computer Forensics Laboratory).

Viranomaiset voivat turvautua myös kaupallisten yritysten palveluihin tilanteissa, joissa puhelimen lukituksen avaaminen omatoimisesti ei onnistu. Yksi tällainen yhteistyökumppani on Magnet Forensics, jonka omistama GrayKey on tunnettu työkalu mobiililaitteiden lukituksen avaamiseen ja tietojen purkamiseen. GrayKey pystyy avaamaan sekä iOS- että Android-laitteita, vaikka sen tehokkuus vaihtelee laite- ja ohjelmistoversiosta riippuen.

Magnet Forensics on kanadalainen yritys, joka kehittää digitaalisia rikosteknisiä työkaluja erityisesti poliisi-, sotilas- ja tiedusteluviranomaisille sekä yksityisille tutkintaorganisaatioille. Sen teknologiaa käytetään laajalti mobiililaitteiden, tietokoneiden ja pilvipalveluiden analysointiin rikostutkinnoissa. Yritys on perustettu 2010-luvun alussa. Perustaja on Jad Saliba, entinen poliisi ja digitaalisen rikostekniikan asiantuntija. yrityksen pääkonttori sijaitsee Ontariossa. Yrityksen asiakkaita ovat mm. poliisit ja tiedusteluviranomaiset yli 90 maassa myös EU:ssa Europol jne.

GrayKey on suljetun ympäristön mobiiliforensiikkatyökalu, jonka kehitti yhdysvaltalainen yritys Grayshift. Se on suunniteltu erityisesti iPhone- ja Android-laitteiden lukituksen ohittamiseen ja tietojen purkamiseen rikostutkintaa varten.

GrayKey -työkalun kehittäjä on Grayshift (Atlanta, USA). Nykyinen omistaja on Magnet Forensics. Yritykset yhdistyivät vuonna 2023. GrayKey on lisenssipohjainen työkalu, jonka käyttö estetty autoritaarisilta valtioilta tai epäluotettavilta tahoilta (lisenssipohjainen), koska käytön laillisuus ja eettisyys edellyttää viranomaisten tarkkoja lainvalvontakäytäntöjä.

iPhone-tuki on GrayKeyn nimenomainen vahvuus. Se on yksi harvoista työkaluista, joka pystyy ohittamaan Applen suojauskerrokset, erityisesti FBI:n ja muiden viranomaisten käytössä. GrayKey -työkalun käyttö tapahtuu suljetussa verkossa (air-gapped). Air-gapped tarkoittaa tietokonetta tai järjestelmää, joka on fysikaalisesti eristetty muista verkostoista. GrayKey -työkalun suorittamat aktiviteetit lokitetaan ja auditoidaan. GrayKeyn ominaisuudet:

• Pystyy ohittamaan PIN-koodin, biometrisen lukituksen tai aloitusnäytön lukituksen.
• Kopioi laitteen sisällön mukaan lukien piilotiedostot, välimuistit, jne.
• Palauttaa poistettuja viestejä, kuvia ja tiedostoja.
• Nopeuttaa tiedon purkua ja siirtää datan suoraan esimerkiksi Magnet AXIOMiin.
• Tarjoaa täyden tuen iPhone iOS 14–17, mukaan lukien A12–A16 -sirut.
• Tarjoaa Androidiin rajatumman tuen riippuen mallista, Android-versiosta ja bootloaderista. Androidissa laiteen suojaukset ja valmistajakohtaiset rajoitukset voivat estää pääsyn.
• Tukee myös laitteita, joissa on salaus ja pääsykoodit.

Vaikka fyysinen pääsy laitteeseen on mahdollista, salasanapohjainen salaus voi silti estää pääsyn joihinkin tietoihin, jos Apple File System (APFS) suojaus on erityisen vahva. GrayKey ohittaa iOS:n suojaukset käytännössä esimerkiksi PIN bypass tai jailbreak-menetelmillä.

PIN bypass tarkoittaa puhelimen lukituksen kiertämistä ilman oikeaa koodia. Jos laite on suojattu esimerkiksi 6-numeroisella PIN-koodilla, voidaan bypass-menetelmällä päästään laitteen tiedostoihin ilman PIN-koodin tietämystä. Teknisesti PIN bypass tarkoittaa joko brute force, exploittia (haavoittuvuuden hyväksikäyttöä) Jailbreak tai puhelimen roottausta.

GrayKey käyttää jailbreak-menetelmää päästäkseen käsiksi iOS-laitteen järjestelmäresursseihin ja tiedostojärjestelmään. Jailbreak tarkoittaa laitteen suojauskerroksen murtamista, jolloin GrayKey voi suorittaa laitteella omia komentojaan ja päästä tiedostoihin, joita Apple rajoittaa tavallisilta käyttäjiltä.

iOS 9–13 versioissa tämä on yleisesti mahdollista, mutta iOS 14 ja uudemmat versiot vaativat erityisiä haavoittuvuuksia, jotka voivat olla jo korjattu Applen päivityksillä, joten ne ovat turvallisia. On kuitenkin otettava huomioon, että myös Jailbreak-menetelmä kehittyy myötä.

PIN-brute-force menetelmä voidaan räätälöidä GrayKey -työkalussa kahdella eri tavalla.

• Nopea brute force menetelmä kokeilla jopa 10 000 PIN-koodia minuutissa ja löytää PIN-koodin.
• Rajoitettu brute force menetelmä kokeilee pienempiä PIN-määrityksiä, mikä vähentää laitteen hälytyksiä ja lukitusyrityksistä aiheutuvia rajoituksia.

GrayKey voi ohittaa suojatun iOS:n tiedostojärjestelmän Apple File System (APFS), jota käytetään iPhone-laitteissa. Tämä on erityisen tärkeää, koska APFS on suunniteltu suojaamaan tietoja käyttäjän luvatta. Vaikka laitteen tiedot voivat olla salattuja APFS:llä, GrayKey voi jäljitellä oikeaa laitetta ja purkaa tiedot jopa, jos tiedostojärjestelmä on salattu.

GrayKey voi käyttää USB-porttia päästäkseen käsiksi tietokoneeseen kytketyllä fyysisellä laitteella. GrayKey-laitteen fyysinen liitäntä mahdollistaa yhteyden laitteeseen, jolloin voidaan ohittaa laitteeseen liittyvät suojaukset, kuten PIN-koodit ja muut biometriset turvatoimet (kuten sormenjäljet tai kasvojentunnistus).

Tämä tekee GrayKeystä tehokkaan työkalun laitteen fyysisessä takavarikoinnissa, kunhan laite on virta päällä ja portit käytettävissä. GrayKey pystyy purkamaan laitteen tiedot jopa tunnin sisällä, riippuen laitteen iOS-versiosta, laitteiden salausasteesta ja muiden tekijöiden perusteella. Kyseessä on huomattavasti nopeampi prosessi verrattuna perinteisiin menetelmiin, kuten forensisiin ohjelmistoihin, jotka voivat viedä päiviä.

Uudet iOS-versiot (iOS 14 ja uudemmat) vaikeuttavat GrayKeyn tehokkuutta, koska Apple on jatkuvasti parantanut suojaustasojaan, kuten kryptografian vahvistamista ja haavoittuvuuksien korjaamista.

Uudet teknologiat ja pilvipalvelut

Digitaalinen rikostutkinta on laajentunut myös verkkoympäristöihin ja pilvipalveluihin. Magnet AXIOM on esimerkki työkalusta, joka on suunniteltu erityisesti forensiikan haasteisiin. Se pystyy yhdistämään tiedot eri lähteistä, kuten tietokoneista, mobiililaitteista ja pilvipalveluista yhdeksi kokonaisuudeksi, jota voidaan analysoida tehokkaasti. AXIOMin avulla voidaan esimerkiksi jäljittää käyttäjän selaushistoriaa, keskusteluja ja pilvitiedostoja.

Sosiaalinen media ja verkkoanalyysi

Rikollinen toiminta voi tapahtua myös sosiaalisessa mediassa. Sosiaalisen median forensiikassa poliisit käyttävät tähän tarkoitukseen suunniteltuja työkaluja, kuten X1 Social Discovery, joka mahdollistaa sosiaalisen median sisällön keräämisen ja analysoinnin.

Nämä työkalut auttavat esimerkiksi verkkorikollisuuden, maalittamisen tai viharikosten selvittämisessä, joissa sosiaalisen median viestit toimivat tärkeinä todisteina.

Todisteiden käsittelyn oikeudellinen pätevyys

Kaikilla forensiikan työkaluilla tulee olla yhteinen ominaisuus, niiden on täytettävä oikeudelliset vaatimukset, jotta niillä kerättyä aineistoja voidaan käyttää todisteina oikeudessa. Vaatimuksena on mm. tietoaineiston eheyden varmistaminen, tapahtumien dokumentointi ja analyysin toistettavuus. Vaatimusten täyttymisen edellytys on, että työkaluja käyttävät poliisit on koulutettu käyttämään näitä ohjelmistoja huolellisesti ja vastuullisesti, jotta tutkinta täyttää tekniset ja oikeudellisesti vaatimukset.

Forensiikkaohjelmistot

Autopsy ja The Sleuth Kit

Autopsy ja The Sleuth Kit (TSK) muodostavat yhdessä tehokkaan, avoimen lähdekoodin digitaalisen forensiikan työkalupaketin, jota käytetään ympäri maailmaa rikostutkinnassa, kyberrikollisuuden torjunnassa ja tietoturvatutkimuksissa. Autopsy on suosittu opetusväline.

Autopsy on graafinen käyttöliittymä (GUI), joka käyttää taustalla Sleuth Kitin työkaluja ja tekee työskentelystä helpompaa ja visuaalisempaa.

The Sleuth Kit (TSK) on komentorivipohjainen kokoelma forensiikkatyökaluja. Se sisältää analyysikomponentit kuten levykuvien lukemisen, tiedostojärjestelmien tutkimisen ja metadatan analysoinnin.

X-Ways Forensics

X-Ways Forensics on saksalaisen X-Ways Software Technologyn kehittämä edistynyt digitaalisen forensiikan työkalu, joka toimii Microsoft Windows -ympäristössä. Se on läheistä sukua WinHex-ohjelmalle, mutta laajennettu erityisesti rikostutkintakäyttöön.

Kyseessä on tehokas ja kevytrakenteinen digitaalisen forensiikan ohjelmisto, jota arvostetaan asiantuntijapiireissä erityisesti sen nopeuden, keveyden ja joustavuuden ansiosta. Se on suunniteltu erityisesti ammattilaisille, jotka tarvitsevat tarkkaa ja tehokasta työkalua laajamittaisten digitaalisten todisteiden analysointiin.

EnCase Forensic

EnCase Forensic on digitaalisen todisteaineiston analysointiin ja käsittelyyn kehitetty ammattilaistyökalu. Sitä käytetään erityisesti kovalevyjen, USB-tikkujen, muistien, mobiililaitteiden ja muiden digitaalisten tallennusvälineiden tutkimiseen.

Ohjelma mahdollistaa todisteiden keräämisen, säilyttämisen, analysoinnin ja raportoinnin tavalla, joka täyttää oikeudelliset vaatimukset. Käytössä mm. Keskusrikospoliisilla.

FTK (Forensic Toolkit)

FTK (Forensic Toolkit) on digitaalisen forensiikan ohjelmisto, jonka on kehittänyt alun perin AccessData ja jota nykyään kehittää ja tarjoaa Exterro, erityisesti oikeus- ja tietoturvateknologiaan keskittynyt yritys. FTK on yksi maailman tunnetuimmista ja käytetyimmistä forensiikkatyökaluista erityisesti poliisien ja tutkijoiden keskuudessa.

Ohjelma tarjoaa tehokkaita työkaluja digitaalisen aineiston tutkimiseen. Sen avulla voidaan tutkia kiintolevykuvia, tiedostoja, sähköposteja, rekisteritietoja, verkkohistoriaa ja muuta digitaalista dataa. FTK dokumentoi todisteiden käsittelyn ja tuottaa todisteketjun (chain of custody).

Volatility

Volatility on yksi maailman suosituimmista ja tehokkaimmista muistianalyysin (memory forensics) työkaluista. Se on avoin lähdekoodi, toimii pääasiassa komentoriviltä ja on suunniteltu erityisesti RAM-muistin purkujen analysointiin esimerkiksi haittaohjelmatutkimuksessa, kyberhyökkäysten selvittelyssä ja digitaalisten rikosten tutkinnassa.

Rekall

Rekall on avoimen lähdekoodin muistiforensiikka- ja analyysityökalu, joka on kehitetty alun perin erillisenä projektina Volatility Frameworkista, mutta myöhemmin kehittynyt täysin omaksi ohjelmistokseen. Se tarjoaa sekä komentorivipohjaisen että (joissain versioissa) graafisen käyttöliittymän RAM-muistin (eli live memory) analysointiin. Rekall on käyttökelpoinen lähinnä vanhemmissa Windows-järjestelmissä. Alla esimerkinomainen perusanalyysi Rekallilla

bash

rekall -f memory.raw pslist

Yllä oleva komento näyttää muistista löytyvät prosessit ilman profiilin määrittelyä.

Magnet AXIOM

Magnet AXIOM on kaupallinen digitaalisen forensiikan ohjelmisto, jota kehittää Magnet Forensics (Kanada). Ohjelmisto on erittäin yleinen poliisien, rikostutkijoiden ja kyberrikollisuutta tutkivien asiantuntijoiden keskuudessa. Ohjelmistolla on kyky kerätä, analysoida ja korreloida tietoja lähes kaikista mahdollisista lähteistä, kuten kiintolevyistä, pilvipalveluista, mobiililaitteista ja jopa sosiaalisesta mediasta.

Kyseessä on yksi markkinoiden tehokkaimmista ja monipuolisimmista digitaalisen forensiikan työkaluista. Erityisesti kyky yhdistää PC-, mobiili-, pilvi- ja some-data yhdeksi tutkinnaksi tekee siitä tehokkaan. Sopii erityisesti korkean profiilin tutkintoihin, joissa dataa tulee monesta lähteestä ja tarvitaan selkeä kokonaiskuvaa.

Belkasoft Evidence Center

Belkasoft Evidence Center (BEC) on digitaalisen forensiikan ja tietoturvatutkinnan ohjelmisto, joka on suunniteltu helpottamaan ja nopeuttamaan tietokoneiden, mobiililaitteiden ja pilvipalveluiden datan keräämistä, analysointia ja raportointia. Se on erityisesti poliisin, lainvalvontaviranomaisten, sotilasviranomaisten ja DFIR-asiantuntijoiden (Digital Forensics and Incident Response) käyttämä työkalu.

Ohjelmisto tukee tuhansia eri artefakteja, kuten mm. selaushistoria, chatit, sähköpostit, sosiaalinen media, paikkatiedot, asiakirjat, kuvat ja videot. WhatsApp, Skype, Telegram, Signal, Facebook Messenger, Instagram, Discord, jne.

Cellebrite UFED

Kyseessä on forensiikan lippulaivatuote ja perustyökalu. Cellebrite UFED (Universal Forensic Extraction Device) on yksi maailman tunnetuimmista mobiiliforensiikan työkaluista, jota käyttävät poliisi, rajavartiolaitos, tulliviranomaiset, puolustusvoimat sekä yksityiset kybertutkijat yli 150 maassa, myös Suomessa.

Kyseessä on laitteisto- ja ohjelmistokokonaisuus, joka mahdollistaa mobiililaitteiden tietojen purkamisen (iOS, Android, Symbian, Blackberry jne.), salasanojen ohittamisen, lukituksen avaamisen ja tiedostojen purkamisen sekä datankeruun, analyysin ja raportoinnin.

MSAB XRY

MSAB XRY on ruotsalaisen Micro Systemation AB:n (MSAB) kehittämä digitaalisen forensiikan ohjelmisto, joka on erikoistunut mobiililaitteiden tiedon purkuun, analysointiin ja raportointiin. Tukee yli 41 000 mobiililaitetta ja sovellusversiota. Se on yksi maailman johtavista mobiiliforensiikan työkaluista, erityisesti poliisin, tullin ja sotilasviranomaisten käytössä.

Wireshark

Wireshark on verkkoliikenteen analysointiin ja pakettien kaappaamiseen tarkoitettu ilmainen avoimen lähdekoodin työkalu, jota käytetään laajasti mm. tietoturvatutkimuksessa, verkko-ongelmien selvittämisessä ja digitaalisen forensiikan tutkimuksissa.

Wireshark kaappaa ja analysoi verkkoliikenteen reaaliaikaisesti tai tallennetuista tiedostoista. Se voi näyttää yksityiskohtaista tietoa jokaisesta verkon paketista, kuten:

• Lähde- ja kohdeosoitteet (IP, MAC)
• Käytetyn protokollan (TCP, UDP, HTTP, DNS, SSL/TLS jne.)
• Sovellustason tiedot (esim. HTTP-pyyntö, DNS-kysely)
• Aikaleimat, viiveet, virheet ja uudelleenlähetykset
• Salaamattomat sisällöt (esim. selväkieliset salasanat, jos liikenne ei ole salattu)

NetworkMiner

NetworkMiner on forensiikkatason verkkoliikenteen analysointityökalu, joka on suunniteltu erityisesti passiiviseen tietojen keräämiseen ja tarkkaan jälkianalyysiin. Se toimii parhaiten kaapatuista .pcap/.pcapng -tiedostoista, mutta voi myös tarkkailla verkkoa reaaliajassa. Sitä käytetään laajasti digitaalisessa forensiikassa, tietomurtojen tutkimisessa ja haittaohjelma-analyysissä.

NetworkMiner analysoi verkkoliikennettä ja poimii luettavaa tietoa, kuten:

• Sähköpostit
• Verkkosivupyynnöt (HTTP)
• Siirretyt tiedostot (esim. kuvat, PDF:t, EXE:t, ZIP:t)
• Yhteystiedot ja käyttäjänimet
• Lähde- ja kohde-IP-osoitteet, MAC-osoitteet
• Yksinkertaiset salasanat (esim. selväkielinen HTTP/FTP)

Tilannekuvaus

Poliisi on takavarikoinut epäillyn Android-puhelimen osana huumausainerikostutkintaa. Epäillään, että puhelimessa on viestinvaihtoa, joka liittyy huumausainekauppaan (esim. WhatsAppissa tai Signalissa). Alla on esimerkin omainen kuvaus tutkintaprosessista Cellebrite UFED:llä ohjelmistolla.

1. Valmistelu ja dokumentointi

1. Takavarikoidaan puhelin, kirjataan ylös:
2. Laitemalli (esim. Samsung Galaxy S10)
3. Sarjanumero, IMEI, SIM-kortin tiedot
4. Laitteen tila (päällä/pois, lukittu/ei lukittu)
5. Merkitään chain of custody (todisteketju)

2. Kytketään puhelin Cellebrite UFED 4PC -ohjelmistoon

1. Cellebrite UFED 4PC käynnistetään forensiikkatyöasemalla
2. Valitaan "New Extraction"
3. Valitaan laitteeksi Samsung Galaxy S10

3. Yritetään ohittaa lukitus

UFED tarjoaa useita purkumenetelmiä, mutta oi ainoastaan tietyissä olosuhteissa ohittaa tai kiertää Samsung Galaxy S10 -puhelimen lukitusnäytön, koska ohitusmahdollisuus riippuu useista kriittisistä tekijöistä.

1. Jos laitteessa on vanha firmware ja Android 9/10Android-versio ja tietoturvapäivitykset ennen 2020 loppua, Cellebrite saattaa käyttää Download Mode -exploittia (muistin manipulointi RAM:issa). Custom loader käynnistetään ilman tietojen muokkausta, jolloin on mahdollista ohittaa lukitus.
2. Uudemmalla firmwarella ja Android 11–12+FBE + TEE + Knox yhdistelmä tekee purkamisesta käytännössä mahdotonta ilman PIN-koodia. Cellebrite EI tarjoa brute force -toimintoa uusille S10-laitteille.

4. Tietojen purku

Purku ei saa koskaan muokkata alkuperäistä laitetta, vaan purku suoritetaan aina kopiolla

1. Valitaan purkutapa: "File System" + "Logical Extraction".
2. Cellebrite lataa tarvittavat ajurit, ottaa yhteyden laitteeseen ja aloittaa datan purun.
3. Data tallennetaan forensiikkatyöasemalle .zip tai .ufd -muodoissa. Sisältää sovellustiedot, viestit, mediat, kontaktit, lokitiedot, GPS-sijainnit.

5. Analysointi Physical Analyzer -ohjelmassa

1. Käynnistetään Cellebrite Physical Analyzer.
2. Avataan juuri puhelin.
3. Suodattimien avulla etsitään WhatsApp-viestejä, joissa mainitaan "gramma", "hinta", "basaari", "koodi".
4. Tarkastellaan sijaintitietoja, löytyykö GPS-lokaatioita tiettyihin tapaamisiin.
5. Analysoidaan kuvat ja videot (huumeista, seteleistä, viestiruuduista)
6. Tunnistetaan keskusteluketju epäillyn ja toisen henkilön välillä, jossa viitataan toimituksiin ja maksuihin.

6. Raportointi ja todistusaineiston koostaminen

Valitaan olennaiset viestit, kuvat ja metatiedot raporttiin. Luodaan raportti PDF-tiedosto todistusaineistoksi, Cellebrite Reader -muodossa, jota syyttäjä voi tutkia. Sisältää SHA256-tiivisteet ja purkuketjun (Chain of Evidence) hallinnan lokit ja tekniset yksityiskohdat. Raporttiin valitaan:

1. Ajankohdat
2. Viestin lähettäjä ja vastaanottaja
3. GPS-tiedot
4. Kuvien metatiedot
5. Vahvistetut hash-arvot
6. Chain of custody

Tilannekuvaus

Poliisi on takavarikoinut epäillyn Android-puhelimen osana varkausrikoksen tutkintaa. Epäillään, että henkilö on sopinut varkausrikoksesta iMessage-viestein. Poliisi on takavarikoinut henkilön iPhone 12 -puhelimen, jossa epäillään olevan keskusteluita ja GPS-tietoja, jotka voivat todistaa rikoksen valmistelua ja tapahtumahetken sijainnin. Alla on esimerkin omainen kuvaus tutkintaprosessista Cellebrite UFED:llä ohjelmistolla.

1. Takavarikointi ja alkuvalmistelut

1. Poliisi takavarikoi iPhonen, joka on päällä ja lukittu.
2. Selvitetään, onko iCloud-tilin salasana tai lukitus saatavilla.
3. Pyydetään pakkokeinolupa tiedon purkamiseen ja pilvitilille pääsyyn.

2. Purku Cellebrite UFED 4PC:llä

1. Käynnistetään UFED 4PC-ohjelmisto.
2. Valitaan laite Apple iPhone 12.
3. Valitaan purkumenetelmäksi Advanced Logical + Cloud Extraction.
4. Syötetään laitteen lukitus- tai varmuuskopion salasana (jos tiedossa).
5. Ohjelma tarkistaa laitteesta iOS-version (esim. iOS 17.2), sovellukset ja pilviyhteydet.

3. Cloud extraction iCloudista (XRY Cloud / UFED Cloud Analyzer)

1. Syötetään iCloud-tunnus ja kertakäyttöinen 2FA-koodi
2. Ladataan iMessage-varmuuskopiot (valokuvat, sijaintihistoria ja Safari-selaushistoria.

4. Analysointi Physical Analyzerissa

1. Avataan purku Physical Analyzer -ohjelmassa
2. Käytetään iMessage Viewer-moduulia ja etsitään avainsanoja: "yöllä", "varasto", "valmiina", "käy nyt".
3. Tarkistetaan lähettäjän ja vastaanottajan yhteystiedot.
4. Tarkistetaan kuva- ja videoaineisto ja etistään kuvia kohteesta.
5. Haetaan sijaintitietoja (Significant Locations) iPhonen sisäänrakennetusta paikkahistoriasta.
6. Rajataan aikaväliä varkauden tapahtumahetkeen. Löytää viestin: "Ovi on auki klo 3. Meidän hetki!" (aika 02:58)

5. Raportointi ja todistusaineiston kokoaminen

Luodaan raportti PDF-tiedosto todistusaineistoksi, Cellebrite Reader -muodossa, jota syyttäjä voi tutkia. Sisältää SHA256-tiivisteet ja purkuketjun (Chain of Evidence) hallinnan lokit ja tekniset yksityiskohdat. Raporttiin valitaan:

1. Viestiketju
   
2. Aikaleimat
3. GPS-koordinaatit.
4. Kuvakaappaus karttanäkymästä
5. Vahvistetut hash-arvot
6. Chain of custody

Tilannekuvaus

Poliisi on pysäyttänyt henkilön rajatarkastuksessa, ja epäillään, että hän on osa huumausaineiden salakuljetusverkostoa. Henkilöllä on mukanaan lukittu Xiaomi Redmi -puhelin. Poliisi epäilee, että salakuljetuksen koordinointi on tapahtunut WhatsApp-viestein. Alla on esimerkin omainen kuvaus tutkintaprosessista Cellebrite UFED:llä ohjelmistolla.

1. Laitteen tunnistaminen ja dokumentointi

1. Laite: Xiaomi Redmi Note 10 Pro
2. Tiedot dokumentoidaan: IMEI, sarjanumero, SIM, SD-kortti
3. Laite on lukittu, mutta päällä, otetaan forensiikkakuva heti kun mahdollista
4. Kirjataan ylös ketjun hallinta (Chain of Custody)

2. Käynnistetään UFED 4PC – valmistellaan purku

1. Käynnistetään Cellebrite UFED 4PC
2. Valitaan uusi tutkinta > Android-laite
3. USB-yhteys luodaan → ohjelmisto tunnistaa laitteen
4. Käytetään "Physical + File System Extraction" -menetelmää
5. Huom: Cellebrite tukee monia Xiaomi-laitteita exploit-pohjaisesti. Tässä tapauksessa käytetään Custom Recovery Exploit -menetelmää (laite käynnistetään erityiseen palautustilaan, jossa saadaan pääsy tiedostojärjestelmään ilman PIN-koodia).

3. Fyysinen tiedon purku

1. Cellebrite lataa laitteeseen tilapäisesti mukautetun recovery-ympäristön
2. Tiedostojärjestelmä purkautuu:
3. Sovellustiedot, kuten WhatsApp-database (msgstore.db.crypt)
4. Kuvat, videot, sijaintihistoria, selaushistoria
5. Purku tallentuu UFEDin forensiikkaformaatissa (UFD)

4. Analysointi Physical Analyzer -ohjelmassa

1. Purettu data avataan Cellebrite Physical Analyzer -ohjelmistossa
2. Käytetään hakusanoja: "paketti", "matto", "1 kg", "lähetys", "raja"

WhatsAppista löytyy keskustelu: "Paketti lähtee tänään, pidä auto valmiina klo 4. Sama paikka kuin viimeksi."

1. GPS-tiedot viittaavat paikkaan aivan sataman läheisyydessä
2. Löydetään kuvia huumausaineista piilotettuna autojen verhoiluun

5. Raportointi ja todistusaineiston koostaminen

Luodaan raportti PDF-tiedosto todistusaineistoksi, Cellebrite Reader -muodossa, jota syyttäjä voi tutkia. Sisältää SHA256-tiivisteet ja purkuketjun (Chain of Evidence) hallinnan lokit ja tekniset yksityiskohdat. Raporttiin valitaan:

1. Keskusteluketju
2. Kuvamateriaali
3. GPS-koordinaatit
4. Vahvistetut hash-arvot
5. Chain of custody