Verkkotutkinta - SecMeter

Sisältöön

Verkkotutkinta

Yritysturvallisuus > Kyberturvallisuus
Verkkotutkinta on viranomaisten käyttämä salainen tutkintamenetelmä tele- ja tietoverkoissa. Verkkotutkinnan avulla selvitetään rikollisesta toiminnasta epäillyn henkilön operatiivista toimintaa tämän käyttämien tietojärjestelmien kautta ilman, että henkilö on tietoinen asiasta.

Verkkotutkinnassa viranomaisia avustavat koti- ja ulkomaiset teleoperaattorit. Salasanojen selvittämistä varten epäillyn henkilön tietokoneelle voidaan ujuttaa esimerkiksi keylogger-ohjelmisto.

Suomessa poliisi sai laillisen oikeuden asentaa salaa vakoiluohjelma rikoksesta epäillyn tietokoneeseen, älypuhelimeen tai vastaavaan päätelaitteeseen 1.1.2014 alkaen. Poliisi hankkii tarvittavat ohjelmistot niitä valmistavilta kotimaisilta tai ulkomaisilta yrityksiltä.


Pakkokeinolain 22.7.2011/806 uudistuksen myötä esitutkintavirkamies sai 1.1.2014 oikeuden sijoittaa tekniseen tarkkailuun käytettävä laite, menetelmä tai ohjelmisto toimenpiteen kohteena olevaan esineeseen, aineeseen, omaisuuteen, tilaan tai muuhun paikkaan taikka tietojärjestelmään, jos tarkkailun toteuttaminen sitä edellyttää.

Esitutkintavirkamies voi salaa mennä tilaan tai muuhun paikkaan taikka tietojärjestelmään sekä kiertää, purkaa tai muulla vastaavalla tavalla tilapäisesti ohittaa kohteiden tai tietojärjestelmän suojaus tai haitata sitä laitteen, menetelmän tai ohjelmiston asentamiseksi, käyttöön ottamiseksi ja poistamiseksi.

Vakituiseen asumiseen käytettävään tilaan esitutkintavirkamies saa asentaa salaa tekniseen tarkkailuun käytettävän laitteen, menetelmän tai ohjelmiston vain, jos tuomioistuin on antanut siihen luvan pidättämiseen oikeutetun virkamiehen vaatimuksesta.

Tietojärjestelmän suojauksen ohittaminen tai haittaaminen rinnastetaan toimenpiteenä lukituksen avaamiseen. Toimenpiteellä esitutkintavirkamies ei saa kuitenkaan aiheuttaa tietojärjestelmälle vahinkoa.

Poliisihallitus luonnehti vakoiluohjelman käyttöönottoa haastavaksi, mutta mahdolliseksi. Peiteoperaatioissa murretaan väistämättä epäillyn yksityisyyden suoja. Verkkotutkinnassa epäillyn käyttämältä tietokoneelta paljastuu suurella todennäköisyydellä myös useiden epäilysten ulkopuolella olevien henkilöiden henkilökohtaisia tietoja.

Ulkopuolisen henkilön riski joutua epäiltyjen listalle on suuri.
FBI:n käytössä on lukuisia verkkovakoiluohjelmia esimerkiksi Android käyttöjärjestelmää käyttäville älypuhelimille tarkoitettu sovellus, jolla se voi salakuunnella epäiltyjä puhelinten mikrofonin kautta. FBI voi seurata myös epäiltyjen tietokoneiden mikrofoneja ja kameroita.

Vakoiluohjelman avulla rikostutkijalla on mahdollisuus löytää jutun kannalta ratkaisevia todisteita epäillyn päätelaitteesta. Rikostutkija voi käyttää vakoiluohjelmaa mm.

  • rikossuunnitelman paljastamiseen
  • epäiltyjen tunnistamiseen
  • epäiltyjen paikallistamiseen
  • johtolankojen etsimiseen
  • todistusaineiston etsimiseen
  • rikoshyödyn jäljittämiseen.

Rikoskomisarion mukaan "Kun lainsäätäjä antaa meille työkalun, niin tokihan sitä halutaan myös käyttää. Se ei kuitenkaan ole ihan yksinkertaista eikä edullista". Lähde: (hs.fi 30.12.2012)

Poliisihallituksen poliisiylitarkastajan mukaan vakoiluohjelmasta on hyötyä ainakin henkirikosten sekä törkeiden huumausainerikosten ja törkeiden lapsen seksuaalisten hyväksikäyttöjen tutkinnassa. Poliisiylitarkastajan mukaan yksittäisten rikosten ratkaisemisessa vakoiluohjelmalla tulee varmasti olemaan ratkaiseva merkitys. Vakoiluohjelman käyttö tulee rajoittumaan kuitenkin varsin harvoihin tapauksiin. Lähde: (hs.fi 4.8.2013)

Poliisi voi ilman tuomioistuimen päätöstä tai ilman vakavaa rikosepäilyä selvittää "joustavasti" keskustelupalstoille nimimerkin suojissa kirjoittaneiden henkilöllisyydet poliisilakiin sisältyvän yleisen tiedonsaantioikeuden perusteella.

Keskustelupalstan ylläpitäjältä voidaan vaatia nimimerkin takana olevan nimeä, sähköpostiosoitetta tai IP-osoitetta. Poliisi voi vaatia myös teleoperaattorilta selvitystä kenelle kyseinen IP-osoite kuuluu tai on kuulunut.

Poliisi voi turvautua poliisilain valtuuksiin mm. silloin, jos poliisin pakkokeinolain valtuuksien perusteella tietoa ei ole mahdollista selvittää tai pakkokeinolain mukainen lupaprosessi on katsottu selvityksen kannalta hankalaksi. Keskustelupalstojen ylläpitäjille ja operaattoreille osoitetut tietopyynnöt poliisi luokittelee salaisiksi.

Matala poliisin subjektiiviseen tilannekuvaan perustuva selvityskynnys tarjoaa poliisille mahdollisuuden nopeaan proaktiiviseen toimintaan esimerkiksi koulu-uhkaustilanteissa.

Poliisilain yleinen tiedonsaantivaltuus voi olla myös ongelmallinen erityisesti sananvapauden kannalta. Kriittisesti yhteiskunnan vallankäyttöä arvostelevien nimimerkkien taakse kätkeytyvät henkilöllisyydet ovat kaikkina aikoina olleet vallankäyttäjiä tukevan kontrollijärjestelmän mielenkiinnon kohteina.

Verkkotutkintaohjelmia kehittäviä ja markkinoivia yrityksiä
Useat kansainväliset yritykset kehittävät eri maiden turvallisuusorganisaatioille mm. verkkotutkintaohjelmistoja erilaisiin tarkoituksiin. Ohjelmien toiminta perustuu useimmiten yleisessä käytössä olevien ohjelmien nollapäivähaavoittuvuuksien hyödyntämiseen, joita yritysten tutkijat etsivät ja kehittävät niihin hyökkäystaktiikoita.

Tutkijoiden löytämiä nollapäivähaavoittuvuuksia yritykset pitävät huippusalaisina, koska niillä on huomattava taloudellinen merkitys näille yrityksille. Ohjelmien hinta-arviot liikkuvat 80 000 - 100 000 eurosta ylöspäin.

Vupen Security
Vupen Security on ranskalainen yritys. Se kehittää ja markkinoi yrityksille ja valtioille tavanomaisten tietoturvaratkaisujen lisäksi verkkotutkintaohjelmistoja. Yrityksen tutkijat etsivät eri ohjelmistoista nollapäivähaavoittuvuuksia ja kehittävät niitä hyödyntäviä haittaohjelmia.

Eleman/Gamma Group
Gamma on saksalainen yritys. Se kehitti ja markkinoi mm. FinSpy (Finfisher) verkkotutkintaohjelmaa. Myöhemmin Gamma luopui FinSpyn omistuksesta. Finspy-verkkotutkintaohjelma osaa naamioida itsensä mm. Firefox-selaimeksi. Asian paljastuttua Firefoxia kehittävän Mozilla Foundationin uhkasi Gammaa tuomioistuimella, ellei se lopeta Firefoksiksi naamiointia.

Saksan poliisi valitsi verkkotutkintatyökalukseen kolmen ehdokkaan joukosta FinSpy-vakoiluohjelman. Kyseessä on tietojärjestelmiin tunkeutumista varten toteutettu työkalupakki. Ohjelmaa markkinoi tuolloin Eleman/Gamma Group. Ohjelma on myös mm. Egyptin viranomaisten käytössä.

Vakoiluohjelma toimii Windows, OS X, Linux, iOS, Android, Windows Phone 7, Symbian ja Blackberry ympäristöissä ja se pystyy piiloutumaan antivirusohjelmistoilta. Saksan poliisin tavoitteena oli kuitenkin oman verkkotutkintaohjelman toteuttaminen. Sen arvioitiin valmistuvan vuoteen 2014 mennessä.

Wikileaks julkaisi syyskuussa 2014 FinFisher-vakoiluohjelman reititys- ja datankeruumoduulit sekä tietovarantokomponentit julkisesti ladattaviksi. FinFisher Relay ja FinSpy Proxy ovat FinFisher Suite ohjelmiston komponentteja, joiden tehtävänä on lähettää vakoilutiedot komentopalvelimelle.

Ohjelmakomponenttien julkaisemisella Wikileaks halusi vastustaa toimittajien, aktivistien ja poliittisten toisinajattelijoiden vakoilua sekä rakentamaan työkaluja FinFisheriltä suojautumiseksi ja sen komentopalvelimien löytämiseksi.

Wikileaks arvioi, että FinFisherin (aiemmin Gamma Group International) vuotuinen liikevaihto oli noin 50 miljoonaa euroa. Esimerkiksi Viro on hankkinut vakoiluohjelmia noin 3,4 miljoonalla eurolla. Lähde: (wikileaks.org 15.9.2014)

Hacking Team technology
Hacking Team technology on italialainen yritys, joka toimii Milanossa. Sen palveluksessa on 35 henkilöä. Yrityksen perusti David Vincenzetti ja Valeriano Bedeschi vuonna 2003. Yhtiö kehittää ja markkinoi viranomaisille RCS (Remote Control Systems) verkkotutkintaohjelmaa.

Ohjelman hinta on keskikokoisena installaationa noin 600 000 euroa. Ohjelma tarjoaa mahdollisuuden murtautua tietokoneisiin tai älypuhelimiin, jonka jälkeen näitä kohdennettuja järjestelmiä voidaan operoida etänä. Ohjelma toimii lähes millä tahansa laitteella tai alustalla, kuten Windows, OSX (Mac-tietokoneet), iOS (iPhone ja iPad), Android, Blackberry, Symbian ja Linux käyttöjärjestelmissä.

Ohjelmalla voidaan mm. avata salaa kohteena olevan laitteen mikrofoni tai ottaa laitteen webcam -kameralla kuvia sekä ottaa sähköpostiviestit ja asiakirjat haltuun tutkintaa varten. Älypuhelimiin tarkoitetulla verkkotutkintaohjelmalla voidaan seurata henkilön liikkeitä GPS:n kautta ja kuunnella keskusteluja. Ohjelmalla voidaan seurata yli 100 000 kohdetta samanaikaisesti. Ohjelmaa ei ole mahdollista havaita millään virustorjuntaohjelmilla.

Codex Data Systems
DIRT (Data Interception by Remote Transmission) on Codex Data Systemsin kehittämä ja markkinoima tehokas tarkkailu- ja vakoiluohjelma, jota virustorjuntaohjelmat eivät tunnista. Ohjelma on kooltaan alle 20KB ja voidaan asentaa komentopalvelimelta mihin tahansa internetiin liitettyyn tietokoneeseen. Ohjelmalla voidaan seurata yhtä tai useampia kohteita samanaikaisesti ja raportoida tiedot komentopalvelimelle.

Sovelluksen avulla lainvalvontaviranomaisten on mahdollista tallentaa digitaalisia todisteita. Ohjelman käyttäjänä on mm. FBI sekä muita Yhdysvaltain lainvalvontaviranomaisia. Back Orifice-hakkerointityökalun kehittäjä yhdysvaltalaisen hakkeriryhmä Cult of Dead Cown jäsenen väitettiin osallistuneen DIRT-ohjelman ensimmäisen version julkistustilaisuuteen. Back Orifice-hakkerointityökalun väitetään sisältävän vastaavia ominaisuuksia.

FBI (Federal Bureau of Investigation)
FBI kehittää itse osan tarvitsemistaan verkkotutkintaohjelmistoista. Tällainen ohjelma on mm. Magic Lantern. Ohjelmasta raportoitiin julkisuudessa ensimmäisen kerran 20.11.2001. Ohjelma voidaan asentaa mm. etänä sähköpostin liitetiedostona tai hyödyntämällä käyttöjärjestelmän nollapäivähaavoittuvuuksia.

Liitetiedoston avaaminen asentaa verkkotutkintaohjelman käyttäjän tietokoneeseen. Ohjelma aktivoituu, jos epäilty käyttää sähköpostiviestissä PGP – salausta. Ohjelma tallentaa muistiin käyttäjän PGP salasanan, jonka avulla FBI voi avata viestin.

CIPAV (Computer and Internet Protocol Address Verifier) on FBI:n verkkotutkintaohjelma (vakoiluohjelma), joka kerää seurattavan tietokoneen liikennöintitietoja. Ohjelma asennetaan tutkinnan kohteena olevan henkilön tietokoneeseen käyttäjän huomaamatta.

Ohjelman eräänä asennustaktiikkana käytetään sähköpostiviestiin sisällytettyä linkkiä, jolla käyttäjä houkutellaan esimerkiksi sosiaalisen yhteisön sivustolle (MySpace, Facebook), josta vakoiluohjelma pääsee latautumaan koneeseen. Kun ohjelma on asentunut, se alkaa seurata salaa mm. Internetin käyttöä.

CIPAV-ohjelma lähettää kerätyt tiedot Internetin välityksellä FBI:n teknisen laboratorion tietokoneelle Virginiaan. Ohjelma kerää mm. seuraavia tietoja:


  • IP-osoitteen
  • tutkii MAC-osoitteen Ethernet-kortilta
  • muodostaa luettelot avoimista TCP-ja UDP-porteista
  • muodostaa luettelon käynnissä olevista ohjelmista
  • selvittää käyttöjärjestelmän tyypin, version ja sarjanumeron
  • selvittää internet-selaimen oletusasetukset ja version
  • selvittää käyttöjärjestelmän rekisteröineen henkilön nimen, jos se on määritelty
  • selvittää nykyisen kirjautuneen käyttäjän nimen
  • selvittää URL-osoitteet, joilla käyttäjä on vieraillut.

Bundestrojaner ja Federal Troijan
Etelä-Saksassa sijaitsevan Baijerin osavaltion pääkaupungissa Münchenissä poliisi tarkkaili asukkaiden tietokoneita verkkotutkintaohjelmien (vakoiluohjelmien) avulla vuodesta 2009. Chaos Computer Club (CCC) nimellä tunnettu saksalainen hakkeriryhmä syytti Saksan hallitusta vakoiluohjelmistojen kehittämisestä omien kansalaisten vakoilemisesta.

CCC-hakkeriryhmän mukaan "Bundestrojaner" ja "Federal Troijan" nimiset verkkotutkintaohjelmat mahdollistavat pidemmälle menevän kansalaisten vakoilun kuin Saksan lainsäädäntö sallii. CCC-hakkeriryhmän analyysi osoitti, että verkkotutkintaohjelma tallentaa käyttäjän näppäilyt, ottaa kuvakaappauksia, tallentaa Skype keskustelut ja aktivoi tietokoneen videokameran ja mikrofonin, jolla voi seurata tapahtumia salaa käyttäjän kotona.

Saksan poliisin käyttämät verkkotutkintaohjelmat mahdollistivat ohjelmiston käytön myös kolmansille osapuolille. Saksan sisäministeriö puolestaan vakuutti, ettei verkkotutkintaohjelmia ole käytetty kansallisella tasolla. Baijerin osavaltio kuitenkin myönsi verkkotutkintaohjelmien käytön vuodesta 2009, mutta väitti toiminnan olevan laillista.

Baijerin sisäministeri Joachim Herrmann totesi lausunnossaan, että he olivat toimineet lain puitteissa, ja lupasi tarkistaa miten ohjelmistoa on käytetty. Saksan liittokansleri Angela Merkelin edustaja kertoi, että hakkeriaktivistien syytökset on tutkittava. Lähteet: (dw-world.de 10.10.2011, yle.fi 11.10.2011)

Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön