• Raul Nugis, Author |

KPMG kaitseb oma kliente nii finantspetturite, korruptsiooniohu kui ka küberrünnakute eest. Selleks on meil väga kogenud riskijuhtimise ja küberturvalisuse meeskond, kus töötab 25 spetsialisti. Juhtub aga ka seda, et meie poole pöördutakse alles siis, kui kahju on juba tekkinud. Tegu võib olla lunavara, konkurendi õõnestustegevuse või lausa tööstusspionaažiga. Kõigis sellistes olukordades on vaja a) uurida, mis juhtus, b) hinnata tekitatud kahju suurust ja c) puhastada või taastada kahjustatud süsteemid.

Kustutatud andmed pole alati lõplikult kadunud

Kindlasti peab paika vana tõde, et iga korralik ettevõte vajab logisid ja tagavarakoopiaid. Kui aga finants-, tootmis-, tööstusomandi vm dokumendid on siiski kaduma läinud või kahjustada saanud, tuleb võtta ette andmete taastamine. Tüüpandmekandjate puhul annavad häid tulemusi mitmesugused taasteprogrammid, sealhulgas ka vabavaralised, nagu näiteks Recuva. IT-ekspertiisis tuginetakse sageli aga arvutikriminalistika (ingl forensic) programmidele nagu Nuix, X-Ways jms, mis loevad andmekandjate üksüheseid tõmmiseid ehk ekspertiisikoopiaid ning aitavad luua pilti sellest, mis juhtus, ja taastada kustutatud andmed. Arvutikriminalistika vahendid on loodud ja seadistatud tööks keerulistes oludes ning kahjustada saanud süsteemide ja tavaolukorras varjatud andmetega. Need tööriistad suudavad failid sõna otseses mõttes kildudest kokku panna, mis võib, aga alati ei pruugi aidata kaduma läinud dokumendid korrektselt taastada. Üldjuhul kammivad need andmekandja koopia põhjalikult läbi ja loovad suurel hulgal failikandidaate (e-kirju, docx- ja zip-faile jne).

Oletame, et soovime uurida, mis on saanud ettevõtte finantsjuhi arvutis olnud ja intsidendi tõttu kaduma läinud PDF-dokumentidest. Sõltuvalt sellest, kui osavad olid võimalikud ründajad, kui palju aega on möödunud ning mis süsteemiga on tegu, võib õnnestuda midagi taastada. Isegi kui meil on samad dokumendid mujal olemas, soovime siiski rünnaku alla sattunud süsteemi uurida, et teada saada, mida ründajad on kopeerinud ja mis on hävinud. Selleks on vaja süsteemist andmed taastada.
Niisiis rakendame eespool kirjeldatud arvutikriminalistika töövahendeid. Need loevad uurimise all olevat andmekandjat põhjalikult, vaatavad seal ringi igas nurgas ja piiluvad ka n-ö vaiba alla. Tulemuseks on tihti see, et nad pakuvad meile välja tuhandeid, isegi kümneid ja sadu tuhandeid taastatud dokumente. Seda isegi siis, kui meil on teada, et vaatluse alla võetud arvutis oli PDF-faile kokku vaid mõnisada! See tuleb sellest, et arvutikriminalistika programmid ei hooli niipalju täpsusest kui kiirusest ja andmete taastamisest võimalikult suures mahus. Nii leiavad need igasuguseid kilde ja tükikesi, mis on pärit kunagi failisüsteemis olnud dokumentidest, aga millega meil pole paraku suurt midagi peale hakata. Õigesti taastatud dokumentide väljanoppimise jätavad andmetaaste programmid seega kasutajale.

Edukas andmetaaste eeldab lisatööd

Nii et kui oleme oma uurimis-, otsingu- ja taasteprogrammid käivitanud, saame hiiglasliku arvu tükkidest kokku pandud PDF-faile, millest suur osa – näiteks 90% – ei ole kasutuskõlblikud ja neist pole mingit kasu. Et sellest tohutust dokumendikandidaatide armeest kätte saada need, mida otsime, peame klikkama igale failile eraldi ja katsuma seda avada. Et dokumendikandidaate on aga väga-väga palju, tavaliselt kümneid tuhandeid, on see võimatu ülesanne. KPMG-s kasutame sellisel juhul skripte, mis käivad dokumendikandidaadid automaatselt läbi ja teevad kindlaks, millised neist on taastatud nii suurel määral, et dokumendi sisu üleüldse saab lugeda. Selliste automaatikavõtete kasutamine tõhustab ja kiirendab uurimistegevust ja lubab kliente aidata mitu korda kiiremini.


Et sellest artiklist oleks hädasolijal ka praktilist kasu, laeme üles PDF-i sisu kontrollrakenduse „PDF_checker_free.exe“, mille abil saab eelkirjeldatud ülesande lahendada. Soovijad saavad selle alla laadida ja kasutada PDF-ide kontrolliks. Siin avalikustatud skript kontrollib korraga kuni tuhandet PDF-i. Täisversioonis, mida kasutame oma klientide teenindamiseks, ei ole failide arv piiratud.
Skript ja õpetus, kuidas seda katkiste ja taastatud PDF-failide kontrollimiseks kasutada, asuvad aadressil https://github.com/raul-nugis/PDF_checker_free

Eesti KPMG-s tegutseb 25 küberturvalisuse, riskijuhtimise ja siseauditi spetsialisti ning pettuste uurijat. Aitame klientidel kaitsta end riskide eest. Olukordades, kus riskid on realiseerunud, saame välja tuua, mis juhtus ja kuidas on ettevõte või avalik asutus kahju saanud, samuti töötada välja lahendus, mis sellised olukorrad tulevikus välistab.

Tags: