Sähköposti todisteena oikeudessa?

39 posts, 2 pages, 18,341 views

evvk

Posts: 1,918

#1 • • evvk
Sähköposti todisteena oikeudess?

Eli riittääkö todisteena?

Enemmän tai vähemmän?

Miksi ei voitaisi olla varmoja, että kuka sähköpostin on oikeasti lähettänyt ja miksi voitaisiin.

En tarkoita nyt tulostetta sähköpostista vaan sähköpostin lähdekoodia ja siinä oleviä SMTP, IP, ja HOST ja muita tietoja joiden avulla voidaan selvitellä erinäisiä asioita. Mukaan lukien se, että kun saadaan selville että mistä koneesta posti lähettetty niin siitä sitten voidaan tai ei voida ottaa sormenjälkiä. Asiaanhan liitty monia asioita.

Esimerkiksi jos sinua on huijattu ja viet asian oikeuteen ja todistamisessa on vain ja ainoastaan sähköpostien lähdekoodit ja muut siihen liittyvät asia ja mahdollisesti jokunen tekstiviesti käytössä ja tekijä pitäisi saada kiinni tai tekijä on tiedossa mutta ei ole silminnäkijöitä tai mitään allekirjoitettuja sopimuksia.

Se tiedetään, että melkein kuvaan voi helposti väärentää lähettäjäv nimen ja voidaan käytää ohjelmia jotka väärentää mm host ja ip tiedot ja voidan myös tehdä väliaikainen serveri jossa on SMTP osoite postin lähettämiseen. Mutta esim. EUnet:lla sanotaan että esim. porttien skannauksesta ja muusta rikolliseta toiminnasta verkossa jää aina kiinni.
Jone

Posts: 8,258

#2 • • Jone Archibald Haddock
Ihana "Mark Hamilton"-topic. Nää on aina lottovoiton tasoinen juttu forumin käyttäjäkunnalle.

Mites ajattelit herättää pidempää keskustelua asiasta, johon on olemassa ainoastaan myöntävä tai kieltävä vastaus perustuen siihen saadaanko asiasta kysymyksesi kaltaisen skenaarion kautta riittävä näyttö? Vastaus on siis käsittääkseni, että kyllä, sähköpostiviesti käy todisteena oikeudessa kuhan se pystytään yhdistämään johonkin tiettyyn henkilöön (joka on usein äärimmäisen helppoa, joskus vaikeampaa mutta edelleen mahdollista) ja siinä ilmenee jotain sellaista, että se todisteeksi sopii.

"Keskustellaan" vielä vai olisko tää threadi tällä ohi?
Avatar
#3 • • Dorka Guest
...heh, ei sähköposti sinänsä ole mikään pitävä todiste. helppo väärentää, mutta tarvittaessa viestejä voidaan todellakin tehokkaasti jäljittää.

tähän ongelmaa varten onkin sitten erillaisia keinoja... eli käytetyin taitaa olla hash koodaus eli luodaan hash koodi jolla varmistetaan, että viestiä ei ole muutettu "matkanvarrella" mutta se ei tietenkään todista lähettäjän henkilöllisyyttä eikä myöskään kryptaa viestiä joten jokainen voi lukea viestin.

sitten tuleekin S/MIME joka salaa viestin ja takaa, että lähettäjä on se jota se väittää olevansa mutta vaatii käyttäjän ja vastaanottajan käyttävän digitaalisia sertifikaatteja mutta tässäkin on omat ongelmansa. kuinka moni on ostanu esim. veritas:lta digitaalisen sertifikaatin sähköpostia varten?

...isommissa yrityksissä tämä tietysti hoidetaan automaattisesti niin, että firman sisäinen sähköpostiliikenne on kryptattu ja "varmennettu" sillä näissä olosuhteissa sertifikaatit voidaan jakaa automaattisesti. monissa firmoissa tämä tointo onkin aika tärkeätä, microsoft kertoi viimekertaisessa Tech-Ed:ssä että yhdellä niiden asiakkaille oli käynyt niin, että järjestelmänvalvoja oli lukenut suojaamattomia sähköposteja missä firman pomo oli sanonut että juuri hän oli yksi niistä henkilöistä jotka saavat potkut.

hetkeä ajankohtaa myöhemmin milloin henkilö sai potkut oli se ajanu scriptin millä se tuhos firman kaikki sähköpostipalvelimet ja postit niin, että sadoilta työntekijöiltä jouduttiin pelastamaan sähköpostit manuaalisesti niiden työasemista. sen olisi voinu tosiaan helposti välttää käyttämällä kryptattuja sähköposteja tai sitten rakentamalla niiden verkkoinfrastruktuuri eri tavalla (joka menee niin off topic, että jätän tästä selittämisen kokonaan pois).
Avatar
#4 • • Dorka Guest
...en nyt vastannu suoraan kysymyksiin vaan oletan että nyt voi käyttää maalaisjärkeä millä voi miettiä mikä on oikeudessa pitävä todiste ja mikä ei.
Jone

Posts: 8,258

#5 • • Edited Jone Archibald Haddock

Dorka:
...heh, ei sähköposti sinänsä ole mikään pitävä todiste. helppo väärentää, mutta tarvittaessa viestejä voidaan todellakin tehokkaasti jäljittää.



Eräässä mulle aika läheisessä casessa tai ei tarvinnut mennä edes käräjäoikeuteen asti, koska vähän samplailemalla ympäriinsä muutaman tietyn sähköpostin lähettäjät olikin jo identifioitu ja asian sitten sitä myöten selvä. Et pääsääntöisesti asiat ei kyllä ole mitenkään noin monimutkaisia, koska suuri osa niistäkin, jotka kuvittelevat olevansa suuria tietoteknisia taitureita ja ovelia kuin ketut on lähinnä idiootteja, joilla on liian suuret luulot taidoistaan. *vink**nauru*
Avatar
#6 • • Dorka Guest
...lisäämpä vielä tämän, koska monille pienille pk yrityksille sähköposti on vitaali kommunikaatioväline, mutta toisaalta niin epäturvallinen on markkinoille tullut monia sähköposteja "varmentavia" yrityksiä. tosin tässä häviää sähköpostien osa ideasta, mutta homma toimii niin että loggaudut firman palvelimelle nettisivuille minne ensin olet rekisteiröitynyt (ja maksanut) jossa kirjoitat viestin ja sen jälkeen lähetät kenelle ikinä haluat. vastaanottaja sitten saa sähköpostiinsa ilmoituksen, että sähköposti on tullut perille mutta se pitää lukea tän "varmennuksen" tarjoavan yrityksen nettisivujen kautta ja asiakas tai kuka tahansa katsoo näiltä sivuilta sähköpostin ja vastaa sitten takaisin joko omaa sähköpostiohjelmaa käyttäen (milloin taas ei voi olla varmoja onko viesti muutettu tai onko lähettäjä se kuka se väittää olevansa) tai sitten maksaa ja ostaa itselleen myös tunnukset tähän "varmennukseen" tarjoavalta firmalta.

...tosin tässä on ongelma, se että sähköpostin lähettämiseen ja vastaanottamiseen tarvitaan kolmas osapuoli jolle pitää maksaa ja sähköpostin arkistointi on "hieman" hankalaa, kun sähköpostit eivät sijaitsekkaan enää omassa tietokoneessa vaan kolmannen osapuolen palvelussa.

mutta eipä tarvise kenenkään asentaa mitään juttuja koneisiin eikä miettiä miten kryptaaminen toimii ja että onko vielä sähköpostiohjelmat keskenään yhteensopivia käytetyn kryptauksen ja varmennuksen kanssa. tosin nykyään se on niin standardisoitua, että tässä tuskin tulee ongelmia paitsi... linux / unix puolella ;)
Avatar
#7 • • Dorka Guest

Jone:
Et pääsääntöisesti asiat ei kyllä ole mitenkään noin monimutkaisia, koska suuri osa niistäkin, jotka kuvittelevat olevansa suuria tietoteknisia taitureita ja ovelia kuin ketut on lähinnä idiootteja, joilla on liian suuret luulot taidoistaan. *vink**nauru*


totta joo, logiin jää aina jäljet kuka on mistäkin lähettäny. ip feikkaamiset ja muut jutut tietysti tekee asian paljon vaikeammaksi, mutta aina joku asia kummiskin unohtuu ja sitten päästääkin lähettäjien perään. jos yrityksessä on käytössä active directory tai vastaava ja exchange sähköpostijärjestelmä (tai vastaava) niin feikkaaminen käyttämättä edes S/MIME toimintoa on todella helppo tehdä ja käytännössä mahdotonta väärentää (tai se tarkoittaisi sitä, että joku olisi hakkeroinu toisten työntekijöiden tunnuksia tai sitten murtanu microsoftin kerbos authentikaatiojärjestelmän joka meneekin sitten aivan utopiaks. nyt puhun siis väärentämistä lähettäjän identiteetin suhteen.
Aziz Combat Fighter

Posts: 6,592

#8 • • Aziz Combat Fighter

Jone:
Ihana "Mark Hamilton"-topic. Nää on aina lottovoiton tasoinen juttu forumin käyttäjäkunnalle.

Mites ajattelit herättää pidempää keskustelua asiasta, johon on olemassa ainoastaan myöntävä tai kieltävä vastaus perustuen siihen saadaanko asiasta kysymyksesi kaltaisen skenaarion kautta riittävä näyttö? Vastaus on siis käsittääkseni, että kyllä, sähköpostiviesti käy todisteena oikeudessa kuhan se pystytään yhdistämään johonkin tiettyyn henkilöön (joka on usein äärimmäisen helppoa, joskus vaikeampaa mutta edelleen mahdollista) ja siinä ilmenee jotain sellaista, että se todisteeksi sopii.

"Keskustellaan" vielä vai olisko tää threadi tällä ohi?



Ihana "Jone"-vastaus.

Kyl noi ilmeisesti viel haluu keskustella vaik ehitki replyymään ekana.

Omituista! *ding*
Jone

Posts: 8,258

#9 • • Jone Archibald Haddock

Ana:
Ihana "Jone"-vastaus.

Kyl noi ilmeisesti viel haluu keskustella vaik ehitki replyymään ekana.

Omituista! *ding*



Oikeesti Ana, haistappa vaikka paska. Stevarina se paskanhaju kulkee varmaan sun mukanasi, joten ei pitäis olla vaikeeta edes.
Aziz Combat Fighter

Posts: 6,592

#10 • • Edited Aziz Combat Fighter

Jone:
---
Ana:
Ihana "Jone"-vastaus.

Kyl noi ilmeisesti viel haluu keskustella vaik ehitki replyymään ekana.

Omituista! *ding*

---


Oikeesti Ana, haistappa vaikka paska. Stevarina se paskanhaju kulkee varmaan sun mukanasi, joten ei pitäis olla vaikeeta edes.



*pihkassa* Muistatsä mitä mä kirjotin pätemisestä?
Aziz Combat Fighter

Posts: 6,592

#11 • • Aziz Combat Fighter
Mut aiheesta:

Sähköpostin salalähetys on kyllä siinä mielessä kohtuu helppoa, että siinä pitää pikkasen ajatella "laatikon ulkopuolelta". Mikäli haluaa lähettää sähköpostin, jonka lähettäjää ei saada kiinni, voi esim. mennä kirjastoon ja rekisteröidä itselleen webmaili salanimellä, ja lähettää mailin sieltä. Myöskin summittaisen kaapatun koneen (tai useamman) käyttäminen välityspalvelimena maskeeraa lähettäjän aika tehokkaasti, varsinkin jos polkuun ottaa tarpeeksi monta askelta.

En tiedä sitten miten paljon näitä on oikeudessa käsitelty todisteina, ainakaan sellaisia joita epäillään taitavasti väärennetyiksi. Sormenjälkien ottaminen esim. julkisesta koneesta on jo täysin mahdotonta, noissa yleensä tuppaa olemaan viidensadan ihmisen sormenpäärasvat sekasin.
Hupsu

Posts: 1,005

#12 • • Hupsu
Viime perjantain Metro-lehdessä oli juttu, jonka mukaan joku hyypiö tuomittiin seksin ostamisesta alaikäiseltä. Todisteena käytettiin sähköpostiliikennettä.

--
Päivän mietelause?

akir0

Posts: 2,554

#13 • • akir0 idleRPG champion 2009
Aika erikoinen case saa olla, jos ainoa todiste oikeudessa on lähetetty sähköpostiviesti :)

Sanoisin kuitenkin, että jos voidaan luotettavasti todistaa, kuka on lähettänyt niin toki se on pitävä todiste.
Aziz Combat Fighter

Posts: 6,592

#14 • • Aziz Combat Fighter

akir0:
Sanoisin kuitenkin, että jos voidaan luotettavasti todistaa, kuka on lähettänyt niin toki se on pitävä todiste.



Se ku just oli se kysymys et voidaanko todistaa 100% varmuudella.
Aziz Combat Fighter

Posts: 6,592

#15 • • Aziz Combat Fighter

Lene:
---
Ana:
Se ku just oli se kysymys et voidaanko todistaa 100% varmuudella.

---


Toinen kysymys olisi, että vaaditaanko 100% varmuutta vai riittääkö todennäköisyys ja jos niin kuinka suuri?



Mun mielestä kai oikeudessa voi todisteina käyttää vaan faktoja, en tosin oo varma, koska en ole lukenut lakia. Mut näin vois olettaa, et "todennäkösesti" ei riitä.
evvk

Posts: 1,918

#16 • • evvk

Jone:
Ihana "Mark Hamilton"-topic. Nää on aina lottovoiton tasoinen juttu forumin käyttäjäkunnalle.

Mites ajattelit herättää pidempää keskustelua asiasta, johon on olemassa ainoastaan myöntävä tai kieltävä vastaus perustuen siihen saadaanko asiasta kysymyksesi kaltaisen skenaarion kautta riittävä näyttö? Vastaus on siis käsittääkseni, että kyllä, sähköpostiviesti käy todisteena oikeudessa kuhan se pystytään yhdistämään johonkin tiettyyn henkilöön (joka on usein äärimmäisen helppoa, joskus vaikeampaa mutta edelleen mahdollista) ja siinä ilmenee jotain sellaista, että se todisteeksi sopii.

"Keskustellaan" vielä vai olisko tää threadi tällä ohi?



Eikös tuosta, mun avauksesta pitäisi pystyä päätteleen että pitää olla essee vastaus..
Essee vastauksia voidan aina kritisoida..

Eräs lakimies väitti että ei riitä todisteena oikeudessa, koska hänelle oli lähetetty viesti joka oli tullut pääministerin sähköpostioitteella, mutta oikealähettäjä oli joku muu. Esitin hänelle kysymyksiä, joiden perusteella päätelin että se ei nyt ollut ihan ymmärtänyt asiaa, kun hän sanoi että ei voi tietää onko lähettäjä lähettänyt sen kirjastosta vai kotoaan.

Eli, siis lakimiehien ja tuomareiden käsitys ja tietämys teknologiasta on lähes täysin harhakäsitteinen ja uskomuset on mitä on. Tarvitaan IT-alan rikospoliisi ja asiantuntioita vakuuttamaan ks. henkilöt tutkimustensa perustella oikeudessa olevat asiaa-ajavat tuomarit, lakimiehet jne.. paitsi jos heillä itsellä on tietämystä asioista. Ei ne teidä että koneissä on olemassa IP-osoite ja host minkä persustella voidan tietää esim. että se oli kone12 luokassa 220.. tai, että se oli koneX A-lehtien konttorissa.. minkä jälkeen voidaan selvitellä kukahan lähettäjä mahto olla..

..
Kysytäämä, että
Jos tehdään työsopimus sähköpostitse niin millaista sopimusta se vastaisi vai vastaisiko ollenkaan? Olisiko sitä sähköpostitse järkevää edes tehdä? Olisiko järkevämpää tehdä vaika ASP PDF dokumentti ja hoitaa vaikka jotain lisätodistetta tekstiviestillä (työnantaja lähettää tekstiviestissä tunniste koodin joka on documentissa ja päin vastoin)..
IP ja Host tiedot voidaan tallentaa tähän ja voidaan tehdä tiety ehtolausekeet jolloin ohjelma ottaa host ja ip tiedot toisella tavalla jos niitä ei meinaa tavalalla X löytyä.

Miksi tälainen sopimus tehtäisin?

Syy etätyö ja sopimuksen kirjoittamistilaisuus face-to-face tulisi liian kalliksi tai oli mahdotonta pitkän välimatkan takia..

--
Mutta okei.. sopimus voidaan kyllä lähettää edestakaisin postissakin ja allekirjoittaa ihan perinteisesti, paitsi että virtuaalisesti se olisi nopeampaa.
Aziz Combat Fighter

Posts: 6,592

#17 • • Aziz Combat Fighter
sähköpostitse tehtyyn sopimukseen tarvitsisi liittää joku standardoitu sähköinen allekirjoitus, eikä mokomaa mielestäni taida olla olemassa.. Postitse tai faksitse onnistunee helpoiten.
evvk

Posts: 1,918

#18 • • evvk
Sähköinentunniste on olemassa ja sen voi hakea henkilörekisterikeskuksesta, siihen tosin tarvitaan kai jokin kortinlukija.
Aziz Combat Fighter

Posts: 6,592

#19 • • Aziz Combat Fighter

Mark Hamilton:
Sähköinentunniste on olemassa ja sen voi hakea henkilörekisterikeskuksesta, siihen tosin tarvitaan kai jokin kortinlukija.



Joo, tosta olen tietoinen, mutta toimiakseen tehokkaasti ton tarttis olla jotenkin erikseen ostettavista lisälaitteista riippumaton. Kansainvälistä standardia moiselle ei taida edes olla.
akir0

Posts: 2,554

#20 • • akir0 idleRPG champion 2009

Ana:
---
akir0:
Sanoisin kuitenkin, että jos voidaan luotettavasti todistaa, kuka on lähettänyt niin toki se on pitävä todiste.
---

Se ku just oli se kysymys et voidaanko todistaa 100% varmuudella.



Miten määritellään 100% varmuus? (hei, tää oli retorinen kysymys, älä vastaa) Varmasti todisteeksi kelpaa vaikka tulostettu lappunen, vaikka senkään oikeellisuuden todistaminen ei ole täysin varmaa. Kirjoitustavasta ja viestin alkuperästä voidaan kuitenkin _yleensä_ selvittää riittävä totuus asiasta.

Ainakin PDF tarjoaa sähköistä allekirjoitusta, joka on salauksensa perusteella "riittävän pätevä". Sähköpostilla solmitaan nykyisin muutenkin oikeudessa pitäviä sopimuksia (esim. yritysten välillä), eli kyllä se pätisi työsopimuksen osaltakin.