Компьютерная криминалистика

Размещено на http://www.allbest.ru/

Компьютерная криминалистика



Содержание

• Введение
• 1. Нормативные ссылки
• 2. Термины и определения
• 3. Сокращения
• 4. Понятие и применение компьютерных технологий, как специальных знаний, при расследовании преступлений
• 4.1 Применение компьютерной технологии в расследовании преступлений
• 4.2 Применение компьютерной технологии в криминалистической деятельности
• 4.3 Роль экспертно-криминалистических подразделений
• 4.4 Краткий список специальных технических средств
• 4.5 Этапы проведения расследования
• 4.6 Контр-Форензика
• Заключение к разделу
• 5. Компьютерные преступления
• 5.1 Криминалистическая характеристика
• 5.2 Онлайн-мошенничество
• 5.3 Клевета и оскорбления в сети
• 5.4 Dos-атаки
• 5.5 Вредоносные программы
• 5.6 Другое
• Заключение к разделу
• 6. Исследование работы системы Traffic Monitor
• 6.1 Определение угроз информационной безопасности
• 6.2 Анализ подходов к формированию и классификации множества угроз
• 6.3 Способы защиты от утечек конфиденциальной информации
• 6.4 Комплексная система InfoWatch Traffic Monitor
• Заключение к разделу
• 7. Разработка научно-методических рекомендаций по построению системы защиты конфиденциальной информации компании от внутренних утечек
• 8. Технико-экономическое обоснование
• 9. Безопасность жизнедеятельности
• Заключение
• Список использованных источников
• Приложение А
• Приложение Б

• Введение
• В России расследование компьютерных происшествий носит название "форензика". Термин "форензика" произошел от латинского "foren", что значит "речь перед форумом", то есть выступление перед судом, судебные дебаты - это был один из любимых жанров в Древнем Риме, известный, в частности, по работам Цицерона.
• В русский язык это слово пришло из английского. Термин "forensics" является сокращенной формой "forensic science", дословно "судебная наука", то есть наука об исследовании доказательств - именно то, что в русском именуется криминалистикой. Соответственно, раздел криминалистики, изучающий компьютерные доказательства, называется по-английски "computer forensics".
• При заимствовании слово сузило свое значение. Русское "форензика" означает не всякую криминалистику, а именно компьютерную. Форензика (компьютерная криминалистика) является прикладной наукой о раскрытии и расследовании преступлений, связанных с компьютерной информацией, о методах получения и исследования доказательств, имеющих форму компьютерной информации (так называемых цифровых доказательств), о применяемых для этого технических средствах.
• Предметами форензики являются:

1 криминальная практика - способы, инструменты совершения соответствующих преступлений, их последствия, оставляемые следы, личность преступника;

2 оперативная, следственная и судебная практика по компьютерным преступлениям;

3 методы экспертного исследования компьютерной информации и, в частности, программ для ЭВМ;

4 достижения отраслей связи и информационных технологий (ИТ), их влияние на общество, а также возможности их использования как для совершения преступлений, так и для их предотвращения и раскрытия



• 1. Нормативные ссылки

В настоящей выпускной квалификационной работе использованы ссылки на следующие стандарты:

ГОСТ Р 50922-2006. Национальный стандарт РФ. Защита информации. Основные термины и определения

ГОСТ Р 51624-2000. Национальный стандарт РФ. Защита информации. Автоматизированные системы в защищенном исполнении. Общие положения

ГОСТ 12.0.001-82. Система стандартов безопасности труда. Основные положения

ГОСТ 12.1.005-88. ССБТ. Общие санитарно-гигиенические требования к воздуху рабочей зоны

ГОСТ Р 2.2.2006-05 Руководство по гигиенической оценке факторов рабочей среды и трудового процесса. Критерии и классификация условий труда

СанПиН 2.2.4.548-96 Гигиенические требования к микроклимату производственных помещений

СанПиН 2.2.2/2.4.1340-03.Гигиенические требования к персональным электронно-вычислительным машинам и организации работы

СНиП 23-05-95. Естественное и искусственное освещение

• 
• 2. Термины и определения
• Автоматизированная система - комплекс технических, программных, других средств и персонала, предназначенный для автоматизации различных процессов.
• Авторизация - предоставление прав доступа.
• Анализ риска - систематическое использование информации для выявления источников и для оценки степени риска.
• Безопасность информации - состояние защищенности информации от внутренних или внешних угроз; состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации, несанкционированного копирования, блокирования информации; состояние информации, при котором исключаются случайные или преднамеренные несанкционированные воздействия на информацию или несанкционированное ее получение.
• Доступность - обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.
• Защита информации - деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
• Информационная система - автоматизированная система, результатом функционирования которой является представление выходной информации для последующего использования.
• Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
• Конфиденциальность - свойство, что информация не сделана доступной или не разглашена неуполномоченным лицам, организациям или процессам.
• Обладатель информации - лицо, самостоятельно создавшее информации либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.
• Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).
• Распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц.
• Система защиты информации - совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации.
• Целостность - обеспечение достоверности и полноты информации и методов ее обработки.
• Угроза информационной безопасности (угроза ИБ) - угроза нарушения свойств информационной безопасности - целостности, доступности или конфиденциальности информационных активов.
• Уязвимость информационной безопасности (уязвимость ИБ) - слабое место в инфраструктуре организации, включая систему обеспечения информационной безопасности, которое может быть использовано для реализации или способствовать реализации угрозы информационной безопасности.
• Ущерб - утрата активов, повреждение активов и инфраструктуры организации или другой вред активам и инфраструктуре организации, наступивший в результате реализации угроз ИБ через уязвимости ИБ.
• 
• 3. Сокращения

АС - автоматизированная система

АИС - автоматизированная информационная система

БД - база данных

ЗИ - защита информации

ИБ - информационная безопасность

ИС - информационная система

ИТ - информационные технологии

ПДн - персональные данные

ПК - персональный компьютер

ПО - программное обеспечение

ПЭМИН - побочные электромагнитные излучения и наводки

СБ - служба безопасности

ЭВМ - электронно-вычислительная машина



• 4. Понятие и применение компьютерных технологий, как специальных знаний, при расследовании преступлений
• 4.1 Применение компьютерной технологии в расследовании преступлений

При расследовании преступлений следователь часто прибегает к помощи специалистов и экспертов. Специалисты существуют в различных областях науки, техники, искусства и профессионального мастерства. С помощью знаний и навыков сведущих лиц раскрываются различные преступления.

Применение специальных познаний и навыков специалистов - это иной уровень использования научно - технических познаний и средств в уголовном судопроизводстве. Познания и навыки специалиста, как правило, более глубоки и содержательны.

Раскрытие и расследование преступлений в сфере компьютерной информации, а также таких "традиционных" преступлений, как: присвоение, мошенничество, фальшивомонетничество, лжепредпринимательство и др., когда компьютерные средства используются для совершения и сокрытия преступлений невозможно без привлечения специальных познаний в области современных информационных технологий.

Формы использования специальных познаний могут быть различны. Законом предусмотрена возможность привлечения специалиста к производству следственных и судебных действий, где он использует свои специальные знания и навыки для содействия следователю или суду в обнаружении, закреплении и изъятии доказательств.

Следователь или судья, обладая специальными познаниями и соответствующими научно-техническими средствами, в принципе, могут обойтись без помощи специалиста. Однако, при расследовании преступлений указанной выше категории, как показывают наши исследования, участие специалиста обязательно, так как, даже малейшие неквалифицированные действия с компьютерной системой зачастую заканчиваются безвозвратной утратой ценной розыскной и доказательственной информации.

Весьма проблематичным представляется участие специалистов в области высоких технологий, не владеющих основами процессуальных действий, в качестве специалистов при производстве следственных действий. Их "юридическая неграмотность" может привести к неправоверным поступкам из-за чего будет утрачена ценная доказательственная информация или ее использование станет недопустимым с процессуальной точки зрения. Поэтому целесообразно привлекать в качестве специалистов сотрудников экспертных учреждений, которые имеют право производить экспертизы соответствующих родов и видов.

Специалисты в ряде случаев (например, при проверке до возбуждения уголовного дела) также проводят исследования, но они называются предварительными и полученные результаты не имеют доказательственного значения. Такая форма использования специальных познаний не является процессуальной. Не процессуальной по форме является и справочно -консультационная деятельность специалиста.

Основной процессуальной формой использования специальных познаний является судебная экспертиза. Именно экспертные исследования придают изъятым аппаратным средствам, программному обеспечению и компьютерной информации доказательственное значение. В таких условиях основными задачами следователя являются лишь поиск, фиксация, изъятие с помощью специалистов и представление эксперту необходимых материальных объектов -носителей информации. При расследовании высокотехнологичных преступлений возникает необходимость выявления и изъятия следов и вещественных доказательств, представленных в виде информации в вычислительной системе или на магнитных носителях. В этих случаях появляется потребность в привлечении специальных знаний и навыков использования новейших информационных технологий.

К сожалению, на сегодняшний день правоохранительные органы, суды и прокуратуры не располагают достаточным количеством разбирающихся в современной технике специалистов, способных оперативно применять, выявлять и расследовать компьютерные преступления. Поэтому создание целостной системы обучения, подготовки и переподготовки специалистов по применению и борьбе с компьютерными правонарушениями является одной из основных задач.

Компьютеризация - важнейший современный катализатор научного процесса в любой творческой деятельности.

В памяти ЭВМ аккумулируются тактические приёмы и методы расследования, накопленный поколениями исследователей, но и использование этой информации в практике расследования конкретных преступлений.

Значительное внимание при этом уделяется компьютеризации криминалистической деятельности. Указанное направление научных и практических поисков является одним из важнейших в дальнейшем совершенствовании криминалистической деятельности по расследованию преступлений.

Повышение эффективности работы правоохранительных органов по раскрытию и расследованию преступлений в настоящее время невозможно без интеграции в криминалистику новых информационных технологий, в первую очередь связанных с персональными компьютерами. Ни чем не уступая по функциональным возможностям своим предшественницам - большим и малым ЭВМ, персональные компьютеры обладают рядом несомненных преимуществ: относительная низкая стоимость и высокая степень надёжности, компактность и малое потребление энергии. Это позволяет внедрять их буквально на каждое рабочее место, как автономно, так и включёнными в локальные информационные сети или в качестве терминалов больших и средних ЭВМ. Для удобства в обмене информацией ОВД России оснащаются однотипными персональными компьютерами.

При раскрытии и расследовании преступлений может использоваться как универсальное, так и специальное программное обеспечение персональных компьютеров. Универсальные программы общего назначения не только повышают производительность труда и эффективность работы по раскрытию преступлений, но и поднимают ее на качественно новый уровень.

• 4.2 Применение компьютерной технологии в криминалистической деятельности
• Информационно-аналитическая работа при расследовании преступлений - это собирание, хранение, систематизация и анализ доказательственной и ориентирующей информации в целях принятия оптимальных для данной следственной ситуации уголовно-правовых, уголовно-процессуальных и тактических решений, а также в целях обеспечения деятельности взаимодействующих экспертных подразделений и органов дознания. Основное содержание взаимодействия следователей с оперативными работниками при раскрытии и расследовании деятельности преступных структур также связано именно с информационно-аналитической работой и принятием решений.
• Источниками собирания доказательственной и ориентирующей информацией являются:
• 1 заявления, сообщения о преступлении;
• 2 результаты оперативно-розыскной деятельности;
• 3 результаты следственных и проверочных действий;
• 4 результаты специальных и экспертных исследований, заключений сведущих лиц;
• 5 данные криминалистических и иных учетов;
• 6 информация, предоставляемая различными участниками уголовного процесса;
• 7 сообщения средств массовой информации;

8 материалы уголовных дел и материалы об отказе в возбуждении уголовных дел;

9 сводки оперативной информации, ориентировки;

10 информация различных учреждений, организаций, предприятий.

К сожалению, в криминалистике методам информационно-аналитической работы не уделялось достаточно внимания. Вместе с тем необходимо отметить, что их значение существенно возрастает при расследовании уголовных дел о групповых и многоэпизодных преступлениях, особенно тех из них, которые связаны с проявлениями организованной преступной деятельности. С помощью методов информационно-аналитической работы следователь решает основные тактические и познавательные задачи, возникающие в процессе расследования преступлений.

Такие криминалистические задачи, как выявление серийных преступлений, преступлений в сфере экономики, международных и преступных межрегиональных связей, вообще не могут быть решены вне информационно-аналитической работы. Основные познавательные задачи следователя: выдвижение версий, принятие тактических решений, планирование оценка следственных ситуаций, организация тактических операций и комбинаций также в основе своей имеют те же методы.

Актуальность использования в процессе раскрытия и расследования методов информационно- аналитической работы определяется также происходящим в настоящее время процессом интенсивного внедрения в деятельность правоохранительных органов средств вычислительной техники, что резко повышает эффективность расследования. Этот процесс затрагивает организацию расследования преступлений, методическое обеспечение деятельности следователей, оперативных работников, экспертов, аспекты научной организации их труда, а также собирания, хранения, систематизации и анализа доказательственной и ориентирующей информации.

С помощью средств вычислительной техники в настоящее время не только осуществляется рационализация информационных процессов, но и осуществляется внедрение (впервые в юридической практике) компьютерных систем поддержки процесса принятия следователями, оперативными работниками и экспертами соответствующих решений. В последние годы в

России разработано несколько десятков таких систем. По существу они моделируют деятельность следователей-методистов, оказывающих помощь в расследовании отдельных категорий уголовных дел и формулирующих по результатам их изучения конкретные рекомендации.

Немаловажное значение для передачи положительного опыта практики расследования, для обучения следователей имело создание в России в середине 80-х гг. серии компьютерных обучающих имитационных систем, основанных на моделировании различных типов следственных ситуаций в процессе проведения занятий по криминалистике в форме деловых игр. Они имеют большое значение не только для формирования у студентов навыков принятия тактических решений в сложных ситуациях расследования, но и для выявления индивидуальных особенностей мышления будущих следователей, для уяснения причин типичных ошибок, допускаемых следователями в процессе расследования преступлений.

В последние годы в структуре средств и методов все более значимое место стали занимать компьютеры и основанные на их использовании методы информационного обеспечения криминалистической деятельности.

Более того, компьютеризация криминалистической деятельности ныне стала одним из важнейших направлений ее дальнейшего совершенствования, и прежде всего в плане повышения эффективности обработки и использования криминалистической получения научно-обоснованных решений криминалистических задач. Значение и неотвратимость процесса компьютеризации расследования преступлений определяются рядом факторов:

- во-первых, компьютеризация -- важнейший катализатор научно-технического прогресса, ядро современного технического перевооружения всех видов человеческой деятельности, в том числе по борьбе с преступностью;

- во-вторых, на базе использования компьютеров формируются новые, более эффективные методы решения традиционных криминалистических задач, а следовательно, криминалистической деятельности в целом;

- в-третьих, использование компьютерной технологии в сочетании с новейшими техническими средствами и методами (например, электронным микроскопом и другими аналогичными приборами, методом рентгеновского структурного или люминесцентного анализа) расширяет диапазон криминалистических исследований.

Термином "компьютеризация" ныне принято обозначать "использование средств вычислительной техники (компьютеров), математических методов и специального программного обеспечения для сбора, хранения и переработки информации, используемых в различных процессах управления; для обучения, а также для получения различного рода информационных и вычислительных услуг"

На базе использования программных средств функционируют автоматизированные информационные системы, разновидностью которых являются поисковые системы (ДИСП). Разработка программно-технических комплексов для применения в расследовании ныне проводится по следующим основным направлениям:

1 создание компьютерных дактилоскопических, баллистических и иных систем, фототек и фотороботов для нужд оперативной и розыскной деятельности, поиска и идентификации этого вида следов;

2 создание разнообразных криминалистических учетов с возможностью доступа к ним с удаленных компьютеров;

3 разработка информационно-справочных, поисковых консультационных (экспертных) и аналитических систем поддержки принятия решений для тактико-методического обеспечения расследования и розыска;

• 4.3 Роль экспертно-криминалистических подразделений
• Роль специалистов и экспертов при раскрытии и расследовании компьютерных преступлений является ключевой. Без их участия расследовать такое преступление невозможно вообще.
• Особенность состоит в том, что экспертно-криминалистические под- разделения правоохранительных органов таких специалистов не имеют. В текущих условиях минимальная зарплата ИТ специалиста "на гражданке" в разы превышает максимальную зарплату сотрудника экспертно-криминалистического подразделения в органах внутренних дел, юстиции или ФСБ. Старых же кадров, на которых держатся другие направления криминалистики, для форензики попросту не существует, поскольку обсуждаемая отрасль знания сама по себе очень молода.
• Номинальное существование подразделений компьютерно-технической экспертизы в некоторых ЭКУ может ввести кого-то в заблуждение, но только до первой встречи с этими номинальными "экспертами" или их трудами.
• Выход состоит в привлечении к расследованию гражданских специалистов и экспертов из числа сотрудников операторов связи, программистов, инженеров по коммуникационному оборудованию, системных администраторов. Многие из них готовы сотрудничать с органами внутренних дел совсем безвозмездно или за... скажем так, на иных взаимно приемлемых условиях.
• Нечто вроде экспертно-криминалистических отделов существует в некоторых коммерческих организациях, которым часто приходится проводить расследования инцидентов безопасности или которые специализируются на проведении экспертиз по гражданским делам.
• Штатным же ЭКО стоит поручать лишь простейшие, типовые виды компьютерных экспертиз, для которых есть готовые алгоритмы действий и образцы заключений.
• 4.4 Краткий список специальных технических средств
• Компьютерный криминалист вполне может обойтись без специальной криминалистической техники вообще. Компьютер сам по себе достаточно универсальный инструмент. Среди многообразного периферийного оборудования и программного обеспечения найдутся все необходимые для исследования функции. Некоторые программные инструменты можно легко создать или модифицировать своими руками.
• Однако специальная техника сильно облегчает работу. Впрочем, карманы она облегчает еще сильнее.
• На сегодняшний день на рынке имеются следующие криминалистические инструменты:

- устройства для клонирования жестких дисков и других носителей (в том числе в полевых условиях);

- устройства для подключения исследуемых дисков с аппаратной блокировкой записи на них;

- программные инструменты для криминалистического исследования содержимого дисков и других носителей, а также их образов;

- переносные компьютеры с комплексом программных и аппаратных средств, ориентированных на исследование компьютерной информации в полевых условиях;

- наборы хэшей (hash sets) для фильтрации содержимого изучаемой файловой системы;

- аппаратные и программные средства для исследования мобильных телефонов и SIM-карт ;

- программные средства для исследования локальных сетей

В целях криминалистического исследования можно эффективно применять не только специально для этого предназначенные средства, но также некоторые средства общего или двойного назначения.

С другой стороны, аппаратные и программные инструменты, которые автор назвал криминалистическими, могут быть использованы не только для правоохранительных целей. У них есть и ряд "гражданских" применений:

- тестирование компьютеров и их сетей, поиск неисправностей и неверных настроек;

- мониторинг с целью обнаружения уязвимостей и инцидентов безопасности;

- восстановление данных, утраченных вследствие неисправностей, ошибок, иных незлоумышленных действий;

- копирование носителей с архивными целями или для быстрой инсталляции/дупликации программного обеспечения;

- поиск скрытой или стертой информации для борьбы с утечкой конфиденциальных данных.

Аппаратные средства

Учитывая, что современные компьютеры являются универсальными устройствами, в которых используются в основном открытые стандарты и протоколы, специальных аппаратных средств для исследования самих компьютеров и компьютерных носителей информации не требуется. То есть универсальным инструментом является сам компьютер, а все его функции можно задействовать через соответствующие программные средства.

Немногочисленные аппаратные криминалистические устройства сводятся к дупликаторам дисков и блокираторам записи. Первые позволяют снять полную копию НЖМД* в полевых условиях, но это с тем же успехом можно сделать при помощи универсального компьютера. Вторые позволяют подключить исследуемый диск с аппаратной блокировкой записи на него. Но то же самое позволяет сделать программно любая операционная система (кроме Windows).

То есть аппаратные криминалистические устройства для компьютеров и компьютерной периферии служат лишь удобству специалиста или эксперта.

Совсем другое дело - криминалистические устройства для иной техники, отличной от универсальных компьютеров. Мобильные телефоны, цифровые фотоаппараты и видеокамеры, бортовые компьютеры, коммутаторы, маршрутизаторы, аппаратные межсетевые экраны - все эти устройства не являются технологически открытыми и вовсе не стремятся к универсальности. Для полного доступа к компьютерной информации, хранящейся в них, не всегда бывает достаточно компьютера и программных инструментов.

Разнообразие таких устройств соответствует разнообразию выпускаемых электронных устройств, способных нести компьютерную информацию. У каждого производителя - свои проприетарные протоколы, свои интерфейсы. Приобретать такие устройства заранее вряд ли целесообразно. Исключение, пожалуй, составляют ридеры для SIM-карт мобильных телефонов и ридеры для стандартных банковских карт - эти криминалистические устройства всегда полезно иметь в своем арсенале.

Экспертные программы.

Такие программы предназначены в основном для исследования содержимого компьютерных носителей информации (прежде всего НЖМД) во время проведения экспертизы.

Они работают не только на уровне файловой системы, но и ниже - на уровне контроллера НЖМД, что позволяет восстанавливать информацию после удаления файлов.

Перечислим несколько популярных экспертных программ:

1 Семейство программ ProDiscover (подробнее http://computer-foren- sics-lab.org/lib/?rid=22)

2 SMART (Storage Media Analysis Recovery Toolkit) (http://computer- forensics-lab.org/lib/?cid=18)

3 Forensic Toolkit (FTK) фирмы "AccessData" (http://computer-forensics- lab.org/lib/?rid=26)

4 Encase - экспертная система

5 ILook Investigator (http://www.ilook-forensics.org)

6 SATAN (System Administrator Tools for Analyzing Networks) - средство для снятия полной информации с компьютеров для ОС Unix

7 DIBS Analyzer 2 (http://www.dibsusa.com/products/dan2.html)

8 Helix - экспертный комплект на загрузочном компакт-диске на осно- ве ОС Linux

Значение спецсредств

Следует отметить, что ни одно из криминалистических средств не обеспечивает правильности, корректности, неизменности собранных доказательств, отсутствия их искажений, случайных или намеренных.

Всё упомянутое обеспечивают специалисты или эксперты, применяющие эти средства. Распространенная ошибка при оценке доказательств состоит в том, что придается излишнее значение качествам криминалистической техники (включая ПО), но принижается значение специалистов.

На самом деле ненадлежащие или несовершенные технические устройства вряд ли смогут "испортить" собираемые или интерпретируемые с их помощью цифровые доказательства. В то время как малоквалифицированный специалист - это в любом случае повод усомниться в доказательной силе соответствующих логов, сообщений, иных доказательств в форме компьютерной информации, независимо от того, какими инструментами они были собраны или исследованы.

Бывает, что судья или защитник, желая подвергнуть сомнению доказательства, основанные на компьютерной информации, ставит вопрос о том, какими средствами эти доказательства были собраны, раз- решены ли к применению эти средства, сертифицированы ли, не являются ли контрафактными и т.д. Подобная постановка вопроса представляется автору нерациональной. Практика не знает случаев, чтобы судебная ошибка произошла из-за ошибки в криминалистическом программном средстве. Чтобы подвергнуть сомнению цифровые доказательства или результаты компьютерно-технической экспертизы, нужно ставить не вопрос "чем?", а вопрос "кто?". Кто проводил исследование или изъятие компьютерной информации. В практике имеется немало примеров, когда малоквалифицированный специалист, используя "правильные", общепризнанные, должным образом сертифицированные средства, получал "результаты" не просто ошибочные, а не имеющие никакого отношения к исследуемому объекту. Обратных примеров, когда грамотный специалист ошибался из-за использования им "неправильных" криминалистических средств, практика не знает.

Криминалистические информационные системы

Указанные системы не используются напрямую для поиска и изучения доказательств. Они выполняют обеспечивающие функции в работе по раскрытию и расследованию преступлений. Но традиционно относятся к криминалистической технике. Криминалистические информационные системы выполняют ряд близких задач. А именно:

- облегчают и/или ускоряют оформление различных документов для ОРМ, предварительного следствия, судебных целей;

- позволяют работникам правоохранительных органов быстрее найти необходимые нормативные акты, комментарии, прецеденты, получить консультации;

- облегчают и ускоряют доступ сотрудников ко всевозможным базам данных, учетам, справочникам - как публичным, так и закрытым;

- ускоряют и автоматизируют проведение ОРМ, связанных с перехватом сообщений.

Иногда к криминалистической технике причисляют также средства связи и навигации, используемые в работе правоохранительных органов.

Полезно упомянуть следующие информационные системы:

- Глобальная информационно-телекоммуникационная система (ГИТКС)НЦБ Интерпола;

- Единая информационно-телекоммуникационная система органов внутренних дел (ЕИТКС ОВД).

• 4.5 Этапы проведения расследования
• Криминалистический процесс, который проводят специалисты и экс- перты, принято делить на четыре этапа:

- сбор;

- исследование;

- анализ;

- представление.

На первом этапе происходит сбор как информации самой по себе, так и носителей компьютерной информации. Сбор должен сопровождаться атрибутированием (пометкой), указанием источников и происхождения данных и объектов. В процессе сбора должны обеспечиваться сохранность и целостность (неизменность) информации, а в некоторых случаях также ее конфиденциальность. При сборе иногда приходится предпринимать специальные меры для фиксации недолговечной (волатильной) информации, например, текущих сетевых соединений или содержимого оперативной памяти компьютера.

На втором этапе производится экспертное исследование собранной информации (объектов-носителей). Оно включает извлечение/считывание информации с носителей, декодирование и вычленение из нее той, которая относится к делу. Некоторые исследования могут быть автоматизированы в той или иной степени. Но работать головой и руками на этом этапе эксперту все равно приходится. При этом также должна обеспечиваться целостность информации с исследуемых носителей.

На третьем этапе избранная информация анализируется для получения ответов на вопросы, поставленные перед экспертом или специалистом. При анализе должны использоваться только научные методы, достоверность которых подтверждена.

Четвертый этап включает оформление результатов исследования и анализа в установленной законом и понятной неспециалистам форме.

• 4.6 Контр-Форензика
• Противодействие методам поиска, обнаружения и закрепления цифровых доказательств развивается не столь активно, как сама форензика. Дело в том, что спрос на соответствующие контрметоды ограничен. Почему ограничен?
• Для понимания этого давайте посмотрим, кому и для чего может потребоваться противодействовать обнаружению компьютерной информации.
• Во-первых, то, что первым приходит в голову, - киберпреступники. Те, кто имеет основания опасаться закона и прятать следы своей криминальной деятельности. Понятно, что это очень узкий рынок сбыта, работать на нем сложно, крупные высокотехнологичные компании вряд ли станут выпускать оборудование и ПО для этого сегмента, даже если будет спрос.
• Во-вторых, контрметоды являются составной частью защиты информации. Везде, где имеется подлежащая защите конфиденциальная ин- формация, должны использоваться методы для предотвращения ее утечки. Часть этих методов по борьбе с утечками ориентированы на исключение или затруднение восстановления информации противником.
• В-третьих, право граждан на тайну частной жизни (приватность) может обеспечиваться в числе прочих и компьютерно-техническими мерами, которые фактически являются мерами контркриминалистическими. Правда, применение слишком сложных средств и методов здесь невозможно, поскольку указанная самозащита гражданами своего права на тайну частной жизни ограничена квалификацией среднего пользователя. Соответствующие методы не могут требовать высокой квалификации в области ИТ, соответствующие программы должны быть просты в управлении и работать под ОС "Windows", соответствующее оборудование не может быть дорогим. Поэтому здесь обычно ограничиваются довольно примитивной защитой.
• Видно, что значительная часть антикриминалистической техники-непрофессиональная, а то и вовсе кустарная. Видно, что антикриминалистический рынок значительно меньше криминалистического. В случае если антикриминалистическая продукция окажется недоброкачественной, предъявлять претензии к производителю, скорее всего, будет некому. Для преуспевания на этом рынке вовсе не требуется выпускать качественное, сложное оборудование и ПО. Требуется лишь хорошо рекламировать свою продукцию или услуги. Чем производители и занимаются.
• К защитным антикриминалистическим средствам можно отнести следующие:

- программы и аппаратно-программные устройства для шифрования хранимой информации;

- программы и аппаратно-программные устройства для шифрования трафика;

- программы для очистки дисков и других носителей;

- устройства для механического уничтожения информации на магнитных носителях;

- программы для сокрытия присутствия информации на диске (манипуляция с атрибутами файлов, запись в нестандартные места, стеганография);

- системы и сервисы для анонимизации сетевой активности;

- программы и аппаратно-программные устройства для затруднения копирования произведений, представленных в цифровой форме, затруднения исследования исполняемого кода и алгоритмов программ.



• Заключение к разделу

Русский термин "форензика" пока нельзя признать устоявшимся. Наряду с ним используются также "компьютерная криминалистика" и "компьютерная форензика". Даже в английском, откуда произошло заимствование, нет полного единообразия: "computer forensics", "digital forensics" и "network forensics".

Тем не менее автор полагает приемлемым использовать слово "форензика" без обязательных оговорок. Новая наука обычно сама для себя выбирает название, то есть название дисциплины (как и вся прочая специфическая терминология) зависит от того, как ее будут называть исследователи-первопроходцы, к числу коих автор и надеется быть причисленным.

• 
• 5. Компьютерные преступления
• Что такое "компьютерное преступление"?
• Уголовный кодекс РФ содержит три состава преступлений, называемых преступлениями в сфере компьютерной информации, - ст. 272, 273 и 274 (глава 28). Термин же "компьютерные преступления" несколько шире, чем "преступления в сфере компьютерной информации". Он также охватывает те преступления, где компьютерная техника, программы, компьютерная информация и цифровые каналы связи являются орудиями совершения преступления или объектом посягательства. К таким преступлениям относятся: мошенничество с применением банковских карт (кардинг), мошенничество с выманиванием персональных данных (фишинг), незаконное пользование услугами связи и иной обман в области услуг связи (фрод, кража трафика), промышленный и иной шпионаж, когда объектом являются информационные системы, и т.д.
• В разных источниках имеется несколько определений "компьютерного преступления" - от самого узкого (только три вышеупомянутых состава) до самого широкого (все дела, касающиеся компьютеров). Для целей форензики четкого определения компьютерного преступления и не требуется. Форензика как бы сама есть определение. Компьютерным можно называть любое преступление, для раскрытия которого используются методы компьютерной криминалистики.
• В зарубежной литературе и во многих официальных документах кроме/вместо "computer crime" также часто употребляется термин "cyber crime" - киберпреступность, киберпреступление. Определения этого термина разные, более широкие и более узкие.
• Для целей настоящей книги мы будем использовать следующее определение.
• Компьютерное преступление (киберпреступление) - уголовное правонарушение, для расследования которого существенным условием является применение специальных знаний в области информационных технологий.
• Компьютер и компьютерная информация могут играть три роли в преступлениях, которые автор относит к компьютерным:

1 объект посягательства;

2 орудие совершения;

3 доказательство или источник доказательств.

Во всех трех случаях требуются специальные знания и специальные методы для обнаружения, сбора, фиксации и исследования доказательств.

• 5.1 Криминалистическая характеристика
• Криминалистическая характеристика - это система типичных признаков преступления того или иного вида.
• Сталкиваясь в очередной раз с преступлением, следователь или оперуполномоченный вспоминает похожие дела из своей практики, предполагает, что данное преступление - типичное и пытается применять те же самые подходы, методы, способы поиска доказательств, которые уже приносили успех в аналогичных делах. Чем более типично данное преступление, тем скорее такой подход принесет успех. Если же личный опыт невелик, следует обратиться к коллективному опыту коллег. Именно такой формализованный опыт, система знаний о типичном преступлении определенного класса и называется криминалистической характеристикой.
• Она включает следующее:

- способ совершения преступления, предмет посягательства;

- личность вероятного преступника и вероятные его мотивы;

- личность вероятного потерпевшего;

- механизм образования следов;

- обстановка и другие типичные обстоятельства.

В литературе имеется несколько вариантов состава криминалистической характеристики, у разных криминалистов разные представления о необходимой степени ее подробности. Но все варианты более-менее похожи. Автор будет придерживаться вышеуказанного состава.

Большинство исследователей пишет о криминалистической характеристике трех видов преступлений, деля все рассматриваемые преступления по составам трех статей УК - 272, 273 и 274. Вряд ли стоит настолько обобщать. Одной "компьютерной" статьей УК охватывается сразу несколько преступных деяний, сильно отличающихся по личности преступника, по способу, по оставляемым следам. Например, психически неуравновешенный программист создал и распустил по Сети вирус, чтобы навредить всему миру, который он ненавидит. Другой пример: сотрудник рекламного агентства использует зомби-сеть (ботнет) для рассылки спама в соответствии с полученным заказом. Оба они совершают преступление, предусмотренное статьей 273 УК - создание или использование вредоносных программ. Но что может быть общего в характеристиках этих двух преступлений?

Некоторые юристы договариваются даже до того, что рассматривают обобщенную криминалистическую характеристику для всех трех упомянутых составов.

В российском УК только три статьи, описывающих преступления в сфере компьютерной информации. В украинском УК - тоже три, в белорусском - семь, в казахском - одна, в киргизском - две, в эстонском - семь. При этом составы, по большому счету, одни и те же. Почему же криминалистических характеристик должно быть непременно три?

Разумеется, при анализе отталкиваться надо не от статей УК, а наоборот - группировать преступления по признаку общности их криминалистической характеристики.

Обсудим отдельные элементы криминалистической характеристики, а затем более подробно - криминалистическую характеристику каждого из видов компьютерных преступлений.

Приоритетность расследования

Ввиду большого количества компьютерных преступлений никто уже всерьез не рассчитывает на возможность расследовать их все. На каких именно фактах стоит сосредоточиться правоохранительным органам и службам безопасности, зависит от следующих факторов:

- Вид и размер ущерба. Очевидно, что более общественно опасными являются те из компьютерных преступлений, которые подразумевают насилие (по сравнению с теми, которые лишь наносят материальный ущерб). Также более приоритетными являются преступления, посягающие на права несовершеннолетних и иных менее защищенных субъектов.

- Распространенность. Как известно, раскрытие преступления и наказание преступника также в некоторой мере воздействуют на потенциальных правонарушителей. Поэтому раскрывать часто встречающиеся типы преступлений при прочих равных важнее, чем редкие типы преступлений.

- Количество и квалификация персонала. В зависимости от того, сколь- ко имеется сотрудников и насколько они квалифицированы, стоит браться за те или иные компьютерные преступления. Слишком сложные начинать расследовать бесполезно.

- Юрисдикция. Предпочтительными являются преступления, не требующие задействовать иностранные правоохранительные органы. Наиболее быстрый результат получается при расследовании преступлений, локализованных в пределах одного города.

- Политика. В зависимости от текущих политических установок, могут быть признаны более приоритетными некоторые виды компьютерных преступлений. Не потому, что они более общественно опасны, но по- тому, что их раскрытие повлечет больший пиар-эффект или большее одобрение начальства.

• 5.2 Онлайн-мошенничество
• Способ
• Такая форма торговли, как интернет-магазин, нашла широкое применение среди бизнесменов по целому ряду причин. Он, в частности, отличается низкими затратами на организацию торговли. Стоимость веб-сайта с соответствующим бэк-офисом* не идет ни в какое сравнение со стоимостью содержания реальной торговой площади. К тому же зависимость текущих затрат интернет-магазина от его оборота если и не очень близка к пропорциональной, то значительно ближе к ней по сравнению с магазином реальным. Это значит, что при отсутствии (нехватке) покупателей убытки будут невелики. Например, цена готового, стабильно работающего интернет-магазина начинается с 15-20 тысяч долларов. По сравнению с реальным (офлайновым) магазином, тем более в крупном городе, это просто смешные деньги.
• Именно эта особенность интернет-торговли привлекла сюда мошенников. Затратив относительно небольшую сумму, злоумышленник может создать видимость нормального торгового предприятия и заняться мошенничеством или обманом потребителей. Десяток-другой жертв вполне окупают сделанные затраты. Для магазина на улице такое было бы не- мыслимо.
• Кроме фиктивных интернет-магазинов мошенники используют и другие предлоги для получения платежей:

- лже-сайты благотворительных организаций, религиозных организаций, политических партий и движений, которые якобы собирают по- жертвования;

- спам-рассылки и сайты с просьбой о материальной помощи под трогательную историю о бедной сиротке, жертве войны, заложнике и т.п.;

- сайты фиктивных брачных агентств и отдельные виртуальные невесты;

- мошеннические онлайновые "банки" и "инвестиционные фонды", обещающие дикие проценты по вкладам;

- рассылки и сайты о якобы обнаруженных уязвимостях и черных ходах в платежных системах, позволяющие умножать свои деньги, напри- мер, переслав их на особый счет (в том числе мошенничества II порядка, построенные на том, что жертва думает, будто она обманывает обманщика);

- мошеннические сайты и рассылки, предлагающие удаленную работу (на такую чаще всего клюют сетевые эскаписты) и требующие под этим предлогом какой-либо "вступительный взнос".

Все такие преступления имеют одну и ту же криминалистическую характеристику и сводятся к размещению информации в Сети, анонимному взаимодействию с жертвой и получению от нее денег с последующим исчезновением из Сети.

У мошенника есть минимум сутки на то, чтобы собрать деньги без риска получить обвинение в обмане. Фактически даже больше: при помощи заранее приготовленных правдоподобных оправданий реально растянуть срок до трех суток. Только после этого администрация платежной системы начнет получать первые жалобы на обман.

Предложение разосланное при помощи современных спамовых технологий, массово и одномоментно. Из порядка миллиона разосланных копий будут получены от 2 до 4%. Если хотя бы 1% получивших письмо поведутся на обман, мошенник заработает порядка 100 тысяч рублей, что с лихвой покрывает все издержки.

Обстановка

Такие особенности, как сохранение анонимности владельца веб-сайта или рассылки и большой промежуток времени между приемом заказа и его исполнением, позволяют мошенникам надеяться на успех своего криминального предприятия.

Таким образом, в соответствии с особенностями криминального "бизнес-плана", мы имеем три группы признаков фальшивого интернет-магазина:

- видимая сильная экономия на веб-сайте, рекламе, персонале, услугах связи и другом; мошенник вместо полноценного магазина ограничивается одним лишь "фасадом", дизайн сайта и товарный знак часто заимствованы, заказы обрабатываются явно вручную, не используется банковский счет;

- стремление скрыть личность владельца там, где она должна указываться, - при регистрации доменного имени, приобретении услуг связи, подключении телефонного номера, даче рекламы и т.п.;

- применяются только такие способы оплаты, где возможно скрыть личность получателя платежа, невозможна оплата курьеру при получении;

- период между заказом товара и его доставкой максимально растянут;

- отсутствуют дешевые товары.

Потерпевший

Очевидно, что потерпевший ранее уже пользовался услугами интернет-магазинов, поскольку само использование этого вида торговли для обычного человека непривычно; требуется время, чтобы решиться и привыкнуть покупать товары таким способом.

Столь же очевидно, что потерпевший является пользователем одной из платежных систем, которые использовали мошенники.

Также потерпевшему свойственно до последнего момента надеяться, что его все-таки не обманули или это было сделано неумышленно. Даже через год некоторые из обманутых покупателей все еще могут поверить, что деньги им вернут. Например, уже выявлен и задержан владелец фальшивого онлайн-магазина. Известен один из его клиентов - тот, который и обратился в правоохранительные органы. Чтобы найти остальных по- терпевших, имеет смысл возобновить работу веб-сайта, на котором размещался мошеннический магазин и вывесить там объявление с просьбой к жертвам мошенника обратиться к следователю, ведущему дело. Автор уверен, что значительная часть обманутых клиентов все-таки посетит уже давно закрывшийся веб-сайт в надежде, что для них еще не все потеряно.

Следы

Схема всех онлайн-мошенничеств такова:

- размещение (рассылка) информации;

- взаимодействие с жертвой;

- получение денежного перевода.

Все три этапа предусматривают оставление обильных следов технического характера. Хотя мошенники, очевидно, постараются предпринять меры для своей анонимизации. Относительно получения денег мошенников кроме анонимизации спасает быстрота: перевод полученных средств между различными платежными системами осуществляется достаточно быстро, но требует много времени для отслеживания.

При размещении мошенниками подложного интернет-магазина можно рассчитывать на обнаружение следующих видов следов:

- регистрационные данные на доменное имя; логи от взаимодействия с регистратором доменных имен; следы от проведения платежа этому регистратору;

- следы при настройке DNS-сервера, поддерживающего домен мошенников;

- следы от взаимодействия с хостинг-провайдером, у которого размещен веб-сайт: заказ, оплата, настройка, залив контента;

- следы от рекламирования веб-сайта: взаимодействие с рекламными площадками, системами баннерообмена, рассылка спама;

- следы от отслеживания активности пользователей на сайте.

- При взаимодействии с жертвами обмана мошенники оставляют такие следы:

- следы при приеме заказов - по электронной почте, по ICQ, через веб- форму;

- следы от переписки с потенциальными жертвами.

При получении денег мошенники оставляют такие следы:

- следы при осуществлении ввода денег в платежную систему (реквизиты, которые указываются жертве);

- следы при переводе денег между счетами, которые контролируются мошенниками;

- следы при выводе денег;

- следы от дистанционного управления мошенниками своими счетами, их открытия и закрытия;

- следы от взаимодействия мошенников с посредниками по отмыванию и обналичиванию денег.

• 5.3 Клевета и оскорбления в сети
• Способ
• Преступление заключается в размещении на общедоступном, как правило, популярном ресурсе в Интернете оскорбительных, клеветнических или экстремистских материалов.
• Ресурсы могут быть следующими: веб-форумы и доски объявлений, веб-страницы, сообщения в телеконференциях (newsgroups), массовая рассылка (спам) по электронной почте, ICQ, SMS и другим системам обмена сообщениями. Иные средства применяются редко.
• В некоторых случаях злоумышленник ограничивается одним-двумя ресурсами. Скорее всего, это непрофессионал, который не может или не хочет оценить охваченную аудиторию. Мало какой ресурс охватывает сразу много пользователей. В других случаях информация размещается на многих ресурсах одновременно, и ее размещение периодически повторяется, как того велит теория рекламы.
• Однократное размещение информации злоумышленник может осуществить собственными силами. Для массового размещения ему придется либо привлечь профессионалов-спамеров, либо найти, подготовить и задействовать соответствующее программное средство для массовой рассылки или спам-постинга.
• Предметом посягательства являются честь, достоинство личности, деловая репутация, национальные и религиозные чувства. В некоторых случаях целью такой кампании может быть провоцирование ложного обвинения другого лица в клевете, оскорблениях, экстремизме; но такое встречается редко.
...