Требования, предъявляемые к носителю компьютерной информации

· должен принадлежать субъекту, обеспечивающему процедуру копирования (следователю, дознавателю, специалисту, эксперту);

· должен быть аппаратно совместим как с исследуемыми средствами компьютерной техники, так и теми из них, которые в последствии могут быть использованы при проведении исследования изъятой компьютерной информации – т.е. потенциально исключается влияние промежуточного копирования компьютерной информации в процессе исследования

· должен предусматривать аппаратную (включение режима «только для чтения») либо программную (применение электронной цифровой подписи) реализацию защиты от несанкционированного изменения компьютерной информации при хранении носителя - данное действие должно быть продублировано следователем (дознавателем) традиционным образом (отметкой в протоколе (справке), использованием наклеек, опечатыванием); наилучший результат может быть достигнут при использовании носителей, допускающих однократную запись компьютерной информации;

· при наличии технической возможности должен допускать возможность посекторного копирования компьютерной информации (т.е. копирования диск – диск, носитель – носитель);

· не должен содержать участков поверхности, не пригодных для чтения-записи компьютерной информации

· не должен содержать посторонней информации (посторонних файлов), т.е. информации, не имеющей отношения к событию преступления

Вопрос 2. Виды следов преступной деятельности на машинных носителях

При неправомерном доступе и распространении вредоносных программ, а также при нарушении правил эксплуатации ЭВМ, системы ЭВМ или их сети, следовая картина включает в себя:

а) следы на машинных носителях информации (МНИ), посредством которых действовал преступник на своем рабочем месте

б) возле машинных носителей, принадлежащих преступнику

в) следы на «транзитных» (коммуникационных) МНИ, посредством которых преступник осуществлял связь с информационными ресурсами, подвергавшимися нападению

г) следы на МН информационной системы, в которую осуществлен неправомерный доступ.

Именно с обнаружения и фиксации следов последней группы обычно начинаются подобные расследования. При исследовании таких следов целесообразно выяснять:

Характеристику объекта, где совершено преступление:

- технические и конструктивные особенности помещений, связанные с установкой и эксплуатацией вычислительной техники (специальное оборудование полов, потолков и окон, каналы кабельных и вентиляционных шахт, установка и фактическое состояние устройств кондиционирования воздуха, система электропитания и иные особенности);

- особенности установки средств комплекса вычислительной техники (сосредоточены в одном месте или расположены в различных помещениях);

- способы связи компьютеров между собой посредством локально-вычислительной сети (ЛВС), устройств телекоммуникации и состояние линий связи;

- структура, конфигурация сети ЭВМ и внешних информационных связей;

режим работы.

Рис. 1. Виды следов преступной деятельности в ЭВМ и на машинных носителях, принадлежащих преступнику.

Рис. 2. Виды следов преступной деятельности возле ЭВМ и на машинных

носителях, принадлежащих преступнику

Состав вычислительного комплекса:

- тип, модель, тип и размер энергонезависимых носителей информации и другие характеристики компьютеров;

- наличие и типы периферийных устройств;

- состав и аппаратура организации локальной вычислительной сети;

- наличие, модель и характеристики устройств телекоммуникации;

- используемое программное обеспечение;

- использование программно-аппаратных средств защиты;

Организацию работы со средствами вычислительной техники

Способы преодоления программной и аппаратной защиты:

- подбор ключей и паролей;

- предварительное хищение ключей и паролей;

- отключение средств защиты;

- использование несовершенства средств защиты;

- разрушение средств защиты;

- использование специальных программных средств.

Содержание и назначение информации, подвергшейся воздействию.

Количественные и качественные характеристики информации (объем, включая примерный объем архивной информации, возможность использовать без инсталляции (установки), ключевых дискет и аппа­ратных ключей-паролей, способ шифрования).

Кроме того, подлежат выяснению иные обстоятельства, существенные для расследования дел данной категории:

- режим и фактическое состояние охраны;

- наличие и техническая характеристика охранной сигнализации, вид охранной техники;

- технические средства, использованные при совершении преступления;

- режим доступа к средствам вычислительной техники;

- разграничение доступа к средствам вычислительной техники и машинным носителям;

- организация доступа к ресурсам ЭВМ, сети ЭВМ (в т.ч. по устройствам телекоммуникации), к кодам, паролям и другой идентифицирующей информации;

- организация противовирусной защиты;

- наличие разработанных правил эксплуатации ЭВМ и документации об ознакомлении с ними.

Рис. 3. Виды следов преступной деятельности на «транзитных»

машинных носителях

Следы преступной деятельности на машинных носителях, находящихся у преступника и вокруг его ЭВМ могут быть зафиксированы в ходе расследования. Поясним значение и содержание некоторых из них.

Рис. 4. Виды следов преступной деятельности на машинных носителях,

принадлежащих потерпевшему.

Изменения в оперативном запоминающем устройстве (ОЗУ) ЭВМ возможно зафиксировать лишь в ходе следственного осмотра технических устройств в случаях, когда они на момент осмотра включены, т.е. фактически преступник пойман на месте и осмотр устройств является действием, сопутствующим задержанию. В иных случаях информация в ОЗУ достаточно быстро изменяется в ходе исполнения программ и о результатах ее изменения можно судить лишь по показаниям очевидцев. Специальным случаем фиксации изменений в ОЗУ являются оперативные или следственные мероприятия, обеспечивающие наблюдение за криминальными действиями и вывод данных из ОЗУ на какой-либо долговременный носитель информации.

Следы изменений в файловой системе могут наблюдаться как в ходе изменений непосредственно пользователем или администратором системы, а в случае следственно-оперативных мероприятий и следственными работниками, с помощью соответствующих программных средств. Результаты изменений могут быть зафиксированы на долговременный носитель специальными программно-техническими средствами контроля доступа, а так же установлены в результате сравнения копий, сохраненных в результате резервного копирования файлов и их структуры. Явными следами криминальных действий являются обнаруженные на конкретном машинном носителе копии скопированных «чужих» файлов, специализированное программное обеспечение, предназначенное для «взлома» систем и файлов и др. Сходные следы могут быть обнаружены и на машинных носителях, в которые проник преступник

Особую группу следов, которые могут стать важными доказательствами по делу, образуют материалы и устройства, которые могут быть обнаружены возле ЭВМ, использующейся для преступной деятельности. Из приведенного перечня многие материалы могут стать как прямыми, так и косвенными данными, устанавливающими факты неправомерного доступа, изготовления и распространения вредоносных программ и др.

Для указанных разновидностей криминальных действий существенными являются следы криминальной активности на «транзитных» машинных носителях - в линиях электросвязи.

Воздействия злоумышленников, направленные на проникновение в информационные системы, осуществляются, прежде всего, на программно-технические устройства: управления связью с другими пользователями; управления устройствами ЭВМ; управления файлами (копирование, удаление, модификация). Именно устройства управления связью с другими пользователями являются "воротами", открыв которые можно получить доступ к компьютерной информации. Распространены попытки несанкционированного входа в систему путем проверки всех телефонных номеров организации для определения места присоединения модема или создание специальной программы, автоматически подбирающую код входа в систему. Такая программа, перебирая возможные варианты, "дозванивается" до входа в систему. Иначе и проще поступал известный "хакер" Кевин Митник. Он дозванивался до интересующей его организации и, представляясь вымышленным именем и должностью, уточнял номер телефонного канала по которому осуществлялся вход в систему.

Первичное обнаружение признаков неправомерных действий с компьютерами и информацией посторонними лицами осуществляется, как правило, специалистами и пользователями, работающими с конкретными ЭВМ.

Косвенными признаками постороннего вмешательства в работу ЭВМ и доступа к информации, вызывающие подозрения, являются:

а) изменения заданной в предпоследнем сеансе работы с ЭВМ структуры файловой системы, в том числе: переименование каталогов и файлов; изменения размеров и содержимого файлов; изменения стандартных реквизитов файлов; появление новых каталогов и файлов и т.п.

б) изменения в заданной ранее конфигурации компьютера, в том числе: изменение картинки и цвета экрана при включении; изменение порядка взаимодействия с периферийными устройствами (например, принтером, модемом и т.п.); появление новых и удаление прежних сетевых устройств и др.

в) необычные проявления в работе ЭВМ: замедленная или неправильная загрузка операционной системы; замедление реакции машины на ввод с клавиатуры; замедление работы машины с дисковыми устройствами (загрузка и запись информации); неадекватные реакции ЭВМ на команды пользователя; отказ компьютера от выполнения стандартной функции; появление на экране нестандартных символов; выдача ложных, раздражающих, неприличных или отвлекающих сообщений; создание посторонних звуковых и визуальных эффектов и т.п.

Вопрос 3. Выявление лиц, причастных в совершении преступлений в сфере компьютерной информации

Неправомерный доступ к закрытой компьютерной системе или сети является технологически весьма сложным действием, совершить которые могут только специалисты, имеющие достаточно высокую квалификацию. Поэтому установление и поиск лиц, совершивших неправомерный доступ к компьютерной информации, следует начинать с технического персонала пострадавших компьютерных систем или сетей (разработчиков соответствующих систем, их руководителей, операторов, программистов, инженеров связи, специалистов по защите информации и других).

Следственная практика показывает, что чем сложнее в техническом отношении способ проникновения в компьютерную систему или сеть, тем легче выделить подозреваемого, поскольку круг специалистов, обладающих соответствующими способностями, обычно весьма ограничен.

Установлению причастности конкретного лица к несанкционированному доступу к компьютерной информации могут способствовать различные обнаруживаемые иногда при осмотре компьютера и его компонентов материально - фиксированные отображения (например, следы пальцев рук, отдельные записи на внешней упаковке дискет, дисков). Для их исследования назначаются криминалистические экспертизы – дактилоскопическая, почерковедческая, технико-криминалистическая.

Чтобы выявить лиц, обязанных обеспечивать соблюдение режима доступа к компьютерной системе или сети, необходимо, прежде всего, ознакомиться с имеющимися инструкциями, устанавливающими полномочия должностных лиц, ответственных за защиту информации, после чего допросить их.

При допросе лиц, обслуживающих компьютерную систему, можно установить, кто запускал нештатную программу, было ли это зафиксировано каким-либо образом. Следует также выяснить, кто увлекается программированием, учится или учился на компьютерных курсах.

У лиц, заподозренных в неправомерном доступе к компьютерной информации, при наличии достаточных оснований производится обыск, в ходе которого могут быть обнаружены: компьютеры разных конфигураций, принтеры, средства телекоммуникационной связи с компьютерными сетями, записные книжки с уличающими записями (в том числе электронные), дискеты, диски, магнитные ленты, содержащие сведения, могущие иметь значение для дела (в том числе коды, пароли, идентификационные номера пользователей конкретной компьютерной системы, также данные о ее пользователях). В ходе обыска следует обращать внимание на литературу, методические материалы по компьютерной технике и программированию.

При решении следственной задачи по установлению лиц, виновных в создании, использовании и распространении вредоносных программ для ЭВМ, необходимо учитывать, что вредоносную программу может создать человек, обладающий навыками в обращении с компьютером и написании программ. Лучше всего это могут сделать опытные программисты, но они, как правило, не участвуют в их распространении. Поэтому при установлении лица, создавшего вредоносную программу, необходимо продолжить следственную и оперативно-розыскную работу по выявлению лиц, ее распространявших. Оперативная информация о лицах, участвующих в совершении компьютерных преступлений, сосредоточивается в специальных подразделениях по борьбе с преступлениями в сфере высоких технологий МВД и ФСБ России, куда надлежит обращаться с соответствующими поручениями в тех случаях, когда оно не подключено к расследованию преступления на стадии возбуждения уголовного дела.

Наибольшую общественную опасность в этой связи представляют опытные компьютерные взломщики, так называемые «хакеры», которые являются высококвалифицированными специалистами в области компьютерных технологий. Нередко преступления данной категории совершаются группой лиц, т.е. «хакер» создает вредоносные программы, а остальные члены группы обеспечивают его деятельность в материально-техническом и информационном отношениях.

Поиск лиц, причастных к использованию вредоносных программ, требует значительных затрат времени и средств, проведения по указанию следователя оперативно-розыскных мероприятий.

Задержание подозреваемого после его установления должно быть произведено незамедлительно, чтобы не допустить уничтожения компрометирующих материалов. В случае, если вредоносная программа является компьютерным вирусом, от быстроты задержания зависят масштабы возможного распространения вируса и причинения ущерба.

Органу дознания целесообразно дать поручение выявить и проверить лиц, ранее привлекавшихся к ответственности за такое же преступление.

При установлении лица, допустившего преступное нарушение правил эксплуатации ЭВМ, следует иметь в виду, что согласно ч. 1 ст. 274 УК РФ, им может быть лицо, имеющее доступ к ЭВМ, системе ЭВМ или их сети. При этом необходимо различать понятия «лицо, имеющее доступ к ЭВМ», и «лицо, имеющее доступ к компьютерной информации», поскольку не всякое лицо, допущенное к ЭВМ, имеет доступ к компьютерной информации. Доступ к ЭВМ, системе или сети ЭВМ, как правило, имеют определенные лица в силу выполняемой ими работы, связанной с применением средств компьютерной техники, среди которых и следует устанавливать нарушителей указанных правил эксплуатации ЭВМ.

В отношении каждого из них устанавливается:

- фамилия, имя, отчество;

- занимаемая должность (относимость к категории должностных лиц, ответственных за информационную безопасность и надежность работы компьютерного оборудования, либо к категории непосредственно отвечающих за обеспечение выполнения правил эксплуатации данной компьютерной системы или сети);

- образование (общее и специальное);

- специальность;

- стаж работы по специальности и на данной должности;

- уровень профессиональной квалификации;

- конкретные обязанности по обеспечению информационной безопасности и нормативные акты, которыми они установлены (положение, приказ, распоряжение, контракт, договор, проектная документация на автоматизированную систему и пр.);

- причастность к разработке, внедрению в опытную и промышленную эксплуатацию данной компьютерной системы или сети;

- наличие и объем доступа к базам и банкам данных;

- данные, характеризующие лицо по месту работы;

- наличие домашнего компьютера и оборудования к нему.

Все это устанавливается посредством допросов свидетелей, самого подозреваемого, истребования соответствующих документов из кадрового органа, осмотра эксплуатационных документов на данную компьютерную систему, осмотра компьютера, оборудования к нему, машинных носителей информации, распечаток.

Дата добавления: 2014-01-07; Просмотров: 2334; Нарушение авторских прав?; Мы поможем в написании вашей работы!