Расследование создания, использования и распространения вредоносных программ для

О

Г

V

Прочие

В линиях электросвязи

Следы преступных действий

В ЭВМ и на машинных носителях

Изменения в ОЗУ

Специализированная конфигурация оборудо­вания

Специальная конфигура­ция программ работы в сетях

Следы в файловой системе

Копии чужих файлов

Специализирован­ное «хакерское» программное обеспечение

- Документы

Документы,

регистрирующие

соединения

абонентов

Протоколы взаи-

морасчетов между

операторами

Платежные доку-

менты об оплате

трафика между

операторами

-»

"V

Компьютерная информация

Базы данных,

фиксирующие

соединения

Коммутаторы,

осуществляющие

и регистрирующие

соединения

Рукописные записи и принтерные распечатки

Коды доступа

Тексты программ

Записные книжки с именами дру­гих хакеров

>

>

»

Описания программного обеспечения

Инструкции по пользо­ванию ЭВМ и ее устрой­ствами

Устройства доступа

в телефонные сети

и сети ЭВМ

Нестандартные пери-ферийные устройства

Счета телефонных компаний

>

>

Пеленгация источника сигналов

Прослушивание телефонных

и иных переговоров

Прохождение

криминального

сигнала через

оператора

§ 1. Расследование фактов неправомерного доступа к компьютерной информации 715

Чрезвычайно важны и другие действия, направленные на фик-сацию факта нарушения целостности (конфиденциальности) ком-пьютерной системы и его последствий, следов преступных мани-пуляций виновного субъекта, отразившихся в ЭВМ и на машинных носителях информации, в линиях связи и др.

Способ несанкционированного доступа надежнее установить путем производства судебной информационно-технической экс-пертизы. Перед экспертом ставится вопрос: «Каким способом был осуществлен несанкционированный доступ в данную компь-ютерную систему?» Для этого эксперту нужно представить всю проектную документацию на взломанную компьютерную систему, а также данные о ее сертификации. При производстве такой экс-пертизы не обойтись без использования компьютерного оборудо-вания той же системы, которую взломал преступник, либо специ-альных технических и программных средств.

В ряде случаев целесообразен следственный эксперимент для проверки возможности преодоления средств защиты компью-терной системы одним из предполагаемых способов. Одновре-менно может быть проверена возможность появления на экране дисплея конфиденциальной информации или ее распечатки вследствие ошибочных, неумышленных действий оператора либо случайного технического сбоя в электронном оборудовании.

Выясняя надежность средств зашиты компьютерной ин-формации, прежде всего следует установить, предусмотрены ли в данной системе или сети ЭВМ меры защиты от несанкцио-нированного доступа, в том числе к определенным файлам. Это возможно в ходе допросов разработчиков и пользователей сис-темы, а также при изучении проектной документации и инструк-ций по эксплуатации системы. Изучая инструкции, нужно обра-щать особое внимание на разделы о мерах защиты информа-ции, порядке допуска пользователей к конкретным данным, раз-граничении их полномочий, организации контроля за доступом. Важно разобраться в аппаратных, программных, криптографи-ческих, организационных и других методах защиты информа-ции, поскольку для обеспечения высокой степени надежности компьютерных систем, обрабатывающих документированную информацию с ограниченным доступом, обычно используется комплекс мер по обеспечению их безопасности от несанкциони-рованного доступа.

Так, законодательством предусмотрена обязательная серти-фикация средств защиты систем и сетей ЭВМ, а кроме того — обязательное лицензирование всех видов деятельности в облас-

716 Глава 38. Методика расследования

преступлений в сфере компьютерной информации

ти проектирования и производства названных средств. Поэтому в процессе расследования необходимо выяснить: 1) есть ли лицен-зия на производство средств защиты информации, задейство-ванных в данной компьютерной системе, от несанкционированно-го доступа и 2) соответствуют ли их параметры выданному сер-тификату. Ответ на последний вопрос может дать информацион-но-техническая экспертиза, с помощью которой выясняется: со-ответствуют ли средства защиты информации от несанкциониро-ванного доступа, использованные в данной компьютерной систе-ме, выданному сертификату? Правда, ответственность за выяв-ленные отклонения, позволившие несанкционированный доступ к компьютерной информации, ложится на пользователя системы, а не на разработчика средств ее защиты.

При установлении лиц, совершивших несанкционирован-ный доступ к конфиденциальной компьютерной информа-ции, следует учитывать, что он является технологически весьма сложным. Осуществить его могут только специалисты, обладаю-щие достаточно высокой квалификацией. Поэтому поиск подоз-реваемых рекомендуется начинать с технического персонала взломанных компьютерных систем или сетей. Это в первую оче-редь их разработчики, а также руководители, операторы, про-граммисты, инженеры связи, специалисты по защите информа-ции, другие сотрудники.

Следственная практика свидетельствует, что чем технически сложнее способ проникновения в компьютерную систему или сеть, тем легче установить подозреваемого, ибо круг специали-стов, обладающих соответствующими способностями, весьма ограничен.

Доказыванию виновности конкретного субъекта в несанкцио-нированном доступе к компьютерной информации способствует использование различных следов, обнаруживаемых при осмотре ЭВМ и ее компонентов. Это, например, следы пальцев, записи на внешней упаковке дискет и др. Для их исследования назначаются криминалистические экспертизы — дактилоскопическая, почерко-ведческая и др.

Для установления лиц, обязанных обеспечивать надлежащий режим доступа к компьютерной системе или сети, следует преж-де всего ознакомиться с должностными инструкциями, опреде-ляющими полномочия сотрудников, ответственных за защиту конфиденциальной информации. Их необходимо допросить для выяснения, кто запускал нештатную программу и фиксировалось

§ 1. Расследование фактов неправомерного доступа к компьютерной информации 717

ли это каким-либо способом. Нужно также выяснить, кто особо увлекается программированием, учится или учился на курсах программистов, интересуется системами защиты информации.

У субъектов, заподозренных в неправомерном доступе к компьютерной информации, производится обыск в целях обна-ружения: ЭВМ различных конфигураций, принтеров, средств телекоммуникационной связи с компьютерными сетями, запис-ных книжек, в том числе электронных, с уличающими записями, дискет и дисков с информацией, могущей иметь значение для дела, особенно если это коды, пароли, идентификационные номера пользователей данной компьютерной системы, а также сведения о них. При обыске нужно изымать также литературу и методические материалы по компьютерной технике и програм-мированию. К производству обыска и осмотру изъятых предме-тов рекомендуется привлекать специалиста по компьютерной технике, незаинтересованного в исходе дела.

Доказать виновность и выяснить мотивы лиц, осуществивших несанкционированный доступ к компьютерной информации, мож-но лишь по результатам всего расследования. Решающими здесь будут показания свидетелей, подозреваемых, обвиняемых, по-терпевших, заключения судебных экспертиз, главным образом информационно-технологических и информационно-технических, а также результаты обысков. В ходе расследования выясняется:

1) с какой целью совершен несанкционированный доступ к
компьютерной информации;

2) знал ли правонарушитель о системе ее защиты;

3) желал ли преодолеть эту систему и какими мотивами при этом руководствовался.

Вредные последствия неправомерного доступа к компь-ютерной системе или сети могут заключаться в хищении де-нежных средств или материальных ценностей, завладении ком-пьютерными программами, а также информацией путем изъятия машинных носителей либо копирования. Это может быть также незаконное изменение, уничтожение, блокирование информации, выведение из строя компьютерного оборудования, внедрение в компьютерную систему вредоносного вируса, ввод заведомо ложных данных и др.

Хищения денежных средств чаще всего совершаются в бан-ковских электронных системах путем несанкционированного доступа к их информационным ресурсам, внесения в последние изменений и дополнений. Такие посягательства обычно обна-руживают сами работники банков, устанавливаются они и в хо-

718 Глава 38. Методика расследования

преступлений в сфере компьютерной информации

де оперативно-розыскных мероприятий. Сумма хищения опре-деляется посредством судебно-бухгалтерской экспертизы.

Факты неправомерного завладения компьютерными програм-мами вследствие несанкционированного доступа к той или иной системе и их незаконного использования выявляют, как правило, потерпевшие. Максимальный вред причиняет незаконное получе-ние информации из различных компьютерных систем, ее копиро-вание и размножение с целью продажи либо использования в других преступных целях (например, для сбора компрометирую-щих данных на кандидатов на выборные должности различных представительных и исполнительных органов государственной власти).

Похищенные программы и базы данных могут быть обнаруже-ны в ходе обысков у обвиняемых, а также при оперативно-розыскных мероприятиях. Если незаконно полученная информа-ция конфиденциальна или имеет категорию государственной тайны, то вред, причиненный ее разглашением, определяется представителями Гостехкомиссии России.

Факты незаконного изменения, уничтожения, блокирования информации, выведения из строя компьютерного оборудования, «закачки» в информационную систему заведомо ложных сведе-ний выявляются прежде всего самими пользователями компью-терной системы или сети. Следует учитывать, что не все эти не-гативные последствия наступают в результате умышленных дей-ствий. Их причиной могут стать случайные сбои в работе компью-терного оборудования, происходящие довольно часто.

При определении размера вреда, причиненного несанкциони-рованным доступом, учитываются не только прямые затраты на ликвидацию негативных последствий, но и упущенная выгода. Такие последствия устанавливаются в ходе следственного ос-мотра компьютерного оборудования и носителей информации с анализом баз и банков данных. Помогут здесь и допросы техни-ческого персонала, владельцев информационных ресурсов. Вид и размер ущерба обычно определяются посредством комплекс-ной экспертизы, проводимой с участием специалистов в области информатизации, средств вычислительной техники и связи, эко-номики, финансовой деятельности и товароведения.

На заключительном этапе расследования формируется це-лостное представление об обстоятельствах, которые облегчили несанкционированный доступ к компьютерной информации. Здесь важно последовательное изучение различных докумен-

§ 2. Расследование создания, использования 719

и распространения вредоносных программ для ЭВМ

тов, особенно относящихся к защите информации. Весьма зна-чимы материалы ведомственного (служебного) расследования. К этим обстоятельствам относятся:

1) неэффективность методов защиты компьютерной инфор-мации от несанкционированного доступа;

2) совмещение функций разработки и эксплуатации про-граммного обеспечения в рамках одного структурного подразде-ления;

3) неприменение в технологическом процессе всех имеющих-ся средств и процедур регистрации операций, действий программ и обслуживающего персонала;

4) нарушение сроков изменения паролей пользователей, а также сроков хранения копий программ и компьютерной инфор-мации.

Дата добавления: 2015-06-04; Просмотров: 337; Нарушение авторских прав?; Мы поможем в написании вашей работы!