Центр исследования компьютерной преступности

home контакты

Криптографическая защита компьютерной информации и возможности ее использования в системе правоохранительных органов и судах

Дата: 07.06.2004
Источник: www.crime-research.ru
Автор: Наталья Ахтырская


staff/Akhtircka.jpg ... является программа Pkzip и WinZip, позволяющие дополнительно защищать паролем созданные архивы. Этот способ защиты значительно слабее описанных выше, однако частота появления его в экспертной практике остается все еще большой.

Специалисты по криптографии утверждают, что в методе шифрования, используемом программой Pkzip, имеются некоторые дыры, позволяющие взломать архив, не только подобрав пароль, но и другими способами. Однако эти способы не входят в предмет СКТЭ.

В настоящее время существует довольно много специальных программ «взлома», например, такие, как FZC104, PCZсrack, AZPR и другие, свободно распространяемые через Интернет. Все подобные программы используют один из двух подходов по выбору пользователя. Они либо подбирают пароль с использованием большого словаря, либо атакуют в лоб (brute force), перебирая все возможные комбинации.

Эксперты СКТЭ должны учитывать, что согласно исследованиям психологов, большинство мужчин в качестве пароля используют короткие слова (в том числе из ненормативной лексики), а женщины – имена любимых мужчин и детей. Однако даже простые расчеты показывают, что экспертное вскрытие пароля может стать просто неисполнимой операцией из-за своей длительности по времени. Так, для «лобовой атаки» (подбор комбинации из всех возможных) со скоростью 200 000 комбинаций в секунду (примерно соответствует возможностям PC Pentium 100) для пароля из 6 знаков будут соответствовать следующие сроки.

Время подбора пароля из шести знаков

Только цифры - 5,0 секунд
Только строчные буквы - 25,7 минуты
Только символы - 1,8 часа
Строчные и заглавные буквы - 27,5 часа
Строчные, заглавные, цифры - 3,3 дня
Строчные, заглавные, цифры, символы - 42,5 дня

А если длина пароля не шесть, а 24 символа, тогда получаются тысячелетия. Поэтому в данных ситуациях, при отрицательном результате диагностики паролей из небольшого количества знаков, должны также применяться иные, не экспертные методы исследования.

В то же время использование аналогичных программных средств с целью проведения экспертного исследования при соответствующей их апробации, сертификации и последующем включении в методическое обеспечение СКТЭ представляется вполне допустимым. В связи с этим рекомендуется обратить внимание экспертов на программы, аналогичные программе Advanced ZIP Password Recovery, позволяющей вскрывать ZIP-архивы. Так как программа свободно распространяется через сеть Интернет, то подробнее остановимся на ее возможностях.

Для работы с программой Advanced ZIP Password Recovery необходимо иметь: операционную систему Windows 95 (любая версия), Windows 98, Windows NT 4,0 или Windows 2000 на CPU класса Pentium; 4 Мб RAM; 1 Мб на жестком диске. Программа отличается удобным интерфейсом на русском языке. Среди установок – символы, из которых может состоять пароль (подбор только строчными латинскими, добавление заглавных букв, цифр, специальных символов), что прямо влияет на скорость перебора, максимальная и минимальная длина пароля, маска (если часть пароля известна) и так далее. Существует возможность перебора по словарю (словарь Word или какой-либо другой), по списку наиболее популярных паролей.

Исследовательская работа может вестись в фоновом режиме, кроме того, можно сохранить результаты подбора и продолжить его позже, если программу добавить в папку «Автозагрузка», то можно будет при каждом запуске ПК подбирать пароль с момента прекращения в прошлом сеансе. Такие операции становятся полезными, если учесть время обработки архива.

Скорость подбора на среднем персональном компьютере варьируется от 1 до 2 млн. паролей в секунду. При полном наборе вариантов (все печатаемые символы могут быть использованы в пароле) скорость подбора такова: 5 символов – 2 часа; 6 символов – больше 7 дней; 7 символов – больше года. А символов ZIP допускается до двадцати [1].

Примером компьютерно-технической экспертизы является исследование, проведенное в отношении представленных объектов – системный блок (4 шт.), накопитель (4 шт.) по уголовному делу, возбужденному в отношении сотрудников суда по факту служебного подлога по ст. 366 ч.2 УК Украины: служебный подлог, то есть внесение должностным лицом в официальные документы заведомо неправдивых сведений, иная подделка документов, а также составление и выдача заведомо неправдивых документов, если это повлекло тяжкие последствия, - наказывается лишением свободы на срок от двух до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

Досудебным следствием было установлено, что судом было вынесено определение об отмене постановления о возбуждении уголовного дела и в отношении подозреваемых отменена мера пресечения. Однако в дальнейшем в определении был существенно изменен текст и копии резолютивной части направлены в следственный изолятор по месту содержания арестованных. Компьютеры в суде подключены к компьютерной сети. Для установления причин исчезновения первоначального текста была назначена экспертиза. На разрешение указанной экспертизы ставились следующие вопросы:

1. Были ли представленные на исследование компьютеры подключены к компьютерной сети, отвечает ли указанное в них время действительному, какие реквизиты характерны для этих компьютеров (пользователь, имя принтера и т д.)?

2. На чьих компьютерах выполнялся оригинал судебного решения, какова история создания и время существования указанного решения (имя файла, папка сохранения, дата создания, каким был первоначальный текст документа, сколько раз открывался, какие изменения в него вносились, какими были последние изменения и когда, в течение какого времени создавался документ, время печати. Количество экземпляров, статистика, копирование на носители информации, время и способ уничтожения?

3. На чьих компьютерах изготавливались копии судебного определения, резолютивная часть, рабочие версии, какова история их создания, время существования, переписывалось ли оно с компьютера на другой компьютер и каким образом (диски или компьютерная сеть)?

4. В какой последовательности создавались оригиналы определения суда и его копии и совпадают ли по смыслу и форматированию тексты оригинала определения и его копии?

5. Мог ли быть утрачен файл в связи с отключением света?

6. Мог ли измениться шрифт слов во время переноса файла по компьютерной сети с одного компьютера на другой в приемную суда для распечатки?

7. Не явилось ли причиной изменения шрифта сканирование текста с предыдущих версий?

8. Имели ли место сбои в работе компьютеров в течение указанного времени, если да, то по каким причинам, и не исчезали ли в указанный период из компьютера текстовые документы?

9. Могли бы исчезнуть файлы с информацией по указанному факту вследствие проведения экспертизы?

Для проведения экспертизы были созданы копии жестких дисков, на которых производилось восстановление утраченной информации средствами специального программного обеспечения, а поиск файлов осуществлялся средствами операционной системы.

В результате проведенных исследований установлено, что сбоев в работе компьютеров в течение указанных дней не зафиксировано, что указывает на отсутствие случайного исчезновения с этих компьютеров файлов с текстовыми документами.

Информационная безопасность в сфере правоохранительной деятельности и в судах становится новой сферой, требующей правового и технического обеспечения.

С учетом положений, предусмотренных Законом Украины «Об электронной цифровой подписи», принятом 22 мая 2003 года, электронная цифровая подпись - это вид электронной подписи, полученной в результате криптографического преобразования набора электронных данных, которая прилагается к этому набору или логически с ним сочетается и дает возможность подтвердить ее целостность и идентифицировать подписавшееся лицо (ст. 1 Закона).

В соответствии со ст.4, электронная подпись используется физическими и юридическими лицами – субъектами электронного документооборота для идентификации подписавшегося лица и подтверждения целостности данных в электронной форме. В утвержденной Главой Государственной судебной администрации Украины Инструкции по использованию компьютерной техники в судах речь идет о необходимости соблюдения конфиденциальности и сохранности судебной информации, содержащейся в компьютерах судебных органов.

В целях реализации п.6 ст.18 Закона «Об электронной цифровой подписи», предусматривающем необходимость разработки и внесения на рассмотрение Верховной Рады Украины программы мероприятий по внедрению электронного документа, электронного документооборота и электронной цифровой подписи, целесообразно:

1. Разработать методику использования в судах закрытой системы документооборота (судья-судья-канцелярия) с использованием личного ключа – параметра криптографического алгоритма формирования электронной цифровой подписи, доступного только для подписавшегося лица».

2. Разработать методику использования в судах в рамках закрытой системы документооборота открытого ключа – параметра криптографического алгоритма проверки электронной цифровой подписи, доступной субъектам отношений в сфере использования электронной цифровой подписи.

3. Разработать Инструкцию об использовании в судах электронной цифровой подписи.

4. В методику расследования преступлений, связанных с использованием компьютерной информации, в качестве одного из элементов криминалистической характеристики включить исследование...

Добавить комментарий
2007-01-25 02:49:54 - Интересует информация по исследованиюю и... Сандугаш
Всего 1 комментариев


Copyright © 2001–2019 Computer Crime Research Center

CCRC logo
Главным направлением в деятельности Центра является широкое информирование общественности об основных проблемах и способах их решения, с которыми сталкивается общество в сфере противодействия компьютерной преступности.