Центр исследования компьютерной преступности

home контакты

Особенности выявления доказательственной информации при расследовании преступлений в сфере компьютерных технологий

Дата: 10.04.2004
Источник: www.crime-research.ru
Автор: А.В.Горбачев, Донецкий институт внутренних дел МВД Украины


Оценивая сложившуюся научно-техническую ситуацию в мире, можно утверждать, что человечество вступило в эпоху информационного общества. В последние годы информация, становясь одним из определяющих факторов развития современного общества, приобретает все большее значение.

Процессы создания, накопления, хранения, передачи, обработки информации стимулировали быстрый прогресс в области информационных технологий. С их помощью информация приобретает более привычную для нас форму – материальную. Можно сказать, что информационные технологии - это совокупность взаимосвязанных высокотехнологических устройств, приемов и способов, которые позволяют использовать информацию в объеме, необходимом для полноценного развития как общества в целом, так и для развития его отдельных составляющих, с наиболее рациональным использованием имеющихся средств и времени.

Основным инструментом управления электронной информацией и ее обработки является компьютерная техника. Сегодня компьютер становится необходимостью не только крупных предприятий и организаций, но и отдельных людей. Подключаясь к компьютерным сетям, в настоящее время можно получить доступ к большому количеству информационных ресурсов.

Закономерно, что при расширении сферы использования информационных технологий и различных технологических процессов возрастает и количество правонарушений, связанных с компьютерными технологиями. Использование достижений науки и техники при совершении преступлений всегда создавало немало проблем правоохранительным органам в раскрытии преступлений.

Расследование «киберпреступлений» требует не только особой тактики производства следственных действий и организационных мероприятий, но и, прежде всего, наличия специальных знаний в области компьютерной техники и программного обеспечения. Поэтому недостаточным является знание работниками правоохранительных органов только уголовного и уголовно-процессуального законодательства, общих правил сбора доказательств.

Одним из главных условий успешного расследования киберпреступлений является оперативность проведения неотложных следственных действий [1]. Однако оперативное привлечение следователями специалистов к проведению следственных действий не всегда является возможным. В связи с этим особую значимость приобретают знания следователей в области компьютерных технологий. А отсутствие у следователя таких знаний влечет промедление в сборе доказательственной информации, и как результат - во многих случаях правонарушители остаются безнаказанными.

Существующая статистика выявленных киберпреступлений подтверждает, что получение и оценка доказательств по делам о преступлениях в сфере компьютерной информации (компьютерных преступлений) - одна из трудно решаемых на практике задач. Основным видом таких доказательств являются так называемые "электронные доказательства".

«Электронные доказательства» - совокупность информации, которая хранится в электронном виде на любых типах электронных носителей и в электронных устройствах. Их особенность заключается в том, что они могут быть должным образом интерпретированы и проанализированы только с помощью специальных технических устройств и программного обеспечения [2].

Существует два вида следовой информации: идеальные следы и материальные следы. Материальные следы, в свою очередь, можно разделить на механические и логические. Механические следы возникают вследствие механического воздействия на объект и могут быть зафиксированными общими траcологическими методами. Логические следы – следы, возникающие вследствие взаимодействия на электронном уровне электромагнитных сигналов, с помощью которых осуществляется запись, изменение или удаление информации. При этом внешнего изменения носителей этой информации не происходит, за исключением определенного логического упорядочивания электромагнитной структуры носителя.

Особые сложности при производстве следственных действий по делам рассматриваемой категории характерны для распределенных компьютерных систем обработки информации. В этом случае место совершения преступления часто не совпадает с местом происшествия и наступления преступного результата, и как следствие – трудности при сборе доказательственной информации из-за отсутствия непосредственного контакта с исследуемым объектом.

Логические следы могут находиться на локальной машине и на удаленном терминале (хосте). Под локальной машиной понимается обособленная единица электронно-вычислительной техники, комплектующие которой, находятся на незначительном расстоянии друг от друга (до 5–10 метров). Удаленный терминал – электронно-вычислительная техника, находящаяся на значительном расстоянии от исследуемого объекта и соединенная с ним посредствам существующих средств связи (телефонных линий связи, сетевого кабеля, радиосвязи и других). Например, при соединении компьютеров в локальную сеть организации для каждого отдельно взятого компьютера остальные являются удаленными хостами (терминалами).

Рассмотрим более детально вопрос о возможном местонахождении на локальном компьютере информации, которая может иметь доказательственное значение.

Носителями информации, входящими в состав локальной машины, являются:
1. Магнитные носители – устройства долговременного хранения данных в электронном виде. К ним относятся: накопитель на жестких магнитных дисках («жесткий» диск, винчестер), компактные диски (CD ROM), гибкие диски (floppy диск, дискета), магнитные ленты и другие носители. Особый интерес в данной группе представляет винчестер, так как это устройство может вмещать в себя самое большое количество информации и на нем находится почти все программное обеспечение компьютера [3].
2. Встроенные компьютерные чипы энергозависимой памяти – устройства, которые могут содержать информацию только при включенном компьютере. К таковым относятся оперативное запоминающее устройство, чипы памяти на видео-адаптере, аудио плате и т.п. Особенностью таких носителей является то, что, сразу после отключения от них питания, содержащаяся на них информация уничтожается или хранится на протяжении очень непродолжительного отрезка времени.
3. Чипы памяти внешних периферийных устройств. Современные принтеры и другие устройства обладают встроенной оперативной памятью, которая предназначена только для выполнения определенных задач данного устройства и не влияет на работоспособность системы в целом.


При исследовании компьютерного терминала получить информацию с вышеописанных энергозависимых носителей можно только с помощью специальных технических и программных средств и только при определенных условиях (если терминал включен), поэтому они представляют интерес лишь в некоторых случаях.

Как правило, наибольший интерес при осмотре компьютерного терминала представляют магнитные носители, а точнее - программное обеспечение и информация, которые на них находятся. Необходимо отметить, что все действия с информацией на носителе необходимо производить, по возможности с его полной копией (а не с оригиналом), т.к. на нем могут находиться программы, которые автоматически, без команд, производят различные действия с информацией.

Прежде всего, следует определить количество и тип установленных операционных систем (ОС). Если установлены системы семейства Microsoft Windows , то необходимо установить серийный номер каждой и имена зарегистрировавших их лиц. Это можно сделать двумя способами:
1. С помощью специализированных программ. При их использовании необходимо зафиксировать полученные данные, сохранив их в отдельный файл.
2. Используя данные реестра. Реестр - база данных операционной системы, содержащая конфигурационные сведения. Физически вся информация реестра разбита на несколько файлов. Реестры Windows 9x и NT, XP частично различаются. В Windows 95/98 реестр содержится в двух файлах SYSTEM.DAT и USER.DAT, находящихся в каталоге Windows. В Windows Me был добавлен еще один файл CLASSES.DAT. Основным средством для просмотра и редактирования записей реестра служит специализированная утилита "Редактор реестра". Для ее запуска необходимо набрать в запуске программы (Пуск->Выполнить) команду regedit или запустить файл regedit.exe из каталога Windows. В появившемся окне редактора найти и зафиксировать необходимую информацию в ветви реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows(Windows NT)\ CurrentVersion, в которой значение строкового параметра ProductKey (ProductID) серийный номер ОС, RegisteredOrganization, RegisteredOwner – данные лица и организации, зарегистрировавших данную копию ОС, PathName – рабочий каталог Windows и т.п.


Все зафиксированные данные [4] об ОС могут способствовать установлению таких фактов как правомерность использования исследуемых ОС, причинная связь между установкой ОС и субъектом, который ее произвел и т.п.

После окончания исследования данных ОС, необходимо определить и зафиксировать все программные настройки аппаратных средств. Так, например, каждая сетевая плата имеет «вшитый» производителем MAC – адрес (уникальный числовой номер, состоящий из набора символов, характерных только для данной платы). Многие аппаратные устройства имеют свой уникальный идентификатор, фиксация которого необходима для установления его подлинности при дальнейшем использовании. При осмотре терминала необходимо зафиксировать все индивидуальные сведения и настройки аппаратных средств, входящих в состав ЭВМ.

Следующим этапом исследования компьютера является исследование всего вспомогательного программного обеспечения (ПО), находящегося на имеющихся магнитных носителях [5]. Существует несколько способов отыскания имеющегося ПО.

Одним из них является использование раздела панели управления Windows «Установка и удаление программ». В нем отображается все корректно установленное из Windows ПО. Во всех версиях Windows на базе NT таким способом можно установить почти все данные о ПО. В Windows 9х можно установить только его наименование, а для установления остальных данных необходимо воспользоваться информацией соответствующих ветвей реестра. Данные о количестве и наименовании ПО, полученные таким способом, нельзя в полной мере рассматривать как исчерпывающую информацию, т.к. при наличии специальных знаний фальсифицировать данные раздела «Установка и удаление программ» не составляет труда.

Вторым способом установления наличия ПО и его данных является непосредственный осмотр каталогов имеющихся логических разделов. Этот способ может потребовать много времени, но вероятность установить наличие и данные всего имеющегося ПО очень велика.

После исследования всего имеющегося программного обеспечения особый интерес представляют так называемые log-файлы. Они представляют собой, как правило, текстосодержащие документы, в которых может быть отображена информация о действиях, совершаемых определенной программой, о времени, количестве совершения этих действий и т.п. Существуют специализированные программы, которые могут вести log-файлы обо всех совершаемых на компьютере действиях (запуске программ, совершении различных операций с файлами и даже об открывающихся окнах и т.п.) с точностью до секунды. По умолчанию ОС ведет файлы журналов только некоторых встроенных приложений (Internet Explorer и др.).

Существуют также прикладные программы, которые по умолчанию ведут файлы отчета, например DR.WEB и т.п. Все эти файлы должны быть использованы для получения полезной информации, т.к. очень часто пользователь терминала не знает о существовании всех программ, которые ведут журналирование своей работы.

Наличие специальных знаний в области программного обеспечения способствует (после определения всего имеющегося ПО) процессу более быстрого «узнавания» тех программ, которые ведут log-файлы, что во многом ускоряет процесс сбора информации.

При проведении следственных действий не стоит забывать о том, что каждый человек, работающий с информацией в электронном виде, старается ее защитить от неправомерных действий со стороны других субъектов. При работе с электронной информацией необходимо помнить, что одним из важных ее недостатков является простота и быстрота ее уничтожения. Одним нажатием клавиши можно уничтожить всю информацию с носителя. Вот почему именно фактор внезапности и оперативности очень важен при расследовании преступлений в сфере информационных технологий. Более того, каждый обладатель электронной информации по-своему индивидуален, у каждого свои методы защиты имеющихся данных, которые невозможно перечислить. Можно привести лишь основные направления преодоления препятствий, которые создают правонарушители для защиты информации.

Во-первых, после входа в помещение, в котором находится объект осмотра, необходимо зафиксировать положение всех находящихся в нем лиц, не допуская при этом никаких действий с их стороны по отношению к любым имеющимся поблизости техническим устройствам (клавиатуре, брелокам с кнопками, телефонам, различным пультам ДУ и т.п.) [6]. Известны случаи, когда работники фирмы при обнаружении сотрудников милиции нажимали заранее определенные клавиши на клавиатуре и тем самым либо уничтожали всю имеющуюся информацию, либо блокировали доступ к ней (активация паролей специальных защитных программ).

Во-вторых, если компьютер, подлежащий исследованию, выключен, то по мере возможностей сохранить его положение до прибытия специалиста. Необходимо помнить, что при включении компьютера могут активироваться «программы – детонаторы», которые могут производить действия с информацией по заранее установленному алгоритму. Например, настоящий владелец может установить пароль (комбинацию клавиш), который необходим для правильного запуска системы, и на введение которого отведено определенное время и т.п. Без наличия специальных знаний процесса включения компьютера и загрузки ОС проведение каких-либо действия с машиной может повлечь непреднамеренную модификацию или уничтожения данных. К тому же специалисту намного удобнее исследовать выключенный компьютер, т.к. в этом случае появляется возможность сделать копию всех носителей информации и продолжать работу именно с копией, а не с оригиналом, что повышает эффективность исследования и снижает возможность модификации или уничтожения информации вследствие непредвиденных ситуаций.

В-третьих, необходимо помнить, что наряду с программными средствами модификации и уничтожения информации существуют также аппаратные способы. Для разрушения магнитных носителей может использоваться метод воздействия на них сильного магнитного поля, которое создается с помощью специальных устройств (генераторов магнитных полей и др.). Так, например, известный хакер Кевин Митник вмонтировал такие устройства в дверной проем комнаты, в которой находился его компьютер. При проносе его агентами ФБР через проем, вся информация на магнитных носителях уничтожалась [7].

Также известны случаи наличия подобных устройств внутри корпуса компьютера. При попытке открыть корпус посторонними лицами срабатывала ловушка, которая активизировала устройство внутри, и магнитные носители уничтожались. Эти случаи еще раз говорят о том, что не следует производить никаких действий с компьютером без наличия специальных знаний его аппаратного и программного устройства.

Как отмечено выше, существует много способов, с помощью которых преступники могут противодействовать правоохранительным органам. Снизить последствия этого противодействия возможно только квалифицированными действиями лиц, производящих расследование. А для этого необходимо осуществлять дополнительную подготовку уже имеющихся кадров или обучать специалистов по новой программе, включающей получение необходимых знаний в области информационных технологий.

Таким образом, стремительное развитие сферы высоких технологий, наряду с положительными тенденциями развития мирового сообщества, открывает также новые возможности для развития и совершенствования преступного мира. Сфера высоких технологий позволяет совершенствовать традиционные виды преступлений, например: хищение, мошенничество, «отмывание денег», подделка документов, а также создает совершенно новые виды преступлений, такие как: несанкционированное использование компьютерной информации, компьютерное мошенничество, компьютерный подлог и т.д. [8]. Появляются такие понятия как «компьютерная информация», «компьютерные преступления», «компьютерный терроризм», «киберпреступность», «информационное оружие». Для эффективной борьбы с ними необходимо совершенствование имеющегося законодательства и создание условий для приобретения практическими работниками правоохранительных органов знаний, необходимых для эффективного противодействия «киберпреступности».

1. Владимир Голубев, выступление 26 февраля 2003 г. на Southeast Cybercrime Summit в Атланте, США, Crime-research.org.
2. Голубєв В.О., Гавловський В.Д., Цимбалюк В.С. Проблеми боротьби зі злочинами у сфері використання комп’ютерних технологій: Навч. посібник / За заг. ред. доктора юридичних наук, професора Р.А. Калюжного. – Запоріжжя: ГУ „ЗІДМУ”, 2002. – С.203.
3. Крылов В.В. Расследование преступлений в сфере информации. – М.: Издательство «Городец», 1998. – С.174-175.
4. В дальнейшем под термином «данные о программе или ОС» следует понимать их наименование, версию, регистрационный номер, имя лица и организации, на которые зарегистрирован продукт, место его расположения и т.п.
5. Вехов В.Б. Компьютерные преступления: Способы совершения и раскрытия /Под ред. Акад. Б.П. Смагоринского – М.: Право и Закон, 1996. – С.26-27.
6. Расследование неправомерного доступа к компьютерной информации / Под ред. Н.Г. Шурухнова. – М.: Издательство «Щит-М», 1999. – С.130.
7. Голубєв В.О., Гавловський В.Д., Цимбалюк В.С. Проблеми боротьби зі злочинами у сфері використання комп’ютерних технологій: Навч. посібник / За заг. ред. доктора юридичних наук, професора Р.А. Калюжного. – Запоріжжя: ГУ „ЗІДМУ”, 2002. – С.202.
8. Основи методики розслідування злочинів, скоєних з використанням ЕОМ / М.В. Салтевський. – Навч. посібник – Харків: Нац. юрид.акад. України, 2000. – С.7-9.


Запропоновані заходи в повній мірі не вирішать всього спектру зазначених проблем, але при їх реалізації повинні відбутися певні позитивні зміни. Запорукою цьому, крім дієвої державної та міністерської політики, є власна ініціатива суб’єктів боротьби з інформаційною злочинністю та бажання працювати в нових умовах, які потребують нестандартних підходів до вирішення завдань, що стоять перед оперативними підрозділами по боротьбі з правопорушеннями у сфері інтелектуальної власності та високих технологій ДСБЕЗ України.


Добавить комментарий
Всего 0 комментариев

Copyright © 2001–2004 Computer Crime Research Center

CCRC logo
UA  |  EN
Рассылка новостей



TraCCC

Rated by PINGRated by PING