Методика расследования компьютерных преступлений

Защита компьютерной информации осуществляется путем идентификации (пользователь сообщает свое имя) и аутентификации (проверки подлинности) -- вторая сторона убеждается, что субъект действительно тот, за кого себя выдает. Подлинность подтверждается знанием пароля, личного идентификационного номера, криптографического ключа и пр.; личной карточкой или иным устройством аналогичного назначения; голосом, отпечатками пальцев и другими биометрическими характеристиками и т. д.

Пароли давно встроены в операционные системы и другие сервисные программы. При правильном использовании они могут обеспечить приемлемый для многих организаций уровень безопасности. Тем не менее, по совокупности характеристик их следует признать самым слабым средством проверки подлинности. Надежность паролей основывается на способности помнить их и хранить в тайне. Чтобы пароль был запоминающимся, его зачастую делают простым, однако простой пароль не трудно угадать, особенно если заранее изучить пристрастия, увлечения, круг интересов законного пользователя. Иногда пароли с самого начала не являются тайной, так как имеют стандартные значения, указанные в документации, и далеко не всегда после установки системы производится их смена. Ввод пароля можно определить и с помощью оптических приборов, приборов перехвата электромагнитного излучения процессора и монитора.

Анализ парольной защиты при осмотре или обыске компьютерной техники позволит следователю с большей вероятностью определить истинного владельца криминалистически значимой информации, найденной в компьютере. Другими словами, чем выше надежность парольной системы, тем с большей уверенностью можно определить ее истинного владельца и тем выше доказательственная сила обнаруженной информации.

Другим средством аутентификации служат электронные пластиковые карточки. Обычно пользователь набирает на клавиатуре свой идентификационный номер, после чего процессор проверяет его совпадение с тем, что записан на карточке, а также подлинность самой карточки. Иногда (обычно для физического контроля доступа) карточки применяют сами по себе, без запроса личного идентификационного номера.

Безбумажная технология дает целый ряд преимуществ при обмене документами по сети связи или на машинных носителях. Но при этом возникает проблема идентификации автора документа и самого документа. В традиционной (бумажной) технологии она решается за счет того, что информация в документе жестко связана с физическим носителем (бумагой). На машинных носителях такой связи нет.

Технически эта проблема частично решена с помощью применения цифровой подписи. Технология состоит в том, что лицо, составившее документ, кодирует его с помощью специальной программы -- электронного ключа. При этом применяется два ключа. Один из них, не секретный, используется для шифровки и может публиковаться вместе с адресом пользователя, другой -- секретный, применяется для расшифровки и известен только определенному лицу. Эта программа хранится на отдельной дискете, обычно у автора документа или стороны, которой тот направлен. Цифровая подпись реализует две функции -- гарантирует целостность сообщения и удостоверяет личность автора документа.

Криптографическая защита считается одним из наиболее мощных средств обеспечения конфиденциальности информации в компьютере или на магнитных носителях. Необходимо помнить, что даже в том случае, когда в распоряжении следствия имеется компьютер или магнитный носитель, но электронный ключ не обнаружен, "прочитать" информацию и идентифицировать ее автора (владельца) не представится возможным.

Помимо использования криптоалгоритмов, существует еще целый набор программных средств, позволяющих шифровать информацию (гашение изображения ценной информации), а также предусматривающую защиту информационных объектов на уровне файлов или виртуальных (логических) дисков винчестера. Для возобновления нормальной работы в ЭВМ требуется ввести пароль.

Все программы защиты, управляющие доступом к машинной информации, функционируют по принципу ответа на вопросы: кто может выполнять, какие операции и над какими данными.

Однако успешное преодоление защиты еще не решает все проблемы собирания доказательств в компьютере.

Тактические особенности для функционального состояния ЭВМ и ее периферийных устройств на момент осмотра или обыска. Информация может быть либо зафиксирована на постоянном носителе, либо храниться в ЭВМ только в период ее работы, поэтому следователю необходимо выбирать различные тактические приемы поиска в зависимости от того, работает компьютер на момент начала следственного действия или отключен.

При включении компьютера в работу электронные устройства образуют в нем определенный объем так называемой "оперативной памяти" (ОЗУ), которая предназначена для операционных действий над информацией и программами и сохраняет их в процессе работы. При включении компьютера и (или) окончании работы с конкретной программой или данными ОЗУ очищается и готово для ввода новых данных. В процессе работы компьютера ОЗУ специальными программными средствами расчленяется на специальные области, предназначенные для раздельного хранения программ и данных. Среди таких областей, по желанию пользователя, может быть выделена специальная, которая имитирует внешнее устройство -- накопитель информации. Этот накопитель (так называемый "виртуальный диск" или "псевдодиск") отличается высокой скоростью доступа и позволяет выполнять специфические операции по обмену программами (данными) с устройствами ЭВМ.

О работающем компьютере свидетельствуют положение тумблеров, мигание или горение индикаторов на передней панели системного блока, изображение на дисплее, небольшая вибрация и чуть слышный шум работающих внутри вентиляторов.

В случае, если компьютер на момент начала осмотра оказался включен, необходимо:

- оценить информацию, изображенную на дисплее;

- в случае работы стандартного программного продукта-- не приступать к каким-либо манипуляциям на входе без предварительного визуального осмотра технических средств;

- экран дисплея необходимо сфотографировать;

- отключить все телефонные линии, подсоединенные к компьютеру;

- описать все соединения на задней стенке системного блока;

- если необходимо, вскрыть кожух системного блока и визуально определить конфигурацию ЭВМ, описать месторасположение электронных плат.

Следование данным правилам позволит обезопасить поиск информации от различного рода устройств повреждения или уничтожения как аппаратных средств, так и информационной базы. Этими устройствами могут быть электронные ключи, радиозакладки шумоподавителя и др.

В случае, если при осмотре аппаратных средств выявлены неизвестные участникам осмотра (обыска) устройства (платы расширения, нестандартные соединения и т. д.), компьютер необходимо сразу выключить. При этом следует не отключать тумблер блока питания, а вынуть вилку из розетки. Затем (до отсоединения проводов) необходимо промаркировать всю систему подключения, все порты и разъе-мь1, чтобы потом можно было осуществить точную реконструкцию расположения кабелей, плат расширения и других устройств.

Присутствующим при осмотре (обыске) необходимо разъяснять все действия следователя и специалиста в ходе манипуляций с ЭВМ. Недопустимо вмешательство в информационную базу без наглядного и доступного комментария своих действий. Объяснено должно быть любое нажатие на клавиатуру, передвижение мыши и т. д.

Если для поиска информации задействуются программные продукты, не находящиеся в компьютере, а используемые следователем, это необходимо отметить в протоколе осмотра или обыска. Такие программы должны быть стандартными. Необходимо обеспечить наглядность контроля, т. е. все ключевые этапы работы программы изображаются на экране дисплея, а следователь либо специалист комментирует происходящее. Максимально активное участие понятых при поиске информации важно еще и потому, что результатом выполнения искомой программы может явиться не текстовой или графический документ, а аудио- или видеоролик (вербальная или визуальная информация). Такой итог работы программы, являясь уникальным (неповторимым), фиксируется с помощью протокола (не считая фото- и видеосъемки).

В случае обнаружения искомой информации текущее изображение экрана дисплея также необходимо сфотографировать, после чего стандартными средствами переписать информацию на постоянный носитель (обычно -- магнитный диск) либо распечатать.

Включать и выключать компьютеры, производить с ними какие-то манипуляции может только специалист в области вычислительной техники. Если на объекте было отключено электроснабжение, например, в связи с пожаром или взрывом, до его включения следует проверить, находятся ли все компьютеры и периферийные устройства в отключенном состоянии. Изымать необходимо сразу все имеющиеся на объекте компьютеры (или хотя бы блоки памяти) и магнитные носители. Нельзя оставлять их на ответственное хранение на самом объекте или в другом месте, где к ним могут иметь доступ посторонние лица.

Содержащаяся на магнитных носителях информация может быть легко уничтожена преступником, например, с помощью источника электромагнитного излучения. При этом визуально определить это невозможно.

Компьютеры и их комплектующие опечатываются: на разъемы налагают лист бумаги, закрепляя его края на боковых стенках компьютера густым клеем или клейкой лентой, чтобы исключить возможность работы с ними в отсутствие владельца или эксперта. Магнитные носители упаковываются, хранятся и перевозятся в специальных экранированных контейнерах или в стандартных дискетных или иных алюминиевых футлярах заводского изготовления, чтобы исключить разрушающее воздействие различных электромагнитных и магнитных полей и наводок. направленных излучений.

Опечатываются только контейнеры или футляры. Пояснительные надписи наносятся на специальные самоклеящиеся этикетки для дискет, причем сначала делается надпись, а потом этикетка наклеивается на предназначенный для этого участок. Если на диске предполагается только порядковый номер, а пояснительные надписи под этим номером делаются на отдельном листке, который вкладывается в коробку. Недопустимо приклеивать что-либо непосредственно к магнитным носителям, пропускать через них бечеву, пробивать отверстия, наносить подписи, пометки, печати и т. д.

В протоколе следственного действия описываются основные физические характеристики изымаемых устройств, магнитных и других постоянных носителей информации, серийные номера аппаратуры, их видимые индивидуальные признаки. Машинные распечатки оформляются как приложение к протоколу.

К участию в осмотре целесообразно привлекать специалиста-криминалиста.

Из следственной практики известны случаи обнаружения следов пальцев рук, металлообрабатывающих инструментов, ручной пайки на внутренних элементах компьютерных средств.

В конце обыска и выемки необходимо изымать:

1) журнал учета рабочего времени и доступа к вычислительной технике, сбоев и ремонта, регистрации пользователей компьютерной системой или сетью; проведения регламентированных работ;

2) лицензионных соглашений и договоров на пользование программными продуктами и их разработку;

3) книг паролей;

4) приказов и других документов, регламентирующих работу учреждения. Многие документы хранятся в электронной форме, для извлечения их следует приглашать специалиста.

3). Допрос подозреваемого производится по задержанию, но, как правило,после осмотра, а иногда после обыска и выемки.

При осуществлении допросов необходимо учитывать данные криминалистической характеристики о личности предполагаемого преступника. Важной является подготовка к допросу, в процессе которой необходимо постараться хотя бы условно выбрать, к какой группе относится подозреваемый, и на этом основывать тактику допроса.

При первоначальном допросе необходимо, побуждая лицо к деятельному раскаянию, выяснить, какие изменения в работу компьютерных систем были внесены, какие вирусы использовались, есть ли с точки зрения подозреваемого (обвиняемого) возможность быстро устранить или уменьшить вред, причиненный несанкционированным проникновением в систему. Какие сведения и кому передавались.

Содержание допроса подозреваемого определяется его специальностью и формой допуска к компьютерной системе.

Это может быть «свой» сотрудник коллектива, фирмы, организации, либо государственного вычислительного центра; программист, инженер-наладчик и т.п. или «чужой» - хакер, проникший в компьютерную сеть и находящийся за тысячи километров от места обнаружения признаков компьютерного преступления. Во всяком случае, у подозреваемого надо пытаться узнать место "атаки", как часто он его изменяет, его профессию, уровень образования, взаимоотношение с товарищами по службе, образ жизни, сферу интересов, привычки, наклонности, круг знакомых, навыки, программирования, ремонта и эксплуатации вычислительной техники, какой аппаратурой он обладает, где и на какие средства приобрел и т.п.

Допрашивая подозреваемое лицо, надо помнить, что несанкционированный доступ к закрытой компьютерной системе или сети может совершить лишь специалист. Поэтому поиск надо начинать с технического персонала пострадавшей компьютерной системы или сети, разработчиков соответствующих систем, операторов, программистов, инженеров связи, специалистов по защите информации и информационных компьютерных систем.

У подозреваемых, при достаточных основаниях, производится обыск по месту работы и месту жительства. В ходе обыска обращают внимание на компьютеры разных конфигураций, принтеры, средства телекоммуникационной, с компьютерными системами, пейджеры, записные книжки, в том числе электронные, дискеты, компакт-диски, магнитные ленты, содержащие сведения о кодах, паролях, идентификационные номера пользователей конкретной компьютерной системой, а так же данные о ее пользователях.

4). Допросы свидетелей и потерпевших, проводятся с целью установления следующих обстоятельств:

- назначение и функции компьютерной системы;

- кто имел доступ к ней и в помещения;

- где располагалась компьютерная техника, не появлялись ли там посторонние лица;

- какие средства защиты использовались;

- признаки и время нарушений работы в компьютерной системе или сети, как часто они происходили, в чем выражались;

- кто санкционировал доступ к закрытой информации и кто реально был к ней допущен;

- какой вред (имущественный, неимущественный) причинен преступлением и имеются ли способы его уменьшить;

5). Эспертизы.

а).компьютерно-технические: В настоящее время в рамках этого рода экспертиз можно выделить два вида:

а-1). техническая экспертиза компьютеров и их комплектующих - в целях изучения конструктивных особенностей и состояния компьютера, его периферийных устройств, магнитных носителей и пр., компьютерных сетей, а также причин возникновения сбоев в работе. Разрешает следующие диагностические вопросы :

1) компьютер какой модели представлен на исследование; каковы технические характеристики его системного блока и периферийных устройств; каковы технические характеристики данной вычислительной сети;

2) где и когда изготовлен и собран данный компьютер и его комплектующие; осуществлялась ли сборка компьютера в заводских условиях или кустарно;

3) соответствует ли внутреннее устройство компьютера и периферии прилагаемой технической документации; не внесены ли в конструкцию компьютера изменения (например, установка дополнительных встроенных устройств: жестких дисков, устройств для расширения оперативной памяти, считывания оптических дисков и пр., иные изменения конфигурации);

4) исправен ли компьютер и его комплектующие; каков их износ; каковы причины неисправности компьютера и периферийных устройств; не содержат ли физических дефектов магнитные носители информации;

5) не производилась ли адаптация компьютера для работы с ним специфических пользователей (левша, слабовидящий и пр,);

6) каковы технические характеристики иных электронных средств приема, накопления и выдачи информации (пейджер, электронная записная книжка, телефонный сервер); исправны ли эти средства; каковы причины неисправностей.

а-2). экспертиза данных и программного обеспечения - в целях изучения информации, хранящейся в компьютере и на магнитных носителях. Разрешает так же диагностические вопросы, а именно:

1) какая операционная система использована в компьютере;

2) каково содержание информации, хранящейся на внутренних и внешних магнитных носителях, в том числе какие программные продукты там находятся; каково назначение программных продуктов; каков алгоритм их функционирования, способа ввода и вывода информации; какое время проходит с момента введения данных до вывода результатов при работе данной компьютерной программы, базы данных;

3) являются ли данные программные продукты лицензионными (или несанкционированными) копиями стандартных систем или оригинальными разработками;

4) не вносились ли в программы данного системного продукта какие-либо коррективы (какие), изменяющие выполнение некоторых операций (каких); техническому заданию; обеспечивается ли при его работе выполнение всех предусмотренных функций;

6) использовались ли для ограничения доступа к информации пароли, скрытые файлы, программы защиты и пр.; каково содержание скрытой информации; не предпринимались ли попытки подбора паролей, взлома защитных средств и иные попытки несанкционированного доступа;

7) возможно ли восстановление стертых файлов, дефектных магнитных носителей информации; каково содержание восстановленных файлов;

8) каков механизм утечки информации из локальных вычислительных сетей, глобальных сетей и распределенных баз данных;

9) имеются ли сбои в функционировании компьютера, работе отдельных программ; каковы причины этих сбоев; не вызваны ли сбои в работе компьютера влиянием вируса (какого); распространяется ли негативное влияние вируса на большинство программ или он действует только на определенные программы; возможно ли восстановить в пол' ном объеме функционирование данной программы (текстового файла), поврежденной вирусом;

10) каково содержание информации, хранящейся на пейджере, в электронной записной книжке и пр.; имеется ли в книжке скрытая информация и каково ее содержание;

11) когда производилась последняя корректировка данного файла или инсталляция данного программного продукта;

12) каков был уровень профессиональной подготовки в области программирования и работы с компьютерной техникой лица, произведшего данные действия.

С помощью компьютерно-технических экспертиз возможно разрешение и некоторых вопросов идентификационного характера:

1) имеют ли комплектующие компьютера (печатные платы, магнитные носители, дисководы и пр.) единый источник происхождения;

2) не написана ли данная компьютерная программа определенным лицом (решается комплексно при производстве компьютерно-технической и автороведческой экспертиз).

Объектами компьютерно-технической экспертизы являются:

компьютеры в сборке, их системные блоки;

периферийные устройства (дисплеи, принтеры, дисководы, модемы, клавиатуры, сканеры, манипуляторы типа "мышь", джойстики и пр.), коммуникационные устройства компьютеров и вычислительных сетей;

магнитные носители информации (жесткие и флоппи-диски, оптические диски, ленты);

распечатки программных и текстовых файлов;

словари поисковых признаков систем (тезаурусы), классификаторы и иная техническая документация, например технические задания ч отчеты;

электронные записные книжки, пейджеры, иные электронные носители текстовой или цифровой информации, техническая документация к ним.

Литература

1. Уголовный кодекс Украины.

2. Пояснения и разъяснения к Уголовному кодексу Украины.

3. Правоведение - Кравченко В.И. - К. 2006 г.