Деятельность правоохранительных органов по раскрытию и предупреждению преступлений в информационной сфере
Правовая основа деятельности правоохранительных органов в борьбе с компьютерными преступлениями. Следы компьютерных преступлений. Последовательность расследования преступлений, которые совершаются при помощи открытой телекоммуникационной сети "Интернет".
Рубрика | Государство и право |
Вид | курсовая работа |
Язык | русский |
Дата добавления | 14.05.2015 |
Размер файла | 591,9 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Условные сокращения
ЭВМ - электро-вычислительная машина;
IT - информационные технологии;
СУБД - система управления базами данных;
ЭД - электронные доказательства
ПО - программное обеспечение;
АО - аппаратное обеспечение;
ОТКС - открытая телекоммуникационная сеть;
ЦАСБ - Центральное адресно-справочное бюро.
Оглавление
Введение
Глава 1. Общие положения компьютерных преступлений
1.1 Преступления в сфере компьютерной информации
1.2 Правовая основа деятельности правоохранительных органов в борьбе с компьютерными преступлениями
1.3 Классификация компьютерных преступлений
Глава 2. Преступления с использованием компьютеров. Следы указанных преступлений
2.1 Компьютер как объект преступления
2.2 Компьютер как орудие преступления
2.3 Следы компьютерных преступлений и способы их обнаружения
Глава 3. Программно-технические средства защиты информации, а также получения предварительной информации о компьютерных преступлениях
3.1 Общие принципы применения программно-технических средств защиты информации
3.2 Последовательность расследования преступлений, совершаемых при помощи открытой телекоммуникационной сети «Интернет»
3.3 Применение типологической схемы расследования преступлений, совершаемых в сети «Интернет» в практическом подразделении МВД России
Заключение
Список используемой литературы
Введение
Современную жизнь человека нельзя представить без использования IT-технологий. Они внедрились во все сферы его деятельности. Наряду с этим становится актуальным развитие криминальной деятельности в этой сфере.
В общем, неправомерное использование современных информационных технологий делает преступления в этой сфере не только довольно прибыльным, но и ненаказуемым делом.
Первоочередная проблема на современном этапе, скорее всего, заключается в уровне образованности, специальной подготовке должностных лиц правоохранительных органов, которые осуществляют поиск следов компьютерных преступлений, занимаются их раскрытием.
Актуальность темы исследования определяется необходимостью применения оперативными подразделениями правоохранительных органов различных способов и методов получения предварительной информациио компьютерных преступлениях.
Обеспечение информационной безопасности осуществляется системой мер, которые направлены на предупреждение, выявление и обнаружение угроз, а также на ликвидацию преступных действий.
Действующий Федеральный закон «Об информатизации, информационных технологиях и о защите информации» от 27 июля 2006 года №149-ФЗ регулирует отношения, возникающие в ходе:
- осуществления права на поиск, получение, передачу, производство и распространение информации;
- применения информационных технологий;
- обеспечения защиты информации.См. Федеральный закон Российской Федерации от 27 июля 2006 года №149 -ФЗ(ст. «Об информации, информационных технологиях и о защите информации»)
Целью исследования является определение направлений деятельности правоохранительных органов по раскрытию и предупреждению преступлений в информационной сфере.
В ходе исследования необходимо решить следующие задачи:
1)Исследовать правовую основу деятельности правоохранительных органов в борьбе с компьютерными преступлениями;
2) Определить классификацию компьютерных преступлений;
3) Раскрыть состав компьютерных преступлений;
4) Изучить следы компьютерных преступлений и определить способы их обнаружения;
5) Рассмотреть программно-технические средства защиты информации
Глава 1. Общие положения компьютерных преступлений
1.1 Преступления в сфере компьютерной информации
Проблема компьютерная преступности в России появилось позже, чем за рубежом. Это связано с поздней компьютеризацией нашего общества, то есть внедрение в различные сферы жизни человека информационных технологий на недостаточном уровне. Именно поэтому научные исследования по этой теме начались не столь давно.
Только в последние годы популярны работы, посвященные борьбе с компьютерными преступлениями. В данных работах рассматриваются уголовно-правовые, а также криминологические аспекты указанного явления.
Борьба правоохранительных органов с преступностью в определенной сфере появляется тогда, когда материальная потеря от этих преступлений достигает существенных размеров и после резкого выделения ущерба от общеуголовной преступности.
В России впервые о проблеме с компьютерной преступностью наука впервые заявила летом 1992 года, с момента действия межведомственного семинара «Криминалистика и компьютерная преступность», который был организован в рамках координационного бюро по криминалистике.
В преступлениях в сфере компьютерной информации следует выделить общий предмет преступного посягательства - компьютерная информация. Информация - сведения, знания или набор команд (программа), предназначенная для использования в ЭВМ или управления ею, находящиеся в ЭВМ или на машинном носителе - идентифицируемом элементе информационной системы, имеющем собственника, установившего правила ее использования.
Информация образуется в ходе взаимодействия данных и методов, а в природе пребывает в виде данных.
В соответствии со ст. 2 Закона РФ от 27.07.06 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»: См. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
- электронное сообщение - информация, переданная или полученная пользователем информационно-телекоммуникационной сети, где информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;
- информация - это сведения (сообщения, данные) независимо от формы их представления.
При этом защите подлежит только документированная информация - «это зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель». По отношению к компьютерной информации, данное доктринальное понятие следует рассматривать как электронный документ (информация представлена в электронно-цифровой форме).
Компьютерная информация в соответствии с ч.1 ст. 272 УК РФ - информация на машинном носителе, в ЭВМ, сети ЭВМ или их системе.
На основании вышеизложенного, понятие компьютерной информации можно сформулировать следующим образом: компьютерная информация (computer information) - это информация, находящаяся в памяти ЭВМ, зафиксированная на машинных или иных носителях в электронно-цифровой форме, или передающаяся по каналам связи посредством электромагнитных сигналов с реквизитами, позволяющими ее идентифицировать.
Компьютерная информация может быть опосредована через машинный носитель, вне которого она не существует.
Существует деление международных преступных деяний на международные преступления и преступления международного характера. «В то время как международные преступления затрагивают интересы всего мирового сообщества и подлежат юрисдикции Международного уголовного суда, преступления международного характера касаются ряда отдельных государств и в рамках принципа двойной подсудности подпадают под регулятивное действие института выдачи (экстрадиции). Здесь вопрос решается на основе принципа или выдай или накажи и принципа или выдай или суди».СМ: Гринберг М.С. Преступления против общественной безопасности. - Свердловск, 1974. - 316 с.
Компьютерные преступления по своим критериям попадают под преступления международного характера.
Компьютеризация является социально - значимым явлением. Роль, которую она выполняет, можно рассматривать с двух сторон: с одной, рост информатизации общества упрощает многие аспекты его деятельности, во всех сферах жизни человека используется ЭВМ для ускорения и упрощения деятельности. С другой стороны, новая сфера приносит отрицательные факторы. Появляются противоправные нарушения, при чем постоянно видоизменяются и появляются новые.
Существует несколько точек зрения о возникновении «компьютерной преступности». Так, по данным американского ученого Д.Б. Паркера, преступность, «связанная с системой электронной обработки данных, возникла одновременно с появлением компьютерной техники около 1940 г. Эта преступность получила название «компьютерной преступности, или злоупотребления компьютерами».
В 1983 году в Париже группой экспертов организации экономического сотрудничества и развития было дано криминологическое определение компьютерного преступления: любое незаконное, неэтичное или неразрешенное поведение, затрагивающее автоматизированную обработку и (или) передачу данных.
В результате проведенных исследований в представленной сфере, вытекает заключение о выделении самостоятельного противоправного деяния, называемого «компьютерное преступление»
Компьютерное преступление как уголовно-правовое понятие - это предусмотренное уголовным законом виновное нарушение чужих прав и интересов в отношении автоматизированных систем обработки данных, совершенное во вред подлежащим правовой охране правам и интересам физических и юридических лиц, общества и государства.
1.2 Правовая основа деятельности правоохранительных органов в борьбе с компьютерными преступлениями
преступление компьютерный правовой интернет
В соответствии с законодательством Российской Федерации, необходимо сохранять три основных вида информации:
1. Сведения, отнесенные к государственной тайне. Понятие данных сведений трактуется в ст.5 Закона РФ «О государственной тайне» - это информация в области военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которой может нанести ущерб безопасности Российской Федерации.См: Закон РФ от 21 июля 1993 г. N 5485-I"О государственной тайне" С изменениями и дополнениями от: 6 октября 1997 г., 30 июня, 11 ноября 2003 г., 29 июня, 22 августа 2004 г., 1 декабря 2007 г., 18 июля 2009 г., 15 ноября 2010 г., 18, 19 июля, 8 ноября 2011 г., 21 декабря 2013 г., 8 марта 2015 г.
2. Сведения, отнесенные к коммерческой тайне, защита которых регламентирована ст.5 Федерального закона "О коммерческой тайне" и под такими сведениями понимается информация, имеющая действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, если к ней нет законного доступа на законных (санкционированных) основаниях и обладатель такой информации принимает меры к охране ее конфиденциальности. См: Федеральный закон от 29 июля 2004 г. N 98-ФЗ"О коммерческой тайне"
3. Сведения, имеющие статус персональных данных, под которыми, в соответствии со ст.3 Федерального закона "О персональных данных" понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).См: Федеральный закон от 27 июля 2006 г. N 152-ФЗ"О персональных данных"
Как отмечалось ранее, компьютерное преступление как уголовно-правовое понятие - это предусмотренное уголовным законом виновное нарушение чужих прав и интересов в отношении автоматизированных систем обработки данных, совершенное во вред подлежащим правовой охране правам и интересам физических и юридических лиц, общества и государства. В этих преступлениях машинная информация является объектом преступного посягательства, также в качестве предмета или орудия преступления может выступать машинная информация, ЭВМ, компьютерная система или компьютерная сеть. То есть компьютер может выступать одновременно в качестве предмета и в качестве орудия совершения преступления.
Это свойство определяется спецификой его строения, то есть взаимодействия компонентов логической, физической и программной структур. В таблице 1 перечислены статьи, содержащие состав компьютерных преступлений.
Таблица 1
Виды субъектов (кто) |
Виды действий |
Виды объектов воздействия (что) |
Виды местонахождения объектов (где) |
Виды последствий действий |
|
Лицо, имеющее доступ к ЭВМ (ст. 272,274) |
Неправомерный доступ (ст. 272) |
Охраняемая законом компьютерная информация |
ЭВМ (ст. 272, 273, 274) |
Уничтожение информации (ст. 272, 273, 274) |
|
Создание вредных программ (ст. 273) |
Информация (ст. 273) |
Система ЭВМ (ст. 272, 273, 274) |
Блокирование информации (ст. 272, 273, 274) |
||
Использование вредоносных программ (ст. 273) |
Программы (ст. 273) |
Сеть ЭВМ (ст. 272, 273, 274) |
Модификация информации (ст. 272, 273, 274) |
||
Распространение вредоносных программ (ст. 273) |
Охраняемая законом информация ЭВМ (ст.274) |
Машинный носитель (ст. 272, 273) |
Копирование информации (ст. 272, 273, 274) |
||
Внесение изменений в существующие программы (ст. 273) |
Вредоносные программы (ст. 273) |
Нарушение работы ЭВМ (ст. 272, 273, 274) |
|||
Нарушение правил эксплуатации ЭВМ (ст. 274) |
Также состав компьютерных преступлений в части касающейся могут содержать следующие статьи Уголовного Кодекса: ст.241 (Организация занятия проституцией), ст.242(Незаконные изготовление и оборот порнографических материалов или предметов), ст. 242.1(Изготовление и оборот материалов или предметов с порнографическими изображениями несовершеннолетних), ст.146 (Нарушение авторских и смежных прав),ст.180 ( Незаконное использование средств индивидуализации товаров (работ, услуг)), ст. 183 (Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну),ст.163 (Вымогательство), ст. 138 (Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений), ст.138.1 ( Незаконный оборот специальных технических средств, предназначенных для негласного получения информации)
1.3 Классификация компьютерных преступлений
К основным видам компьютерных преступлений следует отнести:
1. Онлайн-мошенничество;
2. Клевета, оскорбления и экстремистские действия в Сети;
3. DoS-атаки;
4. Дефейс;
5. Вредоносные программы.
Рассмотрим каждое из них:
Онлайн-мошенничество. Данный вид преступления отличается низким уровнем затрат на организацию. На практике осуществляется следующими способами:
- фиктивные интернет-магазины, также сайты оказания услуг;
- рассылки по сайтам о ложных обнаруженных уязвимостях и черных ходах в платежных системах, позволяющие умножать свои деньги. То есть мошенничество II- порядка, когда жертва думает, что «обманывает обманщика»;
- мошеннические сайты и рассылки, предлагающие удаленную работу, для осуществления которой, необходимо внести предоплату;
Все указанные преступления имеют схожую криминалистическую характеристику и сводятся к размещению информации в Сети, удаленному взаимодействия с жертвой и получению он неё денег и последующим исчезновением.
В соответствии с преступным «бизнес-планом», можно выделить следующие признаки фальшивого интернет-магазина:
- зрительно ощущаема экономия на веб-сайте, рекламе, персонале, услугах связи. Дизайн сайта и товарный знак часто заимствованы, заказы обрабатываются явно вручную, не используется банковский счет;
- стремление скрыть личность владельца, когда необходимо её указать (при регистрации доменного имени, подключении телефонного номера, приобретении услуг и других)
- период между заказом товара и его доставкой максимально растянут;
- значительно занижена стоимость товара;
- применяются способы оплаты, когда возможно скрыть личность получателя платежа, невозможно оплатить товар при получении.
При совершении преступлений данного вида остаются следующие следы:
Исходя из распространенной схемы всех онлайн-мошенничеств:
- размещение (рассылка) информации;
- взаимодействие с жертвой;
- получение денежного перевода.
При размещении мошенниками подложного интернет-магазина можно рассчитывать на обнаружение следующих видов следов:
- регистрационные данные на доменное имя; логи от взаимодействия с регистратором доменных имен; следы от проведения платежа этому регистратору;
- следы при настройке DNS-сервера, поддерживающего домен мошенников;
- следы от взаимодействия с хостинг-провайдером, у которого размещен веб-сайт: заказ, оплата, настройка, залив контента;
- следы от рекламирования веб-сайта: взаимодействие с рекламными площадками, системами баннерообмена, рассылка спама;
- следы от отслеживания активности пользователей на сайте.
При взаимодействии с жертвами обмана мошенники оставляют такие следы:
- следы при приеме заказов -- по электронной почте, по ICQ, через вебформу;
- следы от переписки с потенциальными жертвами.
При получении денег мошенники оставляют такие следы:
- следы при осуществлении ввода денег в платежную систему (реквизиты, которые указываются жертве);
- следы при переводе денег между счетами, которые контролируются мошенниками;
- следы при выводе денег;
- следы от дистанционного управления мошенниками своими счетами, их открытия и закрытия;
- следы от взаимодействия мошенников с посредниками по отмыванию и обналичиванию денег.
Клевета, оскорбления и экстремистские действия в Сети. Преступное деяние заключается в размещении информации на общедоступном ресурсе в Интернете оскорбительных, экстремистских материалов.
В случае однократного размещения информации, преступник может справиться сам. В случае массового размещения, необходима помощь профессионалов-спамеров или соответствующего программного средства для спам-постинга.
Предметом преступного посягательства выступают честь, достоинство личности, деловая репутация, национальные и религиозные чувства. В редких случаях целью такого деяния может быть провоцирование ложного обвинения другого лица в клевете, оскорблениях, экстремизме.
Состав преступления устанавливается в процессе проведения экспертизы. До проведения экспертизы распространение материала защищено конституционным правом на свободу слова.
В случае если информация размещается лично правонарушителем с использованием автоматизации, остаются следы поиска, настройки и пробные запуски программы. Если же размещение осуществляется через специализирующихся профессионалов, искать следы необходимо через объявления спамеров, в переписках, телефонных разговорах с ними.
Если спамеры будут найдены, можно склонить их к сотрудничеству, дадут изобличающие показания.
Кроме того, правонарушитель будет контролировать и просматривать размещенные им тексты. При просмотре образуются соответствующие следы DoS-атаки. Тип преступления «отказ в обслуживании» является одним из видов неправомерного доступа, который приводит к блокированию информации и нарушению работы ЭВМ. Данный вид атаки разделяется на два типа:
- с использованием каких-либо уязвимостей в атакуемой среде;
- без использования уязвимостей.
Образуются следующие следы технического характера при подготовке и совершении DOS-атаки
- наличие инструментария атаки -- программных средств (агентов), установленных на компьютере злоумышленника или, чаще, на чужих используемых для этой цели компьютерах, а также средств для управления агентами;
- следы поиска, тестирования, приобретения инструментария;
- логи (преимущественно статистика трафика) операторов связи, через сети которых проходила атака;
- логи технических средств защиты -- детекторов атак и аномалий трафика, систем обнаружения вторжений, межсетевых экранов, специализированных антифлудовых фильтров;
- логи, образцы трафика и другие данные, специально полученные техническими специалистами операторов связи в ходе расследования инцидента, выработки контрмер, отражения атаки. (Следует знать, что DoS-атака требует немедленной реакции, если владелец желает спасти свой ресурс или хотя бы соседние ресурсы от атаки. В ходе такой борьбы обе стороны могут применять различные маневры и контрманевры, из-за чего картина атаки усложняется.);
- следы от изучения подозреваемым (он же заказчик атаки) рекламы исполнителей DoS-атак, его переписки, переговоров и денежных расчетов с исполнителями;
- следы от контрольных обращений подозреваемого к атакуемому ресурсу в период атаки, чтобы убедиться в ее действенности.
Дефейс. Преступление заключается в том, что злоумышленник разнообразными способами изменяет внешний вид веб-сайта потерпевшего, в большинстве случаев титульную страницу.
На взломанном компьютере следов остается не много, злоумышленник старается по возможности уничтожить их. Больше следов можно найти на компьютерах, которые хакер использует в качестве промежуточных узлов для исследования атакуемого веб-сайта и доступа к нему. Также пригодятся статистические данные транзитных провайдеров.
А на собственном компьютере злоумышленника следов должно быть еще больше -- там должны найтись переработанная или заново изготовленная веб-страница, а также ее промежуточные варианты, средства для осуществления несанкционированного доступа, средства для поиска и эксплуатации уязвимостей на целевом веб-сайте и промежуточных узлах.
Помимо этого, злоумышленнику еще необходимо привлечь общественное внимание к дефейсу. Следовательно, злоумышленник сразу после «взлома» или незадолго до него каким-либо способом оповестит мир о своем преступлении. Это могут быть сообщения по электронной почте, статья в телеконференции или на веб-форуме. Все эти действия оставят дополнительные следы.
Вредоносные программы
Основные их разновидности следующие:
- троянские программы для создания зомби-сетей, которые затем используются для рассылки спама, DoS-атак, организации фишерских сайтов и т.п.; нередко они снабжены механизмом самораспространения;
- так называемое spyware, то есть черви и троянцы для похищения персональных данных -- паролей и ключей к платежным системам, реквизитов банковских карточек и других данных, которые можно использовать для мошенничества или хищения;
- так называемое adware, то есть вредоносные программы, скрытно внедряющиеся на персональный компьютер и показывающие пользователю несанкционированную рекламу;
- руткиты, служащие для повышения привилегий пользователя и сокрытия его действий на «взломанном» компьютере;
- логические бомбы, которые предназначены для автоматического уничтожения всей чувствительной информации на компьютере в заданное время или при выполнении (при невыполнении) определенных условий;
- так называемое «ransomware» -- подвид троянских программ, которые после скрытного внедрения на компьютер жертвы шифруют файлы, содержащие пользовательскую информацию, после чего предъявляют требование об уплате выкупа за возможность восстановления файлов пользователя.
При изготовлении вредоносных программ можно обнаружить следующие цифровые следы:
- исходный текст вредоносной программы, его промежуточные варианты, исходные тексты других вредоносных или двойного назначения программ, из которых вирмейкер заимствовал фрагменты кода;
- антивирусное ПО различных производителей, на котором создатель вредоносной программы обязательно тестирует свою, а также средства для дизассемблирования и отладки;
- программные средства для управления вредоносными программами (многие из них работают по схеме «клиент-сервер», одна из частей внедряется на компьютер жертвы, а другая часть работает под непосредственным управлением злоумышленника);
- средства и следы тестирования работы вредоносных программ под различными вариантами ОС;
- следы контакта с заказчиками или пользователями вредоносной программы, передачи им экземпляров и документации, оплаты.
При распространении и применении вредоносных программ можно обнаружить следующие цифровые следы:
- средства и следы тестирования работы вредоносной программы под различными вариантами ОС;
- контакты с создателем или распространителем-посредником вредоносной программы;
- программные средства для управления вредоносной программой, данные о внедрениях этой программы к жертвам, результаты деятельности (пароли, отчеты о готовности, похищенные персональные данные);
- средства распространения вредоносной программы или контакты с теми, кто подрядился ее распространять.
Глава 2. Преступления с использованием компьютеров. Следы указанных преступлений
2.1 Компьютер как объект преступления
Существует четыре разновидности преступлений, где компьютер является объектом преступного посягательства:
1) изъятие средств компьютерной техники. В этой группе преступники ориентированы на получение чужого имущества. Примером данного вида преступления служит атака на компьютер посредством несанкционированного воздействия с целью получения доступа к хранящейся на нем информации, бесплатного использования системы или её повреждения.
Большую часть таких нарушений предполагает несанкционированное воздействие к системе, то есть её «взлом». Методики, используемые противниками, сводятся к двум разновидностям:
"Взлом" изнутри: преступник имеет физический доступ к терминалу, с которого доступна интересующая его информация и может определенное время работать на нем без постороннего контроля.
"Взлом" извне: преступник не имеет непосредственного доступа к компьютерной системе, но имеет возможность каким-либо способом (обычно посредством удаленного доступа через сети) проникнуть в защищенную систему для внедрения специальных программ, произведения манипуляций с обрабатываемой или хранящейся в системе информацией, или осуществления других противозаконных действий.
2) Хищение услуг. Сюда относят получение доступа к системе для бесплатного получения услуг.
Примером указанного преступления является использование компьютера для проникновения в коммутационную телефонную систему с целью незаконного пользования услугами междугородней связи.
Одним из наиболее распространенных преступлений данного вида является уивинг. Кража услуг происходит в процессе «запутывания следов». Это можно достичь различными способами, например, при помощи применения прокси-сервера, также удаленного доступа. Противник скрывает свое подлинное имя и местонахождение.
3) Повреждение системы. В данную группу входят преступления, совершаемые в целях разрешения или изменения данных. Объекты указанного вида преступлений - компьютеры, соединенные с сетью интернет, а также маршрутизаторы.
4) Программное несанкционированное воздействие. К данному виду преступлений относится применение вредоносных программ, а именно:
-троянские программы;
-компьютерные вирусы.
Все указанные выше преступления, связанные с использованием компьютерных систем, приводят к следующим видам несанкционированного воздействия:
- искажение информации;
- уничтожение информации;
- копирование информации;
- блокирование доступа к информации;
- утрата информации;
- уничтожение носителя информации;
- сбой функционирования.
2.2 Компьютер как орудие преступления
Компьютерные системы могут использоваться в качестве орудия преступлений двумя способами:
1. Средство совершения преступлений.
Большая часть данных преступлений совершается с использованием сети Интернет. К ним относятся: мошенничество с предоплатой, виртуальные финансовые пирамиды, азартные игры, распространение порнографических материалов.
2. Средство атаки на другие компьютерные преступлений.
Компьютер как орудие совершения преступлений. Большая часть данных преступлений совершается с использованием сети Интернет. К ним относятся: мошенничество с предоплатой, виртуальные финансовые пирамиды, азартные игры, распространение порнографических материалов.
Компьютер как средство атаки на другие компьютеры. Бывает, что компьютер является средством несанкционированного воздействия, а также средством атаки. В основном, атака на другой компьютер происходит с компьютера, находящегося в одной сети.
Существует две категории дистанционных преступлений:
1) Несанкционированное воздействие:
Преступник пытается воспользоваться «слабыми» местами в области обеспечения безопасности системы. Результатом может стать похищение или уничтожение информации, также использование поврежденной системы в качестве платформы, с которой он может совершать преступление, направленное на другие ЭВМ.
2) Отказ в обслуживании. Цель преступника при совершении данного вида преступления - выведение из строя системы.
2.3 Следы компьютерных преступлений и способы их обнаружения
Компьютерное преступление вызывает изменения в окружающей среде и самих элементах криминалистической структуры преступления. Эти изменения, понимаемые в широком смысле, и являются следами компьютерного преступления.
При совершении компьютерных преступлений образуются материальные, идеальные и социальные следы.
Материальные следы включают: следы-отображения, следы-предметы, следы-вещества.
Следы-предметы включают:
1. Сменные носители информации (дискеты, магнитные ленты, оптические диски, внешние винчестеры, карты флэш-памяти и т.д.) - могут содержать информацию, скопированную из информационной системы, вирусы, иные следы несанкционированного воздействия.
2. Аппаратно реализованные закладные устройства могут внедряться в устройство ЭВМ, сеть.
3. Устройства дистанционного съема информации.
4. Кабели и разъемы со следами посторонних подключений.
5. Устройства для уничтожения компьютерной информации.
6. Документы на бумажных носителях (проектно-конструкторское задание, инструкции по эксплуатации, распечатки результатов работы прикладного ПО, листинги программ и т.п. техническая документация)
Следы-вещества представлены, в первую очередь, различного рода красителями, используемыми в знакопечатающих устройствах.
При совершении компьютерных преступлений, помимо традиционных, образуется ряд следов, специфичных для данного вида преступлений - электронные доказательства (информационные следы).
Электронное доказательство - информация или данные, имеющие значение для расследования преступлений, которые хранятся или передаются посредством электронных устройств.
В настоящее время мировой практикой борьбы с компьютерными преступлениями выработан ряд принципов работы с электронными доказательствами:
1) должны быть установлены стандартные правила работы с ЭД;
2) эти правила должны быть едины для всех правоохранительных органов;
3) эти правила следует регулярно пересматривать (чтобы идти в ногу с прогрессом);
4) все варианты этих правил должны храниться в письменной форме;
5) следует использовать соответствующее ПО и АО;
6) все манипуляции с компьютерными данными должны быть задокументированы;
7) любые действия, которые могут изменить, повредить или уничтожить информацию, должны совершаться при производстве экспертизы.
Электронные следы включают:
1. Появление новых файлов или уничтожение имевшихся файлов. Уничтоженные файлы в целом ряде случаев можно восстановить.
2. Изменение содержимого файлов.
3. Изменение атрибутов файлов.
4. Временные файлы (temp, tmp).
5.Регистрационные файлы (лог-файлы) - файлы, в которые записываются все операции производимые в системе. Регистрационные файлы формируются на уровне операционной системы, баз данных и отдельных программ.
Компьютер и компьютерная сеть может иметь специально установленные собственником программы, призванные фиксировать операции, производимые пользователями (клавиатурные или экранные шпионы).
Для контроля за работой WindowdXP, а также за конфигурацией всех приложений, установленный в системе, можно использоватье реестр WindowdXP.
В реестре хранятся данные, которые необходимы для правильного функционирования Windows. К ним относятся профили всех пользователей, сведения об установленном ПО и типах документов, которые могут быть созданы каждой программой, информация о свойствах папок и значках приложений, а такжен установленном оборудовании и используемых портах.
Хранится реестр в виде множества двоичных файлов.
Для работы с реестром необходимо использовать специальные программы. Они собирают все файлы реестра воедино и отображают их содержимое в виде единой иерархической структуры.
Стандартной программой, предназначенной для работы с реестром, входящим в состав WindowsXP, является программа regedit.exe или regedit32.exe. Располагается эта программа в каталоге, в котором была установлена ОС.
Например, с помощью реестра были исследованы хранящиеся данные в ЭВМ на предмет наличия троянских программ:
Запуск программы regedit.exe(См.Рис.1)
Рис. 1. Запуск программы
В открывшемся окне выбрана ветвь HKEY_LOCAL_MACHINE и далее Software\Microsoft\WindowsNT\CurrentVersion\Winlogon(См.Рис. 2)
Рис. 2. Выбранная ветвь
В правой половине открытого окна программы regedit.exe появился список ключей (См. Рис. 3)
Рис. 3. Список ключей
Найден ключ Userinit(REG_SZ) и проверено содержимое. По умолчанию (исходное состояние) - этот ключ содержит следующую запись C:\WINDOWS\system32\userinit.exe(См. Рис. 4)
В указанном ключе дополнительные записи отсутствуют, это говорит о том, что троянских программ нет.
Рис. 4. Пример просмотра ключа
Что касается защиты сети Интернет от детской порнографии, пропаганды суицида и наркотиков в Интернете, существуетПриказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), Федеральной службы Российской Федерации по контролю за оборотом наркотиков (ФСКН России), Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека (Роспотребнадзор) от 11 сентября 2013 г. N 1022/368/666 "Об утверждении критериев оценки материалов и (или) информации, необходимых для принятия решений Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, Федеральной службой Российской Федерации по контролю за оборотом наркотиков, Федеральной службой по надзору в сфере защиты прав потребителей и благополучия человека о включении доменных имен и (или) указателей страниц сайтов в информационно-телекоммуникационной сети "Интернет", а также сетевых адресов, позволяющих идентифицировать сайты в сети "Интернет", содержащие запрещенную информацию, в единую автоматизированную информационную систему "Единый реестр доменных имен, указателей страниц сайтов в информационно-телекоммуникационной сети "Интернет" и сетевых адресов, позволяющих идентифицировать сайты в информационно-телекоммуникационной сети "Интернет", содержащие информацию, распространение которой в Российской Федерации запрещено". В Приложении определены следующие критерииСм: http://www.rg.ru/"Российская газета" - Столичный выпуск №6238 (262):
«…1.1. Любое изображение какими бы то ни было средствами ребенка, совершающего реальные или смоделированные откровенно сексуальные действия, или любое изображение половых органов ребенка в сексуальных целях.
1.2. Фото-, видео-, аудио- и (или) текстовая информация о производстве, распределении, распространении и (или) передаче, импорте, экспорте, предложении и (или) предоставлении, продаже или хранении детской порнографии, приобретении детской порнографии для себя или другого лица.
1.3. Информация, объявления о привлечении несовершеннолетних в качестве исполнителей для участия в зрелищных мероприятиях порнографического характера, содержащие сведения о местах проведения зрелищных мероприятий либо контактную информацию (телефон подвижной или фиксированной связи, адрес электронной почты или почтовый адрес), включая рекламу, афиши, статьи, аудиовизуальные произведения, содержащие указанную информацию.
1.4. Фото-, видео-, аудио- и (или) текстовая информация, направленная на возбуждение сексуальных чувств по отношению к несовершеннолетним либо оправдывающая сексуальное поведение в отношении несовершеннолетних…» См: Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), Федеральной службы Российской Федерации по контролю за оборотом наркотиков (ФСКН России), Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека (Роспотребнадзор) от 11 сентября 2013 г. N 1022/368/666
Глава 3. Программно-технические средства защиты информации, а также получения предварительной информации о компьютерных преступлениях
3.1 Общие принципы применения программно-технических средств защиты информации
Программно-технические меры, то есть меры, направленные на контроль компьютерных сущностей - оборудования, программ или данных, образуют последний и самый важный рубеж информационной безопасности.
Центральным для программно-технического уровня является понятие сервиса безопасности. Следуя объектно-ориентированному подходу, при рассмотрении информационной системы с единичным уровнем детализации мы увидим совокупность предоставляемых ею информационных сервисов. Чтобы они могли функционировать и обладали требуемыми свойствами, необходимо несколько уровней дополнительных (вспомогательных) сервисов - от СУБД и мониторов транзакций до ядра операционной системы и оборудования.
К вспомогательным относятся сервисы безопасности среди необходимо выделить: универсальные, высокоуровневые, допускающие использование различными основными и вспомогательными сервисами. Некоторые вспомогательные сервисы:
- идентификация и аутентификация;
- управление доступом;
- протоколирование и аудит;
- шифрование;
- контроль целостности;
- экранирование;
- анализ защищенности;
- обеспечение отказоустойчивости;
- обеспечение безопасного восстановления;
- туннелирование;
- управление.
Данного набора сервисом, в принципе, достаточно для построения надежной защиты на программно-техническом уровне, но при соблюдении целого ряда дополнительных условий (отсутствие уязвимых мест, безопасное администрирование и так далее).
Для проведения классификации сервисов безопасности и определения их места в общей архитектуре меры безопасности можно разделить на следующие виды:
- превентивные, препятствующие нарушениям ИБ;
- меры обнаружения нарушений;
- локализующие, сужающие зону воздействия нарушений;
- меры по выявлению нарушителя;
- меры восстановления режима безопасности.
Большинство сервисов безопасности попадает в число превентивных. Аудит и контроль целостности способны помочь в обнаружении нарушений; активный аудит, кроме того, позволяет запрограммировать реакцию на нарушение с целью локализации и прослеживания. Направленность сервисов отказоустойчивости и безопасного восстановления очевидна. Наконец, управление играет инфраструктурную роль, обслуживая все аспекты ИС.
Сервисы безопасности сами по себе не могут гарантировать надежность программно-технического уровня защиты. Только проверенная архитектура способна сделать эффективным объединение сервисов, обеспечить управляемость информационной системы, ее способность развиваться и противостоять новым угрозам при сохранении таких свойств, как высокая производительность, простота и удобство использования.
Три принципа:
- необходимость выработки и проведения в жизнь единой политики безопасности;
- необходимость обеспечения конфиденциальности и целостности при сетевых взаимодействиях;
- необходимость формирования составных сервисов по содержательному принципу, чтобы каждый полученный таким образом компонент обладал полным набором защитных средств и с внешней точки зрения представлял собой единое целое (не должно быть информационных потоков, идущих к незащищенным сервисам).
С практической точки зрения наиболее важными являются следующие принципы архитектурной безопасности:
- непрерывность защиты в пространстве и времени, невозможность миновать защитные средства;
- иерархическая организация ИС с небольшим числом сущностей на каждом уровне;
- усиление самого слабого звена;
- невозможность перехода в небезопасное состояние;
- минимизация привилегий;
- разделение обязанностей;
- разнообразие защитных средств;
- простота и управляемость информационной системы.
3.2 Последовательность расследования преступлений, совершаемых при помощи открытой телекоммуникационной сети «Интернет»
Информация, добываемая и используемая в ходе расследования преступлений представляет собой сведения о лицах, предметах, документах, фактах, событиях, явлениях и процессах, получаемые в порядке, предусмотренном оперативно-розыскным законом и ведомственными нормативными актами по тактике оперативно-розыскной деятельности, зафиксированные на материальных носителях с реквизитами, позволяющими ее идентифицировать, сосредоточиваемая в информационных системах и делах оперативного учета. Данная информация образует информационный ресурс оперативных подразделений органов, осуществляющих оперативно-розыскную деятельность, отличающийся конфиденциальным характером. Информация, циркулирующая в оперативно-розыскном процессе, призвана обеспечить решение задач ОРД и содействовать разрешению проблем уголовного процесса.
Получение предварительной информации о противоправных деяниях, совершаемых при помощи открытой телекоммуникационной сети (ОТКС) «Интернет», можно разделить на две основные группы:
1. Получение сообщений, заявлений, обращений граждан о противоправных деяниях, написанных при помощи электронных форм, расположенных на официальных сайтах МВД России, а также при обращении граждан в территориальные органы внутренних дел.
Пример: гражданин G обратился в полицию при помощи электронной формы, расположенной на официальном сайте МВД. В своем обращении он указывает, что им была создана онлайн игра и размещена на сервере хостинг-центра. Своей знакомой он предоставила данные для авторизации через консоль администратора, для осуществления графического оформления. Ее друг, который имел корыстные намерения, попросил загрузить файл, который явился троянской программой типа «бэкдор» (Backdoor -- чёрный вход, задняя дверь) на сервер. После этого он скопировал исходные коды онлайн игры и все базы данных пользователей. Следующим шагом злоумышленник оформил доменное имя и разместил копию игры.
Когда автор игры обнаружил данный инцидент, он нашел троянскую программу на своем сервере и модифицировал ее, в результате чего ему удалось получить электронный почтовый ящик злоумышленника, на который отправлялась информация, а также установить IP-адрес, с которого злоумышленник обращался к своему «бекдору».
2. Получение информации от граждан, оказывающих негласное содействие сотрудникам полиции.
В основном, информация, предоставляемая гражданами, оказывающих негласное содействие сотрудникам полиции, касается совершением мошеннических действий в сети интернет, так как они зарегистрированы на тематических сайтах и форумах.
3. Третью группу формирует личный сыск сотрудника подразделения, в чью компетенцию входит рассмотрение компьютерных преступлений.
Наиболее широко личный сыск применятся при обнаружении фактов распространения в сети Интернет детской порнографии.
Ключевая особенность компьютерных преступлений заключается в том, что их реализации осуществляется при помощи технических средств, таких как персональный компьютер, мобильные или портативные устройства. Помимо этого необходимо наличие у них доступа в ОТКС «Интернет». Данную возможность пользователям предоставляют Интернет-провайдеры. Каждому устройству выделяется IP-адрес, по которому происходит соединение со всемирной сетью «Интернет». При этом происходит регистрация в Log-файле, кому и когда предоставлялся определенный IP-адрес. Поэтому сбор предварительной информации направлен в первую очередь на установления IP-адреса злоумышленника.
Учитывая изложенное, следует представить схему, отражающую последовательность расследования преступлений, совершаемых при помощи ОТКС «Интернет» (См. Схему 1):
Схема.1.Последовательность расследования преступлений, совершаемых при помощи ОТКС «Интернет»
Рассмотрим последовательно каждый элемент схемы проведения расследования компьютерного преступления:
1. Установление IP-адреса. Данная информация устанавливается при помощи осуществления официального запроса в организации, предоставляющие различные услуги в сети Интернет: почтовые сервисы (mail.ru, yandex.ru, rambler.ru), социальные сети («ВКонтакте», «Одноклассники»), платежные системы («Яндекс.деньги», «QIWI»), регистраторы доменов (REG.RU, RU-CENTER). Помимо самого IP-адреса, необходимо установить точное время его использования.
Однако стоит отметить тот факт, что опытные пользователи скрывают свои истинные IP-адреса при помощи использования proxy-серверов, что затрудняет дальнейшее получение информации о противоправном деянии. Поэтому используют другие методы для выявления лица, совершившего уголовно-наказуемое деяние
2. Провайдер. Установив, с какого IP-адреса осуществлялся доступ к Интернет-ресурсу, определяем при помощи бесплатного и общедостпупного сервиса «Whois?» (whois-service.ru, 2ip.ru/whois/) какому провайдеру принадлежит IP-адрес (См.рис.5).
Рис.5. Данные, предоставляемые сервисом «Whois»
Помимо названия провайдера, данный сервис предоставляет его контактную информацию.
3. Местонахождение компьютера. Провайдер заключает с физическим лицом договор о предоставлении услуг связи. Поэтому у него есть регистрационная база всех его пользователей. Помимо этого, у каждого провайдера ведутся Log-фалы, в которые записывается, какому пользователю, в какой момент времени, выделялся IP-адрес.
4. Компьютер. Для установления всей информации, которая может иметь отношении к совершенному компьютерному преступлению, средства вычислительной техники направляют на компьютерно-техническую экспертизу либо исследование. В зависимости от совершенного компьютерного преступления, перед экспертом необходимо поставить конкретные вопросы, ответы на которые будут иметь доказательное значение о причастности владельца компьютера к совершению им незаконных действий при помощи ОТКС «Интернет».
5. Личность. Заключающим моментом является установление личности, в чьем пользовании находился компьютер в момент совершения компьютерного преступления.
3.3 Применение типологической схемы расследования преступлений, совершаемых в сети «Интернет» в практическом подразделении МВД России.
Данная схема сбора первичной информации была применена на практике при рассмотрении материала проверки по обращению гр. N.
Фабула противоправного деяния: неустановленное лицо, используя аккаунт в социальной сети, под видом несовершеннолетнего, познакомилось с дочерью гр. N. В ходе общения с несовершеннолетней гр. K, неустановленное лицо попросило выслать ему фотографии интимного содержания. После чего, гр. K, выполнила его просьбу. Заполучив данный фотоматериал, неустановленное лицо разместило их на странице своего аккаунта, тем самым предоставив свободный доступ к их просмотру и возможность их загрузки. Его действиями была нарушена диспозиция п. г, ч. 2, ст. 242.1 УК РФ.
Диспозиция данной статьи затрагивает половую неприкосновенность несовершеннолетних, поэтому необходимо провести ОРМ «Сбор образцов для сравнительного исследования», т.е. загрузить размещенные фотографии на оптический носитель в присутствии двух представителей общественности, провести документирование факта загрузки, опечатать оптический носитель способом, исключающим доступ к нему, и направить для проведения исследования. При этом необходимо поставить перед экспертом ряд вопросов, на которые он должен ответить: имеются ли на представленных фотографиях материалы порнографического содержания? Изображены ли на представленных фотографиях лица несовершеннолетнего возраста?
Сбор предварительной информации в данном случае был начат с направления официального запроса в социальную сеть. В ответ на него Администрация данного Интернет-ресурса предоставила информацию, что указанный пользователь зарегистрировался под никнеймом «Иванов Иван», 01.01.**** года в 00:00:00 по московскому времени, используя IP-адрес 192.168.*.* Также был представлен список времени, даты и IP-адресов, с которых осуществлялось администрирование данного аккаунта.
При помощи сервиса «Whois»был установлен провайдер, которому принадлежит полученный IP-адрес. В ответ на запрос, администрация организации, предоставляющей услуги связи сообщила, что указанный в запросе IP-адрес01.01.**** года в 00:00:00 по московскому временибыл выделен для доступа в ОТКС «Интернет» абоненту, проживающего по адресу: город S, ул. Свободы, д. 1, кв. 2. Данный абонент был зарегистрирован при оформлении договора как гр.S.
Проведя установочный мероприятия, а именно наведение справок через ЦАСБ (Центральное адресно-справочное бюро) о лицах, зарегистрированных по данному адресу.
В ходе проведения ОРМ «Обследование помещений, зданий, сооружений, участков местности и транспортных средств» был обнаружен и изъят компьютер, с которого осуществлялся доступ в интернет и он был направлен на компьютерно-техническую экспертизу.
Данный компьютер принадлежал гр.Q, сожителю гр. S.
Вся информация, а также заключения экспертов служит доказательной базой для привлечения гр. Q к уголовной ответственности.
Учитывая вышеизложенное, можно сделать вывод, что предложенная схема по сбору предварительной информации о компьютерном преступлении является эффективной и служит основой для рассмотрения типологического состава преступления.
Рассматривая преступления, касающиеся диспозиции статьи 159 УК РФ, стоит отметить изобретательность злоумышленников в рамках применения нестандартных способов для совершения ими противоправного деяния. Для получения информации по данным фактам требуется больше времени и специальных познаний в различных областях. Одним из главных методов, которым пользуются злоумышленники, является социальная инженерия. При общении с «жертвой» они стараются расположить ее к себе и получить ее доверие.
Наиболее часто социальная инженерия применятся при осуществлении продажи товаров или услуг в сети Интернет.
В настоящее время активно развивается следующий способ совершения мошеннических действий: в преступной группе создаются несколько подгрупп, которые выполняют разные функции и они знают о существовании других подгрупп, но лично контакт между собой не осуществляют. Содействие осуществляется через третьих лиц. Функции подразделяются на следующие:
1. Организаторы. Осуществляют взаимодействие подгрупп между собой, прибегая к помощи третьих лиц.
2. «Отдел кадров». Осуществляет поиск в сети Интернет лиц, обладающих специальными познаниями в сфере компьютерной информации, а также определенными навыками, требующихся для определенных подгрупп.
3. Подгруппа «хакеры». В их обязанности входит поиск и «взлом» аккаунтов распространенных социальных сетей, а также учетных записей «Skype»,«ICQ» и т.п.
4. Подгруппа «социальной инженерии». Используя предоставленные данные, они осуществляют несанкционированную авторизацию через аккаунт пользователя и исследуют диалоги, которые ведутся с другими пользователями. Целью изучения является получение информации о том, кому доверяет «взломанный» пользователь. После этого от его лица ведется диалог с просьбой перевести некоторую сумму денежных средств на номер банковской карты, либо на иной счет платежной системы виртуальной валюты.
Подобные документы
Система, принципы и задачи деятельности таможенных органов. Взаимоотношения таможенных органов с другими государственными органами. Правовые основы и проблемы взаимодействия правоохранительных органов в сфере предупреждения таможенных преступлений.
курсовая работа [105,7 K], добавлен 22.12.2013Сущность и понятие правоохранительной деятельности. Предупреждение тяжких преступлений против жизни и здоровья, их уголовно-правовая характеристика. Анализ особенностей убийства и квалификация преступлений, связанных с причинением тяжкого вреда здоровью.
дипломная работа [86,2 K], добавлен 25.12.2010Правовые аспекты раскрытия и тактические особенности расследования преступлений в местах лишения свободы. Взаимодействие следователя, органов, исполняющих лишение свободы и других правоохранительных органов при расследовании пенитенциарных преступлений.
дипломная работа [105,2 K], добавлен 17.09.2011Научная разработка методики расследования уголовных дел о вымогательстве, обусловленная потребностями практики. Преступная деятельность по вымогательству и деятельность правоохранительных органов по раскрытию, расследованию и предотвращению преступлений.
курсовая работа [67,4 K], добавлен 14.02.2009Правовые основы взаимодействия служб правоохранительных органов. Закономерности формирования и реализации организационных и правовых отношений служб правоохранительных органов. Основные методы организационно-управленческой деятельности по уголовным делам.
курсовая работа [34,2 K], добавлен 26.09.2012Деятельность правоохранительных органов по предотвращению, выявлению и раскрытию преступлений программно-техническим комплексом автоматизированного карточного учета спецконтингента в УИИ. Поиск информации с помощью карточки поиска СПС "Консультант Плюс".
контрольная работа [23,4 K], добавлен 11.06.2011Концепция национальной безопасности Российской Федерации. Понятие, значение и характеристика форм профилактической деятельности органов дознания. Сущность и содержание представления об устранении причин и условий, способствующих совершению преступлений.
реферат [26,0 K], добавлен 23.09.2008Преступления в сфере компьютерной информации. Основные понятия и классификация компьютерных преступлений, методы их предупреждение. Методика раскрытия и расследования компьютерных преступлений. Статьи российского законодательства, примеры уголовных дел.
презентация [581,1 K], добавлен 26.05.2012Деятельность правоохранительных органов и иных организаций, осуществляющих контроль над правонарушениями, преступлениями. Основное содержание исполнительно-распорядительной деятельности полиции. Виды методов и форм правоохранительной деятельности ОВД.
курсовая работа [38,0 K], добавлен 26.04.2015Компьютерная и информационная безопасность как объект уголовно-правовой охраны, история становления данной группы преступлений. Законодательная база ответственности по преступлениям. Изучение элементов составов конкретных компьютерных преступлений.
курсовая работа [51,6 K], добавлен 09.09.2009