Центр исследования компьютерной преступности

home контакты

Тактика сбора и исследования доказательственной информации с компьютера, подключенного к сети

Дата: 25.01.2005
Источник: www.crime-research.ru
Автор: Алексей Турута


etc/eye.jpgСовременное развитие информационных технологий привело к появлению новых форм противоправной деятельности, связанных с использованием компьютеров и компьютерных сетей для совершения и сокрытия преступлений.

Компьютерные сетевые технологии активно применяются в различных сферах общественной жизни: экономике, политике, культуре. Они позволили эффективно соединить различные ресурсы, базы данных, а также системы управления процессами.
Однако чем активнее компьютерные сети используются для решения повседневных задач, «связывая» в единой информационной среде системы управления финансами, персоналом, принятия решений, тем в большей степени возникает опасность использования их для противоправных действий.

Согласно данным Министерства Внутренних Дел Украины, за 6 месяцев 2004 года возбуждено 95 уголовных дел, связанных с компьютерными преступлениями; для сравнения: в 2003 году – 122 уголовных дела; в 2002 – 25 уголовных дел; в 2001 – 7 уголовных дел.

Для сравнительного анализа, по данным МВД России за 6 месяцев 2004 года возбуждено 4995 уголовных дел, связанных с компьютерными преступлениями; в 2003 году – 7053 уголовных дел; в 2002 – 3782 уголовных дел; в 2001 – 1619 уголовных дел [1]. Количество уголовных дел в РФ в десятки раз превосходят аналогичные показатели в Украине, однако заметна тенденция уменьшения разницы (57 раз в 2003, 151 в 2002, 231 в 2001), что, скорее, свидетельствует об увеличении регистрации преступлений на территории Украины.

С использованием компьютерных сетей совершаются как преступления в сфере компьютерной информации, так и традиционные преступления (хищения, вымогательство, мошенничество и т.д.). Возможность совершать преступные действия, находясь на значительном удалении от места совершения преступления, быстрота совершения и возможность остаться не только не замеченным при совершении преступления, но и не обнаруженным впоследствии, являются характерными особенностями преступлений совершенных с использованием компьютерных сетей (КС). Кроме того, КС применяются для хранения (сокрытия) информации, имеющей доказательственное значение.

Компьютерные сети по различным критериям классифицируются на глобальные, локальные, региональные, корпоративные, учебные, файлообменные, домашние и т.д. Однако все сети объединяет то, что в них может находиться криминалистически значимая компьютерная информация. Компьютерные сети используются как объект посягательства, орудие совершения преступления и как средства сокрытия следов преступлений:
- компьютерных преступлений;
- иных (экономических, распространение порнографии, мошенничество и др.).

В Украине пока отсутствует достоверная статистика о том, какая часть преступлений в сфере компьютерной информации совершается путем использования сетей ЭВМ. Но по данным зарубежных источников можно заключить, что примерно 70-80% правонарушений, совершенных с использованием сетевых технологий, приходится на преступную деятельность в сети Интернет, а остальные - на преступную деятельность из внутренней сети. Динамика преступлений, прослеженная Computer Security Institute и Federal Bureau of Investigation (США) за 1996-2001 годы, показывает, что неуклонно растет число преступлений в сети Интернет, при этом число внутренних воздействий и противоправных воздействий путем подключения через модемы сокращается.

Задачей исследования является разработка методики поиска и исследования информации в сети при проведении следственных действий и КТЭ.
Проблема расследования и раскрытия компьютерных преступлений сейчас популярна и обсуждается во многих научных работах. Однако вопросы сбора (поиска, фиксации, изъятия) и исследования компьютерной информации зачастую освещаются недостаточно.

К примеру, темы юридических диссертаций, защищенных в Украине, которые могут в той или иной степени касаться исследуемого вопроса:
– по специальности 12.00.09 (Криминалистика): Бирюков В.В. «Використання комп'ютерних технологій для фіксації криміналістично значимої інформації у процесі розслідування» 2001р.;
– по специальности 12.00.03 (Гражданское право): Селіванов М.В. «Захист права на комп'ютерну програму (авторсько-правовий аспект)» 2002р.;
– по специальности 12.00.08 (Уголовное право): Карчевський М.В. «Кримінальна відповідальність за незаконне втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем та комп'ютерних мереж (аналіз складу злочину)» 2003р.; Азаров Д.С. «Кримінальна відповідальність за злочини у сфері комп'ютерної інформації» 2003р.; Розенфельд Н.А. «Кримінально-правова характеристика незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем та комп'ютерних мереж» 2003р. [2].

В Российской Федерации за последние 3 года только по специальности 12.00.09 (уголовный процесс, криминалистика и судебная экспертиза; оперативно-розыскная деятельность) защищено более 15 работ.

В публикациях национальных авторов внимание уделяется, преимущественно, уголовно-правовой квалификации компьютерных преступлений, разработке оперативных мероприятий для получения ориентирующей информации, разработке рекомендаций следователю для проведения следственных действий, при помощи специалиста.

Недостаточно уделяется внимания вопросам поиска криминалистически значимой информации и преобразованию её в доказательства. Отметим, что при расследовании компьютерных преступлений, так и других преступлений, сопряженных с компьютерной техникой, связано со сбором и исследованием информации в компьютере и сети.

Учитывая отсутствие, в достаточном количестве печатных работ по данной теме, целесообразно использовать не только материалы диссертационных исследований, а и различные материалы Интернет порталов, др. исследований. Интерес могут представлять как национальные материалы, так и материалы исследований других государств, правовая система, которых идентична украинской, по рассматриваемым вопросам.

Исследование уголовных дел
Рассмотрим выдержки уголовных дел из зарубежной практики. Одним из распространенных преступлений является использование чужих идентификаторов для получения доступа к ресурсам (выход в сеть Интернет, файлам, почте и др.).

1. Например, в уголовном деле (УД) А. незаконно получив от своего знакомого N информацию о логине и пароле доступа в сеть Интернет, принадлежащий с. Алманчиково, Батыревского района, ЧР по предварительному сговору с N, с целью причинения ущерба путем обмана в период с сентября 2002 года по январь 2003 года, находясь у себя дома с помощью компьютера, программного обеспечения, обманным путем использовал, указанный чужой логин и пароль при соединении через телефон с сетью Интернет через провайдера ЧТТС, не оплатив услуги связи за 13870 секунды работы в сети Интернет [3].

2. В УД А. работая лаборантом информационно-вычислительного центра, /далее ИВЦ/, в марте 2000 г. умышленно, используя свое служебное положение, обладая достаточными знаниями в области пользования компьютерной техники и опытом работы в глобальной сети Интернет, а так же зная по роду своей работы логины и пароли ИВЦ для доступа в сеть Интернет и имея доступ к ЭВМ и глобальной сети Интернет через фирму-провайдера, не обеспечил конфиденциальную сохранность логинов и паролей, являющихся коммерческой тайной, и незаконно, из корыстных побуждений, с целью причинения крупного ущерба фирме-провайдеру, использовал логины и пароли как сам, так и разглашал их третьим лицам, без согласия на то законного владельца ИВЦ [4].

3. В ином случае, преступник самостоятельно добывает данные для выхода в глобальную сеть. Так П., работая в должности инженера-программиста на телефонном заводе, в декабре 1999 года скопировал из Интернета программу типа «троянский конь», предоставляющую полный доступ к компьютеру, зашел на его жесткий диск, скопировал из каталога C:\WINDOWS два файла: - user.dat и имя.pwl, на свой компьютер.

С помощью программы определения паролей, определил пароль подключения к сети Интернет РУФПС. Достоверно зная имя и пароль РУФПС, в период с декабря 1999 года по 5 февраля 2000 года систематически подключался к сети Интернет за счет РУФПС, чем причинил материальный ущерб РУФПС на сумму 773 рубля 34 копейки [5].

4. В некоторых случаях деяния преступника могут содержать несколько составов преступлений. Так Ш., работая администратором группы автоматизации в г. Бирске, восстановил пароль и логин, принадлежащие АТП. Периодически, с 01.06.2000г. по 23.01.2001 г., в дневное и ночное время, по 6 телефонам Бирской ГТС, неправомерный доступ в глобальную сеть «Интернет» и тем самым:
– блокировал работу абонента ИКЦ - АТП в сети «Интернет»;
– нарушал работу сети ЭВМ ИКЦ, выразившуюся в ограничении работы легальных пользователей;
– копировал охраняемую законом компьютерную информацию, выразившейся в переносе информации с одного физического носителя на жесткий диск системного блока своего компьютера помимо воли собственника;
– осуществлял модификацию охраняемой законом статистической информации законного пользователя [6].

5. На исследование судебному эксперту в УД [7] поставлен вопрос: Мог ли осуществляться и осуществлялся ли при помощи данной ЭВМ доступ в глобальную компьютерную сеть Интернет? Если да, то через какого провайдера (провайдеров) он осуществлялся и при помощи каких имен пользователей (логинов)?

В ответе эксперт указывает: …найдены идентичные фрагменты реестра [8] ОС Windows, которые содержат записи, относящиеся к настройкам программы "Dial-up connection" - "Удаленный доступ к сети"; данная программа в ОС Windows осуществляет подключение компьютера к Интернету через телефонную линию, используя модем провайдера… В данных...

Добавить комментарий
2006-04-26 07:52:58 - Да... Для реферата на школьную информатику... Samuray
2005-12-31 06:31:05 - Привелчь злодея можно только на основе... Чайник
Всего 2 комментариев


Copyright © 2001–2007 Computer Crime Research Center

CCRC logo
Рассылка новостей


Rambler's Top100