Тактика сбора и исследования доказательственной информации с компьютера, подключенного к сети
Дата: 25.01.2005Источник: www.crime-research.ru
Автор: Алексей Турута
... линию, используя модем провайдера… В данных секторах обнаружен HTML-код, представляющий собой гипертекстовую страницу под заголовком "Biography" с указанием некоторых личных данных на "Данилу".Предложенные документы указывают на то, что для расследования преступлений с различными составами, необходимо решать одинаковые задачи:
– установить криминалистически значимую информацию, указывающую на использование на данном компьютере заданных идентификаторов;
– установить наличие ПО и реальную возможность использовать (или установить факт использования) искомых идентификаторов.
Рассмотрим ряд документов из уголовных дел, связанных с распространением вирусов.
1. Так, Ф. 14 октября 1997 года, общаясь посредством двухсторонней модемной связи (chatlog) с К., разрешил ему копирование вредоносных программ для ЭВМ из файловой подобласти «Вирусы». К. скопировал подборку вредоносных программ «dir-2.zip», «viruses!.rar», «viruses.arj», «viruses.01» и «viruses.02». Все вместе они содержались в файловой подобласти «Вирусы» открытыми для общего доступа.
26 февраля 1998 года, воспользовавшись предоставленным Ф. доступом к файловой подобласти "Вирусы" BBS «Hard'n'Heavy», Б. скопировал вредоносные программы для ЭВМ из файловой подобласти «Вирусы» «viruses.arj», «viruses.01» и «viruses.02» [9].
2. Все большей популярностью пользуются вирусы-черви, способные распространяться самостоятельно. Так, несовершеннолетний N с целью получения незаконного доступа к компьютерной информации о чужих паролях доступа в сеть Интернет, для её использования в личных целях, не оплачивая при этом услуг связи с Интернет, в период с 28 февраля по 1 марта 2002 года, распространил по глобальной сети Интернет вредоносные программы для ЭВМ. Используя для отправки адрес своего электронного почтового ящика, зарегистрированного в Интернете, отправил на почтовый ящик, принадлежащий гр. M, письмо ложного содержания с прикрепленными к ним файлами, содержащими в себе вредоносные программы для ЭВМ. Эти вредоносные программы определяются антивирусной программой AVP 32 Лаборатории Касперского как вирус-троян "Trojan.PSW.M2.14", имеющий своей функциональной особенностью несанкционированное копирование информации о пользователе [10].
В таких делах возникает необходимость решать следующие задачи:
– установить функции исследуемого ПО;
– определить область хранения, чтения и записи данных (внутренние носители, съемные носители информации и удаленные ресурсы).
Отметим, что исследование удаленных ресурсов необходимо проводить без вычленения компьютера из объективной обстановки (т.е. сети).
Рассмотрим преступления, связанные с несанкционированным копированием или незаконным распространением информации.
1. Так, в УД № 1-379 А., используя язык программирования Perl, создал программу для ЭВМ sendsms.pl, предназначенную для массовой рассылки коротких текстовых сообщений (SMS-сообщений) абонентам, заведомо приводящую к несанкционированному блокированию, копированию информации, нарушению работы сети ЭВМ.
В результате незаконных действий А. компьютерная программа sendsms.pl работала 23 мая 2003 г. в период с 00 часов 29 минут 32 секунд до 02 часов 46 минут 11 секунд. За этот период времени абоненты Челябинского фрагмента сети в количестве 11261 человек получили SMS-сообщения нецензурного содержания.
В результате незаконных действий А. компьютерная программа sendsms.pl работала 24 мая 2003 г. в период с 01 часов 17 минут 20 секунд до 01 часов 31 минуты 11 секунд. Отправлено 3887 SMS-сообщения нецензурного содержания [11].
2. А в УД № 011678 Ф., будучи с 5 марта 1997 года работником региональной сети передачи данных телефонно-телеграфной станции в должности инженера-программиста, получил от руководства служебное задание на создание начальной версии ВЭБсервера, для чего руководством ему было предоставлено право неограниченной по времени работы в глобальной сети «Интернет» (Internet) с рабочего места.
Без ведома руководства ОАО и вопреки полученному служебному заданию разместил на данной странице около 30 графических файлов, содержащих фотографии эротического характера и похожие на порнографию [12].
В преступлениях, связанных с несанкционированным копированием или незаконным распространением информации, возникают следующие задачи:
– искать неизвестную информацию;
– выявлять неизвестные (нестандартные) программы.
Нередко компьютерные сети используются при совершении некомпьютерных (иных) преступлений.
1. Группа лиц, вступила в предварительный сговор, направленный на хищение ликероводочной продукции в крупных размерах.
В осуществление преступного замысла Ч. решил использовать свое служебное положение – должность главного специалиста службы сбыта и маркетинга, которую он занимал на предприятии с 05.06.98г. Зная порядок ввода информации в локально-вычислительную сеть для последующего получения продукции предприятия с отсрочкой платежа, Ч., находясь в помещении службы сбыта фирмы 28 декабря 1998 года в 13 часов 30 минут, проник в локально-вычислительную сеть ЭВМ ООО где:
– уничтожил в списке клиентов фирмы запись «281» – номер договора с хлебокомбинатом от 05.02.1998г.
– создал заведомо ложную запись в реестре клиентов фирмы, а именно: в графе реестра «наименование организации» ввел «ООО «Предприятие»; в графе «Область» – «Архангельская», в графе «Район» – «Архангельский»; в графе «идентификационный номер» - «2901071248»; в графе «почтовый индекс» - «165827»; … … … в графе «Ликероводочные - срок оплаты» – «10», что явилось основанием для отгрузки фирмой ликероводочной продукции на сумму 72805 рублей.
30 декабря 1998 года в 12 часов водка была похищена в количестве 4000 бутылок в ящиках всего на сумму 72805 рублей соисполнителями преступления путем документального получения гражданином К. от имени ООО «Предприятие» [13].
При расследовании таких преступлений необходимо решать следующие задачи:
– выявлять криминалистически значимую информацию в КС;
– выявлять место хранения и обработки данных, в случаях применения технологий распределенного хранения и обработки данных.
Задачи исследования
В результате рассмотрения фрагментов документов уголовных дел, необходимо сформулировать общие задачи исследования, которые решаются при сборе и исследовании криминалистически значимой информации.
В зависимости от целей поиска необходимо:
– выявлять заведомо известную информацию;
– выявлять неизвестную информацию.
В зависимости от области хранения информации:
– исследовать информацию на локальных носителях, связанную с процессами компьютера;
– исследовать информацию, существующую в компьютерной сети.
В зависимости от объекта исследования:
– исследовать компьютерную сеть;
– исследовать информацию в компьютерной сети.
Механизм следообразования
Для решения задач поиска криминалистически значимой информации необходимо рассмотреть механизм следообразования в компьютерных сетях.
След – любые изменения, связанные с совершенным преступлением.
Протокол взаимодействия в сети – набор команд, ключевых последовательностей, правил обеспечивающих взаимодействие устройств и гарантирующих одинаковое понимание, передаваемых последовательностей, как отправителем – так и приемником.
Компьютер характеризуется аппаратным обеспечением и программным обеспечением.
При воздействии одного компьютера в сети на другой возникают следы, отображающие взаимодействие. Аппаратное обеспечение характеризуется протоколами взаимодействия, наличием устройств для проводных и беспроводных соединений; наличием установленных на компьютере адаптеров для использования линий связи.
К аппаратным протоколам могут быть отнесены протоколы физического и сеансового уровня [по OSI].
К аппаратным устройствам относятся устройства коммутации, ethernet адаптеры, RadioEthernet, Sat конвекторы, модемы для подключения к телефонным линиям и линиям T1 – T5, SCS.
Основные признаки:
1. Линия передачи – проводная и радио связь.
2. Несущий сигнал – характеризуется уровнем, формой, частотой.
3. Моделирующий сигнал – характеризуется типом модуляции, способом кодирования, формой, частотой, уровнем.
4. Аппаратные идентификаторы – различные физические адреса (например, MAC - адрес).
Программное обеспечение характеризуется протоколами взаимодействия. К таким протоколам относятся протоколы сеансового, транспортного, прикладного уровней [по OSI].
Основные признаки:
1. Идентификаторы, указывающие на воздействующий компьютер;
2. Сетевые соединения с воздействующим компьютером;
3. Обмен служебными последовательностями согласно спецификациям протоколов транспортного уровня;
4. Передача данных на протоколах прикладного уровня.
Также при исследовании компьютерной техники и компьютерных сетей возникает проблема идентификации пользователя. В некоторых случаях происходит подмена понятий пользователя. В понимании следователя, понятых и др. неспециалистов – пользователь – это человек, работающий на компьютере. В понимании специалиста, эксперта, в компьютерной терминологии, а также в электронных журналах под пользователем может пониматься:
– человек (например, при подключении браузера в прокси-серверу);
– процесс (например, планировщик задач вызывает новый процесс);
– компьютер (например, дочерний...
| Добавить комментарий |
| 2006-04-26 07:52:58 - Да... Для реферата на школьную информатику... Samuray |
| 2005-12-31 06:31:05 - Привелчь злодея можно только на основе... Чайник |
| Всего 2 комментариев |
