Центр исследования компьютерной преступности

home контакты

Особенности выявления доказательственной информации при расследовании преступлений в сфере компьютерных технологий

Дата: 10.04.2004
Источник: www.crime-research.ru
Автор: А.В.Горбачев, Донецкий институт внутренних дел МВД Украины


... и удаление программ». В нем отображается все корректно установленное из Windows ПО. Во всех версиях Windows на базе NT таким способом можно установить почти все данные о ПО. В Windows 9х можно установить только его наименование, а для установления остальных данных необходимо воспользоваться информацией соответствующих ветвей реестра. Данные о количестве и наименовании ПО, полученные таким способом, нельзя в полной мере рассматривать как исчерпывающую информацию, т.к. при наличии специальных знаний фальсифицировать данные раздела «Установка и удаление программ» не составляет труда.

Вторым способом установления наличия ПО и его данных является непосредственный осмотр каталогов имеющихся логических разделов. Этот способ может потребовать много времени, но вероятность установить наличие и данные всего имеющегося ПО очень велика.

После исследования всего имеющегося программного обеспечения особый интерес представляют так называемые log-файлы. Они представляют собой, как правило, текстосодержащие документы, в которых может быть отображена информация о действиях, совершаемых определенной программой, о времени, количестве совершения этих действий и т.п. Существуют специализированные программы, которые могут вести log-файлы обо всех совершаемых на компьютере действиях (запуске программ, совершении различных операций с файлами и даже об открывающихся окнах и т.п.) с точностью до секунды. По умолчанию ОС ведет файлы журналов только некоторых встроенных приложений (Internet Explorer и др.).

Существуют также прикладные программы, которые по умолчанию ведут файлы отчета, например DR.WEB и т.п. Все эти файлы должны быть использованы для получения полезной информации, т.к. очень часто пользователь терминала не знает о существовании всех программ, которые ведут журналирование своей работы.

Наличие специальных знаний в области программного обеспечения способствует (после определения всего имеющегося ПО) процессу более быстрого «узнавания» тех программ, которые ведут log-файлы, что во многом ускоряет процесс сбора информации.

При проведении следственных действий не стоит забывать о том, что каждый человек, работающий с информацией в электронном виде, старается ее защитить от неправомерных действий со стороны других субъектов. При работе с электронной информацией необходимо помнить, что одним из важных ее недостатков является простота и быстрота ее уничтожения. Одним нажатием клавиши можно уничтожить всю информацию с носителя. Вот почему именно фактор внезапности и оперативности очень важен при расследовании преступлений в сфере информационных технологий. Более того, каждый обладатель электронной информации по-своему индивидуален, у каждого свои методы защиты имеющихся данных, которые невозможно перечислить. Можно привести лишь основные направления преодоления препятствий, которые создают правонарушители для защиты информации.

Во-первых, после входа в помещение, в котором находится объект осмотра, необходимо зафиксировать положение всех находящихся в нем лиц, не допуская при этом никаких действий с их стороны по отношению к любым имеющимся поблизости техническим устройствам (клавиатуре, брелокам с кнопками, телефонам, различным пультам ДУ и т.п.) [6]. Известны случаи, когда работники фирмы при обнаружении сотрудников милиции нажимали заранее определенные клавиши на клавиатуре и тем самым либо уничтожали всю имеющуюся информацию, либо блокировали доступ к ней (активация паролей специальных защитных программ).

Во-вторых, если компьютер, подлежащий исследованию, выключен, то по мере возможностей сохранить его положение до прибытия специалиста. Необходимо помнить, что при включении компьютера могут активироваться «программы – детонаторы», которые могут производить действия с информацией по заранее установленному алгоритму. Например, настоящий владелец может установить пароль (комбинацию клавиш), который необходим для правильного запуска системы, и на введение которого отведено определенное время и т.п. Без наличия специальных знаний процесса включения компьютера и загрузки ОС проведение каких-либо действия с машиной может повлечь непреднамеренную модификацию или уничтожения данных. К тому же специалисту намного удобнее исследовать выключенный компьютер, т.к. в этом случае появляется возможность сделать копию всех носителей информации и продолжать работу именно с копией, а не с оригиналом, что повышает эффективность исследования и снижает возможность модификации или уничтожения информации вследствие непредвиденных ситуаций.

В-третьих, необходимо помнить, что наряду с программными средствами модификации и уничтожения информации существуют также аппаратные способы. Для разрушения магнитных носителей может использоваться метод воздействия на них сильного магнитного поля, которое создается с помощью специальных устройств (генераторов магнитных полей и др.). Так, например, известный хакер Кевин Митник вмонтировал такие устройства в дверной проем комнаты, в которой находился его компьютер. При проносе его агентами ФБР через проем, вся информация на магнитных носителях уничтожалась [7].

Также известны случаи наличия подобных устройств внутри корпуса компьютера. При попытке открыть корпус посторонними лицами срабатывала ловушка, которая активизировала устройство внутри, и магнитные носители уничтожались. Эти случаи еще раз говорят о том, что не следует производить никаких действий с компьютером без наличия специальных знаний его аппаратного и программного устройства.

Как отмечено выше, существует много способов, с помощью которых преступники могут противодействовать правоохранительным органам. Снизить последствия этого противодействия возможно только квалифицированными действиями лиц, производящих расследование. А для этого необходимо осуществлять дополнительную подготовку уже имеющихся кадров или обучать специалистов по новой программе, включающей получение необходимых знаний в области информационных технологий.

Таким образом, стремительное развитие сферы высоких технологий, наряду с положительными тенденциями развития мирового сообщества, открывает также новые возможности для развития и совершенствования преступного мира. Сфера высоких технологий позволяет совершенствовать традиционные виды преступлений, например: хищение, мошенничество, «отмывание денег», подделка документов, а также создает совершенно новые виды преступлений, такие как: несанкционированное использование компьютерной информации, компьютерное мошенничество, компьютерный подлог и т.д. [8]. Появляются такие понятия как «компьютерная информация», «компьютерные преступления», «компьютерный терроризм», «киберпреступность», «информационное оружие». Для эффективной борьбы с ними необходимо совершенствование имеющегося законодательства и создание условий для приобретения практическими работниками правоохранительных органов знаний, необходимых для эффективного противодействия «киберпреступности».

1. Владимир Голубев, выступление 26 февраля 2003 г. на Southeast Cybercrime Summit в Атланте, США, Crime-research.org.
2. Голубєв В.О., Гавловський В.Д., Цимбалюк В.С. Проблеми боротьби зі злочинами у сфері використання комп’ютерних технологій: Навч. посібник / За заг. ред. доктора юридичних наук, професора Р.А. Калюжного. – Запоріжжя: ГУ „ЗІДМУ”, 2002. – С.203.
3. Крылов В.В. Расследование преступлений в сфере информации. – М.: Издательство «Городец», 1998. – С.174-175.
4. В дальнейшем под термином «данные о программе или ОС» следует понимать их наименование, версию, регистрационный номер, имя лица и организации, на которые зарегистрирован продукт, место его расположения и т.п.
5. Вехов В.Б. Компьютерные преступления: Способы совершения и раскрытия /Под ред. Акад. Б.П. Смагоринского – М.: Право и Закон, 1996. – С.26-27.
6. Расследование неправомерного доступа к компьютерной информации / Под ред. Н.Г. Шурухнова. – М.: Издательство «Щит-М», 1999. – С.130.
7. Голубєв В.О., Гавловський В.Д., Цимбалюк В.С. Проблеми боротьби зі злочинами у сфері використання комп’ютерних технологій: Навч. посібник / За заг. ред. доктора юридичних наук, професора Р.А. Калюжного. – Запоріжжя: ГУ „ЗІДМУ”, 2002. – С.202.
8. Основи методики розслідування злочинів, скоєних з використанням ЕОМ / М.В. Салтевський. – Навч. посібник – Харків: Нац. юрид.акад. України, 2000. – С.7-9.


Запропоновані заходи в повній мірі не вирішать всього спектру зазначених проблем, але при їх реалізації повинні відбутися певні позитивні зміни. Запорукою цьому, крім дієвої державної та міністерської політики, є власна ініціатива суб’єктів боротьби з інформаційною злочинністю та бажання працювати в нових умовах, які потребують нестандартних підходів до вирішення завдань, що стоять перед оперативними підрозділами по боротьбі з правопорушеннями у сфері інтелектуальної власності та високих технологій ДСБЕЗ України.


Добавить комментарий
Всего 0 комментариев

Copyright © 2001–2005 Computer Crime Research Center

CCRC logo
UA  |  EN
Рассылка новостей



TraCCC