Центр исследования компьютерной преступности

home контакты

Понятие и классификация следов преступного использования компьютерных технологий

Дата: 08.06.2004
Источник: www.crime-research.ru
Автор: Дмитрий Пашнев


... информации.

Искажение компьютерной информации – это любое изменение такой информации при отсутствии возможности восстановить те её фрагменты, которые испытали изменения, в их первоначальном виде.

Под уничтожением компьютерной информации понимается полная потеря возможности пользования соответствующей информацией. Уничтожением следует считать не только ликвидацию файла, каталога и т.п., в виде которых существовала информация, а и приведение информации в такое состояние, которое исключает возможность использования всей информации или значительной ее части. Под уничтожением носителя компьютерной информации следует понимать физическое уничтожение соответствующих материальных предметов или такое изменение их свойств, которое приводит к невозможности дальнейшего сохранения компьютерной информации на этих носителях.

Блокировка доступа к информации - результат воздействия на ЭВМ и ее элементы, повлекшего временную или постоянную невозможность осуществлять какие-либо операции над компьютерной информацией [7].

В результате преступления КИ как предмет преступления будет нести в себе все эти изменения, как отображение воздействия программно-технических средств. Воздействие одного информационного объекта на другой может быть обнаружено по наблюдаемому различию между двумя известными состояниями информационного объекта: по признакам изменения содержания, формата, характеристик файла, по изменению алгоритма работы программы. Эти фиксируемые изменения и будут следами-отображениями, характеризующими результат взаимодействия. Благодаря детерминированности алгоритма, породившего след-отображение, в большинстве случаев возможно однозначное определение причины возникновения следа и программы, послужившей инструментом для создания наблюдаемых изменений [8].

Кроме того, в связи со сложностью процессов обработки информации, событие преступления будет оставлять и свои признаки в виде записей в служебных файлах программ, в файлах регистрационных журналов операционной системы, нарушений работы программного обеспечения.

Существенное нарушение работы ЭВМ, системам и КС выражается в перебоях в производственной деятельности, необходимости сложного или длительного ремонта средств вычислительной техники, их переналадки, длительном разрыве связей между ЭВМ, объединенными в систему или сеть.

Как средство преступления СКТ будет нести в себе следы обратного взаимодействия с СКТ – предметом преступления, и следы прямого воздействия злоумышленника.
Таким образом, при совершении компьютерного преступления образуются и следы-отображения и следы-признаки события преступления.

Как справедливо отмечает В.А.Мещеряков, для компьютерных следов характерны «специфические свойства, определяющие перспективы их регистрации, извлечения и использования в качестве доказательств при расследовании совершенного преступления. Во-первых, они существуют на материальном носителе, но не доступны непосредственному восприятию. Для их извлечения необходимо обязательное использование программно-технических средств... Они не имеют жесткой связи с устройством, осуществившим запись информации, являющейся следом... весьма неустойчивы, так как могут быть легко уничтожены. Во-вторых, получаемые следы внутренне ненадежны (благодаря своей природе), так как их можно неправильно считать» [9].

Эти признаки следов КП определяют трудности при работе с ними и использовании их при доказывании.

Исходя из схемы совершения КП, следы образуются в КИ на:
а) машинных носителях, с использованием которых действовал преступник на своем рабочем месте;
б) «транзитных» машинных носителях, посредством которых преступник осуществлял связь с информационными ресурсами, подвергавшимися нападению;
в) машинных носителях информационной системы, на которую осуществлено преступное воздействие.

Следы таким образом можно разделить на две большие группы: локальные (на ЭВМ преступника и жертвы) и сетевые (на серверах и коммуникационном оборудовании).

Локальные следы могут быть классифицированы по разным основаниям [10]:
- по местоположению (следы в системных областях файловой системы; в файлах; в кластерах);
- по механизму инициации изменений (следы, инициированные пользователем; следы, инициированные программой);
- по правомочности действий объекта (субъекта), вносящего изменения (следы правомочных действий; следы неправомочных действий);
- по сложности взаимодействия объектов (следы простого взаимодействия; следы комплексного взаимодействия).

Классификации базируются на закономерностях функционирования конкретной файловой системы и программ, имеют иерархический характер.

Следы в системных областях файловой системы подразделяются на:
- следы в каталогах,
- следы в таблице разделов,
- следы в загрузочных записях,
- следы в таблицах размещения файлов.

Следы в файлах подразделяются по статусу файлов в системе на:
- следы в файлах программ,
- следы в файлах данных.

Следы в файлах данных подразделяются по статусу файлов данных на:
- следы в файлах настроек программ,
- следы в файлах документов.

Следы в кластерах подразделяются по статусу кластеров в системе на:
- следы в "свободных" кластерах,
- следы в "потерянных" кластерах,
- следы в "зазорах" кластеров.

Сетевые следы представляют собой сведения о прохождении информации по проводной, радио-, оптической и другим электромагнитным системам связи (электросвязи), которые носят обобщенное название «сведения о сообщениях, передаваемых по сетям электрической связи (электросвязи)», либо сохраняемые поставщиками услуг (провайдерами) «исторические данные» о состоявшихся сеансах связи или переданных сообщениях, либо «данные о потоках» или «данные о потоках информации».

Указанные сведения о сообщениях, передаваемых по сетям электросвязи, аккумулируются в специальных файлах регистрации (т.н. LOG-файлах). В большинстве компьютерных систем ведение файлов регистрации – часть повседневной деятельности. Когда бы событие определенного рода ни произошло в системе, информация о нем (в том числе, кто инициировал его, когда и в какое время оно произошло, и если при этом были затронуты файлы, то какие) регистрируется в данных файлах. То есть, по существу, в них протоколируется техническая информация, содержатся данные о техническом обмане. В силу этого их порой упоминают как «регистрационный журнал».

Принципиально существует две основные категории «исторических данных»: данные о пользователе и сведения о сообщении.

Данные о пользователе могут включать: имя, адрес, дату рождения, номер телефона, адрес поставщика услуг в Internet, адрес электронной почты, идентификационные признаки какого-либо номера или счета, используемых для осуществления платежных операций по расчетам за услуги провайдера, справочные данные, идентификационные данные юридического лица, перечень предоставляемых услуг или услуг, на которые подписался клиент, IP-адрес, предыдущий IP-адрес пользователя, дополнительный адрес электронной почты и т.д.

Сведения о сообщении могут включать: первоначальный номер телефона, используемый для связи с LOG-файлом регистрации, дату сеанса связи, информацию о времени связи (времени начала, окончания и продолжительность сеанса связи), статические или динамические IP-адресные журналы регистрации провайдера в Internet и соответствующие телефонные номера, скорость передачи сообщения, исходящие журналы сеанса связи, включая тип использованных протоколов, сами протоколы и т.д.

Установление особенностей следовой картины конкретного компьютерного преступления, и в частности той её части, которая включает так называемые электронные, или виртуальные следы позволит определить способ совершения преступления. Обобщение этих особенностей для данного вида преступлений также дадут основу для разработки, внедрения и эффективного применения средств и методов собирания и исследования данных следов.

1. Типовые модели и алгоритмы криминалистического исследования: Учебное пособие / Под ред. Колдина В.Я. - М., 1989. - С.28.
2. Яблоков Н.П. Криминалистическая методика расследования. - М., 1985. - С.45-46.
3. Белкин Р.С. Курс криминалистики. В 3 т. Т. 2: Частные криминалистические теории. - М.: Юристъ, 1997. - С.57.
4. Белкин Р. С. Криминалистика: проблемы сегодняшнего дня. Злободневные вопросы российской криминалистики. – М.: Издательство НОРМА (Издательская группа НОРМА–ИНФРА М), 2001. – С.60.
5. Белкин Р.С. Курс криминалистики. В 3 т. Т. 2: Частные криминалистические теории. - М.: Юристъ, 1997. - С.61.
6. Салтевський М.В. Основи методики розслідування злочинів, скоєних з використанням ЕОМ: Навч. посібник / Національна юридична академія України ім. Я. Мудрого. – Х., 2000. – С.13-14.
7. Уголовный кодекс Украины. Комментарий: Под редакцией Ю.А. Кармазина и Е.Л. Стрельцова. - Харьков, ООО "Одиссей", 2001. - С.755.
8. Яковлев А.Н. Теоретические и методические основы экспертного исследования документов на машинных магнитных носителях информации: автореф. дис…. канд. юрид. наук. – Саратов, 2000.
9. Мещеряков В.А. Преступления в сфере компьютерной информации: основы теории и практики расследования. – Воронеж: Издательство Воронежского государственного университета, 2002. – С.103.
10. Волеводз А.Г. Следы преступлений, совершенных в компьютерных сетях // «Российский следователь». - 2002. - №1.



Добавить комментарий
2004-11-24 12:14:20 - Буду рад любой информации о формах,... Владимир
Всего 1 комментариев


Copyright © 2001–2020 Computer Crime Research Center

CCRC logo
Главным направлением в деятельности Центра является широкое информирование общественности об основных проблемах и способах их решения, с которыми сталкивается общество в сфере противодействия компьютерной преступности.