книги / Теория и практика борьбы с компьютерной преступностью
..pdfложных сведений на ГП «БМРЦ» о производстве межбанковского платежа. Платежное сообщение в электронном виде было получено ГП «БМРЦ» в установленном порядке, соответствовало всем предъявленным требовани ям, несмотря на то что для обеспечения безопасности осуществления пере водов применялись меры защитного характера.
Дейст вия по подготовке |
Дейст вия по непосредственному |
Действия по сокрытию |
компьютерного преступаем ия |
совершению компьютерного |
компьютерного |
|
преступаемая |
преступления |
Перехват |
Несанкциониров ан но е |
Несанкциониров ан но е |
|
подключение |
подключение |
Несанкциониров эн но е |
Несанщиониров ан но е |
Несанкциониров ан на я |
подключение |
копирование |
модификация |
Злонамеренная вирусная |
Несанкциониров ан на я |
Несанкциониров ан но е |
модификация |
модификация |
блокирование |
Иные виды разведывательной |
Несанкциониров ан но е |
Несанкц иониров ан но е |
деятельности |
блокирование |
уничтожение |
|
Несанкционированное |
Злона ме ре ни ая вирусная |
|
уничтожение |
модификация |
|
Злонамеренная вирусная |
Иные |
|
модификация |
|
|
Иные |
|
Рис. 2.3.10
Из материалов уголовного дела вытекает, что совершению преступления предшествовала тщательная подготовка группы лиц. Так, специалисту в об ласти вычислительной техники Ч. были предоставлены деньги для приоб ретения портативного компьютера типа «ноутбука». После его приобрете ния группа, состоящая из С., Б., Е., Ш., К. и Ч., проводила активные меро приятия, носящие разведывательный характер, в отношении ГП «БМРЦ».
С этой целью, используя старые дружеские связи, учитывая широко рас пространенную «кастовость» в среде высококвалифицированных специали стов программистов и электронщиков, проводились под видом «консульта ций» встречи и доверительные беседы с сотрудниками отделений различ ных банков, самого ГП «БМРЦ», в ходе которых изучалось:
■наличие возможности несанкционированного подключения к почтовой системе расчетного центра;
■время сеансов связи по переводу платежей;
•используемое почтовое программное обеспечение;
■виды и форматы электронных платежных документов;
■уровень развития и состояние систем информационной безопасности и защиты.
Периодически проводилось зондирование системы защиты, было совер шено несколько удачных подключений, но неудачных попыток обналичи вания денежных средств, предотвращенных благодаря профессиональным действиям служб безопасности банков. Использовались портативный ком пьютер и модем из специально арендованной для совершения преступления квартиры.
На стадии подготовки к совершению преступления оговаривались рек визиты счета и наименование банка, в который было необходимо перечис лить деньги для последующего завладения, по подложным документам от крывались счета в банках г. Риги, изготавливались поддельные штампы.
Непосредственно преступление было совершено способом несанкциони рованного доступа к почтовым ящикам ГП «БМРЦ» в форме несанкциони рованного подключения с воздействием на парольно-ключевые системы средств электронной защиты.
Заранее спланированные и технически грамотно проведенные операции по списанию денег со счетов банков и перечислению их на интересующие прес тупников счета были осуществлены настолько квалифицированно, что, нес мотря на наличие защитных технических средств, преступление было обна ружено лишь в момент попытки завладения злоумышленниками деньгами.
Изменения вносились в номер счета и кода банка. Так, 17 мая 1996 г. Ч., используя портативный персональный компьютер, из специально предос тавленной ему сообщниками квартиры подключился к автоматизированной системе связи ГП «БМРЦ» во время сеанса связи АКБ «Агропромбанк» и передачи им плановых платежей. Он внес изменения в передаваемую ин формацию о списании денег в размере 7 млрд, расчетных билетов Нацио нального банка Республики Беларусь. Переданная ложная информация была обработана в централизованном порядке на ГП «БРМЦ» и 17 мая 1996 г. направлена по назначению.
Сокрытие следов компьютерного преступления выразилось в форме по вторного несанкционированного подключения и исправления ранее изме ненных платежных поручений. Схематично вся структура преступления представлена на рис. 2.3.11.
Точками приложений преднамеренных преступных воздействий на ком пьютерную систему явились точки входа и выхода из нее с локального уровня на глобальный. Согласно заключению эксперта по рассматриваемо му уголовному делу, действительно имело место несанкционированное
подключение к автоматизированной системе межбанковских расчетов с це лью посылки ложного сообщения о переводе 7 млрд. рубл. 17 мая 1996 г.
С технической точки зрения возможность доступа в систему извне име лась при наличии ряда условий: персональный компьютер с модемом, теле фонная линия, программное обеспечение для связи с ГП "БРМЦ", знание паролей, времени сеансов связи и т. д.
Рис. 2.3.11
ГЛАВА 4. ОСОБЕННОСТИ ОБРАЗОВАНИЯ СЛЕДОВ ПО ДЕЛАМ О КОМПЬЮТЕРНЫХ ПРЕСТУПЛЕНИЯХ
§ 4.1. Понятие и классификация следов компьютерных преступлений
Под термином «след» в трасологии понимается отображение морфо логических особенностей внешнего строения объекта, имеющего устойчи вые пространственные границы, образующееся в результате взаимодейст вия, сопряженного с событием преступления [13, с. 70].
Понятие «следы» в криминалистике в настоящее время употребляется исследователями в широком и узком смысле слова.
В широком смысле под следами понимают «различные материальные последствия, возникшие в связи с подготовкой, совершением и сокрытием преступления» [3, с. 45].
К следам в узком смысле «относятся следы-отображения, т. е. такие оста точные явления, которые представляют собой материально фиксированные отображения на одном объекте внешнего строения другого объекта» [3, с. 46].
А. В. Дулов отмечал, что «в методике расследования должны излагаться закономерности проявления следообразующих свойств объектов... и зако номерности формирования следов-отображений от каждого элемента как на других элементах (в ходе взаимодействия), так и в той системе, где это взаимодействие осуществлялось» [30, с. 40]. Являясь важным средством ус тановления истины по делу, следы в криминалистике традиционно подраз деляются:
■на следы-отображения;
■следы-предметы;
■следы-вещества.
Совершение компьютерного преступления одним из описанных выше способов преследует в большинстве случаев цель какого-либо воздействия на носитель информации в ЭВМ - файл. В свою очередь, файл данных или прикладного программного обеспечения становится носителем следовой информации. Существенным моментом в образовании следов-отображений при совершении компьютерных преступлений является то, что в качестве следообразующего объекта выступает, по нашему мнению, виртуальный1 объект - система команд ЭВМ (рис. 2.4.1).
Рис. 2.4.1
Введение понятия виртуального следообразующего объекта для класси фикации следов компьютерных преступлений представляется целесообраз ным и обусловлено тем, что система команд ЭВМ, направленных на созда ние и модификацию файлов, является следствием воздействия как пользо
1 Виртуальный [virtuahs - лат ] - возможный, который может и должен про явиться [70, с 141]
вателя, так и технологических процессов, вызванных аппаратным или про граммным обеспечением ЭВМ без участия человека. Таким образом, поня тие виртуального объекта наиболее полно соответствует термину следооб разующего объекта.
С л е д ы - о т о б р а ж е н и я компьютерных преступлений классифи цируются по ряду признаков (рис. 2.4.2),
Под структурными файловъши следами понимают изменение содержи мого файла, делающего файл отличным от оригинального.
Внешние файловые следы относятся к изменению атрибутов файла, его размера, типа, имени, расширения, времени создания и (или) модификации.
Стабильные во времени файловые следы-отображения могут существо вать на носителях информации столь долго, сколько определено работой прикладного программного обеспечения, необходимым элементом которого является данный файл.
Временные файловые следы возникают в случае ненормального (аварий ного) завершения работы какой-либо прикладной программы либо внезап ного прекращения какого-либо несанкционированного технологического процесса. Они, как правило, могут возникать в рабочем каталоге приклад ного программного обеспечения либо в каталоге временных файлов, опре делении системными переменными TEMP и ТМР.
Рис. 2.4.2
Локальные файловые следы образуются на рабочих местах пользовате лей в результате работы клиентской части сетевой операционной системы и (или) прикладного программного обеспечения.
Сетевые файловые следы порождены работой сетевой операционной системы либо сетевого прикладного программного обеспечения и образу ются на сетевых узлах или устройствах.
Следы-отображения внешнего физического воздействия1 преступников на компьютерные системы, периферийные устройства и сети не являются файловыми, например следы рук, ног, орудий взлома и т. д. (см,, напр. [3, с. 46-55]).
С л е д ы - в е щ е с т в а , обнаруженные при проведении соответствую щих следственных действий, могут быть обнаружены в виде расходных ма териалов (тонеров, красок), различных смазок, используемых в компьютер ных системах, их сетях и периферийных устройствах.
С л е д ы - п р е д м е т ы по данной категории дел могут быть весьма разнообразными. Предлагаемая нами их классификация приведена на рис. 2.4.3.
Рис. 2.4.3
Сменные диски в виде дискет и лент могут содержать информацию, не санкционированно скопированную из компьютерных систем, образцы виру сов, поразивших ЭВМ, иные следы несанкционированного воздействия на компьютерную информацию. Кроме того, сменные диски и ленты, исполь зуемые в субъекте хозяйствования в качестве устройств резервного копиро
1 В контексте данного пособия под внешним физическим воздействием на ком пьютерные системы понимается любое воздействие на указанные системы с ис пользованием орудий и приспособлений, кроме как при помощи программных ши ап паратных средств электронной техники
вания, могут содержать информацию, не подвергавшуюся преступному по сягательству. В дальнейшем она может использоваться для сравнительного исследования.
Аппаратно-реализованные закладные устройства могут внедряться в устройства ЭВМ, их сети, периферийные устройства, а также применяться преступниками в помещении, в котором расположены критические к пере хвату информации технические устройства либо в котором возможно полу чение конфиденциальной речевой информации.
При обнаружении составляющих частей закладных устройств большое значение будет иметь установление целого по частям, т. е. не составляли ли ранее части устройства одно целое.
Устройства дистанционного съема информации могут быть обнаруже ны как внутри помещения, так и вне его.
Кабели и разъемы могут содержать следы сторонних подключений, на рушений целостности.
Вновь возникшие файлы могут содержать ценную информацию о работе программного обеспечения, применении преступниками своих программ.
Устройства и приспособления для физического уничтожения компью теров и их сетей не отличаются от предметов как следов преступлений в традиционном смысле.
Важнейшими следами-предметами при расследовании дел о компьютер ных преступлениях являются документы на бумажных и электронных но сителях. Это могут быть распечатки результатов работы прикладного про граммного обеспечения, листинги исходных текстов программ, технологи ческое описание установленной операционной системы и прикладного программного обеспечения, иная текстовая информация, относящаяся к расследуемому делу. Кроме того, в большинстве компьютерных систем имеются регистрационные файлы, в которые записываются все операции, произведенные в системе. Регистрационные файлы формируются на уров нях операционной системы, а также баз данных и приложений. Компоненты сети иногда программируются для формирования определенных регистра ционных файлов.
Ввиду особой значимости данного типа следов для раскрытия и рассле дования компьютерных преступлений целесообразно более подробно оста новиться на механизме образования регистрационных файлов как при рабо те операционных систем, так и при работе прикладного программного обес печения (например, СУБД).
§ 4.2. Регистрационные файлы операционных систем1
В сетевых операционных системах, как правило, осуществляются:
■фиксация и контроль регистрации пользователя в системе и выхода из нее;
■фиксация операций чтения, записи, создания и удаления файлов;
■фиксация изменений полномочий доступа;
■фиксация манипуляций с очередями;
■фиксация иных действий и состояний операционной системы.
WINDOWS
Создание учетных записей и групп пользователей, управление сущест вующими записями, а также настройка политики безопасности, например прав пользователей и политики аудита (подробнее см. в разд. 3), в Windows NT Server проводится с помощью диспетчера пользователей. Набор дейст вий, которые можно выполнить с помощью диспетчера пользователей, оп ределяется правами*2 текущего пользователя. Эти права в основном зависят от того, членом каких рабочих групп3 данный пользователь является. Пра вила устанавливают, какие именно пользователи имеют доступ к объекту и каким образом. Диспетчер пользователей дает возможность установить три вида политики4 безопасности.
Политика учетных записей определяет режим использования паролей для всех учетных записей, а также необходимость блокировки учетных за писей при превышении заданного числа неудачных попыток входа в систе му за определенное время.
Политика прав пользователей определяет права, присваиваемые груп пам и отдельным пользователям.
Политика аудита определяет набор событий безопасности, для которых выполняется аудит.
В отличие от прав, привилегия - это предоставление пользователю воз можности выполнить определенное действие в системе.
{При написании главы использованы материалы статьи [113, с. 40-77].
2 Права - правила, ассоциированные с определенным объектом (например, фай лом, каталогом или принтером).
3 Рабочей группой является совокупность компьютеров, сгруппированных для удобства просмотра их сетевых ресурсов.
4 С точки зрения автора, использование термина «политика» несколько неудач но, однако он был заимствован из иностранного языка и в данный момент стал об- щеупотребимым техническим термином.
Привилегии применимы к системе в целом. Привилегии имеют приори тет перед правами. Windows NT включает несколько встроенных групп, ус танавливаемых автоматически (табл. 2.4,1),
|
Таблица 2.4.1 |
Группа |
Описание группы |
Administrators |
Членам группы администраторов разрешается выполнять все ко |
(администраторы) |
манды диспетчера пользователей |
Power Users |
Существует только на Windows NT Workstation. Членам группы |
{опытные |
опытных пользователей разрешается создавать учетные записи |
пользователи) |
пользователей и групп, а также изменять и удалять эти учетные за |
|
писи. Кроме того, им разрешается добавлять пользователей в груп |
|
пы опытных пользователей, пользователей и гостей и удалять |
|
пользователей из этих групп |
Users |
Любой пользователь, являющийся членом группы пользователей, |
(пользователи) |
может создавать группы, изменять или удалять созданные им груп |
|
пы, а также включать других пользователей в эти группы |
Помимо указанных групп существуют также: Guests, Everyone, Backup Operators, Replicator. Windows NT Server включает те же группы (кроме Power Users) и дополнитель но Server Operators, Account Operator, Print Operator
Учетная запись пользователя содержит набор пригодных для идентифи кации сведений:
•имя;
■пароль для входа в систему;
■права и разрешения, предоставленные пользователю для работы с систе мой;
аправа и разрешения, предоставленные пользователю для доступа к ее ресурсам.
Существует две учетные записи пользователей.
Учетная запись пользователя с именем Administrator (администратор) определяет ответственного администратора рабочей станции. Этот пользо ватель управляет всеми сторонами работы компьютера, контролирует безо пасность и работу системы, в частности контролирует файлы, которыми владеют другие пользователи. Учетную запись Administrator нельзя удалить. Информация о пароле этой учетной записи является конфиденциальной. Утеря данной учетной записи означает уничтожение всей сетевой среды, так как единственная возможность восстановления - переустановка систе мы Windows NT.
Пользователь с именем Guest (гость) может создавать файлы и удалять свои файлы, а также читать другие файлы, если системный администратор
специально предоставил для гостя разрешение на чтение этих файлов. Встроенная учетная запись гостя предназначена для того, чтобы поль зователь, который работает на компьютере очень редко или единственный раз, мог войти в систему и получить к ней ограниченный доступ. При уста новке эта учетная запись не содержит пароля. Guest используется как при регистрации по сети, так и локально.
Администратор осуществляет конфигурацию каждой локальной станции или домена12на возможность любого из этих двух видов доступа для гостей либо вообще запрещает доступ. Для объединения учетных записей пользо вателей применяются группы. Включение пользователя в группу означает предоставление ему всех прав и разрешений, заданных для группы. Это свойство групп позволяет лицу, проводящему осмотр, выяснить, какие ре сурсы мог употребить пользователь ЭВМ.
Операционные системы Windows NT Server, Windows NT Workstation и Windows-2000 сохраняют и проверяют информацию, пригодную для иден тификации, только в одном месте - в реестре2 (Registry). Реестр структури рован как набор четырех поддеревьев ключей, содержащих базу данных с информацией о компьютере и пользователе. Информация о компьютере включает сведения об аппаратных средствах и установленном программном обеспечении.
Поддерево HKEY_LOCAL_MÂCHINE содержит информацию о компью терной системе, включая аппаратные средства и данные операционной сис темы: тип шины, системная память, драйверы устройств, данные управле ния запуском.
Поддерево HKEY CLASSES ROOT содержит данные связи и внедрения объектов и данные файловых классов.
Поддерево НКЕY CURRENT_USER содержит профиль пользователя для текущего зарегистрированного пользователя, включая системные перемен ные, персональные группы программ, настройки рабочего стола, сетевые соединения, принтеры и приложения.
Поддерево HKEYJUSERS содержит все активно загруженные профили пользователя, включая HKEYCURRENTUSER, который всегда связан с порождением из HKEYJUSERS, и профиль по умолчанию.
1Домен в Windows NT Server - это объединение нескольких компьютеров, ис пользующих единую базу бюджетов и политику защиты. Каждый домен имеет уникальное имя.
2 Реестр - архив Windows NT для хранения информации о конфигурации компь ютера; включая аппаратные средства, установленное программное обеспечение, установки окружения.