книги / Теория и практика борьбы с компьютерной преступностью
..pdfРАЗДЕЛ 3. ИСПОЛЬЗОВАНИЕ ДАННЫХ КРИМИНАЛИСТИЧЕСКОЙ ХАРАКТЕРИСТИКИ КОМПЬЮТЕРНЫХ ПРЕСТУПЛЕНИЙ ДЛЯ ОБНАРУЖЕНИЯ, ФИКСАЦИИ И ИЗЪЯТИЯ ИХ СЛЕДОВ
ГЛАВА 1. ХАРАКТЕРИСТИКА ИНСТРУМЕНТАЛЬНЫХ МОДУЛЕЙ, НЕОБХОДИМЫХ ДЛЯ ОБНАРУЖЕНИЯ СЛЕДОВ КОМПЬЮТЕРНЫХ ПРЕСТУПЛЕНИЙ
Проведение осмотра места происшествия, а также иных следственных действий в ходе расследования компьютерных преступлений связано с объ ективными трудностями, возникающими при обнаружении, аутентифика ции, восстановлении и преобразовании в читаемую форму информации, на ходящейся (хранящейся) в компьютерных системах и ЛВС.
Наиболее полное и быстрое расследование преступлений осуществляет ся в тех случаях, когда при производстве следственных действий использу ются все реально способствовавшие установлению истины по делу научнотехнические средства [144, с. 13].
Поскольку речь идет о работе со следами и исследовательских эксперт ных операциях непосредственно на месте происшествия, мы считаем уме стным отметить, что теоретическая проработка аспектов использования тех нико-криминалистических средств и методов работы с доказательствами на месте происшествия нашла отражение в работах А. П. Васютина, Г. И. Грамовича, Б. М. Комаринца, Н. А. Селиванова, А. А. Леви, И. Ф. Кры лова, T. М. Самариной и др.
P. С. Белкин в связи с этим отмечал: «При отборе технических средств для укомплектования передвижной криминалистической лаборатории сле дует, на наш взгляд, исходить из максимального варианта, при котором ла боратория будет использоваться в «полевых» условиях не только следова телем и специалистом, но и экспертом для производства экспертиз непо средственно на месте происшествия» [12 (с. 46), 18, 26, 36, 47, 50, 69 и 124].
Ранее нами предлагалось создание специального чемодана для осмотра места происшествия по делам о компьютерных преступлениях [98, с. 9094] В пользу создания данного инструментария высказались 85,7 % спе
циалистов в области защиты информации, опрошенных нами. Опрос следо вателей, оперативных работников и сотрудников экспертно-криминалис тических подразделений органов внутренних дел выявил стремление таких респондентов иметь в штате экспертно-криминалистических подразделений УВД МВД не только обозначенные программно-аппаратные средства, но и штатную единицу эксперта в области информатики и электроники (71,6 %).
В литературе высказывались пожелания о создании «набора сервисных программ» [46, с. 81 и 150, с. 12]. По нашему мнению, это должен быть но симый вариант аппаратных и программных модулей, обеспечивающих ис следование компьютерных систем, сетей и помещений, в которых располо жены средства вычислительной техники.
Формируя общие требования к применяемым научно-техническим сред ствам в процессе судебного разбирательства, исследователи указывают, как правило, следующие требования:
■безопасность;
■достоверность результатов;
■экономичность;
■эффективность;
■этичность,
необоснованно упуская из виду такие важные принципы, как универсаль ность, защищенность и мобильность.
Таким образом, модули, включенные в состав инструментария чемодана, по нашему мнению, должны отвечать следующим требованиям:
■безопасности, т. е. используемые модули не должны вносить такие из менения в имеющуюся ЛВС и компьютерную информацию, которые мо гут повлечь искажение или утрату ценных данных;
■универсальности, т. е. способности работать с компьютерами относи тельно старого и нового поколения;
■защищенности, т. е. модули должны быть защищены от внесения в них несанкционированных изменений;
■эффективности, т, е. способности к детальному сканированию ЛВС и изучению программного обеспечения на рабочих местах;
■целесообразности, т. е. применение модулей должно быть оправданно как с технической стороны (в плане изучения вычислительной системы и протоколирования результатов), так и с экономической стороны (не дол
жно быть чрезмерно дорогостоящим):
iмобильности, т. е. массогабаритные параметры используемых для ос мотра технических средств должны быть приемлемыми для оперативно
го применения экспертом без использования специальных транспортных средств.
Из криминалистической характеристики компьютерных преступлений следует, что для осмотра места происшествия по делам о компьютерных преступлениях необходимы функциональные модули, представленные на рис. 3.1.1.
Рис. 3.1.1
Инструментальные модули осмотра должны обеспечить выполнение следующих действий:
■внутренний осмотр помещений, в которых расположены СКТ и линии связи с целью выявления каналов утечки информации и посторонних подключений;
■определение свойств, качеств и технических характеристик компьютеров и ЛВС с протоколированием сведений о состоянии аппаратных и про граммных ресурсов сетевого окружения, серверов и рабочих станций;
■выявление «слабых» мест сетевой среды, что необходимо для после дующего правильного построения версий о совершенном противоправ ном деянии в отношении компьютерной информации;
■полноценную работу с имеющейся информацией.
Впоследнее время наметилась ярко выраженная тенденция к интеграции различных видов современных антивирусных программ в единое про граммное средство, что делает его удобным для использования. Однако приходится констатировать, что абсолютной защиты от неизвестных виру сов нет, поэтому антивирусные программы постоянно обновляются, как
правило не реже одного раза в месяц. Из этого следует, что в инструмента рии эксперта должны быть постоянно обновляемые, «свежие» версии анти вирусных программ.
Сведения об антивирусных программах, доступных на рынке программ ного обеспечения Республики Беларусь и Российской Федерации, приведенывтабл. 3.1.1.
Для осмотра помещений, в которых располагаются СКТ, возможно ис пользование технических средств, сведения о которых приведены в § 3.1 разд. 1.
Получить информацию о состоянии операционной системы, например Windows NT и компьютере можно прежде всего при помощи встроенных средств помощи. Такие важные функции администрирования, как автома тическая инвентаризация аппаратных и программных ресурсов сети, рас пространение программного обеспечения и управления другими типами серверов и сервисов, можно получить при помощи программных продуктов как самой Microsoft, так и продуктов сторонних фирм (табл. 3.1.2)
|
|
|
Таблица 3.1.1 |
Программы |
Назначение |
Средства |
Принцип |
|
|
защиты |
действия |
ViruScan, NetScan, |
Обнаружение зара |
Детекторы |
Поиск участка кода, при |
Aidstest, |
женных вирусом фай |
|
надлежащего известно |
Norton Antivirus |
лов |
|
му вирусу |
Norton Antivirus, |
Перехват подозри |
Фильтры |
Контроль действий, ха |
Vshild, Anti4Us, |
тельных обращений к |
|
рактерных для поведе |
FluShot Plus |
операционной системе |
|
ния вируса |
|
и сообщение о них |
|
|
Norton Antivirus, |
Лечение зараженных |
Фаги |
Уничтожение тела |
Clean-Up, DrWeb, |
программ или дисков |
|
вируса |
Aidstest, M-Disk |
|
|
|
Norton Antivirus, |
Постоянная ревизия |
Ревизоры |
Запоминание сведений |
Validate |
целостности (неизме |
|
о состоянии программ |
|
няемости файлов) |
|
(«вакцинация») и сис |
|
|
|
темных областей дисков, |
|
|
|
сравнение их состояния |
. Norton Antivirus, |
Комплексное исследо |
Комбиниро |
с исходным |
Сочетание нескольких |
|||
DrWeb и др. |
вание зараженных ви |
ванные ан |
вышеуказанных функций |
|
русом персональных |
тивирусные |
|
|
компьютеров |
сРеДства____ |
|
Программные продукты сторонних фирм-разработчиков:
ConfigSafe - утилита отслеживает изменения в настройках аппаратных средств и программного обеспечения компьютера. Производит регистрацию изменений в INI-файлах, реестре, сетевых подключениях, системных фай лах и папках. Позволяет сохранить в файле на диске информацию о теку щих параметрах системы.
DumpAcl - программа для просмотра информации, хранящейся в списках прав доступа к различным объектам Windows NT: файлам и папкам на дис ке с NTFS, разделам реестра, принтерам. Позволяет просматривать разнооб разную информацию о пользователях и группах.
DumpEvt - утилита командной строки для извлечения записей о событи ях из системных журналов Windows NT и сохранения их в текстовом файле.
DumpReg - программа просмотра содержимого файла реестра Windows NT. Позволяет осуществлять сортировку и поиск информации, работать с реестром как локального компьютера, так и удаленных.
ERDCommmder - программа, создающая набор загрузочных дискет для аварийного восстановления поврежденной системы Windows NT. После за грузки с данных дискет администратор получает возможность работать с оболочкой, позволяющей из командной строки выполнять основные опера ции с файлами на диске с любой файловой системой, которая поддержива
ется в Windows NT. |
|
|
|
|
Таблица 3.1.2 |
Функция администрирования |
WindowsNT |
Независимые |
|
+ |
разработчики |
Администрирование пользователей |
+/- |
|
(рабочих групп) |
+ |
|
Удаленное ведение реестра |
- |
|
Производительность сети |
Ограниченно |
+ |
Инвентаризация ресурсов |
- |
+ |
Распространение программного обеспечения |
- |
+ |
Управление другими серверами |
- |
NetWare, UNIX |
MS-SMS 1.2 (Microsoft) - поддерживает инвентаризацию аппаратных и программных ресурсов, распространение программного обеспечения и кон троль лицензий, позволяет управлять удаленным образом рабочими стан циями и серверами Windows NT.
Norton NetWork Series (Symantec) - включает в себя ряд продуктов: Norton Administrator Suite (NAS), Exprose.
/VAS, как и SMS, осуществляет инвентаризацию аппаратных и программ ных ресурсов, распространение программного обеспечения, контроль ис пользования лицензионного программного обеспечения, защиту от вирусов, управление информацией настольных компьютеров.
Exprose выполняет мониторинг системы в реальном времени и выдает предупреждения о неполадках на серверах NetWare, Windows NT, VINES.
В результате работы данного программного обеспечения генерируется отчет о состоянии системы в целом.
Компания Security Systems предложила ряд решений в области обеспе чения безопасности компьютерных серий и отдельных компьютеров, вы пустив пакет программ Internet Scanner SAFEsuite. Разработанный экспер том по компьютерным системам защиты Кристофером Клаусом этот пакет должен выявлять «дыры» в системах безопасности Web-серверов, бранд мауэров, серверов и рабочих станций на базе операционных систем UNIX, Windows 95/98 и Windows NT/2000 и сообщать о них пользователю. Эти «дыры» SAFEsuite обнаруживает путем имитации всех известных способов, используемых «взломщиками» компьютерных систем для проникновения в сеть.
Пакет SAFEsuite работает практически на всех видах операционных систем и платформ. Для рабогы сканеров требуется 5 Мб пространства на диске и примерно 10 Мб для хранения результатов сканирования сети. Необходимо иметь в распоряжении минимум 16 Мб оперативной памяти (рекомендуется 32 Мб), уровень доступа администратора. Для выводов результатов тестирования на монитор в формате HTML необходим Web-браузер. Отличительной особен ностью пакета SAFEsuite, состоящего из программ Intranet Scanner, Web Security Scanner и System Security Scanner (рис. 3.1.2), является его ориентация исключительно на оценку состояния компьютерных систем защиты. SAFEsuite распространяется строго по лицензии и работает только при наличии ключапароля. Это позволяет предотвратить использование программы преступника ми, даже при завладении ей.
Рис. 3.1.2
В отличие от известных программ, например SATAN, которая тестирует есть только извне, или COBS, проверяющей сеть только изнутри, пакет SAFEsuite объединяет все функции этих программ в единое целое. Резуль
татами работы являются перечень обнаруженных недостатков, а также пе речень мер, которые необходимо предпринять администратору сети для устранения обнаруженных недостатков.
Следует отметить такую особенность сканеров, как отсутствие их обя зательной настройки для оценки защиты каждого отдельного компонента сети, - данное программное обеспечение позволяет проводить исследова ние нескольких компонентов сети одновременно, что значительно увеличи вает скорость оценки уязвимых мест сети. Пользователь программного обеспечения SAFEsuite имеет возможность периодически обновлять пере чень недостатков, которые каждый из сканеров в состоянии выявить. Акту альность данной функции состоит в том, что, как правило, через год после выхода на компьютерный рынок новой программы защиты или появления новой версии уже существующей программы все недостатки и пробелы этой программы становятся достоянием преступников. Следовательно, экс перт (специалист), проводящий исследования сетей, должен периодически пополнять перечень возможных слабых мест сетевой среды, которые SAFEsuite выявляет.
Компоненты пакета SAFEsuite и их назначение, известные из докумен тации и публикаций экспертов в области защиты компьютерной информа ции [130, с. 66-69], приводятся ниже.
■FIREWALL SCANNER. Предназначен для осуществления тщательной проверки настроек системы брандмауэров, которая контролирует обмен данными между локальными и глобальными сетями. Процесс тестирова ния происходит при полном контроле со стороны пользователя. Про грамма имитирует попытку проникновения в сеть через систему бранд мауэров. Результатом работы сканера является подробный отчет (прото кол) о проведенных тестах. Таким образом, эксперт, проводящий тесты, получает полное представление о проблемах, связанных с используемой программой-брандмауэром.
*WEB SECURITY SCANNER. Проводит сканирование частных или ком мерческих HTML-страниц, доступ к которым защищен паролями. Ска нер тестирует сами пароли с целью выявления уже распознанных, а так же наиболее примитивных, состоящих из одной буквы или цифры. Web Security Scanner последовательно тестирует каждый CGI-сценарий, про веряя все нюансы, связанные с его работой, в том числе проводится об наружение «дыр», существование которых может привести к активации несанкционированных программ, вызывающих сбои в работе всего сер вера. Кроме того, Web Security Scanner осуществляет проверку всей фай ловой системы Web-сервера, выявляя погрешности в ее содержании и
структуре. Производится также тестирование и проверка тех версий
,HTTP-серверов, в которых наиболее вероятно наличие недостатков сис темы защиты.
■INTRANET SCANNER, Служит для оценки систем безопасности ло кальных корпоративных сетей, работающих на основе протоколов TCP/IP. Он сканирует сеть на предмет обнаружения уязвимых мест в за щите всех компонентов сети, таких, как UNIX-хост, Windows 95/NT, маршрутизаторы, Web-серверы, Х-терминалы. Как правило, сетевые ад министраторы пытаются обеспечивать безопасность только тех компью теров, на которых содержится особо ценная информация. Преступники, зная об этом, ищут незащищенные или недостаточно защищенные ком пьютеры, например редко используемые факс-серверы и серверы печати. Intranet Scanner позволяет выявить уязвимые места такого рода. Так, весьма эффективным может оказаться тестирование паролей извне пу тем их подбора. Другим способом, применяемым для тестирования па
ролей и реализованным в System Security Scanner, является настройка на проверку защиты изнутри.
■SYSTEM SECURITY SCANNER. Позволяет завершить процесс полной проверки компьютерных систем безопасности. Данная программа про водит оценку правильности настройки каждой операционной системы в отдельности, защиты и уровня доступа к системным и секретным фай лам, выявляет признаки взлома в отдельно взятом сетевом компьютере.
Для оценки внешних файловых следов можно рекомендовать использо вание таких широко распространенных утилит, как NORTON UTILITES (for DOS, Windows 3.1/3.11/95/98/NT/2000) [112, c. 97].
Минимальные аппаратные требования к «ноутбуку» эксперта, подклю чаемого к осматриваемым компьютерным системам и ЛВС при помощи се тевого адаптера, таковы: процессор Р-133 (его аналог) или более быстро действующий; ОП 32 Мб или более; видеопамять 1 Мб или более; HDD 2 Гб или более; CD-ROM; Ethernet 10-100 Мбит/с Combo; операционная система Windows NT Workstation 3.51 или 4.0.
ГЛАВА 2. ОСМОТР МЕСТА ПРОИСШЕСТВИЯ ПО ДЕЛАМ О КОМПЬЮТЕРНЫХ ПРЕСТУПЛЕНИЯХ
Под обнаружением доказательств в криминалистике понимают «их отыскание, выявление, обращение внимания на те или иные фактические данные, имеющие доказательственное значение» [11, с. 29].
Изучение следов компьютерного преступления на месте происшествия позволяет:
■получить полное и всестороннее представление об их признаках;
• получить данные о связи следа с событием преступления;
■сопоставить обнаруженные следы между собой.
Осмотр места происшествия —неотложное следственное действие, направленное на установление, фиксацию и исследование обстановки мес та происшествия, следов преступления и преступника, иных фактических данных, позволяющих в совокупности с другими доказательствами сделать вывод о механизме происшествия и других обстоятельствах расследуемого события [53, с. 52].
Весьма правильной представляется точка зрения исследователей, рас сматривающих осмотр места происшествия «как синтетическое следствен ное действие, охватывающее осмотры всех других видов (местности, поме щения, предметов, документов, трупа), о возможности производства кото рых до возбуждения уголовного дела в законе специальной оговорки не сделано» [143, с. 19].
Задачи следственного осмотра заключаются в собирании доказательств. На базе собранных доказательств следователь выдвигает версии о характере расследуемого компьютерного преступления и его участниках, месте нахо ждения предметов, имеющих доказательственное значение, последствиях преступления и т. д. Кроме того, устанавливаются обстоятельства, способ ствовавшие совершению преступления.
Субъекты хозяйствования становятся все в большей степени зависимы ми от своих компьютерных систем. Это означает, что малейшая ошибка, допущенная следователем при проведении осмотра места происшествия по делам о компьютерных преступлениях и фиксации его результатов, может привести к значительным негативным последствиям.
Опрос специалистов в области безопасности информации, проведенный нами во время работы III Международной конференции «Комплексная за щита информации», показал, что подавляющее большинство респондентов (90,48 %) считают, что наибольшие трудности у сотрудников правоохрани тельных органов при расследовании дел о компьютерных преступлениях могут возникнуть при осмотре места происшествия, включая осмотр персо нальных компьютеров, серверов, сетей и носителей информации.
Опрос следователей и оперативных работников органов внутренних дел, проведенный нами, косвенно подтверждает эти данные - большинство оп рошенных не смогли указать специфику осмотра места происшествия по делам о компьютерных преступлениях.
Таким образом, высказанная Г. Гроссом еще в начале XX в. мысль о том, что осмотр места происшествия является пробирным камнем для начи нающего криминалиста [27, с. 18], остается актуальной для рассматривае мой категории дел. Специфика данного вида осмотра во многом определя ется тем, что в его ходе следователь (лицо, производящее дознание) должен непосредственно исследовать место, где обнаружены следы и иные доказа тельства события компьютерного преступления. Эта информация является основой постижения происшедшего, базой для построения версий, т. е. обоснованных предположений, как о самом событии, так и о лицах, к нему причастных.
Материальная среда, в которой совершается преступление и остаются его следы, ограничена определенным пространством.
Участок местности или помещение, в пределах которых обнаружены следы совершенного компьютерного преступления, именуются местом происшествия.
В. П. Крючков под местом происшествия понимает «участок местности (территории, акватории), подземное сооружение, природное образование или помещение, в пределах которого произошло преступное событие либо обнаружены его последствия - материальные следы, имеющие с ним про странственную, временную и причинную связь» [141, с. 6]; А. В. Дулов - «участок какой-нибудь территории, где непосредственно произошло рас следуемое событие» [29, с. 109].
В этом плане установлению ряда обстоятельств, связанных с расследуе мым событием компьютерного преступления, способствует осмотр участков местности и помещений, не подпадающих под узкое, традиционное пони мание места происшествия - сооружений, телефонных линий, офисных АТС, кабельного хозяйства, иных устройств сети и т. п. В отличие от места происшествия местом преступления считается район совершения престу пления или наступления преступного результата, следы которого могли быть обнаружены и вне этого района [53, с. 52].
По нашему мнению, местом происшествия по делам о компьютерных преступлениях aiedyem считать участок местности, на котором распола гается пострадавшее учреждение, организация, предприятие, а также, ввиду специфичности предмета осмотра, вся сетевая среда, принадлежа щая названным субъектам хозяйствования, в том числе точки входа и вы хода из нее на глобальные сети.
Основные цели осмотра места происшествия по делам рассматриваемой категории представлены на рис. 3.2.1.