Особенности экспертизы компьютерных правонарушений

 

Злоумышленник, как и любой другой человек, в процессе своей де­ятельности оставляет следы: отпе­чатки пальцев, пепел от сигарет, грязь от ботинок и т. д. и т. п. На ос­новании их анализа эксперт спосо­бен сделать заключение о наличии или отсутствии того или иного фак­та, интересующего следствие и суд. Но что делать эксперту, если речь идет не о нашем привычном мире, а о виртуальном пространстве, соз­данном с помощью ЭВМ и програм­много обеспечения? Что делать экс­перту, если злоумышленник пользу­ется исключительно клавиатурой и устройством типа «мышь», и при этом все его действия направлены на манипулирование компьютерны­ми данными?

Поскольку речь идет о работе с информацией с помощью информа­ции, уликой в данном случае являет­ся сама информация. Вопрос о том, какой уликой является информация, оставленная злоумышленником на магнитных носителях компьютера, заслуживает специального рассмот­рения. И начнем мы это рассмотре­ние с определения базовых понятий.

В соответствии с толковым слова­рем под информацией понимается одно из первичных, не определяе­мых в рамках кибернетики понятий, предполагающее наличие материаль­ного носителя информации, источ­ника информации, передатчика ин­формации, приемника и канала свя­зи между источником и приемником информации. Информация, пред­ставленная в форме, воспринимае­мой для формальной обработки ав­томатическими устройствами или человеком, называется данными. Данные могут быть представлены в виде непрерывно изменяющихся физических величин, и тогда речь идет об аналоговых данных, а могут быть представлены в конечном коде, например, на базе «О» и «1», и в этом случае мы называем их дискретны­ми. Именно с такими данными рабо­тают средства вычислительной тех­ники.

Рассмотрим пути появления дан­ных в ЭВМ. Это ввод данных с кла­виатуры, со сканера, оцифровка изображений и звука с помощью звуковых и видеоплат. При этом данные, введенные с клавиатуры, в отличие от написанного на бумаге текста, уже не позволяют делать никаких выводов о почерке пользова­теля. Кроме того, если эксперт руко­писного текста способен высказать­ся не только о характере автора, но и о бумаге, на которой написан текст, то в случае экспертизы ком­пьютерных данных ничего этого нет — нет особенностей написания и нет обладающего индивидуаль­ностью листа бумаги. То же самое можно сказать по поводу оцифров­ки текстов, изображений и звука.

При переносе информации в па­мять компьютера неизбежно теря­ются индивидуальные особенности исходной природы данных — оста­ются только смыслы, стоящие за ни­ми. Определив порог, при преодоле­нии которого изменения физичес­кой величины будут нами наречены единицей, мы тем самым определя­ем величину информационных по­терь и уничтожаем изначально при­сущую аналоговым данным индиви­дуальность.

Данные, которые хранятся и об­рабатываются в ЭВМ, не содержат никаких сведений об индивидуаль­ных особенностях процессов и тех­нических устройств, имеющих отношение к созданию этих данных. Дру­гими словами, ни один честный экс­перт не имеет права гарантированно утверждать, что те или иные файлы созданы конкретным программным продуктом или переписаны с ука­занного магнитного носителя. Без­условно, отдельные программные продукты, например текстовые редакторы, работают только с файлами определенных форматов и оставля­ют собственные пометки об этой ра­боте. Казалось бы, на основании этих следов можно делать достовер­ные выводы об истории создания файлов. Однако следы эти — не что иное, как нули и единицы без цвета и запаха, которые могут быть прос­тавлены специально созданной для этой цели программой.

Понятно, что исходные данные, потерявшие свою физическую при­роду, войдя в компьютер, уже не мо­гут выйти из компьютера со следами той «жизни», той природной среды, которая их породила. ЭВМ и ее прог­раммное обеспечение, используя эк­ран монитора и принтер, вдыхают в спои выходные данные совершен­но новую природную индивидуаль­ность.

Все сказанное в полном объеме относится и к файлам, хранящимся на магнитных носителях, и к любой компьютерной продукции: фотогра­фиям, видеороликам, прошедшим обработку на СВТ. Техника, необ­ходимая для изготовления фальши­вок (Pentium-4, звуковая карта, сканер, видеобластер, соответствую­щее программное обеспечение), се­годня доступна любому желающему, а результатом ее применения может стать подпись, печать, бланк, запись телефонного разговора, фотография, видеоролик, запечатлевший якобы противоправный поступок. Более того, создать фотографии современных политиков, «застуканных» в компро­метирующей ситуации, совсем просто.

Если же взять технику, которая по своим ха­рактеристикам была бы чуть-чуть ближе к современным суперЭВМ, то многое из перечисленного, включая трансляцию с места событий, то есть из виртуального пространства, можно делать в режиме реального време­ни. Любая современная видеостудия сегодня обладает техникой, позволяющей в режиме реального вре­мени совмещать анимационные слои с реальными.

Из всего сказанного следует вывод: экспертные заключения по вопросу идентифи­кации данных, хранящихся на ЭВМ в цифровом виде, не могут опи­раться исключительно на эти самые данные.

Так, например, наиболее попу­лярный у следствия вопрос, когда речь заходит о преступлении, при подготовке или проведении которого применялась вычислительная тех­ника, это вопрос о дате создания конкретного файла на магнитном носителе злоумышленника при на­личии для экспертизы только этого самого магнитного носителя. Так вот, он всегда останется без уверен­ного ответа. Во-первых, злоумыш­ленник может утверждать, будто бы на его системных часах ранее было неправильно установлено время и он переустановил его буквально за минуту до задержания. Во-вторых, если нет описи содержимого магнит­ного носителя с подписями поня­тых, то нет и самого файла, который мог там появиться, например, уже после задержания, но с более ранней датой создания. Записать на дискету файл с любой датой создания спосо­бен даже неискушенный в информа­тике человек.

Так каким же может быть выход из создавшегося положения для след­ствия? Наверное, он состоит только в том, чтобы подстраховывать лю­бую экспертизу по компьютерным данным обычными уликами или свидетельскими показаниями. На вопрос о том, как это делать, для каждого конкретного случая можно найти свой ответ, но это уже другая история. Важно при расследовании преступления ничего не пропустить значимого. Попытаться получить во время ответы на все вопросы. Множество таких вопросов и необходимых действий приводится К. Мандиа и К. Просис[23]:

1. Кто обращается?

2. Кто обнаружил?

3. Когда произошел инцидент?

4. Физическое месторасположение?

5. Провайдер?

6.Оценить текущее состояние.

7. В чем заключается инцидент (признаки)?

8. Были ли в данной организации ранее подобного рода инциденты?

9. Характер и масштабность инцидента?

10. Последствия инцидента?

11. Затронутое инцидентом оборудование данные, программы, ресурсы и т.п.?

12. Сетевой или ip-адрес скомпрометированной системы?

13. Тип сети взломанного компьютера (Ethernet, Token Ring, FDDI и др.)?

14. Модем (телефонный номер)?

15. Операционная система?

16. Решаемые задачи, активные процессы?

17. Пользователи системы?

18. Права пользователей?

19. Действия пользователей в момент инцидента?

20. Действия пользователей, предваряющие инцидент?

21. Средства аудита и средства обеспечения безопасности (фильтры, антивирусы и т.п.) доступные пользователям?

22. Предположения пользователей?

23. Администратор системы?

24. Действия администратора в момент инцидента?

25. Действия администратора, предваряющие инцидент?

26. Средства аудита и средства обеспечения безопасности (фильтры, антивирусы и т.п.) доступные администратору?

27. Предположение администратора?

28. Локализация инцидента.

29. Возможные причины инцидента?

- ошибка пользователя;

- ошибка администратора;

- ошибка в используемом системном программном обеспечении;

- ошибка в используемом пользовательском программном обеспечении;

- злой умысел.

30. Восстановление системы.

31. Изучение причин инцидента.

32. Проверка соответствия представляемых данных оригинальным данным.

 

Другая не менее актуальная проб­лема, имеющая прямое отношение к экспертизе программного обеспече­ния, — это проблема выявления вре­доносных компьютерных программ в соответствии со статьями 272-274 УК РФ. Согласно статье 273 УК РФ под вредоносной программой для ЭВМ следует понимать «...програм­мы, заведомо приводящие к несанк­ционированному уничтожению, бло­кированию, модификации либо копированию информации, нару­шению работы ЭВМ, системы ЭВМ или их сети». Далее в статье предпо­лагается уголовное наказание для лиц, занимающихся распростране­нием вредоносных программ.

Данное определение следует при­знать достаточно точным, посколь­ку оно опирается на два ключевых фактора: наличие умысла (заведомо) и наличие скрытности от потенци­альной жертвы (несанкционирован­ному).

Действительно, представим себе, что закон не содержит этих ключе­вых слов. Тогда под вредоносный продукт для ЭВМ попали бы прог­раммы, ответственные за формати­рование магнитных носителей и га­рантированное удаление остаточной информации (заведомо). Более того, сюда же попали бы продукты, в кото­рых есть грубые ошибки, способные при определенных условиях привес­ти к уничтожению, блокированию, модификации либо копированию информации пользо­вателя, нарушению работы ЭВМ (несанкционированно). А такие ошибки присутствуют практически в любом объемном коде. Причем, что интересно, соглашение между производителем и пользователем при установке лицензионного и законно приобретенного пакета порой изначально предполагает снятие с разработчика продукта судебной ответственности за такие ошибки.

Подобные ошибки есть не только в серьезных пакетах, но и в любой операционной системе. В этом случае следовало бы привлечь Била Гейтса к ответственности по соответствующей статье УК РФ за изготовление и рас­пространение вредоносных компьютерных программ на территории России.

В этой связи можно ли считать, что продавец, зани­мающийся продажей CD-ROM с коллекцией вирусов, имеющих подробное описание на русском языке, зани­мается распространением вредоносных программ и по­падает под действие УК? Согласно статье 273 — нет, так как для человека, приобретающего CD-ROM, содержи­мое последнего не представляет скрытой опасности — все вирусы снабжены подробными комментариями и в силу этого не могут несанкционированно причинить вред покупателю.

Другое дело, если покупатель выбросит предупреж­дающий текст и всучит зараженную программу третьему лицу. Но тогда уже покупатель и будет нести уголовную ответственность за свои действия, ибо компьютерный ви­рус только после уничтожения сопровождающего его предупреждения об опасности превращается во вредонос­ную программу для ЭВМ.

И в заключение два достаточно простых вывода.

Так как данные, прошедшие обработку на ЭВМ, са­ми по себе не могут нести никакой информации не только об их создателе, но и о том образе, который возникает перед индивидуумом, их созерцающем (в случае цифрового фото-видео), то исключительно на них одних нельзя строить судебное экспертное заклю­чение.

Программы для ЭВМ вредоносными не рождают­ся. Они ими становятся после того, как потеряют свои сопроводительные «документы».

В заключении приведем выписку из УК РФ по теме "Преступления в сфере компьютерной информации" (гл. 28):

Статья 272. Неправомерный доступ к компьютерной информации

Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, - наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.

То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, - наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.

Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ

Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами - наказываются лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев.

Те же деяния, повлекшие по неосторожности тяжкие последствия, - наказываются лишением свободы на срок от трех до семи лет.

Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети

Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, - наказывается лишением права занимать определенные должности или заниматься определенной деятельностью, на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.

То же деяние, повлекшее по неосторожности тяжкие последствия, - наказывается лишением свободы на срок до четырех лет.

Преступления против собственности (гл. 21 УК РФ).

Статья 159. Мошенничество. Преступления в сфере компьютерной информации (гл. 28 УК РФ).

Мошенничество, то есть хищение чужого имущества или приобретение права на чужое имущество путем обмана или злоупотребления доверием, - наказывается штрафом в размере от двухсот до семисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до семи месяцев, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от четырех до шести месяцев, либо лишением свободы на срок до трех лет.

Мошенничество, совершенное:

группой лиц по предварительному сговору;

неоднократно;

лицом с использованием своего служебного положения;

с причинением значительного ущерба гражданину, - наказывается штрафом в размере от семисот до одной тысячи минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от семи месяцев до одного года либо лишением свободы на срок от двух до шести лет со штрафом в размере до пятидесяти минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период до одного месяца либо без такового.

Мошенничество, совершенное:

организованной группой;

в крупном размере;

лицом, ранее два или более раза судимым за хищение либо вымогательство, - наказывается лишением свободы на срок от пяти до десяти лет с конфискацией имущества или без таковой.

 

Вопросы и задачи

 

1. Проведите классификацию информации, исходя из вида процесса информационного взаимодействия.

2. Проведите классификацию информации по значимости для государства и организации.

3. Проведите классификацию информации по возможностям влиять на знания субъекта.

4. Перечислите и охарактеризуйте методы нарушения конфиденциальности информации.

5. Перечислите и охарактеризуйте методы нарушения целостности информации.

6. Перечислите и охарактеризуйте методы нарушения доступности информации.

7. Перечислите и охарактеризуйте существующие политики безопасности.

8. Методологические меры обеспечения безопасности информации. Приведите пример построения модели обеспечения безопасности информации.

9. Организационные меры обеспечения безопасности информации.

10. Технические средства обеспечения безопасности информации.

11. Как можно использовать изменчивость в решении задачи защиты данных.

12. Перечислите дополнительные требования к системе обеспечения безопасности информации.

13. Предложите технологию оценки надежности работы системы обеспечения безопасности.

14. Как организовать контроль и тестирование в системе обеспечения безопасности.

15. Сделайте выбор и дайте обоснование сделанному выбору для организации поиска закладных устройств на вашем объекте (в вашей лаборатории, классе). Поиск необходимых технических средств можно осуществить по сети Интернет.

16. Сделайте выбор и дайте обоснование сделанному выбору для организации защиты вашего помещения на время переговоров, которые могут длиться до 2-3 часов. Поиск необходимых технических средств можно осуществить по сети Интернет.

17. Постройте потоковую модель для возможных каналов утечки информации, представленных на рис.11.

18. Предложите организационные меры и технические средства для обеспечения защиты конфиденциальных разговоров от средств скрытого съема информации для рис. 11.

19. Прокомментируйте статьи УК 273 и 274.

20. В чем особенность криминалистической экспертизы данных, обрабатываемых на ЭВМ.

21. Попробуйте провести самостоятельное расследование компьютерного инцидента. Для этого осуществите имитацию этого инцидента.

 

⇐ Предыдущая10111213141516171819Следующая ⇒

Поделиться:

Воспользуйтесь поиском по сайту: