Особенности образования компьютерно-технических следов
Содержание
Введение
В
настоящее время индустрия
Вместе с тем, развитие и совершенствование информационных технологий, расширение производства технических средств и сферы применения компьютерной техники, совершенствующиеся виды коммуникационных устройств (устройств связи), доступность подобных устройств, а главное, наличие человеческого фактора в виде удовлетворения собственных амбиций или жажды наживы породили новый вид общественно опасных деяний, в которых неправомерно используется компьютерная информация, либо она сама становится объектом посягательства.
Происходящее в последние годы увеличение числа преступлений, совершенных с использованием компьютерных средств позволяет говорить о необходимости полной и всесторонней разработки проблем организации и методики их расследования. Сказанное в первую очередь касается решения методологических и научно-практических вопросов, связанных со спецификой следообразования при совершении данных преступлений, определения понятия, разработки классификации, характеристики свойств и основных направлений использования компьютерно-технических следов в ходе расследования.
Таким образом, считаем актуальным проанализировать особенности образования следов при совершении компьютерных преступлений.
1 Понятие и свойства следов при совершении компьютерных преступлений
Следами преступления являются любые изменения окружающей среды, причинно связанные с событием преступления [3].
Вместе с тем, следовая картина преступлений, совершенных с использованием средств компьютерной техники, весьма специфична и требует разработки принципиально иных методов и средств, по сравнению с традиционными.
Следы совершения преступления в сфере компьютерной информации в силу специфики рассматриваемого вида преступлений редко остаются в виде изменений внешней среды. Они в основном не рассматриваются современной трасологией, поскольку в большинстве случаев носят информационный характер, т.е. представляют собой те или иные изменения в компьютерной информации, имеющие форму ее уничтожения, модификации, копирования, блокирования. Как справедливо отмечает А.В. Касаткин, «при современном развитии вычислительной техники и информационных технологий «компьютерные следы» преступной деятельности имеют широкое распространение. Это должно учитываться следователями и оперативными работниками в их деятельности по собиранию доказательств наряду с поиском уже ставших традиционными следов».
Следы преступлений, совершенных с использованием средств компьютерной техники разделить на два типа: традиционные следы (идеальные следы, следы-отображения (трасологические следы) а также следы-вещества и следы-предметы) и нетрадиционные - информационные следы.
В научной литературе встречается несколько подходов к определению компьютерно-технических следов преступления. Представляется, что термин «бинарные следы» (автор - В.А. Милашев), не вполне корректен. Это связано с тем, что изменения в компьютерной информации, являющиеся следами преступления, в подавляющем большинстве случаев доступны восприятию не в виде двоичных кодов (что собственно и представляет собой бинарный след), а в преобразованном виде: записи в файле реестра, изменении атрибута файла, электронном почтовом сообщении и т.п. Указанные изменения обнаруживаются и исследуются посредством использования специального программного обеспечения, преобразующего двоичный код в доступную для восприятия форму. Иными словами информацию, сохраненную на машинном носителе, ее потребитель может воспринять только в том случае, если она воспроизведена устройствами вывода (например, монитором).
Так же не вполне удачно называть анализируемые следы «виртуальными» (автор - В.А. Мещеряков) как с этимологической позиции, так и с содержательной, что связано с тем, что понятие «виртуальный» - устоявшийся термин, применяющийся в квантовой теории и имеющий свое конкретное содержание.
Компьютерно-технические следы могут оставаться и при опосредованном (удаленном) доступе через компьютерные сети, например через Интернет. Они возникают в силу того, что система, через которую производится доступ, обладает некоторой информацией, которая запрашивается у лица, пытающегося установить связь с другим компьютером. Она определяет электронный адрес, используемое программное обеспечение и его версию, адрес электронной почты, реальное имя и другие данные [3].
Значительный интерес представляют данные об установках удаленного доступа к компьютерной сети, резервные копии файлов, файлы-отчеты, сохраняющие информацию о последних проделанных операциях и выполненных программах, время выхода в сеть, посещенные сайты, отправленные и полученные по электронной почте письма, установки для соединения с Интернетом и др.
Следами, указывающими на посторонний доступ к охраняемой законом информации могут являться: переименование каталогов и файлов; изменение размеров и содержимого файлов; изменение стандартных реквизитов файлов, даты и времени их создания; появление новых каталогов, файлов, изменение порядка взаимодействия с периферийным оборудованием (принтером, модемом и др.); появление новых и удаление прежних сетевых устройств и пр. Перечисленное может свидетельствовать об изменениях в заданной структуре файловой системы, а также об изменении содержимого файлов.
Рассматривая компьютерно-технические следы преступления как специфическую форму преобразования компьютерной информации, можно выделить следующие их свойства [3].
1.
Компьютерно-технический след
2. Являясь материальными по своей природе, компьютерно-технические следы не отражают пространственную форму следообразующего объекта.
3.
Данные следы обладают
4.
Являясь результатом
2 Особенности
образования компьютерно- технических
следов
К традиционным следам (следы-отображения, рассматриваемые трасологией, а также следы-вещества и следы-предметы) относятся материальные следы. Ими могут являться какие-либо рукописные записи, распечатки и т.п., свидетельствующие о приготовлении и совершении преступления. Материальные следы могут остаться и на самой вычислительной технике (следы пальцев рук, микрочастицы на клавиатуре, дисководах, принтере и т.д.), а также на магнитных носителях и CD-ROM дисках [1].
Информационные
следы образуются в результате воздействия
(уничтожения, модификации, копирования,
блокирования) на компьютерную информацию
путем доступа к ней и
Информационные следы могут оставаться и при опосредованном (удаленном) доступе через компьютерные сети, например через Интернет. Они возникают в силу того, что система, через которую производится доступ, обладает некоторой информацией, которую эта система запрашивает у лица, пытающегося соединиться с другим компьютером. Она определяет электронный адрес, используемое программное обеспечение и его версию. Кроме того, при доступе в сеть обычно запрашивается адрес электронной почты, реальное имя и другие данные. Эту информацию запрашивает системный администратор (провайдер) для контроля обращений на его сервер, и это также позволяет идентифицировать личность проникающего в сеть.
Рассмотрим информационные следы в сети Интернет, позволяющие установить лицо, совершившее неправомерный доступ к компьютерной информации, более подробно.
Данные о фирме-провайдере. В сети Интернет существует специальная служба Whois, предназначенная для установления провайдера, через которого произошел неправомерный доступ, для чего необходимо указать электронный адрес (IP) интересующего компьютера. Для связи с этой службой для европейской части сети существует сервис по адресу: www.ripe.net.
Время выхода абонента на связь и продолжительность его работы можно установить у провайдера по ведущемуся у него специальному лог-файлу.
Номер телефона, с которого была установлена связь с провайдером. Следует иметь в виду, что не все провайдеры устанавливают устройства автоматического определения номера на свои телефоны, да и ГТС не всегда может предоставить подобную информацию, однако пренебрегать этими возможностями нельзя. Впрочем, не стоит забывать и о том, что существуют и широко популяризированы через Интернет различные системы маскировки под другой номер, либо анти-АОНы. Но даже если удалось установить телефон, с которого был осуществлен звонок, это не всегда дает выход на конкретное лицо, поскольку к Интернету может быть подключена и локальная вычислительная сеть. В этом случае установить, с какого рабочего места был осуществлен сеанс связи, можно по лог-файлу сервера локальной сети с теми же ограничениями по времени.
Протокол выхода в Интернет с определенного компьютера. Он автоматически ведется на каждом компьютере, с которого возможен выход во всемирную сеть (количество дней его хранения определяется пользователем). Представляется, что совпадение данного протокола с лог-файлом провайдера может служить неопровержимым доказательством.
Данные о пользователе электронной почты (фамилия, имя, отчество, дата и место рождения, место жительства, работы и пр). Сам пользователь заинтересован в предоставлении достоверной информации для получения электронных сообщений.
Большой информационной ценностью обладают разговоры через Интернет, поскольку их содержание автоматически сохраняется во временных файлах, которые даже после стирания могут быть восстановлены (хотя бы частично).
Следует отметить, что многие программы фирмы Microsoft создают резервные копии файлов, файлы-отчеты, сохраняют информацию о последних проделанных операциях и выполненных программах, а также содержат иную информацию, представляющую огромный интерес для расследования. Вот лишь некоторые примеры:
Microsoft
Outlook Express 6.0 - все письма, которые были отправлены,
получены или удалены, хранит в своей базе
данных. Эти файлы расположены в директории
\Windows\Aplication\Microsoft\
Microsoft Internet Explorer 9.0 - в директории \Windows\Temporary Internet Files\ хранит места, которые посетил пользователь, находясь в сети Интернет.
Microsoft Windows 7 - в директории \Windows\History\ хранит все файлы истории, то есть данные о ранее выполнявшихся программах; в директории \Windows\name.pwl хранит имена, телефоны и пароли для соединения с Интернет, которые с помощью специальных программ расшифровываются.
Следами, указывающими на посторонний доступ к информации, могут являться: переименование каталогов и файлов; изменение размеров и содержимого файлов; изменение стандартных реквизитов файлов, даты и времени их создания; появление новых каталогов, файлов и пр.
Перечисленное может свидетельствовать об изменениях в заданной структуре файловой системы, а также об изменении содержимого файлов. Кроме того, на неправомерный доступ к компьютерной информации могут указывать изменения в заданной ранее конфигурации компьютера, в том числе: изменение картинки и цвета экрана при включении; изменение порядка взаимодействия с периферийным оборудованием (принтером, модемом и др.); появление новых и удаление прежних сетевых устройств.
На неправомерный доступ к компьютерной информации могут указывать и необычные проявления в работе ЭВМ, как то: замедленная или неправильная загрузка операционной системы; замедленная реакция машины на ввод с клавиатуры; замедленная работа машины с дисковыми накопителями при записи и считывании информации; неадекватная реакция ЭВМ на команды пользователя; появление на экране нестандартных символов, знаков и пр. Представляется, что данное классификационное построение согласуется с классификацией следов, описанной выше, и дополняет ее.
Одним
из наиболее часто встречающихся
в настоящее время видов
Одним из наиболее часто встречающихся в настоящее время видов преступлений в сфере компьютерной информации является распространение вредоносных программ. В.А. Мещеряков на примере данного вида преступлений рассмотрел особенности механизма образования "виртуальных" следов. Механизм следообразования – это специфическая конкретная форма протекания процесса, конечная фаза которого представляет собой образование следа-отображения. Элементами этого механизма являются объекты следообразования – следообразующий, следовоспринимающий, следовой контакт как результат взаимодействия вследствие приложения энергии к объектам следообразования. В зависимости от этапа совершения данного вида преступления будет существовать различный набор следообразующих объектов. Например, на этапе внедрения известной программы "Троянский конь" это сообщение электронной почты с прикрепленным исполняемым файлом в специальном формате, а на этапе активизации к нему добавится еще исполняемый файл. При этом основными с криминалистической точки зрения характеристиками следообразующих объектов будут:
- размер программ и сообщения электронной почты с присоединенным файлом;
- дата и время создания/получения и/или модификации файлов и сообщения;
- отдельные атрибуты (например, признак архивного, скрытого или системного файла, уровень важности и конфиденциальности полученного сообщения) файлы и сообщения;
- характерные записи исполняемых программ или файлов конфигурации, позволяющие идентифицировать конкретный экземпляр вредоносной программы. Например, адрес электронного почтового ящика, куда следует отсылать выкраденные пароли, логины и IP- адреса компьютера [1].
Помимо самих файлов вредоносной программы следообразующими объектами также будут:
1.
Файлы, использующиеся для
а) специализированная программа рассылки электронных сообщений (ее вид, версия, текущие настройки);
б) текстовые файлы или файлы в специальном формате, содержащие списки рассылки и вспомогательные данные – даты и время рассылки, количество попыток повторения и т.п.
2. Файлы компилятора, использующегося для создания (программирования или настройки) самой вредоносной программы:
а) версия, настройки и параметры. Эти данные в ряде компиляторов включаются в тело создаваемой с их помощью программы;
б) используемые библиотеки компилятора, операционной системы или других пакетов прикладных программ. Ряд программ рассчитан на обязательное присутствие на компьютере отдельных библиотек или отдельных пакетов прикладных программ. Например, известны случаи, когда вредоносные программы типа "троянский конь" для рассылки украденной парольно-ключевой информации используют коммуникационные средства программы обмена информацией в реальном времени ICQ.
Учитывая, что при совершении рассмотренных выше преступлений в сфере компьютерной информации используется, по крайней мере, два компьютера (преступника и жертвы), то следовоспринимающих объектов также будет несколько.
На компьютере жертвы такими объектами будут:
1.
Таблица размещения файлов. На
компьютере жертвы должны
2.
Системный реестр операционной
системы. Соответствующие
3. Отдельные кластеры магнитного носителя информации (винчестера, дискеты), в которых записываются фрагменты исполняемых файлов, конфигурации почтовой программы.
4.
Файлы и каталоги (папки) хранения
входящей электронной почты и
прикрепленных исполняемых
5.
Файлы конфигурации программ
удаленного соединения
На компьютере преступника такими объектами будут:
1.
Таблица размещения файлов. На
компьютере жертвы должны
2.
Системный реестр операционной
системы. Соответствующие
3.
Скопированные с компьютера-
4.
Файлы и каталоги (папки) хранения
входящей электронной почты,
5.
Файлы конфигурации программ
удаленного соединения
6. Отдельные кластеры магнитного носителя информации (винчестер и дискеты), в которых записываются фрагменты исполняемых файлов (программ) и файлов конфигурации [6].
Таким
образом, механизм образования компьютерно-
Механизм
следообразования в графических
файлах, созданных посредством
Механизм следообразования в программных средствах основан на свойстве программных продуктов «отражать» сведения о себе в реестре операционной системы, а также протоколирования действия программ в файлах - отчетах, электронных журналах и пр. Процесс обнаружения программного средства зависит от того, в каком состоянии (в виде дистрибутива, инсталлированная программа или работающая программа) оно находится.
Механизм
образования компьютерно-
Механизм следообразования в сети Интернет обусловлены особенностями организации и принципами работы сети. К важнейшим следам здесь относятся: IР- адрес, имя и пароль доступа пользователя к ресурсам сети, электронные почтовые отправления, сведения о фирме-провайдере и др.
Заключение
В результате проведенного исследования мы можем сделать следующие выводы:
На механизм следообразования при совершении преступлений, совершенных с использованием средств компьютерной техники, влияет комплекс факторов, которые представляется возможным подразделить на объективные и субъективные. К важнейшим объективным факторам, не зависящим от личностных особенностей преступника и потерпевшего, и влияющих на механизм следообразования, относятся: предмет преступного посягательства, место, время и способ совершения преступления, используемые орудия и средства, наличие, а также надежность средств защиты информации, тип используемой операционной системы и программного обеспечения, аппаратно-техническая конфигурация компьютера.
Субъективные факторы находятся в прямой зависимости от личностных качеств потерпевшего и преступника и включают в себя: криминальный опыт преступника, его интеллектуальные качества, виктимное поведение потерпевшего.
Особенности механизма следообразования в реестре операционной системы состоят в том, что все основные события в системе (установка или удаление программ, изменение настроек системы, установка оборудования, подключение к Интернету и др.) автоматически отражаются в виде записей в определенных ключах реестра. Использование данных реестра позволяет эффективно решать значительное число тактических задач расследования, связанных с доказыванием причастности конкретного лица к совершенному преступлению на основе выявления, исследования и оценки компьютерно-технических следов в реестре.
Список использованных источников
- Козлов В.Е. Теория и практика борьбы с компьютерной преступностью. - М: Горячая линия - Телеком, 2002. - 336 с.
- Криминалистика: учебное пособие для студентов вузов / Н.И. Порубов [и др.]; ред. Порубов Н.И. – Минск.: Вышэйшая школа, 2007. – 574 с.
- Лыткин Н.Н. Использование компьютерно-технических следов в раскрытии и расследовании преступлений: Монография. - М.: Московский университет МВД России, 2006. – 155 с.
- Мещеряков В.А. Механизм следообразования при совершении преступлений в сфере компьютерной информации // Известия Тульского государственного университета. Серия: Современные проблемы законодательства России, юридических наук и правоохранительной деятельности. Вып. 3. Тула 2000 - с. 170-172.
- Правовая информатика: курс лекций / Гринберг А.С., Кашинский Ю.И., Славин Б.С. – Минск: БГУ, 2006. - 184 с.
- Шаталов А.С., Пархоменко А.Н. Криминалистическая характеристика компьютерных преступлений // Российский криминологический взгляд. 2007. - № 1. - С. 204-208.

- Особенности образования Русского централизованного государства
- Особенности образования централизованного государства
- Особенности обращения банковских карт в Российской Федерации
- Особенности обращения как формулы речевого этикета
- Особенности обслуживания клиентов предприятий туризма
- Особенности обслуживания потребителей в барах
- Особенности обучения в высшей школе
- Особенности оборота земель сельскохозяйственного назначения
- Особенности оборота земель сельскохозяйственного назначения и права на них
- Особенности оборота секретной информации в Украине
- Особенности обработки древесины
- Особенности образования аустенита и процесса аустенитизации в порошковых сталях
- Особенности образования в Германии
- Особенности образования и воспитания в Византии