Кибербезопасность. Лекция 5 Кибер. Краснодарский университет мвд россии

Название	Краснодарский университет мвд россии
Анкор	Кибербезопасность
Дата	09.02.2022
Размер	97.94 Kb.
Формат файла
Имя файла	Лекция 5 Кибер.doc
Тип	Методическая разработка #355929
страница	2 из 3

1 2 3

3. Криминалистически значимая классификация интернет-преступлений. Средства журналирования, обеспечивающие получение следовой информации с систем обработки и передачи информации.
Механизм совершения преступлений с использованием информационно-коммуникационных технологий характеризуется спецификой образующих его элементов. Эта специфика обусловлена в первую очередь особенностями способов подготовки, совершения и сокрытия таких преступлений, в основе которых лежат технологии дистанционной передачи данных с использованием информационно-коммуникационных сетей. В свою очередь, данное обстоятельство закономерно обуславливает специфику и иных элементов в структуре механизма преступления: орудий и средств его совершения, которыми выступают программное обеспечение, компьютерная техника (включая как микропроцессорные устройства, так и устройства приема, передачи и хранения данных, включая электронные носители информации), сеть Интернет (включая находящиеся в ней информационные ресурсы и сервисы, электронные сообщения) и др. Компьютерная информация в механизме рассмвтриваемых преступлений может выступать либо как предмет преступного посягательства (при ее неправомерном уничтожении, копировании, блокировании или модификации), либо в качестве средства совершения преступления (например, при совершении вымогательства, преступления против личности дистанционным способом и т. п.).

Все приведенные выше особенности механизма совершения преступлений с использованием информационно-коммуникационных технологий закономерно влекут и исключительное своеобразие следовой картины данных преступлений.

Следовая картина названных преступлений весьма специфична и требует разработки принципиально иных методов и средств по сравнению с традиционными. Следы совершения указанных преступлений, в силу их специфики, редко остаются в виде изменений внешней среды. Соответственно, они не рассматриваются в рамках трасологии, поскольку в большинстве случаев носят информационный характер, т. е. представляют собой те или иные изменения в охраняемой законом информации в результате ее уничтожения, модификации, копирования, блокирования. В этой связи обнаружение, фиксация и изъятие таких следов требуют использования особых криминалистических технологий, разработка и совершенствование которых на протяжении уже ряда лет представляет исключительно актуальное направление криминалистики.

Все это предопределяет появление самостоятельного раздела криминалистической техники – криминалистического исследования электронных носителей информации, направленного на обеспечение единообразного подхода к работе с данными объектами, к числу которых относятся любые устройства, конструктивно предназначенные для постоянного или временного хранения информации в виде, пригодном для использования в электронных вычислительных машинах, а также для ее передачи по информационнотелекоммуникационным сетям или обработки в информационных системах.

К числу объектов криминалистического исследования электронных носителей информации относятся и средства подвижной радиотелефонной (мобильной) связи с доступом в сеть Интернет (смартфоны) и иные информационно-коммуникационные устройства, включая планшетные компьютеры. В связи с наличием в абсолютном большинстве современных смартфонов модуля получения геопространственной информации, использующего сигналы систем ГЛОНАСС и (или) GPS-навигации, перспективным направлением развития вышеназванного раздела криминалистической техники является исследование данных средств навигации.

Помимо перечисленного, к числу объектов криминалистического исследования электронных носителей относятся: системы обработки информации или отдельные функциональные устройства таких систем; системные блоки персональных компьютеров, ноутбуков, нетбуков и т. п; машинные носители (накопители на жестких и гибких магнитных дисках, флеш-накопители, карты памяти, оптические диски и т. п.); уже упомянутые навигаторы, трекеры; мобильные телефоны и SIM-карты к ним; радиоэлектронные устройства; платежные пластиковые карты и скимминговые устройства; платы игровых автоматов; видеорегистраторы и пр.

Электронные носители информации как источники доказательственной информации и объекты криминалистических исследований были рассмотрены в предыдущем параграфе. Как уже отмечалось, их ключевой характеристикой является то, что они предназначены для хранения определенных фактических данных в цифровой форме, иными словами, для хранения компьютерной информации. Соответственно, именно электронные носители информации отражают результаты ее создания, уничтожения, копирования, блокирования, модификации или иного преобразования, т. е. следовую картину совершенного противоправного деяния. Как и любые иные объекты материального мира, электронные носители информации характеризуются конкретными морфологическими признаками: тип, вид, марка, модель, цвет, емкость, форм-фактор, серийный номер и пр.

Уточним, что при совершении преступлений с использованием информационно-коммуникационных технологий остаются и традиционные (трасологические) следы – предметы, вещества, отображения. Это и следы пальцев рук на клавиатуре иных аппаратных компонентов информационной системы; микрочастицы (например, волокна одежды на мебели, волосы, перхоть, попавшие на клавиатуру); следы обуви; следы орудий взлома и инструментов в помещениях, где происходил непосредственный физический контакт с компьютерной техникой, а также сами электронные носители как объекты материального мира и пр. За десятки лет развития криминалистики накоплен колоссальный опыт работы с подобного рода следами.

Однако в ходе расследования преступлений, совершенных с использованием информационно-коммуникационных технологий, наибольшей спецификой обладают, разумеется, электронные следы преступления. Они представляют собой результаты создания или преобразования компьютерной информации в форме уничтожения, копирования, блокирования или модификации, а также соответствующие им изменения физических характеристик ее носителя, причинно связанные с событием преступления. Заметим, что в языке криминалистике нет единообразного подхода к наименованию и классификации вышеназванных следов. Они рассматривались в работах Ю. М. Батурина и А. М. Жодзишского , Н. С. Полевого , В. В. Крылова , В. Б. Вехова , А. В. Сорокина , Б. В. Андреева, П. Н. Пака, В. П. Хорста , А. Г. Волеводза , В. А. Мещерякова , Ю. В. Гаврилина и Н. Н. Лыткина и др. В различных источниках данные следы именуются и как компьютерные, и как компьютерно-технические, и как цифровые, и как информационные, и как бинарные, и пр.

Вместе с тем сущность данных следов состоит в том, что они, оставаясь на электронных носителях информации, отражают изменения в хранящейся в них информации по сравнению с исходным состоянием.

На логическом уровне происходит модификация информации (т. е. внесение изменений в информацию баз данных, программ, текстовых файлов, файлов-отчетов и протоколов работы, системного реестра, учетных записей пользователей сети Интернет и др.), уничтожение информации (удаление из каталогов имен файлов, стирание или добавление отдельных записей), копирование информации (т. е. ее дублирование на том же самом или ином электронном носителе), блокирование информации (т. е. лишение возможности доступа к ней) либо создание новой информации.

На физическом уровне происходит размагничивание или намагничивание определенных секторов (кластеров) рабочих поверхностей носителей или изменение электрического заряда в изолированной области полупроводниковой структуры.

Электронные следы преступления как специфическая форма преобразования компьютерной информации являются :

1. Отражением события преступления в информационном поле.

2. Материальными по своей природе, но не отражающими пространственную форму следообразующего объекта.

3. Результатом преобразования компьютерной информации.

4. Способными к дублированию, т. е. переносу (копированию) на другие носители информации без какого-либо изменения их характеристик.

Базовые принципы работы с электронными следами преступления:

1. Любые действия по обнаружению, фиксации и изъятию электронных следов не должны приводить к изменениям информации на электронных носителях, признанных вещественными доказательствами.

2. Работа с носителями информации, содержащими электронные следы преступления, должна вестись только с участием профильного специалиста надлежащей квалификации.

3. Все действия по обнаружению, фиксации, изъятию, исследованию электронных следов и последующему хранению электронных носителей информации должны быть надлежаще процессуально оформлены.

4. Четкое разделение ответственности субъектов уголовнопроцессуальной деятельности, в распоряжении которых находятся электронные носители информации, содержащие электронные следы преступления, за их сохранность в неизменном состоянии.

Все электронные следы можно разделить на две большие группы: локальные (находящиеся на индивидуально определенных электронных носителях, доступ к информации на которых осуществляется непосредственно на месте их нахождения) и сетевые (доступ к которым осуществляется опосредованно, с использованием сетевого оборудования).

Локальные следы подразделяются, в свою очередь, также на две группы: мета-данные и искомые данные. К мета-данным относятся признаки, идентифицирующие компьютерную информацию: имя, размер и формат файла, автор файла, дата и время создания, изменения, связи файла, его категория. К искомым данным относится информация, имеющая отношение к расследуемому событию (входящая в предмет доказывания), и иная информация (не относящаяся к расследуемому событию).

Криминалистически значимую информацию о работе пользователя в сети Интернет в операционной системе MicrosoftWindows ХР содержат:

файлы реестра и системных событий, расположенные в каталоге %Windir%\System32\Config\;

файл, содержащий перечень и настройки активных подключений; Documents and Settings\All Users\Application;

data\Microsoft\Network\Connections\Pbk\rasphone.pbk;

файлы, содержащие протоколы работы модемов %Windir%\ Modem Log_%Modemname%.txt;

файлы Index.dat, содержащие сведения об интернет-ресурсах, посещаемых пользователем;

файлы, расположенные в каталогах: Documents and Settings\%username%\Local Setings\Temporary Internet Files\ Content.IE5\;

файлы, расположенные в каталогах: Documents and Settings\%username%\cookies\;

файлы, содержащие настройки и протоколы работы программ, предназначенных для работы пользователя в сети Интернет.

Локальными электронными следами являются также результаты работы антивирусных и тестовых программ, а также вредоносное программное обеспечение на компьютере или ином устройстве, например, смартфоне потерпевшего.

Сетевые следы представляют собой сведения о прохождении информации по каналам связи между отдельными компьютерами, объединенными в локальную сеть или подключенными к Интернету. Данные сведения сохраняются в специальных файлах регистрации (log-файлах), ведение которых осуществляется информационными системами в автоматическом режиме. Какое бы событие или действие ни произошло в информационной системе, сведения о нем (кто инициировал его, когда и в какое время оно произошло; если при этом были затронуты файлы, то какие) регистрируются в log-файлах. Logфайлы фиксируют дату сеанса связи, информацию о времени связи (времени начала, окончания и продолжительности сеанса связи), статические или динамические IP-адреса, телефонные номера, скорость передачи сообщения, характеристики сеанса связи, включая тип использованных протоколов, сами протоколы, MAC-адрес использованного сетевого оборудования, системное время и др.

IP-адрес (айпи-адрес, от англ. Internet Protocol Address) – уникальный сетевой адрес компьютера (сервера, сетевого оборудования) в сети, построенный на основе протокола адресации IP в виде четырех десятичных чисел значением от 0 до 255, разделенных точками, например, 192.168.0.1.

MAC-адрес (от англ. Media Access Control – управление доступом к среде, также Hardware Address) – это уникальный идентификатор, присваиваемый производителем каждой единице сетевого адаптера используемого оборудования (ноутбука, нетбука, планшетного ПК, смартфона). Он имеет, примерно, следующий вид: 00-04-5F-B2-FC-9F или 00:04:5F:B2:FC:9F.

Следует иметь в виду, что МАС-адрес передается оператору связи только при непосредственном подключении к его оборудованию. Если для подключения используется промежуточное оборудование (например, ADSL-модем, WiFi-маршрутизатор или USB-модем), то МАС-адрес оператору связи не передается. Кроме того, значение МАС-адреса может принудительно изменяться на произвольное самим пользователем, что предусмотрено настройкой соответствующих параметров в операционной системе. Значение MAC-адреса фиксируется не каждым оператором связи. Некоторые производители присваивают одинаковый MAC-адрес всей партии сетевых адаптеров.

Используя бесплатные и общедоступные интернет-сервисы Whois, существует возможность установления сведений о собственнике доменного имени сайта в сети Интернет, а также об организации, осуществившей регистрацию доменного имени и заключившей соответствующий договор с собственником доменного имени, дате регистрации, сроке действия права на это имя, иные данные, на основании которых нетрудно установить лицо, создавшее тот или иной сайт в сети Интернет.

Возможность установления названной информации зависит от того, является ли данный IP-адрес маршрутизируемым («белым») в сети Интернет (к такому IP-адресу можно обратиться из любого сегмента сети Интернет) или он относится к частным («серым») IP-адресам (к таким IP-адресам нельзя обратиться из какого-либо другого сегмента сети Интернет напрямую)1 . Информацию о частных IP-адресах получить с использованием интернет-сервиса Whois нельзя. Технологии получения подобной информации имеют свои особенности исходя из диапазона IP-адресов и носят индивидуальный характер.

При получении доступа в сеть Интерент посредством точек публичного подключения (в организациях общественного питания, транспорта, образования, гостиницах, общественных местах и пр.) электронный журнал (log-файл) сервера организации, предоставляющей услуги по доступу в сеть Интернет, будет содержать следующие данные: IP-адрес, предоставленный лицу в конкретный момент времени, данные о сетевых адресах, к которым был получен доступ с использованием данного IP-адреса, дату, место, время начала и окончания доступа, MAC-адрес сетевой карты устройства, с которого был произведен выход в сеть, номер SIM-карты, через которую произошла авторизация пользователя при подключении к Интернету, операционную систему и браузер его устройства.

В конечном счете сетевые следы позволяют установить лицо, совершившее преступление дистанционным способом. Технология решения данной тактической задачи будет рассмотрена в следующих параграфах, посвященных частным методикам расследования отдельных видов преступлений, совершенных с использованием информационно-коммуникационных технологий.

Следами, позволяющими установить лицо, совершившее неправомерный доступ к охраняемой законом компьютерной информации (путем уничтожения, блокирования, копирования или модификации), находящейся на интернет-сайте, являются:

– сведения об IP-адресах, с которых производится администрирование интернет-сайта, доменного имени и/или IP-адреса, выявление сторонних заходов;

– сведения о запросах, посылаемых при обращениях к интернетсайту, и поиск среди них тех, что могли использоваться для поиска уязвимостей при обработке запросов на сервере и выдачи закрытой информации, а также при удаленном управлении сервером посредством «шеллов»;

– сведения об ошибках, возникающих в интересующий промежуток времени;

– следы подбора пароля для аутентификации на сервере, на котором настроена работа интернет-сайта;

– программы для удаленного администрирования;

– программы/файлы, которые позволяют получать несанкционированный доступ к сведениям на сервер/копировать информацию на сервере;

– вредоносные программы;

– сведения о загрузке/выгрузке файлов на /с сервера.

Следами, позволяющими установить, откуда была предпринята DoS/DDoS-атака, направленная на блокирование интернет-ресурса, являются:

– период прекращения штатного функционирования сетевого ресурса; – запросы, которые посылались сетевому ресурсу до прекращения его штатного функционирования, а именно: их количество, промежуток между отправками, содержание запроса;

– IP-адреса, с которых произведена отправка обнаруженных запросов; – сведения об ошибках, возникающих на сетевом ресурсе, в интересующий период времени;

– сведения о прекращении штатного функционирования сетевого ресурса.

Следами создания, использования и распространения вредоносных программ для ЭВМ являются:

– переписка (в том числе в социальных сетях, на интернетресурсах, в программах для мгновенного обмена сообщениями, почтовых клиентах);

– история сетевых соединений;

– вредоносные программы, в том числе эксплойты;

– программы для повышения привилегий в системе;

– командные центры (серверы управления) обнаруженных программ.

Большое количество ценной криминалистически значимой информации содержат социальные сети. Речь при этом идет не только о контенте, который выкладывают пользователи на свои страницы, анализ которого позволяет определить и круг общения пользователя, его образ жизни, увлечения, способы проведения досуга, род занятий, уровень доходов, географию перемещений, семейное положение и состав семьи, используемый автотранспорт, а также иные данные. Каждый пользователь социальной сети имеет персональный идентификатор (указывается в адресной строке браузера, после доменного имени сайта социальной сети), для получения которого пользователю необходимо пройти процедуру регистрации. Соответственно, в организации, владеющей соответствующей социальной сетью, можно получить данные учетной записи пользователя: указанные им при регистрации анкетные данные, дату и время регистрации, IP-адрес доступа к сети Интернет при регистрации, адрес электронной почты, абонентский номер сотовой связи (для SMS-подтверждения), а также продолжительность использования учетной записи и иные сведения. Заметим, что если указываемый при регистрации адрес электронной почты может быть вымышленным, то номер мобильного телефона, вероятнее всего, будет реальным (хотя, возможно, и зарегистрированным на подставное лицо), поскольку для регистрации в социальной сети требуется SMS-подтверждение путем введения специального кода, направляемого на телефонный номер, указанный при регистрации. Таким образом, для установления лица, фактически использующего SIM-карту, соответствующую номеру мобильного телефона, указанного при регистрации в социальной сети, следует запросить у оператора сотовой связи детализацию звонков, а также данные о способах пополнения финансового баланса SIM-карты. При этом если для пополнения баланса данной SIM-карты использовались электронные кошельки или банковские карты, то информацию о лицах, на которые они открыты, можно получить в соответствующей кредитно-финансовой организации на основании ст. 26 Закона РФ от 2 декабря 1990 г. № 395-1 «О банках и банковской деятельности».

1 2 3