Методика расследования неправомерного доступа к информации

Криминалистическая характеристика неправомерного доступа к информации: методы перехвата, манипуляции. Методика и тактика расследования, проведение обыска и выемки. Зарубежный опыт привлечения хакеров к борьбе с преступлениями путём сделки с правосудием.

Рубрика Государство и право
Вид курсовая работа
Язык русский
Дата добавления 07.06.2011
Размер файла 50,9 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

38

Размещено на http://www.allbest.ru/

Методика расследования неправомерного доступа к информации

Содержание

Введение

Глава 1. Криминалистическая характеристика неправомерного доступа к информации

Глава 2. Методика расследования неправомерного доступа к информации

Глава 3. Тактика расследования неправомерного доступа к информации

Заключение

Список литературы

Введение

Компьютерные преступления стали неотъемлемой частью современного криминального мира, поскольку компьютеризация общества развивается огромными темпами. А так как основным носителем важной информации в современном мире также является компьютер, то соответственно неправомерный доступ к ней стал одним из самых распространённых компьютерных преступлений. Быстрыми темпами растет экономический ущерб от них. При этом истинные размеры данных видов преступлений, латентность которых составляет 90%, остаются до сих пор не известны. Качественные показатели, характеризующие современную преступность, говорят о том, что она активно осваивает и использует достижения высоких технологий. Интенсивное развитие компьютерной техники, а также средств телекоммуникаций и широкое их внедрение во все сферы человеческой деятельности привели к огромному количеству преступлений в сфере компьютерной информации, что способствовало появлению в криминалистике нового направления, связанного с изучением так называемых информационных следов, которые требуют научного познания и методов, технических и тактических приемов их обнаружения, фиксации и исследования.

Одним из самых распространенных видов преступлений в компьютерной сфере является преступление, предусмотренное ст. 272 УК РФ - неправомерный доступ к компьютерной информации.

При расследовании подобного рода преступлений следует учитывать специфику сферы, в которой они совершаются - высокотехнологичность орудий преступления и высокий интеллектуальный потенциал преступников, поэтому разработаны специальные методики расследования подобных преступлений, о которых и идёт речь в данной работе.

Формирование комплекса практического и теоретического материала является необходимым для каждого следователя, занимающегося расследованием данного преступления в рамках своей компетенции. Задачей следователя при расследовании является правильная квалификация деяния, проведение следственных действий и постановка необходимых вопросов эксперту для получения наиболее полной, необходимой и полезной для расследования информации. Также следователь должен понимать механизм совершения данного преступления, чтобы ориентироваться в ситуации и направлять усилия экспертной группы в нужном направлении. Учитывая специфику орудий и средств, используемых для совершения неправомерного доступа к компьютерной информации, а также высокий интеллектуальный потенциал преступника, следователь должен хорошо отработать схему проведения следственных действий с учётом всех процессуальных и материальных нюансов.

Объектом исследования данной работы является неправомерный доступ к компьютерной информации с криминалистической точки зрения. Предметом исследования является методика расследования неправомерного доступа к компьютерной информации.

В данной работе использованы труды не только учёных-криминалистов, таких как Крылов В.В., который очень подробно рассматривает расследование неправомерного доступа к компьютерной информации в деталях, Россинская Е.Р. и Усов А.И., которые заостряют свой внимание на компьютерно-технической экспертизе, Дворкина А.И., Ищенко Е.П. и Шурухнова, и Шаповаловой Г.М., работы которых раскрывают вопросы тактики расследования и компьютерной трасологии, но и так называемых «хакеров» - профессиональных преступников в сфере компьютерных преступлений.

Их работы вызывают особенный интерес, поскольку в них описываются способы совершения неправомерного доступа к компьютерной информации самими преступниками, и, что характерно для статей подобного рода, даётся очень полная характеристика способа, орудий совершения преступления, и, в некоторых случаях, описание способов и средств, с помощью которых можно вычислить автора преступления. К сожалению, и по понятным причинам, работы данных авторов даны под псевдонимами, и среди них особо следует выделить TRR, SERJ, HellMan, как давших наиболее ценную информацию для данной работы.

информация доступ хакер расследование

Глава 1. Криминалистическая характеристика неправомерного доступа к информации

С 1996 года в Уголовном кодексе Российской Федерации появилась новелла: статья 272 УК РФ. Данная статья предусматривает уголовную ответственность за неправомерный доступ к охраняемой законом компьютерной информации, т.е. информации на машинном носителе, в электронно-вычислительной машине, системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети. Уголовный кодекс Российской Федерации: официальный текст с изм. и доп. на 1.12.2006. - М.: Эксмо, 2006.-256 с.

Необходимость установления уголовной ответственности за причинение вреда в связи с использованием именно компьютерной информации (т.е. информации на машинном носителе, в электронно-вычислительной машине, системе ЭВМ или их сети) была вызвана возрастающим значением и широким применением ЭВМ во многих сферах деятельности и наряду с этим повышенной уязвимостью компьютерной информации по сравнению, например, с информацией, зафиксированной на бумаге и хранящейся в сейфе

Специфичность компьютерной информации, как предмета преступного посягательства, определяется ее пониманием как информации зафиксированной на машинном носителе (ЭВМ) или передаваемой по телекоммуникационным каналам в форме, доступной восприятию ЭВМ.

Общий объект данных преступлений общественные отношения по обеспечению информационной безопасности, а непосредственными объектами преступного посягательства являются: базы и банки данных, отдельные файлы конкретных компьютерных систем и сетей, а также компьютерные технологии и программные средства, включая те, которые обеспечивают защиту компьютерной информации от неправомерного доступа.

Под информацией понимаются сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"// Поисково-правовая система Гарант Максимум. Документированная информация это зафиксированные на материальном носителе сведения с реквизитами, которые позволяют их идентифицировать. Компьютерная информация считается документированной, но хранящейся в ЭВМ или управляющей ею в соответствии с программой и (или) предписаниями пользователя. К машинным носителям компьютерной информации относятся блоки памяти ЭВМ, ее периферийные системы, компьютерные средства связи, сетевые устройства и сети электросвязи.

Объективную сторону данных преступлений составляет неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло уничтожение, блокирование, модификацию, копирование информации, нарушение работы ЭВМ или ее сети (ст. 272 УК РФ). Субъектом преступлений в сфере компьютерной информации является вменяемое физическое лицо, достигшее 16-ти летнего возраста. Данные преступления могут совершаться как с умыслом, так и по неосторожности (ст. 272 УК РФ). Комментарий к Уголовному кодексу Российской Федерации (отв. ред. А.А. Чекалин; под ред. В.Т. Томина, В.В. Сверчкова). - 3-е изд., перераб. и доп. М.: - Юрайт-Издат, 2006 г. - С. 643.

Способ совершения преступления представляет собой совокупность действий преступника, направленных на подготовку, совершение и сокрытие данного преступления. Курс уголовного права. Том 1. Общая часть. Учение о преступлении / Отв. ред. Н.Ф.Кузнецова, И. М. Тяжкова. - М.: "Зерцало-М", 2006г. - С. 346.

С криминалистической точки зрения способы совершения имеют важное значение и проявляются в следующих характеристиках: распространенность, приемы и условия его применения, необходимые для этого технические средства, источники их получения и т.д.

В научной литературе имеется ряд наработок относительно названия способов совершения преступлений в сфере неправомерного доступа к информации и их классификации.

Так, основными методами получения несанкционированного получения информации, по данным Американского Национального института компьютерной безопасности, являются:

1) применение подслушивающих устройств (закладок);

2) дистанционное фотографирование;

3) перехват электронных излучений;

4) мистификация (маскировка под запросы системы);

5) перехват акустических излучений и восстановление текста принтера;

6) хищение носителей информации и производственных отходов (сбор мусора);

7) считывание данных из массивов других пользователей;

8) копирование носителей информации с преодолением мер защиты;

9) маскировка под зарегистрированного пользователя;

10) использование программных ловушек;

11) незаконное подключение к аппаратуре и линиям связи;

12) вывод из строя механизмов защиты Мелик Э. Компьютерные преступления. Информационно-аналитический обзор. - Internet: http://www.melik.narod.ru.

Ю.М. Батурин выделяет три основные группы способов совершения компьютерных преступленийБатурин Ю.М. Проблемы компьютерного права/ Ю.М. Батурин - М.: Юриздат, 2007. 352 с.:

1. Методы перехвата

Непосредственный перехват - его особенностью является то, что подключение производится прямо к коммуникационным каналам либо узлам передачи данных. Объектами перехвата могут быть кабельные и проводные системы, системы радио - и спутниковой связи.

Электромагнитный перехват осуществляется по остаточным излучениям тех или иных устройств (дисплея, принтера, систем коммуникаций), причем на достаточном удалении от объекта излучения.

Представляется обоснованным выделить здесь подгруппу "удаленный перехват", поместив туда электромагнитный перехват, аудиоперехват (снятие информации по виброакустическому каналу) и видеоперехват (получение информации с помощью видеооптической техники). Э. Мелик выделяет также в этой группе метод "Уборка мусора", то есть поиск "отходов" информационного процесса, как физического характера (бумаги, счета, иной мусор), так и электронного (поиск и восстановление удаленных данных)Мелик Э. Компьютерные преступления. Информационно-аналитический обзор. - Internet: http://www.melik.narod.ru.

2. Методы несанкционированного доступа

Эти методы имеют свои специфические названия, достаточно распространенные как за рубежом, так и в отечественной практике.

Метод "Следование за дураком" (pigbacking). Заключается в несанкционированном проникновении в закрытые зоны следом за законным пользователем или вместе с ним.

Метод "За хвост" (between the lines entry). Это подключение к линии связи законного пользователя и, после прекращения им сеанса связи, продолжение осуществления доступа к системе от его имени.

Метод "Компьютерный абордаж" (hacking). Обычно используется для проникновения в чужие информационные сети путем перебора идентифицирующих признаков законных пользователей (как правило, имен и паролей).

Метод "Неспешный выбор" (browsing). Однажды обнаружив слабые места в системе защиты, злоумышленник может спокойно читать и анализировать содержащуюся в системе информацию, копировать ее, возвращаться к ней по мере необходимости.

Метод "Поиск бреши" (trapdoor entry). Данный метод основан на использовании ошибки или неудачи в логике построения программы путем анализа ее работы.

Метод "Люк" (trapdoor) является развитием предыдущего. Люком является специально запланированная на этапе разработки недокументированная функция системы защиты (фактически это брешь), которая используется злоумышленником.

Метод "Маскарад" (masquerading). Проникновение в компьютерную систему, имитируя законного пользователя.

Метод "Мистификация" (spoofing). Используется при случайном подключении "чужой" системы. Злоумышленник, формируя правдоподобные отклики, может поддерживать заблуждение ошибочно подключившегося пользователя в течение какого-то промежутка времени и получать некоторую полезную для него информацию, например коды пользователя.

Метод "Аварийный". Этот прием основан на использовании того обстоятельства, что обычно в систему защиты встраивается особая программа, применяемая как системный инструмент в случае возникновения сбоев или других отклонений в работе ЭВМ, которую использует злоумышленник.

Метод "Склад без стен". Несанкционированный доступ осуществляется в результате системной поломки. Например, если некоторые файлы пользователя остаются открытыми, он может получить доступ к не принадлежащим ему частям банка данных www.crime-research.ru. Особую опасность представляет несанкционированный доступ в компьютерные системы финансовых учреждений с целью хищения финансовых средств. По оценкам отечественных специалистов, уже сейчас хищения с применением компьютерной техники и средств электронного платежа представляют серьезную угрозу. В ближайшем будущем прогнозируется значительный рост преступности в данной сфере и увеличение ее доли в общем количестве преступлений.

3. Методы манипуляции

Подмена данных заключается во вводе неверной информации, на основании которой системы автоматизированной обработки информации имеют на выходе неверные результаты.

Подмена кода - это, по сути, изменение самого процесса ввода, хранения, обработки, вывода информации.

Моделирование используется как для анализа процессов, в которые преступники предполагают вмешаться, так и для планирования методов совершения преступления.

Троянский конь (Trojan horse) - способ, состоящий в тайном введении в чужую программу таких команд, которые позволяют осуществлять иные, не планировавшиеся владельцем программы функции, но одновременно сохранять и прежнюю работоспособность.

Действия такого рода часто совершаются сотрудниками, которые стремятся отомстить за несправедливое, по их мнению, отношение к себе либо оказать воздействие на администрацию предприятия с корыстной целью.

Салями (salami attack) - присваивание округляемых остатков на счетах.

Логическая бомба (logic bomb) - тайное встраивание в программу набора команд, который должен сработать при определенных условиях.

Временная бомба (time bomb) - разновидность логической бомбы, условием в которой является определенный момент времени или временной интервал.

Асинхронная атака состоит в смешивании команд двух или нескольких пользователей, чьи команды компьютерная система выполняет одновременно Пособие для ламеров, SERJ // Internet: http://www. x32.com, 2003 г.

Что касается лиц, совершающих преступления в сфере компьютерной информации, то они делятся на три группы:

1) Хакеры - профессиональные взломщики защиты компьютерных программ и создатели компьютерных вирусов, которых отличает высокий профессионализм в сочетании с компьютерным фанатизмом. В зависимости от вида деятельности хакеры имеют следующие специализации:

а) крекеры (взломщики защиты программ от неоплаченного использования);

б) фрикеры (используют альтернативные варианты оплаты телефонных услуг для обмана АТС);

в) кардеры (оплачивают свои расходы с чужих кредитных карточек) www.mvdinform.ru

г) сетевые хакеры (взломщики защиты провайдера) и др. Айков Д., Сейгер К., Фонсторх У. Компьютерные преступления. Руководство по борьбе с компьютерными преступлениями/ Д. Айков, К. Сейгер, У. Фонсторх. - М.: БЕК, 2007. - 215 с.

К признакам совершения преступлений в сфере компьютерной информации хакерами относятся оригинальность способа и отсутствие тщательной подготовки к преступлению и его сокрытию.

2) Психически больные лица, страдающие компьютерными фобиями (т.е. профессиональными информационными заболеваниями), которые уничтожают или повреждают компьютерную технику без наличия преступного умысла с частичной или полной потерей контроля над своими действиями.

3) Криминальные профессионалы - т.е. преступные группировки, преследующие политические цели; лица, занимающиеся промышленным шпионажем; группировки отдельных лиц, стремящихся к наживе.

Преступления, совершаемые ими в сфере www.mvd.ruкомпьютерной информации носят серийный, многоэпизодный характер, совершают многократно, обязательно с применением мер по сокрытию преступления.

Большинство из преступников в сфере компьютерной информации составляют мужчины -- 83%, но доля женщин быстро увеличивается в связи с появлением чисто «женских» специальностей, связанных с необходимостью овладения компьютерной техникой. При этом размер ущерба от преступлений, совершенных мужчинами, в четыре раза больше, чем от преступлений, совершенных женщинами. Возраст правонарушителей на момент совершения преступления составлял: до 20 лет (33%); от 20 до 40 лет (54%) и старше 40 лет (13%). Из каждой тысячи преступлений в сфере профессиональными программистами. При этом 40% преступников имели среднее специальное образование, 40% -- высшее и 20% -- среднее.

Глава 2. Методика расследования неправомерного доступа к информации

Информация и информационные правоотношения все чаще становятся новым предметом преступного посягательства.

При расследовании неправомерного доступа к компьютерной информации обстоятельства содеянного устанавливаются в такой очередности:

1) факт неправомерного доступа к информации в компьютерной системе или сети;

2) место несанкционированного проникновения в эту систему или сеть;

3) время совершения преступления;

4) способ несанкционированного доступа;

5) степень надежности средств защиты компьютерной информации;

6) лица, совершившие неправомерный доступ, их виновность и мотивы преступления;

7) вредные последствия содеянного;

8) выявление обстоятельств, способствовавших преступлению Скоромников К.С. Неправомерный доступ к компьютерной информации и его расследование // Прокурорская и следственная практика.- 2005. - N 1. - С. 41-45.

Для рассматриваемых преступлений характерны такие ситуации начала расследования:

1. Собственник компьютерной системы обнаружил нарушение ее целостности и (или) конфиденциальности, установил виновное лицо и заявил о случившемся в правоохранительные органы.

2. Собственник самостоятельно выявил названные нарушения, однако не смог установить злоумышленника и заявил о случившемся.

3. Сведения о нарушении целостности и (или) конфиденциальности информации и виновном субъекте стали известны или непосредственно обнаружены компетентным органом, владелец компьютерной системы этот факт скрывает.

4. Правоохранительным органом обнаружены признаки противоправного вторжения в компьютерную систему, виновное лицо и владелец информации неизвестны.

Факт неправомерного доступа к информации обнаруживают, как правило, пользователи компьютерной системы или сети. Такие факты иногда устанавливаются в ходе оперативно-розыскной деятельности органов внутренних дел, ФСБ, ФСНП России. Их можно выявить и в ходе прокурорских проверок, ревизий, судебных экспертиз, следственных действий по расследуемым делам.

Признаками несанкционированного доступа или подготовки к нему могут служить:

а) появление в компьютере искаженных данных - является следствием воздействия специальных программ, использованных для преодоления систем защиты, либо преднамеренного искажения файлов, к которым и был осуществлён неправомерный доступ;

б) длительное необновление кодов, паролей и других защитных средств компьютерной системы - указывает на то, что преступником может являться лицо, официально работающее с данной системой, поскольку другим лицам сложно осуществить несанкционированное управление системой без привлечения к себе внимания пользователей и обслуживающего персонала системы;

в) увеличение числа сбоев в работе ЭВМ - указывает на использование специальных программ, для преодоления системы защиты, изменения или копирования информации;

г) участившиеся жалобы пользователей компьютерной системы или сети.

Таким фактам могут предшествовать или сопутствовать:

1) осуществление без необходимости сверхурочных работ;

2) немотивированные отказы отдельных сотрудников, обслуживающих компьютерную систему или сеть, от очередного отпуска;

3) приобретение работником для личного пользования дорогостоящего компьютера;

4) чистые дискеты или диски, принесенные на работу кем-то из сотрудников компьютерной системы под предлогом копирования программ для компьютерных игр;

5) участившиеся случаи перезаписи отдельных данных без серьезных на то причин;

6) необоснованный интерес некоторых работников к содержанию чужих принтерных распечаток;

7) повторный ввод в компьютер одной и той же информации и др.

Необходимо выяснить также признаки неправомерного доступа, выражающиеся в отступлениях от установленного порядка обработки документов. Ястребов А.А., Героев М.М. Вопросы квалификации неправомерного доступа к компьютерной информации // Актуальные проблемы права, управления и природопользования. - 2003. - Вып. 1. - С44 - 47. Имеются в виду:

а) нарушения принятых правил оформления документов и изготовления машинограмм;

б) лишние документы, подготовленные для обработки на ЭВМ;

в) несоответствие информации, содержащейся в первичных документах, данным машинограмм;

г) преднамеренные утрата или уничтожение первичных документов и машинных носителей информации, внесение искажений в данные их регистрации.

Следует, однако, помнить, что перечисленные признаки могут быть результатом не только злоупотреблений, но и других причин, например халатности персонала, случайных ошибок и сбоев компьютерной техники.

Место несанкционированного проникновения в компьютерную систему или сеть удается установить с определенными трудностями, поскольку таких мест может быть несколько. На практике чаще обнаруживается место неправомерного доступа к компьютерной информации с целью хищения денежных средств, но для этого также приходится выявлять все места работы компьютеров, имеющих единую телекоммуникационную связь.

Гораздо проще это место устанавливается тогда, когда расследуется несанкционированный доступ к единичному компьютеру. Обыкновенно доступ имеют ограниченное количество лиц. Также проще определить способ доступа к информации. Но и тут нужно учитывать, что информация на машинных носителях может храниться в других помещениях.

Во много раз труднее определить место непосредственного применения технических средств удаленного несанкционированного доступа, которые не входят в данную компьютерную систему или сеть. Это может быть как элементарное видеонаблюдение, так и считывание электромагнитных излучений компьютера и его элементов. Излучение можно считывать даже с клавиатуры, во время набора текста, в том числе и паролей и кодов. К установлению подобного доступа необходимо привлекать соответствующих специалистов. Необходимо выяснить также место хранения информации на машинных носителях, добытой преступником в результате неправомерного доступа к компьютерной системе или сети.

Время несанкционированного доступа можно определить с помощью программ общесистемного назначения. В работающем компьютере они обычно фиксируют текущее время. Если данная программа функционирует, то при несанкционированном входе в систему или сеть время работы на компьютере любого пользователя и производства конкретной операции автоматически фиксируется в оперативной памяти. Тогда время несанкционированного доступа можно определить в ходе следственного осмотра компьютера, его распечаток или дискет, производимого с участием специалиста, чтобы информация, находящаяся в оперативной памяти ЭВМ или на дискете, не была случайно стерта. В качестве специалистов могут выступать, например, сотрудники информационных центров МВД, ГУВД, УВД субъектов Российской Федерации. Время несанкционированного доступа устанавливается и путем допроса свидетелей из числа сотрудников данной компьютерной системы. Выясняется, когда именно каждый из них работал на ЭВМ, если это не было зафиксировано в автоматическом режиме. Гульбин Ю. Преступления в сфере компьютерной информации // Российская юстиция. -1997.- N 10. С. 10-13.

Способы преступных манипуляций в сфере компьютерной информации могут быть разделены на две большие группы. Первая группа осуществляется без использования компьютерных устройств в качестве инструмента для проникновения извне в информационные системы или воздействия на них.

Это могут быть: хищение машинных носителей информации в виде блоков и элементов ЭВМ; использование визуальных, оптических и акустических средств наблюдения за ЭВМ; считывание и расшифровка различных электромагнитных излучений компьютера и обеспечивающих систем; фотографирование информации в процессе ее обработки; изготовление бумажных дубликатов входных и выходных документов, копирование распечаток; использование оптических и акустических средств наблюдения за лицами, имеющими отношение к необходимой злоумышленнику информации, фиксация их разговоров; осмотр и изучение не полностью утилизированных отходов деятельности компьютерных систем; вступление в прямой контакт с лицами, имеющими отношение к необходимой злоумышленнику информации, получение от них под разными предлогами нужных сведений и др. Для таких действий, как правило, характерна достаточно локальная следовая картина. Она определяется тем, что место совершения преступных действий и дислокация объекта преступного посягательства расположены вблизи друг от друга или совпадают. Приемы их исследования достаточно традиционны.

Вторая группа преступных действий осуществляется с использованием компьютерных и коммуникационных устройств. Тогда несанкционированный доступ реализуется с помощью различных способов: подбором пароля, использованием чужого имени, отысканием и применением пробелов в программе, удалённым использованием различных специализированных программ, таких как «кей-логгер» - считывает и передаёт все нажатия клавиш клавиатуры, «ред-админ» - позволяет полный удалённый контроль над компьютером, а также других мер преодоления защиты компьютерной информации. Конкретный способ несанкционированного доступа можно установить путем допроса свидетелей из числа лиц, обслуживающих компьютерную систему, и ее разработчиков. При этом следует учитывать выявленную следовую картину. У них необходимо выяснить как преступник мог проникнуть в защищенную систему, например, узнать идентификационный номер законного пользователя, код, пароль для доступа, получить сведения о других средствах защиты системы или сети ЭВМ.

Чрезвычайно важны и другие действия, направленные на фиксацию факта нарушения целостности (конфиденциальности) компьютерной системы и его последствий, следов преступных манипуляций виновного субъекта, отразившихся в ЭВМ и на машинных носителях информации, в линиях связи и др.

Способ несанкционированного доступа надежнее установить путем производства судебной информационно-технической экспертизы. Перед экспертом ставится вопрос: "Каким способом был осуществлен несанкционированный доступ в данную компьютерную систему?" Просвирник Ю.Г. Преступления в сфере компьютерной информации (понятие и состав)//Российское уголовное законодательство: Проблемы теории и практики. 2004. - Вып. 8.- С. 127 -129. Для этого эксперту нужно представить всю проектную документацию на взломанную компьютерную систему, а также данные о ее сертификации. При производстве такой экспертизы не обойтись без использования компьютерного оборудования той же системы, которую взломал преступник, либо специальных технических и программных средств.

В ряде случаев целесообразен следственный эксперимент для проверки возможности преодоления средств защиты компьютерной системы одним из предполагаемых способов. Одновременно может быть проверена возможность появления на экране дисплея конфиденциальной информации или ее распечатки вследствие ошибочных, неумышленных действий оператора либо случайного технического сбоя в электронном оборудовании www.cyber-crimes.ru.

Выясняя надежность средств зашиты компьютерной информации, прежде всего, следует установить, предусмотрены ли в данной системе или сети ЭВМ меры защиты от несанкционированного доступа, в том числе к определенным файлам.. Это возможно в ходе допросов разработчиков и пользователей системы, а также при изучении проектной документации и инструкций по эксплуатации системы. Как правило, неправомерный доступ облегчается халатностью администратора системы или пользователя компьютера, что происходит в 99% случаев. «Взлом питерского ISP», Hell-Man // «Хакер».- №12. - 2007. - С. 22 - 31. Изучая инструкции, нужно обращать особое внимание на разделы о мерах защиты информации, порядке допуска пользователей к конкретным данным, разграничении их полномочий, организации контроля за доступом. При установлении лиц, совершивших несанкционированный доступ к конфиденциальной компьютерной информации, следует учитывать, что он является технологически весьма сложным. Осуществить его могут только специалисты, обладающие достаточно высокой квалификацией. Поэтому поиск подозреваемых рекомендуется начинать с технического персонала взломанных компьютерных систем или сетей. Это в первую очередь их разработчики, а также руководители, операторы, программисты, инженеры связи, специалисты по защите информации, другие сотрудники.

Следственная практика свидетельствует, что чем технически сложнее способ проникновения в компьютерную систему или сеть, тем легче установить подозреваемого, ибо круг специалистов, обладающих соответствующими способностями, весьма ограничен. С другой стороны среди «хакеров» очень популярно оставлять на месте преступления, т.е. в системе взломанного компьютера, улики, непосредственно указывающие на совершение преступления как раз лицом, официально работающим с системой. Подобные уловки могут легко завести следствие в ненужном направлении, что часто и происходит, учитывая высокую латентность подобного рода преступлений. В системе или в сети могут быть указания на то, что доступ был совершён с компьютера определённого лица. Секрет подобной уловки знает каждый начинающий хакер, для этого существует огромное количество специальных программ, помогающих получить анонимный доступ к сети, либо доступ через компьютер «подставляемого» лица «Секреты удачного взлома», TRR // Internet: http://www. x32.com, 2007 г .. Поэтому на практике следователь всегда должен быть крайне осторожен при определении подозреваемого или обвиняемого.

Доказыванию виновности конкретного субъекта в несанкционированном доступе к компьютерной информации способствует использование различных следов, обнаруживаемых при осмотре ЭВМ и ее компонентов. Это, например, следы пальцев, записи на внешней упаковке дискет и др. Для их исследования назначаются криминалистические экспертизы дактилоскопическая, почерковедческая и др.

Для установления лиц, обязанных обеспечивать надлежащий режим доступа к компьютерной системе или сети, следует, прежде всего, ознакомиться с должностными инструкциями, определяющими полномочия сотрудников, ответственных за защиту конфиденциальной информации. Их необходимо допросить для выяснения, кто запускал нештатную программу, и фиксировалось ли это каким-либо способом. Нужно также выяснить, кто особо увлекается программированием, учится или учился на курсах программистов, интересуется системами защиты информации. Минаев В.А., Саблин В.Н. Основные проблемы борьбы с компьютерными преступлениями в России. - Internet: http://www.mte.ru/www/toim.nsf

У субъектов, заподозренных в неправомерном доступе к компьютерной информации, производится обыск в целях обнаружения: ЭВМ различных конфигураций, принтеров, средств телекоммуникационной связи с компьютерными сетями, записных книжек, в том числе электронных, с уличающими записями, дискет и дисков с информацией, могущей иметь значение для дела, особенно если это коды, пароли, идентификационные номера пользователей данной компьютерной системы, а также сведения о них. Крылов В.В. Расследование преступлений в сфере информации/ В.В. Крылов. - М.: Городец, 2007. - С.345.При обыске нужно изымать также литературу и методические материалы по компьютерной технике и программированию. К производству обыска и осмотру изъятых предметов рекомендуется привлекать специалиста по компьютерной технике, незаинтересованного в исходе дела.

Доказать виновность и выяснить мотивы лиц, осуществивших несанкционированный доступ к компьютерной информации, можно лишь по результатам всего расследования. Решающими здесь будут показания свидетелей, подозреваемых, обвиняемых, потерпевших, заключения судебных экспертиз, главным образом информационно-технологических и информационно-технических, а также результаты обысков. В ходе расследования выясняется:

1) с какой целью совершен несанкционированный доступ к компьютерной информации;

2) знал ли правонарушитель о системе ее защиты;

3) желал ли преодолеть эту систему и какими мотивами при этом руководствовался.

Вредные последствия неправомерного доступа к компьютерной системе или сети могут заключаться в хищении денежных средств или материальных ценностей, завладении компьютерными программами, а также информацией путем изъятия машинных носителей либо копирования. Это может быть также незаконное изменение, уничтожение, блокирование информации, выведение из строя компьютерного оборудования, внедрение в компьютерную систему вредоносного вируса, ввод заведомо ложных данных и др.

Хищения денежных средств чаще всего совершаются в банковских электронных системах путем несанкционированного доступа к их информационным ресурсам, внесения в последние изменений и дополнений. Такие посягательства обычно обнаруживают сами работники банков, устанавливаются они и в ходе оперативно-розыскных мероприятий. Сумма хищения определяется посредством судебно-бухгалтерской экспертизы. Мухачев С.В., Богданчиков В.Б. Компьютерные преступления и защита информации: учеб. - практ. пособие/ С.В. Мухачев, В.Б. Богданчиков. - Екатеринбург: УрЮИ МВД России, 2008.- 321 с.

Факты неправомерного завладения компьютерными программами вследствие несанкционированного доступа к той или иной системе и их незаконного использования выявляют, как правило, потерпевшие. Максимальный вред причиняет незаконное получение информации из различных компьютерных систем, ее копирование и размножение с целью продажи либо использования в других преступных целях.

Похищенные программы и базы данных могут быть обнаружены в ходе обысков у обвиняемых, а также при оперативно-розыскных мероприятиях. Если незаконно полученная информация конфиденциальна или имеет категорию государственной тайны, то вред, причиненный ее разглашением, определяется представителями Гостехкомиссии России.

Факты незаконного изменения, уничтожения, блокирования информации, выведения из строя компьютерного оборудования, "закачки" в информационную систему заведомо ложных сведений выявляются прежде всего самими пользователями компьютерной системы или сети. Следует учитывать, что не все эти негативные последствия наступают в результате умышленных действий. Их причиной могут стать случайные сбои в работе компьютерного оборудования, происходящие довольно часто.

При определении размера вреда, причиненного несанкционированным доступом, учитываются не только прямые затраты на ликвидацию негативных последствий, но и упущенная выгода. Такие последствия устанавливаются в ходе следственного осмотра компьютерного оборудования и носителей информации с анализом баз и банков данных. Помогут здесь и допросы технического персонала, владельцев информационных ресурсов. Вид и размер ущерба обычно определяются посредством комплексной экспертизы, проводимой с участием специалистов в области информатизации, средств вычислительной техники и связи, экономики, финансовой деятельности и товароведения.

На заключительном этапе расследования формируется целостное представление об обстоятельствах, которые облегчили несанкционированный доступ к компьютерной информации. Здесь важно последовательное изучение различных документов, особенно относящихся к защите информации. Весьма значимы материалы ведомственного (служебного) расследования.

К этим обстоятельствам относятся:

1) неэффективность методов защиты компьютерной информации от несанкционированного доступа;

2) совмещение функций разработки и эксплуатации программного обеспечения в рамках одного структурного подразделения;

3) неприменение в технологическом процессе всех имеющихся средств и процедур регистрации операций, действий программ и обслуживающего персонала;

4) нарушение сроков изменения паролей пользователей, а также сроков хранения копий программ и компьютерной информации.

Глава 3. Тактика расследования неправомерного доступа к компьютерной информации

1. Особенности проведения обыска и выемки

В настоящее время неправомерный доступ к компьютерной информации может совершаться огромным количеством способов, о которых речь шла выше. Соответственно при проведении такого следственного мероприятия, как обыск должны учитываться все факторы, сопутствующие совершению преступления. В данном разделе речь пойдёт об особенностях проведения обыска в случае совершения не только рассматриваемого преступления, но и любого компьютерного преступления в целом.

При расследовании неправомерного доступа к компьютерной информации, связанного с созданием, использованием и внедрением вредоносных программ (вирусы-взломщики, трояны, кей-логгеры), используемых для облегчения совершения преступления, наиболее целесообразной представляется следующая последовательность решения основных задач:

1) установление факта и способа создания вредоносной программы для ЭВМ;

2) установление факта и времени использования и распространения вредоносной программы;

3) установление виновных лиц, создавших, использовавших и распространявших вредоносные программы для ЭВМ;

4) установление характера и размера вреда, причиненного данным преступлением;

5) установление обстоятельств, способствовавших совершению расследуемого преступления. Вехов В.Б. Компьютерные преступления: способы совершения и раскрытия/В.Б. Вехов. - М.: Юриздат, 1996.- 221 с.

Работникам правоохранительных органов необходимо учитывать ряд особенностей при производстве обыска применительно к преступлению, предусмотренному ст.272 УК РФ. Обыск производится обычно, когда имеется информация о лицах, причастных к преступлению, местах непосредственного использования компьютерного оборудования с целью неправомерного доступа к компьютерной информации, создания, использования и внедрения вредоносных программ для ЭВМ и местах хранения добытой при помощи вредоносных программ информации. Малышко Д.Г. Уголовная ответственность за неправомерный доступ к компьютерной информации: Автореф. дис....канд. юрид. наук. М., 2002.Обыск производится, как правило, в местах нахождения компьютерного оборудования. Возможно проведение личного досмотра подозреваемого, в результате которого могут быть изъяты машинные носители с искомой информацией.

На подготовительной стадии обыска следователь должен решить ряд вопросов организационного характера. Необходимо получить максимум информации об условиях и обстановке места, где предстоит произвести обыск. Для получения указанных данных может быть использована как доказательственная, так и непроцессуальная информация Иванов А.Н. Производство обыска: уголовно процессуальные и криминалистические аспекты / Отв. ред. В.И. Комиссаров. - Саратов.: Пресса. -2006. - C. 62.. Внезапность проникновения на место обеспечивается общими тактическими приемами обыска: транспорт оставляется вне возможного поля зрения лиц, находящихся в обыскиваемом помещении; организуется наблюдение за окнами и входом в помещение; подход к дому осуществляется, как правило, несколькими группами, чтобы не вызвать подозрений. Для проникновения в квартиру используют помощь работников коммунальной службы, соседей. Возможно приурочить проникновение к входу-выходу кого-либо из квартиры. В соответствии с ч.6 ст.182 УПК РФ следователь может вскрыть любое помещение, если владелец отказывается открыть его добровольно. Уголовно - процессуальный кодекс Российской Федерации: официальный текст с изм. и доп. на 7.09.2007. - М.: Эксмо, 2007.-288 с. Следует помнить о необходимости постоянного присутствия понятых, чтобы они воспринимали все происходящее с самого начала. В случае проникновения в помещения организаций, имеющих контрольно-пропускные пункты, используется помощь сотрудников специальных подразделении. Попытки извещения кого-либо о проникновении должны пресекаться. По прибытии на место следует сразу же принять меры по обеспечению сохранности ЭВМ и имеющихся в них данных и ценной информации. Для этого прежде всего необходимо:

1) решить вопрос (в зависимости от конкретной ситуации) о необходимости отключения электроэнергии и, в некоторых случаях, иных средств коммуникации на объекте (телефон, сетевой кабель и т.д.) для предотвращения уничтожения информации;

2) не разрешать никому из лиц, находящихся на объекте, прикасаться к ЭВМ;

3) не производить никаких манипуляций со средствами компьютерной техники без участия квалифицированного специалиста.

Представляется несколько спорной точка зрения о необходимости отключения электроснабжения объекта для того, чтобы не уничтожить информацию, содержащуюся в оперативной памяти ЭВМАктуальные вопросы раскрытия и расследования преступлений. Ч. 2.// Следственный бюллетень. - 2001. - N 3. - С. 108.. Совершить компьютерное преступление, не оставив каких-либо следов на жестком диске или ином носителе, маловероятно. На указанных носителях информации должна оставаться определенная информация, исходные тексты вредоносной программы, различные следы ее создания, доступа в сеть. К тому же совершающее противоправное деяние лицо, как правило, не сидит в помещении с открытым доступом, и осуществить немедленную изоляцию его от компьютера очень нелегко даже при самом быстром и оперативном реагировании правоохранительных органов. В случае принудительного вскрытия входной двери оперативной группой злоумышленнику вполне может хватить затраченного на это времени для безвозвратного уничтожения компрометирующей информации и уж тем более для отключения электропитания при необходимости. Заблаговременное же отключение электричества может помешать злоумышленнику удалить информацию. Однако существует определенная сложность в том, что ЭВМ могут быть оснащены источниками бесперебойного питания, позволяющими некоторое время поддерживать компьютер включенным при отключении электроэнергии. Этого времени вполне достаточно для удаления злоумышленником информации. Также распространён такой метод уничтожения улик, как помещение носителей информации в микроволновую печь. Таким образом, вопрос о целесообразности отключения электроснабжения должен решаться в каждом конкретном случае. Немаловажное значение при этом имеет возможность внезапного и быстрого проникновения следственно-оперативной группы на место.

Необходимо отметить весьма важный тактический вопрос о выборе следственного действия, которое надлежит произвести в некоторых ситуациях. Для производства осмотра жилища требуется согласие проживающих в нем лиц или судебное решение (ч.5 ст.177 УПК РФ). Запрашивание согласия жильцов нецелесообразно, так как, если у них имеется какая-либо компрометирующая компьютерная информация, она может быть уничтожена в считанные минуты. Судебное же решение на осмотр жилища выдается лишь при отсутствии согласия проживающих в нем лиц (п.4 ч.2 ст.29 УПК РФ). Таким образом, следователь, намеревающийся провести осмотр жилища, вынужден как бы предупредить возможного преступника о своем намерении. Батурин Ю.М. Проблемы компьютерного права/ Ю. М. Батурин - М.: Юриздат,2007. - 352 с. Учитывая, что компьютерная информация может быть удалена намного легче и быстрее, чем какие-либо иные следы, и при этом может не остаться даже признаков, указывающих на то, что происходил процесс удаления, результативность такого осмотра может быть весьма низка. Исходя из вышесказанного, осмотр жилища, где, по мнению следователя, находится оборудование, которое использовалось в преступных целях, следует проводить лишь в исключительных случаях, на стадии решения вопроса о возбуждении уголовного дела. Так, если имеется достоверная информация о создании или распространении вредоносных программ, следователь может до возбуждения уголовного дела и получения судебного решения (с последующим уведомлением судьи в 24-часовой срок) произвести осмотр жилища, руководствуясь п.5 ст.165 УПК РФ. Уголовно - процессуальный кодекс Российской Федерации: официальный текст с изм. и доп. на 7.09.2007. - М.: Эксмо, 2007.-288 с. В остальных же случаях, целесообразнее произвести обыск. Это объясняется тем, что для получения решения суда на производство обыска не требуется согласия проживающих в жилище лиц, и таким образом реализуется необходимый элемент неожиданности, без которого эффективность обнаружения и фиксации доказательств резко снижается.

Следует принять во внимание, что в ходе обыска возможны попытки со стороны персонала повредить ЭВМ с целью уничтожения информации и ценных данных, а также возможно наличие на компьютерах специальных средств защиты от несанкционированного доступа, которые могут уничтожить информацию. Для предотвращения удаления или модификации информации необходимо обращаться за консультацией к специалисту, не заинтересованному в исходе дела, а не за помощью к персоналу. Можно поспорить с точкой зрения некоторых авторов о том, что, приступая непосредственно к осмотру ЭВМ, следует детально описывать изображение на экране монитора, производить фото- и видеосъемкуБыстряков Е.Н. Расследование компьютерных преступлений//Е.Н. Быстряков, А.Н. Иванов, В.А. Климов. - Саратов: Пресса, 2007. - С.56. .

Подробно фиксировать изображение на экране монитора нужно лишь в том случае, когда будет установлено (посредством консультации со специалистом), что отображаемая информация имеет или может иметь отношение к расследуемому деянию. В большинстве же случаев на экране отображается информация об исполняемой программе - текстовый редактор, игровое приложение, так называемый хранитель экрана (screensaver). Изображение при этом может динамично изменяться, и процесс его детального описания или заснятия на фото- видеосъемку будет весьма долгим, накладным и нецелесообразным. Существует и опасность уничтожения информации: в то время как оперативная группа будет с усердием протоколировать и фотографировать причудливое изображение на экране, программа уничтожения информации благополучно сможет удалить всю компрометирующую информацию.

В связи с этим по прибытии на место следует оперативно установить характер исполняемых программ и при необходимости пресечь их исполнение. Вся информация, содержащаяся в ЭВМ, должна быть исследована на наличие вредоносных программ, конструкторов вирусов, исходных текстов вредоносных программ, сканеров сети, документации к ним, ссылок на сайты, содержащие такие программы. Особое внимание уделяется поиску скрытых и удаленных файлов. Фиксируется настройка оборудования на связь с определенным абонентом.

Также необходимо изымать все периферийные устройства, такие как мышь, клавиатуру и т.п. Есть прецеденты использования подобных устройств как замаскированных носителей информации, системных ключей, без наличия которых компьютер может не только не запуститься, но и вообще ликвидироваться вся информация на жёстком диске. Поэтому при исследовании компьютер необходимо запускать в той комплектации, в которой он находился в момент обнаружения «Методы защиты компьютера», TRR., Internet: http://www. x32.com, 2007 г..

Все машинные носители информации подлежат исследованию; при необходимости используется портативный компьютер следователя. Важно помнить, что множество пользователей, не надеясь на свою память, записывают информацию по доступу в систему на отдельных листках, в тетрадках и т.д., поэтому следует обратить внимание на такие записи и при необходимости изъять их. При изъятии информации можно ограничиться изъятием непосредственно машинных носителей, ее содержащих. На машинном носителе с компрометирующей информацией (CD-диск, дискета, флэш-диск) целесообразно попытаться обнаружить и зафиксировать отпечатки пальцев. В случае необходимости изъятия всего системного блока его нужно опечатать, чтобы исключить возможность работы с ним, разукомплектования и повреждения основных рабочих компонентов в отсутствие владельца или эксперта. Опечатывается системный блок листом бумаги с подписями следователя, понятых и представителя персонала. Этот лист крепится, например, густым клеем на заднюю панель компьютера с разъемами электропитания и захлестывается на боковые стенки. Возможны и другие способы опечатывания - в зависимости от устройства корпуса системного блока. Важно лишь, чтобы опечатанный системный блок нельзя было подключить или разобрать без повреждения опечатки.

Необходимо отметить, что системные блоки должны храниться и перемещаться в специальной упаковке, исключающей разрушающее воздействие различных электромагнитных полей или излучений. Нельзя подносить к компьютерной технике металлоискатели и другие источники магнитного поля, а также сильные осветительные приборы и некоторую спецаппаратуру ближе, чем на один метр М.М. Менжега. Особенности производства обыска при расследовании компьютерных преступлений // Журнал российского права. - 2003. - № 12. - С. 15 -18..

Специфика рассматриваемой категории преступлений такова, что юрист-следователь, как правило, не обладает специальными познаниями в этой области. Предположения о том, что тот или иной компьютер или носитель является хранилищем важной для данного дела информации, являются обычно вероятностными, следователь не обладает доказательственной информацией, в лучшем случае лишь оперативной, необходимыми техническими навыками для ее безопасного извлечения он также не обладает. Поэтому специалисты крайне необходимы для участия в обысках, осмотрах, выемках, как в стадии предварительного расследования, так и в стадии возбуждения уголовного дела.


Подобные документы

  • Криминалистическая характеристика неправомерного доступа к информации, его методика и тактика расследования. Практический, теоретический материал, необходимый для деятельности следователя при расследовании неправомерного доступа к компьютерной информации.

    курсовая работа [45,0 K], добавлен 25.06.2011

  • Уголовно-правовая и криминалистическая характеристика неправомерного доступа к компьютерной информации. Особенности возбуждения уголовного дела. Следственные ситуации первоначального этапа расследования неправомерного доступа к компьютерной информации.

    дипломная работа [107,2 K], добавлен 18.03.2012

  • Проблема информационной безопасности. Уголовно-правовая и криминалистическая характеристика неправомерного доступа к компьютерной информации. Особенности первоначального этапа расследования неправомерного доступа к информации.

    курсовая работа [28,1 K], добавлен 25.11.2004

  • Изучение криминалистической тактики и тактики отдельных следственных действий. Особенности планирования расследования преступлений. Тактика следственного осмотра и освидетельствования, задержания и допроса, обыска и выемки, проверки показаний на месте.

    реферат [38,9 K], добавлен 25.05.2010

  • Криминалистическая характеристика взяточничества. Проблемы расследования взяточничества. Особенности расследования взяточничества. Этапы расследования взяточничества. Методика расследования взяточничества. Тактика расследования.

    курсовая работа [40,7 K], добавлен 22.05.2007

  • Описание личности несовершеннолетнего и его черт. Криминалистическая характеристика расследования преступлений несовершеннолетних. Методика проведения расследования. Механизм следообразования. Анализ личности потерпевших. Предмет посягательства.

    контрольная работа [24,9 K], добавлен 30.11.2015

  • Порядок планирования расследования убийства. Тактика осмотра места происшествия. Составление протокола обыска, выемки и проведения допроса. Порядок проведения следственного эксперимента и назначения экспертизы. Тактика предъявления для опознания.

    контрольная работа [32,4 K], добавлен 04.10.2011

  • Правовое регулирование отношений в области компьютерной информации. Общая характеристика преступлений в сфере компьютерной информации. Расследование преступления. Фабула и предварительный план расследования.

    курсовая работа [33,3 K], добавлен 24.10.2004

  • Понятие, задачи и виды обыска. Подготовка к обыску. Понятие и задачи обыска. Виды обыска. Подготовка к проведению обыска и выемки. Тактические приемы обыска. Производство выемки. Фиксация результатов обыска и выемки.

    курсовая работа [29,1 K], добавлен 31.10.2004

  • Общая характеристика компьютерных преступлений. Понятие об объекте и субъекте правонарушения. Хищение ЭВМ или иного машинного носителя компьютерной информации, с целью осуществления неправомерного доступа к охраняемой законом компьютерной информации.

    курсовая работа [44,0 K], добавлен 26.03.2015

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.