Автореферат (1105921), страница 3
Текст из файла (страница 3)
В частности, анализ положений Федерального закона «О связи» позволяет дать определение компьютерной сети, под которой следует понимать технологическую систему, включающую в себя средства (технические и программные) и линии связи, предназначенную для приема и передачи знаков, сигналов, голосовой информации, письменного текста, изображений, звуков или сообщений любого рода. Приводится определение таких элементов, как протокол, IP-адрес, пакет, порт.
В третьем параграфе «Особенности следообразования при удаленном воздействии в сетях ЭВМ» дается определение удаленному воздействию как новому способу совершения преступления, рассматриваются и уточняются элементы криминалистической характеристики преступления, совершенного с использованием данного способа (субъект преступления, обстановка совершения преступления, механизм преступления, результат и цель преступного посягательства, орудия преступления) и их значение для расследования, а также рассматриваются этапы, из которых складывается этот способ совершения преступления.
Под удаленным воздействие на ЭВМ и их сети автор понимает способ совершения преступления, при котором злоумышленник применяет специальные приемы и средства, основанные на использовании механизма взаимодействия ЭВМ в сетях ЭВМ. Под механизмом взаимодействия ЭВМ в сетях ЭВМ понимается совокупность разработанных и применяемых правил и технологий, реализующих обмен цифровой информацией через компьютерные сети.
Удаленное воздействие является специальным способом совершения преступления в сетях ЭВМ независимо от того, как эти сети организованы. С точки зрения выявления следов в компьютере, который подвергся удаленному воздействию, безразлично, произошло ли оно из сети, к которой он принадлежит (например, локальной сети), или совершено извне, например, через сеть Интернет. Основным и существенным является то, что команды, использованные для достижения противоправного результата, направлялись в компьютер жертвы не с его устройств ввода, а с другого компьютера по линии связи, и эти команды реализовали механизм взаимодействия компьютеров в сети.
Удаленное воздействие, являясь способом совершения преступления, тесно связано с такими элементами криминалистической характеристики, как субъект, орудие, предмет посягательства, результат и цель противоправной деятельности. Приведено описание каждого из этих элементов, что позволяет сформировать общее представление о преступлении, совершенном способом удаленного воздействия.
Достижение уголовно наказуемых последствий неправомерного доступа к компьютерной информации (уничтожение, блокирование, модификация и т.д.) возможно только в силу доступа к процессам, позволяющим реализовать эти последствия. Под процессом мы понимаем компьютерную программу, находящуюся в стадии выполнения, т.е. загруженную в энергозависимую память и ожидающую команд пользователя или иных событий. Так, для того, чтобы копировать информацию, необходимо иметь доступ к процессу копирования, а для модификации информации необходимо иметь доступ к процессам, позволяющим ее изменять.
Таким образом, обращение к файлу требует двух шагов:
первый шаг - обращение к процессу;
второй шаг - обращение к файлу.
Часть злоумышленников действительно пытается использовать доступ к процессу для получения доступа к файлам, другая часть считает удаленное воздействие завершенным, если им удалось получить доступ к процессу. Третья группа не стремится получить доступ ни к процессам, ни к файлам. Их задача заключается в направлении в адрес действующих процессов компьютерной информации для реализации противоправных целей.
Процессы могут быть использованы для доступа к данным, которые передаются по сети. В этом случае данные не содержатся в файле, который может быть расположен на оперативном запоминающем устройстве. Они представляют собой поток пакетов данных, передающихся по сети. К этим данным могут обращаться действующие процессы с компьютера, передающего данные, компьютера, принимающего эти данные, а также иные компьютеры, через которые эти данные проходят.
Предлагается разделять:
- субъектов данного вида противоправной деятельности на шесть групп: хакеры, шпионы, террористы, корпоративные воры, профессиональные преступники, вандалы;
- орудия для совершения удаленного воздействия на две группы: команды пользователя и программы (эксплоиты, автономные агенты, комплексные наборы, распределенный инструмент, средства перехвата трафика, программы типа «троянский конь», руткиты, логвайперы);
- результаты удаленного воздействия на три группы: раскрытие информации, повреждение информации, отказ в обслуживании;
- цели удаленного воздействия на четыре группы: самоутверждение, политические, материальные (финансовые), деструктивные.
Мы согласны с теми авторами, которые предлагают характеризовать обстановку совершения преступления такими элементами, как аппаратные средства, программные средства, средства защиты. Однако наряду с ними предлагается использовать и такой элемент, как «уязвимость». Значение данного понятия для
криминалистики состоит в том, что оно позволяет оценить состояние ЭВМ до удаленного воздействия и причину, позволившую злоумышленнику реализовать преступный замысел. Уязвимость, в свою очередь, подразделяется на три группы: уязвимость проекта, уязвимость выполнения, уязвимость конфигурации.
Удаленное воздействие как объективно и субъективно обусловленная система поведения субъекта до, в момент и после совершения преступления характеризуется рядом этапов:
1) выбор цели и сбор предварительных сведений об ЭВМ (сети ЭВМ);
2) подчинение ЭВМ (сети ЭВМ);
3) закрепление и удаление следов в ЭВМ (сети ЭВМ).
Каждый из этапов является относительно самостоятельным, характеризуется специфическими задачами и средствами их решения, а также тесно взаимосвязан с другими этапами.
На первом этапе злоумышленник определяет: 1) адресное пространство сети, в которой расположен объект удаленного воздействия; активные сетевые устройства (ЭВМ); 2) открытые порты и службы в ЭВМ; 3) тип операционной системы используемой сетевыми устройствами. Итогом проведенной работы является составление так называемой карты сети.
На втором этапе компьютер жертвы переводится злоумышленником в такой режим работы, при котором он будет полностью контролироваться им. Следует отметить, что в литературе именно с этой стадией связывают такие термины, как «взлом» и «атака». Деятельность злоумышленника по осуществлению этого этапа можно подразделить на две стадии:
1) проникновение;
2) расширение полномочий.
При проникновении злоумышленник воздействует на компьютер жертвы извне и получает доступ к каким-либо его процессам.
При расширении полномочий злоумышленник, основываясь на результате, достигнутом при проникновении, расширяет свои полномочия до уровня, позволяющего ему осуществлять на этом компьютере любые действия.
В тех случаях, когда злоумышленник имеет какие-либо права и полномочия на компьютере жертвы, расширение полномочий можно рассматривать как самостоятельную форму подчинения ЭВМ. Такая ситуация, например, может иметь место в том случае, если злоумышленник является правомерным пользователем локальной сети организации, однако, расширяет свои полномочия до уровня системного администратора сети.
На третьем этапе злоумышленник старается создать условия для последующего доступа к ЭВМ (сети ЭВМ) в любое удобное время, вне зависимости от желания собственника системы, а также уничтожить следы противоправной деятельности.
Удаленное воздействие может быть классифицировано по следующим основаниям:
- по источнику удаленного воздействия (внешнее, внутреннее);
- по характеру действий злоумышленника (пассивное, активное);
- по отношению злоумышленника к информации, хранящейся на удаленном компьютере (направленное на получения доступа к информации, не связанное с получением доступа к информации);
- по цели удаленного воздействия (политические, материальные (экономические), деструктивные, самоутверждение);
- по специфике используемых средств для удаленного воздействия (на основе общедоступного программного обеспечения (свободно распространяемых программ), на основе программного обеспечения, самостоятельно разработанного злоумышленником);
- по условиям начала удаленного воздействия (безусловное, зависимое);
- по количеству злоумышленников (одиночное, групповое);
- по наличию обратной связи с компьютером жертвы (с обратной связью, без обратной связи);
- по характеру используемой уязвимости (с использованием уязвимости проекта, с использованием уязвимости выполнения, с использованием уязвимости конфигурации);
- по степени участия человека (при постоянном участии, без непосредственного участия человека (выполняется специальными программами));
- по содержанию (противоправный доступ к компьютерной информации, противоправное использование компьютерной информации).
В параграфе подробно рассматривается механизм следообразования на машинных носителях в результате удаленного воздействия, дается определение новой группе материальных следов – бинарным следам, рассматриваются виды воздействия на компьютерную информацию и соответствующие им следовые картины.
Компьютерную информацию можно разделить на две группы: 1) программное обеспечение, команды; 2) сведения о лицах, предметах, фактах, событиях, явлениях и процессах, независимо от формы их представления. Компьютерную информацию первой группы предлагается называть управляющие данные, а компьютерную информацию второй группы - сведения.
Смысл выделения таких групп состоит в том, что при удаленном воздействии в адрес компьютера жертвы направляются управляющие данные. Именно они при взаимодействии с программными средствами удаленного компьютера заставляют их действовать таким образом, чтобы реализовался преступный замысел злоумышленника.
Возможность взаимодействия компьютерной информации (двоичного кода) подчинена законам организации работы компьютера, основанным на обработке двоичных чисел. Операции с двоичными числами обеспечивают устройства компьютера, являющиеся аппаратными средствами обработки двоичного кода. В ходе большого числа логических и математических операций над двоичными данными происходит взаимодействие двоичного кода компьютера жертвы и двоичного кода, направленного злоумышленником, в результате чего итогом этого взаимодействия является изменение двоичного кода в компьютере жертвы. Физически такое изменение проявляется в совокупности измененных электрических сигналов, несущих двоичный код, а в связи с логикой работы компьютера происходит и изменение состояния магнитного носителя. Однако следует отметить, что не каждое изменение двоичного кода электрических сигналов автоматически ведет к отражению его на магнитном носителе. Это связано с тем, что отразиться может лишь тот код, который компьютер запомнит в связи с алгоритмом работы конкретной программы.
Механизм взаимодействия двух различных двоичных кодов не позволяет применять к ним такие концептуальные для криминалистики понятия, как следообразующий объект, следовоспринимающий объект и следовой контакт в том содержательном аспекте, который придает им криминалистика, ввиду отсутствия внешнего строения у компьютерной информации.
Учитывая, что следами противоправной деятельности являются результаты логических и математических операций с двоичным кодом, мы предлагаем называть их бинарными следами. Под бинарными следами следует понимать изменения компьютерной информации, произошедшие в связи с событием удаленного воздействия.
Весь спектр возможных удаленных воздействий можно разделить на 3 группы: команды процессам, запуск процессов и воздействие коммуникационными сигналами сетевых протоколов.
ЭВМ, в которых могут остаться следы противоправной деятельности, можно разделить на три группы: компьютер жертвы, компьютер злоумышленника и промежуточный компьютер.
В зависимости от вида воздействия в каждом из этих компьютеров в ходе удаленного воздействия будут оставаться следы, характерные только для этого вида воздействия.
Вторая глава «Особенности тактики первоначальных следственных действий при обнаружении неправомерного доступа к компьютерной информации в сетях ЭВМ» посвящена рассмотрению особенностей тактики следственных действий, связанных с поиском бинарных следов удаленного воздействия в компьютере жертвы и компьютере злоумышленника, а также тактическим приемам их обнаружения, фиксации, изъятия и исследования.
В первом параграфе «Особенности сбора доказательств на месте происшествия» рассматриваются вопросы поиска и сбора следов в компьютере (на его информационных носителях) в ходе осмотра. Рассматриваются вопросы получения сведений о событии удаленного воздействия от свидетелей происшествия. Приводятся примерные вопросы, позволяющие выдвигать следственные версии на первоначальном этапе расследования. Даются конкретные рекомендации по поиску бинарных следов на информационных носителях, а также раскрываются тактические приемы проведения
следственного действия – осмотра – наиболее эффективно. Акцентируется внимание на возможности раскрытия преступления по «горячим следам».
В этой связи можно отметить, что существуют два источника, позволяющих получить сведения о событии удаленного воздействия:
1) компьютерная информация на информационном носителе ЭВМ (сети), подвергшейся удаленному воздействию;
2) лица, обладающие информацией, относимой к событию преступления.
О событии удаленного воздействия могут свидетельствовать различные изменения, произошедшие в компьютере:
- изменения в работе программных и/или аппаратных средств;
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
