33040 (658683), страница 2
Текст из файла (страница 2)
2.2 Компьютерный «абордаж»
Хакеры набирая на удачу один номер за другим, дожидаются, пока на другом конце провода не отзовется чужой компьютер. После этого телефон подключается к приемнику сигналов в собственной ПЭВМ, и связь установлена. Остается угадать код (а слова, которые служат паролем часто банальны и обычно берутся из руководства по использованию компьютера) и можно внедриться в чужую компьютерную систему.
2.3 Неспешный выбор.
Несанкционированный доступ к файлам законного пользователя осуществляется нахождением слабых мест в защите системы. Однажды обнаружив их, нарушитель может не спеша исследовать содержащуюся в системе информацию, копировать ее, возвращаться к ней много раз.
2.4 «Маскарад» или «самозванство»
Некто проникает в компьютерную систему, выдавая себя за законного пользователя. Системы, которые не обладают средствами аутентичной идентификации, оказываются без защиты против этого приема. Самый простейший путь его осуществления - получить коды и другие идентифицирующие шифры законных пользователей.
2.5 «Мистификация»
Пользователь с удаленного терминала случайно подключается к чьей-то системе, будучи абсолютно уверенным, что он работает с той системой, с какой и намеревался. Владелец системы, к которой произошло фактическое подключение, формируя правдоподобные отклики, может поддерживать это заблуждение в течение определенного времени, получая одновременно некоторую информацию, в частности коды.
2.6 «Аварийный метод»
Использует тот факт, что в любом компьютерном центре имеется особая программа, применяемая в случае возникновения сбоев или других отклонений в работе ЭВМ. Такая программа - мощный и опасный инструмент в руках злоумышленника.
2.7 «Склад без стен»
Несанкционированный доступ осуществляется в результате системной поломки. Например, если некоторые файлы пользователя остаются открытыми, он может получить доступ к не принадлежащим ему частям банка данных.
3. Методы манипуляции:
3.1 Подмена данных
Изменение или введение новых данных осуществляется, как правило, при вводе или выводе данных с ЭВМ. Например, служащий одного нью-йоркского банка, изменяя входные данные, похитил за 3 года 1,5 млн долл.
3.2 «Троянский конь»
Это тайное введение в чужую программу таких команд, позволяющих не изменяя работоспособность программы, осуществить, не планировавшиеся ее владельцем функции. Этим способом преступники обычно отчисляют на свой счет определенную сумму с каждой операции. Успех метода основывается на том, что при каждой проверке счета клиент теряет так мало, что это практически не замечается, а если и замечается, то, вряд ли повлечет какие-либо последствия.
3.4 «Временная бомба»
Тайное встраивание в программу набора команд, которые должны сработать (или каждый раз срабатывать) при определенных условиях или в определенный момент времени.
3.5 «Воздушный змей»
Это способ, который весьма часто используется в России, Украине и других странах СНГ. В двух банках (но можно и в нескольких) открывают по небольшому счету и переводятся деньги из одного банка в другой и обратно с постепенно повышающимися суммами. Хитрость заключается в том, чтобы до того как в банке обнаружится, что поручение о переводе не обеспечено необходимой суммой, приходило бы извещение о переводе в этот банк, так, чтобы общая сумма покрывала требование о первом переводе. Цикл повторяется много раз до тех пор, пока на счете не оказывается приличная сумма (фактически, она постоянно переходит с одного счета на другой, увеличивая свои размеры). Тогда деньги быстро снимаются и владелец счетов исчезает
Как правило, компьютерные преступления совершаются с помощью того или иного сочетания приемов.
2. РАССЛЕДОВАНИЕ КОМПЬЮТЕРНЫХ ПРЕСТУПЛЕНИЙ
2.1 Основные следственные задачи при расследовании компьютерных преступлений
При расследовании компьютерных преступлений существует некоторая общая схема.
Если преступление связано с неправомерным доступом к компьютерной информации, то в ходе расследования основные следственные задачи целесообразно решать в такой последовательности:
1. Установление факта неправомерного доступа к информации в компьютерной системе или сети. Кому-то покажется странным, но одной из самых больших сложностей может оказаться установление факта совершения преступления. Это связано с тем, что внешние проявления компьютерного преступления обычно несколько скромнее, чем при ограблении продуктовой лавки4.
2. Установление места несанкционированного проникновения в компьютерную систему или сеть.
Определить место и время непосредственного применения технических средств удаленного несанкционированного доступа, не входящих в данную информационную систему или сеть, на практике бывает достаточно трудно. Для установления этих данных необходимо привлекать специалистов
3. Установление времени совершения преступления.
4. Установление надежности средств защиты компьютерной информации.
5. Установление способа несанкционированного доступа.
Способ несанкционированного доступа может быть установлен путем производства информационно-технической судебной экспертизы. Перед экспертом следует поставить вопрос: «Каким способом мог быть совершен несанкционированный доступ в данную компьютерную систему?».
6. Установление лиц, совершивших неправомерный доступ, их виновности и мотивов преступления.
Следственная практика показывает, что чем сложнее в техническом отношении способ проникновения в компьютерную систему или сеть, тем легче выделить подозреваемого, поскольку круг специалистов, обладающих соответствующими способностями, обычно весьма ограничен.
7. Установление вредных последствий преступления.
8. Выявление обстоятельств, способствовавших преступлению.
При расследовании компьютерных преступлений, связанных с созданием, использованием и распространением вредоносных программ для ЭВМ, целесообразно применять следующую последовательность действий:
1. Установление факта и способа создания вредоносной программы для ЭВМ.
2. Установление факта использования и распространения вредоносной программы.
3. Установление лиц, виновных в создании, использовании и распространении вредоносных программ для ЭВМ.
4. Установление вреда, причиненного данным преступлением.
5. Установление обстоятельств, способствовавших совершению расследуемого преступления.
При расследовании нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети, необходимо прежде всего доказать факт нарушения определенных правил, повлекший уничтожение, блокирование или модификацию охраняемой законом компьютерной информации и причинивший существенный вред. Кроме того, необходимо установить и доказать:
1.Место и время (период времени) нарушения правил эксплуатации ЭВМ;
2.Характер компьютерной информации, подвергшейся уничтожению, блокированию или модификации вследствие нарушения правил эксплуатации компьютерной системы или сети; а также способ и механизм нарушения правил;
3. Характер и размер ущерба, причиненного преступлением;
5. Факт нарушения правил определенны лицом;
6. Виновность лица, допустившего преступное нарушение правил эксплуатации ЭВМ;
7. обстоятельства, способствовавшие совершению расследуемого преступления
3.2 Особенности проведения некоторых следственных действий при расследовании компьютерных преступлений
Основными следственными действиями в ходе которых собирается информация являются осмотр места происшествия, включая компьютер и его периферийные устройства, обыск и выемка.
Задачи следственного осмотра заключаются в собирании доказательств. На базе собранных доказательств следователь выдвигает версии о характер расследуемого компьютерного преступления и его участниках, месте нахождения предметов, имеющих доказательственное значение, последствия преступления и. т.д. Кроме того, устанавливаются обстоятельства, способствовавшие совершению преступления5.
Преодолевая средства защиты компьютерных систем, преступник оставляет следы на узлах и устройствах ЭВМ, периферийных и сетевых устройствах. Подвергшись преступному посягательству, файл данных или прикладного программного обеспечения становится носителем следовой информации. В качестве следообразующего объекта в процессе образования следов на узлах и устройствах ЭВМ, их сетей может выступать виртуальный объект - система команд ЭВМ. Для наиболее полного использования в качестве доказательств следов-предметов в виде регистрационных файлов целесообразен переход субъектов хозяйствования на защищенные средства вычислительной техники, так как преодоление средств защиты компьютерным правонарушителем способствует образованию большего количества следов.
В силу специфики расследования дел о компьютерных преступлениях возникает необходимость часть исследований по обнаружению, фиксации и изъятию следовой информации компьютерных систем проводить непосредственно на месте происшествия. Это может быть обусловлено невозможностью изъятия компьютерных систем для проведения экспертизы в лабораторных условиях: из-за наличия у следователя оснований полагать, что имеющая доказательственное значение информация, содержащаяся в компьютерных системах, может быть утеряна или изменена при их отключении в процессе изъятия; или изъятие нанесет существенный ущерб выполнению производственных, финансовых и иных задач.
При всех этих действиях производится поиск информации в компьютере, тактика которого, прежде всего, должна исключать уничтожение или повреждение искомой информации, помочь следователю правильно разобраться в сложном информационном массиве, найти требуемое и зафиксировать изъятую информацию.
Перед началом осмотра или обыска необходимо в первую очередь принять меры к предотвращению возможного повреждения или уничтожения информации. Принять меры к контролю за бесперебойным электроснабжением ЭВМ для предупреждения случайного выключения машины в момент осмотра. Удалить всех посторонних лиц с территории, на которой производится осмотр или обыск, и прекратить дальнейший доступ на нее. Исключить возможность контакта с компьютерами и их периферийными устройствами всех пользователей ЭВМ. Если на объекте находятся взрывчатые, легковоспламеняющиеся, едкие вещества, посторонние источники электромагнитного излучения и другие вещества и аппаратура, способные привести к аварии электронно-вычислительной техники - эвакуировать их.
К участию в осмотре или обыске необходимо привлечь специалистов в области информатики и вычислительной техники. Кроме того, к участию в осмотре места происшествия или компьютера желательно привлечь специалиста-криминалиста, поскольку на аппаратных средствах зачастую оказываются следы рук, металлообрабатывающих инструментов, ручной пайки на внутренних элементах компьютерных средств 6.
Тактические особенности поиска компьютерной информации зависят от функционального состояния ЭВМ и ее периферийных устройств на момент осмотра или обыска. В случае, если компьютер на момент начала осмотра оказался включен, необходимо оценить информацию, изображенную на дисплее. Прежде всего, определить, какая программа исполняется на данный момент. В случае работы стандартного программного продукта не приступать к каким-либо манипуляциям на входе без предварительного визуального осмотра технических средств. Экран дисплея необходимо сфотографировать. Отключить все телефонные линии, подключенные к компьютеру.
В случае обнаружения искомой информации, текущее изображение экрана дисплея также необходимо сфотографировать, после чего стандартными средствами переписать информацию на постоянный носитель (обычно - магнитный диск) либо распечатать ее.
Для исследования компьютеров, их комплектующих и содержащейся в них компьютерной информации назначается компьютерно-техническая экспертиза -новый род инженерно-технических экспертиз предметом научных основ которой, являются закономерности формирования и исследования компьютерных систем и движения компьютерной информации. Исследование фактов и обстоятельств, связанных с проявлением этих закономерностей, по заданию следственных и судебных органов в целях установления истины по уголовному или гражданскому делу составляет предмет компьютерно-технической экспертизы .
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
