Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3 Автомобили Астрономия Биология География Дом и сад Другие языки Другое Информатика История Культура Литература Логика Математика Медицина Металлургия Механика Образование Охрана труда Педагогика Политика Право Психология Религия Риторика Социология Спорт Строительство Технология Туризм Физика Философия Финансы Химия Черчение Экология Экономика Электроника

Классификации

Десятый Конгресс ООН по предотвращению и классификации преступлений (Вена, 10-17 апреля 2000 г.) категоризировал пять видов компьютерных преступлений: несанкционированный дос­туп, повреждение компьютерных данных и программ, саботаж (препятствие функционированию) компьютерной системы или сети, несанкционированный перехват данных (посылаемых, по­лучаемых, циркулирующих в системе или сети), компьютерный шпионаж.

Генеральный секретариат Интерпола предложил кодификатор для автоматизированной системы поиска, доступный правоохра­нительным органам более 100 стран. Перечень преступлений, включенных в кодификатор в качестве компьютерных, отличается по структуре и составу от перечня, представленного в статьях гла­вы 28 УК РФ, но отражает расширительное толкование компью­терных преступлений за рубежом. Коды компьютерных преступ­лений начинаются с буквы Q, дополнительные буквы кодируют подчиненные виды преступлений в порядке убывания значимости.

• QA - несанкционированный доступ (access) к информации и перехват:

QAH - несанкционированный доступ со взломом (access + hacking) в компьютер или сеть к компьютерной информации;

QAI - несанкционированный перехват (interception) при по­мощи технических средств через внешние коммуникационные каналы системы, путем непосредственного подключения к лини-,ям периферийных устройств (объектами подслушивания являют­ся кабельные и проводные системы, наземные СВЧ системы, сис­темы спутниковой связи, специальные системы правительствен­ной связи) или с помощью электромагнитного перехвата (elec­tromagnetic pickup) излучения центрального процессора, дисплея, коммуникационных каналов, принтера и т.д., находясь на удале­нии от объекта перехвата без непосредственного подключения к компьютерной системе;

QAT - кража времени (связи), незаконное использование компьютерной системы или сети с намерением неуплаты, напри­мер, после овладения чужими паролями доступа к сети;

QAZ - прочие виды несанкционированного доступа и пере­хвата.

• QD - изменение компьютерных данных вследствие действия
вирусов:

QDL - логическая бомба; QDT - троянский конь; QDV - компьютерный вирус; QDW - компьютерный червь; QDZ - прочие виды.

• QF - компьютерное мошенничество (fraud) и хищение де­
нежных средств:

QFC - связанное с хищением наличных денег из банкоматов;

QFF - компьютерная подделка (мошенничество и хищение из компьютерных систем путем создания поддельных устройств, например, карт, ключей и пр.);

QFG - связанное с игровыми автоматами;

QFM - манипуляции с программами ввода-вывода (мошен­ничество и хищение посредством неверного ввода данных в ком­пьютерные системы или вывода их путем манипуляции програм­мами, подмены кода данных при вводе-выводе);

QFP - связанное с платежными системами;

QFT - телефонное мошенничество (доступ к телекоммуни­кационным услугам путем посягательства на протоколы и проце­дуры компьютеров, обслуживающих телефонные системы);

QFZ - прочие компьютерные мошенничества.

• QR - незаконное копирование или воспроизводство инфор­
мации, защищенной авторским правом:

QRG - незаконное копирование, распространение или опуб­ликование компьютерных игр (games);

QRS - то же для другого программного обеспечения;

QRT - незаконное копирование топологии полупроводнико­вых изделий или самого полупроводникового изделия, произве­денного с использованием данной топологии, коммерческая экс­плуатация или импорт;

QRZ - прочее незаконное копирование.

• QS - нарушение работы компьютерных систем (саботаж): QSH - вмешательство в работу компьютерных систем с ис­пользованием аппаратного обеспечения: ввод, изменение, унич­тожение, блокирование компьютерных данных или программ; с намерением помешать функционированию компьютерной или телекоммуникационной системы;

QSS - несанкционированное нарушение работы программно­го обеспечения (software): стирание, повреждение или блокиро­вание (подавление) компьютерных данных или программ; QSZ - прочие виды саботажа. • QZ - прочие компьютерные преступления: QZB - использование глобальных сетей, средств размещения и обмена сообщениями (например, досок объявлений BBS) для хранения, обмена и распространения материалов, имеющих от­ношение к преступной деятельности;

QZE - хищение, незаконное приобретение и несанкциониро­ванная передача информации, составляющей коммерческую тай­ну, с намерением причинить экономический ущерб или получить незаконные экономические преимущества;

QZS - использование компьютерных систем или сетей для незаконного хранения, обмена, распространения или перемеще­ния конфиденциальной информации;

QZZ - прочие компьютерные преступления.

Приложение 2

Сайты по компьютерным преступлениям и защите информации

T

www.cert.org и www.cert.ru - Центр реагирования на компью­терные инциденты (Computer Emergency Response Team, CERT, букв. - группа компьютерной скорой помощи), организация пре­дупреждения и изучения угроз безопасности компьютеров в ло­кальных сетях и Интернете.

Crime-Research.Ru - Центр исследования компьютерной пре­ступности (украинские, российские и белорусские публикации).

International Journal of Forensic Computing - международный журнал судебной компьютерной экспертизы (англ. яз.).

Securityportal.com, SecurityFocus.com, X-Force (англ. яз.).

OXPAHA.Ru - Охрана-Ru (охрана объектов, связь, сигнализа­ция, безопасность, охранная деятельность, охрана финансовых и товарно-материальных ценностей, безопасность личности, детек­тивная деятельность, досмотр, защита информации, контроль доступа, нарушение конфиденциальности, оборудование, телена­блюдение, техника, аналитические материалы, интервью, кон­сультации, дайджест прессы; сведения о структурах, работающих на рынке безопасности, информационные ресурсы безопасности; магазин технических средств и систем охраны).

Приложение 3

Примеры формулировок задач осмотра места происшествия

Провести осмотр информации, хранящейся в любой форме (электрической, электронной, магнитной) на запоминающих уст­ройствах и носителях любого типа, включая: сервер, ПК, ноутбуки, дискеты, отдельные жесткие диски, ZDP-диски, оптические ком­пакт-диски CD-ROM и DVD, резервные ленты (кассеты стримера), буфер памяти принтеров, смарт-карты, калькуляторы, пейджеры, память автоответчика телефона, мобильного телефона, карманные переносные компьютеры-органайзеры (особенно адреса лиц, теле­фоны, пароли, записки по конкретной теме); распечатки, сделан­ные с любого компьютерного устройства на бумаге; обычные ма­шинописные и рукописные материалы (письма, схемы, планы, ри­сунки); фотоматериалы (фотографии, пленки, негативы, слайды, видеозаписи) в обычной и цифровой форме (на жестких дисках, компакт-дисках, флэш-картах в компьютерах и фотокамерах).

* * *

Провести осмотр и копирование информации на компьютерах и отдельных носителях, которая относится к управленческой, производственной, хозяйственной, финансовой, рекламной, кад­ровой деятельности компании X, особенно отчеты, проекты, ма­териалы внутреннего и внешнего электронного документооборо­та, - на рабочих местах, сервере, резервирующих устройствах, в базах данных с 19 мая 2001 г., включая любую распознаваемую, часть, резюме, название, тему документа.

В случае невозможности полностью провести осмотр из-за большого объема информации, наличия неизвестных программ­ных продуктов, примененной защиты, отказа персонала от со­трудничества, нехватки аппаратуры и других проблем следует принять меры к копированию (опечатыванию, блокированию доступа, выемке устройств и т.д.) по обстоятельствам, обосновав причины в протоколе.

* * *

Провести осмотр находящихся в помещении компьютеров,
периферии и оргтехники, программ, которые могли использо­
ваться для оцифрованного производства детской порнографии,
подделки кредитных карт, денежных документов, валюты и т.п., а
именно осмотреть: •

персональные компьютеры высокой мощности со скоростны­ми графическими и видеокартами, с большой емкостью диска, большой оперативной памятью для обработки цифрового видео;

взаимное соединение компьютерной аппаратуры и периферии, телевизионной аппаратуры;

цифровые видеокамеры, видеомагнитофоны, VCR или DVD-плееры, компакт-диски, особенно диски DVD;

устройства и программы цифровой обработки графической и видеоинформации, видеозахвата и видеомонтажа;

принтеры, особенно цветные.

Обратить внимание на обычные и цифровые фотографии и ви­део, особенно на компьютерных носителях и в файлах. Осмотреть принтеры, распечатки и сканеры. Осмотреть цифровые результа­ты сканирования фотографий в читаемый компьютером формат, историю работы компьютера в Интернете (кэш) на наличие мате­риалов, свидетельствующих о посещении, просмотре, сборе чу­жих подобных материалов, выкладке своих файлов на сайт или отправке на удаленный сервер — хранилище файлов или пункт обмена файлами в Интернете.

Подвергнуть осмотру находящуюся на компьютерах, запоми­нающих устройствах и носителях информацию, возможно, свиде­тельствующую о деятельности, связанной с незаконным оборо­том наркотиков за период с 1 января 1999 г. до настоящего вре­мени, включая файлы документов, содержание которых можно расценить как:

1) списки клиентов, поставщиков, посредников (фамилии или псевдонимы, клички, адреса, телефонные номера, другая иденти­фикация);

2) тип, количество, цены партий наркотиков, даты, места и ус­ловия сделок;

3) любая информация, связанная с поставщиками наркотиче­ских средств (рейсы поездов, самолетов или др.), процессами и местами переработки, реализации;

4) финансовые документы и записи - банковские записи, чеки, счета, сведения о кредитных карточках, расписки и др.

* * *

Подвергнуть осмотру компьютерные данные провайдерской компании Y, предложив руководству (сотрудникам) предоставить следующие сведения.

Наличие договора на обслуживание организации (частного лица) с полным наименованием организации-заказчика (ФИО лица); сведения из учетной записи - адрес, реквизиты, методы оплаты, телефоны, выделенные адреса электронной почты, объем и дата платежей; даты, время, длительность подключений, свиде­тельства активности (трафик, объем передаваемого материала, количество получаемых и отправляемых писем и др.). Исполь­зуемые протоколы подключения пользователя к электронной почте, Интернету (например, telnet, ftp, http, mailto) за период..., включая дату, время, тип подключения (например, модем, циф­ровая абонентская линия, оптическая линия, другое); записи идентификации телефонной модемной связи.

* * * Выяснить адреса Интернета, посещенные с компьютера за по­следние три месяца, их тематическую направленность, наличие адресов, которые предоставляют услуги веб-электронной почты, интернет-хранилищ файлов, хостинга сайтов, чата, объясняют методы подделки документов, производства компьютерных ви­русов, наркотиков, взрывчатых веществ, взлома защиты компью­терных систем и программ, предлагают другую незаконную ин­формацию и услуги.

•

Приложение 4

Программное обеспечение для осмотра и иссле­дования компьютерной техники и информации

T

В процедурах осмотра и протоколирования места происшест­вия, конфигурации СКТ, информации, обнаруженной на компью­терах, отдельных запоминающих устройствах и носителях при­меняются обычные и специальные программы. Программы реко­мендуется запускать с исследовательских компьютеров или за­грузочных носителей.

Предлагаемая классификация содержит примеры программного обеспечения как специально- разработанного для исследования преступлений в сфере компьютерной информации, так и не ориен­тированного прямо на эти цели, но полезного для решения отдель­ных задач осмотра и компьютерно-технической экспертизы. Про­граммы, бесплатные на 01.10.2006 г., помечены звездочкой «*».

Диагностика параметров системы

Диагностика конфигурации и параметров локальной компью­терной сети, отдельных устройств, установленных программ. Со­ставление электронного отчета в файле, распечатка документа. Friendly Pinger.

Диагностика, тестирование и определение конфигурации ПК, операционной системы, установленных программ; составление отчета с указанием параметров, версий, регистрации (лицензион-ности), других свойств. Everest*, Belarc Advisor*.

Каталогизаторы дисков и файлов

Сканирование компьютерных дисков, в т.ч. сетевых и смен­ных (дискет, компакт-дисков), создание отчетов (электронных документов и распечаток) о иерархической структуре файловой системы с указанием свойств лапок, файлов, архивов (zip, гаг, arj, cab, sfx). NikFileTree*, FilesCatalog, Advanced Disk Catalog, 10-Strike Disk-Pile.

Восстановление поврежденных данных с носителей

Восстановление удаленных файлов и данных на носителях: на дисках и их разделах (логических дисках) R-Studio, EasyRecovery, File Recovery* (PC Inspector),Restoration*, Task*; Norton Utilities,

Advanced EPS Data Recovery (NTFS, EFS Windows 2000/XP/Server 2003).

Восстановление данных на сменных носителях (дискетах, компакт-дисках CD и DVD, флэш-памяти цифровых фотокамер Disklnternals Flash Recover (удаленных и поврежденных фото­графий); поврежденных архивов WinRar, Zip-File Doctor, Power Archiver, Advanced Zip Repairer (AZR), pkzipfix*. Копирование и перенос информации

Копирование файлов на новые носители с сохранением их расположения по структуре папок. NSCopy, FAR, Total Com­mander; в сеансе DOS в Windows - команда XCOPY.

Репликация, клонирование - создание полного (посекторного, побитного) образа всего исходного диска (данные из занятой и свободной областей) или отдельных разделов, файлов, папок для транспортировки на сменном носителе, а также резервного хра­нения и восстановления после сбоев, неожиданного срабатывания вирусов и программ внутренней защиты. Репликация возможна в единый, сжатый файл на заготовленный носитель (жесткий диск, компакт-диск, диски ZIP, JAZ), компьютер следственной группы или портативное устройство-дубликатор дисков, например, Logicube SFK-000A. Acronis True Image (рус), Symantec Norton Ghost, PowerQuest Drive ImagePartitionMagic, EnCase.

Архивирование (сжатие) файлов и разархивирование. WinRar, WinZip, PowerArchiver (много вариантов типов архивов), FAR, Total Commander.

Разделение больших файлов на части (тома) и объединение частей в единый файл при транспортировке на сменных носите­лях, объем которых меньше размера исходного файла, пересылке файлов по электронной почте. Split*, Slice*, Total Commander. * Расчет контрольных сумм цифровой информации для под­тверждения целостности (неизмененности) копирования. FileHa-sher, md5sum*, Total Commander, CD-Check.

Диагностика файлов

О форматах файлов см. справочники и энциклопедии в Интер­нете: fileformat.virtualave.net (русское зеркало - www.halyava.ru/ document), www.wotsit.org (The Programmer's File Format Collec­tion), www.interdoc.by.ru, www.codenet.ru/ formt/intro.php.

Определение истинного типа (формата) файлов не только по расширению имени, но и по сигнатуре (уникальному признаку кода), в т.ч. для файлов с неправильно указанным или отсутст­вующим расширением. File Analyzer*, Scan*, Encase, TrID File Identifier*, TrID File definitions*.

В документах Word, Excel и др. можно выяснить (иногда) дату создания, последнего изменения, версию и название программно­го обеспечения, источник вставки рисунков, таблиц (диск, папку), другие свойства и реквизиты.

В графических файлах по данным Exif можно узнать реальную дату съемки, марку и параметры фотокамеры, владельца, про­граммное обеспечение, использованное для обработки снимка. WebPictureGrabber.

Сравнение на отличия в содержании двух папок (синхрониза­ция). Synfiles*, Total Commander.

Сравнение и обнаружение отличий в двух файлах. Compare Suite, Advanced File Compare, Total Commander. Специально тек­стов документов Word - команда Сервис, Сравнить и объединить исправления, таблиц Excel - Excel Compare*, изображений (ри­сунков) - ImageDupless, ImageDupe.

Поиск и чтение файлов

Поиск документов, в том числе в архивах, по свойствам и со­держанию, в т.ч. с логическими условиями, нечеткий поиск, по­иск различных форматов, кодировок, в электронной почте (ASCII (DOS), ANSI, Unicode (Windows, Office), Macintosh, MIME, RTF, KOI-8r, HEX и др.). AVSearch*, Ищейка*, Следопыт, Superior Search, Total Commander, Фрегат.

Исследование электронной почты на рабочем компьютере и почтовом сервере: извлечение адресов входящих и отправленных писем, чтение текстов разных кодировок (и удаленных сообще­ний), исследование прикрепленных файлов. Paraben e-Mail exam­iner, AccessData, Forensic Toolkit (FTK), Encase, MailBag Assistant,

Штирлиц.

Просмотр файлов многих форматов: текстовых, графических, электронных таблиц, баз данных и др. Hot File, GenTree, Quick View Plus, Imager, MegaView, IrfanView*, XnView, Total Com­mander, Frigate (Фрегат).

Чтение и поиск содержания по кодам на секторах жесткого диска и в двоичных файлах программ. DriveLook, Disk Space In­spector, Hex Editor и др.

История работы пользователей и программ Исследование истории сообщений ICQ. ICQ history reader, ICQ explorer.

Исследование истории посещений Интернета по кэшу веб­страниц и адресов посещенных сайтов. STG Cache Audit*, IE Cache View, Net Analysis, DataLifter, FTK (Access Data), History reader.

Программы-анализаторы подозрительных действий и времени по журналам работы (лог-файлы истории): сети, сервера, отдель­ного компьютера, периферийных устройств (модемов, принтеров и др.), доступа пользователей; списка открывавшихся недавно программ, документов. Absolute Log Analyzer, Advanced Log Ana­lyzer, 123LogAnalyzer, Proxylnspector, WinProxy Logs Analyser*.

Составление списка программ, в т.ч. устанавливавшихся, за­пускавшихся ранее и уже удаленных с компьютера (по остаточ­ным записям в системном реестре и на диске). RegCleaner*. Выявление специфических и вредоносных программ Сканирование компьютерной информации на вредоносные программы и зараженные объекты, составление отчета. Выявле­ние вирусов, троянских коней, «шпионских» и рекламных про­грамм adware, звонилок Dr. Web, A VP Касперского, McAffee, Nor­ton Antivirus, HashKeeper, A VZ, Spybot, Hook.

Обнаружение специфических программ для доступа по сети (сканеров уязвимостей, программ удаленного доступа, атак. Комплексные средства

Комплексные программы для экспертизы компьютерной ин-* формации: EnCase Forensic (от Guidance Software, www.encase. com), FTK (Forensic ToolKit, www.foundstone.com), Coroner's Toolkit (www.fish.com/tct), ForensiX (www.all.net), Computer Inci­dent Response Suite (forensics-intl.com/tools.html).

Компьютеры для эксперта от Forensic-Computers (www. foren- sic-computers.com).

Создание условий работы нескольких операционных систем и их приложений на одном компьютере (виртуальные машины).

Microsoft Virtual PC, Connectix Virtual PC For Windows (а также MS-DOS, OS/2, Linux, Solaris, NetWare).

Выявление информационных объектов, защищенных (зашиф­рованных) паролем доступа: компьютеров, дисков, папок, файлов документов и архивов.

Программы подбора паролей к защищенным файлам различных типов: архивов ZIP, WinZip, ARJ, RAR, WinRAR, ACE, WinAce; документов Microsoft Office (Word, Excel, Access, PowerPoint, Visio, Outlook, VBA); MS Backup, MS Project; MS Mail, MS Sched-ule+, Lotus Organizer, Lotos 1-2-3, Lotus WordPro, Lotas Approach; Paradox, Symantec ACT!, Intuit Quicken and QuickBooks, Adobe PDF и др. Advanced Password Recovery, DataLifter, Password Recovery ToolKit (Access Data), Passware Kit, PStoreView и др.

Подготовка протоколов, отчетов осмотра и экспертизы

Составление документов, таблиц, ведение баз данных по обо­рудованию, программам и документам, обнаруженным при ос­мотре. Распечатка документов на принтере, отправка по элек­тронной почте. Microsoft Word, Excel, Access, Hardware Inspector, компактные версии для ПК и ноутбуков.

Программы делового (судебного, следственного) документо­оборота (Дело). Графические и проектные программы составле­ния планов (схем) места происшествия. MapScenes, База данных по компьютерам, Хага.

Приложение 5

Дата добавления: 2015-09-03; просмотров: 89 | Нарушение авторских прав