Читайте также: |
|
Десятый Конгресс ООН по предотвращению и классификации преступлений (Вена, 10-17 апреля 2000 г.) категоризировал пять видов компьютерных преступлений: несанкционированный доступ, повреждение компьютерных данных и программ, саботаж (препятствие функционированию) компьютерной системы или сети, несанкционированный перехват данных (посылаемых, получаемых, циркулирующих в системе или сети), компьютерный шпионаж.
Генеральный секретариат Интерпола предложил кодификатор для автоматизированной системы поиска, доступный правоохранительным органам более 100 стран. Перечень преступлений, включенных в кодификатор в качестве компьютерных, отличается по структуре и составу от перечня, представленного в статьях главы 28 УК РФ, но отражает расширительное толкование компьютерных преступлений за рубежом. Коды компьютерных преступлений начинаются с буквы Q, дополнительные буквы кодируют подчиненные виды преступлений в порядке убывания значимости.
• QA - несанкционированный доступ (access) к информации и перехват:
QAH - несанкционированный доступ со взломом (access + hacking) в компьютер или сеть к компьютерной информации;
QAI - несанкционированный перехват (interception) при помощи технических средств через внешние коммуникационные каналы системы, путем непосредственного подключения к лини-,ям периферийных устройств (объектами подслушивания являются кабельные и проводные системы, наземные СВЧ системы, системы спутниковой связи, специальные системы правительственной связи) или с помощью электромагнитного перехвата (electromagnetic pickup) излучения центрального процессора, дисплея, коммуникационных каналов, принтера и т.д., находясь на удалении от объекта перехвата без непосредственного подключения к компьютерной системе;
QAT - кража времени (связи), незаконное использование компьютерной системы или сети с намерением неуплаты, например, после овладения чужими паролями доступа к сети;
QAZ - прочие виды несанкционированного доступа и перехвата.
• QD - изменение компьютерных данных вследствие действия
вирусов:
QDL - логическая бомба; QDT - троянский конь; QDV - компьютерный вирус; QDW - компьютерный червь; QDZ - прочие виды.
• QF - компьютерное мошенничество (fraud) и хищение де
нежных средств:
QFC - связанное с хищением наличных денег из банкоматов;
QFF - компьютерная подделка (мошенничество и хищение из компьютерных систем путем создания поддельных устройств, например, карт, ключей и пр.);
QFG - связанное с игровыми автоматами;
QFM - манипуляции с программами ввода-вывода (мошенничество и хищение посредством неверного ввода данных в компьютерные системы или вывода их путем манипуляции программами, подмены кода данных при вводе-выводе);
QFP - связанное с платежными системами;
QFT - телефонное мошенничество (доступ к телекоммуникационным услугам путем посягательства на протоколы и процедуры компьютеров, обслуживающих телефонные системы);
QFZ - прочие компьютерные мошенничества.
• QR - незаконное копирование или воспроизводство инфор
мации, защищенной авторским правом:
QRG - незаконное копирование, распространение или опубликование компьютерных игр (games);
QRS - то же для другого программного обеспечения;
QRT - незаконное копирование топологии полупроводниковых изделий или самого полупроводникового изделия, произведенного с использованием данной топологии, коммерческая эксплуатация или импорт;
QRZ - прочее незаконное копирование.
• QS - нарушение работы компьютерных систем (саботаж): QSH - вмешательство в работу компьютерных систем с использованием аппаратного обеспечения: ввод, изменение, уничтожение, блокирование компьютерных данных или программ; с намерением помешать функционированию компьютерной или телекоммуникационной системы;
QSS - несанкционированное нарушение работы программного обеспечения (software): стирание, повреждение или блокирование (подавление) компьютерных данных или программ; QSZ - прочие виды саботажа. • QZ - прочие компьютерные преступления: QZB - использование глобальных сетей, средств размещения и обмена сообщениями (например, досок объявлений BBS) для хранения, обмена и распространения материалов, имеющих отношение к преступной деятельности;
QZE - хищение, незаконное приобретение и несанкционированная передача информации, составляющей коммерческую тайну, с намерением причинить экономический ущерб или получить незаконные экономические преимущества;
QZS - использование компьютерных систем или сетей для незаконного хранения, обмена, распространения или перемещения конфиденциальной информации;
QZZ - прочие компьютерные преступления.
Приложение 2
Сайты по компьютерным преступлениям и защите информации
T
www.cert.org и www.cert.ru - Центр реагирования на компьютерные инциденты (Computer Emergency Response Team, CERT, букв. - группа компьютерной скорой помощи), организация предупреждения и изучения угроз безопасности компьютеров в локальных сетях и Интернете.
Crime-Research.Ru - Центр исследования компьютерной преступности (украинские, российские и белорусские публикации).
International Journal of Forensic Computing - международный журнал судебной компьютерной экспертизы (англ. яз.).
Securityportal.com, SecurityFocus.com, X-Force (англ. яз.).
OXPAHA.Ru - Охрана-Ru (охрана объектов, связь, сигнализация, безопасность, охранная деятельность, охрана финансовых и товарно-материальных ценностей, безопасность личности, детективная деятельность, досмотр, защита информации, контроль доступа, нарушение конфиденциальности, оборудование, теленаблюдение, техника, аналитические материалы, интервью, консультации, дайджест прессы; сведения о структурах, работающих на рынке безопасности, информационные ресурсы безопасности; магазин технических средств и систем охраны).
Приложение 3
Примеры формулировок задач осмотра места происшествия
Провести осмотр информации, хранящейся в любой форме (электрической, электронной, магнитной) на запоминающих устройствах и носителях любого типа, включая: сервер, ПК, ноутбуки, дискеты, отдельные жесткие диски, ZDP-диски, оптические компакт-диски CD-ROM и DVD, резервные ленты (кассеты стримера), буфер памяти принтеров, смарт-карты, калькуляторы, пейджеры, память автоответчика телефона, мобильного телефона, карманные переносные компьютеры-органайзеры (особенно адреса лиц, телефоны, пароли, записки по конкретной теме); распечатки, сделанные с любого компьютерного устройства на бумаге; обычные машинописные и рукописные материалы (письма, схемы, планы, рисунки); фотоматериалы (фотографии, пленки, негативы, слайды, видеозаписи) в обычной и цифровой форме (на жестких дисках, компакт-дисках, флэш-картах в компьютерах и фотокамерах).
* * *
Провести осмотр и копирование информации на компьютерах и отдельных носителях, которая относится к управленческой, производственной, хозяйственной, финансовой, рекламной, кадровой деятельности компании X, особенно отчеты, проекты, материалы внутреннего и внешнего электронного документооборота, - на рабочих местах, сервере, резервирующих устройствах, в базах данных с 19 мая 2001 г., включая любую распознаваемую, часть, резюме, название, тему документа.
В случае невозможности полностью провести осмотр из-за большого объема информации, наличия неизвестных программных продуктов, примененной защиты, отказа персонала от сотрудничества, нехватки аппаратуры и других проблем следует принять меры к копированию (опечатыванию, блокированию доступа, выемке устройств и т.д.) по обстоятельствам, обосновав причины в протоколе.
* * *
Провести осмотр находящихся в помещении компьютеров,
периферии и оргтехники, программ, которые могли использо
ваться для оцифрованного производства детской порнографии,
подделки кредитных карт, денежных документов, валюты и т.п., а
именно осмотреть: •
персональные компьютеры высокой мощности со скоростными графическими и видеокартами, с большой емкостью диска, большой оперативной памятью для обработки цифрового видео;
взаимное соединение компьютерной аппаратуры и периферии, телевизионной аппаратуры;
цифровые видеокамеры, видеомагнитофоны, VCR или DVD-плееры, компакт-диски, особенно диски DVD;
устройства и программы цифровой обработки графической и видеоинформации, видеозахвата и видеомонтажа;
принтеры, особенно цветные.
Обратить внимание на обычные и цифровые фотографии и видео, особенно на компьютерных носителях и в файлах. Осмотреть принтеры, распечатки и сканеры. Осмотреть цифровые результаты сканирования фотографий в читаемый компьютером формат, историю работы компьютера в Интернете (кэш) на наличие материалов, свидетельствующих о посещении, просмотре, сборе чужих подобных материалов, выкладке своих файлов на сайт или отправке на удаленный сервер — хранилище файлов или пункт обмена файлами в Интернете.
Подвергнуть осмотру находящуюся на компьютерах, запоминающих устройствах и носителях информацию, возможно, свидетельствующую о деятельности, связанной с незаконным оборотом наркотиков за период с 1 января 1999 г. до настоящего времени, включая файлы документов, содержание которых можно расценить как:
1) списки клиентов, поставщиков, посредников (фамилии или псевдонимы, клички, адреса, телефонные номера, другая идентификация);
2) тип, количество, цены партий наркотиков, даты, места и условия сделок;
3) любая информация, связанная с поставщиками наркотических средств (рейсы поездов, самолетов или др.), процессами и местами переработки, реализации;
4) финансовые документы и записи - банковские записи, чеки, счета, сведения о кредитных карточках, расписки и др.
* * *
Подвергнуть осмотру компьютерные данные провайдерской компании Y, предложив руководству (сотрудникам) предоставить следующие сведения.
Наличие договора на обслуживание организации (частного лица) с полным наименованием организации-заказчика (ФИО лица); сведения из учетной записи - адрес, реквизиты, методы оплаты, телефоны, выделенные адреса электронной почты, объем и дата платежей; даты, время, длительность подключений, свидетельства активности (трафик, объем передаваемого материала, количество получаемых и отправляемых писем и др.). Используемые протоколы подключения пользователя к электронной почте, Интернету (например, telnet, ftp, http, mailto) за период..., включая дату, время, тип подключения (например, модем, цифровая абонентская линия, оптическая линия, другое); записи идентификации телефонной модемной связи.
* * * Выяснить адреса Интернета, посещенные с компьютера за последние три месяца, их тематическую направленность, наличие адресов, которые предоставляют услуги веб-электронной почты, интернет-хранилищ файлов, хостинга сайтов, чата, объясняют методы подделки документов, производства компьютерных вирусов, наркотиков, взрывчатых веществ, взлома защиты компьютерных систем и программ, предлагают другую незаконную информацию и услуги.
•
Приложение 4
Программное обеспечение для осмотра и исследования компьютерной техники и информации
T
В процедурах осмотра и протоколирования места происшествия, конфигурации СКТ, информации, обнаруженной на компьютерах, отдельных запоминающих устройствах и носителях применяются обычные и специальные программы. Программы рекомендуется запускать с исследовательских компьютеров или загрузочных носителей.
Предлагаемая классификация содержит примеры программного обеспечения как специально- разработанного для исследования преступлений в сфере компьютерной информации, так и не ориентированного прямо на эти цели, но полезного для решения отдельных задач осмотра и компьютерно-технической экспертизы. Программы, бесплатные на 01.10.2006 г., помечены звездочкой «*».
Диагностика параметров системы
Диагностика конфигурации и параметров локальной компьютерной сети, отдельных устройств, установленных программ. Составление электронного отчета в файле, распечатка документа. Friendly Pinger.
Диагностика, тестирование и определение конфигурации ПК, операционной системы, установленных программ; составление отчета с указанием параметров, версий, регистрации (лицензион-ности), других свойств. Everest*, Belarc Advisor*.
Каталогизаторы дисков и файлов
Сканирование компьютерных дисков, в т.ч. сетевых и сменных (дискет, компакт-дисков), создание отчетов (электронных документов и распечаток) о иерархической структуре файловой системы с указанием свойств лапок, файлов, архивов (zip, гаг, arj, cab, sfx). NikFileTree*, FilesCatalog, Advanced Disk Catalog, 10-Strike Disk-Pile.
Восстановление поврежденных данных с носителей
Восстановление удаленных файлов и данных на носителях: на дисках и их разделах (логических дисках) R-Studio, EasyRecovery, File Recovery* (PC Inspector),Restoration*, Task*; Norton Utilities,
Advanced EPS Data Recovery (NTFS, EFS Windows 2000/XP/Server 2003).
Восстановление данных на сменных носителях (дискетах, компакт-дисках CD и DVD, флэш-памяти цифровых фотокамер Disklnternals Flash Recover (удаленных и поврежденных фотографий); поврежденных архивов WinRar, Zip-File Doctor, Power Archiver, Advanced Zip Repairer (AZR), pkzipfix*. Копирование и перенос информации
Копирование файлов на новые носители с сохранением их расположения по структуре папок. NSCopy, FAR, Total Commander; в сеансе DOS в Windows - команда XCOPY.
Репликация, клонирование - создание полного (посекторного, побитного) образа всего исходного диска (данные из занятой и свободной областей) или отдельных разделов, файлов, папок для транспортировки на сменном носителе, а также резервного хранения и восстановления после сбоев, неожиданного срабатывания вирусов и программ внутренней защиты. Репликация возможна в единый, сжатый файл на заготовленный носитель (жесткий диск, компакт-диск, диски ZIP, JAZ), компьютер следственной группы или портативное устройство-дубликатор дисков, например, Logicube SFK-000A. Acronis True Image (рус), Symantec Norton Ghost, PowerQuest Drive ImagePartitionMagic, EnCase.
Архивирование (сжатие) файлов и разархивирование. WinRar, WinZip, PowerArchiver (много вариантов типов архивов), FAR, Total Commander.
Разделение больших файлов на части (тома) и объединение частей в единый файл при транспортировке на сменных носителях, объем которых меньше размера исходного файла, пересылке файлов по электронной почте. Split*, Slice*, Total Commander. * Расчет контрольных сумм цифровой информации для подтверждения целостности (неизмененности) копирования. FileHa-sher, md5sum*, Total Commander, CD-Check.
Диагностика файлов
О форматах файлов см. справочники и энциклопедии в Интернете: fileformat.virtualave.net (русское зеркало - www.halyava.ru/ document), www.wotsit.org (The Programmer's File Format Collection), www.interdoc.by.ru, www.codenet.ru/ formt/intro.php.
Определение истинного типа (формата) файлов не только по расширению имени, но и по сигнатуре (уникальному признаку кода), в т.ч. для файлов с неправильно указанным или отсутствующим расширением. File Analyzer*, Scan*, Encase, TrID File Identifier*, TrID File definitions*.
В документах Word, Excel и др. можно выяснить (иногда) дату создания, последнего изменения, версию и название программного обеспечения, источник вставки рисунков, таблиц (диск, папку), другие свойства и реквизиты.
В графических файлах по данным Exif можно узнать реальную дату съемки, марку и параметры фотокамеры, владельца, программное обеспечение, использованное для обработки снимка. WebPictureGrabber.
Сравнение на отличия в содержании двух папок (синхронизация). Synfiles*, Total Commander.
Сравнение и обнаружение отличий в двух файлах. Compare Suite, Advanced File Compare, Total Commander. Специально текстов документов Word - команда Сервис, Сравнить и объединить исправления, таблиц Excel - Excel Compare*, изображений (рисунков) - ImageDupless, ImageDupe.
Поиск и чтение файлов
Поиск документов, в том числе в архивах, по свойствам и содержанию, в т.ч. с логическими условиями, нечеткий поиск, поиск различных форматов, кодировок, в электронной почте (ASCII (DOS), ANSI, Unicode (Windows, Office), Macintosh, MIME, RTF, KOI-8r, HEX и др.). AVSearch*, Ищейка*, Следопыт, Superior Search, Total Commander, Фрегат.
Исследование электронной почты на рабочем компьютере и почтовом сервере: извлечение адресов входящих и отправленных писем, чтение текстов разных кодировок (и удаленных сообщений), исследование прикрепленных файлов. Paraben e-Mail examiner, AccessData, Forensic Toolkit (FTK), Encase, MailBag Assistant,
Штирлиц.
Просмотр файлов многих форматов: текстовых, графических, электронных таблиц, баз данных и др. Hot File, GenTree, Quick View Plus, Imager, MegaView, IrfanView*, XnView, Total Commander, Frigate (Фрегат).
Чтение и поиск содержания по кодам на секторах жесткого диска и в двоичных файлах программ. DriveLook, Disk Space Inspector, Hex Editor и др.
История работы пользователей и программ Исследование истории сообщений ICQ. ICQ history reader, ICQ explorer.
Исследование истории посещений Интернета по кэшу вебстраниц и адресов посещенных сайтов. STG Cache Audit*, IE Cache View, Net Analysis, DataLifter, FTK (Access Data), History reader.
Программы-анализаторы подозрительных действий и времени по журналам работы (лог-файлы истории): сети, сервера, отдельного компьютера, периферийных устройств (модемов, принтеров и др.), доступа пользователей; списка открывавшихся недавно программ, документов. Absolute Log Analyzer, Advanced Log Analyzer, 123LogAnalyzer, Proxylnspector, WinProxy Logs Analyser*.
Составление списка программ, в т.ч. устанавливавшихся, запускавшихся ранее и уже удаленных с компьютера (по остаточным записям в системном реестре и на диске). RegCleaner*. Выявление специфических и вредоносных программ Сканирование компьютерной информации на вредоносные программы и зараженные объекты, составление отчета. Выявление вирусов, троянских коней, «шпионских» и рекламных программ adware, звонилок Dr. Web, A VP Касперского, McAffee, Norton Antivirus, HashKeeper, A VZ, Spybot, Hook.
Обнаружение специфических программ для доступа по сети (сканеров уязвимостей, программ удаленного доступа, атак. Комплексные средства
Комплексные программы для экспертизы компьютерной ин-* формации: EnCase Forensic (от Guidance Software, www.encase. com), FTK (Forensic ToolKit, www.foundstone.com), Coroner's Toolkit (www.fish.com/tct), ForensiX (www.all.net), Computer Incident Response Suite (forensics-intl.com/tools.html).
Компьютеры для эксперта от Forensic-Computers (www. foren- sic-computers.com).
Создание условий работы нескольких операционных систем и их приложений на одном компьютере (виртуальные машины).
Microsoft Virtual PC, Connectix Virtual PC For Windows (а также MS-DOS, OS/2, Linux, Solaris, NetWare).
Выявление информационных объектов, защищенных (зашифрованных) паролем доступа: компьютеров, дисков, папок, файлов документов и архивов.
Программы подбора паролей к защищенным файлам различных типов: архивов ZIP, WinZip, ARJ, RAR, WinRAR, ACE, WinAce; документов Microsoft Office (Word, Excel, Access, PowerPoint, Visio, Outlook, VBA); MS Backup, MS Project; MS Mail, MS Sched-ule+, Lotus Organizer, Lotos 1-2-3, Lotus WordPro, Lotas Approach; Paradox, Symantec ACT!, Intuit Quicken and QuickBooks, Adobe PDF и др. Advanced Password Recovery, DataLifter, Password Recovery ToolKit (Access Data), Passware Kit, PStoreView и др.
Подготовка протоколов, отчетов осмотра и экспертизы
Составление документов, таблиц, ведение баз данных по оборудованию, программам и документам, обнаруженным при осмотре. Распечатка документов на принтере, отправка по электронной почте. Microsoft Word, Excel, Access, Hardware Inspector, компактные версии для ПК и ноутбуков.
Программы делового (судебного, следственного) документооборота (Дело). Графические и проектные программы составления планов (схем) места происшествия. MapScenes, База данных по компьютерам, Хага.
Приложение 5
Дата добавления: 2015-09-03; просмотров: 89 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Общий осмотр помещений с компьютерной техникой и рабочих мест 9 страница | | | Примеры описательной части протокола общего осмотра помещений и компьютерной системы |