В данной статье анализируются некоторые проблемы выявления и раскрытия преступлений в сфере компьютерной информации. Авторами особое внимание уделяется такой категории компьютерных посягательств, как неправомерный доступ к компьютерной информации, а также способам обнаружения и фиксации «цифровых следов». Отражаются особенности оперативно-розыскных мероприятий и следственных действий, направленных на выявление и раскрытие данных преступлений.
Ключевые слова: компьютерные преступления, неправомерный доступ к компьютерной информации, компьютерные технологии, «цифровой след», судебная компьютерно-техническая экспертиза.
Современное общество невозможно представить без современных компьютерных технологий. Более того общество 21 века по праву признается информационным. Вряд ли найдется представитель такого общества, который не сталкивался бы с передачей и получением информации через компьютерные сети. Напротив, согласно данным «Cisco», ожидается, что глобальный трафик IP будет ежегодно увеличиваться на 32 % [1], так что к настоящему времени, количество битов, пересылаемых через Интернет каждый день, возможно, уже превысило приблизительное число песчинок на всех пляжах в мире.
Впрочем, примерно с такой же стремительностью растет и киберпреступность, и количество так называемых ИТ-инцидентов. На сегодняшний день значительная доля компьютерных преступлений приходится на неправомерные посягательства на информацию [2, с. 73–82], которая в последующем используется в личных, корыстных целях. Когда начали пользоваться первыми цифровыми сетями, очень мало усилий затрачивалось на то, чтобы защитить их от вторжения. Вскоре стало очевидным, что методология цифровой безопасности абсолютно необходима. Методология цифровой безопасности заключается в добавлении в цифровую сеть дополнительных слоев, которые предотвращают несанкционированный доступ, а также могут обнаружить и сохранить довольно длинную историю всех доступов и определенных точек входа. Тем более выяснилось, что при проведении сетевого криминалистического анализа (исследования, экспертизы) часто приходится работать — в системе, которую нельзя выключать (маршрутизаторы, переключатели и другие виды сетевых устройств, в том числе и критические серверы). Наконец, стало совершенно ясно: только «цифровые следователи» и специалисты в «компьютерной криминалистике» используют эти и многие другие системы, чтобы расследовать «цифровые» преступления.
Для выполнения подобных задач необходимы отдельные человеческие ресурсы и их 100 %-ное вовлечение в процесс. При этом необходима высокая квалификация специалистов — владение методиками и процедурами сбора и представления доказательств, их подачи в компетентные инстанции, знание законодательных нормативов и тонкостей для формирования понятного состава обвинения (в условиях работы со случаями нарушения законодательства в узкоспециализированной сфере, которая обычно недостаточно понятна судам).
По данным американской исследовательской фирмы Digital Research, опросившей 548 компаний, первое место занимают компьютерные преступления, совершенные сотрудниками собственных фирм (57 %). Пользуясь практически неограниченными возможностями незаметно пользоваться компьютерами, эти люди наиболее эффективны в плане промышленного шпионажа и прочей подрывной деятельности. Вторыми по вредности являются также сотрудники фирм, но уже бывшие. Уволившиеся работники частенько оставляют себе доступ к корпоративной сети. Хакеры, которых «рекламируют» как наиболее опасных преступников, заняли, по данным исследования, лишь третье место и составляют 21 % [3].
Вполне логично в данной статье дать краткую классификацию ИТ-инцидентов и способов киберпреступлений:
1) утечка конфиденциальной информации;
2) неправомерный доступ к информации;
3) удаление информации;
4) компрометация информации и саботаж;
5) мошенничество с помощью ИТ;
6) аномальная сетевая активность;
7) аномальное поведение бизнес-приложений;
8) использование активов компании в личных целях или в мошеннических операциях;
9) атаки типа «Отказ в обслуживании» (DoS), в том числе распределенные (DDoS);
10) перехват и подмена трафика;
11) фишинг, взлом, попытка взлома, сканирование портала компании;
12) сканирование сети, попытка взлома сетевых узлов, вирусные атаки;
13) анонимные письма (письма с угрозами);
14) размещение конфиденциальной/провокационной информации на форумах и блогах.
Эти и иные способы правонарушений связаны с рядом действий:
1) подбор паролей, ключей и другой идентификационной или аутентификационной информации;
2) подмену IP-адресов пакетов, передаваемых по Интернету или другой глобальной сети, так, что они выглядят поступившими изнутри сети, где каждый узел доверяет адресной информации другого;
3) инициирование отказа в обслуживании — воздействие на сеть или отдельные ее части с целью нарушения порядка штатного функционирования;
4) прослушивание и расшифровку трафика с целью сбора передаваемых паролей, ключей и другой идентификационной или аутентификационной информации;
5) сканирование с использованием программ, последовательно перебирающих возможные точки входа в систему (например, номера TCP-портов или телефонные номера) с целью установления путей и возможностей проникновения;
6) подмену, навязывание, уничтожение, переупорядочивание или изменение содержимого данных (сообщений), передаваемых по сети, и др.
Следует признать, что доступ к любой цифровой системе всегда оставляет след, хотя бы временно. Примеры «цифровых следов» включают в себя:
- электронные письма и сеансы мгновенной связи;
- счета-фактуры и данные о полученной оплате; информация в журнале регистрации доступа;
- / var / log / сообщения; журналы брандмауэра; действия браузера, в том числе веб-почты;
- сохраненные packet logs; журналы по профилактике обнаружения и предотвращения вторжений.
При выявлении, раскрытии и расследовании преступлений в сфере компьютерной информации используется комплекс оперативно-розыскных мероприятий и следственных действий. Особую сложность представляет и сама процедура обнаружения, фиксации и изъятии компьютерной информации [4, с. 15–18]. Потому для обнаружения данных следов на ряду с традиционными оперативно-разыскными мероприятиями используются и специальные по данной категории преступлений, которые «представляют собой совокупность действий по перехвату и исследованию данных трафика, установление логов веб — и мейл-серверов, системных логов, доменов, принадлежности адреса электронной почты, исследование кейлогеров» [5, с. 27].
Значительное место в деятельности по выявлению, раскрытию и расследованию данной категории преступлений занимает производство судебных экспертиз [6, с. 14–15], а именно судебных компьютерно-технических, где происходит анализ «цифровых следов». В свою очередь, судебные компьютерно-технические экспертизы подразделяются на четыре вида:
Во-первых, это судебная аппаратно-компьютерная экспертиза, заключающаяся в проведении исследования:
а) технических (аппаратных) средств компьютерной системы: персональных компьютеров;
б) периферийных устройств, сетевых аппаратных средств (серверы, рабочие станции, активное оборудование, сетевые кабели и т. д.);
в) интегрированных систем (органайзеры, пейджеры, мобильные телефоны и т. п.);
г) встроенных систем (иммобилайзеры, транспондеры, круиз- контроллеры и др.);
д) любых комплектующих всех указанных компонентов (аппаратные блоки, платы расширения, микросхемы и т. д.).
При этом решаются задачи:
1) классификации и определения свойств аппаратного средства; выяснения фактического и первоначального состояния;
2) диагностики технологии изготовления, причин и условий изменения свойств (эксплуатационных режимов);
3) определения структуры механизма и обстоятельства события за счет использования выявленных аппаратных средств как по отдельности, так и в комплексе в составе компьютерной системы.
Во-вторых, судебная программно-компьютерная экспертиза, назначаемая для исследования программного обеспечения. Объекты включают: системное программное обеспечение; прикладное программное обеспечение (текстовые и графические редакторы, системы управления базами данных, электронные таблицы); авторское программное обеспечение потребительского назначения.
Задачами этой экспертизы являются:
1) классификация и определение основных характеристик операционной системы, используемых технологий системного программирования;
2) выявление, исследование функциональных свойств и состояния программного обеспечения;
3) исследование алгоритма программного продукта, типов поддерживаемых аппаратных платформ;
4) определение причин, целей и условий изменения свойств и состояния программного обеспечения;
5) индивидуальное отождествление оригинала программы (инсталляционной версии) и ее копии на носителях данных компьютерной системы;
6) установление групповой принадлежности программного обеспечения;
7) выявление индивидуальных признаков программы, позволяющих впоследствии идентифицировать её автора, а также взаимосвязи с информационным обеспечением исследуемой компьютерной системы;
В-третьих, судебная информационно-компьютерная экспертиза, имеющая цель поиск, обнаружение, анализ и оценку информации, подготовленной пользователем или порожденной программами для организации информационных процессов в компьютерной системе.
Экспертными задачами здесь являются:
1) установление вида, свойств и состояния информации (фактического и первоначального, в том числе до ее удаления и модификации) в компьютерной системе;
2) определение причин и условий изменения свойств исследуемой информации;
3) определение механизма, динамики и обстоятельств события по имеющейся информации на носителе данных или её копиям;
4) установление участников события, их роли, места, условий, при которых была создана (модифицирована, удалена) информация;
5) установление соответствия либо несоответствия действий с информацией специальному регламенту (правилам), например, правомерно ли конкретное использование информации, защищенной паролем, и др.
В-четвертых, судебная компьютерно-сетевая экспертиза, основывающаяся, прежде всего, на функциональном предназначении компьютерных средств, реализующих какую-либо сетевую информационную технологию. Задачи этой экспертизы включают практически все основные задачи рассмотренных выше видов экспертизы. Это объясняется тем, что её объекты интегрированы из объектов рассмотренных выше видов экспертиз (аппаратные, программные и данные), но лишь с той разницей, что они все функционируют в определенной сетевой технологии.
Следует особо заметить, что с точки зрения криминалистики важно исследовать не только «цифровые следы», но и всю следовую картину. Поэтому по делам данной категории могут назначаться судебные экспертизы других классов и родов:
1) судебно-трасологические — для анализа следов взлома, следов рук как на внешних, так и на внутренних поверхностях компьютеров и их комплектующих;
2) судебно-экономические, в частности финансово-экономические и бухгалтерские, если преступления совершаются в кредитно-финансовой сфере;
3) судебно-технические экспертизы документов, когда компьютер используется как средство для изготовления поддельных документов, фальшивых денежных билетов;
4) фоноскопические экспертизы — при использовании средств прослушивания переговоров и др.
Интернет и корпоративные сети уже давно достигли того уровня, когда мы не можем в полной мере проанализировать и осмыслить их функционирование. Прогрессирующее совершенствование компьютерных технологий привело не только к улучшению человеческой жизнедеятельности, но и к формированию новых механизмов незаконного использования компьютерной информации в личных, корыстных целях. Поэтому необходимость совершенствования механизма противодействия таким негативным проявлениям не вызывает сомнений.
Литература:
1. «Cisco» — мировой лидер в сфере сетевых технологий. URL: http://www.cisco.com/web/RU/products/security/index.html.
2. См. об этом подробнее: Егорышева Е. А., Егорышев А. С. Основные обстоятельства, способствующие неправомерному доступу к компьютерной информации // Вестник Башкирского института социальных технологий. 2009. № 3. С. 73–82.
3. URL: http://zhenilo.narod.ru/main/ips/2006_special_technics_and_information_security.pdf.
4. Нехорошева О. Изъятие компьютерной техники и информации // Законность, 2004. № 8. С. 15–18.
5. Афанасьев А. Ю., Репин М. Е. Некоторые особенности расследования компьютерных преступлений // Студенческие южно-уральские криминалистические чтения: Сборник материалов всероссийской заочной научно-практической конференции. Выпуск 3 // Под. ред. И. А. Макаренко. Уфа: РИЦ БашГУ, 2015. С. 26–29.
6. См., например: Егорышева Е. А., Егорышев А. С. Некоторые вопросы использования специальных знаний при расследовании неправомерного доступа к компьютерной информации // Эксперт-криминалист. 2011. № 3. С. 14–15.
