Главная Случайная страница Контакты | Мы поможем в написании вашей работы! | ||
|
Изменения в ОЗУ
Описания программного
обеспечения
Рукописные записи
и принтерные распечатки
Коды доступа
Тексты
программ
Записные книжки
с именами дру-
гих хакеров
Инструкции по пользо-
ванию ЭВМ и ее устрой-
ствами
Нестандартные пери-
ферийные устройства
Устройства доступа
в телефонные сети
и сети ЭВМ
Счета телефонных
компаний
Документированная
информация о прохождении
сигнала через оператора
Результаты наблюдения при прове-
дении оперативно-розыскных мер и
предварительного следствия
Специализированная
конфигурация оборудо-
вания
Специальная конфигура-
ция программ
работы в сетях
Следы в файловой
системе
Компьютерная
информация
Пеленгация
источника
сигналов
Прослушивание
телефонных
и иных
переговоров
Прохождение
криминального
сигнала через
оператора
Документы
Документы,
регистрирующие
соединения
абонентов
Базы данных,
фиксирующие
соединения
Коммутаторы,
осуществляющие
и регистрирующие
соединения
Протоколы взаи-
морасчетов между
операторами
Копии чужих
файлов Платежные доку-
менты об оплате
трафика между
операторами
Программное
обеспечение
для создания
программ
Специализирован-
ное «хакерское»
программное
обеспечение
§ 1. Расследование фактов неправомерного доступа к компьютерной информации 715
Чрезвычайно важны и другие действия, направленные на фик-
сацию факта нарушения целостности (конфиденциальности) ком-
пьютерной системы и его последствий, следов преступных мани-
пуляций виновного субъекта, отразившихся в ЭВМ и на машинных
носителях информации, в линиях связи и др.
Способ несанкционированного доступа надежнее установить
путем производства судебной информационно-технической экс-
пертизы. Перед экспертом ставится вопрос: «Каким способом
был осуществлен несанкционированный доступ в данную компь-
ютерную систему?» Для этого эксперту нужно представить всю
проектную документацию на взломанную компьютерную систему,
а также данные о ее сертификации. При производстве такой экс-
пертизы не обойтись без использования компьютерного оборудо-
вания той же системы, которую взломал преступник, либо специ-
альных технических и программных средств.
В ряде случаев целесообразен следственный эксперимент
для проверки возможности преодоления средств защиты компью-
терной системы одним из предполагаемых способов. Одновре-
менно может быть проверена возможность появления на экране
дисплея конфиденциальной информации или ее распечатки
вследствие ошибочных, неумышленных действий оператора либо
случайного технического сбоя в электронном оборудовании.
Выясняя надежность средств зашиты компьютерной ин-
формации, прежде всего следует установить, предусмотрены
ли в данной системе или сети ЭВМ меры защиты от несанкцио-
нированного доступа, в том числе к определенным файлам. Это
возможно в ходе допросов разработчиков и пользователей сис-
темы, а также при изучении проектной документации и инструк-
ций по эксплуатации системы. Изучая инструкции, нужно обра-
щать особое внимание на разделы о мерах защиты информа-
ции, порядке допуска пользователей к конкретным данным, раз-
граничении их полномочий, организации контроля за доступом.
Важно разобраться в аппаратных, программных, криптографи-
ческих, организационных и других методах защиты информа-
ции, поскольку для обеспечения высокой степени надежности
компьютерных систем, обрабатывающих документированную
информацию с ограниченным доступом, обычно используется
комплекс мер по обеспечению их безопасности от несанкциони-
рованного доступа.
Так, законодательством предусмотрена обязательная серти-
фикация средств защиты систем и сетей ЭВМ, а кроме того —
обязательное лицензирование всех видов деятельности в облас-
Глава 38. Методика расследования
преступлений в сфере компьютерной информации
ти проектирования и производства названных средств. Поэтому в
процессе расследования необходимо выяснить: 1) есть ли лицен-
зия на производство средств защиты информации, задейство-
ванных в данной компьютерной системе, от несанкционированно-
го доступа и 2) соответствуют ли их параметры выданному сер-
тификату. Ответ на последний вопрос может дать информацион-
но-техническая экспертиза, с помощью которой выясняется: со-
ответствуют ли средства защиты информации от несанкциониро-
ванного доступа, использованные в данной компьютерной систе-
ме, выданному сертификату? Правда, ответственность за выяв-
ленные отклонения, позволившие несанкционированный доступ к
компьютерной информации, ложится на пользователя системы, а
не на разработчика средств ее защиты.
При установлении лиц, совершивших несанкционирован-
ный доступ к конфиденциальной компьютерной информа-
ции, следует учитывать, что он является технологически весьма
сложным. Осуществить его могут только специалисты, обладаю-
щие достаточно высокой квалификацией. Поэтому поиск подоз-
реваемых рекомендуется начинать с технического персонала
взломанных компьютерных систем или сетей. Это в первую оче-
редь их разработчики, а также руководители, операторы, про-
граммисты, инженеры связи, специалисты по защите информа-
ции, другие сотрудники.
Следственная практика свидетельствует, что чем технически
сложнее способ проникновения в компьютерную систему или
сеть, тем легче установить подозреваемого, ибо круг специали-
стов, обладающих соответствующими способностями, весьма
ограничен.
Доказыванию виновности конкретного субъекта в несанкцио-
нированном доступе к компьютерной информации способствует
использование различных следов, обнаруживаемых при осмотре
ЭВМ и ее компонентов. Это, например, следы пальцев, записи на
внешней упаковке дискет и др. Для их исследования назначаются
криминалистические экспертизы — дактилоскопическая, почерко-
ведческая и др.
Для установления лиц, обязанных обеспечивать надлежащий
режим доступа к компьютерной системе или сети, следует преж-
де всего ознакомиться с должностными инструкциями, опреде-
ляющими полномочия сотрудников, ответственных за защиту
конфиденциальной информации. Их необходимо допросить для
выяснения, кто запускал нештатную программу и фиксировалось
§ 1. Расследование фактов неправомерного доступа к компьютерной информации 717
ли это каким-либо способом. Нужно также выяснить, кто особо
увлекается программированием, учится или учился на курсах
программистов, интересуется системами защиты информации.
У субъектов, заподозренных в неправомерном доступе к
компьютерной информации, производится обыск в целях обна-
ружения: ЭВМ различных конфигураций, принтеров, средств
телекоммуникационной связи с компьютерными сетями, запис-
ных книжек, в том числе электронных, с уличающими записями,
дискет и дисков с информацией, могущей иметь значение для
дела, особенно если это коды, пароли, идентификационные
номера пользователей данной компьютерной системы, а также
сведения о них. При обыске нужно изымать также литературу и
методические материалы по компьютерной технике и програм-
мированию. К производству обыска и осмотру изъятых предме-
тов рекомендуется привлекать специалиста по компьютерной
технике, незаинтересованного в исходе дела.
Доказать виновность и выяснить мотивы лиц, осуществивших
несанкционированный доступ к компьютерной информации, мож-
но лишь по результатам всего расследования. Решающими здесь
будут показания свидетелей, подозреваемых, обвиняемых, по-
терпевших, заключения судебных экспертиз, главным образом
информационно-технологических и информационно-технических,
а также результаты обысков. В ходе расследования выясняется:
1) с какой целью совершен несанкционированный доступ к
компьютерной информации;
2) знал ли правонарушитель о системе ее защиты;
3) желал ли преодолеть эту систему и какими мотивами при
этом руководствовался.
Вредные последствия неправомерного доступа к компь-
ютерной системе или сети могут заключаться в хищении де-
нежных средств или материальных ценностей, завладении ком-
пьютерными программами, а также информацией путем изъятия
машинных носителей либо копирования. Это может быть также
незаконное изменение, уничтожение, блокирование информации,
выведение из строя компьютерного оборудования, внедрение в
компьютерную систему вредоносного вируса, ввод заведомо
ложных данных и др.
Хищения денежных средств чаще всего совершаются в бан-
ковских электронных системах путем несанкционированного
доступа к их информационным ресурсам, внесения в последние
изменений и дополнений. Такие посягательства обычно обна-
руживают сами работники банков, устанавливаются они и в хо-
Глава 38. Методика расследования
преступлений в сфере компьютерной информации
де оперативно-розыскных мероприятий. Сумма хищения опре-
деляется посредством судебно-бухгалтерской экспертизы.
Факты неправомерного завладения компьютерными програм-
мами вследствие несанкционированного доступа к той или иной
системе и их незаконного использования выявляют, как правило,
потерпевшие. Максимальный вред причиняет незаконное получе-
ние информации из различных компьютерных систем, ее копиро-
вание и размножение с целью продажи либо использования в
других преступных целях (например, для сбора компрометирую-
щих данных на кандидатов на выборные должности различных
представительных и исполнительных органов государственной
власти).
Похищенные программы и базы данных могут быть обнаруже-
ны в ходе обысков у обвиняемых, а также при оперативно-
розыскных мероприятиях. Если незаконно полученная информа-
ция конфиденциальна или имеет категорию государственной
тайны, то вред, причиненный ее разглашением, определяется
представителями Гостехкомиссии России.
Факты незаконного изменения, уничтожения, блокирования
информации, выведения из строя компьютерного оборудования,
«закачки» в информационную систему заведомо ложных сведе-
ний выявляются прежде всего самими пользователями компью-
терной системы или сети. Следует учитывать, что не все эти не-
гативные последствия наступают в результате умышленных дей-
ствий. Их причиной могут стать случайные сбои в работе компью-
терного оборудования, происходящие довольно часто.
При определении размера вреда, причиненного несанкциони-
рованным доступом, учитываются не только прямые затраты на
ликвидацию негативных последствий, но и упущенная выгода.
Такие последствия устанавливаются в ходе следственного ос-
мотра компьютерного оборудования и носителей информации с
анализом баз и банков данных. Помогут здесь и допросы техни-
ческого персонала, владельцев информационных ресурсов. Вид
и размер ущерба обычно определяются посредством комплекс-
ной экспертизы, проводимой с участием специалистов в области
информатизации, средств вычислительной техники и связи, эко-
номики, финансовой деятельности и товароведения.
На заключительном этапе расследования формируется це-
лостное представление об обстоятельствах, которые облегчили
несанкционированный доступ к компьютерной информации.
Здесь важно последовательное изучение различных докумен-
§ 2. Расследование создания, использования
и распространения вредоносных программ для ЭВМ
тов, особенно относящихся к защите информации. Весьма зна-
чимы материалы ведомственного (служебного) расследования.
К этим обстоятельствам относятся:
1) неэффективность методов защиты компьютерной инфор-
мации от несанкционированного доступа;
2) совмещение функций разработки и эксплуатации про-
граммного обеспечения в рамках одного структурного подразде-
ления;
3) неприменение в технологическом процессе всех имеющих-
ся средств и процедур регистрации операций, действий программ
и обслуживающего персонала;
4) нарушение сроков изменения паролей пользователей, а
также сроков хранения копий программ и компьютерной инфор-
мации.
Дата публикования: 2014-11-03; Прочитано: 238 | Нарушение авторского права страницы | Мы поможем в написании вашей работы!