Использование высоких технологий криминальной средой. Борьба с преступлениями в сфере компьютерной информации

2) виртуальные следы представляют собой компьютерную информацию коммутаторов сотовой связи и систем по выявлению и предотвращению «мошенничества», характеризующие абонентскую активность и, в частности, исходящие и входящие соединения.

Исходящие соединения. Легальный абонент компании сотовой связи, как правило, знает круг своих телефонных контактов, поэтому можно установить номера, на которые он соединения не производил. В частности, указывают на присутствие нелегального пользователя: трафик исходящих номеров легального абонента, когда его абонентская подвижная станция была отключена; появление в трафике иногородних и международных исходящих номеров, неизвестных легальному абоненту и другие показатели криминальной активности.

Исходящая криминальная абонентская активность может быть классифицирована по нескольким основаниям:

а) по географическому признаку:

- локальные соединения из области подключения;

- междугородние соединения из области подключения;

- международные соединения из области подключения;

- мобильные локальные соединения извне области подключения;

- мобильные междугородние соединения извне области подключения;

- мобильные международные соединения извне области подключения;

- порядок передвижения соединений в рамках одной ячейки (соты) или в рамках пространства занимаемых несколькими ячейками (сотами) за определенный интервал времени;

б) по временным факторам:

- по времени суток (например, с 7-00 до 19-00, с 19-00 до 7-00);

- по дням недели (рабочие дни, выходные дни);

- по особым периодам и событиям (Новый год, Рождество и т.д.);

- по количеству соединений за определенный интервал(ы) времени;

- по длительности соединений за определенный интервал(ы) времени;

- по общему времени соединений за определенный интервал времени (начиная с первого соединения);

в) по направленности исходящих соединений:

- повторяющиеся соединения с одними и теми же номерами проводной сети связи;

- повторяющиеся соединения с одними и теми же номерами сотовой подвижной связи;

- повторяющиеся соединения с одними и теми же номерами иных видов связи;

- повторяющиеся соединения с одними и теми же номерами льготных тарифов;

- повторяющиеся соединения с одними и теми же freefone номерами;

- общее соотношение входящих и исходящих соединений за определенный интервал времени;

г) по типу мобильного соединения:

- соединения конференции;

- активация и дезактивация дополнительных услуг.

Входящие соединения. На абонентскую подвижную станцию нелегального пользователя можно позвонить, но обычно этого не делают, так как звонок раздается у обоих абонентов (легального и нелегального), а говорить сможет тот, кто первый ответит на входящий вызов. Обычно в данном случае абонентская подвижная станция легального абонента блокируется, что может вызвать подозрение у легального абонента.

Входящая криминальная абонентская активность также может быть классифицирована по нескольким основаниям:

а) по географическому признаку:

- входящие мобильные локальные соединения (из той же области подключения);

- входящие мобильные междугородние соединения;

- входящие мобильные международные соединения;

б) по временным факторам:

- по времени суток;

- по дням недели;

- по особым периодам и событиям;

- по количеству входящих соединений за определенный интервал(ы) времени;

- по длительности входящих соединений за определенный интервал(ы) времени;

- по общему времени входящих соединений за определенный интервал времени (начиная с первого соединения в рамках определенного временного интервала);

в) по направленности входящих соединений:

- повторяющиеся соединения, исходящие от одного и того же номера проводной сети связи;

- повторяющиеся соединения, исходящие от одного и того же номера сотовой подвижной связи;

- повторяющиеся соединения, исходящие от одного и того же номера иных видов связи;

- повторяющиеся соединения, исходящие от одного и того же номера или разных номеров льготного тарифа;

- повторяющиеся соединения, исходящие от одного и того же freefone номера или разных freefone номеров;

г) по типу мобильного соединения - входящие соединения - конференции.

3. Идеальные следы остаются в памяти свидетелей и потерпевших, в числе которых сотрудники компании-оператора, легальные пользователи и др.

Следы при совершении рассматриваемого вида криминальных действий редко остаются в виде изменений внешней среды, что должно учитываться при сборе доказательств и поиске так называемых «традиционных» следов. Поэтому одной из основных задач успешного раскрытия и расследования «мошенничества» в сети сотовой связи является обеспечение следователем и другими уполномоченными лицами сохранности доказательственной информации, сбор и фиксация следов на стадии рассмотрения сообщения о возбуждении уголовного дела и первоначальном этапе расследования.

8.3 Экспертные исследования

В зависимости от стоящих перед следствием задач и спецификой объектов исследования для установления конструктивных особенностей и состояния компьютеров, периферийных устройств, магнитных носителей и пр., компьютерных сетей, причин возникновения сбоев в работе указанного оборудования, а также изучения информации, хранящейся в компьютере и на магнитных носителях, назначается компьютерно-техническая экспертиза. Рассмотрим методические рекомендации по расследованию преступлений в сфере компьютерной информации Расследование преступлений в сфере компьютерной информации: Методические рекомендации //Остроушко А.В., Прохоров А.С., Задорожко С.М., Тронин М.Ю., Гаврилюк С.В. Компьютерный ресурс. Режим доступа: http://zakon.kuban.ru/uk/272`274.htm..

8.3.1 Объекты компьютерно-технической экспертизы

К объектам компьютерно-технической экспертизы относятся:

1. Компьютеры в сборке, их системные блоки.

2. Периферийные устройства (дисплеи, принтеры, дисководы, модемы, клавиатура, сканеры, манипуляторы типа «мышь», джойстики и пр.), коммуникационные устройства компьютеров и вычислительных сетей.

3. Магнитные носители информации (жесткие и флоппи-диски, оптические диски, ленты).

4. Словари поисковых признаков систем (тезаурусы), классификаторы и иная техническая документация, например, технические задания и отчеты.

5. Электронные записные книжки, пейджеры, телефонные аппараты с памятью номеров, иные электронные носители текстовой или цифровой информации, техническая документация к ним.

В системе Министерства внутренних дел России в настоящее время нет специальных экспертных подразделений, которые производят компьютерно-технические экспертизы носителей машинной информации, программного обеспечения, баз данных и аппаратного обеспечения ЭВМ. В связи с этим они могут быть назначены специалистам соответствующей квалификации из внеэкспертных учреждений. В частности, такие специалисты могут быть в информационных центрах, учебных и научно-исследовательских заведениях МВД России. Кроме того, для производства этого вида экспертиз можно привлекать специалистов учебных и научно-исследовательских заведений, не относящихся к системе МВД России, фирм и организаций, занимающихся разработкой программного и аппаратного обеспечения для компьютеров, их эксплуатацией и ремонтом. Данный вид экспертиз может быть поручен специалистам в области эксплуатации ЭВМ (системным программистам, инженерам по обслуживанию, непосредственно работающим с данного вида носителями и др.) и программистам, которые обладают соответствующей квалификацией.

При вынесении постановления о назначении компьютерно-технической экспертизы следователем в постановлении о ее назначении обязательно указываются серийный номер компьютера и его индивидуальные признаки (конфигурация, цвет, надписи на корпусе и т.д.).

Учитывая, что компьютерно-техническая экспертиза - новый формирующийся род судебных экспертиз, необходимость в которых обусловливается широким внедрением компьютерных технологий практически во все сферы человеческой деятельности, полезным будет дать краткую характеристику ее возможностей.

В настоящее время в рамках таких экспертиз выделяются два вида:

- техническая экспертиза компьютеров и их комплектующих, которая проводится в целях изучения конструктивных особенностей и состояния компьютера, его периферийных устройств, магнитных носителей и пр., компьютерных сетей, а также причин возникновения сбоев в работе вышеуказанного оборудования;

- экспертиза данных и программного обеспечения, осуществляемая в целях изучения информации, хранящейся в компьютере и на магнитных носителях.

8.3.2 Вопросы, выносимые на разрешение компьютерно-технической

экспертизы

Вопросы, выносимые на разрешение компьютерно-технической экспертизы, в зависимости от вида экспертизы также подразделяются на следующие группы:

1. Вопросы, разрешаемые технической экспертизой компьютеров и их комплектующих (диагностические):

1. Компьютер какой модели представлен на исследование? Каковы технические характеристики его системного блока и периферийных устройств? Каковы технические характеристики данной вычислительной сети?

2. Где и когда изготовлен и собран данный компьютер и его комплектующие? Осуществлялась ли сборка компьютера в заводских условиях или кустарно?

3. Соответствует ли внутреннее устройство компьютера и периферии прилагаемой технической документации? Не внесены ли в конструкцию компьютера изменения (например, установка дополнительных встроенных устройств: жестких дисков, устройств для расширения оперативной памяти, считывания оптических дисков и пр., иные изменения конфигурации)?

4. Исправен ли компьютер и его комплектующие? Каков их износ? Каковы причины неисправности компьютера и периферийных устройств? Не содержат ли физических дефектов магнитные носители информации?

5. Не производилась ли адаптация компьютера для работы с ним специфических пользователей (левша, слабовидящий и пр.)?

6. Каковы технические характеристики иных электронных средств приема, накопления и выдачи информации (пейджер, электронная записная книжка, телефонный сервер)? Исправны ли эти средства? Каковы причины неисправностей?

2. Диагностические вопросы, разрешаемые экспертизой данных и программного обеспечения:

1. Какая операционная система установлена в компьютере?

2. Каково содержание информации, хранящейся на внутренних и внешних магнитных носителях, в том числе какие программные продукты там находятся? Каково назначение программных продуктов? Каков алгоритм их функционирования, способа ввода и вывода информации? Какое время проходит с момента введения данных до вывода результатов при работе данной компьютерной программы, базы данных?

3. Являются ли данные программные продукты лицензионными (или несанкционированными) копиями стандартных систем или оригинальными разработками?

4. Не вносились ли в программы данного системного продукта какие-либо коррективы (какие), изменяющие выполнение некоторых операций (каких)?

5. Соответствует ли данный оригинальный компьютерный продукт техническому заданию? Обеспечивается ли при его работе выполнение всех предусмотренных функций?

6. Использовались ли для ограничения доступа к информации пароли, скрытые файлы, программы защиты и пр.? Каково содержание скрытой информации? Не предпринимались ли попытки подбора паролей, взлома защитных средств и иные попытки несанкционированного доступа?

7. Возможно ли восстановление стертых файлов? Возможно ли восстановление дефектных магнитных носителей информации? Каково содержание восстановленных файлов?

8. Каков механизм утечки информации из локальных вычислительных сетей, глобальных сетей и распределенных баз данных?

9. Имеются ли сбои в функционировании компьютера, работе отдельных программ? Каковы причины этих сбоев? Не вызваны ли сбои в работе компьютера влиянием вируса (какого)? Распространяется ли негативное влияние вируса на большинство программ или он действует только на определенные программы? Возможно ли восстановить в полном объеме функционирование данной программы (текстового файла), поврежденного вирусом?

10. Каково содержание информации, хранящейся на пейджере, в электронной записной книжке и пр.? Имеется ли в книжке скрытая информация и каково ее содержание?

11. Когда производилась последняя корректировка данного файла или инсталляция данного программного продукта?

12. Каков был уровень профессиональной подготовки в области программирования и работы с компьютерной техникой лица, произведшего данные действия с компьютером и программным обеспечением?

3. Вопросы идентификационного характера, разрешаемые компьютерно-технической экспертизой:

1. Имеют ли комплектующие компьютера (печатные платы, магнитные носители, дисководы и пр.) единый источник происхождения?

2. Не написана ли данная компьютерная программа определенным лицом (решается комплексно при производстве компьютерно-технической и автороведческой экспертиз)?

Кроме приведенного выше перечня вопросов, разрешаемых компьютерно-технической экспертизой, для использования на практике, в зависимости от объекта исследования и конкретной обстановки, можно привести дополнительные примеры, расширяющие перечень вопросов, подлежащих выяснению при исследовании таких объектов, как носители информации, программное обеспечение, базы данных и аппаратное обеспечение ЭВМ.

8.3.3 Перечень вопросов, разрешаемых при исследовании носителей

машинной информации

При исследовании носителей машинной информации разрешаются следующие вопросы:

1. Каков тип носителя, его технические характеристики (на каких типах ЭВМ может быть использован, максимально допустимая емкость записи и пр.)?

2. Имеет ли носитель механические повреждения?

3. Как размечен носитель, в каком формате информация записана на него?

4. Какая информация записана на данный носитель?

5. Как информация физически размещена на носителе (для лент - последовательность записи, для дисков - сектора, дорожки, цилиндры и пр.)?

6. Как информация размещена логически на носителе (файлы, каталоги, логические диски)?

7. Имеются ли повреждения информации (плохие сектора, потерянные блоки и пр.)?

8. Возможна ли коррекция информации на носителе?

9. Имеется ли на носителе компьютерный вирус, если да, то какой, какие изменения вносит и возможна ли его нейтрализация без ущерба для информации?

10. Являются ли изменения на носителе результатом действия вируса?

11. Возможно ли копирование информации с данного носителя и возможно ли физическое копирование носителя в целом?

12. При повреждении носителя возможно ли восстановление информации?

13. Какая информация ранее была записана на данный носитель (отмечена как стертые файлы) и возможно ли ее восстановление?

14. Какой объем занимает вся информация на носителе, ее отдельные части и сколько имеется свободного места?

15. Какое время занимает копирование данной информации с учетом типа ЭВМ?

16. Требуются ли для работы с информацией на носителе специальные аппаратные или программные средства дешифрации и перекодировки?

17. Нет ли на носителе специальных программ, уничтожающих информацию в случае несанкционированного доступа, отсутствия ключей и паролей или использования на другом компьютере, стоит ли счетчик возможных инсталляций и другие средства защиты, возможен ли их обход и каким образом?

8.3.4 Перечень вопросов, разрешаемых при исследовании

программного обеспечения

Под программным обеспечением (программами для ЭВМ) понимается совокупность данных и команд, предназначенных для функционирования ЭВМ и других компьютерных устройств с целью получения определенного результата.

Программное обеспечение обычно хранится на магнитных, оптических или электронных (непосредственно установлено в микросхемах памяти компьютера) носителях машинной информации и управляет работой вычислительной системы. Кроме того, коды программ, входные, выходные и промежуточные данные могут находиться на бумажном носителе (перфолента, перфокарта). Вся информация, относящаяся к программному обеспечению, независимо от формы носителя, является объектом экспертизы и должна быть представлена эксперту.

При исследовании программного обеспечения разрешаются следующие вопросы:

1. Каково назначение данного программного обеспечения?

2. Кто разработчик данного обеспечения?

3. Каким образом данное программное обеспечение распространяется, кто является владельцем данной копии, имеется ли лицензия или разрешение на использование данного продукта. Каков серийный номер данной копии программного обеспечения?

4. С какими входными и выходными данными оно работает, каким образом и в какой форме эти данные вводятся в ЭВМ, создаются ли (а если создаются, то где) временные файлы и файлы статистики и их содержание, в какой форме выдается, где хранится или куда передается выходная информация?

5. Требует ли данная программа при своей работе ввода паролей и наличия ключей (дискет, заглушек и пр.). Если требует, то каким образом они хранятся и кодируются, имеется ли возможность прочитать файл с паролем с помощью простейших редакторов?

6. Возможен ли обход паролей при запуске программы через отладчик?

7. Имеются ли на машинном носителе исходные коды программ на языке программирования?

8. Когда последний раз вносились изменения в программу (например, по дате и времени создания или внесения изменений в файлы)?

9. Имеются ли в программе изменения по сравнению с исходной версией, что было изменено, к каким последствиям данные изменения приводят?

10. Имеются ли в программе враждебные функции, которые влекут уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети? Каким образом эти функции осуществляются и к каким последствиям приводят?

11. Возможно ли самопроизвольное распространение данной программы, т.е. является ли данная программа компьютерным вирусом?

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17