89832

Деятельности правоохранительных органов по раскрытию и предупреждению преступлений в информационной сфере

Курсовая

Государство и право, юриспруденция и процессуальное право

Преступления в сфере компьютерной информации. Программно-технические средства защиты информации а также получения предварительной информации о компьютерных преступлениях. Общие принципы применения программно-технических средств защиты информации...

Русский

2015-05-15

3.14 MB

6 чел.

49

Условные сокращения

ЭВМ – электро-вычислительная машина;

IT – информационные технологии;

СУБД – система управления базами данных;

ЭД – электронные доказательства

ПО – программное обеспечение;

АО – аппаратное обеспечение;

ОТКС - открытая телекоммуникационная сеть;

ЦАСБ - Центральное адресно-справочное бюро.

Оглавление

Введение 4

Глава 1. Общие положения компьютерных преступлений 6

1.1. Преступления в сфере компьютерной информации 6

1.2. Правовая основа деятельности правоохранительных органов в борьбе с компьютерными преступлениями 9

1.3.Классификация компьютерных преступлений 12

Глава 2. Преступления с использованием компьютеров. Следы указанных преступлений. 20

2.1. Компьютер как объект преступления. 20

2.2. Компьютер как орудие преступления. 21

2.3. Следы компьютерных преступлений и способы их обнаружения 22

Глава 3. Программно-технические средства защиты информации, а также получения предварительной информации о компьютерных преступлениях 29

3.1. Общие принципы применения программно-технических средств защиты информации 29

3.2. Последовательность расследования преступлений, совершаемых при помощи открытой телекоммуникационной сети «Интернет». 31

3.3. Применение типологической схемы расследования преступлений, совершаемых в сети «Интернет» в практическом подразделении МВД России. 36

Заключение 46

Список используемой литературы 49

Введение

Современную жизнь человека нельзя представить без использования IT-технологий. Они внедрились во все сферы его деятельности. Наряду с этим становится актуальным развитие криминальной деятельности в этой сфере.  

В общем, неправомерное использование современных информационных технологий делает преступления в этой сфере не только довольно прибыльным, но и ненаказуемым делом.

Первоочередная проблема на современном этапе, скорее всего, заключается в уровне образованности, специальной подготовке должностных лиц правоохранительных органов, которые осуществляют поиск следов компьютерных преступлений, занимаются их раскрытием.

Актуальность темы исследования определяется необходимостью применения оперативными подразделениями правоохранительных органов различных способов и методов получения предварительной информациио компьютерных преступлениях.

Обеспечение информационной безопасности осуществляется системой мер, которые направлены на предупреждение, выявление и обнаружение угроз, а также на ликвидацию преступных действий.

Действующий Федеральный закон «Об информатизации, информационных технологиях и о защите информации» от 27 июля 2006 года №149-ФЗ регулирует отношения, возникающие в ходе:

  1.  осуществления права на поиск, получение, передачу, производство и распространение информации;
  2.  применения информационных технологий;
  3.  обеспечения защиты информации.2

Целью исследования является определение направлений деятельности правоохранительных органов по раскрытию и предупреждению преступлений в информационной сфере.

В ходе исследования необходимо решить следующие задачи: 

1)Исследовать  правовую  основу деятельности правоохранительных органов в борьбе с компьютерными преступлениями;

2) Определить классификацию компьютерных преступлений;

3) Раскрыть состав компьютерных преступлений;

4) Изучить  следы компьютерных преступлений и определить способы их обнаружения;

5) Рассмотреть программно-технические средства защиты информации

Глава 1. Общие положения компьютерных преступлений

1.1. Преступления в сфере компьютерной информации

Проблема компьютерная преступности в России появилось позже, чем за рубежом. Это связано с поздней компьютеризацией нашего общества, то есть внедрение в различные сферы жизни человека информационных технологий на недостаточном уровне. Именно поэтому научные исследования по этой теме начались не столь давно.

Только в последние годы популярны работы, посвященные борьбе с компьютерными преступлениями. В данных работах рассматриваются уголовно-правовые, а также криминологические аспекты указанного явления.

Борьба правоохранительных органов с преступностью в определенной сфере появляется тогда, когда материальная потеря от этих преступлений достигает существенных размеров и после  резкого выделения ущерба от общеуголовной преступности.

В России впервые о проблеме с компьютерной преступностью наука впервые заявила летом 1992 года, с момента действия межведомственного семинара «Криминалистика и компьютерная преступность»,  который был организован в рамках координационного бюро по криминалистике.

В преступлениях в сфере компьютерной информации следует выделить общий предмет преступного посягательства -  компьютерная информация.Информация – сведения, знания или набор команд (программа), предназначенная для использования в ЭВМ или управления ею, находящиеся в ЭВМ или на машинном носителе – идентифицируемом элементе информационной системы, имеющем собственника, установившего правила ее использования.

Информация образуется в ходе взаимодействия данных и методов, а в природе пребывает в виде данных.

В соответствии со ст. 2 Закона РФ от 27.07.06 г. № 149–ФЗ «Об информации, информационных технологиях и о защите информации»:3

- электронное сообщение – информация, переданная или полученная пользователем информационно-телекоммуникационной сети, где информационно-телекоммуникационная сеть – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;

- информация – это сведения (сообщения, данные) независимо от формы их представления.

При этом защите подлежит только документированная информация – «это зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель». По отношению к компьютерной информации, данное доктринальное понятие следует рассматривать как электронный документ (информация представлена в электронно-цифровой форме).

Компьютерная информация в соответствии с ч.1 ст. 272 УК РФ – информация на машинном носителе, в ЭВМ, сети ЭВМ или их системе.

На основании вышеизложенного, понятие компьютерной информации можно сформулировать следующим образом: компьютерная информация (computer information) – это информация, находящаяся в памяти ЭВМ, зафиксированная на машинных или иных носителях в электронно-цифровой форме, или передающаяся по каналам связи посредством электромагнитных сигналов с реквизитами, позволяющими ее идентифицировать.

Компьютерная информация может быть опосредована через машинный носитель, вне которого она не существует.

Существует деление международных преступных деяний на международные преступления и преступления международного характера. «В то время как международные преступления затрагивают интересы всего мирового сообщества и подлежат юрисдикции Международного уголовного суда, преступления международного характера касаются ряда отдельных государств и в рамках принципа двойной подсудности подпадают под регулятивное действие института выдачи (экстрадиции). Здесь вопрос решается на основе принципа или выдай или накажи и принципа или выдай или суди».4

Компьютерные преступления по своим критериям попадают под преступления международного характера.

Компьютеризация является социально - значимым явлением. Роль, которую она выполняет, можно рассматривать с двух сторон: с одной, рост информатизации общества упрощает многие аспекты его деятельности, во всех сферах жизни человека используется ЭВМ для ускорения и упрощения деятельности. С другой стороны, новая сфера приносит отрицательные факторы. Появляются противоправные нарушения, при чем постоянно видоизменяются и появляются новые.

Существует несколько точек зрения о возникновении «компьютерной преступности». Так, по данным американского ученого Д.Б. Паркера, преступность, «связанная с системой электронной обработки данных, возникла одновременно с появлением компьютерной техники около 1940 г. Эта преступность получила название «компьютерной преступности, или злоупотребления компьютерами».

В 1983 году в Париже группой экспертов организации экономического сотрудничества и развития было дано криминологическое определение компьютерного преступления: любое незаконное, неэтичное или неразрешенное поведение, затрагивающее автоматизированную обработку и (или) передачу данных.

В результате проведенных исследований в представленной сфере, вытекает заключение о выделении самостоятельного противоправного деяния, называемого «компьютерное преступление»

Компьютерное преступление как уголовно-правовое понятие – это предусмотренное уголовным законом виновное нарушение чужих прав и интересов в отношении автоматизированных систем обработки данных, совершенное во вред подлежащим правовой охране правам и интересам физических и юридических лиц, общества и государства.

1.2. Правовая основа деятельности правоохранительных органов в борьбе с компьютерными преступлениями

В соответствии с законодательством Российской Федерации, необходимо сохранять три основных вида информации:

  1.  Сведения, отнесенные к государственной тайне. Понятие данных сведений трактуется в ст.5 Закона РФ «О государственной тайне» - это информация в области военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-разыскной деятельности, распространение которой может нанести ущерб безопасности Российской Федерации.5
  2.  Сведения, отнесенные к коммерческой тайне, защита которых регламентирована ст.5 Федерального закона
    "О коммерческой тайне" и под такими сведениями понимается информация, имеющая действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, если к ней нет законного доступа на законных (санкционированных) основаниях и обладатель такой информации принимает меры к охране ее конфиденциальности.6
  3.  Сведения, имеющие статус персональных данных, под которыми, в соответствии со ст.3 Федерального закона "О персональных данных" понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).7

Как отмечалось ранее, компьютерное преступление как уголовно-правовое понятие – это предусмотренное уголовным законом виновное нарушение чужих прав и интересов в отношении автоматизированных систем обработки данных, совершенное во вред подлежащим правовой охране правам и интересам физических и юридических лиц, общества и государства. В этих  преступлениях машинная информация является объектом преступного посягательства, также в качестве предмета или орудия преступления может выступать машинная информация, ЭВМ, компьютерная система или компьютерная сеть. То есть компьютер может выступать одновременно в качестве предмета и в качестве орудия совершения преступления.

Это свойство определяется спецификой его строения, то есть взаимодействия компонентов логической, физической и программной структур.
В таблице 1 перечислены статьи, содержащие состав компьютерных преступлений.

Виды субъектов (кто)

Виды действий (каким образом)

Виды объектов воздействия (что)

Виды местонахождения объектов (где)

Виды последствий действий

Лицо, имеющее доступ к ЭВМ

(ст. 272,274)

Неправомерный доступ

(ст. 272)

Охраняемая законом компьютерная информация

ЭВМ

(ст. 272, 273, 274)

Уничтожение информации

(ст. 272, 273, 274)

 

Создание вредных программ

(ст. 273)

Информация

(ст. 273)

Система ЭВМ

(ст. 272, 273, 274)

Блокирование информации

(ст. 272, 273, 274)

 

Использование вредоносных программ

(ст. 273)

Программы

(ст. 273)

Сеть ЭВМ

(ст. 272, 273, 274)

Модификация информации

(ст. 272, 273, 274)

 

Распространение вредоносных программ

(ст. 273)

Охраняемая законом информация ЭВМ

(ст.274)

Машинный носитель

(ст. 272, 273)

Копирование информации

(ст. 272, 273, 274)

 

Внесение изменений в существующие программы

(ст. 273)

Вредоносные программы

(ст. 273)

 

Нарушение работы ЭВМ

(ст. 272, 273, 274)

 

Нарушение правил эксплуатации ЭВМ

(ст. 274)

 

 

 

Таблица 1

Также состав компьютерных преступлений в части касающейся могут содержать следующие статьи Уголовного Кодекса: ст.241 (Организация занятия проституцией), ст.242(Незаконные изготовление и оборот порнографических материалов или предметов), ст. 242.1(Изготовление и оборот материалов или предметов с порнографическими изображениями несовершеннолетних), ст.146 (Нарушение авторских и смежных прав),ст.180 ( Незаконное использование средств индивидуализации товаров (работ, услуг)), ст. 183 (Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну),ст.163 (Вымогательство), ст. 138 (Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений), ст.138.1 ( Незаконный оборот специальных технических средств, предназначенных для негласного получения информации)

1.3.Классификация компьютерных преступлений

К основным видам компьютерных преступлений следует отнести:

  1.  Онлайн-мошенничество;
  2.  Клевета, оскорбления и экстремистские действия в Сети;
  3.  DoS-атаки;
  4.  Дефейс;
  5.  Вредоносные программы.

Рассмотрим каждое из них:

Онлайн-мошенничество. Данный вид преступления отличается низким уровнем затрат на организацию. На практике осуществляется следующими способами:

  1.  фиктивные интернет-магазины, также сайты оказания услуг;
  2.  рассылки по сайтам о ложных обнаруженных уязвимостях и черных ходах в платежных системах, позволяющие умножать свои деньги. То есть мошенничество II- порядка, когда жертва думает, что «обманывает обманщика»;
  3.  мошеннические  сайты и рассылки, предлагающие удаленную работу, для осуществления которой, необходимо внести предоплату;

Все указанные преступления имеют схожую криминалистическую характеристику и сводятся к размещению информации в Сети, удаленному взаимодействия с жертвой и получению он неё денег и последующим исчезновением.

В соответствии с преступным «бизнес-планом» , можно выделить следующие  признаки фальшивого интернет-магазина:

  1.  зрительно  ощущаема экономия на веб-сайте, рекламе, персонале, услугах связи. Дизайн сайта и товарный знак часто заимствованы, заказы обрабатываются явно вручную, не используется банковский счет;
  2.  стремление скрыть личность владельца, когда необходимо её указать (при регистрации доменного имени, подключении телефонного номера, приобретении услуг и других)
  3.  период между заказом товара и его доставкой максимально растянут;
  4.  значительно занижена стоимость товара;
  5.  применяются способы оплаты, когда возможно скрыть личность получателя платежа, невозможно оплатить товар при получении.

При совершении преступлений данного вида остаются следующие следы:

Исходя из распространенной схемы всех онлайн-мошенничеств:

  1.  размещение (рассылка) информации;
  2.  взаимодействие с жертвой;
  3.  получение денежного перевода.

При размещении мошенниками подложного интернет-магазина можно рассчитывать на обнаружение следующих видов следов:

  1.  регистрационные данные на доменное имя; логи от взаимодействия с регистратором доменных имен; следы от проведения платежа этому регистратору;
  2.  следы при настройке DNS-сервера, поддерживающего домен мошенников;
  3.  следы от взаимодействия с хостинг-провайдером, у которого размещен веб-сайт: заказ, оплата, настройка, залив контента;
  4.  следы от рекламирования веб-сайта: взаимодействие с рекламными площадками, системами баннерообмена, рассылка спама;
  5.  следы от отслеживания активности пользователей на сайте.

При взаимодействии с жертвами обмана мошенники оставляют такие следы:

  1.  следы при приеме заказов — по электронной почте, по ICQ, через вебформу;
  2.  следы от переписки с потенциальными жертвами.

При получении денег мошенники оставляют такие следы:

  1.  следы при осуществлении ввода денег в платежную систему (реквизиты, которые указываются жертве);
  2.  следы при переводе денег между счетами, которые контролируются мошенниками;
  3.  следы при выводе денег;
  4.  следы от дистанционного управления мошенниками своими счетами, их открытия и закрытия;
  5.  следы от взаимодействия мошенников с посредниками по отмыванию и обналичиванию денег.

Клевета, оскорбления и экстремистские действия в Сети. Преступное деяние заключается в размещении информации на общедоступном ресурсе в Интернете оскорбительных, экстремистских материалов.

В случае однократного размещения информации, преступник может справиться сам. В случае массового размещения, необходима помощь профессионалов-спамеров или соответствующего программного средства для спам-постинга.

Предметом преступного посягательства выступают честь, достоинство личности, деловая репутация, национальные и религиозные чувства. В редких случаях целью такого деяния может быть провоцирование ложного обвинения другого лица в клевете, оскорблениях, экстремизме.

Состав преступления устанавливается в процессе проведения экспертизы. До проведения экспертизы распространение материала защищено конституционным правом на свободу слова.

В случае, если информация размещается лично правонарушителем с использованием автоматизации, остаются следы поиска, настройки и пробные запуски программы. Если же размещение осуществляется через специализирующихся профессионалов, искать следы необходимо через объявления спамеров, в переписках, телефонных разговорах с ними.

Если спамеры будут найдены, можно склонить их к сотрудничеству, дадут изобличающие показания.

Кроме того, правонарушитель будет контролировать и просматривать размещенные им тексты. При просмотре образуются соответствующие следы

DoS-атаки. Тип преступления «отказ в обслуживании» является одним из видов неправомерного доступа, который приводит к блокированию информации и нарушению работы ЭВМ. Данный вид атаки разделяется на два типа:

  1.  с использованием каких-либо уязвимостей в атакуемой среде;
  2.  без использования уязвимостей.

Образуются следующие следы технического характера при подготовке и совершении DOS-атаки

  1.  наличие инструментария атаки — программных средств (агентов), установленных на компьютере злоумышленника или, чаще, на чужих используемых для этой цели компьютерах, а также средств для управления агентами;
  2.  следы поиска, тестирования, приобретения инструментария;
  3.  логи (преимущественно статистика трафика) операторов связи, через сети которых проходила атака;
  4.  логи технических средств защиты — детекторов атак и аномалий трафика, систем обнаружения вторжений, межсетевых экранов, специализированных антифлудовых фильтров;
  5.  логи, образцы трафика и другие данные, специально полученные техническими специалистами операторов связи в ходе расследования инцидента, выработки контрмер, отражения атаки. (Следует знать, что DoS-атака требует немедленной реакции, если владелец желает спасти свой ресурс или хотя бы соседние ресурсы от атаки. В ходе такой борьбы обе стороны могут применять различные маневры и контрманевры, из-за чего картина атаки усложняется.);
  6.  следы от изучения подозреваемым (он же заказчик атаки) рекламы исполнителей DoS-атак, его переписки, переговоров и денежных расчетов с исполнителями;
  7.  следы от контрольных обращений подозреваемого к атакуемому ресурсу в период атаки, чтобы убедиться в ее действенности.

Дефейс. Преступление заключается в том, что злоумышленник разнообразными способами изменяет внешний вид веб-сайта потерпевшего, в большинстве случаев титульную страницу.

На взломанном компьютере следов остается не много, злоумышленник старается по возможности уничтожить их. Больше следов можно найти на компьютерах, которые хакер использует в качестве промежуточных узлов для исследования атакуемого веб-сайта и доступа к нему. Также пригодятся статистические данные транзитных провайдеров.

А на собственном компьютере злоумышленника следов должно быть еще больше — там должны найтись переработанная или заново изготовленная веб-страница, а также ее промежуточные варианты, средства для осуществления несанкционированного доступа, средства для поиска и эксплуатации уязвимостей на целевом веб-сайте и промежуточных узлах.

Помимо этого, злоумышленнику еще необходимо привлечь общественное внимание к дефейсу. Следовательно, злоумышленник сразу после «взлома» или незадолго до него каким-либо способом оповестит мир о своем преступлении. Это могут быть сообщения по электронной почте, статья в телеконференции или на веб-форуме. Все эти действия оставят дополнительные следы.

Вредоносные программы

Основные их разновидности следующие:

  1.  троянские программы для создания зомби-сетей, которые затем используются для рассылки спама, DoS-атак, организации фишерских сайтов и т.п.; нередко они снабжены механизмом самораспространения;
  2.  так называемое spyware, то есть черви и троянцы для похищения персональных данных — паролей и ключей к платежным системам, реквизитов банковских карточек и других данных, которые можно использовать для мошенничества или хищения;
  3.  так называемое adware, то есть вредоносные программы, скрытно внедряющиеся на персональный компьютер и показывающие пользователю несанкционированную рекламу;
  4.  руткиты, служащие для повышения привилегий пользователя и сокрытия его действий на «взломанном» компьютере;
  5.  логические бомбы, которые предназначены для автоматического уничтожения всей чувствительной информации на компьютере в заданное время или при выполнении (при невыполнении) определенных условий;
  6.  так называемое «ransomware» — подвид троянских программ, которые после скрытного внедрения на компьютер жертвы шифруют файлы, содержащие пользовательскую информацию, после чего предъявляют требование об уплате выкупа за возможность восстановления файлов пользователя.

При изготовлении вредоносных программ можно обнаружить следующие цифровые следы:

  1.  исходный текст вредоносной программы, его промежуточные варианты, исходные тексты других вредоносных или двойного назначения программ, из которых вирмейкер заимствовал фрагменты кода;
  2.  антивирусное ПО различных производителей, на котором создатель вредоносной программы обязательно тестирует свою, а также средства для дизассемблирования и отладки;
  3.  программные средства для управления вредоносными программами (многие из них работают по схеме «клиент-сервер», одна из частей внедряется на компьютер жертвы, а другая часть работает под непосредственным управлением злоумышленника);
  4.  средства и следы тестирования работы вредоносных программ под различными вариантами ОС;
  5.  следы контакта с заказчиками или пользователями вредоносной программы, передачи им экземпляров и документации, оплаты.

При распространении и применении вредоносных программ можно обнаружить следующие цифровые следы:

  1.  средства и следы тестирования работы вредоносной программы под различными вариантами ОС;
  2.  контакты с создателем или распространителем-посредником вредоносной программы;
  3.  программные средства для управления вредоносной программой, данные о внедрениях этой программы к жертвам, результаты деятельности (пароли, отчеты о готовности, похищенные персональные данные);
  4.  средства распространения вредоносной программы или контакты с теми, кто подрядился ее распространять.

Глава 2. Преступления с использованием компьютеров. Следы указанных преступлений.

2.1. Компьютер как объект преступления.

Существует четыре разновидности преступлений, где компьютер является объектом преступного посягательства:

1) изъятие средств компьютерной техники. В этой группе преступники ориентированы на получение чужого имущества. Примером данного вида преступления служит атака на компьютер посредством несанкционированного воздействия с целью получения доступа к хранящейся на нем информации, бесплатного использования системы или её повреждения.

Большую часть таких нарушений предполагает несанкционированное воздействие к системе, то есть её «взлом». Методики, используемые противниками, сводятся к двум разновидностям:

"Взлом" изнутри: преступник имеет физический доступ к терминалу, с которого доступна интересующая его информация и может определенное время работать на нем без постороннего контроля.

"Взлом" извне: преступник не имеет непосредственного доступа к компьютерной системе, но имеет возможность каким-либо способом (обычно посредством удаленного доступа через сети) проникнуть в защищенную систему для внедрения специальных программ, произведения манипуляций с обрабатываемой или хранящейся в системе информацией, или осуществления других противозаконных действий.

2) Хищение услуг. Сюда относят получение доступа к системе для бесплатного получения услуг.

Примером указанного преступления является использование компьютера для проникновения в коммутационную телефонную систему с целью незаконного пользования услугами междугородней связи.

Одним из наиболее распространенных преступлений данного вида является уивинг. Кража услуг происходит в процессе «запутывания следов». Это можно достичь различными способами, например, при помощи применения прокси-сервера, также удаленного доступа. Противник скрывает свое подлинное имя и местонахождение.

3) Повреждение системы. В данную группу входят преступления, совершаемые в целях разрешения или изменения данных.  Объекты указанного вида преступлений – компьютеры, соединенные с сетью интернет, а также маршрутизаторы.

4) Программное несанкционированное воздействие. К данному виду преступлений относится применение вредоносных программ, а именно:

-троянские программы;

-компьютерные вирусы.

Все указанные выше преступления, связанные с использованием компьютерных систем, приводят к следующим видам несанкционированного воздействия:

  1.  искажение информации;
  2.  уничтожение информации;
  3.  копирование информации;
  4.  блокирование доступа к информации;
  5.  утрата информации;
  6.  уничтожение носителя информации;
  7.  сбой функционирования.

2.2. Компьютер как орудие преступления.

Компьютерные системы могут использоваться в качестве орудия преступлений двумя способами:

  1.  Средство совершения преступлений.

Большая часть данных преступлений совершается  с использованием сети Интернет. К ним относятся: мошенничество с предоплатой, виртуальные финансовые пирамиды, азартные игры, распространение порнографических материалов.

  1.  Средство атаки на другие компьютерные преступлений.

Компьютер как орудие совершения преступлений. Большая часть данных преступлений совершается  с использованием сети Интернет. К ним относятся: мошенничество с предоплатой, виртуальные финансовые пирамиды, азартные игры, распространение порнографических материалов.

Компьютер как средство атаки на другие компьютеры. Бывает, что компьютер является средством несанкционированного воздействия,  а также средством атаки. В основном, атака на другой компьютер происходит с компьютера, находящегося в одной сети.

Существует две категории дистанционных преступлений:

  1.  Несанкционированное воздействие:

Преступник пытается воспользоваться «слабыми» местами в области обеспечения безопасности системы. Результатом может стать похищение или уничтожение информации, также использование поврежденной системы в качестве платформы, с которой он может совершать преступление, направленное на другие ЭВМ.

  1.  Отказ в обслуживании. Цель преступника при совершении данного вида преступления – выведение из строя системы.

2.3. Следы компьютерных преступлений и способы их обнаружения

Компьютерное преступление вызывает изменения в окружающей среде и самих элементах криминалистической структуры преступления. Эти изменения, понимаемые в широком смысле, и являются следами компьютерного преступления.

При совершении компьютерных преступлений образуются материальные, идеальные и социальные следы.

Материальные следы включают: следы-отображения, следы-предметы, следы-вещества.

Следы-предметы включают:

1. Сменные носители информации (дискеты, магнитные ленты, оптические диски, внешние винчестеры, карты флэш-памяти и т.д.) – могут содержать информацию, скопированную из информационной системы, вирусы, иные следы несанкционированного воздействия.

2. Аппаратно реализованные закладные устройства могут внедряться в устройство ЭВМ, сеть.

3. Устройства дистанционного съема информации.

4. Кабели и разъемы со следами посторонних подключений.

5. Устройства для уничтожения компьютерной информации.

6. Документы на бумажных носителях (проектно-конструкторское задание, инструкции по эксплуатации, распечатки результатов работы прикладного ПО, листинги программ и т.п. техническая документация)

Следы-вещества представлены, в первую очередь, различного рода красителями, используемыми в знакопечатающих устройствах.

При совершении компьютерных преступлений, помимо традиционных, образуется ряд следов, специфичных для данного вида преступлений - электронные доказательства (информационные следы).

Электронное доказательство - информация или данные, имеющие значение для расследования преступлений, которые хранятся или передаются посредством электронных устройств.

В настоящее время мировой практикой борьбы с компьютерными преступлениями выработан ряд принципов работы с электронными доказательствами:

1) должны быть установлены стандартные правила работы с ЭД;

2) эти правила должны быть едины для всех правоохранительных органов;

3) эти правила следует регулярно пересматривать (чтобы идти в ногу с прогрессом);

4) все варианты этих правил должны храниться в письменной форме;

5) следует использовать соответствующее ПО и АО;

6) все манипуляции с компьютерными данными должны быть задокументированы;

7) любые действия, которые могут изменить, повредить или уничтожить информацию, должны совершаться при производстве экспертизы.

Электронные следы включают:

1. Появление новых файлов или уничтожение имевшихся файлов. Уничтоженные файлы в целом ряде случаев можно восстановить.

2. Изменение содержимого файлов.

3. Изменение атрибутов файлов.

4. Временные файлы (temp, tmp).

5.Регистрационные файлы (лог-файлы) – файлы, в которые записываются все операции производимые в системе. Регистрационные файлы формируются на уровне операционной системы, баз данных и отдельных программ.

Компьютер и компьютерная сеть может иметь специально установленные собственником программы, призванные фиксировать операции, производимые пользователями (клавиатурные или экранные шпионы).

Для контроля за работой WindowdXP,  а также за конфигурацией всех приложений, установленный в системе, можно использоватье реестр WindowdXP.

В реестре хранятся данные, которые необходимы для правильного функционирования Windows. К ним относятся профили всех пользователей, сведения об установленном ПО и типах документов, которые могут быть созданы каждой программой, информация о свойствах папок и значках приложений, а такжен установленном оборудовании и используемых портах.

Хранится реестр в виде множества двоичных файлов.

Для работы с реестром необходимо использовать специальные программы. Они собирают все файлы реестра воедино и отображают их содержимое в виде единой иерархической структуры.

Стандартной программой, предназначенной для работы с реестром, входящим в состав WindowsXP, является программа regedit.exe или regedit32.exe. Располагается эта программа в каталоге, в котором была установлена ОС.

Например, с помощью реестра были исследованы хранящиеся данные в ЭВМ на предмет наличия троянских программ:

Запуск программы regedit.exe(См.Рис.1)

Рис. 1. Запуск программы

В открывшемся окне выбрана ветвь HKEY_LOCAL_MACHINE и далее Software\Microsoft\WindowsNT\CurrentVersion\Winlogon(См.Рис. 2)

Рис. 2. Выбранная ветвь

В правой половине открытого окна программы regedit.exe появился список ключей (См. Рис. 3)

Рис. 3. Список ключей

Найден ключ Userinit(REG_SZ) и проверено содержимое. По умолчанию(исходное состояние)–этот ключ содержит следующую запись C:\WINDOWS\system32\userinit.exe(См. Рис. 4)

В указанном ключдополнительныезаписи отсутствуют,  это говорит о том, что троянских программ нет.

Рис. 4. Пример просмотра ключа

Что касается защиты сети Интернет от детской порнографии, пропаганды суицида и наркотиков в Интернете, существуетПриказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), Федеральной службы Российской Федерации по контролю за оборотом наркотиков (ФСКН России), Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека (Роспотребнадзор) от 11 сентября 2013 г. N 1022/368/666 "Об утверждении критериев оценки материалов и (или) информации, необходимых для принятия решений Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, Федеральной службой Российской Федерации по контролю за оборотом наркотиков, Федеральной службой по надзору в сфере защиты прав потребителей и благополучия человека о включении доменных имен и (или) указателей страниц сайтов в информационно-телекоммуникационной сети "Интернет", а также сетевых адресов, позволяющих идентифицировать сайты в сети "Интернет", содержащие запрещенную информацию, в единую автоматизированную информационную систему "Единый реестр доменных имен, указателей страниц сайтов в информационно-телекоммуникационной сети "Интернет" и сетевых адресов, позволяющих идентифицировать сайты в информационно-телекоммуникационной сети "Интернет", содержащие информацию, распространение которой в Российской Федерации запрещено". В Приложении определены следующие критерии8:

«…1.1. Любое изображение какими бы то ни было средствами ребенка, совершающего реальные или смоделированные откровенно сексуальные действия, или любое изображение половых органов ребенка в сексуальных целях.

1.2. Фото-, видео-, аудио- и (или) текстовая информация о производстве, распределении, распространении и (или) передаче, импорте, экспорте, предложении и (или) предоставлении, продаже или хранении детской порнографии, приобретении детской порнографии для себя или другого лица.

1.3. Информация, объявления о привлечении несовершеннолетних в качестве исполнителей для участия в зрелищных мероприятиях порнографического характера, содержащие сведения о местах проведения зрелищных мероприятий либо контактную информацию (телефон подвижной или фиксированной связи, адрес электронной почты или почтовый адрес), включая рекламу, афиши, статьи, аудиовизуальные произведения, содержащие указанную информацию.

1.4. Фото-, видео-, аудио- и (или) текстовая информация, направленная на возбуждение сексуальных чувств по отношению к несовершеннолетним либо оправдывающая сексуальное поведение в отношении несовершеннолетних…»9

Глава 3. Программно-технические средства защиты информации, а также получения предварительной информации о компьютерных преступлениях

  1.  Общие принципы применения программно-технических средств защитыинформации

Программно-технические меры, то есть меры, направленные на контроль компьютерных сущностей - оборудования, программ или данных, образуют последний и самый важный рубеж информационной безопасности.

Центральным для программно-технического уровня является понятие сервиса безопасности. Следуя объектно-ориентированному подходу, при рассмотрении информационной системы с единичным уровнем детализации мы увидим совокупность предоставляемых ею информационных сервисов. Чтобы они могли функционировать и обладали требуемыми свойствами, необходимо несколько уровней дополнительных (вспомогательных) сервисов - от СУБД и мониторов транзакций до ядра операционной системы и оборудования.

К вспомогательным относятся сервисы безопасности среди необходимо выделить: универсальные, высокоуровневые, допускающие использование различными основными и вспомогательными сервисами. Некоторые вспомогательные сервисы:

  1.  идентификация и аутентификация;
  2.  управление доступом;
  3.  протоколирование и аудит;
  4.  шифрование;
  5.  контроль целостности;
  6.  экранирование;
  7.  анализ защищенности;
  8.  обеспечение отказоустойчивости;
  9.  обеспечение безопасного восстановления;
  10.  туннелирование;
  11.  управление.

Данного набора сервисом, в принципе, достаточно для построения надежной защиты на программно-техническом уровне, но при соблюдении целого ряда дополнительных условий (отсутствие уязвимых мест, безопасное администрирование и так далее).

Для проведения классификации сервисов безопасности и определения их места в общей архитектуре меры безопасности можно разделить на следующие виды:

  1.  превентивные, препятствующие нарушениям ИБ;
  2.  меры обнаружения нарушений;
  3.  локализующие, сужающие зону воздействия нарушений;
  4.  меры по выявлению нарушителя;
  5.  меры восстановления режима безопасности.

Большинство сервисов безопасности попадает в число превентивных. Аудит и контроль целостности способны помочь в обнаружении нарушений; активный аудит, кроме того, позволяет запрограммировать реакцию на нарушение с целью локализации и прослеживания. Направленность сервисов отказоустойчивости и безопасного восстановления очевидна. Наконец, управление играет инфраструктурную роль, обслуживая все аспекты ИС.

Сервисы безопасности сами по себе не могут гарантировать надежность программно-технического уровня защиты. Только проверенная архитектура способна сделать эффективным объединение сервисов, обеспечить управляемость информационной системы, ее способность развиваться и противостоять новым угрозам при сохранении таких свойств, как высокая производительность, простота и удобство использования.

Три принципа:

  1.  необходимость выработки и проведения в жизнь единой политики безопасности;
  2.  необходимость обеспечения конфиденциальности и целостности при сетевых взаимодействиях;
  3.  необходимость формирования составных сервисов по содержательному принципу, чтобы каждый полученный таким образом компонент обладал полным набором защитных средств и с внешней точки зрения представлял собой единое целое (не должно быть информационных потоков, идущих к незащищенным сервисам).

С практической точки зрения наиболее важными являются следующие принципы архитектурной безопасности:

  1.  непрерывность защиты в пространстве и времени, невозможность миновать защитные средства;
  2.  иерархическая организация ИС с небольшим числом сущностей на каждом уровне;
  3.  усиление самого слабого звена;
  4.  невозможность перехода в небезопасное состояние;
  5.  минимизация привилегий;
  6.  разделение обязанностей;
  7.  разнообразие защитных средств;
  8.  простота и управляемость информационной системы.

  1.  Последовательность расследования преступлений, совершаемых при помощи открытой телекоммуникационной сети «Интернет».

Информация, добываемая и используемая в ходе расследования преступлений представляет собой сведения о лицах, предметах, документах, фактах, событиях, явлениях и процессах, получаемые в порядке, предусмотренном оперативно-розыскным законом и ведомственными нормативными актами по тактике оперативно-розыскной деятельности, зафиксированные на материальных носителях с реквизитами, позволяющими ее идентифицировать, сосредоточиваемая в информационных системах и делах оперативного учета. Данная информация образует информационный ресурс оперативных подразделений органов, осуществляющих оперативно-розыскную деятельность, отличающийся конфиденциальным характером. Информация, циркулирующая в оперативно-розыскном процессе, призвана обеспечить решение задач ОРД и содействовать разрешению проблем уголовного процесса.

Получение предварительной информации о противоправных деяниях, совершаемых при помощи открытой телекоммуникационной сети (ОТКС) «Интернет», можно разделить на две основные группы:

  1. Получение сообщений, заявлений, обращений граждан о противоправных деяниях, написанных при помощи электронных форм, расположенных на официальных сайтах МВД России, а также при обращении граждан в территориальные органы внутренних дел.

Пример: гражданин G обратился в полицию при помощи электронной формы, расположенной на официальном сайте МВД. В своем обращении он указывает, что им была создана онлайн игра и размещена на сервере хостинг-центра. Своей знакомой он предоставила данные для авторизации через консоль администратора, для осуществления графического оформления. Ее друг, который имел корыстные намерения, попросил загрузить файл, который явился троянской программой типа «бэкдор» (Backdoor — чёрный вход, задняя дверь) на сервер. После этого он скопировал исходные коды онлайн игры и все базы данных пользователей. Следующим шагом злоумышленник оформил доменное имя и разместил копию игры.

Когда автор игры обнаружил данный инцидент, он нашел троянскую программу на своем сервере и модифицировал ее, в результате чего ему удалось получить электронный почтовый ящик злоумышленника, на который отправлялась информация, а также установить IP-адрес, с которого злоумышленник обращался к своему «бекдору».

  1. Получение информации от граждан, оказывающих негласное содействие сотрудникам полиции.

В основном, информация, предоставляемая гражданами, оказывающих негласное содействие сотрудникам полиции, касается совершением мошеннических действий в сети интернет, так как они зарегистрированы на тематических сайтах и форумах.

  1. Третью группу формирует личный сыск сотрудника подразделения, в чью компетенцию входит рассмотрение компьютерных преступлений.

Наиболее широко личный сыск применятся при обнаружении фактов распространения в сети Интернет детской порнографии.

Ключевая особенность компьютерных преступлений заключается в том, что их реализации осуществляется при помощи технических средств, таких как персональный компьютер, мобильные или портативные устройства. Помимо этого необходимо наличие у них доступа в ОТКС «Интернет». Данную возможность пользователям предоставляют Интернет-провайдеры. Каждому устройству выделяется IP-адрес, по которому происходит соединение со всемирной сетью «Интернет». При этом происходит регистрация в Log-файле, кому и когда предоставлялся определенный IP-адрес. Поэтому сбор предварительной информации направлен в первую очередь на установления IP-адреса злоумышленника.

Учитывая изложенное, следует представить схему, отражающую последовательность расследования преступлений, совершаемых при помощи ОТКС «Интернет» (См. Схему 1):

Появление причин для проведения расследования

Местонахождение

компьютера

Установление

IP-адреса

Провайдер

Компьютер

Личность

Схема.1.Последовательность расследования преступлений, совершаемых при помощи ОТКС «Интернет»

Рассмотрим последовательно каждый элемент схемы проведения расследования компьютерного преступления:

  1. Установление IP-адреса. Данная информация устанавливается при помощи осуществления официального запроса в организации, предоставляющие различные услуги в сети Интернет: почтовые сервисы (mail.ru, yandex.ru, rambler.ru), социальные сети («ВКонтакте», «Одноклассники»), платежные системы («Яндекс.деньги», «QIWI»), регистраторы доменов (REG.RU, RU-CENTER). Помимо самого IP-адреса, необходимо установить точное время его использования.

Однако стоит отметить тот факт, что опытные пользователи скрывают свои истинные IP-адреса при помощи использования proxy-серверов, что затрудняет дальнейшее получение информации о противоправном деянии. Поэтому используют другие методы для выявления лица, совершившего уголовно-наказуемое деяние

  1. Провайдер. Установив, с какого IP-адреса осуществлялся доступ к Интернет-ресурсу, определяем при помощи бесплатного и общедостпупного сервиса «Whois?» (whois-service.ru, 2ip.ru/whois/) какому провайдеру принадлежит IP-адрес (См.рис.5).

Рис.5. Данные, предоставляемые сервисом «Whois»

Помимо названия провайдера, данный сервис предоставляет его контактную информацию.

  1. Местонахождение компьютера. Провайдер заключает с физическим лицом договор о предоставлении услуг связи. Поэтому у него есть регистрационная база всех его пользователей. Помимо этого, у каждого провайдера ведутся Log-фалы, в которые записывается, какому пользователю, в какой момент времени, выделялся IP-адрес.
  2. Компьютер. Для установления всей информации, которая может иметь отношении к совершенному компьютерному преступлению, средства вычислительной техники направляют на компьютерно-техническую экспертизу либо исследование. В зависимости от совершенного компьютерного преступления, перед экспертом необходимо поставить конкретные вопросы, ответы на которые будут иметь доказательное значение о причастности владельца компьютера к совершению им незаконных действий при помощи ОТКС «Интернет».
  3. Личность. Заключающим моментом является установление личности, в чьем пользовании находился компьютер в момент совершения компьютерного преступления.

  1.  Применение типологической схемы расследования преступлений, совершаемых в сети «Интернет» в практическом подразделении МВД России.

Данная схема сбора первичной информации была применена на практике при рассмотрении материала проверки по обращению гр. N.

Фабула противоправного деяния: неустановленное лицо, используя аккаунт в социальной сети, под видом несовершеннолетнего, познакомилось с дочерью гр. N. В ходе общения с несовершеннолетней гр. K, неустановленное лицо попросило выслать ему фотографии интимного содержания. После чего, гр. K, выполнила его просьбу. Заполучив данный фотоматериал, неустановленное лицо разместило их на странице своего аккаунта, тем самым предоставив свободный доступ к их просмотру и возможность их загрузки. Его действиями была нарушена диспозиция п. г, ч. 2, ст. 242.1 УК РФ.

Диспозиция данной статьи затрагивает половую неприкосновенность несовершеннолетних, поэтому необходимо провести ОРМ «Сбор образцов для сравнительного исследования», т.е. загрузить размещенные фотографии на оптический носитель в присутствии двух представителей общественности, провести документирование факта загрузки, опечатать оптический носитель способом, исключающим доступ к нему, и направить для проведения исследования. При этом необходимо поставить перед экспертом ряд вопросов, на которые он должен ответить: имеются ли на представленных фотографиях материалы порнографического содержания? Изображены ли на представленных фотографиях лица несовершеннолетнего возраста?

Сбор предварительной информации в данном случае был начат с направления официального запроса в социальную сеть. В ответ на него Администрация данного Интернет-ресурса предоставила информацию, что указанный пользователь зарегистрировался под никнеймом «Иванов Иван», 01.01.**** года в 00:00:00 по московскому времени, используя IP-адрес 192.168.*.* Также был представлен список времени, даты и IP-адресов, с которых осуществлялось администрирование данного аккаунта.

При помощи сервиса «Whois»был установлен провайдер, которому принадлежит полученный IP-адрес. В ответ на запрос, администрация организации, предоставляющей услуги связи сообщила, что указанный в запросе IP-адрес01.01.**** года в 00:00:00 по московскому временибыл выделен для доступа в ОТКС «Интернет» абоненту, проживающего по адресу: город S, ул. Свободы, д. 1, кв. 2. Данный абонент был зарегистрирован при оформлении договора как гр.S.

Проведя установочный мероприятия, а именно наведение справок через ЦАСБ (Центральное адресно-справочное бюро) о лицах, зарегистрированных по данному адресу.

В ходе проведения ОРМ «Обследование помещений, зданий, сооружений, участков местности и транспортных средств» был обнаружен и  изъят компьютер, с которого осуществлялся доступ в интернет и он был направлен на компьютерно-техническую экспертизу.

Данный компьютер принадлежал гр.Q, сожителю гр. S.

Вся информация, а также заключения экспертов служит доказательной базой для привлечения гр. Q к уголовной ответственности.

Учитывая вышеизложенное, можно сделать вывод, что предложенная схема по сбору предварительной информации о компьютерном преступлении является эффективной и служит основой для рассмотрения типологического состава преступления.

Рассматривая преступления, касающиеся диспозиции статьи 159 УК РФ, стоит отметить изобретательность злоумышленников в рамках применения нестандартных способов для совершения ими противоправного деяния. Для получения информации по данным фактам требуется больше времени и специальных познаний в различных областях. Одним из главных методов, которым пользуются злоумышленники, является социальная инженерия. При общении с «жертвой» они стараются расположить ее к себе и получить ее доверие.

Наиболее часто социальная инженерия применятся при осуществлении продажи товаров или услуг в сети Интернет.

В настоящее время активно развивается следующий способ совершения мошеннических действий: в преступной группе создаются несколько подгрупп, которые выполняют разные функции и они знают о существовании других подгрупп, но лично контакт между собой не осуществляют. Содействие осуществляется через третьих лиц. Функции подразделяются на следующие:

  1. Организаторы. Осуществляют взаимодействие подгрупп между собой, прибегая к помощи третьих лиц.
  2. «Отдел кадров». Осуществляет поиск в сети Интернет лиц, обладающих специальными познаниями в сфере компьютерной информации, а также определенными навыками, требующихся для определенных подгрупп.
  3. Подгруппа «хакеры». В их обязанности входит поиск и «взлом» аккаунтов распространенных социальных сетей, а также учетных записей «Skype»,«ICQ» и т.п.
  4. Подгруппа «социальной инженерии». Используя предоставленные данные, они осуществляют несанкционированную авторизацию через аккаунт пользователя и исследуют диалоги, которые ведутся с другими пользователями. Целью изучения является получение информации о том, кому доверяет «взломанный» пользователь. После этого от его лица ведется диалог с просьбой перевести некоторую сумму денежных средств на номер банковской карты, либо на иной счет платежной системы виртуальной валюты.
  5. Подгруппа «инкассаторов». Данные лица осуществляют обналичивание денежных средств, либо перевод их на иные счета платежных систем.

Однако наибольшее число мошеннических действий при помощи сети Интернет совершают лица одиночки. В качестве примера по данному виду противоправного деяния приведем обращение гр. N.

На сайте бесплатных объявлений гр. Nнашла объявление о продаже цифрового фотоаппарата стоимостью 15000 рублей. В контактной информации объявления был указан абонентский номер, по которому гр. Nсвязалась с лицом(гр. S), разместившем его. В ходе общения продавец сказал, что отправит товар при помощи службы доставки, после оплаты товара на номер QIWI-кошелька. Продавец получил доверие гр. N, и она совершила платеж через терминал оплаты. После повторного телефонного звонка, гр. S подтвердил, что транзакция прошла успешно и прервал разговор. После этого он перестал отвечать на телефонные звонки и оплаченный товар гр. N доставлен не был.

Используя предложенную последовательность расследования преступлений, были осуществлены официальные запросы в администрацию сайта «Avito.ru»и платежной системы «QIWI»cцелью получения IP-адресов администрирования.

В ответном письме они предоставили данные об IP-адресе, с которого, в одном случае, было размещено электронное объявление, с указанием точного времени, и в другом – IP-адрес администрирования электронного кошелька. Предоставленная информация показала, что IP-адреса идентичны.

Помимо этого, «QIWI» предоставил выписку по счету электронного кошелка, в котором отображалась транзакция поступления денежных средств в размере 15000 рублей с терминала оплаты, котором воспользовалась гр. N.

При помощи сервиса «Whois»было установлено, что данный IP-адрес входит в диапазон IP-адресов, обслуживание которых осуществляет провайдер «Example»в городе M. Данный провайдер предоставил анкетные данные того, кому выделялся указанный IP-адрес. И подтвердил, что в указанный момент времени, он обращался к Интернет-ресурсу «Avito.ru».

Однако IP-адрес не всегда можно идентифицировать. Более опытные пользователи, решившие использовать свои познания в сфере высоких технологий, прибегают к помощи proxy-серверов, что затрудняет сотрудникам специализированных подразделений, осуществлять свою деятельность. Поэтому необходимо осуществлять сбор всей доступной информации, которую можно получить в рамках материала проверки.

  1. Использование служебных заголовков электронных писем

В своей деятельности, лица, занимающиеся противоправной деятельностью, в большинстве случаев используют для связи с «жертвой» электронные почтовые ящики. При получении электронных писем в их заголовке отображается информация об отправителе, адресате, теме письма и дате отправки. Это служит для более простого восприятия электронных писем. Однако сами письма содержат в себе служебные заголовки – набор служебной информации, содержащие адрес отправителя и получателя, их IP-адреса, маршрут движения письма, кодировки, тему письма и т.п. Кроме этого антивирусные системы также оставляют там свои пометки. Вся эта информация помещается в самом начале письма, поэтому и называется заголовком. Почтовые программы отделяют эту информацию от тела письма и скрывают её от пользователя.

Электронное письмо создается на компьютере отправителя при помощи клиента электронной почты (либо при помощи веб-интерфейса сервера электронной почты). После этого оно направляется на сервер электронной почты отправителя. Далее с сервера отправителя оно направляется на сервер получателя, на котором оно размещается на почтовом ящике адресата.( См. Схему 2)

Сервер электронной почты (rambler.ru)

Сервер электронной почты (mail.ru)

Клиент электронной почты получателя

Клиент электронной почты отправителя

Схема 2. Отправка электронного письма

В результате данного процесса образуются следующие следы отправки электронного письма:

  1. электронное письмо на компьютере отправителя (либо на сервере его почтового ящика);
  2. запись в log-файлах каждого сервера электронной почты, через которые прошло сообщение;
  3. копия данного письма у получателя с добавленными служебными заголовками, внесенными при движении электронного сообщения.

В качестве примера, было отправлено электронное письмо с почтового ящика «*@mail.ru»на «*@rambler.ru». Далее через веб-интерфейс был просмотрен служебный заголовок данного письма (рис.).

Для выявления IP-адреса, с которого была осуществлена отправка электронного сообщения необходимо обратить внимание на заголовок «Received».  Он содержит в себе информацию о прохождении письма через почтовый сервери отображает того, кто его отправил.(См.Рис.6,7)

Рис.6. Служебные заголовки электронного письма

Рис.7. Служебный заголовок Received

После совершения противоправного деяния в отношении лица («жертвы»), если общение осуществлялось посредством электронной почты, то можно установить IP-адрес, с которого осуществлялась отправка писем. Для этого необходимо получить информацию из служебных заголовков писем, располагающихся на почтовом ящике «жертвы».

  1. Использование уведомления о прочтении при помощи почтового сервиса «Sfletter»

Однако, если злоумышленник общался посредством телефонной связи, но также указал в контактной информации (в объявлении на сайте) адрес своей электронной почты, то можно установить его IP-адрес.

Для этого воспользуемся почтовым сервисом от компании StarForce–«sfletter.com». Он предназначен для защиты писем и вложений от утечки, но кроме этого в нем есть возможность отображения IP-адреса, с которого было открыто электронное сообщение, а также времени и даты прочтения. После регистрации, создается почтовый ящик с именем «reddsskky@sfletter.com».(См. Рис8)

Рис.8. Окно почтового сервиса

В данном методе получения IP-адреса злоумышленника необходимо иметь познания в социальной инженерии, чтобы он открыл электронное письмо через свой клиент, либо веб-интерфейс.

Для начала работы необходимо включить функцию уведомления о доставке: заходим в настройки, далее во вкладку «Создание сообщений» и устанавливаем пункт «Всегда запрашивать уведомление о доставке» и нажимаем «Сохранить».(См. Рис 9).

Рис.9. Основные настройки

Чтобы проверить работоспособность данного сервиса воспользуемся сетью «Tor», чтобы скрыть истинный IP-адрес. При помощи Интернет-ресурса «2ip.ru»проверяем наш IP-адрес: он отобразил данные о нашей операционной системе, браузере и стране, в данном случае Германия.(См.Рис.10)

Рис.10. Подменный IP-адрес

Авторизацию второго электронного почтового ящика осуществим с реального IP-адреса через браузер «GoogleChrome». Данный ЭПЯ будет выступать в роли почтового ящика злоумышленника. Также проверяем данные на Интернет-ресурсе «2ip.ru»: получаем сведения об операционной системе, браузере и в данном случае он отобразил нашего провайдера. При просмотре этого IP-адреса на сервисе «Whois» получаем подлинную информацию, что мы располагаемся в г. Москва.(Рис.11)

Рис. 11. Реальный IP-адрес(Рис.11)

IP

188.255.119.70

Хост:

broadband-188-255-119-70.nationalcablenetworks.ru

Город:

Москва  

Страна:

 RussianFederation

IP диапазон:

188.255.64.0 - 188.255.127.255

Название провайдера:

NCNET Broadbandcustomers

Рис.12. Информация с сервиса «Whois»

После проверки IP-адресов, через браузер «MozzilaFirefox», подключенной к этой сети «Tor», запускаем веб-интерфейс «sfletter»и создаем новое электронное письмо. Указываем электронный почтовый ящик злоумышленника, в качестве примера использовался «b1nq00@mail.ru». Вводим тему письма, далее само текстовое сообщение и нажимаем кнопку «Отправить».

Рис.13. Создание проверочного сообщения

Открываем отправленное письмо на ЭПЯ «b1nq00@mail.ru»и переходим обратно «sfletter». Во вкладке «Отправленные» теперь отображается отправленное письмо. Далее его выделяем нажатием курсора и нажимаем на иконку на панели инструментов.

Рис.14. Вкладка «Отправленные»

После этого открывается окно, отображающее «Историю доступа получателей к защищенному письму». В данном окне отображается информация об электронном почтовом ящике получателя, дату и время и его IP-адрес: 188.255.119.70, который является нашим истинным.

Учитывая вышеизложенное, можно сказать, что данный метод возможно применить на практике, однако необходимо освоить начальные навыки социальной инженерии.

Заключение

Подводя итог работы по получению предварительной информации о компьютерных преступлениях, следует отметить, что тема исследования и сама по себе проблема получения предварительной информации далеки от разрешения. Это, в первую очередь, связано с тонкой гранью разделения предварительнойинформации о компьютерных преступлениях от первоначальной информации.

В работе удалось ответить на ряд вопросов, связанных с получением предварительной при борьбе с преступлениями в сфере компьютерной информации, а именно:

  1.  Обозначены  общие положения компьютерных престплений.

В ходе выполнения данной задачи получена следующая информация:

Компьютерное преступление как уголовно-правовое понятие – это предусмотренное уголовным законом виновное нарушение чужих прав и интересов в отношении автоматизированных систем обработки данных, совершенное во вред подлежащим правовой охране правам и интересам физических и юридических лиц, общества и государства.

К основным видам компьютерных преступлений следует отнести:

  1.  Онлайн-мошенничество;
  2.  Клевета, оскорбления и экстремистские действия в Сети;
  3.  DoS-атаки;
  4.  Дефейс;
  5.  Вредоносные программы.

Также изучен уголовный кодекс на предмет составов преступлений, относящихся к компьютерным. Данный анализ отражен в Таблице 1.

Рассмотрена правовая основа получения предварительной информации о компьютерных преступлениях.

2.  Изучены преступления с использованием компьютеров. Рассмотрено использование компьютера как объекта преступления.

После чего, получен вывод, что при совершении данного вида преступления, случается один из видов несанкционированного воздействия:

  1.  искажение информации;
  2.  уничтожение информации;
  3.  копирование информации;
  4.  блокирование доступа к информации;
  5.  утрата информации;
  6.  уничтожение носителя информации;
  7.  сбой функционирования.

Также рассмотрено использование  компьютера как орудие совершения преступления. Далее обозначены следы компьютерных преступлений и способы их обнаружения. При совершении компьютерных преступлений образуются материальные, идеальные и социальные следы. Выделены материальные следы, которые  включают: следы-отображения, следы-предметы, следы-вещества.

  1.  Изученыпрограммно-технические средства защиты информации, а также обнаружения предварительной информации о компьютерных преступлениях.

Рассмотрены следующие виды обнаружения предварительной информации:

  1. последовательность расследования преступлений, совершаемых при помощи открытой телекоммуникационной сети «Интернет»;
  2. применение типологической схемы расследования преступлений, совершаемых в сети «Интернет» в практическом подразделении МВД России;
  3. использование служебных заголовков электронных писем;
  4. использование уведомления о прочтении при помощи почтового сервиса «Sfletter».

В работе выполнена оценка существующих методов и средств получения предварительной информации о компьютерных преступлениях, тактические приемы применения программных и аппаратных средств, действий правонарушителя в компьютерных системах.

Список используемой литературы

  1. Конституция Российской Федерации
  2. Федеральный закон Российской Федерации от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации»
  3. Федеральный закон Российской Федерации от 10 января 2002 года №1 –ФЗ « Об электронной цифровой подписи»
  4.  Закон РФ от 21 июля 1993 г. N 5485-I"О государственной тайне" С изменениями и дополнениями от: 6 октября 1997 г., 30 июня, 11 ноября 2003 г., 29 июня, 22 августа 2004 г., 1 декабря 2007 г., 18 июля 2009 г., 15 ноября 2010 г., 18, 19 июля, 8 ноября 2011 г., 21 декабря 2013 г., 8 марта 2015 г
  5.  Федеральный закон от 29 июля 2004 г. N 98-ФЗ"О коммерческой тайне"
  6.  Федеральный закон от 27 июля 2006 г. N 152-ФЗ"О персональных данных"
  7.  Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), Федеральной службы Российской Федерации по контролю за оборотом наркотиков (ФСКН России), Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека (Роспотребнадзор) от 11 сентября 2013 г. N 1022/368/666
  8. Э.И.  Султанова « Общая характеристика преступлений против конституционных прав и свобод человека и гражданина»
  9. Е.Г. Белоглазов, К.К. Борзунов, А.С. Овчинский « Применение информационных технологий в аналитической разведке» : курс лекций – М.: Московский Университет МВД России, 2005 год
  10. С.С. Овчинский «Оперативно-разыскная информация» М.: ИНФРА-М, 2000 год
  11.  М.С. Гринберг «Преступления против общественной безопасности» - Свердловск, 1974 год

Источники из сети Интернет:

  1.  http://www.rg.ru/"Российская газета" - Столичный выпуск №6238

2См. Федеральный закон Российской Федерации от 27 июля 2006 года №149 –ФЗ(ст. «Об информации, информационных технологиях и о защите информации»)

3 См. № 149–ФЗ «Об информации, информационных технологиях и о  защите информации»

4СМ: Гринберг М.С. Преступления против общественной безопасности. - Свердловск, 1974. - 316 с.

5См: Закон РФ от 21 июля 1993 г. N 5485-I"О государственной тайне" С изменениями и дополнениями от: 6 октября 1997 г., 30 июня, 11 ноября 2003 г., 29 июня, 22 августа 2004 г., 1 декабря 2007 г., 18 июля 2009 г., 15 ноября 2010 г., 18, 19 июля, 8 ноября 2011 г., 21 декабря 2013 г., 8 марта 2015г.

6 См: Федеральный закон от 29 июля 2004 г. N 98-ФЗ"О коммерческой тайне"

7См: Федеральный закон от 27 июля 2006 г. N 152-ФЗ"О персональных данных"

8См:  http://www.rg.ru/"Российская газета" - Столичный выпуск №6238 (262)

9 См: Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), Федеральной службы Российской Федерации по контролю за оборотом наркотиков (ФСКН России), Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека (Роспотребнадзор) от 11 сентября 2013 г. N 1022/368/666


 

А также другие работы, которые могут Вас заинтересовать

58796. Geographical Outlook 977.5 KB
  By the end of the lesson you should be able to recognize and understand new words and word combinations in the text, to read and understand the gist and details despite the natural difficulties.
58797. Інформація та інформаційні процеси. Обчислювальна система 128 KB
  Загальна характеристика теми. Правила техніки безпеки в кабінеті ПЕОМ. Інформатика. Поняття інформації. Інформація і шум. Інформаційні процеси. Інформація й повідомлення.
58798. Операційні системи 126 KB
  Робочий стіл. Основні об’єкти Windows. Виділення об’єкта. Операції, властивості та основні команди для роботи з об’єктами. Контекстне меню об’єкта. Ярлики та їх призначення.
58799. Основи роботи з дисками 144.5 KB
  Загальна характеристика теми. Форматування диска. Діагностика та дефрагментація дисків. Відновлення інформації на диску. Правила записування та зчитування інформації з дискет.
58800. Текстовий редактор 190 KB
  Системи опрацювання текстiв i їх основнi функцiї. Завантаження текстового редактора. Iнтерфейс редактора. Інформаційний рядок. Режими екрана, використання вікон.