§ 2. Следы криминальной деятельности на машинных носителях
Так как отмечалось ранее, противоправные действия с компьютерной информацией включают в себя неправомерный доступ к ней с помощью компьютерной техники (в том числе, уничтожение, блокирование, модификацию либо копирование информации) и создание, использование и распространение вредоносных программ для ЭВМ. Характерной особенностью данного вида деятельности является то обстоятельство, что место совершения непосредственно преступных действий и место, где наблюдаются и материализуются его результаты, могут находиться на значительном расстоянии (например, в разных точках земного шара) друг от друга. Поэтому при неправомерном доступе и распространении вредоносных программ, а также при нарушении правил эксплуатации ЭВМ, системы ЭВМ или их сети, следовая картина включает в себя:
а) следы на машинных носителях, посредством которых действовал преступник на своем рабочем месте;
следы на «транзитных» машинных носителях, посредством которых преступник осуществлял связь с информационными ресурсами, подвергавшимися нападению;
в) следы на машинных носителях информационной системы, в которую осуществлен неправомерный доступ.
Следы преступной деятельности на машинных носителях, находящихся у преступника и вокруг его ЭВМ (рис. 20, 21) могут быть зафиксированы в ходе расследования. Поясним значение и содержание некоторых из них.
Изменения в ОЗУ, как уже отмечалось, можно зафиксировать лишь в ходе следственного осмотра технических
14s18»22.830111 130.92.6.97.603 » eer-ver-logins S 1382726963:1382726963(0) win 4096
14:18(33.886138 130.92.6.97.604 »
eer-ver-. logins S 1382726964s1382736964(0> win,
4096
14«18.32.943514 130.92.6.97.605 »
ger-ver. logins S 1 38272696 5 s 1382726965 (0) win
4096
14s18«23.002715 130.92.6.97.606 >
eer-ver . logins S 1382726966; 1382726966 (0) •win
4096 '
14<18<23.103275 130.92.6.97.607 >
ser-ver-. logins S 1 3 8272 6967 s 1382726967 ( О ) win
4096
14.18«23.163781 130.93-6.97.608 •>
eer-vex-. login; S 1382726968 г 1382726968 < 0) win
4096
14t18i33.335384 130.92.6.97.609 »
•ex-vex-, logins S 1382726969 г 1382726969 (0) win
4096 '
14 s18i23-282625 130.93.6.97.610 >
sex-ver. login: S 1382726970 s 1382726970 (0) win
4096
14 «3.S <33 .342657 130.92-6.97.611 »
eel-ver. logins S 1382726971: 1382726971 <0) win
4096
14:18<23.403083 130.92.6.97.612 > .. ... .
sec-vec . login; S 1382726972 s 1382726972 (0> win
4096
14:ISi23.903700 130.92.6-97.613 >
ser-ver-. logins S 13 82726973 s 1382726973 <0) win
4096
Рис. 19. Пример фиксации с помощью специальной программы, разработанной экспертом по информационной безопасности, результатов наблюдения за действиями хакера, проникшего в ЭВМ
устройств в случаях, когда они на момент осмотра включены, т.е. фактически преступник пойман на месте и осмотр Устройств является действием, сопутствующим задержанию. В иных случаях информация в ОЗУ быстро изменяйся в ходе исполнения программ и о результатах ее исполнения можно судить лишь по показаниям очевидцев. Специальным случаем фиксации изменений в ОЗУ являются оперативные или следственные мероприятия, обеспечивающие наблюдение за криминальными действиями и
Рис. 20.
Виды следов преступной деятельности в ЭВМ и на машинных носителях, принадлежащих преступнику
вывод данных из ОЗУ на долговременный носитель информации. В примере, приведенном нами (рис. 19)' с указанием по минутам фиксировались действия хакера, вторгнувшегося в информационную систему и зондирующего ее.
Следы изменений в файловой системе могут наблюдаться как в ходе изменений непосредственно пользователем или администратором системы, а в случае следственно-оперативных мероприятий и следственными работниками, с помощью соответствующих программных средств. Результаты изменений могут быть зафиксированы на долгов-
' Медведовский И.Д., Семьянов П. В., Платонов В.В. Указ. соч. С. 119-134.
Рис.21.
Виды следов преступной деятельности возле ЭВМ и на машинах носителях, принадлежащихпреступнику.
ременный носитель специальными программно-техническими средствами контроля доступа', а также установлены при сравнении копий, сохраненных в результате резервного копирования файлов и их структуры. Явными следами криминальных действий являются обнаруженные на конкретном машинном носителе копии «чужих» файлов, спе-
Сетевые атаки и средства борьбы с ними // ComputerWeekly. 1998. № 14. С. 14, 15, 16, 44.
Рис. 22.
Виды следов преступной деятельности возле ЭВМ и на машинных носителях, принадлежащих потерпевшему
циализированное программное обеспечение, предназначенное для «взлома» систем и файлов и др. Сходные следы могут быть обнаружены и на машинных носителях, в которые проник преступник (рис. 22).
Особую группу следов, которые могут стать важными доказательствами по делу, образуют материалы и устройства, которые могут быть обнаружены возле ЭВМ, использующейся для преступной деятельности (рис 21). Из приведенного здесь перечня многие материалы могут стать как прямыми, так и косвенными данными, устанавливающими
факты неправомерного доступа, изготовления и распространения вредоносных программ и др.
Для указанных разновидностей криминальных действий, а также для противоправных действий в области телекоммуникаций' существенными являются следы криминальной активности на «транзитных» машинных носителях — в линиях электросвязи (рис 23).
«все книги «к разделу «содержание Глав: 27 Главы: < 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. >