Неправомерный доступ к компьютерной информации в сетях ЭВМ
(Милашев В. А.) ("Правовые вопросы связи", 2006, N 1) Текст документаНЕПРАВОМЕРНЫЙ ДОСТУП К КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ В СЕТЯХ ЭВМ
В. А. МИЛАШЕВ
Милашев В. А., кандидат юридических наук.
Особенности следообразования при удаленном воздействии в сетях ЭВМ
Для объяснения противоправной деятельности злоумышленника в компьютерных сетях часто используется терминологическая база, взятая из таких дисциплин, как теория защиты информации и теория компьютерных сетей. Однако механический перенос терминологии создает проблемы, так как в устоявшееся содержание конкретных определений вкладывается иной смысл. Следует остановиться на концептуальном для рассматриваемой проблемы термине "удаленный доступ". В технических дисциплинах этот термин используется для обозначения возможности взаимодействия отдельных компьютеров на значительных расстояниях. Метод удаленного доступа позволяет пользователю со своего компьютера подключаться к другому компьютеру, используя линии электросвязи, и управлять его работой так, как будто он непосредственно пользуется этим компьютером. Противоправное воздействие на компьютерную информацию, как при удаленном доступе, так и в локальных сетях, основывается на механизме взаимодействия ЭВМ и сетей ЭВМ, который мы определяем как совокупность разработанных <*> и применяемых правил и технологий, реализующих обмен цифровой информацией через компьютерные сети. -------------------------------- <*> Существует несколько органов по стандартизации, как официальных, так и неофициальных. Самыми важными органами, по нашему мнению, являются POSIX (Portable Operating System Environment - Организация по переносимым операционным системам) и IETF (Internet Engineering Task Force - Инженерная комиссия Интернет). Рефераты новых стандартов публикуются в материалах телеконференций. Например, порядок работы протоколов сети Internet описывается документами RFS (RFS 791, RFS 1058 и т. д.). Немет Э., Снайдер Г., Сибасс С., Хейн Т. Р. UNIX: руководство системного администратора. Для профессионалов / Пер. с англ. СПб.: Питер; К.: Издательская группа BHV, 2002. С. 859.
Изучение практики правоохранительных органов показывает, что с использованием сетевых компьютерных технологий совершаются не только преступления в сфере компьютерной информации, но и иные преступления, предусмотренные УК РФ. Например, 27 ноября 2001 г. в ГУВД г. Москвы поступило обращение юридического атташе посольства США в Москве о вымогательстве со стороны неизвестного лица из Российской Федерации денег в сумме 10000 долларов США у руководства "Гринпойнт Банка" под угрозой распространения порочащих их сведений. В ходе проведения комплекса ОРМ сотрудниками Управления "Р" установлен и задержан по месту жительства участник организованной группы П., который отправлял электронной почтой в адрес администрации американского банка "Гринпойнт Банк" сообщения, в которых утверждалось, что отправитель располагает определенной конфиденциальной информацией, включая имена и номера банковских счетов примерно 50% вкладчиков банка. При этом потребовал выплатить ему 10000 долларов США, в противном случае информация о вкладчиках будет опубликована в сети Интернет. В результате руководство банка осуществило перечисление вышеуказанных денежных средств на расчетный счет в г. Сургут на имя задержанного. Суммарный ущерб, вызванный действиями преступника, составил свыше 250 тысяч долларов США. По данному факту возбуждено уголовное дело СУ при УВД г. Сургута по ч. 3 ст. 163 УК РФ <*>. -------------------------------- <*> Материалы Следственного управления МВД РФ.
Видно, что использование сетевых технологий явилось способом совершения преступления, предусмотренного нормой Уголовного кодекса РФ, не отнесенной к преступлениям в сфере компьютерной информации. Учитывая изложенное, под удаленным воздействием на ЭВМ и их сети следует понимать способ совершения преступления, при котором злоумышленник применяет специальные приемы и средства, основанные на использовании механизма взаимодействия ЭВМ в сетях ЭВМ для достижения противоправного результата. Специальные приемы и средства - это инструментарий злоумышленника. Особенность этих приемов и средств состоит именно в том, что они непосредственно связаны с применением механизма взаимодействия ЭВМ в сетях ЭВМ. Под приемом, реализующим удаленное воздействие, мы понимаем способ действия или линию поведения злоумышленника, позволяющие ему воздействовать на ЭВМ и их сети в целях достижения противоправного результата. Под средством, реализующим удаленное воздействие, мы понимаем компьютерную информацию (команда, программа), позволяющую воздействовать на ЭВМ и их сети в целях достижения противоправного результата. Действительно, с точки зрения выявления информационных следов на носителе информации - компьютере, который подвергся удаленному воздействию, совершенно безразлично произошло ли оно из сети, к которой он принадлежит (например, локальной сети), или совершено извне, например, через сеть Интернет. Основным и существенным является то, что команды, использованные для достижения противоправного результата, направлялись в компьютер жертвы не с его устройств ввода, а с другого компьютера по линии связи, и эти команды реализовали механизм взаимодействия компьютеров в сети. Удаленное воздействие, являясь способом совершения преступления, тесно связано с такими элементами, как субъект, орудие, предмет посягательства, результат и цель противоправной деятельности. Выявление многообразия проявления этих элементов и их связей друг с другом позволяет сформировать общее представление об удаленном воздействии и его проявлении вовне в качестве элемента объективной стороны противоправной деятельности. Любое удаленное воздействие совершается злоумышленником для достижения определенной цели через получение конкретного результата. Ради достижения этой цели злоумышленник выбирает средства и способ реализации преступного замысла. Рассмотрим элементы криминалистической характеристики преступления, совершенного способом удаленного воздействия. Злоумышленники и их цели. Лица, осуществляющие удаленное воздействие на компьютеры, руководствуются различными мотивами и целями. Так, Д. Айков полагает, что, "с одной стороны, это подростки, чье увлечение компьютерами и возможностью их взаимодействия перерастает в совершение противоправных действий, с другой - это лица, охотящиеся за государственными секретами, а также террористы. В середине находятся недовольные служащие, которые совершают преступления по мотивам мести, а также нанятые хакеры, которые совершают взлом системы за деньги" <*>. -------------------------------- <*> David Icove, Karl Seger and William VonStorch, Computer Crime: A Crimefighter's Handbook, O'Reilly & Associates, Inc., Sebastopol, CA, 1995. P. 61.
Д. Рассел <*> выделяет две категории лиц, совершающих такие преступления. Это лица "свои" и "посторонние". К "своим" автор относит служащих организаций и учреждений, лиц уволенных (бывшие служащие), студентов и т. д. К посторонним лицам она относит иностранных агентов, террористов, преступников. -------------------------------- <*> Deborah Russell and G. T. Gangemi, Sr., Computer Security Basics, O'Reilly & Associates, Inc., Sebastopol, CA, 1991. P. 14.
Ф. Коен <*> выделяет 26 категорий лиц, осуществляющих преступные действия. Подобную позицию высказывает и В. Швартау <**>. -------------------------------- <*> Frederick B. Cohen. Protection and Security on the Information Superhighway, John Wiley & Sons, New York, 1995. P. 57. <**> Winn Schwartau, Information Warfare: Chaos on the Electronic Superhighway, Thunder's Mouth Press, New York, NY, 1994. P. 215.
Альтернативным подходом является разделение лиц, осуществляющих удаленное воздействие, в зависимости от того, какие действия они совершают. Д. Айков предложил следующую классификацию: - хакеры; - преступники; - вандалы. Основа этой классификации в мотивации поступков: - мотивация хакера состоит в доступе к информационным ресурсам, поражение защиты системы как решение задачи их интересует больше, чем личная материальная выгода; - мотивация преступника - материальная выгода либо, как в случае с террористами, политическая; - мотивация вандала - повреждение ЭВМ или сети <*>. -------------------------------- <*> David Icove, Karl Seger and William VonStorch, Computer Crime: A Crimefighter's Handbook, O'Reilly & Associates, Inc., Sebastopol, CA, 1995. P. 62.
Однако неточность такой классификации состоит в том, что вне зависимости от побуждений все эти категории описывают преступное поведение, следовательно, отделять хакеров и вандалов от преступников логически неверно. Д. Ховард <*> предложил иную классификацию: хакеры, шпионы, террористы, корпоративные воры, профессиональные преступники, вандалы. -------------------------------- <*> www. cert. org
В. В. Крылов вслед за Д. Ховардом и А. Веховым предложил классифицировать злоумышленников следующим образом <*>: хакеры, шпионы, террористы, корыстные преступники, вандалы, психически больные лица. С ним соглашается Ю. В. Гаврилин <**>. -------------------------------- <*> Крылов В. В. Расследование преступлений в сфере компьютерной информации. Криминалистика / Под ред. Н. П. Яблокова. М., 1999. С. 620. <**> Гавилин Ю. В. Преступления в сфере компьютерной информации. М. С. 90.
Мы считаем, что классификация, предложенная Д. Ховардом, в полной мере исчерпывает все возможные типы субъектов данного вида противоправной деятельности, поэтому на данном этапе ее расширение не целесообразно. Орудия. Как указывалось ранее, компьютер обрабатывает только двоичный код, поэтому иной возможности удаленного воздействия, кроме направления в адрес компьютера жертвы именно таких сигналов, не существует. По существу, такой двоичный код, исполняемый на удаленном компьютере, и является орудием, с помощью которого злоумышленник реализует преступный замысел. Существует большое разнообразие орудий, с помощью которых осуществляется удаленное воздействие на ЭВМ и их сеть. Однако вся их совокупность может быть, по нашему мнению, поделена на следующие категории: - команды пользователя, - программы. Команды пользователя - символы или их совокупность, набираемые злоумышленником с помощью устройств ввода информации, исполнение которых на удаленном компьютере реализует цели удаленного воздействия. Команды пользователя до последнего времени были наиболее известным и часто используемым способом удаленного воздействия. Программой в соответствии с законом Российской Федерации "О правовой охране программ для электронных вычислительных машин и баз данных" является объективная форма представления совокупности данных и команд, предназначенных для функционирования электронных вычислительных машин (ЭВМ) и других компьютерных устройств с целью получения определенного результата. Программы для осуществления удаленного воздействия могут быть разделены на различные группы: 1. Эксплоиты - это программы, использующие какие-либо недоработки в программах-приложениях, установленных на удаленном компьютере, запуск которых приводит достижению злоумышленником противоправного результата. 2. Автономные агенты - программы или фрагменты программ, которые действуют независимо от пользователя и используют какую-либо уязвимость. Основное его отличие от иных программ состоит в том, что он сам выбирает цель удаленного воздействия. Логика работы автономного агента позволяет ему самому выбирать компьютеры для удаленного воздействия. Наиболее известный агент - это компьютерный вирус <*>. Вирусы распространяются, копируя себя в другие программы, тем самым заражая их. -------------------------------- <*> Donald B. Parker. The Trojan Horse Virus and Other Crimoids. In: Computers Under Attack: Intruders, Worms, and Viruses, Peter J. Denning, editor, ACM Press, New York, NY, 1990. P. 544 - 554.
3. Комплексный набор - программа, объединяющая совокупность программ, комплексное использование которых позволяет использовать ту или иную уязвимость. Такой инструментарий может содержать программы, позволяющие вести скрытое наблюдение за трафиком в сети, выяснять ее структуру, действующие в сети компьютеры, их назначение и установленное на них программное обеспечение, а также решать иные задачи. 4. Распределенный инструмент - программа, позволяющая реализовать механизм удаленного воздействия, используя силы и средства нескольких компьютеров, которые по команде злоумышленника начинают удаленное воздействие на выбранный злоумышленником компьютер. Копии программных средств для удаленного воздействия помещаются на компьютеры, которые будут реализовывать удаленное воздействие по команде злоумышленника. При этом они конфигурируются им таким образом, чтобы точно знать IP-адрес компьютера жертвы. Удаленное воздействие начинается в точно установленное время, которое задается пользователем этой программы или непосредственно по его команде. При реализации такого удаленного воздействия трудно определить его источник, так как его реализуют сразу несколько компьютеров, а компьютер злоумышленника - инициализирующий удаленное воздействие, может быть отключен прежде, чем само удаленное воздействие будет начато. 5. Средства перехвата трафика - программы позволяющие перехватывать данные, передаваемые по линии электросвязи. Такая программа может успешно перехватывать пароли и логины пользователей, так как они передаются, как правило, по сети в открытом виде. 6. Программы типа "Троянский конь". Скрыто устанавливается злоумышленником на удаленном компьютере, как правило, путем встраивания ее в другую программу. Такая программа-носитель выполняет обычные функции (является игрой, текстовым редактором или выполняет иные полезные для пользователя действия), однако наряду с этими задачами она выполняет и скрытые функции, например, может удалять или копировать файлы (например, файлы, содержащие пароли) <*>. -------------------------------- <*> David Icove, Karl Seger and William VonStorch, Computer Crime: A Crimefighter's Handbook, O'Reilly & Associates, Inc., Sebastopol, CA, 1995. P. 45.
7. Руткит - набор программ, позволяющих злоумышленнику "закрепиться" в компьютере жертвы и получить к нему в последующем доступ в любое удобное время. Как правило, такой набор содержат измененные версии стандартных системных файлов, не вызывающих подозрение у пользователя компьютера, которые по команде злоумышленника открывают ему доступ к сервисам и ресурсам ЭВМ. Примером таких программ могут служить: Adora, Linux root kit aka LRK, Synapsys <*>. -------------------------------- <*> ХакерСпец. 2003. N 7. С. 78.
8. Логвайпер - программа, удаляющая следы противоправной деятельности после неправомерного доступа в компьютер. Примером такой программы служит Vanish2, Grlogwipe, Zap3 <*>. -------------------------------- <*> ХакерСпец. 2003. N 7. С. 62.
Обстановка совершения преступления. Основные элементы, характеризующие обстановку совершения данного вида преступлений, по существу, рассматривались авторами, которые затрагивали в своих исследованиях криминалистические характеристики преступлений в сфере компьютерной информации. Так, Л. Н. Соловьев, рассматривая обстановку совершения преступлений, связанных с созданием, использованием и распространением вредоносных программ для ЭВМ, приводил такие элементы: вещественные, пространственные, временные, производственно-бытовые, программно-технические, поведенческо-психологические, используемые меры защиты. При этом автор выделял два элемента: программно-технические и используемые меры защиты <*>. -------------------------------- <*> Соловьев Л. Н. Расследование преступлений, связанных с созданием, использованием и распространением вредоносных программ для ЭВМ. М., 2003. С. 16.
Говоря об удаленном воздействии мы полагаем, что можно указать несколько наиболее важных, по нашему мнению, элементов, определяющих обстановку совершения преступления, связанного с удаленным воздействием. Соглашаясь с Л. Н. Соловьевым, мы включаем в их число: аппаратные средства, программные средства, средства защиты. Вместе с тем считаем целесообразным добавить новый элемент - уязвимость. Три первых элемента достаточно подробно описывались в литературе и не требуют дополнительного разъяснения. Вместе с тем последний элемент требует раскрытия. Для осуществления удаленного воздействия злоумышленник должен воспользоваться той или иной уязвимостью, имеющейся в ЭВМ жертвы (сети ЭВМ). А. В. Лукацкий определяет уязвимость <*> как любую характеристику информационной системы, использование которой злоумышленником может привести к реализации преступного замысла. -------------------------------- <*> Лукацкий А. В. Обнаружение атак. 2-е изд., перераб. и доп. СПб.: БХВ - Петербург, 2003. С. 38.
Мы предлагаем уточнить эту формулировку. Уязвимость - это свойство, характеризующее недостатки компьютерной информации, облегчающие злоумышленнику совершение противоправных действий в сетях ЭВМ. Ценность данного понятия состоит в том, что оно позволяет оценить состояние ЭВМ до удаленного воздействия и причину, позволившую злоумышленнику реализовать преступный замысел. Вместе с тем она позволяет оценить квалификацию злоумышленника, его профессиональные навыки и способности, так как в зависимости от характера уязвимости будет зависеть и механизм ее использования последним. Так, например, если злоумышленник использует ранее неизвестную уязвимость операционной системы и для ее реализации самостоятельно подготавливает программные средства, можно говорить о высокой квалификации злоумышленника. И напротив, при использовании пароля, установленного по умолчанию в компьютере для неправомерного доступа, нет оснований говорить о том, что злоумышленник - специалист высокой квалификации. Кроме того, данный элемент позволяет судить об обстановке совершения преступления, о чем будет сказано ниже. Существуют различные классификации уязвимости (лаборатории COAST университета Пардью, компании ISS). Наиболее общей является классификация уязвимости, предложенная А. В. Лукацким <*>: -------------------------------- <*> Лукацкий А. В. Обнаружение атак. 2-е изд., перераб. и доп. СПб.: БХВ - Петербург, 2003. С. 40.
- уязвимости проекта; - уязвимости выполнения; - уязвимости конфигурации. Первая группа уязвимостей заложена в самом проекте или алгоритме выполнения программы. К таким недостаткам следует отнести уязвимость стека протокола TCP/IP. Вторая группа уязвимостей проявляется на этапе выполнения программ. Примером такой уязвимости может служить "переполнение буфера" <*> в программе sendmail. -------------------------------- <*> Способ противоправной деятельности, при котором злоумышленник направляет программе информации больше, чем она может переработать. Например, некая программа рассчитана на получение данных с максимальным размером 10 символов, а злоумышленник направляет ей 20 символов.
И наконец, уязвимости конфигурации - ошибки конфигурации программного и аппаратного обеспечения. Например, большинство программных продуктов распространяются в состоянии, удобном для использования средним пользователем (не требуют дополнительной конфигурации), и пароль на вход в компьютер может быть установлен при инсталляции по умолчанию, предложенный производителем. Таким образом, пользователь, который оставил программу после инсталляции в конфигурации производителя, по существу, поступает так же, как лицо, не закрывшее дверь в помещение, в результате чего произошла кража. Результат. Статья 272 УК РФ приводит перечень уголовно наказуемых последствий неправомерного доступа к компьютерной информации: уничтожение, блокирование, модификация, копирование, нарушение работы ЭВМ, системы ЭВМ или их сети. Практические последствия действий злоумышленника могут быть различными. Так, он может: изменить содержание информации (модифицировать, удалить); блокировать доступ к информации; открыть доступ к информации для всех желающих с ней ознакомиться; копировать информацию; использовать услуги, представляемые компьютерной системой по своему усмотрению, и т. д. Вместе с тем, как правильно заметил Ф. Коен <*>, какое бы событие, связанное с негативным воздействием на ЭВМ, мы ни рассматривали, существует только три результата, отражающих последствия такого воздействия: -------------------------------- <*> Cohen F. Protection and Security on the Information Superhighway, John Wiley & Sons, New York, 1995. P. 55.
- "повреждение", посягающее на "целостность"; - "отказ", посягающий на "доступность"; - "утечка", посягающая на "конфиденциальность". Несмотря на то что возможных вариантов поведения злоумышленника может быть множество, вместе с тем, полагаем, все они могут быть систематизированы в три группы: - повреждение информации - любое изменение компьютерной информации, содержащейся в компьютере или передаваемой по компьютерной сети. К данной группе следует отнести как модификацию информации, выражаемую в изменении ее первоначального состояния, так и ее уничтожение - полное или частичное ее удаление с машинного носителя; - раскрытие информации - ознакомление с информацией тех, кто не имеет права доступа к ней. К данной группе мы относим такие результаты действий злоумышленника, вследствие которых происходит утрата информацией свойства конфиденциальности; - отказ компьютера в обслуживании пользователей - это намеренное снижение работоспособности или блокирование работы компьютера или ресурсов сети. Такая градация действий злоумышленника позволяет сделать предположение о группе, к которой относится лицо, совершившее противоправное деяние. Например, "шпиону" более свойственно раскрытие информации, "вандалу" - повреждение. Это на начальной стадии расследования позволяет выдвигать общие версии о причастности тех или иных групп к совершению преступления. Необходимо уточнить различие между целями и результатом удаленного воздействия. Результат удаленного воздействия - это всегда объективные изменения в материальной среде - носителе компьютерной информации, возникающие в связи с воздействием злоумышленника на компьютерную информацию в ЭВМ или сети. Отражение этих изменений несет в себе информацию о событии удаленного воздействия. Всегда можно наблюдать либо сам результат удаленного воздействия, либо сопутствующие удаленному воздействию изменения. Способ совершения преступления (удаленное воздействие). Достижение уголовно наказуемых последствий доступа к компьютерной информации (уничтожение, блокирование, модификация и т. д.) возможно только в силу доступа к исполняемым программам, позволяющим достичь этих последствий. Исполняемая программа - это некое динамическое состояние компьютерной информации, протекающий во времени процесс. Далее под процессом мы будем понимать компьютерную программу, находящуюся в стадии выполнения, т. е. загруженную в энергозависимую память и ожидающую команд пользователя или иных событий. Так, для того чтобы копировать информацию, необходимо иметь доступ к процессу копирования, а для модификации информации необходимо иметь доступ к процессам, позволяющим ее изменять. Несомненно, сам процесс тоже является компьютерной информацией, однако доступ к нему еще не образует состава преступления. Умысел злоумышленника направлен на доступ к иной компьютерной информации, сохраненной в компьютере жертвы, которую он собирается копировать, модифицировать, уничтожать и т. д. Она сохраняется в памяти компьютера в виде последовательности байтов, получивших название файл <*>. -------------------------------- <*> Татенбаум Э. Архитектура компьютера. СПб.: Питер, 2002. С. 464.
Доступ к процессам находится как бы вне "интереса" законодателя, однако с точки зрения объяснения способа преступной деятельности, безусловно, охватывается сферой криминалистического интереса. Таким образом, обращение к файлу требует двух шагов: Первый шаг - обращение к процессу. Второй шаг - обращение к файлу. Одни злоумышленники действительно пытаются использовать доступ к процессу для получения доступа к файлам, другие считают удаленное воздействие завершенным, если им удалось получить доступ к процессу. Третьи не стремятся получить доступ ни к процессам, ни к файлам. Их задача заключается, напротив, в направлении в адрес компьютера жертвы и соответственно действующих процессов компьютерной информации для реализации противоправных целей. Процессы могут быть использованы как для доступа к информации, сохраненной в ЭВМ, так и для доступа к данным, которые передаются по сети. В этом случае компьютерная информация не упорядочена в виде файла, а представляет собой поток пакетов, передаваемых по сети. К таким данным могут обращаться действующие процессы с компьютера, их передающего, компьютера, их принимающего, а также иные компьютеры, через которые эти данные проходят. При осуществлении удаленного воздействия характер действий злоумышленника можно условно разделить на две категории: 1) противоправный доступ к ЭВМ (сети ЭВМ); 2) противоправное использование доступа к ЭВМ (сети ЭВМ). Поясним это на примерах. Первый пример. Злоумышленник имеет учетную запись в удаленном компьютере с ограниченными возможностями. Он желает получить доступ к учетной записи иного пользователя, а через него и "суперпользователя". Для этого он копирует файл паролей из удаленного компьютера, используя протокол передачи файлов. Специальной компьютерной программой расшифровывает эти пароли (пароли, как правило, находятся в зашифрованном виде). Затем получает доступ к учетной записи интересующего его пользователя и регистрируется вместо него. Далее, злоумышленник, используя известные ему уязвимости, получает доступ с привилегиями "суперпользователя", после чего копирует файлы и программное обеспечение. Второй пример. Злоумышленник направляет в адрес ЭВМ группу почтовых сообщений, которые переполняют память компьютера, и ЭВМ прекращает обрабатывать поступающие запросы. Тем самым блокируется информация. В первом примере злоумышленник не имеет права доступа к чужой учетной записи, однако своими активными действиями добивается его получения. В этом состоит концептуальное отличие от второго примера, где злоумышленник имеет доступ к сервису электронной почты, однако использует его в противоправных целях. Вместе с тем необходимо отметить, что в ходе удаленного воздействия злоумышленник может использовать эти возможности и комбинированно. Описанные элементы противоправных действий, совершенных способом удаленного воздействия, позволяют моделировать типовые схемы преступного поведения злоумышленников по данной категории дел. Выявленные особенности этих элементов, закономерности их взаимодействия друг с другом позволяют сформировать общее представление об удаленном воздействии как способе противоправной деятельности и его проявлении вовне. В работах по теории компьютерных сетей и компьютерной безопасности российских авторов Н. Г. Толстого, А. И. Милославской, а также в работах зарубежных специалистов, таких, как Б. Хатч, Д. Ли, Д. Курц, Д. Скембрей, С. Мак-Клар, Э. Коул, Д. Чирилло, уделялось большое внимание рассмотрению вопроса о последовательности действий злоумышленника в отношении устройства, подключенного к компьютерной сети. Подобный интерес не случаен. Знание последовательности действий, совершаемых злоумышленником в отношении ЭВМ или сети, а также отражение этих действий программными средствами пользователя позволяют реализовать систему защиты информационных ресурсов, своевременно выявить противоправные действия злоумышленника и пресечь их. Последовательность удаленного воздействия как совокупность действий злоумышленника не рассматривалась учеными-криминалистами, в связи с чем отсутствует комплексное представление о порядке подготовки, совершения и сокрытия следов таких преступлений. Удаленное воздействие как деятельность злоумышленника складывается из нескольких этапов: 1-й этап: выбор цели и сбор предварительных сведений об ЭВМ (сети ЭВМ); 2-й этап: подчинение ЭВМ (сети ЭВМ); 3-й этап: закрепление и удаление следов в ЭВМ (сети ЭВМ). Каждый из этих этапов реализует конкретные задачи, подчиненные в целом единому преступному замыслу. Детальное рассмотрение этих этапов позволяет выявить закономерности деятельности злоумышленника при реализации удаленного воздействия, которые могут быть использованы для обнаружения, фиксации и изъятия следов противоправной деятельности. Для проведения внешнего удаленного воздействия злоумышленник должен получить сведения о ЭВМ (сети ЭВМ), в отношении которых он планирует совершить противоправные действия. Для этого он определяет: - адресное пространство сети, в которой расположен объект удаленного воздействия; - активные сетевые устройства (ЭВМ); - открытые порты и службы в ЭВМ; - тип операционной системы, используемой сетевыми устройствами. Итогом проведенной работы является составление так называемой карты сети <*>. -------------------------------- <*> Коул Э. Руководство по защите от хакеров / Пер. с англ. М.: Издательский дом "Вильямс", 2002. С. 66.
Большинство сетевых устройств имеют статический IP-адрес, который закрепляется за компьютером и не изменяется после его перезагрузки. Для получения сведений о компьютере жертвы злоумышленник осуществляет сбор сведений из открытых источников, к которым относятся: - Web-страница организации; - опубликованные статьи, сообщения для печати; - информация из архивов групп новостей и списков рассылки; - иные сведения о событиях в организации и о принятой в ней политике безопасности. Исследуя Web-страницу организации, злоумышленник может получить следующие сведения: - адреса и место расположения офисов и подразделений; - номера телефонов; - адреса электронной почты, ICQ; - перечень деловых партнеров; - ссылки на другие Web-узлы, имеющие отношение к организации. Кроме того, злоумышленник может выявить уязвимости Web-страницы. Для получения дополнительной информации об интересующем злоумышленника домене или сетевом адресе он может использовать службы whois. Анализ сведений, полученных от этой службы, позволяет злоумышленнику выяснить: - специфическую регистрационную информацию и соответствующие серверы whois (регистрационный запрос); - информацию, относящуюся к организации с заданным названием (организационный запрос); - информацию, связанную с заданным доменом (доменный запрос); - информацию, связанную с заданной сетью или отдельным IP-адресом (сетевой запрос); - информацию о заданном лице, как правило, являющемся администратором сети (контактный запрос) <*>. -------------------------------- <*> Скембер Д., Мак-Клар С., Курц Д. Секреты хакеров. Безопасность сетей - готовые решения. 2-е изд. / Пер. с англ. М.: Издательский дом "Вильямс", 2001. С. 37.
Если злоумышленнику известно имя домена, то он может узнать IP-адрес интересующего его компьютера следующими способами: - послать запрос на ответственный за домен сервер имен доменов (DNS). Эти серверы содержат всю информацию о домене, а также информацию, которая используется для взаимодействия с сетью. Для решения такой задачи может использоваться программа nslookup; - использовать возможность переноса зоны DNS <*>. Серверы DNS могут быть настроены таким образом, что представляют копию сведений об организации участка сети любому узлу Internet по первому запросу. Реализация переноса зоны возможна также с использованием программы nslookup <**>; -------------------------------- <*> Перенос зоны DNS - это копирование сведений об именах узлов и IP-адресах сети, содержащихся в DNS сервере. <**> Скембер Д., Мак-Клар С., Курц Д. Секреты хакеров. Безопасность сетей - готовые решения. 2-е изд. / Пер. с англ. М.: Издательский дом "Вильямс", 2001. С. 44.
- использовать программу ping. После выяснения хотя бы нескольких IP-адресов компьютеров жертвы злоумышленник пытается установить адресное пространство всей сети. Для решения этой задачи злоумышленник может воспользоваться программой traceroute с последующим анализом ее результатов. Пример работы программы приведен ниже. Tracing route to [10.10.10.5] Over a maximum of 30 hops: 1 2ms 3 ms 3ms 10.246.68.1 2 4ms 7 ms 4ms 10.5.5.1 3 9ms 7 ms 7ms 10.6.5.1. 4 12ms 7 ms 7ms somename. location. net [10.7.1.1.] 5 12ms 7 ms 7ms somename. location. net [10.8.1.1.] 6 8ms 11 ms 11ms somename. location. net [10.9.1.1.] 7 11ms 18 ms 21ms external. router. location. net [10.10.1.1.] 8 12ms 19 ms 19ms firewall [10.11.1.1] 9 12ms 19 ms 19ms location. net [10.10.10.5] Trace complete <*> -------------------------------- <*> Коул Э. Руководство по защите от хакеров / Пер. с англ. М.: Издательский дом "Вильямс", 2002. С. 75.
Злоумышленник посылает запрос на адрес 10.10.10.5 и получает ответ о пути прохождении пакета. Известно, что, как правило, организации, подключенные к сети Интернет, имеют внешний маршрутизатор (соединяющий сеть с провайдером или с сетью Интернет) и брандмауэры для защиты сетей. Вся информация, поступающая в адрес конкретного компьютера, проходит эти сетевые устройства (сначала маршрутизатор, а затем брандмауэр). Все компьютеры, которые входят в сеть Интернет через один маршрутизатор, находятся в одной сети и обычно принадлежат одной организации. Из примера видно, что по адресу 10.10.1.1 расположен маршрутизатор. Если показатели прохождения пакета для адресов 10.10.10.1 - 10.10.10.254 будут аналогичны прохождению пакета до адреса 10.10.10.5, можно предположить, что сеть 10.10.10.1 - 10.10.10.254 принадлежит одной организации, а указанные адреса являются адресным пространством сети. Не все адреса, которые принадлежат организации, могут быть активны, т. е. не каждому адресу в каждый конкретный момент времени может соответствовать реальный компьютер, подключенный к сети. Например, часть адресов может быть зарезервирована с учетом роста сети и поэтому не использоваться, иные могут быть активными только в определенное время (использоваться сотрудниками организации в период рабочего дня с 9 до 18 часов). Для выявления активных компьютеров в сети злоумышленник может использовать программу ping, работающую на основе протокола ICMP. В данном случае цель использования этой программы состоит в том, чтобы определить: существует ли компьютер, использующий такой адрес, и подключен ли он к сети. Если узел жертвы блокирует посылаемые злоумышленником сообщения этого протокола, то поиск активных компьютеров можно осуществить с использованием протокола TCP. Для этого могут быть использованы программы nmap, hping <*>. -------------------------------- <*> http://ftp. gnu. kz/soft/
Сканирование портов - это процесс пробного подключения к портам исследуемого компьютера с целью определения, какие службы ими обслуживаются. Существует несколько типов сканирования, которые различаются средствами и методикой (например, сканирование TCP-соединением (TCP connect scan), TCP-сканирование с помощью сообщений SYN (TCP SYN scan), TCP-сканирование с помощью сообщений FIN (TCP FIN scan), UDP-сканирование и др.). Для сканирования портов злоумышленником могут быть использованы программы ScanPort и nmap <*>. -------------------------------- <*> Программа ScanPort разработана компанией DataSet, доступна по адресу: http://www. dataset. fr/eng/scanport. html. Программа Nmap написана человеком под псевдонимом Fyodor (fyodor@dhp. com), доступна по адресу: http://www. insecure. org/nmap.
Определение типа операционной системы, установленной на удаленном компьютере, позволяет злоумышленнику оптимизировать свои действия с учетом известных уязвимостей, присущих данной операционной системе. Определение операционной системы возможно разными способами. Одним из самых известных является сбор маркеров. Маркером называется сообщение, передаваемое компьютером на запрос другого компьютера, содержащее сведение о виде и версии операционной системы, установленной на нем. Сбор маркеров <*> - процесс подключения к разным портам компьютера жертвы и анализ сообщений, выводимых приложениями. Реализовать этот метод возможно как путем обычного подключения к службам, так и с помощью специальных утилит <**>: nmap и queso, которые предоставляют возможность исследования стека протоколов TCP/IP (stack fingerprinting) <***>. -------------------------------- <*> Скембер Д., Мак-Клар С., Курц Д. Секреты хакеров. Безопасность сетей - готовые решения. 2-е изд. / Пер. с англ. М.: Издательский дом "Вильямс", 2001. С. 111. <**> Утилита, здесь и далее - тип программы, которая проникает в глубь операционной системы и используется для управления компьютером. <***> Стек протоколов - это термин, означающий два и большее количество протоколов, работающих совместно. См.: Шиндер Дебра Литтлджон. Основы компьютерных сетей / Пер. с англ. М.: Издательский дом "Вильямс", 2002. С. 44.
Достоверность результата при исследовании стека основана на том, что разработчики операционных систем и программ-приложений по-разному подходят к реализации стека TCP/IP (по-разному трактуют рекомендации RFC). Это проявляется в логике работы тех или иных программ. Таким образом, зная о существующих различиях и проверив реакцию служб изучаемой ЭВМ на различные ситуации, злоумышленник может практически однозначно определить тип и версию операционной системы установленной в компьютере жертвы. В частности, злоумышленник может использовать программу nmap. Приведем пример работы этой программы. Злоумышленник направил запрос на IP-адреса 192.168.1.10. #nmap - o 192.168.1.10 Starting nmap V. 2.53 by fyodor@insecure. org Interesting ports on shadow (192.168.1.10): Port State Protocol Service 7 Open tcp echo 9 open tcp discard 13 open tcp daytime 19 open tcp chargen 21 open tcp ftp 22 open tcp ssh 23 open tcp telnet 25 open tcp smtp 37 open tcp time 111 open tcp sunrpc 512 open tcp exec 513 open tcp Login 514 open tcp Shell 2049 open tcp Hfs 045 open tcp Lockd TCP sequence Prediction: Class=random positive increments Difficulty=26590 (Worthy challenge) Remote operating system guess: Solaris 2.5, 2.51 <*> -------------------------------- <*> Скембер Д., Мак-Клар С., Курц Д. Секреты хакеров. Безопасность сетей - готовые решения. 2-е изд. / Пер. с англ. М.: Издательский дом "Вильямс", 2001. С. 83.
Видно, что опрос IP-адреса 192.168.1.10 позволяет установить размещенную на данном компьютере операционную систему Solaris 2.5. Даже если на изучаемом узле не открыт ни один порт, nmap может определить используемую операционную систему. Характерным является пример обычного подключения к службам компьютера, приведенный в литературе. При подключении к службе sendmail на экран был выведен следующий заголовок: 220 example. org ESMTP Sendmail 8.10.1/8.10.1; 19 Apr 2000 04:43:00 <*> -------------------------------- <*> Хатч Б., Ли Дж., Курц Дж. Секреты хакеров. Безопасность Linux - готовые решения / Пер. с англ. М.: Издательский дом "Вильямс", 2002. С. 120.
Маркер сообщил не только о том, что запущенна служба sendmail (т. е. на компьютере, скорее всего, стоит операционная система UNIX), но и проинформировал о версии программы. Окончательно убедиться в правильности своих выводов авторы смогли после подключения по протоколу telnet. Полученный маркер вывел информацию о версии операционной системы. Red Hat Linux reliase 6.2 (Zoot) Kernel 2.2.14 - 12 on an i686 <*> -------------------------------- <*> Хатч Б., Ли Дж., Курц Дж. Секреты хакеров. Безопасность Linux - готовые решения / Пер. с англ. М.: Издательский дом "Вильямс", 2002. С. 120.
В приведенных примерах условный злоумышленник для получения сведений об операционной системе направлял тестовые пакеты этому компьютеру, т. е. осуществлял активное исследование. Однако кроме активного метода исследования существует и пассивный, основанный на мониторинге сетевого трафика <*>. -------------------------------- <*> Большие исследования в этой области были проведены Ланцом Спитзнером (Lance Spitzner).
Для этого анализируются определенные параметры пакетов (TTL - время жизни, Windows Size - размер окна, DF - бит фрагментации), передаваемых по сети, после чего делаются выводы об операционной системе, которая их формирует. Очень часто для удаленного воздействия на компьютеры используется анализатор пакетов (sniffer) <*>. Он перехватывает и обрабатывает все пакеты, передающиеся по сети, даже те, которые не предназначены данному компьютеру, изучает содержание пакетов и собирает информацию, которая может быть использована для удаленного воздействия. -------------------------------- <*> Анализатор пакетов будет работать только в сети, построенной на основе концентраторов.
В ходе исследования сетевого трафика злоумышленник может перехватить сведения о паролях и логинах доступа к интересующей его ЭВМ. К программам такого типа относится, например, Hunt <*>. -------------------------------- <*> Программа Hunt написана Павлом Крауцем (Pavel Krauz), доступна по адресу: http://www. cri. cz/kra/index. html.
Определив операционную систему, установленную на компьютере, и зная стандартную конфигурацию для этой операционной системы, злоумышленник может выяснить, какие службы запущены на каждом из открытых портов, после чего применить эксплоит для установления контроля над этими службами. Например, зная, что на компьютере установлена операционная система UNIX и порт 25 открыт, можно заключить, что на этом порту работает программа sendmail. Если же на компьютере установлена операционная система Windows NT, то на 25-м порту будет работать Microsoft Exchange. Завершая первый этап, злоумышленник составляет карту сети. Для этого он анализирует всю собранную информацию об интересующей сети, упорядочивает ее, в результате чего получает общее и полное представление о схеме расположения сетевых устройств, их адресах, открытых портах, используемых операционных системах, особенностях взаимодействия и работы. Для автоматизации процесса составления карты сети существуют специальные программы, которые в графическом виде представляют исследуемую сеть. К ним относятся программы Visual Route и Cheops <*>. -------------------------------- <*> Программа Visual Route принадлежит Visualware, Inc., доступна по адресу: http://www. visualware. com. Автор программы Cheops неизвестен, она доступна по адресу: http://www. marko. net/cheops.
Второй этап удаленного воздействия - подчинение ЭВМ (сети) является ключевым в данном способе совершения преступления. Следует отметить, что в литературе по информационной безопасности именно с этой стадией связывают такие термины, как "взлом" и "атака". В целом под подчинением ЭВМ (сети) следует понимать перевод компьютера жертвы злоумышленником в такой режим работы, при котором он будет полностью контролироваться им. Деятельность злоумышленника по осуществлению этого этапа можно подразделить на две стадии: 1) проникновение; 2) расширение полномочий. При проникновении злоумышленник воздействует на компьютер жертвы извне и получает доступ к каким-либо его процессам. При расширении полномочий злоумышленник, основываясь на результате, достигнутом при проникновении, расширяет свои полномочия до уровня, позволяющего ему осуществлять на этом компьютере любые действия. В тех случаях, когда злоумышленник имеет какие-либо права и полномочия на компьютере жертвы, расширение полномочий можно рассматривать как самостоятельную форму подчинения ЭВМ. Такая ситуация может иметь место в том случае, если злоумышленник является правомерным пользователем локальной сети организации, однако расширяет свои полномочия до уровня системного администратора сети. Существуют различные критерии, по которым можно классифицировать способы проникновения: 1) в зависимости от протоколов, используемых злоумышленником: - проникновение с использованием TCP/IP; - проникновение с использованием ICMP; и др. 2) по методу реализации проникновения: а) с использованием недокументированных возможностей работы программ и устройств: - связанных с некорректным составлением кода программы (например, переполнение буфера, использование метасимволов); - связанных с необычным использованием протоколов и служб; б) с использованием разрешенных возможностей (фрагментация); в) с использованием вредоносных программ ("троянский конь"); 3) по сложности реализации: - простые; - сложные; 4) по количеству участников: - одиночный; - групповой; 5) по характеру используемых орудий для проникновения: - общедоступное программное обеспечение; - специально изготовленные программы. Удаленное воздействие не всегда связано с получением доступа к компьютерной информации. Действия злоумышленника могут быть направлены на замедление работы ЭВМ, вплоть до полной невозможности осуществлять свои функции. К такому виду удаленного воздействия относится так называемый сценарий - отказ в обслуживании, который может реализоваться путем умышленных действий злоумышленника, направленных на: - перерасход ресурсов ЭВМ <*>; -------------------------------- <*> Норткат С., Купер М., Фирноу М., Фредерик К. Анализ типовых нарушений безопасности в сетях / Пер. с англ. М.: Издательский дом "Вильямс", 2001. С. 219.
- снижение пропускной способности канала связи <*>. -------------------------------- <*> Норткат С., Купер М., Фирноу М., Фредерик К. Анализ типовых нарушений безопасности в сетях / Пер. с англ. М.: Издательский дом "Вильямс", 2001. С. 243.
Подбор пароля является общеизвестным способом проникновения в ЭВМ. Существуют различные типы действий, реализующих этот сценарий: - перебор слов путем запуска словаря, оперирующего общеупотребительным набором слов (порядка 10000 слов); - полный перебор вариантов (так называемый brute force atack), запуск программы, перебирающей все возможные комбинации буквенных и цифровых символов. Среди служб, чаще всего подвергающихся таким воздействиям, следует отметить telnet и FTP. Примером такой программы может служить DumpACL/DumpSec <*>. -------------------------------- <*> Программа DumpACL/DumpSec принадлежит Somarsoft, Inc.
Следующим "общеизвестным" способом проникновения является использование отдельных параметров операционных систем и приложений, настроенных по умолчанию. Например, для некоторых операционных систем по умолчанию устанавливаются параметры конфигурации (пароли, доступ к файлам паролей, элементы конфигурации). Знание этих особенностей может помочь злоумышленнику проникнуть в ЭВМ. Часто для проникновения используются такие сценарии, как проникновение с использованием переполнения буфера и проникновение при отсутствии проверки ввода. Состояние переполнения буфера возникает тогда, когда в буфер (или массив фиксированного размера) помещается данных больше, чем для этого выделено памяти программистом <*>. Такое состояние вызывается преднамеренно с целью получения доступа к ЭВМ. При этом программа, буфер которой переполнился, не завершает свою работу аварийно, а продолжает работать и выполняет при этом программный код, переданный ей в виде избыточных данных. -------------------------------- <*> Подобные ситуации связаны часто с использованием таких функций языка C, как strcpy, strcat, sprintf, а также ряда других. Переполнение буфера ведет к генерации ошибки нарушения сегментации.
Проникновение при отсутствии проверки ввода рассмотрим на примере ОС UNIX. В этой операционной системе имеются метасимволы (например, \ / < > ! $ % * и другие), зарезервированные для специальных целей. Если программа принимает данные, вводимые пользователем, и не проверяет их корректность, то путем подбора совокупности метасимволов и иных знаков можно реализовать переполнение буфера и передать программе управляющую команду, реализующую проникновение. Для проникновения в ЭВМ злоумышленник может перехватить существующий активный сеанс между двумя компьютерами. Цель захвата сеанса - получить доступ к ЭВМ в обход процесса аутентификации. Пользователь устанавливает соединение с сервером и в процессе аутентификации передает логин и пароль. После того как пользователь зарегистрируется, он получает доступ к серверу. Злоумышленник создает ситуацию, при которой компьютер пользователя прекращает обрабатывать информацию (для чего используется сценарий "отказ в обслуживании"), после чего направляет со своего компьютера от имени компьютера пользователя пакеты, воспринимаемые сервером как запросы компьютера пользователя. Существует ряд программ для выполнения захвата сеанса, например Juggernaut и TTY Watcher <*>. -------------------------------- <*> Программа Juggernaut разработана Майклом Шиффманом (Mike Schiffman), доступна по адресу: http://www. rootshell. com. Автор программы TTY Watcher неизвестен, доступна по адресу: http://www. cerias. purdue. edu.
Если до проникновения, злоумышленник обладал лишь той информацией, которую смог собрать из внешних источников, то, получив доступ к ЭВМ (сети), в его распоряжении оказывается значительно больше информации об интересующем его компьютере, сети, а также системе обеспечения безопасности. Получив учетную запись легального пользователя, нарушитель получает возможность применять другие средства для достижения противоправного результата. Проникнув в ЭВМ, злоумышленник старается расширить свои полномочия. Приведем примеры способов решения этой задачи. Прежде всего, открывается широкое поле для применения программ типа "троянский конь". Этот вид воздействия связан с подменой отдельных файлов в ЭВМ их троянскими копиями, которые выполняют вредоносные функции. Злоумышленник может расширить свои возможности за счет получения доступа к паролям, хранящимся в ЭВМ. Например, пользователям Linux предоставляются возможности выполнять распечатку документов на принтерах, подключенных к хостам и рабочим станциям Windows. Часто доступ к таким принтерам контролируется с помощью их логинов и паролей. Эта информация хранится в файле конфигурации в каталоге, предназначенном для хранения заданий для данного принтера. Часто права на чтение этого файла представлены всем пользователям, чем может воспользоваться злоумышленник. После подчинения ЭВМ (сети) злоумышленник старается создать условия для последующего доступа к ЭВМ (сети ЭВМ) в любое удобное время вне зависимости от желания его собственника, а также уничтожить следы противоправной деятельности. Для этого он может установить специальную программу, открывающую дополнительный порт в компьютере жертвы. Это самый распространенный метод, с помощью которого злоумышленник может управлять процессами компьютера жертвы. К таким программам можно отнести Netcat и Tini <*>. -------------------------------- <*> Автор программы Netcat неизвестен, доступна по адресу: http://www.10pht. com. Автор программы Tinit неизвестен, доступна по адресу: http://www. ntsecurity. nu/toolbox/tini.
Еще одним средством для организации последующего доступа к ресурсам компьютера является ранее описанные руткиты, которые могут осуществить подмену либо на уровне ядра программы, либо на уровне отдельных файлов. При подмене файлов злоумышленник заменяет системные файлы компьютера жертвы своими, сконфигурированными таким образом, что злоумышленник может подключаться к ЭВМ в любое время. Подмена на уровне файла является мощным и простым средством для создания "люка" в программной среде ЭВМ. В наборе rootkit часто содержатся версии таких программ, как login, ls, ps, find, who, netstat. Часто подменяются программы, которые позволяют собственнику следить за процессами в ЭВМ или сети. После изменения этих программ собственник ЭВМ будет получать ложную информацию о процессах в ЭВМ и не сможет обнаружить несанкционированные действия злоумышленника. При подмене системных утилит на уровне ядра происходит подключение программы злоумышленника непосредственно к ядру. Работая на уровне ядра, злоумышленник перехватывает системные вызовы. Примером подобной программы для Unix являются Lrk5 и Knark <*>. Для открытия "люков" в компьютере на базе ОС Windows могут быть использованы программы Brown Orifice и Back Orifice <**>. -------------------------------- <*> Автор программы Lrk5 неизвестен, доступна по адресу: http://www. packetstormsecurity. org/UNIX/penetration/rootkits. Автор программы Knark неизвестен, доступна по адресу: http://www. packetstormsecurity. org/UNIX/penetration/rootkits. <**> Программа Brown Orifice разработана Джекобом Боббином (Jacob Babbin), исходный код доступен по адресу: http://www. brumleve. com/BrownOrifice. Программа Back Orifice разработана группой Cult of Dead Cow, доступна по адресу: http://www. bo2k. com.
Для того чтобы собственник компьютера не знал о проникновении злоумышленника, последний старается удалить все следы своего присутствия в чужом компьютере. Существует несколько областей, которые интересуют злоумышленника, прежде всего: - файлы журналов; - разделы, хранящие информацию об изменении файлов; - дополнительные файлы; - загрузка сети. Большинство систем имеют файлы журналов или системы аудита, в которых содержится информация о том, кто подключался к ЭВМ (сети ЭВМ) и на какое время. В зависимости от уровня ведения таких журналов существует возможность документировать действия этих пользователей. Опытные злоумышленники очищают файлы журналов. Существуют два пути скрыть следы своего присутствия: - полностью удалить все файлы журналов; - удалить из файлов журналов только те записи, которые касаются его деятельности. В системе UNIX на базе ОС Linux информация аудита хранится в нескольких файлах. Некоторые из этих файлов хранятся в текстовом формате и могут редактироваться вручную. Более важные файлы могут быть просмотрены только с помощью специальных программ. Ниже приведен список основных файлов, в которых хранятся журналы в ОС Linux <*>: -------------------------------- <*> Коул Э. Руководство по защите от хакеров / Пер. с англ. М.: Издательский дом "Вильямс", 2002. С. 489.
/var/run/utmp Хранит информацию о том, кто подключился к ЭВМ /var/log/wtmp Хранит информацию о том, кто подключался к ЭВМ и отключался от нее /var/log/btmp Хранит информацию о неудавшихся попытках подключения /var/log/messages Хранит информацию о системных сообщениях /var/log/secure Хранит информацию о доступе и авторизации Чистка файла журнала может занимать много времени, поэтому разработаны специальные программы, позволяющие упростить эту процедуру. К таким относятся, например, Chusr. c и Displant. c <*>. -------------------------------- <*> Авторы этих программ неизвестны, они доступны по адресу: http://www. ftp. technotronic. com/unix/logtools.
В ходе проникновения злоумышленнику обычно нужно изменить или перекомпилировать основные системные файлы. Когда он делает это, ключевая информация о файле, такая, как дата создания и размер, изменяются. Это может служить сигналом для пользователя компьютера жертвы о действиях злоумышленника. Поэтому злоумышленник старается восстановить все измененные атрибуты файлов. Существуют программы, позволяющие злоумышленнику это сделать. Например, программа fix. c. для ОС UNIX. Если злоумышленник использует носитель компьютерной информации компьютера жертвы для размещения своих программ и иной информации, то он, как правило, старается скрыть это от пользователя. Для этого он может: - создать скрытые разделы на носителе компьютерной информации; - скрыть файл, установив соответствующие атрибуты; - подменить утилиты определения свободного места на диске. Поскольку большинство сетей ЭВМ обеспечены системой обнаружения удаленного воздействия, любая подозрительная сетевая активность будет незамедлительно обнаружена уже на начальной стадии. Для сокрытия своей противоправной деятельности злоумышленник может использовать программы, маскирующие все его противоправные действия. Примерами таких программ являются: Loki и Covert TCP <*>. -------------------------------- <*> Автор программы Loki неизвестен, доступна по адресу: http://www. phrack. com. Автор программы Covert TCP неизвестен, доступна по адресу: http://www. packetstormsecurity. org.
Программа Loki маскирует деятельность злоумышленника под другие протоколы. При этом злоумышленник туннелирует свои протоколы через те, которые разрешены в данном сегменте сети. Обычно для туннелирования применяется протокол ICMP, используемый программой ping. Программа Covert TCP прячет информацию в заголовках пакета TCP. Информация в заголовках пакетов почти не проверяется, поэтому злоумышленник остается незамеченным. Covert TCP использует для скрытия информации три поля пакета: - поле идентификатор IP; - поле номера последовательности пакетов; - поле подтверждения передачи. Рассмотрев последовательность удаленного воздействия можно сделать вывод, что это сложная деятельность, требующая знаний и навыков работы с программными средствами. Чем выше квалификация злоумышленника, тем успешнее и быстрее он достигнет противоправного результата. Несомненно, познание удаленного воздействия как последовательности целенаправленных действий злоумышленника позволит эффективно выявлять следы его противоправной деятельности. До настоящего времени в криминалистической литературе не предпринималось попыток классифицировать удаленное воздействие. В связи с этим предлагаемая нами классификация является первым опытом в данном направлении. По источнику удаленного воздействия оно может подразделяться на: - внешнее; - внутрисетевое. К внутрисетевым удаленным воздействиям относятся те, которые осуществляются с компьютеров, подключенных к одной сети. Особенность такого удаленного воздействия состоит в том, что, как правило, сеть сконфигурирована таким образом, что взаимоотношения устройств этой сети основаны на доверии, а работа пользователя с компьютера, подключенного к такой сети, является легитимной. К внешним удаленным воздействиям относятся те, которые осуществляются с компьютеров, не входящих в структуру конкретной сети. По характеру действий злоумышленника удаленного воздействия оно может быть подразделено на: - пассивное удаленное воздействие; - активное удаленное воздействие. Активное удаленное воздействие - это совокупность команд, направляемых злоумышленником по линии электросвязи в адрес конкретного устройства, подключенного к сети, воздействующих на информацию, хранящуюся в нем. Пассивное удаленное воздействие - это запуск злоумышленником процессов, позволяющих осуществлять сбор информации в линии электросвязи об устройствах, подключенных к сети, либо о сети в целом. Пассивное удаленное воздействие, как правило, предшествует активному. По условию начала удаленного воздействия: - безусловное; - зависимое. Безусловное удаленное воздействие осуществляется злоумышленником безотносительно к каким-либо событиям, происходящим в сети. Зависимое удаленное воздействие осуществляется либо при посылке определенного запроса от компьютера жертвы, либо при наступлении ожидаемого злоумышленником события. По количеству злоумышленников, осуществляющих удаленное воздействие: - групповые; - одиночное. По наличию обратной связи с компьютером жертвы: - с обратной связью; - без обратной связи. Обратная связь подразумевает необходимость взаимодействия компьютера злоумышленника и компьютера, подвергаемого удаленному воздействию. При удаленном воздействии без обратной связи такого взаимодействия не требуется. По характеру используемой уязвимости <*>: -------------------------------- <*> См.: параграф 3 "Особенности следообразования при удаленном воздействии в сетях ЭВМ".
- воздействие, использующее "уязвимость проекта"; - воздействие, использующее "уязвимость выполнения"; - воздействие, использующее "уязвимость конфигурации". В зависимости от степени участия человека: - при постоянном участии человека; - удаленное воздействие осуществляется без непосредственного участия человека, выполняется специальными программами. Примером последнего сценария может служить удаленное воздействие, осуществляемое с нескольких компьютеров <*>. Несколько хостов одновременно начинают удаленное воздействие на компьютер жертвы и выводят его из строя. -------------------------------- <*> В технической литературе данный сценарий называется "распределенная атака "отказ в обслуживании" (Distributed Denial of Service).
Рассмотренные этапы удаленного воздействия, цели злоумышленника на каждом этапе, средства, с помощью которых он достигает поставленных целей, и характер действий являются предпосылкой для обнаружения, фиксации и изъятия следов противоправной деятельности. Несмотря на то что к проблеме раскрытия содержания понятия компьютерной информации обращались многие ученые - В. Б. Вехов <1>, В. С. Комиссаров <2>, В. В. Крылов <3>, С. А. Пашин <4>, Е. Р. Россинская <5>, А. И. Усов <6>, тем не менее отдельные ее аспекты остались практически не изученными, в частности вопрос о следовых картинах, образующихся в компьютерной информации при удаленном воздействии. -------------------------------- <1> Вехов В. Б. Компьютерные преступления: способы совершения и раскрытия. М., 1996. <2> Уголовный кодекс Российской Федерации: Постатейный комментарий. М., 1997. <3> Крылов В. В. Информационные компьютерные преступления. М.: Издательская группа "Инфра-М-Норма", 1997. ------------------------------------------------------------------ КонсультантПлюс: примечание. Комментарий к Уголовному кодексу Российской Федерации (под ред. Ю. И. Скуратова, В. М. Лебедева) включен в информационный банк согласно публикации - ИНФРА-М-НОРМА, 2000 (издание третье, измененное и дополненное). ------------------------------------------------------------------ <4> Комментарий к Уголовному кодексу Российской Федерации. Особенная часть / Под общ. ред. Генерального прокурора Российской Федерации, проф. Ю. И. Скуратова и Председателя Верховного Суда Российской Федерации В. М. Лебедева. М., 1996. <5> Вещественные доказательства: информационные технологии процессуального доказывания / Под общ. ред. докт. юрид. наук, проф. В. Я. Колдина. М.: Норма, 2002; Россинская Е. Р., Усов А. И. Судебная компьютерно-техническая экспертиза. М.: Право и закон. <6> Вещественные доказательства: информационные технологии процессуального доказывания / Под общ. ред. докт. юрид. наук, проф. В. Я. Колдина. М.: Норма, 2002; Россинская Е. Р., Усов А. И. Судебная компьютерно-техническая экспертиза. М.: Право и закон.
Компьютерная информация по своему содержанию неоднородна, всю ее совокупность можно разделить на две группы: - первая группа - это программное обеспечение, команды; - вторая группа - это собственно сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Компьютерная информация, относящаяся к первой группе, определяет, по существу, алгоритм обработки компьютерной информации, отнесенной ко второй группе. Более того, она позволяет взаимодействовать компьютерам между собой в сетях любого вида. Та же, что относится ко второй группе, не оказывает влияния на работу компьютера, однако изменяет содержание информации как сведений о чем - или о ком-либо. Интерес выделения таких групп состоит в том, что при удаленном воздействии в адрес компьютера жертвы направляются компьютерная информация первой группы. Именно она при взаимодействии с программными средствами удаленного компьютера заставляет их действовать таким образом, чтобы реализовался преступный замысел злоумышленника. Видно, что термин "компьютерная информация" не отражает концептуальных различий между второй и первой группами, а избыточная нагрузка на слово "информация" значительно усложняет рассмотрение вопроса. Вместе с тем специалистам, осуществляющим поисково-познавательную деятельность с целью получения сведений о преступлении, необходимо более точное представление о свойствах компьютерной информации. Учитывая изложенное, предлагается компьютерную информацию первой группы называть управляющие данные, а компьютерную информацию второй группы - сведения. Еще в 1997 г. В. В. Крылов заметил неоднородность компьютерной информации, отметил, что она "есть сведения, знания или набор команд (программ)" <*>. Позже эту точку зрения он отразил в докторской диссертации, указав, что "компьютерную информацию следует рассматривать как имеющий собственника элемент информационной системы - сведения, знания или набор команд (программа), хранящийся в ЭВМ или управляющий ею". -------------------------------- ------------------------------------------------------------------ КонсультантПлюс: примечание. Вопросы, касающиеся компьютерной информации, рассмотрены также в статье В. Крылова "Информационные преступления - новый криминалистический объект", включенной в информационный банк согласно публикации - "Российская юстиция", 1997, N 4. ------------------------------------------------------------------ <*> Крылов В. В. Информационные компьютерные преступления. М.: Издательский дом "Инфра-М-Норма", 1997. С. 27.
Видно, что автор разделяет компьютерную информацию на две группы: "сведения, знания" и "набор команд (программа)". Соглашаясь в принципе с мнением В. В. Крылова, вместе с тем считаем, что сведения и знания, по существу, могут быть объединены в одну группу, так как не влияют на работу ЭВМ. При расследовании уголовных дел, связанных с удаленным воздействием, следами противоправной деятельности, как правило, является информация, содержащаяся в памяти компьютера в виде двоичного кода, зафиксированного на носителе компьютерной информации. Однако в таком виде она недоступна для восприятия участниками процесса. Только представление этой информации посредством трансляции на устройства вывода компьютера делает ее возможной для понимания участниками уголовного процесса. Кроме того, как правило, ее содержание должно быть объяснено специалистом. В зависимости от того, является ли эта информация "управляющими данными" или "сведениями", различна и ее содержательная часть. Так, "сведения" после перекодировки из двоичного кода представляют собой совокупность букв, цифр, рисунков, звуков и иных форм, несущих информацию о событиях, фактах, явлениях, доступных для восприятия и понимания участниками уголовного процесса. "Управляющие данные" дают представление о работе программных и аппаратных средств компьютера. Сюда следует отнести взаимодействие программ в компьютере, порядок выполнения тех или иных задач, взаимодействие с другими компьютерами в сети и др. Наблюдать этот процесс можно тогда, когда программы находятся в стадии выполнения. Однако если воспользоваться дизассемблером <*>, то можно посмотреть алгоритм работы программы без ее запуска. -------------------------------- <*> Программа, преобразующая объектный код, исполняемый компьютером, в текст программы, понятный человеку. Примером дизассемблеров могут служить IDA Pro, HIEW.
Сведения, после перекодировки, сами по себе носят информационный характер и, как правило, не требуют дополнительного объяснения их содержания (например, тексты сообщений, графики, рисунки, схемы). Вместе с тем сведения - отчеты работы программ, фиксирующих взаимодействие компьютера с другими ЭВМ, требуют пояснения специалиста. Действительно, хотя эта информация и имеет знаковую форму, между тем обладает некой условностью, что не позволяет ее понять лицу, не имеющему специальных знаний. Ниже приведен пример сведений, содержащихся в файле - отчете программы TCPdump: ACK. com. 23 > 192.168.2.112. 23:. ack 778483003 win 1028 ACK. com. 23 > 192.168.31.4. 23:. ack 778483003 win 1028 ACK. com. 143 > 192.168.2.112. 143:. ack 778483003 win 1028 ACK. com. 143 > 192.168.31.4. 143:. ack 778483003 win 1028 Видно, что смысл каждой группы знаков в строке может быть объяснен только при наличии специальных знаний. Управляющие данные всегда требуют разъяснения специалиста в области компьютерной техники. Это связано с тем, что работа программы - сложный процесс, неотделимый от работы компьютера или сети. В него включены различные аппаратные и программные средства. Зачастую проявление работы тех или иных программ может быть не так очевидно для пользователя, и особенно это относится к работе программ, используемых злоумышленником. Только используя специальные знания, можно посмотреть алгоритм работы программы и выяснить задачи, которые она выполняет. Вопрос об информационных носителях достаточно подробно освещался разными авторами <*>, однако до настоящего времени не описан процесс взаимодействия компьютерной информации и не объяснена роль в этом процессе информационного носителя. Принимая во внимание, что именно этот процесс является ключевым для объяснения следообразования при удаленном воздействии, рассмотрим его подробно. -------------------------------- <*> Крылов В. В. Информационные компьютерные преступления. М.: Издательский дом "Инфра-М-Норма", 1997. С. 35; Россинская Е. Р., Усов А. И. Судебная компьютерно-техническая экспертиза. М.: Право и закон. С. 114.
Компьютерная информация содержится в памяти компьютера в виде двоичного кода. Носители компьютерной информации могут быть трех видов: - энергозависимые; - энергонезависимые; - транзитные. К первым относятся оперативное запоминающее устройство (ОЗУ) и постоянное запоминающее устройство (ПЗУ). Ко вторым - внешние носители информации, такие, как флоппи диски, винчестеры, ленточные носители и т. п. К третьим мы относим линии связи. Выделение этих носителей в отдельную группу продиктовано особенностью нахождения в них компьютерной информации. В данных носителях информация никогда не имеет статичной формы и находится только в момент передачи от одной ЭВМ к другой. Вопрос о широком использовании в настоящее время компьютерной информации, находящейся в энергозависимых и транзитных носителях, для расследования случаев удаленного воздействия, по нашему мнению, не является актуальным. Изучение зарубежных источников свидетельствует, что подавляющая часть доказательств, получаемая по делам данной категории, получается также не из этих носителей <*>. Именно поэтому особое внимание специалистов на данном этапе технического развития следует сосредоточить на выявлении следов противоправной деятельности на энергонезависимых носителях <**>, в частности на винчестере (накопителе на жестком магнитном диске). -------------------------------- <*> Та же позиция высказывается отечественными специалистами. См.: Вещественные доказательства: информационные технологии процессуального доказывания / Под общ. ред. докт. юрид. наук, проф. В. Я. Колдина. М.: Норма, 2002. С. 654. <**> Однако следует отметить, что при определенных условиях и информация, содержащаяся в энергозависимой памяти, может иметь значение для расследования. Например, если при осмотре компьютера подозреваемого, который находится в рабочем состоянии и подключен к сети, будут обнаружены запущенные программы, позволяющие осуществлять удаленное воздействие, ориентированные на конкретный компьютер в сети, то такая информация позволяет предположить о подготавливаемом или совершенном преступлении. Если же компьютер обесточить, то при отсутствии в нем файла о запускаемых на данном компьютере программах невозможно установить, какая программа была запущена перед тем, как компьютер был выключен.
Практика показывает, что ключевым объектом для поиска следов является именно этот носитель компьютерной информации. В 100% случаев правоохранительные органы исследуют винчестер для выявления следов противоправной деятельности по делам, связанным с неправомерным доступом к компьютерной информации. Жесткий диск хранит компьютерную информацию в форме электромагнитного поля на последовательности разнонамагниченных частиц <*>, расположенных на его плоскости и являющихся неотъемлемой частью этого аппаратного средства. Совокупность этих частиц и неотделимого от них магнитного поля образует двоичный код. -------------------------------- <*> Частицы магнитного диска намагничиваются направо или налево.
Рассмотрим природу образования следов удаленного воздействия. В настоящее время активно обсуждается вопрос о том, что является следообразующим и следовоспринимающим объектами при удаленном воздействии. Так, В. Е. Козлов считает, что "следовоспринимающим объектом является файл" <*>. Сходную с ним точку зрения высказывает Ю. В. Гаврилин, однако, расширяя перечень следовоспринимающих объектов и, кроме файла, включая туда каталоги, системный реестр, таблицу размещения файлов. -------------------------------- <*> Козлов В. Е. Теория и практика борьбы с компьютерной преступностью. М.: Горячая линия - Телеком, 2002. С. 144.
Данная позиция нам представляется спорной. Действительно, если файл является следовоспринимающим объектом, то его уничтожение (удаление) должно вести к потере информации о событии преступления. Однако на практике удаление файла не ведет к таким последствиям. Если злоумышленник удалил файл, то операционная система компьютера его действительно не показывает, но информация о событии удаленного воздействия продолжает сохраняться на носителе компьютерной информации в неизменном виде и может быть считана с него. Кроме того, заслуживает внимания мнение, высказанное в научной литературе, о том, что файл, по существу, является абстракцией для организации ввода-вывода <*>. Под ним понимается последовательность байтов, записанных на устройстве ввода-вывода. -------------------------------- <*> Таненбаум Э. Архитектура компьютера. СПб.: Питер, 2002. С. 464.
Не менее спорна точка зрения авторов и в отношении следообразующего объекта. В. Е. Козлов пишет, что "существенным моментом в образовании следов-отображений при совершении компьютерных преступлений является то, что в качестве следообразующего объекта выступает виртуальный объект - система команд ЭВМ". И далее, "введение понятия виртуального следообразующего объекта для классификации следов компьютерных преступлений представляется целесообразным и обусловлено тем, что система команд ЭВМ, направленных на создание и модификацию файлов, является следствием воздействия как пользователя, так и технологических процессов, вызванных аппаратным или программным обеспечением ЭВМ без участия человека. Таким образом, виртуальный объект наиболее полно соответствует термину следообразующего объекта". Вызывает настороженность используемый автором термин "виртуальный". Говоря "виртуальный", он имеет в виду объект, который "возможен, который может и должен проявиться". Полагаем, что автор не вполне правильно использует этот термин. Для уяснения смысла слова "виртуальный" целесообразно обратиться к ГОСТ 15917-90 "Системы обработки информации": виртуальный - определение, характеризующее процесс или устройство в системе обработки информации кажущихся реально существующими, поскольку все их функции реализуются какими-либо другими средствами. В этой связи требует дополнительного уточнения вопрос, какой же объект на самом деле является следообразующим, если система команд нереальна. Более того, автор рассматривает следы компьютерных преступлений в узком смысле, т. е. исходит из того, что на одном из взаимодействующих в процессе противоправной деятельности объекте должно отразиться внешнее строение другого. Но если файл - это объект, который реально не существует, а системы команд - "это виртуальный объект, который должен проявиться", тогда, если мы говорим о материальных следах, логичен вопрос: что с чем взаимодействует? Полагаем, что подход, избранный В. Е. Козловым, является спорным. Ю. В. Гаврилин считает, что следообразующим объектом являются различные файлы - файлы электронной почты, файлы программ, файлы компилятора. Как мы указывали выше, файл - это абстракция, в силу чего такой подход автора нами также ставится под сомнение. Разрешение данного вопроса, по нашему мнению, невозможно без сопоставления действующего законодательства в области информации, криминалистических знаний в области исследования следов и практических знаний в области организации ЭВМ. Носителем компьютерной информации является электромагнитное поле, которое относится к категории физических полей и согласно законодательству Российской Федерации <*> относится к материальным объектам. Следовательно, мы имеем дело с материальными следами. -------------------------------- <*> Закон Российской Федерации от 21 июля 1993 г. N 5485-1 "О государственной тайне".
Работа компьютера - это система циркуляции компьютерной информации, представленной в виде двоичного кода. Форма материального существования этой информации - либо совокупность электрических сигналов, в том случае, если компьютер находится в рабочем состоянии, либо совокупность состояния электромагнитных сигналов на магнитных элементах носителя информации <*>, если компьютер обесточен. -------------------------------- <*> Иные формы материального отражения двоичного кода на носителя информации в настоящей работе не рассматриваются.
Процесс преобразования электрических сигналов в состояние магнитных элементов (носителей электромагнитного поля) и обратно обеспечивается логикой работы компьютера <*>. -------------------------------- <*> Для более глубокого понимания данного процесса рекомендуются работы Э. Таненбаума "Архитектура компьютера", К. Хамахера, З. Вранешича, С. Заки "Организация ЭВМ" и Ч. Петцольда "Код".
Возможность взаимодействия компьютерной информации, вернее - двоичного кода, подчинена законам организации работы компьютера, основанным на обработке двоичных чисел. Операции с двоичными числами обеспечивают логические устройства компьютера, образованные аппаратными средствами обработки двоичного кода. Как мы уже отмечали, есть две группы компьютерной информации - сведения и управляющие данные. При удаленном воздействии, как правило, именно управляющие данные способны влиять на работу компьютера и, следовательно, оставлять информационные следы о таком воздействии. Двоичный код управляющих данных, попадая в компьютер, обрабатывается его логическими устройствами. В ходе большого числа простейших логических и математических операций над двоичными данными происходит взаимодействие двоичного кода компьютера жертвы и двоичного кода, направленного злоумышленником, в результате чего итогом этого взаимодействия является изменение двоичного кода в компьютере жертвы. Физически такое изменение проявляется в совокупности измененных электрических сигналов, несущих двоичный код, а в связи с логикой работы компьютера происходит и изменение состояния магнитного носителя. Однако следует отметить, что не каждое изменение двоичного кода электрических сигналов автоматически ведет к отражению его на магнитном носителе. Это связано с тем, что отразиться может лишь тот двоичный код, который компьютер запомнит в связи с алгоритмом работы конкретной программы. Например, если на компьютере жертвы не установлена программа, позволяющая следить за поступающими ICMP-пакетами, то на магнитном носителе не будет отражена информация о прослушивании портов злоумышленником, хотя сам компьютер и будет обрабатывать поступающие от компьютера злоумышленника двоичные данные. Единицей компьютерной информации является бит, имеющий два значения - "0" или "1". Применительно к материальной среде компьютера - это электрический сигнал или его отсутствие либо состояние магнитной частицы носителя информации. Компьютерная информация неотделима от своего носителя, вне носителя нет компьютерной информации. Совокупность битов образует байты, из которых складываются двоичные данные, и логика их взаимодействия подчинена законам логики и математики. Отсюда следует, что закономерности иных наук (физики, механики и т. д.) не могут быть призваны для объяснения механизма образования следов противоправной деятельности. Механизм взаимодействия двух различных двоичных кодов не позволяет применять к ним такие концептуальные для криминалистики понятия, как следообразующий объект, следовоспринимающий объект и следовой контакт, в том узком содержательном аспекте, который придает им криминалистика, ввиду отсутствия внешнего строения у компьютерной информации. На эту особенность компьютерной информации обращал внимание А. Н. Яковлев, указывая, что "вовлеченные в событие преступления информационные объекты на машинных носителях лишены такой характеристики, как внешнее строение" <*>. Схожую точку зрения высказывал В. А. Мещеряков, сообщая, что говорить о внешнем строении информационных объектов не приходится <**>. -------------------------------- <*> Яковлев А. Н. Теоретические и методологические основы экспертного исследования документов на машинных носителях информации: Дис. ... канд. юрид. наук. Саратов, 2000. <**> Мещеряков В. А. Механизм следообразования при совершении преступлений в сфере компьютерной информации.
Вместе с тем, если рассматривать эти понятия (следообразующий объект, следовоспринимающий объект) более широко, то, вероятно, возможно перенесение некоторых аналогий на взаимодействие компьютерной информации. Однако такой подход должен предельно ясно оговариваться для того, чтобы не вносить затруднение в понимание устоявшихся криминалистических терминов. Учитывая, что следами противоправной деятельности являются результаты логических и математических операций с двоичным кодом, мы предлагаем называть их бинарными следами. Под бинарными следами следует понимать изменения компьютерной информации, произошедшие в связи с событием удаленного воздействия. На основании изложенного можно сделать вывод, что процесс отражения информации об удаленном воздействии носит сложный характер и в настоящее время требует дополнительных исследований. Так как компьютер способен обрабатывать только двоичный код, то и само удаленное воздействие представляет собой совокупность управляющих данных в двоичной форме, направленных в адрес удаленного компьютера по сети связи. При этом и формирование сигнала в компьютере злоумышленника, и обработка его промежуточными компьютерами, и обработка его в компьютере жертвы ведут к изменению двоичного кода и образованию бинарных следов в каждом из перечисленных компьютеров. Сходную точку зрения высказал В. В. Крылов, указывая, что следовая картина включает в себя: а) следы на машинных носителях, посредством которых действовал преступник на своем рабочем месте; б) следы на "транзитных" <*> машинных носителях, посредством которых преступник осуществлял связь с информационными ресурсами, подвергавшимися нападению; -------------------------------- <*> Здесь термин "транзитные" применен в отношении всех носителей информации, через которые прошел сигнал. Мы же употребляем данный термин только в отношении линий связи. Однако следует уточнить, что выявление бинарных следов в линиях связи нам представляется затруднительным, так же как и выявление следов пули в воздухе.
в) следы на машинных носителях информационной системы, в которую осуществлен неправомерный доступ. Как указывалось выше, практический интерес для расследования события удаленного воздействия представляет информация, сохраненная на винчестере. В целом именно он будет представлять область локализации бинарных следов. Так как выявление бинарных следов возможно только при их считывании в энергозависимую память и преобразования до уровня архитектуры компьютера, позволяющего их наблюдать на устройствах вывода в доступной для восприятия форме, требует уточнения вопрос о том, как такие следы проявляются: - в компьютере злоумышленника; - в промежуточном компьютере; - в компьютере жертвы. Ю. В. Гаврилин указывает, что в компьютере жертвы объектами криминалистического интереса являются: - таблица размещения файлов; - системный реестр; - отдельные кластеры магнитного носителя информации, в которых записываются фрагменты исполняемых файлов и файлов конфигурации; - файлы и каталоги хранения электронной почты; - файлы конфигурации программ удаленного соединения компьютера с информационной сетью. Те же объекты перечисляются и для компьютера злоумышленника, однако к ним добавляются еще скопированные с компьютера-жертвы файлы данных и программ, и "скриншоты" <*>. -------------------------------- <*> Преступления в сфере компьютерной информации: Учеб. пособие / Под ред. Ю. В. Гаврилина. М.: ЮИ МВД РФ, 2003. С. 84.
С предложенным перечнем мы не согласны, так как непонятны основания для включения в него тех или иных объектов. Так, кластеры магнитного носителя являются носителем всей компьютерной информации ЭВМ в целом, в том числе сведений о файловой системе и различных файлах, поэтому эта позиция включает в себя все остальные. Однако автор упоминает ее только в связи с "фрагментами исполняемых файлов и файлов конфигурации". Более удачно систематизировал эту информацию В. В. Крылов. Он описывает три группы признаков, указывающих на вмешательство в работу ЭВМ и доступ к информации: - изменение структуры файловой системы; - изменение заданной конфигурации компьютера; - необычные проявления в работе ЭВМ <*>. -------------------------------- <*> Крылов В. В. Информационные компьютерные преступления. М.: Издательский дом "Инфра-М-Норма", 1997. С. 58.
Данная система указывает на основные особенности проявления противоправной деятельности <*>, однако не конкретизирует места локализации следов. -------------------------------- <*> Вопрос о признаках, свидетельствующих об удаленном воздействии, более подробно будет освещен отдельно.
Для выявления областей локализации следов сначала, по нашему мнению, целесообразно упорядочить сведения о видах компьютерной информации, с помощью которой злоумышленник воздействует на удаленный компьютер. Напомним, что бинарный след является итогом взаимодействия двоичных кодов. В зависимости от того, какую роль в компьютере они выполняют, различными будут и бинарные следы. Учитывая, что удаленно воздействовать можно только на работающий компьютер, программные средства которого ожидают определенных событий, можно условно разделить весь спектр возможных воздействий на три группы: - команды процессам; - запуск процессов; - воздействие коммуникационными сигналами сетевых протоколов. Информация от одного компьютера к другому передается при помощи сетевых протоколов. Для того чтобы на компьютере жертвы могла исполняться команда или программа, посланные компьютером злоумышленника, между этими ЭВМ должна быть установлена связь. Протоколы обеспечивают установление соединения, передачу информации и разъединяют компьютеры. Кроме того, они используются для передачи так называемых служебных сообщений, дающих информацию о состоянии сети и ее компонентов. Злоумышленник, как правило, применяет коммуникационные сигналы сетевых протоколов либо для сбора предварительных сведений об объекте воздействия, либо для реализации так называемого отказа в обслуживании. "Команды процессам" - это направление документированных или недокументированных команд программам, которые запущены на удаленном компьютере. В зависимости от того, какому процессу направляется команда, можно их разделить на две большие группы: - команды для операционной системы; - команды для программ-приложений. Команды операционной системе охватывают широкий спектр действий. Например, такие, как работа с файлами (копирование, удаление, внесение изменений в содержание, переименование и т. д.), с каталогами (создание, переименование, изменение месторасположения и т. д.), запросы о конфигурации компьютера и многое другое. Команды программам определяются их функциональным назначением. Например, команды программе FreeFTP <*> будут связаны с передачей файлов, а программе Eudora <**> с передачей почтовых сообщений. -------------------------------- <*> Автор программы неизвестен, распространялась на CD-диске в качестве электронного приложения к журналу Chip (2003. N 1). <**> Программа принадлежит Qualcomm Inc., распространялась на CD-диске в качестве электронного приложения к журналу Chip (2003. N 1).
Запуск процессов - это активизация программ на компьютере жертвы. Их можно разделить на две группы: - к первой отнести те, которые изменяют работу процессов компьютера, подвергшегося удаленному воздействию; - ко второй - независимые процессы, которые ранее отсутствовали в удаленном компьютере. Теперь укажем следы, которые эти виды воздействий могут оставлять. Сначала рассмотрим, как перечисленные виды воздействия проявляются в компьютере жертвы. Воздействие коммуникационных сигналов сетевых протоколов, как правило, незаметно для пользователя компьютера, так как их деятельность скрыта от него. Вместе с тем каждый поступающий в компьютер пакет тоже представляет собой информацию в двоичном коде и поэтому взаимодействует с двоичным кодом ЭВМ. Обнаружить и зафиксировать пакеты можно, используя специальное программное обеспечение, визуализирующее процесс обработки пакетов и записывающее данные в файл-сообщение <*>. К таким программам можно отнести, например, TCPdump <**>. Ниже приведена часть записи такого файла. -------------------------------- <*> Учитывая, что подобные журналы могут иметь очень большой объем, для их исследования целесообразно использовать специальные программы, позволяющие осуществлять такой анализ. К таким средствам могут быть отнесены Event Viewer, Snort, System Scanner, Tripwire. <**> Программа TCPdump разработана Network Research Group в лаборатории Lowrence Berkeley National Lab.
13:51:16.210000 scanner. net > 192.168.65.255: icmp: echo request 13:51:17.300000 scanner. net > 192.168.65.0: icmp: echo request 13:51:18.200000 scanner. net > 192.168.66.255: icmp: echo request 13:51:18.310000 scanner. net > 192.168.66.0: icmp: echo request 13:51:19.210000 scanner. net > 192.168.67.255: icmp: echo request 13:53:09.110000 scanner. net > 192.168.67.0: icmp: echo request 13:53:09.940000 scanner. net > 192.168.68.255: icmp: echo request 13:53:10.110000 scanner. net > 192.168.68.0: icmp: echo request 13:53:10.960000 scanner. net > 192.168.69.255: icmp: echo request 13:53:10.980000 scanner. net > 192.168.69.0: icmp: echo request В частности, верхняя строка содержит следующую информацию: Время получения пакета 13:51:16 Адрес отправителя scanner. net Адрес получателя 192.168.65.255: Вид пакета icmp Кроме того, собранные такой программой сведения могут отражать: дату, порт отправителя, порт получателя, направление пакета (из компьютера жертвы или в него), служебная информация о сформированном пакете. Если злоумышленник не подменяет свой действительный IP-адрес, то такая информация позволяет однозначно определить компьютер злоумышленника в сети. Команды злоумышленника операционной системе и программам на удаленном компьютере тоже, как правило, незаметны для пользователя компьютера. Вместе с тем если запись всех команд предусмотрена, то сведения о вводимых командах могут быть отражены в отдельном файле. Изучение его позволяет проследить порядок действия злоумышленника и его умысел <*>. -------------------------------- <*> Норткатт С., Новак Д. Обнаружение вторжений в сеть. Издательство Лори. С. 299.
Если в компьютере не предусмотрен сбор сведений о вводимых командах, то о них можно судить по изменению состояния компьютерной информации, которое проявляется через сведения о состоянии файлов либо через активизацию новых программ. Выявление изменений возможно различными способами. Так, в операционной системе Windows предусмотрена возможность поиска файлов по различным параметрам: имени, месту расположения, содержанию, дате или периоду (создания, изменения открытия), типу (принадлежность к определенной программе, по расширению, по форме и другое), размеру. Если в ходе удаленного воздействия злоумышленник подменяет или изменяет файлы, то подобные действия могут быть обнаружены при помощи встроенных утилит. Например, в Unix существует утилита "find", позволяющая выявлять файлы, измененные за указанный период. Другим средством в том же Unix является утилита "cmp", которая позволяет обнаружить изменения заданных файлов или каталогов путем сравнения имеющихся на текущий момент их версии с их эталонными копиями. В операционных системах Windows NT /2000 аналогичной утилитой является утилита "comp". Проявление процессов может носить различный характер. Если деятельность самого процесса скрыта от пользователя или его работа очень быстротечна, то пользователь сможет наблюдать последствия его работы, которые могут выражаться: а) в изменении состояния отдельных файлов: - создание новых файлов; - замена файлов; - внесение изменений в файлы конфигурации и др.; б) в произошедших событиях в компьютере: - изменение прав доступа; - регистрация новых пользователей; в) в каких-либо иных формах: - замедление работы; - неадекватная реакция на команды; - появление нестандартных символов на экране монитора. Если процесс работает без маскировки, то о его работе можно получить сведения как от самой операционной системы, так и от иных программ. Например, в среде Windows для выявления запущенных процессов можно набрать сочетание клавиш "Ctr"-"Alt"-"Del". В среде Unix информацию о процессах можно получить, набрав команду "ps". Для просмотра запущенных процессов можно использовать такую программу, как Memload <*>. -------------------------------- <*> Программа Memload разработана Джоан Самуэльсон (Johan Samuelson), доступна по адресу: http://www. go. to/adamant.
Так как сам процесс - это программа в стадии выполнения, следовательно, она должна быть сохранена на носителе информации. Поиск таких программ может осуществляться, например, по атрибутам файлов (наименование, расширение, дата создания и т. д.). Компьютер злоумышленника является источником воздействия, поэтому может хранить информацию о действиях злоумышленника. То, как проявится в компьютере злоумышленника реализованное им удаленное воздействие, зависит от используемых им программных средств. Если злоумышленник использует модем для доступа в Интернет (dial up соединение), то на его компьютере должна быть установлена коммуникационная программа, обеспечивающая доступ в сеть. Настройки параметров доступа дадут следователю информацию о провайдере, через которого осуществляется связь. К таким сведениям относятся: - номер телефона сервера доступа; - имя пользователя на сервере доступа (login); - пароль пользователя на сервере доступа (password); - IP-адрес; - адрес электронной почты (e-mail), имя пользователя и его пароль на доступ к этому сервису. Мы полагаем, что программы для удаленного воздействия, которые исполняются на компьютере злоумышленника, можно разделить на три группы: - посылающие запросы и получающие сообщения; - собирающие сведения; - взаимодействующие с клиентской частью, установленной на удаленном компьютере. Независимо от функционального назначения для большинства таких программ предусмотрена функция сохранения сведений о работе. В зависимости от назначения программы из содержания таких файлов можно получить различную информацию. Например, программа SpyNet <*> осуществляет сбор сведений о всех пакетах в сети, поэтому используется для перехвата паролей пользователей в сети. Если злоумышленник сохраняет сведения о перехваченном трафике, то, возможно, среди этих данных будет обнаружен пакет, содержащий пароль. Такая информация, несомненно, свидетельствует о противоправной деятельности. -------------------------------- <*> Программа SpyNet разработана Laurentiu Nicula, доступна по адресу: http://www. hummir. narod. ru/spynet312.exe.
Программа Xsharez <*> осуществляет сканирование заданного злоумышленником пространства сети, поиск компьютера с shared-ресурсами <**> и подключение к этому компьютеру. Лог-файл такой программы позволяет судить о диапазоне адресов, просканированном злоумышленником. -------------------------------- <*> Программа Xsharez разработана человеком по кличке xPoison, доступна по адресу: www. xaker. ru. <**> Shared-ресурсами называются сервисы, подключенные к портам 137 - 139 и предоставляющие пользователям возможность совместного доступа к дискам, папкам и файлам.
Существуют программы, которые хотя и исполняются на удаленном компьютере, однако направляют сведения о своей работе в адрес компьютера злоумышленника. Такие сведения могут поступать, например, в виде сообщений электронной почты. Поэтому о характере противоправной деятельности можно судить, просмотрев подобные сообщения. Промежуточный компьютер в период удаленного воздействия находится между компьютером жертвы и компьютером злоумышленника, поэтому трафик, создаваемый злоумышленником, проходит через него. Такие компьютеры можно условно разделить на три группы: 1) компьютер, через который осуществляется доступ в сеть; 2) компьютер, через который осуществляется пересылка пакетов; 3) прокси-серверы. К первой группе относятся компьютеры провайдеров, представляющие сетевые адреса пользователям услуг Интернета. Рассмотрим процесс подключения компьютера злоумышленника к компьютеру провайдера, одновременно пытаясь указать на ключевые точки, в которых могут быть обнаружены бинарные следы. Подключение к сети Интернет осуществляется через поставщика услуг Интернета. Для этого злоумышленник включает модем (если он является внешним устройством) и активизирует программу, обеспечивающую возможность подключения к Интернету. В соответствующем меню он набирает телефонный номер поставщика услуг и ждет соединения. На телефонной линии провайдера тоже установлен модем, когда персональный компьютер дозванивается до провайдера, происходит установление связи. Программа, установленная на компьютере провайдера, обеспечивающая доступ в сеть Интернет, просит пользователя ввести логин и пароль. Если аутентификация произведена успешно, компьютер получает доступ в сеть Интернет <*>. -------------------------------- <*> Если пользователь подключен к провайдеру по выделенной линии, то в этом случае его компьютеру выделяется постоянный IP-адрес.
Источник входящих звонков на модемный пул провайдера, как правило, фиксируется программой определения номера, которая определяет дату и точное время входящего звонка. При соединении персональный компьютер злоумышленника желает запустить стек протоколов TCP/IP, для чего ему нужен IP-адрес, который выделяется провайдером. На всех пользователей IP-адресов не хватает, поэтому обычно у каждого поставщика услуг Интернета имеется блок таких адресов, и он динамически назначает их каждому подключаемому компьютеру на время сеанса связи. После этого персональный компьютер злоумышленника становится хостом Интернета и может посылать и принимать IP-пакеты, так же как и постоянные хосты. Когда злоумышленник заканчивает сеанс связи, сначала происходит разрыв соединения сетевого уровня и освобождается IP-адрес, а затем разрыв соединения уровня передачи данных, после чего компьютер дает модему команду освободить телефонную линию. Все сеансы доступа в Интернет через ЭВМ провайдера отражаются в лог-файлах его компьютеров. В них указывается дата соединения, время установления и прекращения соединения, IP-адрес, назначенный пользователю. Принимая во внимание, что в конкретный промежуток времени может быть только один пользователь, имеющий конкретный IP-адрес, данная информация может быть очень полезна при расследовании этой группы правонарушений, так как однозначно идентифицирует компьютер в сети. Вторая группа компьютеров является самой обширной, в нее включаются все компьютеры, участвующие в передаче пакета от компьютера злоумышленника до компьютера жертвы. Вопрос об их эффективном использовании при раскрытии сетевых противоправных действий в настоящее время реализуется в рамках технологии COPM. Прокси-серверы позволяют пользователю изменять свой текущий IP-адрес на адрес данного сервер, таким образом достигается анонимность. Рассмотрев виды воздействия на ЭВМ и характер проявления следов такого воздействия в компьютерах жертв, злоумышленника и промежуточных компьютерах, можно указать области локализации следов оставляемых при удаленном воздействии, это: операционная система, программы-приложения и файловая система. Точками локализации следов в них являются: - для операционной системы - файлы конфигурации, файлы отчетов и код программы; - для программ-приложений - файлы конфигурации, файлы отчетов и код программы; - для файловой системы - "дерево каталогов". Соответственно признаками, указывающими на удаленное воздействие, являются: - изменение, удаление, внедрение новых элементов в код программы; - удаление, изменение содержания или замена файлов конфигурации и/или файлов отчетов. Предложенный подход к выявлению областей локализации следов при удаленном воздействии, несомненно, может быть расширен путем изучения конкретных операционных систем, например ОС Windows 98/2000/XP/NT/LONGHORN, программ-приложений и составления детального описания мест локализации следов, образующихся при удаленном воздействии. Знание областей локализации следов в компьютере жертвы, а также в компьютере злоумышленника и промежуточных компьютерах поможет быстро и эффективно выявлять такие следы. Можно заключить, что механизм следообразования в ходе удаленного воздействия подчинен общему алгоритму обработки двоичного кода в ЭВМ в ходе взаимодействия компьютерной информации, направляемой злоумышленником, и той, которая расположена на носителе информации в компьютере жертвы и транзитных носителях. Формирование следовой картины удаленного воздействия и возможность познания события преступления обусловлены закономерностями отражения на информационных носителях характера взаимодействия компьютерной информации в результате действий злоумышленника. Рассматриваемая сущность информационных следов и механизм их образования приводит нас к выводу об особом характере их природы и целесообразности выделения их в отдельную группу материальных следов - бинарные следы. Кроме того, разделение компьютерной информации на две группы: управляющие данные (программное обеспечение, команды) и сведения (собственно сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления) представляется методологически важным для понимания природы процесса взаимодействия компьютерной информации. Описанные виды воздействия на компьютерную информацию и характерные для них области, отражающие изменение в компьютерной информации в различных ЭВМ, могут быть использованы в практической деятельности для выявления, пресечения и расследования противоправных деяний, совершенных способом удаленного воздействия.
------------------------------------------------------------------
Название документа