Проведено аналіз високотехнологічних способів скоєння злочинів в сфері обігу комп'ютерної інформації, практично здійснених з віддалено розташованих ЕОМ. Виявлено віртуальні сліди, що залишаються при реалізації таких способів. Розроблено конкретні пропозиції щодо розслідування і запобігання даного виду комп'ютерного проникнення.

Анотація наукової статті з комп'ютерних та інформаційних наук, автор наукової роботи - Поляков В. В., Слободян С. М.


Область наук:
  • Комп'ютер та інформатика
  • Рік видавництва: 2007
    Журнал: Известия Томського політехнічного університету. Інжиніринг ГЕОРЕСУРСИ

    Наукова стаття на тему 'Аналіз високотехнологічних способів неправомірного віддаленого доступу до комп'ютерної інформації '

    Текст наукової роботи на тему «Аналіз високотехнологічних способів неправомірного віддаленого доступу до комп'ютерної інформації»

    ?УДК 343.9

    АНАЛІЗ високотехнологічних СПОСОБОВ неправомірних ВІДДАЛЕНОГО ДОСТУПУ ДО КОМП'ЮТЕРНОЇ ІНФОРМАЦІЇ

    В.В. Поляков *, С.М. Слободян

    * Алтайський державний університет, м Барнаул Томський державний університет систем управління та радіоелектроніки E-mail: Ця електронна адреса захищена від спам-ботів. Вам потрібно увімкнути JavaScript, щоб побачити її.

    Проведено аналіз високотехнологічних способів скоєння злочинів в сфері обігу комп'ютерної інформації, практично здійснених з віддалено розташованих ЕОМ. Виявлено віртуальні сліди, що залишаються при реалізації таких способів. Розроблено конкретні пропозиції щодо розслідування і запобігання даного виду комп'ютерного проникнення.

    Протягом останніх років простежується і зростає тенденція розвитку способів неправомірного, з точки зору законодавства РФ, і адміністративно несанкціонованого доступу до комп'ютерної інформації з використанням мережевих технологій, заснованих на віддаленому доступі споживачів до інформаційних баз даних. Одним з основних факторів, що сприяють цьому процесу, є наявність в сфері обігу комп'ютерної інформації нових програмно-апаратних засобів, що володіють широкими високотехнологічними можливостями, освоєння і застосування яких дозволяє знаходити нестандартні рішення для здійснення незаконного втручання [1]. У таких ситуаціях неправомірний доступ буває досить специфічний, а віртуальні сліди для правоохоронних органів залишаються прихованими. Дані обставини серйозним чином позначаються на ла-тентности злочинів в сфері комп'ютерної інформації, яка досягає 90%. Підкреслимо, що в сучасній криміналістиці сліди здійснення такого виду злочинів практично не вивчені [2]. Таким чином, актуальним завданням є вивчення закономірностей прояву механізму «практики» підготовки, вчинення і приховування злочинів у сфері комп'ютерної інформації.

    Найбільш професійно досвідчені порушники діють таким чином, щоб сліди комп'ютерного проникнення були максимально приховані або достовірно не вказували на особу, їх залишило [3]. Більш того, в цих випадках часто використовують такі способи проникнення, щоб логічні шляхи розслідування в ще більшому ступені ускладнили роботу правоохоронних органів. Проблема пояснюється недостатнім рівнем спеціальних знань про комп'ютерну техніку та інформаційні технології у розслідують ці злочини співробітників правоохоронних органів. В таких умовах значну допомогу при проведенні слідства повинні надати чіткі уявлення про те, які сліди залишаються при високотехнологічних способах незаконного втручання в сфері комп'ютерної інформації. У цій предметної області особливо складними і

    істотними порушеннями є засновані на високотехнологічних способах несанкціонованого доступу до комп'ютерної інформації та вчинені шляхом використання інформаційної мережі з віддалено розташованих ЕОМ.

    Слід зазначити, що для неправомірного віддаленого доступу характерно знаходження слідів в різних місцях одночасно і на великій відстані один від одного. Так, вони можуть бути залишені не тільки на робочому місці, а й в місці зберігання або резервування інформації [4]. Сліди також можуть бути виявлені на місцях підготовки до доступу (наприклад, там, де розроблялися або тестувалися програми для неправомірного доступу), використання інструментів, пристроїв і засобів, призначених для операцій незаконного втручання, а також в місці використання інформації [5]. Зазначені обставини вимагають перевірки всіх передбачуваних місць, де можуть перебувати віртуальні сліди. Важливо відзначити, що тільки отримані і оформлені з дотриманням кримінально-процесуального законодавства сліди можуть бути долучені до кримінальної справи і стануть розглядатися як докази.

    Розглянемо деякі основні особливості високотехнологічних способів неправомірного доступу до комп'ютерної інформації.

    1. Використання чужих реєстраційних адрес

    в локальній мережі, що має вихід в Інтернет

    Комп'ютери, підключені до локальної мережі з виходом в Інтернет, як правило, мають два адреси: логічний адресу мережевого рівня (№-адреса) і фізичну адресу мережевої інтерфейсної карти (МАС-адреса) [6]. При відправці пакетів за межі локальної мережі ці адреси будуть зафіксовані, отже, можна буде знайти ЕОМ, з якої був здійснений неправомірний доступ, що в подальшому дозволить відшукати відповідні традиційні і віртуальні сліди. Однак особи, які володіють спеціальними знаннями, можуть самостійно прописати чужий №-адреса, щоб заплутати слідство. У разі, коли є підстави вважати, що сталася саме така ситуація, слід звернути увагу на MAC-адресу мережевої

    карти. Як правило, всі мережеві карти мають свій унікальний номер, який складно змінити або знищити. Даний номер може бути також зафіксований при мережевому з'єднанні. Таким чином, доказом того, що порушник використовував чужий 1Р-адреса, буде служити невідповідність МАС-адреси мережевої карти комп'ютера тому МАС-адресою, яка була вказана при підключенні. Для розслідування подібних порушень негативну роль надає та обставина, що в продажу є мережеві карти, що дозволяють змінювати МАС-адреси програмним способом. В такому випадку можна без особливих зусиль використовувати не тільки чужий 1Р-адреса, а й МАС-адреса. Якщо буде встановлено, що під час незаконного втручання за комп'ютером, на який вказують прописані злочинцем 1Р і МАС-адреси, працював конкретна людина, то підозра впаде саме на нього. Більш того, цілком можлива ситуація, коли на даний комп'ютер потім буде підкинута викрадена інформація. Подібні дії є вкрай небезпечними, так як при недостатньо вмілої слідчу роботу може бути притягнутий невинна людина.

    Найчастіше, на сервері провайдера можуть зберігатися облікові дані його клієнтів. Більшість цих даних використовуються правоохоронними органами в якості доказів вчинення злочину з конкретного комп'ютера. У той же час аналіз показує, що контролю, що вказує на того, хто саме працював на комп'ютері в період здійснення з нього незаконного втручання, практично не буває [7]. Наприклад, розглянемо ситуацію, коли доступ відбувався з домашнього комп'ютера. Особа, якій він належить, може в своїх свідченнях заявити, що в період здійснення доступу у нього вдома перебували сторонні люди. Якщо в подібній ситуації підозрюваний домовиться з ким-небудь з них про те, щоб вони підтвердили дані обставини, встановити, хто вчинив доступ, буде вкрай важко.

    2. Використання бездротового з'єднання

    Для несанкціонованого доступу може бути використаний ноутбук, стільниковий телефон або інше портативний пристрій поблизу пункту, який надає доступ в Інтернет за бездротовою технологією, наприклад, в «Інтернет-кафе». У такій ситуації на сервері провайдера залишаться такі сліди:

    • облікові дані порушника, наприклад, логін і пароль;

    • налаштування, якими користувався порушник, зокрема його 1Р-адреса, виділений для певного сеансу зв'язку;

    • інформація про пакети, які були відправлені або отримані на адресу клієнта, зокрема час відправлення / прийому, розмір, тип, 1Р-адреса одержувача або відправника і т. Д .;

    • в деяких випадках дані про конфігурацію

    комп'ютера зловмисника.

    У той же час слідство, навіть маючи в своєму розпорядженні цими даними, не зможе виділити конкретну особу і пристрій, з якого був здійснений неправомірний доступ. Під підозрою може виявитися невизначене коло осіб, якими міг бути схопить сигнал на той момент, коли був здійснений доступ. Наприклад, це можуть бути особи з ноутбуками, що знаходяться в кафе або в припаркованих автомобілях, жителі прилеглих будинків, які використовують спеціальні вловлюють слабкий сигнал пристрою. Оперативні заходи щодо обшуку перерахованих осіб з метою виявлення та огляду їхніх комп'ютерів представляються малоймовірними з точки зору їх ефективності.

    3. Використання чужого телефонного номера

    Органи слідства при пошуку, як правило, виходять з даних, отриманих від фірми провайдера, в першу чергу стосуються телефонного номера, з якого здійснювався неправомірний доступ при використанні модемного з'єднання [8]. Аналіз ряду кримінальних справ показав, що доведення вчинення проникнення будується на базі головного доказу - телефонного номера, з якого відбувалося з'єднання з сервером провайдера [9]. Звісно ж, що подібна обставина не можна розглядати в якості універсального докази. Це підтверджується тим, що практично до телефонні дроти є відкритий доступ, поширені технічні збої на автоматичної телефонної станції (АТС), а також можливо співучасть працівників АТС в скоєнні незаконного втручання. Все це створює сприятливу ситуацію для того, щоб зловмисники скористалися описаними варіантами. Так, за допомогою ноутбука можна під'єднатися до лінії телефонної мережі в багатоквартирному будинку і тим самим здійснити вихід в мережу Інтернет з чужого телефонного номера, в тому числі скориставшись картою доступу в Інтернет. Довести факт підключення порушника до чужого телефонного кабелю буде вкрай складно. Відзначимо, що випадків використання чужих телефонних ліній зв'язку для здійснення міжміських дзвінків сучасна російська практика знає достатньо. Дана обставина свідчить про потенційно можливе зростання вчинення дій, пов'язаних з неправомірним доступом за подібною схемою. Для запобігання слідчої помилки і звинувачення невинного необхідно скористатися допомогою фахівців або експертів, завданням яких було б встановлення здійснення проникнення з іншого комп'ютера [10]. Виявлення даної обставини можливо шляхом дослідження програмно-апаратного забезпечення цього комп'ютера і порівняння наявних у ній даних з інформацією, наданою провайдером.

    4. Використання чужого комп'ютера в якості

    засоби незаконного втручання шляхом

    короткочасного віддаленого з'єднання з ним

    Для незаконного втручання може бути використано короткочасне віддалене з'єднання з чужим комп'ютером в разі, коли підключення до лінії телефонного зв'язку потерпілого відсутня. Наприклад, поширеним є підключення до чужого комп'ютера дистанційним чином за допомогою програми вірусного типу «троянський кінь». Встановити таку програму можна за допомогою електронної пошти, Wi-Fi з'єднання або шляхом неправомірного підключення, т. К. Захист комп'ютерів у більшості користувачів вкрай низька. У такій ситуації на зараженому комп'ютері залишиться вся інформація про неправомірне підключенні, і підозра ляже на власника цього комп'ютера.

    При розслідуванні такого способу вчинення доступу можна запропонувати наступні рекомендації з виявлення слідів. У разі самоліквідації шкідливої ​​програми можна проаналізувати системний реєстр на наявність характерних команд і їх реквізитів і виявити дані, що дозволяють припустити, що на комп'ютері був подібний вірус. Для доказу наявності вірусу можна спробувати використовувати також стандартні програми з відновлення видалених даних. Така операція не буде успішна, якщо в осередку пам'яті, зарезервовані під вірус, потім записувалася інша інформація. Крім того, у багатьох випадках доступ в Інтернет здійснюється за допомогою використання проксі-сервера, який фіксує всю інформацію, що стосується мережевих з'єднань [11]. За даними проксі-сервера можна встановити факт з'єднання комп'ютера, з якого імовірно відбувалося злочин, з комп'ютером зловмисника.

    5. Використання послуг провайдера,

    не фіксують дані про своїх користувачів

    В даний час з'являється все більша кількість провайдерів, які не фіксують у себе інформацію про користувачів. Це робиться з метою підвищення анонімності, щоб не було відомо, які сайти відвідують клієнти провайдера. При використанні таких послуг на сервері провайдера не залишиться слідів доступу, що значно утруднить розслідування. Крім цього, для незаконного втручання можуть бути використані і так звані анонімні проксі-сервера, доступні в мережі Інтернет.

    6. Можливі шляхи запобігання спробам

    незаконного втручання

    Необхідність удосконалення комплексу заходів щодо захисту комп'ютерних систем та інформаційних баз даних, зокрема, автоматизованої-

    ванних засобів контролю використання спеціальної інформації в різних областях діяльності людини, існує давно. Потреба в захисті інформації від незаконного втручання викликана комп'ютеризацією багатьох економічних і політичних галузей функціонування державних структур як засобу підвищення ефективності обробки інформації для прискорення прийняття рішень і управління.

    Комп'ютеризація різко збільшила обсяг потоку інформації і ємність баз даних. Більш того, безперервно зростає рівень професійної підготовки фахівців високої кваліфікації в області комп'ютерних засобів, темп і інтенсивність використання цих коштів. Це призводить до, що випливає звідси, логічної необхідності здійснення розробки, створення нових і вдосконалення існуючих комп'ютер -них систем і засобів, причому не тільки для захисту, але і для оцінки надійності захисту і збереження комп'ютерної інформації від несанкціонованого до неї доступу. Існує також ряд факторів економічного, політичного, соціального, психофізіологічного, медичного, геополітичного та т. П. Характеру (їх аналіз виходить за рамки предмета дослідження), які призводять до зростання спроб несанкціонованого доступу до комп'ютерної інформації, включаючи зрослу практику проникнення через мережеві структури в інформаційні бази даних з віддалених ЕОМ. Така практика несанкціонованого проникнення в бази даних з віддалених ЕОМ заснована на використанні та розвитку мережевих технологій і удосконалення засобів прийому та передачі комп'ютерної інформації.

    Найбільш простий і досить ефективний шлях - введення деякого порога захисту інформації та збереження недоторканності баз даних полягає в апріорно вжиття заходів, які полягають, наприклад, в установці в комп'ютер відомих програмних засобів, призначених для обмеження вільного доступу, запобігання і попередження спроб неправомірного використання даного комп'ютера і , що зберігається в ньому, комп'ютерної інформації [6]. Такі засоби забезпечують підтримку мінімального (нижнього) рівня заходів захисту інформації в комп'ютерних засобах колективного користування. Встановлена ​​в них, система виробляє захист інформації від несанкціонованого доступу таким чином, щоб право та можливість використання, що зберігаються в комп'ютерах, даних, виробництва з ними операцій по їх модифікації отримував тільки користувач індивідуально розпізнається даною системою.

    Подібний варіант забезпечення захисту інформації від неправомірного до неї доступу може бути виконаний шляхом використання стандартних програмних засобів, передбачених бібліоте-

    кой пакета Microsoft Access. Застосування Microsoft Access не дозволяє декільком користувачам одночасно коригувати або змінювати одні й ті ж інформаційні дані, т. Е. Вводить ранжування на доступ до інформації за пріоритетами, які встановлені адміністратором системи. При цьому Microsoft Access автоматично забезпечує захист даних від одночасного їх зміни різними користувачами (рознесення за часом і пріоритетам доступу до даних).

    У Microsoft Access передбачені надійні, з точки зору задоволення вимог нижнього рівня захисту інтересів широкого кола користувачів, заходи захисту цілісності даних поділом доступу до інформації по рангах і пріоритетам. Причому, якщо користувачам з найвищим пріоритетом надається право доступу до основних інформаційних і програмних засобів, то іншим, які не включені в список адміністратором, дозволена робота тільки з дублікатами виділених фрагментів інформації або фреймів бази даних. Це дає можливість створити додатковий поріг доступу, крім передбачених в самому пакеті Microsoft Access, до логічним правилам захисту інформації та забезпечення підвищення надійності захисту баз даних від спроб незаконного втручання.

    Звичайно, професійно освоїв програмний продукт Microsoft Access користувач може знайти шляхи обходу захисних бар'єрів доступу до інформаційних ресурсів і базі даних. Але, в останньому випадку, він отримує доступ тільки до фрагментів дубліката, а не до основних ресурсів. Принципово можливі і інші логічні правила встановлення бар'єрів доступу. Наприклад, ускладнення порядку ідентифікації ознак, що відображають дійсність користувача, на надання йому права доступу навіть до дублікату або до системи з віддаленого терміналу.

    Ще одним заходом захисту є облік того фактора, що включення високопрофесійних фахівців в процес використання високих технологій неминуче вимагає встановлення відповідних цьому чиннику і заходів контролю. Необхідна також і оцінка «прозорості» порядку дотримання встановлених законодавством або інструктивними матеріалами, правил і вимог при використанні дозволених даному користувачеві тих фрагментів інформації, які в тій чи іншій мірі зачіпають сферу безпеки компанії, організації, держави або особистих та інших прав громадян. Можливі й інші, засновані на ідентифікації особистості, принципи ранжирування пріоритетів доступу і оцінки необхідного рівня інформаційної безпеки доступу даному користувачеві до інформаційних ресурсів.

    7. Висновок

    Проводячи аналіз та узагальнення вище викладеного, можна прийти до наступних висновків:

    1. Розробка заходів, програмних і апаратних засобів протидії спробам несанкціонованого доступу до комп'ютерної інформації повинна бути тісно пов'язана з вивченням методів, підходів до вирішення і принципів високих технологій здійснення на практиці таких спроб. Аналіз існуючих «практик» неправомірного проникнення до комп'ютерної інформації важливий для розуміння сутності і формування в подальшому рішень проблеми, які зможуть запобігти проведенню таких дій в принципі. Переважно запобігти їх ще на стадії планування і підготовки можливості здійснення такої спроби, т. Е. Важливо показати нездійсненність проведення неправомірних дій в плані досягнення мети проникнення. В рамках масового обстеження, з цілком зрозумілих причин, обумовлених певною мотивацією таких «користувачів» і закритістю подібної інформації, аналіз і дослідження подібних «практик» провести важко, скоріше неможливо.

    2. Розробка заходів запобігання неправомірного доступу до комп'ютерної інформації на основі узагальнення і аналізу, що мали місце на практиці, реально розглянутих або підлягають предметного і ґрунтовному вивченню, різних аспектів шляхів підходу і мотивації здійснення діяльності щодо неправомірного, в тому числі віддаленого, доступу до комп'ютерної інформації є актуальною. Слід визнати, що прийняття і вироблення прогнозних рішень на основі аналізу розглянутих реальних «практик» неправомірного проникнення до комп'ютерної інформації, а також їх узагальнення вкрай ускладнені. Дійсно, в таких випадках дослідник має «справу» з багатоальтернативного мотивацією особливого роду «користувача». Одержуваний при цьому, фактичний матеріал для дослідження представляє собою вибірку малої розмірності з ознаками, які характерні для юридичної, соціологічної, психологічної та правової практик.

    3. У розглянутої предметної області важливо досліджувати мотиваційні аспекти і технологічні шляхи здійснення подібного роду «практик». Необхідно вивчити закономірності статистики явища. Іншими словами, виявити всі можливі напрями подібної діяльності; визначити, як і яким чином виникають і встановлюються несанкціоновані комп'ютерні зв'язку; досліджувати фак-

    ти будь-якого незаконного втручання; оцінити, що сприяє, а що може перешкоджати неправомірному доступу, включаючи доступ з віддалених ЕОМ.

    висновки

    У даній роботі проведено, хоча і обмежений, аналіз методів і способів, реально здійснених, високотехнологічних протиправних, за чинним законодавством РФ, дій шляхом несанкціонованого доступу до комп'ютерної інформації з віддалених терміналів.

    Проаналізовано особливості слідів злочинів, пов'язаних із застосуванням порушниками високотехнологічних способів неправомірного доступу до комп'ютерної інформації, і запропоновані способи виявлення цих слідів. Результати дослідження, проведеного в даній роботі, свідчать про те, що, в світлі посилюється протидії слідству від сучасної криміналістики потрібне подальше вивчення закономірностей і механізмів підготовки, здійснення релігійної і приховування даного виду злочинів.

    На наш погляд, тільки всебічне вивчення всіх аспектів наявної проблеми дасть можли-

    СПИСОК ЛІТЕРАТУРИ

    1. Зегжда Д.П., Івашко А.М. Основи безпеки інформаційних систем. - М .: Гаряча лінія - Телеком, 2000. - 452 с.

    2. Мещеряков В.А. Злочини у сфері комп'ютерної інформації: правовий і криміналістичний аналіз. - Воронеж: Воронезький державний університет, 2001. - 176 с.

    3. Полещук О.В., Шаповалова Г.М. Криміналістичне дослідження слідів при розслідуванні комп'ютерних злочинів. - Владивосток: Вид-во Далекосхідного ун-ту, 2006. - 157 с.

    4. Гаврилов М., Іванов А. Слідчий огляд при розслідуванні злочинів у сфері комп'ютерної інформації // Законність. - 2001. - № 4. - С. 11-14.

    5. Никонов В. Панасюк А. Нетрадиційні способи збирання і закріплення доказів // Законність. - 2001. - №4. - С. 19-24.

    6. Оліфер В.Г., Оліфер Н.А. Комп'ютерні мережі. Принципи, технології, протоколи. - СПб .: Пітер, 2006. - 960 с.

    ність знайти оптимальне рішення для формування прогнозу виникнення подібних ситуацій і визначення можливих напрямків їх здійснення. На основі знайдених рішень при аналізі можна сформувати напрямок дій по запобіганню підготовці неправомірних спроб високотехнологічного проникнення в комп'ютерні системи.

    Короткий опис викладених вище реальних фактів незаконного втручання дозволяє виявити приховані логічні закономірності формування «віртуальних» слідів неправомірних дій в досліджуваній предметній області. Логічні закономірності є суттєвими для побудови бази знань про методи незаконного втручання, формування якої потребують введення нових понять і осмислення безлічі фрагментів знань в даній області.

    Розглянуті підходи, способи та методи виявлення «віртуальних» слідів «злому» - неправомірного доступу до комп'ютерної інформації можуть доповнюватися або заміщатися іншими методами пошуку прихованих закономірностей здійснення несанкціонованого доступу. Це зажадає перегляду процедури аналізу реальних фактів доступу або дій одержуваних іншим способом проникнення.

    7. Гавло В.К., Поляков В.В. Деякі особливості розслідування злочинів, пов'язаних з неправомірним доступом до комп'ютерної інформації // Известия Алтайського державного університету. - 2006. - № 2. - С. 44-48.

    8. Архів Жовтневого районного суду м Барнаула. Справа № 1-705 / 04.

    9. Архів Індустріального районного суду м Барнаула. Справа № 1-51 / 05.

    10. Россинская О.Р. Судова експертиза в цивільному, арбітражному, адміністративному і кримінальному процесі. - М .: Норма, 2005. - 656 с.

    11. Архів Центрального районного суду м Барнаула. Справа № 1-537 / 03.

    Надійшла 26.10.2006 р.


    Завантажити оригінал статті:

    Завантажити