Данные о следах совершения преступления в сфере компьютерной информации
Рассматриваемый элемент является одним из важнейших в криминалистической характеристике преступления.
Следы[1] совершения преступления в сфере компьютерной информации в силу специфики рассматриваемого вида преступлений редко остаются в виде изменений внешней среды. Они в основном не рассматриваются современной трасологией, поскольку в большинстве случаев носят информационный характер, т.е. представляют собой те или иные изменения в компьютерной информации, имеющие форму ее уничтожения, модификации, копирования, блокирования. Как справедливо отмечает А.В. Касаткин, «при современном развитии вычислительной техники и информационных технологий «компьютерные следы» преступной деятельности имеют широкое распространение. Это должно учитываться следователями и оперативными работниками в их деятельности по собиранию доказательств наряду с поиском уже ставших традиционными следов»[1].
На основании изложенного представляется целесообразным следы неправомерного доступа к компьютерной информации разделить на два типа: традиционные следы (следы-отображения, рассматриваемые трасологией, а также следы-вещества и следы-предметы) и нетрадиционные - информационные следы.
К первому типу относятся материальные следы. Ими могут являться какие-либо рукописные записи, распечатки и т.п., свидетельствующие о приготовлении и совершении преступления. Материальные следы могут остаться и на самой вычислительной технике (следы пальцев рук, микрочастицы на клавиатуре, дисководах, принтере и т.д.), а также на магнитных носителях и CD-ROM дисках.
Информационные следы образуются в результате воздействия (уничтожения, модификации, копирования, блокирования) на компьютерную информацию путем доступа к ней и представляют собой любые изменения компьютерной информации, связанные с событием преступления. Прежде всего они остаются на машинных носителях информации и отражают изменения в хранящейся в них информации (по сравнению с исходным состоянием). Речь идет о следах модификации информации (баз данных, программ, текстовых файлов), находящейся на жестких дисках ЭВМ, дискетах, магнитных лентах, лазерных и магнито-оптических дисках. Кроме того, магнитные носители могут нести следы уничтожения или модификации информации (удаление из каталогов имен файлов, стирание или добавление отдельных записей, физическое разрушение или размагничивание носителей). Информационными следами являются также результаты работы антивирусных и тестовых программ. Данные следы могут быть выявлены при изучении компьютерного оборудования, рабочих записей программистов, протоколов работы антивирусных программ[1], программного обеспечения. Для выявления подобных следов необходимо участие специалистов.
Информационные следы могут оставаться и при опосредованном (удаленном) доступе через компьютерные сети, например через Интернет. Они возникают в силу того, что система, через которую производится доступ, обладает некоторой информацией, которую эта система запрашивает у лица, пытающегося соединиться с другим компьютером. Она определяет электронный адрес, используемое программное обеспечение и его версию. Кроме того, при доступе в сеть обычно запрашивается адрес электронной почты, реальное имя и другие данные. Эту информацию запрашивает системный администратор (провайдер) для контроля обращений на его сервер, и это также позволяет идентифицировать личность проникающего в сеть.
Рассмотрим информационные следы в сети Интернет, позволяющие установить лицо, совершившее неправомерный доступ к компьютерной информации, более подробно.
Данные о фирме-провайдере[1]. В сети Интернет существует специальная служба Whois, предназначенная для установления провайдера, через которого произошел неправомерный доступ, для чего необходимо указать электронный адрес (IP) интересующего компьютера. Для связи с этой службой для европейской части сети существует сервис по адресу: www.ripe.net.
Время выхода абонента на связь и продолжительность его работы можно установить у провайдера по ведущемуся у него специальному лог-файлу.
Номер телефона, с которого была установлена связь с провайдером. Следует иметь в виду, что не все провайдеры устанавливают устройства автоматического определения номера на свои телефоны, да и ГТС не всегда может предоставить подобную информацию, однако пренебрегать этими возможностями нельзя. Впрочем, не стоит забывать и о том, что существуют и широко популяризированы через Интернет различные системы маскировки под другой номер, либо анти-АОНы. Но даже если удалось установить телефон, с которого был осуществлен звонок, это не всегда дает выход на конкретное лицо, поскольку к Интернету может быть подключена и локальная вычислительная сеть. В этом случае установить, с какого рабочего места был осуществлен сеанс связи, можно по лог-файлу сервера локальной сети с теми же ограничениями по времени.
Протокол выхода в Интернет с определенного компьютера. Он автоматически ведется на каждом компьютере, с которого возможен выход во всемирную сеть (количество дней его хранения определяется пользователем). Представляется, что совпадение данного протокола с лог-файлом провайдера может служить неопровержимым доказательством.
Данные о пользователе электронной почты (фамилия, имя, отчество, дата и место рождения, место жительства, работы и пр). Сам пользователь заинтересован в предоставлении достоверной информации для получения электронных сообщений.
Большой информационной ценностью обладают разговоры через Интернет, поскольку их содержание автоматически сохраняется во временных файлах, которые даже после стирания могут быть восстановлены (хотя бы частично).
Следует отметить, что многие программы фирмы Microsoft создают резервные копии файлов, файлы-отчеты, сохраняют информацию о последних проделанных операциях и выполненных программах, а также содержат иную информацию, представляющую огромный интерес для расследования. Вот лишь некоторые примеры:
Microsoft Outlook Express 4.0 - все письма, которые были отправлены, получены или удалены, хранит в своей базе данных. Эти файлы расположены в директории \Windows\Aplication\Microsoft\Outlook Express\Mail\ с расширениями IDX и МВХ.
Microsoft Internet Explorer 4.0 - в директории \Windows\Temporary Internet Files\ хранит места, которые посетил пользователь, находясь в сети Интернет.
Microsoft Windows 95 - в директории \Windows\History\ хранит все файлы истории, то есть данные о ранее выполнявшихся программах; в директории \Windows\name.pwl хранит имена, телефоны и пароли для соединения с Интернет, которые с помощью специальных программ расшифровываются.
Следами, указывающими на посторонний доступ к информации, могут являться: переименование каталогов и файлов; изменение размеров и содержимого файлов; изменение стандартных реквизитов файлов[1], даты и времени их создания; появление новых каталогов, файлов и пр.
Перечисленное может свидетельствовать об изменениях в заданной структуре файловой системы, а также об изменении содержимого файлов. Кроме того, на неправомерный доступ к компьютерной информации могут указывать изменения в заданной ранее конфигурации[1] компьютера, в том числе: изменение картинки и цвета экрана при включении; изменение порядка взаимодействия с периферийным оборудованием (принтером, модемом и др.); появление новых и удаление прежних сетевых устройств.
На неправомерный доступ к компьютерной информации могут указы-вать и необычные проявления в работе ЭВМ, как то: замедленная или неправильная загрузка операционной системы[1]; замедленная реакция машины на ввод с клавиатуры; замедленная работа машины с дисковыми накопителями при записи и считывании информации; неадекватная реакция ЭВМ на команды пользователя; появление на экране нестандартных символов, знаков и пр. Представляется, что данное классификационное построение согласуется с классификацией следов, описанной выше, и дополняет ее.
Одним из наиболее часто встречающихся в настоящее время видов преступлений в сфере компьютерной информации является распространение вредоносных программ типа «троянский конь» (например, рассмотренный нами ранее Legion, BackOrifice, Dollyl6 и т.п.) с целью несанкционированного получения информации и паролей с компьютеров «жертв». Данные действия квалифицируются по двум статьям УК РФ (ст. 272 «Неправомерный доступ к компьютерной информации» и ст. 273 «Создание, использование и распространение вредоносных программ для ЭВМ»).
В.А.Мещеряковым на примере данного вида преступлений рассмотрены особенности механизма образования[1] «виртуальных» следов[1].
Прежде необходимо отметить, что сущность и опасность вредоносных программ типа «троянский конь» заключается в том, что они скрытно, путем обмана (под видом какой-либо полезной прикладной программы или особо популярной компьютерной игры) доставляются на компьютер жертвы (например, в качестве прикрепленного к посланию электронной почты исполняемого файла) и запускаются на нем. После запуска эти программы могут выполнить какую-либо простенькую отвлекающую функцию (обещанную в сопроводительном послании или просто выдать сообщение о невозможности выполнения полезной функции. Кроме этого они записывают тело вредоносной программы в заранее установленное место на компьютере - «жертве» (главная цель данного вида вредоносных программ), прописывают условия ее активизации в системный реестр, обеспечивая тем самым запуск программы при каждом включении компьютера. Запущенная вредоносная программа устанавливает соединение с провайдером сети Интернет и настраивает определенный номер порта ввода/вывода компьютера-жертвы в режим, при котором к нему можно скрытно подключиться удаленному компьютеру. Вторая (сопряженная) часть такой вредоносной программы, установленная на компьютере преступника, последовательно опрашивает (посылает фиксированную последовательность данных) заданный диапазон IP-адресов на возможность удаленного подключения к фиксированному порту ввода/вывода. Наткнувшись на подготовленный первой частью вредоносной программы компьютер-жертву, компьютер преступника устанавливает скрытный канал информационного обмена и получает возможность полного управления компьютером-жертвой: копирование с него текущего образа экрана монитора (так называемого скриншота) любой размещенной на нем программы, создание каталога или копирование любого файла на удаленный компьютер-жертву, запуск на нем любой программы и т.п.
Следообразующий объект и его характеристики. В зависимости от этапа совершения данного вида преступления будет существовать различный набор следообразующих объектов. На этапе внедрения программы «троянского коня» это сообщение электронной почты с прикрепленным исполняемым файлом в специальном формате, а на этапе активизации к нему добавится еще соответствующий исполняемый файл. При этом основными (важнейшими с криминалистической точки зрения) характеристиками сяедообразующих объектов будут:
размер программ и сообщения электронной почты с присоединенным файлом;
дата и время создания/получения и/или модификации файлов и сообщения;
отдельные атрибуты (например, признак архивного, скрытого или системного файла, уровень важности и конфиденциальности полученного сообщения) файла и сообщения;
характерные записи (фрагменты) исполняемых программ или файлов конфигурации, позволяющие идентифицировать конкретный экземпляр вредоносной программы. Например, адрес электронного почтового ящика, куда следует отсылать выкраденные пароли, логины и IP-адрес компьютера.
Помимо самих файлов вредоносной программы (т.е. некоторого аналога традиционно рассматриваемого орудия преступления) следообразующими Объектами также будут:
1. Файлы, использующиеся для электронной рассылки «троянских коней»:
стандартная почтовая программа (The Bat!, MS Outlook Express и т.п.,
входящие в стандартный набор операционной системы или офисного набора программ) или иная специализированная программа рассылки почтовых сообщений — вид используемой почтовой программы, ее версия и текущие настройки;
текстовые файлы или файлы в специальном формате (согласованном с программой рассылки почтовых сообщений), содержащие списки рассылки и вспомогательные данные - даты и время рассылки, количество попыток повторения и т.п.;
файлы программ, обеспечивающие удаленное соединение компьютера и содержащие номера телефонов, «логины» (учетные имена для входа в сеть), пароли, скрипты (наборы автоматически выполняемой последовательности команд) и т.п.
2. Файлы компилятора, использующегося для создания (программирования или настройки) самой вредоносной программы:
версия, настройки и параметры. Эти данные в ряде компиляторов автоматически включаются в тело создаваемой с их помощью программы;
используемые библиотеки компилятора, операционной системы или других пакетов прикладных программ. Ряд программ рассчитан на обязательное присутствие на компьютере определенных библиотек или пакетов прикладных программ. Например, известны случаи, когда вредоносные программы типа «троянский конь» для рассылки украденной парольно-ключевой информации используют коммуникационные средства программы обмена информацией в реальном времени ICQ (фирмы Mirabilis).
Следовоспринимающий объект. Учитывая, что при совершении рассмотренного выше преступления в сфере компьютерной информации используется как минимум два компьютера (преступника и жертвы), то следовоспринимающих объектов также будет несколько.
На компьютере жертвы такими объектами будут:
Таблица размещения файлов (FAT, NTFS или другая в зависимости от типа используемой операционной системы). На компьютере жертвы должны появиться файлы с программами, представляющими собой первую часть вредоносной программы «троянский конь». Как правило, это два файла: один исполняемый файл (непосредственно сама программа), а второй файл содержит параметры конфигурации и вспомогательные данные, необходимые для работы исполняемого файла. Имена этих файлов могут быть произвольными (легко и без изменения функциональных возможностей программы заменяются преступником), но они должны иметь фиксированную (одну и ту же) длину, а также дата и время создания/модификации этих файлов должны соответствовать дате и времени установки этих программ на компьютер-жертву.
Системный реестр операционной системы Windows 9x/NT. Соответствующие разделы системного реестра должны включать указания на размещение и параметры установленных программных файлов.
Отдельные кластеры магнитного носителя информации (винчестера, дискеты), в которых записываются фрагменты исполняемых файлов (программ) и файлов конфигурации.
Файлы и каталоги (папки) хранения входящей электронной почты и прикрепленных исполняемых файлов, конфигурации почтовой программы.
Файлы конфигурации программ удаленного соединения компьютера с информационной сетью.
На компьютере преступника такими объектами будут:
Таблица размещения файлов (FAT, NTFS или другая в зависимости от типа используемой операционной системы). На компьютере жертвы должны появиться файлы с программами, представляющими собой вторую (управляющую) часть вредоносной программы «троянский конь».
Системный реестр операционной системы Windows Эх/NT. Соответствующие разделы системного реестра должны включать указания на размещение и параметры установленных программных файлов.
Скопированные с компьютера-жертвы файлы данных и программы, а также так называемые «скриншоты» (графические изображения экрана монитора) с компьютера-жертвы.
Файлы и каталоги (папки) хранения входящей электронной почты и прикрепленных исполняемых файлов, конфигурации почтовой программы. Здесь могут быть обнаружены присланные с компьютера-жертвы значения паролей и «логинов» для входа в информационную сеть, копии украденной электронной корреспонденции и т.п.
Файлы конфигурации программ удаленного соединения компьютера с информационной сетью. В этих файлах могут быть обнаружены логины и пароли компьютера-жертвы, его адресная книга, используемые скрипты и т.п.
Отдельные кластеры магнитного носителя информации (винчестера, дискеты), в которых записываются фрагменты исполняемых файлов (программ) и файлов конфигурации.