Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Проблемы расследования преступлений в сфере компьютерной информации». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Актуальность темы исследования, обосновывается тем, что число совершенных киберпреступлений возрастает и охватывает все новые и новые деяния. Преступность в сфере информационных технологий в текущих реалиях выступает одной из ключевых угроз национальной безопасности Российской Федерации в информационной сфере. Количество киберпреступлений напрямую зависит от числа интернет-пользователей. Расследование компьютерных преступлений обусловлено спецификой совершенных преступником действий, слабой теоретический проработкой вопроса методики организации расследования киберпреступлений, и индивидуальностью тактики производства следственных действий под отдельно взятое преступление; несомненно, влияет и недостаточная квалификация следователей для работы со специфическими источниками информации, представленной в виде электронных страниц, сайтов и т.д. В связи с ростом числа киберпреступлений, оформлением более профессиональных способов их совершения проблема изучения криминалистических особенностей расследования киберпреступлений является насущной.
Степень разработанности проблемы другими авторами: криминалистические особенности киберреступлений изучались многими авторами, вопросы касаемо выделения данных преступлений в отдельную группу в системе криминалистической классификации; описание методики их расследования; возможность использования виртуальных следов, и другие рассматривались В. Ю. Агибаловым, М. А. Бабаковой, В. Б. Веховым, А. С. Вражновым, А. А. Васильевым, Ю. В. Гаврилиным, В. В. Крыловым, В. А. Мещеряковым, Д.А. Илюшиным, В. В. Степановым, А. И. Семикаленовой, А. И. Усовым и другими.
Объектом исследования являются: криминалистическая характеристика киберпреступлений и особенности производства следственных действий по данной категории преступлений.
Предметом исследования является: закономерности совершения преступлений в киберпространстве и закономерности образования их следов; практика производства следственных действий; теоретические положения уголовного права, криминалистики и уголовного процесса в аспекте производства следственных действий.
Целью исследования является рассмотрение теоретических и практических аспектов киберпреступлений, их криминалистическая характеристика, изучение возможности использования виртуальных следов при расследовании киберпреступлений. Данная цель разрешается через связанные с ней задачи:
–провести криминалистическую классификацию киберпреступлений;
–охарактеризовать особенности тактики производства следственных действий при расследовании киберпреступлений;
–рассмотреть особенности назначения и виды судебных экспертиз при расследовании киберпреступлений.
Методологическую основу составляют различные методы, в первую очередь диалектический метод познания. Также, в работе использовались: общелогические методы, метод системного анализа и метод статистического сравнения, обобщение материала и др.
Нормативную правовую основу исследования составляют нормы международного права, Конституция Российской Федерации, Уголовный кодекс Российской Федерации, Уголовно-процессуальный кодекс Российской Федерации, иные нормативно-правовые акты по исследуемой теме,
Научная новизна работы подтверждается комплексным изучением и анализом производства следственных действий при расследовании киберпреступлений на первоначальном этапе. Изучена криминалистическая классификация преступлений в киберпространстве.
Теоретическая значимость заключается в том, что сформулированные выводы могут быть основой для теоретических исследований в данной сфере.
Практическая значимость заключается в возможности применения выводов и предложений в практической деятельности органов предварительного расследования.
Работа структурно состоит из введения, двух глав, заключения и списка использованной литературы. Во введении обосновывается актуальность темы курсовой работы, ставятся цели и задачи исследования. В первой главе рассматриваются особенности криминалистической характеристики и классификация киберпреступлений и примеры киберпреступлений закрепленных в Уголовном кодексе РФ, а также рассмотрен вопрос виртуальных следов преступления Во второй главе курсовой работы рассматриваются отдельные следственные действия на первоначальном этапе расследования, такие как осмотр места происшествия, обыск (выемка) и следственный эксперимент, отдельно рассмотрен вопрос назначения и видов экспертиз. В заключении подводится итог проведенному исследованию.
Расследование киберпреступлений – взгляд изнутри
Это осуществление террористических действий в киберпространстве. К этому так же относится элементрарное распространение посредством Интернета информации о терактах, которые могут быть совершены в будущем в конкретно указанное время.
Также выделяют такие виды киберпреступлений, как азартные игры-онлайн и киберпреследование.
Еще стоит отметить, что жертвами киберпреступлений становятся в большинстве случаев несовершеннолетние граждане. Согласно данным следственного комитета Российской Федерации самым страшным и необратимым процессом влиянием на детей стало массовое вовлечение их в суицидальные группы, в которых романизируется тема смерти, популяризуется уход из жизни.
Приемов влияния на детей несколько, это не только непосредственное взаимодействие в переписке в социальных сетях, однако и через предложение просмотра видео, обсуждения телесериалов, в помощи решения домашнего задания, также могут предлагаться определенные онлайн-книги, рекомендации по прочтению литературы и прослушивание музыки.
Одним из подобных ярких примеров современного времени считается интернет-игра для детей и подростков «Синий кит», окончательный этап которой является суицид участника.
На сегодняшний день активно проводятся профилактические мероприятия по предотвращению подобных киберпреступлений, жертвами которых становятся несовершеннолетние граждане. К примеру, следственный комитет российской Федерации по Иркутской области внес предложение о памятке для родителей о спасении детей от киберпреступлений.
Из чего следует, что киберпреступления подрывают не только компьютерную защищенность социума, информационную безопасность пользователей компьютеров, но и социальный порядок страны в целом.
Подытоживая, можно определить то, что киберпреступление — это комплекс правонарушений, запрещенных Уголовным кодексом РФ, которые совершены в киберпространстве, где ключевыми непосредственными объектами преступного посягательства выступают:
- Конституционные права и свободы человека и гражданина;
- Общественные отношения в области компьютерной информации и информационных технологий;
- Общественные отношения в области экономики и финансовой деятельности;
- Общественные отношения в области правительства;
- Общественные отношения в области здоровья населения и социальной нравственности.
С целью защиты граждан разрабатывается проект Концепции Стратегии кибербезопасности Российской Федерации. Создатели проекта определяют кибербезопасность – как комплекс условий, при которых все элементы киберпространства защищены от максимального возможного количества угроз и влияний с нежелательными последствиями. К сожалению, утверждение проекта Концепции Стратегии кибербезопасности приостановлено. Увеличение количества совершаемых киберпреступлений не дает возможности свести на нет обсуждение актуальной проблемы, об этом говорят неоднократные правительственные встречи и инициативы. Кроме того, необходимо выделить, что по инициативе Уполномоченного по правам ребенка П. Астахова начала функционировать Всероссийская информационная компания против насилия и жестокости в СМИ и Интернете, включающая совокупность мер по обеспечению информационной защищенности детей.
Таким образом, киберпреступность и кибербезопасность – две амбивалентности одного глобального виртуального пространства. Возникла новая парадигма информационной безопасности – парадигма кибербезопасности.
Это своеобразная молодая наука. Существует множество методов и приемов манипулирования сознанием человека. Кевин Митник считал, что иногда проще обмануть и получить информацию, чем взломать доступ к ней.
Понятие киберпреступления
Главным явлением, повлиявшим на формирование нынешнего социума в 21 веке, начало активное усовершенствование информационных и телекоммуникационных технологий, считается, что настал новый период в истории человеческой цивилизации. Но улучшение сетевых технологий привело не только лишь к ускорению формирования социума, однако и к расширению источников угрозы для него.
Эксперты уже называют преступность в информационной среде одной из угроз, оказывающих значительное воздействие на национальную безопасность Российской Федерации. Подобное беспокойство абсолютно оправдано: изучение данной сферы иллюстрирует нам, что в глобальных компьютерных сетях создается сложная система криминогенных факторов.
Нарастающая проблема низкой безопасности глобальных сетей от противозаконных действий носит многогранный характер и содержит ряд элементов, затрагивающих круг интересов многих. В связи с этим, иностранными учеными уже довольно давно проводится интенсивное исследование воздействий технологических достижений на социальные процессы, на формирование права и изменение преступности.
При исследовании международной статистики интернет-преступности можно придти к выводу, что Россия за минувшие годы стала одним из лидеров по числу кибератак во всем мире (после нее следуют США, Китай и Индия). За этим могут стоять следующие предпосылки:
- слабая законодательная основа, которая регулирует проблемы киберпространства и преступных посягательств в нем;
- сложность расследования и раскрытия;
- сложность сбора доказательств и процесса доказывания, по причине возникновения подобного определения как «виртуальный след»;
- отсутствие обобщенной судебной и следственной практики проделам этой категории;
- отсутствие единой программы предотвращения и борьбы с киберпреступлениями.
Имеется ряд трудностей в раскрытии киберпреступлений, одна из них это нежелание россиян заявлять о содеянном против них компьютерном правонарушении в полицию, а кроме того, в правовой неграмотности людей, столкнувшихся с компьютерной преступностью. Еще одна проблема раскрытия и предотвращения киберпреступлений – это значительно высокая квалификация киберпреступников, которые не оставляют следов присутствия и своего пребывания на месте совершенного правонарушения. Нередко «потерпевшая сторона» даже и никак не думает о совершенном преступлении, а к моменту обнаружения проходит большое количество времени, так все возможные следы, по которым можно было выйти на правонарушителя полностью пропадают.
Развитие компьютерных технологий, новых механизмов направленных на осуществление интернет-преступлений и возникновение новой группы преступников, а непосредственно хакеров, киберпреступников, довольно опередило законодательство Российской Федерации и никак не дало возможности оперативно создать правовую область, которая будет корректировать отношения, образующиеся в киберсреде и повысило возможность совершения безнаказанных правонарушений.
Вплоть до сих пор в Уголовном кодексе РФ отсутсвует определение «киберпреступность», многие эксперты и ученые предприняли попытку определить данное понятие. По мнению В.А. Номоконова, Т.Л. Тропиной «киберпреступление является более обширным, чем компьютерная преступность и точно описывает такое явление как преступность в информационном пространстве». Наиболее полное определение, отражающее нюансы этого негативного явления, предлагается в статье Д.Н. Карпова «киберпреступление – это акт социальной девиации с целью нанесения экономического, политического, морального, идеологического, культурного и других видов ущерба индивиду, организации государству посредством любого технического средства с доступом в Интернет».
Криминалистическая характеристика преступлений
Наибольшие трудности возникают при проведении осмотра места происшествия и назначении судебных экспертиз.
Ю. Агибаловым, М. А. Бабаковой, В. Б. Веховым, А. С. Вражновым, А. А. Васильевым, Ю. В. Гаврилиным, В. В. Крыловым, В. А. Мещеряковым, Д.А. Илюшиным, В. В. Степановым, А. И. Семикаленовой, А. И. Усовым и другими.
Можно выделить несколько работ, имеющих важное значение при изучении данной проблемы. Одна их них работа В.А. Номоконова и Т.Л. Тропиной «Киберпреступность как новая криминальная угроза».
Нарастающая проблема низкой безопасности глобальных сетей от противозаконных действий носит многогранный характер и содержит ряд элементов, затрагивающих круг интересов многих. В связи с этим, иностранными учеными уже довольно давно проводится интенсивное исследование воздействий технологических достижений на социальные процессы, на формирование права и изменение преступности.
Как утверждает Александр Писемский, пострадавшие действуют по-разному, в зависимости от последствий, которые повлекло киберпреступление. Если ущерб минимален, то просто устраняются последствия: переустанавливается операционная система, обновляется антивирус, меняются пароли.
Типы киберпреступлений
Вот несколько примеров различных тиров киберпреступлений:
- Мошенничество с электронной почтой и интернет-мошенничество
- Мошенничество с использованием личных данных (кража и злонамеренное использование личной информации)
- Кража финансовых данных или данных банковских карт
- Кража и продажа корпоративных данных
- Кибершантаж (требование денег для предотвращения кибератаки)
- Атаки программ-вымогателей (тип кибершантажа)
- Криптоджекинг (майнинг криптовалюты с использованием чужих ресурсов без ведома их владельцев)
- Кибершпионаж (несанкционированное получение доступа к данным государственных или коммерческих организаций)
Большинство киберпреступлений относится к одной из двух категорий
- Криминальная деятельность, целью которой являются сами компьютеры
- Криминальная деятельность, в которой компьютеры используются для совершения других преступлений
Понятие киберпреступления
Киберпреступление — это родовое понятие, охватывающее как компьютерную преступность в узком значении этого слова (где компьютер является предметом, а информационная безопасность — объектом преступления), так и иные посягательства, где компьютеры используются как орудия или средства совершения преступлений против собственности, авторских прав, общественной безопасности или нравственности (например, компьютерное мошенничество и т.п.). Последние нередко именуются «связанными с компьютерными преступлениями». Примыкают к киберпреступности и другие действия, направленные на поддержание условий для ее существования и развития (использование электронной почты для коммуникации, независимые социальные сети, атаки компьютерных сетей, создание собственных сайтов, направленных на распространение криминальной идеологии, а также обмен криминальным опытом и специальными познаниями).
Представляется, что следует различать киберпреступления как правовую категорию и киберпреступность как социальное явление. Последнее состоит не только из совокупности всех данных преступлений, но и включает различные формы тесно связанных с ними «поддерживающей» и организационной деятельности. В этом смысле обмен электронной почтой между лицами, готовящими преступление, размещение соответствующей криминально ориентированной информации на в веб-сайтах и в социальных сетях также относятся к киберпреступности как социальному явлению.
Как известно, киберпреступления не знают государственных границ. Возможно, для выработки наиболее подходящего стандартного определения следует обратиться к опыту международных организаций. Одним из серьезных шагов направленных на урегулирование этой проблемы явилось принятие Советом Европы 23 ноября 2001 года Конвенции по борьбе с киберпреступлениями. Из-за возникновения данной проблемы Совет Европы, подготовил и опубликовал проект Конвенции по борьбе с преступлениями в киберпространстве еще в начале 2000 года. Данный документ стал первым международным соглашением по юридическим и процедурным аспектам расследования и криминального преследования киберпреступлений.
Конвенцией по борьбе с киберпреступностью предусмотрены скоординированные действия на национальном и межгосударственном уровнях по пресечению несанкционированного вмешательства в работу компьютерных систем, незаконного перехвата данных и вмешательства в компьютерные системы. Согласно этой Европейской Конвенции по киберпреступлениям, киберпреступления – это правонарушения, направленные против конфиденциальности, целостности и доступности компьютерных систем, сетей и данных, а также неправомерное использование указанных систем, сетей и данных. Киберпреступления могут определяться как подкатегория компьютерной преступности. Термин подразумевает преступления, совершенные с использованием сети Интернет или иной компьютерной сети, как компонента преступления.
Киберпреступления: криминалистическая характеристика и особенности расследования
Если вирусная программа используется в личных целях, уголовная ответственность отсутствует. Лицо не может подвергаться наказанию при отсутствии объективной стороны. При отсутствии доказательств, что программное средство имеет признаки вредоносности, дело подлежит прекращению.
Наиболее распространенной категорией преступления являются действия, квалифицированные ст. 272 и ст. 273 УК РФ:
- хищение денежных средств в онлайн-банке;
- хищение с пластиковой карты.
При неправомерном доступе к файлам использовалась вирусная программа, были скопированы пароли — действия верно квалифицированы по ст. 273 УК РФ и ст. 183 УК РФ.
Основные методы устранения преступлений в информационной сфере следующие:
- Совершенствование законодательства, принятие новых актов, связанных с информационной безопасностью.
- Применение организационных и инструментально-технических методов для защиты информации.
- Подготовка специалистов и организация служб, действия которых направлены на защиту информации в интернете.
- Создание определенных организаций, фондов и консультационных служб по проблемам безопасности в сфере информационных технологий.
- Предупреждение пользователей о возможных проблемах, связанных с информационной безопасностью и их последствиями, изучение гражданами определенных правовых норм.
Из этого можно сделать вывод, что технические методы, такие как шифрование и прочее, являются лишь меньшей частью от общего комплекса мер, связанных с информ. безопасностью.
Важно делать уклон на изучение гражданами законодательства, касающегося преступлений в информационной среде. Необходимо через СМИ доносить до пользователей важную информацию по этому поводу.
Нормы и правила содержатся в законах, инструкциях, ГОСТах, соглашениях и определяют информационную безопасность. Последствия нарушения правил хранения, использования, передачи информации аналогичные предыдущим статьям — вред потерпевшему в виде утраты информации, нарушения секретности данных, блокирования и изменения объема. По первой части статьи 274 УК РФ предусмотрен срок наказания до 2 лет, при условии причинения крупного ущерба. Субъективная сторона состава характеризуется двумя формами вины.
| Форма | Описание |
| Умысел | Действия направлены на нарушение правил, закрепленных в официальных документах, для достижения преступной цели. Преступник знает законные правила и сознательно нарушает их, чтобы получить результат. |
| Неосторожность | Действия характеризуются нарушением правил. За этим следует причинение потерпевшему вреда в результате халатного отношения к обязанностям. Не имеет значения причина халатного отношения. Юридическое значение имеет установление факта нарушения норм и наступление вредных последствий. |
Квалифицирующим признаком второй части статьи является причинение или угроза причинения тяжких последствий. Максимальный срок лишения свободы может быть назначен до пяти лет.
Ошибки следствия и суда при привлечении к ответственности и квалификации действий приводят к прекращению уголовных дел и освобождению от ответственности виновных.
Виновный осужден по ст. 272 УК РФ за доступ к официальной информации и причинение ущерба организации. Вышестоящий суд отменил приговор, указав, что к ответственности привлекается специальный субъект — лицо, которое имеет законный доступ к ЭВМ и информационной системе. Негативные последствия наступили в результате невыполнения инструкций по безопасности и халатного отношения к обязанностям. Действия необходимо квалифицировать по ст. 274 УК РФ.
Совокупность потребностей, удовлетворение которых обеспечивает существование и возможность прогрессивного развития каждого гражданина, общества и государства — это часть национальных интересов, без реализации которых невозможно обеспечить стабильное состояние государства и общества, а также нормальное развитие страны как независимого субъекта международных отношений. Все защищаемые интересы в информационной сфере подразделяются на интересы личности, государства, общества. Проблема киберпреступности в настоящее время затрагивает как и целые государства так и отдельных личностей.
Исходя из вышеизложенного, можно сделать вывод, что противодействие киберпреступности- это часть национальных интересов
На рисунке 1.1 продемонстрирована система противодействия киберпреступности.
Рис.1.1 Контроль над киберпреступностью
В данной главе проведена классификация источников угроз в киберпреступности, классификация киберпреступности по способу воздействия, по наличию насилия и по размеру вреда. На основе проведенной классификации, можно построить функциональную модель киберпреступлений.
киберпреступление компьютерный модель
3. Модели киберпреступлений
В этой главе поэтапно описаны действия киберпреступника, проведено моделирование киберпреступления в общем и в частных порядках.
Вполне очевидно, что все киберпреступления совершаются по какой-то определенной модели, что существуют определенные этапы, через которые обязательно необходимо пройти злоумышленнику при совершении противоправных действий (например, изучение объекта атаки, получение доступа к объекту, кража информации и заметание следов).
Все модели совершения киберпреступлений в общей части содержат три этапа: изучение жертвы, атака на жертву и сокрытие следов киберпреступления. Каждый из этапов содержит по три стадии: рекогносцировка, сканирование, составление карты, получение доступа к системе, расширение полномочий, кража информации, уничтожение следов, создание «черных ходов» и отказ в обслуживании. Однако у всех имеющихся моделей киберпреступлений имеется множество недостатков, касающихся отображения процессов формирования связей, управлений и механизмов, а также среды их возникновения.
Разработка этого материала стимулировалась отделом «К» МВД РТ и руководителем дипломного проекта. По вопросу моделей киберпреступлений очень мало материала, как российских, так и зарубежных авторов, кроме того, данный материал предназначен только для служебного пользования. Методы создания моделей МВД РТ полностью не раскрывает.
Поскольку после каждого шага злоумышленника рождаются все новые следы, ущерб соответственно становится специфическим. Тщательно исследуя ущерб и проводя обратные действия с объектом атаки, возможно реконструировать само киберпреступление буквально по шагам.
Так, например, если в ходе анализа узнается, что злоумышленник периодически похищал конфиденциальную информацию с закрытого источника в сети, становится очевидным, что он не мог провернуть этого без первоначального получения доступа к сети объекта, без увеличения полномочий в данной сети, без сканирования информационных ресурсов и без зомбирования объекта (исключения составляют инсайдеры). Информация обо всем этом непременно должна остаться в файловых журналах серверов, тщательное изучение которых вполне может указать непосредственно на злоумышленника.
Если в ходе изучения фактов узнается, что особо ценная информация уничтожена общеизвестными вредоносными программами, которые не могли проникнуть на объект, вследствие наличия на последнем межсетевого экрана, то необходимо уделить особое внимание открытым каналам передачи данных (флеш-накопители, компакт-диски и т.п.), а также произвести поиск приватных кодов. Подозрения могут в этом случае пасть на упакованные исполняемые файлы в системных папках операционной системы, которых просто там быть не должно.
Или, например, если становится известным, что злоумышленник модифицировал данные в определенной базе данных, то стоит уделить внимание модифицированным в этот период записям, в результате чего можно определить круг учетных записей, под которыми был получен несанкционированный доступ. Также стоит уделить внимание системным журналам базы данных, в которых может остаться информация о том. под какой учетной записью пытался получить доступ злоумышленник и был ли пароль взломан грубым перебором или был уже заранее известен. Из анализа проведенных злоумышленником изменений можно определить уровень его познаний в области этой базы данных и сузить крут подозреваемых лиц.
Только четкое представление проводящего анализ специалиста о том, что все кибепреступления совершаются в определенной последовательности, а также о том, какие следы рождаются в процессе информационного взаимодействия на разных стадиях, позволят ему взглянуть на имеющиеся факты получения несанкционированного доступа к охраняемой информации комплексно и адекватно.
3.1 Общая модель совершения киберпреступления
Рис.3.1 Моделирование кибепреступления
В качестве «нулевого» приближения для моделирования выбрана схема действий для совершения киберпреступлений предложенная зарубежными исследователями Макклуре С. Скембрэй Дж., Курти Дж.[13]. Поэтапно описано функционирование схемы, рассмотрены методы прохождения стадий.
рис.3.2 Функциональная модель киберпреступления
3.1.1 Информационный обмен
Информационный обмен является необходимым динамическим компонентом информационной системы.
Информационный обмен состоит из нескольких стадий: обмен данными, рекогносцировка, сканирование, составление карты.
На стадии обмена данными злоумышленник узнает о существовании объекта атаки, у него появляется мотив для совершения преступления, а также формируются цели и перечень задач. Математическая зависимость информационного обмена может быть представлена: А1 =
Рис. 3.3 Этап информационного обмена
Прежде чем злоумышленник добьется успеха, он должен пройти все эти этапы. Рассмотрим подробно каждый из этапов[13].
Рекогносцировка т.е. искусство сбора информации о цели. Преступники не начнут грабить банк с того, что просто зайдут и потребуют деньги. Предварительно преступники соберут информацию о банке: маршруты бронированных инкассаторских машин, время перевозки денег, расположение видеокамер, количество кассиров, запасные выходы и все прочее, что необходимо знать для успешного осуществления преступной авантюры.
То же самое справедливо для нападающих на компьютерные системы. Злоумышленникам нужно собрать множество информации, чтобы произвести хирургически точную атаку (ту, которая не будет мгновенно перехвачена). В силу этого атакующие должны собрать максимально возможное количество информации обо всех аспектах компьютерной защиты организации. Сбор сведений завершается составлением карты потенциальных зон поражения, т.е. профиля имеющихся подсистем Интернета, удаленного доступа, интрасети и экстрасети. Придерживаясь структурированной методологии, атакующие могут систематически извлекать информацию из множества источников для составления точной карты зон поражения любой организации.
Систематическая рекогносцировка организации позволяет атакующим создать подробный профиль состояния ее компьютерной защиты. Комбинируя различные средства и технологии, злоумышленники могут выяснить для неизвестного объекта набор доменных имен, сетевых блоков и индивидуальных IP-адресов систем, непосредственно подключенных к Интернету. Существует множество методов разведки, но все они направлены в основном на поиск информации, связанной со следующими технологиями: Интернет, интрасеть, удаленный доступ и экстрасеть. В таблице 1.1 показаны технологии и информация, которую пытается найти любой атакующий.
Таблица 3.1 Технологии и основные сведения, выявляемые атакующими.
|
Технология |
Идентифицируются |
|
Интернет |
Доменные имена Блоки сетевых адресов Конкретные IP адреса систем, доступных из Интернета Службы TCP и UDP, работающие на каждой идентифицированной системе Системная архитектура (например, SPARC или X86) Механизмы управления доступом и соответствующие списки управления доступом (ACL) Системы обнаружения вторжения (IDS) Перечень характеристик системы (имена пользователей и групп, системные заголовки, таблицы маршрутизации, информация SNMP) |
|
Интрасеть |
Используемые сетевые протоколы (например, IP, IPX, DecNET и т.д.) Имена внутренних доменов Блоки сетевых адресов Конкретные IP-адреса систем, доступных через интрасеть Службы TCP и UDP, работающие на каждой идентифицированной системе Системная архитектура (например, SPARC или Х86) Механизмы управления доступом и соответствующие списки управления доступом (ACL) Системы обнаружения вторжения IDS Перечень характеристик системы (имена пользователей и групп, системные заголовки, таблицы маршрутизации, информация SNMP) |
|
Удаленный доступ |
Аналоговые/цифровые телефонные номера Тип удаленной системы Механизмы аутентификации |
|
Экстрасеть |
Источник и точка назначения соединения Тип соединения Механизм управления доступом |
Исходя из вышеизложенного, полагаем, что при формулировании понятия следа в компьютерной криминалистике следует исходить из следующих методологических предпосылок: – след – это отражение деятельности киберпреступника; – след – интегративная система, отражающая особенности личности кибер-преступника, процесса или действия компьютерной системы при совершении ки-берпреступлений; – след как процесс и результат взаимодействия субъекта с объектом находит свое отражение как на материальных объектах, так и в сознании людей, а также и в киберпространстве.
Предлагаемый подход позволил определить след как интегративную информационную систему, отражающую деятельность личности киберпреступника, иных участников преступления в киберпространстве, окружающем мире и в сознании людей. Сформулированное в таком виде понятие следа позволяет, по нашему мнению, охватить всё многообразие следов, возникающих при совершении киберпреступления.
Анализ специальной литературы, проведённый соискателем, свидетельствует о том, что в криминалистике не существует единой (общепризнанной) классификации следственных действий, так как авторы рассматривают сущность следственных действий и классифицируют их по различным основаниям. Но, даже классифицируя следственные действия по одному основанию, авторы приводят различное число классификационных признаков.
Так, например, классификация следственных действий при расследовании киберпреступлений на вербальные и невербальные, на наш взгляд, является недо 64 статочной, т. к. в данную классификацию необходимо включить также отдельные следственные действия, направленные на получение виртуальной информации.
Впервые приведённое основание классификации следственных действий выделил в своём диссертационном исследовании Д. С. Хижняк1, который отмечает, что в этих классификациях учёные не учитывают следственных действий, направленных на получение широко распространённой в настоящее время виртуальной информации (информации, находящейся на жёстких дисках компьютеров и дискетах, психофизиологических и иных проявлений человека в тех или других ситуациях расследования преступлений). Поэтому им было предложено выделить следственные действия, направленные на получение виртуальной информации.
Исходя из вышеизложенного, при расследовании киберпреступлений с учётом разработки тактических приёмов следственных действий необходимо проводить их классификацию по следующим основаниям: вербальные следственные действия (допрос; очная ставка); невербальные следственные действия (осмотр места происшествия; осмотр предметов на наличие материальных следов; назначение судебных экспертиз); следственные действия, направленные на получение виртуальной информации (осмотр носителей электронной информации на наличие виртуальных следов; следственный эксперимент; обыск, выемка носителей электронной информации; назначение компьютерно-технической экспертизы).
Как заметил Р. С. Белкин, тактику того или иного следственного действия образует система тактических приёмов2. В. П. Бахин, также отметил, что сутью следственного действия являются тактические приёмы и рекомендации.
Тактический приём – это наиболее рациональный способ действий либо наиболее целесообразная линия поведения следователя в процессе собирания, исследования и использования доказательственной информации. Тактическая рекомендация представляет собой результат развития науки и передовой практики, сформулированный в виде программы наиболее организованного и тактически целесообразного производства действий следователя по получению, исследованию и использованию доказательственной информации.
Основываясь на вышеприведённых подходах, можно сделать вывод, что основной сутью тактики производства следственного действия является тактический приём.
Выбор тактических приёмов, применяемых в производстве следственных действий при расследовании киберпреступлений, учитывая специфику их совершения и расследования, имеет свои особенности.
Для применения тех или иных тактических приёмов следователь должен обладать знаниями компьютерной криминалистики. Вместе с тем, одной из проблем расследования киберпреступлений является недостаточная компетентность лиц, которые занимаются их выявлением и раскрытием.
Так, например, результаты проведённого опроса следователей1 свидетельствуют о том, что у 95 % следователей имеет только юридическое образование, другую дополнительную подготовку они не имеют. И только 5 % из числа опрошенных имели ещё и образование по специальности «Информатика и вычислительная техника». Вместе с тем, 63 % респондентов оценивают свой уровень владения персональным компьютером как «среднего пользователя», 37 % считают, что они обладают знаниями «продвинутого пользователя». 78,9 % опрошенных следователей назвали источником своих знаний ПК – самообразование, 10,6 % – курсы повышения квалификации работников правоохранительных органов, 5,2 % – коммерческие курсы, 5,3% — специальное образование.
Большинство следователей (дознавателей) отметили, что имеющихся знаний для расследования киберпреступлений им зачастую недостаточно. Для решения данной проблемы, по мнению опрошенных, необходимо проведение их обучения по расследованию данной категории преступлений, а также организация семинаров, по-свящённых изменениям, происходящим в сфере компьютерных технологий.
Тактика производства невербальных следственных действий при расследовании киберпреступлений
При необходимости ситуалогическая экспертиза может проводиться как в лабораторных условиях, так и в «полевых» условиях (на месте происшествия) – если для этого имеются все необходимые условия, технические средства и соответствующая обстановка. Востребованность ситуалогической (ситуационной) экспертизы возникает в случаях установления сложного механизма совершения киберпреступления.
Особенности объекта и предмета рассматриваемого вида экспертизы предполагают применения интегрированных методов экспертного исследования и экспертных методов, что требует разработки и создания и специальной методики (частной экспертной методики1), которая могла бы отразить сложный характер экспертизы, предполагающей объединение специальных знаний, сосредоточенных в других видах экспертиз. Все эти теоретические и практические подходы необходимо адаптировать к особенностям объединённой методики, сформулировать общие принципы, возможно, создать специальные методы и средства, обеспечивающие эффективное производство экспертизы и высокое качество получаемых результатов.
Очевидно, что системы и механизмы преступной деятельности чрезвычайно сложны и многообразны. Отсюда методика проведения экспертного исследования места происшествия должна воплощать в себе общетеоретическое понимание того факта, что преступная деятельность изобретательна и многовекторна. Движения, средства, процессы, цели, мотивы индивидов преступного мира так или иначе отображаются во всей совокупности в тех объектах, состояние которых ими изменено. В свою очередь вторичное, изменённое отображение информации, заключённое в первичных отображениях, и образует след.
Методикой ситуационной (ситуалогической) экспертизы обеспечивается проведение различных исследований на разных структурных уровнях. Ею могут быть исследованы как отдельные объекты, так и их совокупности, в том числе материальные отображения вещной обстановки места происшествия в целом.
При производстве осмотра места происшествия реально получить информацию о личности киберпреступника. Важно подчеркнуть, что именно первая информация, которую получают в ходе осмотра места происшествия, – это информация о личности преступника.
При совершении преступления вопреки воле преступника, как отмечает В. И. Комиссаров, создаётся информационная система, включающая различные материальные и идеальные источники. Причём преимущество материальных следов («немых свидетелей») значительно выше идеальных следов, что объясняется их беспристрастностью, невозможностью их изменения со стороны заинтересованных лиц путём подкупа, шантажа, давления и других незаконных действий, используемых по отношению к участникам уголовного процесса – свидетелям и потерпевшим, к одним из носителей идеальных следов.
В этих условиях особое место в доказывании занимают следственные действия, связанные с обнаружением материальных следов преступления. В иерархии этой группы следственных действий безусловная превалирующая роль принадлежит осмотру места происшествия1.
Источниками доказательственной информации при следственном осмотре могут служить: а) обнаруженные материальные следы преступления; б) иные объекты, обнаруженные при осмотре; в) обстановка места происшествия, помещения, участка местности или иного объекта; г) другие обстоятельства, выявленные при осмотре и имеющие значение для дела.
Не менее важное значение, особенно на первоначальном этапе расследования преступлений, как подчёркивает И. А. Макаренко2, имеет ориентирующая информация, полученная во время проведения следственного осмотра. Она является ос 116 нованием для выдвижения версий о характере расследуемого события, о способе, мотивах, психических и физических свойствах предполагаемого преступника, его эмоциональном состоянии и т. д. Имея представление о способе совершения преступления, можно вынести обоснованные суждения о личности преступника, поскольку способ реализации противоправного деяния раскрывает личностные физические и психорактерологические свойства и качества индивида (физическую силу, навыки, умения, привычки, опыт, характер и др.), с одной стороны, и его социально обусловленное положение (потребности, интересы, материальная обстановка, социальное окружение, среда и др.), с другой стороны, объективно детерминирующие принятие решения о правонарушении и способе действий по достижению преступной цели1.
Как бороться с кибер-преступностью
Похоже, в современную эпоху развития технологий хакеры захватывают наши системы, и никто не может чувствовать себя в безопасности. Среднее время реакции, или время, необходимое компаниям для обнаружения кибер-нарушения, составляет более 200 дней. Большинство пользователей Интернета не задумываются о том, что их могут взломать, и многие редко меняют свои учетные данные или пароли. В результате этого многие люди становятся восприимчивыми к кибер-преступности, а потому крайне важно быть информированными. Обучите себя и других превентивным мерам, которые вы можете предпринять, чтобы защитить лично себя или свою компанию.
- Будьте бдительны при просмотре веб-сайтов.
- Отмечайте и сообщайте о подозрительных электронных письмах.
- Никогда не нажимайте на незнакомые ссылки или объявления.
- Используйте VPN везде, где это возможно.
- Убедитесь в безопасности веб-сайта прежде, чем вводить на нем свои учетные данные.
- Регулярно обновляйте ваш антивирус и другие программы на своих устройствах.
- Используйте сложные пароли с более чем 14 символами.
Киберпреступность: история развития, проблемы практики расследования
Ю. Аги-баловым, М. А. Бабаковой, В. Б. Веховым, А. С. Вражновым, А. А. Васильевым, Ю. В. Гаврилиным, В. В. Крыловым, А. А. Косынкиным, В. А. Мещеряковым, В. В. Поповой, Д. А. Илюшиным, В. В. Степановым, А. И. Семикале-новой, А. И. Усовым и другими учёными1.
Стоит без преувеличения сказать, что жизнь большинства из нас храниться в компьютерах: списки родственников, друзей и знакомых, наши видеозаписи и фотографии, сведения о том, где мы были, что нам нравится и не нравится, наши тайны и секреты.
Стратегические цели в области охраны правопорядка обусловливаются существующими угрозами и соотносятся с более долгосрочными задачами в сфере правоохранной деятельности с упором на коренные причины и обстоятельства совершения тяжкого преступления. В уже упомянутом примере Koobface команда безопасности Facebook провела подобное исследование и опубликовала имена, фото и прочие данные людей, которые подозревались в совершении атаки. Эти имена были выданы прессе в рамках операции Name-and-shame («Назвать и опозорить»).