Изложенное применимо и для компьютера, получающего электронную почту.
Если выемка электронной почты определенного лица или организации производится у оператора связи (на почтовом сервере отправителя или получателя) действовать следует иначе.
В договорах о предоставлении услуг коммутируемого доступа в Интернет, как правило, имеется пункт, согласно которому провайдер обязуется предпринимать общепринятые в Интернете технические и организационные меры для обеспечения конфиденциальности информации, получаемой или отправляемой абонентом. Доступ третьим лицам к информации, получаемой или отправляемой абонентом, обеспечивается исключительно в соответствии с законами Российской Федерации.
Согласно ч. 2. ст. 23 Конституции РФ, каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.
Анализ текста Федерального закона от 01.01.01 г. «О связи» (с изм. от 8 января, 17 июля 1999 г.) позволяет сделать вывод, что под иными сообщениями законодатель имеет в виду в том числе и информацию, хранимую, обрабатываемую и передаваемую по сетям электронной связи в виде последовательностей аналоговых или цифровых сигналов. Это могут быть факсимильные, компьютерные, пейджинговые, телерадиовещательные сообщения. Таким образом, тайна сообщений, передаваемых посредством обмена информацией между ЭВМ, также охраняется Конституцией Российской Федерации.
Следует согласиться с мнением и , считающих, что действия по изъятию электронной почты, адресованной абоненту, у оператора связи, каковым является провайдер, фактически попадают под выемку почтово-телеграфной корреспонденции и должны осуществляться в соответствии со ст. 185 УПК РФ[15].
Целями подобной выемки являются: получение доказательственной и иной информации, имеющей значение для расследования; предотвращение обмена информацией определенных лиц между собой; обеспечение тайны следствия. Для этого прежде всего, необходимо выяснить, услугами какого провайдера пользуется лицо, чья электронная корреспонденция подлежит выемке. Это можно сделать, определив телефонный номер провайдера, с которым связывается абонент (для передачи электронных сообщений в России преимущественно используются телефонные каналы связи). Вместе с тем следует учитывать, что для доступа к серверу провайдера абонент может использовать не только свой, но и любой другой телефонный номер.
Другим способом является направление запросов провайдерам, действующим в регионе, где проживает интересующее следствие лицо, о том, есть ли на принадлежащем им сервере электронный почтовый ящик данного гражданина.
Таким образом, необходимую информацию можно получить, узнав адрес электронной почты пользователя.
Информация об адресе электронной почты нередко содержится в папках официальных бланков юридического лица, визитных карточках и т. д.
Структура адреса электронной почты состоит из: dsk - идентификатора пользователя или, иначе говоря, имени пользователя, написанного буквами латинского алфавита. Обычно это либо первые буквы Ф. И.О. в любом порядке следования, например, d_volkov, - имя и фамилия либо наоборот, сетевые прозвища (neo, angel, layer) и др., - для бесплатных почтовых серверов. Для почтовых ящиков, предоставляемых по заключаемому договору на сервере провайдера они (имена) иногда назначаются провайдером. Как правило, это имя пользователя для входа в Интернет. Второй элемент - м***** - доменный адрес почтового сервера нахождения электронного почтового ящика, т. е. места, где находится почтовый ящик. Местами нахождения могут быть:
1) почтовые ящики, выделяемые по договору провайдером на его сервере, как правило, этот сервер находится по месту нахождения провайдера;
2) почтовые ящики, находящиеся на бесплатном почтовом сервере и имеющие своего владельца, реквизиты которого, как правило, указаны на главной веб-странице этого сервера внизу страницы. Главная (или стартовая) веб-страница сервера - это та страница, которая открывается первой после входа на сервер (т. е. непосредственно после введения адреса, например, www. *****).
Итак, приняв решение о наложении ареста на электронную корреспонденцию и ее выемку, следователь или лицо, производящее дознание, в соответствии с ч.2 ст. 185 УПК РФ возбуждает перед судом ходатайство о наложении ареста на почтово-телеграфные отправления и производстве их осмотра и выемки, путем вынесения мотивированного постановления.
Согласно ст. 185 ч. 3 УПК РФ в ходатайстве следователя о наложении ареста на почтово-телеграфные отправления и производстве их осмотра и выемки указываются:
1) фамилия, имя, отчество и адрес лица, почтово-телеграфные отправления которого должны задерживаться;
2) основания наложения ареста, производства осмотра и выемки;
3) виды почтово-телеграфных отправлений, подлежащих аресту (отправления электронной почты);
4) наименование учреждения связи (провайдера или владельца бесплатного почтового веб-сервера), на которое возлагается обязанность задерживать соответствующие почтово-телеграфные отправления.
По результатам рассмотрения ходатайства судья выносит постановление о наложении ареста на электронную корреспонденцию или об отказе в этом.
После этого постановление судьи направляется соответствующим организациям или лицам, предоставляющим услуги доступа в информационные сети, через которые доставляется электронная почта.
Согласно данному постановлению, указанным лицам или организациям предлагается заблокировать доступ определенного субъекта и обеспечить хранение адресованной ему электронной почты с сохранением режима конфиденциальности и целостности. Аналогичное распоряжение может быть отдано и относительно исходящей корреспонденции. Можно предложить задерживать только электронную корреспонденцию, поступающую с определенных серверов или от определенного лица.
Наибольшие затруднения возникают при наложении ареста на исходящую электронную корреспонденцию, представляющую для следствия главный интерес. Лучше всего попытаться установить адресата, с которым интересующее следствие лицо ведет переписку, и наложить арест на корреспонденцию, поступающую на имя этого адресата от данного лица.
Осмотр, выемка и распечатка отправлений электронной почты производятся следователем в помещении, в котором находится компьютер, содержащий отправления электронной почты, с участием понятых из числа работников организации или лица, предоставляющего услуги доступа в информационные сети (ст. 185 ч. 5 УПК РФ).
В случаях отсутствия необходимых знаний в области компьютерных технологий следователь в порядке ст. 168 УПК РФ вправе привлечь специалиста для участия в осмотре и выемке отправлений электронной почты.
Также может быть привлечен переводчик.
Участников следственного действия целесообразно предупредить об уголовной ответственности за разглашение данных предварительного расследования.
В зависимости от складывающейся следственной ситуации и содержания задержанной электронной корреспонденции, последняя должна быть изъята путем копирования содержимого электронного почтового ящика абонента на магнитные носители компьютерной информации (диск, флэш-карту и др.). Также следует сделать ее распечатку.
Ход и результаты выемки оформляются протоколом, который составляется в соответствии с требованиями УПК РФ в каждом случае осмотра отправлений электронной почты порядке ст. 166 УПК РФ. В нем, помимо обязательных элементов, указывается, кем и какие отправления электронной почты были подвергнуты осмотру, скопированы, отправлены адресату или задержаны. Все сделанные в ходе осмотра и выемки распечатки подписываются понятыми и приобщаются в качестве приложений к протоколу выемки. В соответствии со ч.3 ст. 177 УПК РФ следователь вправе производить осмотр не только в месте производства следственного действия, но и по месту производства следствия, если для осмотра потребуется продолжительное время или осмотр на месте затруднен. В этих случаях в протоколе указываются первые слова текста, последние фразы, отмечается, что данное сообщение скопировано на электронный носитель, указывается ее внешний вид, способ упаковки, вид и текст оттиска печати. Последующий подробный осмотр изъятой корреспонденции проводится по месту проведения следствия с участием понятых (по возможности тех же) и отражением в протоколе сохранности печати и удостоверительных подписей на упаковке, в которую были помещены машинные носители компьютерной информации. В случае, если после осмотра следователь придет к выводу о нецелесообразности препятствовать переписке, он может дать указания о направлении ее соответствующему адресату, а также вовсе отменить арест, при этом одновременно уведомляются суд, принявший решение о наложении ареста и прокурор.
ТЕМА 4. ФИКСАЦИЯ ИЗЪЯТОЙ ЭЛЕКТРОННОЙ ИНФОРМАЦИИ ПО РЕЗУЛЬТАТАМ СЛЕДСТВЕННЫХ ДЕЙСТВИЙ
Контрольные вопросы
1. Понятие, криминалистическая классификация и типичные признаки подделки электронно-цифровых ключей.
2. Средства защиты электронной информации.
3. Система сертификации средств защиты информации.
4. Электронно-цифровой ключ, их виды.
5. Способы подделки электронно-цифровых ключей.
6. Электронная подпись: понятие и особенности криминалистического исследования.
7. Исследование электронных-цифровых следов в процессе раскрытия и расследования компьютерных преступлений.
Фиксация изъятой электронной информации - одна из важнейших в комплексе проблем, связанных с изучением и использованием закономерностей собирания доказательств - базовой стадии процесса доказывания.
В употреблении термина, обозначающего понятие фиксации, имеются различия. В процессуальной литературе чаще говорят о «закреплении доказательств», об их «процессуальном оформлении». В криминалистическом аспекте акцент делается на указании объектов фиксации - преимущественно материальных, и применительно к совершенным компьютерным преступлениям - электронных образований, а также на средствах и методах фиксации. Это понятие и рассматривается чаще всего применительно к конкретному виду объектов фиксации.
Формулирование понятия «фиксация доказательств» требует его анализа. С гносеологической точки зрения, зафиксировать доказательство - значит дать максимально полное представление о нем, адекватно передать те его свойства и признаки, которые, собственно, и делают его доказательством. Полнота этого процесса зависит от его условий и средств отражения, а также от тех целей, которые преследует субъект отражения. Поэтому при фиксации отражение имеет избирательный характер; отражается только то и в таком объеме, что представляется необходимым для данного объекта.
1. Понятие, криминалистическая классификация и типичные признаки подделки электронно-цифровых ключей
Электронно-цифровые ключи являются неотъемлемым элементом любой современной системы контроля доступа. Электронно-цифровые ключи применяются во многих системах: домофонах, охранных сигнализациях, «электронных проходных» и других системах контроля доступа.
Электронно-цифровой ключ - это, по существу, специализированная микросхема с запрограммированным в нее индивидуальным электронным кодом. Такая микросхема при производстве ключа устанавливается в специальный корпус. Разновидностей таких корпусов довольно много: металлические «таблетки» в пластмассовом держателе, пластмассовые брелки разнообразных видов и пропорций, браслеты для ношения на руке. Электронные ключи могут различаться следующими характеристиками:
1. Объемом и форматом передаваемой кодовой посылки (алгоритм кода, записанного в микросхему).
2. Методом передачи кодовой посылки: различают контактные ключи (необходимо приложить ключ к специальному считывателю) и бесконтактные (такие ключи срабатывают по радиоканалу на определенном расстоянии от считывателя).
3. Типом корпуса: существует большое количество разнообразных видов брелков, «таблеток», «пластинок», «меток» и т. п.
Для применения электронных ключей в составе системы контроля доступа необходимы следующие блоки:
- считыватель ключей (служит для считывания ключа);
- контроллер с электронной энергонезависимой памятью - это главный узел системы контроля доступа (запоминает и хранит коды всех «своих» электронных ключей и производит идентификацию считанного ключа, а также отдает сигнал исполнительному устройству - чаще всего электрическому замку);
- блок питания (подает необходимое напряжение питания на считыватель и контроллер).
При нарушении авторских и смежных прав в отношении программ для ЭВМ и баз данных преступниками подделывается такое их средство технической защиты, как электронно-цифровой ключ (далее - ЭЦК). Он используется исключительно для защиты электронного документа от неправомерного использования и ознакомления с его содержанием.
Электронно-цифровой ключ, так же, как и обычный - металлический, используется в совокупности с запирающим устройством замком. Роль замка выполняет специальная служебная программа для ЭВМ - драйвер ЭЦК. При попытке запуска защищенной программы на исполнение или создания и запуска ее копии драйвер прерывает исполнение этого процесса, обращается к коммутационному порту ЭВМ, проверяет наличие в нем ЭЦК, сверяет его программный код со своим и, в случае совпадения, возобновляет прерванный ранее процесс.
Таким образом, применительно к технической стороне вопроса электронно-цифровой ключ - это совокупность знаков, значение которых система использует для определения того, должен ли защищенный ресурс быть доступным процессу, выдавшему данное значение ключа. Указанная совокупность знаков находится в электронно-цифровой форме на материальном носителе, в качестве которого выступает интегральная микросхема. Конструктивно она может быть оформлена в виде:
- обычного USB-накопителя данных (USB-ключ, подключаемый к стандартному USB-порту компьютера);
- специального переходного устройства в форме разъемной колодки, подключаемой к стандартному LPT- (COM) порту (LPT-ключ);
- уникального проводного переходного устройства, подключаемого к клавиатурному порту ПЭВМ и разъему провода клавиатуры (клавиатурный ключ).
В настоящее время наибольшее распространение получили следующие виды электронно-цифровых ключей и основанные на них программно-аппаратные средства защиты электронных документов:
- «HASP» (Hardware Against Software Piracy - аппаратное средство для защиты программного обеспечения от пиратов);
- «HardLock» (аппаратный замок);
- «IButton» (Intellectual Button - интеллектуальная кнопка).
Средство защиты электронных документов «HASP» состоит из таких компонентов, как:
- ключ электронной подписи;
- специальное программное обеспечение для адаптации защищаемого программного продукта к электронному ключу, инсталляции;
- драйверы защиты в компьютерной системе пользователя;
- кодирование данных и управление режимами работы ключа (локально или по сети ЭВМ с использованием электронной подписи);
- электронная инструкция пользователя, в которой изложены правила эксплуатации «HASP», порядок работы с ключом, схемы и методы защиты программ для ЭВМ и других электронных документов, способы обнаружения признаков подделки ключа и алгоритм действий пользователя в нештатных ситуациях.
Рассматриваемое средство защиты бесконфликтно работает с большинством современных ЭВМ и операционных систем, в связи с этим ключами «HASP» в настоящее время защищается более 2/3 коммерческих программ для ЭВМ, производимых и продаваемых на территории России.
Каждый ключ «HASP» содержит прикладную уникальную интегральную микросхему (Application Specific Integrated Circuit ASIC-чип) для работы в LPT- (COM-) порту системного блока ЭВМ или специализированный защищенный микроконтроллер для использования в USB-порту ПЭВМ. По своему строению эти микросхемы состоят из двух основных компонентов: крипто-процессора, используемого для кодирования и декодирования потоков данных, посылаемых защищенной программой ключу в процессе работы, и электрически стираемого программируемого постоянного запоминающего устройства (ЭСППЗУ), или «EEPROM-памяти» (Electrically Erasable Programmable Read-only memory - электрически стираемая программируемая только читаемая память), как его чаще всего называют. В ЭСППЗУ в электронно-цифровой форме записывается различная служебная информация, которая может быть многократно перезаписана и считана, а именно:
- серийный номер ключа;
- неизменяемый уникальный код пользователя ключа - комбинация из 5-7 букв и цифр (печатается также графическими знаками на этикетке и корпусе ключа);
- служебные программы - драйверы и приложения, обеспечивающие работу ключа (технологическую коммутацию, программно аппаратную адаптацию, шифрование/дешифрование данных и др.);
- информация пользователя ключа (режим доступа к защищенному электронному документу).
Объем памяти ключа составляет от 512 байт и выше. Микросхема выдерживает до 100 тыс. циклов перезаписи каждой ячейки памяти и гарантированно хранит записанную компьютерную информацию в течение не менее 10 лет.
Рассматриваемая технология позволяет «привязать» каждую копию электронного документа к конкретному ключу «HASP», контролировать процесс их распространения и использования, в том числе в сети ЭВМ.
Ключ «iButton» широко используется в различных автоматизированных системах безопасности, охраны объектов и имущества, требующих идентификации владельца или пользователя: в системах разграничения доступа к компьютерной информации, автоматизированных контрольно-пропускных пунктах (КПП), электронных замках и системах электронной цифровой подписи. Помимо охранных систем «iButton» может служить для идентификации пользователя в системах электронных расчетов, требующих наличия банковских карт.
Рассматриваемый ключ представляет собой миниатюрное электронное устройство, выполненное на базе интегральной микросхемы энергонезависимой памяти, в которой хранится личный идентификационный код пользователя. Герметичный металлический двухсегментный корпус в виде таблетки диаметром 16 мм и толщиной 3 либо 5 мм предохраняет ее от вредных атмосферных воздействий механических повреждений и влияния электромагнитных полей. Одновременно металлические сегменты являются электрическими контактами, с помощью которых микросхема подключается к считывающему устройству. Ключ не требует особых условий эксплуатации - температурный диапазон его полноценной работы колеблется от -40 до +80 градусов. Для удобства использования «таблетка» своим основанием впаяна в пластмассовый корпус - держатель, имеющий форму брелока для обычных ключей, с одной стороны которого находится «таблетка», а с другой - сквозное отверстие для его крепления на связке обычных ключей.
Каждому ключу при его изготовлении присваивается уникальный идентификационный номер, количество комбинаций которого достигает 256 триллионов: это исключает возможность его случайного подбора. Время гарантированного хранения идентификационной информации в памяти микросхемы ключа составляет более 10 лет.
Для обеспечения идентификации при работе с компьютером достаточно одного прикосновения к контактному устройству, чтобы пользовательский код считался из памяти «iButton» специальным считывающим устройством - считывателем (замком), поставляемым вместе с электронным ключом. Считыватель представляет собой контактное миниатюрное электронное устройство, конструктивно оформленное в пластмассовый корпус черного цвета круглой, квадратной или овальной формы. Он может быть настроен на кратковременное касание ключом либо на удержание (фиксацию) ключа. С помощью клеящейся подложки он крепится на корпус ЭВМ, автоматизированного КПП, входных (защитных) дверей охраняемых объектов, дверные косяки, стены, решетки ограждения либо механически встраивается в них. Через адаптер для порта RS-232 считыватель с помощью провода и набора стандартных разъемов подключается к соответствующему порту ЭВМ, системы ЭВМ или их сети.
По функциональному назначению ключи «iButton» подразделяются на три вида: электронный идентификатор (Touch Serial Number); электронный ключ с памятью (Touch Memory); электронный ключ с защищенной памятью (Touch MultiKey).
Итак, с криминалистических позиций электронно-цифровой ключ можно определить как программируемое электронное техническое устройство, изготовленное на базе интегральной микросхемы, содержащей в своей энергонезависимой памяти уникальный код доступа к охраняемой законом компьютерной информации, и являющееся одним из основных элементов программно-технического средства защиты информации.
Анализ материалов следственной практики позволяет выделить типичные способы подделки программно-аппаратных средств защиты, функционирующих на основе электронно-цифровых ключей. Приведем их с учетом степени распространенности:
1. Создание и (или) использование программной копии (эмулятора) ЭЦК.
2. Модификация (переработка) защищенной программы.
3. Комбинированный способ (комплексное использование способов первой и второй группы).
Создание или использование эмулятора - наиболее распространенный способ подделки ЭЦК. Он состоит в написании специальной программы для ЭВМ, которая полностью имитирует работу драйвера защиты и самого ЭЦК. Эмулятор осуществляет программную подмену драйвера ЭЦК, перехватывает обращения к нему защищенной программы и посылает ей правильные ответы по идентификации кода ключа, которого реально нет в порту ПЭВМ. Иными словами, это корректно созданная на программном уровне точная копия ЭЦК и его драйвера, которая вместе с защищенной программой записывается на один материальный носитель.
Алгоритм выявления признаков подделки ЭЦК:
1. Установить наличие работающей защищенной программы.
2. Установить наличие или отсутствие в порту ЭВМ (системы ЭВМ) ЭЦК.
3. Попытаться запустить защищенную программу без ЭЦК.
Алгоритм установления местонахождения эмулятора (поддельной программы) ЭЦК:
1. На машинном носителе, на котором находится защищенная программа, произвести поиск программы-эмулятора.
2. По всем реквизитам (название, объем, дата и логическое расположение на носителе) сравнить исполняемые файлы «взломанной» программы с аналогичными файлами защищенной программы-образцом.
3. По всем реквизитам сравнить драйвер ЭЦК «взломанной» программы с драйвером-образцом. Например, для ЭЦК «HASP» запустить оригинальный драйвер «install-info» (образец) и узнать версию драйвера ЭЦК «взломанной» программы; файлы haspnt.sys» (для ЭЦК «HASP»), «aksusb.sys», «hardlock.sys» и «hardlock.vxd» (для ЭЦК «HardLock) пореквизитно сравнить с оригинальными.
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 |
