4. По ключевым словам «emulator», «emu» и другим параметрам произвести поиск папки, в которой может находиться программа эмулятор.
5. Путем сканирования реестра операционной системы ЭВМ произвести поиск адресов местонахождения программы-эмулятора.
Модификация является вторым по степени распространенности в криминальной практике способом подделки ЭЦК. Он заключается в декомпилировании защищенной программы для ЭВМ, определении логики ее подключения к драйверу ЭЦК, отключении связей с ним и компилировании новых логических построений для корректной работы программы. Этот процесс крайне трудоемкий, поскольку фактически приходится произвести реинжениринг всей защищенной программы, а в некоторых случаях еще и драйвера ЭЦК. При этом нет гарантии того, что после выполнения таких операций «взломанная» программа будет работать.
Подчеркнем, что совершить указанные действия может лишь субъект, обладающий специальными знаниями в области программирования.
2. Электронная подпись: понятие и особенности криминалистического исследования
В настоящее время существует много способов, с помощью которых можно установить подлинность электронного документа и идентифицировать его автора. В рамках криминалистики наиболее перспективными из них являются исследование статичной электронной цифровой подписи (далее - ЭЦП) и исследование динамичной ЭЦП. В отличие от электронно-цифрового ключа, ЭЦП позволяет не только защитить электронный документ от подделки, но и установить лицо, его создавшее.
Анализ нормативно-справочной и специальной литературы показывает, что статичная ЭЦП активно используется для удостоверения и защиты документированной компьютерной информации уже более 20 лет. Технология ЭЦП была разработана для нужд министерства обороны и органов государственной безопасности.
Появившиеся в последние годы системы криптографической защиты от подделки обычных документов или ценных бумаг хотя и являются надежными способами пресечения ряда преступных посягательств, однако глобальная компьютеризация, возрастающая мощь ЭВМ и современные компьютерные программы содействуют противоправным посягательствам с использованием фальсифицированной ЭЦП.
Деятельность по выявлению преступлений в обозначенной сфере сопряжена значительными трудностями: отличием данного вида высокотехнологичных противоправных посягательств от «традиционных», сложностью и трудоемкостью решения поставленных задач. В связи с этим требуется применение совокупности мер оперативно-тактического характера, разработка нормативно-правовой базы, которая будет регулировать электронный документооборот в уголовно-процессуальном законодательстве, а также умение сотрудников полиции обнаруживать и фиксировать электронные следы преступлений.
По нашему мнению, успех борьбы с криминальными проявлениями в сфере использования электронных документов, заверенных ЭЦП, передаваемых через телекоммуникационную сеть, зависит от реализации целого комплекса методов по выявлению сведений о преступлениях, которые, как нам представляется, должны включать в себя следующие элементы:
1) действенную систему оперативно-розыскных мероприятий, позволяющих выявлять преступления в сфере высоких технологий;
2) разработанный порядок по организации преодоления противодействия расследованию, его последствий и привлечения причастных к нему лиц. Так, в частности, при подготовке к совершению преступлений, преступники в целях получения неправомерного доступа к ресурсам информационных сетей и конфиденциальным данным граждан могут использовать различные вредоносные программы, например «анонимизаторы», которые осуществляют переадресацию электронной почты, направляя ее с другого компьютера. Помимо этого преступники применяют «ремейлеры» для анонимной отправки почты, с целью обмена между собой паролями и материальными фиксаторами, через которые происходит доставка и передача алгоритмов криптошифрования, открытых или закрытых ключей ЭЦП;
3) систему организационно-методических мероприятий, проводимых работниками и различными службами организаций в целях выявления и предотвращения в системе движения электронных документов с привилегиями ЭЦП злоумышленной утечки информации через компьютерную сеть, а также правовую процедуру взаимодействия с правоохранительными органами в этих целях.
Проверка подлинности документа выполняется путем сканирования микроструктуры подложки документа, считывания записанной на ней информации и проверки ЭЦП изготовителя документа по открытому ключу. При этом изготовление поддельного документа на другой подложке (бланке), изменение его содержания либо содержания паспорта практически невозможны без знания закрытого ключа ЭЦП. Любая подделка или попытка фальсификации какого-либо реквизита документа будет обнаружена при считывании паспорта и ЭЦП, при сопоставлении паспорта с содержанием документа и проверки ЭЦП по открытому ключу.
Правовая база, открывшая возможность к более широкому применению ЭЦП в РФ, ведет свое начало с 10 января 2002 г., с введения Федерального закона «Об электронной цифровой подписи». В Федеральном законе электронная цифровая подпись определяется как «реквизит электронного документа, защищенный от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП, позволяющий установить отсутствие утраты, искажения или подделки содержащейся в электронном документе информации, а также обладателя электронной цифровой подписи».
Федеральный закон РФ № 63 от 6 апреля 2011 г. «Об электронной подписи» регулирует отношения в области использования электронных подписей (далее – ЭП) при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, совершении иных юридически значимых действий. В соответствии с этим законом электронная подпись определяется как «информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию». Кроме того, указанный нормативный акт регулирует использование различных видов электронных подписей, выдачу и использование сертификатов ключа подписи, проверку электронных подписей, оказание услуг удостоверяющих центров, а также аккредитацию удостоверяющих центров.
Несмотря на длительное использование ЭП для удостоверения и защиты документальных сообщений во многих сферах жизнедеятельности общества (оборона, военное строительство, дипломатия, экономика, управление и связь, судопроизводство и др.), законодательная база по обеспечению правовых условий ее применения стала формироваться только с 1995 г. - с момента принятия Федерального закона РФ от 01.01.01 г. № 24 «Об информации, информатизации и защите информации». Впоследствии он утратил силу в связи с принятием Федерального закона РФ № 000 «Об информации, информационных технологиях и о защите информации». Согласно ст. 1 ныне действующего закона, электронное сообщение, подписанное электронной цифровой подписью или иным аналогом собственноручной подписи, признается электронным документом, равнозначным документу, подписанному собственноручной подписью.
Таким образом, электронная подпись предназначена для идентификации лица, подписавшего электронный документ и является полноценной заменой (аналогом) собственноручной подписи в случаях, предусмотренных законом. Федеральный закон «Об электронной подписи» устанавливает следующие виды ЭП:
- простая электронная подпись (ПЭП);
- усиленная электронная подпись (УЭП);
- усиленная неквалифицированная электронная подпись (НЭП);
- усиленная квалифицированная электронная подпись (КЭП).
Использование электронной подписи позволяет осуществить:
- контроль целостности передаваемого документа: при любом случайном или преднамеренном изменении документа подпись станет недействительной, потому что вычислена она на основании исходного состояния документа и соответствует лишь ему;
- защиту от изменений (подделки) документа: гарантия выявления подделки при контроле целостности делает подделывание нецелесообразным в большинстве случаев;
- невозможность отказа от авторства, т. е. создать корректную подпись можно, лишь зная закрытый ключ, а он должен быть известен только владельцу, следовательно, владелец не может отказаться от своей подписи под документом;
- доказательное подтверждение авторства документа.
Так как создать корректную подпись можно, лишь зная закрытый ключ, а он должен быть известен только владельцу, то владелец пары ключей может доказать своё авторство подписи под документом. В зависимости от деталей определения документа могут быть подписаны такие поля, как «автор», «внесённые изменения», «метка времени» и т. д.
Анализ возможностей подделки подписей называется криптоанализ. Попытку сфальсифицировать подпись или подписанный документ криптоаналитики называют атакой.
В своих работах зарубежные исследователи Ш. Гольдвассер, С. Микали и Р. Ривест описывают следующие модели атак, которые актуальны и в настоящее время:
- атака с использованием открытого ключа, т. е. криптоаналитик обладает только открытым ключом;
- атака на основе известных сообщений, т. е. противник обладает допустимыми подписями набора электронных документов, известных ему, но не выбираемых им;
- адаптивная атака на основе выбранных сообщений, т. е. криптоаналитик может получить подписи электронных документов, которые он выбирает сам[16].
Кроме того, «…лица совершающие преступления в сфере высоких технологий, отличаются высоким интеллектуальным уровнем развития, способностью быстро и адекватно реагировать на всякое изменение обстановки…»[17]. В связи с этим способы и приемы подделки электронной подписи применяются ими посредством других вредоносных компьютерных программ, типа «троянских коней».
В арсенале хакеров есть множество способов, решающих задачу взлома с полной или частичной эффективностью достижения цели. Некоторые из них воздействуют на аппаратную часть защиты - электронный ключ, другие - на программные модули защиты, путем «вживления» в защищенную программу. Нередко взломщики комбинируют несколько различных методов, чтобы добиться максимальной результативности.
Рассмотрим наиболее распространенные способы взлома программно-аппаратной защиты и эффективные методы противодействия:
а) создание аппаратной копии электронного ключа. Воспользовавшись специальными программными или аппаратными средствами, хакеры считывают содержимое микросхемы памяти электронного ключа. Затем они переносят эту информацию в аналогичные микросхемы памяти других электронных ключей;
б) создание эмулятора электронного ключа. Хакер, изучив внутреннюю логику работы электронного ключа, создает некий программный модуль (DLL, драйвер и т. п.), который в той или иной степени воспроизводит (эмулирует) работу ключа. Качественно написанный эмулятор способен воспроизвести работу ключа во всех тонкостях, включая особенности протокола обмена с защищенной программой и генерацию верных ответов, идентифицирующих пользователя.
Создание эмуляторов электронных ключей - это мощный способ взлома программной и аппаратной защиты, получивший достаточно широкое распространение.
В настоящее время выделяют несколько основных элементов защиты электронной подписи.
Во-первых, это использование биометрических технологий для защиты электронной подписи. Защита электронной подписи с помощью биометрических методов реализуется в форме проверки личности непосредственно перед вводом подписи в систему. При этом сравниваются данные биометрической характеристики пользователя, полученные от датчика системы на момент проверки, с контрольным образцом этих данных, хранящимся на предъявленной пользователем микропроцессорной карточке. В результате проверки подтверждается, что лицо, предъявившее карточку, имеет законное право ее применения. Тем самым электронная подпись, введенная с этой карточки, также может считаться подлинной.
Во-вторых, применение цифровых водяных знаков, которые представляют собой специальные метки (графические или временные), внедряемые в файл, в цифровое изображение или цифровой сигнал в целях контроля их правомочного использования. Эти метки не должны восприниматься человеческим глазом или ухом.
В-третьих, преобразование изображения подписи или отпечатков пальцев в цифровой формат. Полученные данные зашифровываются в изображении - для этого на самой фотографии по специальному алгоритму изменяется расположение некоторых цветовых точек.
В завершение отметим, что в самое ближайшее время процессуальный порядок, связанный с использованием электронных документов, заверенных электронной подписью, в качестве доказательств по уголовным, гражданским и арбитражным делам, будут все более актуализироваться. Это объективно приведет к активизации научных исследований электронной подписи в области криминалистики и судебной экспертизы.
3. Типичные способы подделки электронных документов
и их признаки
Как было отмечено, электронные документы могут выступать средством и (или) предметом преступного посягательства. В таком виде они чаще всего и используются в качестве вещественных доказательств. В связи с этим, с криминалистических позиций способы подделки документов будут являться либо способом совершения преступления, либо его элементом.
Известно, что под способом совершения преступления понимают объективно и субъективно обусловленную систему поведения субъекта до, в момент и после совершения преступного деяния, оставляющего различного рода типичные следы, позволяющие с помощью криминалистических приемов и средств получить представление о сути происшедшего события, своеобразии преступного поведения правонарушителя, его отдельных личностных данных и определить оптимальные пути раскрытия, расследования и предупреждения преступления.
Применительно к обычным документам в криминалистике выделяют два основных способа их подделки:
- интеллектуальный - изготовление документа с подлинными реквизитами, но заведомо ложным содержанием. В этом случае по своему оформлению (набору реквизитов) документ формально отвечает всем установленным требованиям, но сведения, изложенные в нем, не соответствуют действительности. Такой документ называется подложным;
- материальный, при котором осуществляется частичная или полная подделка реквизитов документа. Частичная подделка заключается в изменении одного или нескольких реквизитов, при полной подделываются все реквизиты документа, такой документ называется поддельным.
Анализ зарубежной и отечественной специальной литературы и материалов конкретных уголовных дел позволяет выделить наиболее распространенные способы подделки электронных документов и их криминалистические значимые признаки.
1. Подмена данных на стадии оформления (генерации) электронного документа. Осуществляется путем внесения в программу для ЭВМ, базу данных, систему или сеть ЭВМ заведомо ложных сведений. На их основе формируется электронный документ установленной формы (формата), но с заведомо ложным содержанием. При этом следует различать:
а) полную подделку, когда документ изготавливается со всеми необходимыми реквизитами и с использованием стандартных программных средств, которые позволяют беспрепятственно внедрить его в соответствующей форме в компьютерную систему или сеть, например, скопировать в виде файла определенного формата непосредственно с мобильного машинного носителя (с компакт-диска, USB-драйвера, флэш-карты) на стационарный машинный носитель ЭВМ (жесткий магнитный диск («винчестер»), интегральную микросхему оперативной либо постоянной памяти) или дистанционно с одного машинного носителя на другой по сети ЭВМ или электросвязи;
б) частичную подделку, при которой электронная форма (бланк) документа, генерируемого соответствующей технологической программой для ЭВМ, базой данных или системой ЭВМ, заполняется сведениями, не соответствующими действительности, например, отличающимися от сведений, изложенных в первичных (исходных) документах, на основе которых формируется (генерируется) электронный документ. Это наиболее простой и поэтому часто применяемый преступниками способ подделки электронных документов.
Для установления подмены данных необходимо использовать три группы признаков:
1) порядок размещения в массиве документов;
2) формат записи документа;
3) основной текст документа.
Признаки размещения в массиве документов имеют значение в тех случаях, когда программа для ЭВМ, база данных, компьютерная система или сеть, в которую внедряется поддельный документ, оборудована автоматическими средствами логического учета (регистрации) входящих (копируемых в нее) документов. Таким образом, документ, не имеющий порядкового учетного номера, имеющий не порядковый учетный номер либо расположенный на машинном носителе в нарушение общей логики размещения документов в массиве, будет хорошо заметен.
Признаки формата записи нужно учитывать в тех случаях, когда нормативно определены единые требования, предъявляемые к формату записи электронного документа соответствующего содержания и предназначения на машинный носитель. Действующая система (правила) обработки электронных документов может быть до конца не известна преступникам. Поэтому поддельный ЭД может иметь:
- формат, не соответствующий правилам, установленным для обработки документов в данной компьютерной системе или сети (например, расширение файла);
- содержание записи (например, имя файла), не соответствующее тематическому разделу, в котором находится ЭД;
- название записи (например, название файла - «имя + расширение»), не соответствующее содержанию документа или установленным правилам маркировки ЭД определенной категории в данной системе документооборота.
Признаки основного текста проявляются в индивидуальных особенностях его оформления и содержания. При анализе оформления текста ЭД следует обращать внимание на наличие всех необходимых реквизитов (в том числе удостоверительных, например ЭЦП) и их признаков: общую разметку документа и частную разметку его отдельных элементов (текста, таблиц, рисунков и других встроенных объектов); количество электронных страниц и логику их объединения (упорядочения) в документе; наличие, порядок расположения, размер и цвет мемо-полей (окон); параметры электронной страницы (цвет, размер, поля и другие); цвет, стиль, тип и размер шрифта, используемого в каждом реквизите; размер абзацного отступа и вид межстрочного интервала; вид переноса в словах (мягкий, автоматический, принудительный); наличие гиперссылок, знаков «перевод каретки» и «принудительный разрыв страницы»; наличие автоматически проставляемых или принудительных (ручных) маркеров для перечислений, их параметры (абзацные отступы и границы); иные признаки, отличающие его от стандарта или от общих признаков оформления других документов, находящихся с ним в одном массиве.
Содержание основного текста ЭД требует изучения и оценки сведений, отраженных в нем. Для обнаружения подделки необходимо сопоставить сведения, изложенные в конкретном ЭД, с содержанием первичных (исходных) документов (в целом или по отдельным реквизитам), на основе которых он был создан (сгенерирован).
Если документ состоит из нескольких электронных страниц, то требуется также сопоставить содержание исследуемой страницы с содержанием предыдущей и последующей страниц. При этом особое внимание следует уделить изучению параметров организационной связи страниц между собой (логическая или гиперссылочная).
Иногда возникает необходимость проведения сравнительного анализа содержания совокупности отдельных реквизитов и установления источника их происхождения (человека или автомата), например, придающих документу юридическую силу. Так, отечественной следственной практике известны случаи использования для совершения хищения денежных средств, товаров и услуг электронных платежных документов, сгенерированных на основе реквизитов поддельных пластиковых карт.
2. Внесение изменений в электронный документ на стадии его использования. Это второй по распространенности в криминальной практике способ подделки. Он заключается в несанкционированной модификации (изменении), блокировании, уничтожении или перезаписи (уничтожении подлинных и последующего копирования подложных данных) отдельных реквизитов ЭД.
Примечательно, что эти действия могут быть выполнены субъектом собственноручно с использованием необходимых компьютерных программ и средств электронно-вычислительной техники либо путем создания и (или) использования соответствующей вредоносной программы. Работая в автоматическом режиме без непосредственного участия субъекта, она сама по заданному ее разработчиком алгоритму внесет все требуемые изменения в электронный документ в целом или отдельные его реквизиты (ст. 273 УК РФ). В данном случае эта программа будет являться основным орудием совершения преступления.
Например, путем внесения соответствующих изменений в ЭД, являющийся объектом авторского права и смежных прав, дезактивируется реквизит его защиты. В этих целях преступниками широко используются как стандартные системные и инструментальные компьютерные программы, так и специальные: программы - взломщики защиты (crack-tools - инструменты взлома). С их помощью получается контрафактный экземпляр ЭД.
3. Незаконное использование электронной подписи, средств идентификации пользователя в системе или сети ЭВМ либо электросвязи, а также электронно-цифровых аналогов его собственноручной подписи. Как было отмечено, в настоящее время в гражданском обороте широко используются различные электронно-цифровые средства удостоверения электронных документов: ЭЦП, электронно-цифровые аналоги собственноручной подписи, логины и пароли для получения возмездных услуг Интернет, персональные идентификационные коды (ПИН-коды), а также идентификаторы абонентов либо аппаратов сотовой и иной цифровой электросвязи (IP и МАС-адреса, IMEI и др.). По своей физической природе рассматриваемые реквизиты являются разновидностью документированной компьютерной информации и позволяют, во-первых, получить доступ к компьютерной системе или сети; во-вторых, создать (сгенерировать) новый электронный документ или внести изменения в существующие ЭД; в-третьих, защитить созданный ЭД от подделки; в-четвертых, идентифицировать лицо, его создавшее. Естественно, как и всякая иная компьютерная информация, они материализованы на локальном или сетевом (внешнем либо внутреннем) машинном носителе. Таким образом, получая любыми способами доступ к этим реквизитам, например, путем открытого визуального ознакомления с ними, хищения материального носителя либо применения специальных программ сканирования и расшифровки трафика работы пользователей в Интернете или сотовой электросвязи, преступник использует их в корыстных целях. В последующем с их помощью создаются фиктивные ЭД, выступающие средством подготовки и совершения преступлений различных видов.
Анализ материалов следственной практики показывает, что чаще всего субъекты копируют указанные реквизиты на свой машинный носитель, в память идентификационной карты для электронных терминальных устройств (IC-карты), ЭВМ и иного компьютерного устройства. Так создаются идентификационные карты - клоны, в память которых записывается код опознавания электронного терминального устройства в компьютерной системе или сети по типу «свой - чужой».
4. Исследование электронных-цифровых следов в процессе раскрытия и расследования компьютерных преступлений
Исследование электронно-цифровых следов в процессе раскрытия и расследования преступлений, совершенных с использованием средств компьютерной техники, осуществляется при помощи специальных знаний в различных формах и прежде всего путем назначения (производства) экспертизы.
Компьютерно-техническая экспертиза - самостоятельный род судебных экспертиз, относящийся к классу инженерно-технических, проводимый в целях определения статуса объекта как компьютерного средства, выявления и изучения его роли в расследуемом преступлении, а также получения доступа к информации на электронных носителях с последующим всесторонним ее исследованием. Указанные цели представляются родовыми задачами компьютерно-технической экспертизы.
Исследование компьютерно-технических следов преступлений производится в рамках следующих видов компьютерно-технических экспертиз:
а) техническая экспертиза компьютеров и периферийных устройств;
б) техническая экспертиза оборудования защиты компьютерной информации;
в) экспертиза машинных данных и программного обеспечения ЭВМ;
г) экспертиза программного обеспечения и данных, используемых в компьютерной сети.
Техническая экспертиза компьютеров и периферийных устройств назначается и проводится в целях изучения технических особенностей компьютера, его периферийных устройств, технических параметров компьютерных сетей, а также причин возникновения сбоев в работе компьютерного оборудования.
Техническая экспертиза оборудования защиты компьютерной информации проводится в целях изучения технических устройств защиты информации, используемых на данном предприятии, организации, учреждении или фирме. Экспертиза машинных данных и программного обеспечения ЭВМ осуществляется в целях изучения информации, хранящейся в компьютере и на магнитных носителях, в том числе изучение программных методов защиты компьютерной информации. Экспертиза программного обеспечения и данных, используемых в компьютерной сети проводится в целях изучения информации, которая обрабатывается с помощью компьютерных сетей, эксплуатируемых на данном предприятии, организации, учреждении, фирме или компании.
Объектами компьютерно-технических экспертиз, кроме компьютеров в привычном понимании, их отдельных блоков, периферийных устройств, технической документации к ним, а также носителей компьютерной информации могут выступать иные микропроцессорные устройства: электронные записные книжки, пейджеры, сотовые телефоны, электронные кассовые аппараты, иные электронные носители текстовой или цифровой информации, а также документация к ним.
Для компьютерных следов характерны специфические свойства, определяющие перспективы их регистрации, извлечения и использования в качестве доказательств при расследовании совершенного преступления. Во-первых, они существуют на материальном носителе, но не доступны непосредственному восприятию. Для их извлечения необходимо обязательное использование программно-технических средств. Они не имеют жесткой связи с устройством, осуществившим запись информации, являющейся следом весьма неустойчивым, так как может быть легко уничтожен. Во-вторых, получаемые следы внутренне ненадежны (благодаря своей природе), так как их можно неправильно считать.
Эти признаки следов компьютерного преступления определяют трудности при работе с ними и использовании их при доказывании.
Исходя из схемы совершения компьютерного преступления, следы образуются на:
а) машинных носителях, с использованием которых действовал преступник на своем рабочем месте;
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 |
