Форензика - Компьютерная Криминалистика.

  • Автор темы I AM
  • Обновлено
  • 24, Oct 2018
  • #1
Наткнулся на просторах инета, довольно занятная литература Вырезки из книги
Кто должен прочитать эту книгу:
  • оперативные сотрудники правоохранительных органов;
  • следователи;
  • эксперты;
  • судьи;
  • государственные обвинители;
  • адвокаты;
  • студенты юридических специальностей;
  • работники служб информационной безопасности;
  • правозащитники.


Описывать что в ней есть не вижу смысла, ибо в оглавлении сами все найдете, список довольно большой Скрытая информация :: Авторизуйтесь для просмотра »

  • механизм жесткого диска (НЖМД*);
  • контроллер НЖМД с внутренней микропрограммой (firmware);
  • внешний ATA-контроллер;
  • программное обеспечение BIOS;
  • операционная система;
  • файловая система (драйвер);
  • программное обеспечение для просмотра содержимого файла (например, вьювер «less»);
  • драйвер экрана;
  • программный экранный шрифт;
  • аппаратные средства ввода и вывода (клавиатура, монитор) со своими собственными микропрограммами.


Представим, что на «месте происшествия», а именно на диске сервера, в лог-файле*1 обнаружена запись.

Органами чувств человека она не воспринимается.

Чтобы увидеть эту запись, потребуется посредничество следующих технических средств: Совсем по-другому с компьютерной информацией. Представим себе, что на месте преступления обнаружен след - отпечаток обуви.

Он воспринимается органами чувств человека непосредственно.

Если для восприятия и требуются какие-то технические средства, то лишь самые простые (например, фонарик или очки), принцип действия которых ясен любому и легко представим.

А чаще технических средств и вовсе не требуется.

Следователь и понятые своими глазами видят отпечаток обуви, прекрасно понимают механизм его возникновения.

Не испытывая сомнений, они фиксируют этот след в протоколе, а после готовы показать под присягой, что видели именно отпечаток обуви.

И у судьи не появится сомнений, что они могли видеть не то, что было на самом деле. При изучении компьютерной информации количество и сложность таких посредников настолько велики, что количество это переходит в качество.

Мы не всегда знаем всех посредников, стоящих между информацией на компьютерном носителе и нашими глазами.

Мы с большим трудом можем представить, какие именно преобразования претерпела информация по пути от своей исходной формы до наших глаз. Такой общенаучный метод, как наблюдение, применяется в форензи-ке достаточно своеобразно.

Дело в том, что основным объектом исследования является компьютерная информация, которая в принципе не может наблюдаться человеком непосредственно.

И изменяться непосредственно также не может.

Непосредственные органы чувств человека - зрение, слух, осязание - не в состоянии воспринимать компьютерную информацию.

Но это еще не настоящее своеобразие.

В мире много объектов, которые не могут восприниматься человеком непосредственно - глазами, ушами и пальцами.

Это еще не повод объявлять соответствующую науку уникальной.

Для наблюдения «ненаблюдаемых» величин есть большое количество инструментов и способов - микроскопы, вольтметры, интерферометры и так далее.

При помощи таких инструментов-посредников человек может наблюдать и изучать то, что не наблюдается невооруженным глазом.

Все дело в сложности, детерминированности и прозрачности принципов действия таких «технических посредников».

Все научные методы (наблюдение, измерение, описание, сравнение, эксперимент, моделирование, объяснение, анализ, синтез, предсказание) применяются в компьютерной криминалистике без ограничений.

Хотя имеют некоторые особенности.
Общенаучные методы Во многих из этих приложений некоторые методы форензики очень тесно интегрированы с методами технической защиты информации.

Эти методы даже кое-где пересекаются.

Несмотря на это, форензика никак не может быть приравнена к защите информации, поскольку цели у этих дисциплин разные.

6. Задачи по защите гражданами своей личной информации в электронном виде, самозащиты своих прав, когда это связано с электронными документами и информационными системами [5, W16].

5. Военные и разведывательные задачи по поиску, уничтожению и восстановлению компьютерной информации в ходе оказания воздействия на информационные системы противника и защиты своих систем.

4. Внутрикорпоративные расследования инцидентов безопасности, касающихся информационных систем, а также работы по предотвращению утечки информации, содержащей коммерческую тайну и иные конфиденциальные данные.

3. Страховые расследования, проводимые страховыми компаниями касательно возможных нарушений условий договора, страхового мошенничества, особенно когда объект страхования представлен в виде компьютерной информации или таким объектом является информационная система.

2. Сбор и исследование доказательств для гражданских дел, когда такие доказательства имеют вид компьютерной информации.

Особенно это актуально по делам о нарушении прав интеллектуальной собственности, когда объект этих прав представлен в виде компьютерной информации - программа для ЭВМ, иное произведение в цифровой форме, товарный знак в сети Интернет, доменное имя и т.п.

1. Раскрытие и расследование уголовных преступлений, в которых фигурируют компьютерная информация как объект посягательства, компьютер как орудие совершения преступления, а также какие-либо цифровые доказательства.

Сферы применения форензики суть следующие.

  • разработка тактики оперативно-розыскных мероприятий (ОРМ) и следственных действий, связанных с компьютерной информацией;

  • создание методов, аппаратных и программных инструментов для сбора и исследования доказательств компьютерных преступлений;

  • установление криминалистических характеристик правонарушений, связанных с компьютерной информацией.


Форензика решает следующие задачи:
Задачи и приложения В-третьих, развитие ИТ может привести к появлению не просто новых общественных отношений, но нового субъекта таких отношений.

Появление полноценного искусственного интеллекта уже явно просматривается на научном горизонте.

А пока можно говорить о первых шагах в этом направлении.

Программа для ЭВМ еще не рассматривается в качестве субъекта права, но в качестве стихийной силы уже иногда рассматривается.

Программам уже дано принимать решения, которые могут существенно влиять на благосостояние и даже жизнь людей.

Программы уже могут порождать новые объекты авторского права.

Словом, появление принципиально нового субъекта, нового члена общества со своими правами - искусственного интеллекта - не за горами.

А его появление вызовет новые правоотношения и, соответственно, новые преступления. Во-вторых, достижения информационных технологий порождают принципиально новые общественные отношения, каковые отношения и становятся предметом преступных посягательств.

При этом способ посягательства и орудия могут быть как старыми, так и новыми, с учетом достижений ИТ. Самый яркий пример - доменные имена.

Такого общественного отношения, как право распоряжаться доменным именем, до недавних пор просто не существовало.

Не было и посягательств.

Ныне доменные имена охраняются законом (они причислены к объектам интеллектуальной собственности). И существует целый класс правонарушений, связанных с доменами, - киберсквоттинг*.

Во-первых, неостановимый технический прогресс дает возможность совершать преступления новыми способами и при помощи новых орудий.

Естественно, в той же мере прогресс способствует появлению новых способов раскрытия преступлений - как старых, так и новых.

Например, то же старое мошенничество в наш век совершается при помощи сети Интернет.

Но суть и предмет посягательства у мошенничества прежние.

Новыми являются лишь орудия совершения - веб-сайт, электронная почта, платежная система. Теперь - о технических достижениях.

Влияние передовых достижений техники и технологии на преступность возможно тремя путями.
Форензика и прогресс Специалисты говорят про «неизменность» только с такими пользователями.

Между собой они используют понятие «целостность», подразумевая, что информация может в процессе хранения и передачи сколько угодно раз изменяться, перекодироваться или сменять носители.

Требуется лишь, чтобы первоначальная информация совпадала с конечной с точностью до одного бита - это и есть целостность. Оперативная память компьютера (типа DRAM) регенерируется раз в несколько миллисекунд.

То есть записанные там сигналы фактически стираются и записываются вновь.

При передаче по многим каналам связи используется помехоустойчивое кодирование в расчете на возникающие при передаче ошибки; эти ошибки неизбежно возникают, но исправляются на принимающей стороне линии за счет избыточности кода.

В центральном процессоре тоже постоянно происходят ошибки при совершении арифметическо-логических операций, но если их не слишком много, они исправляются благодаря внутренней диагностике.

В сетевых протоколах, которые мы считаем «надежными», таких как TCP, эта надежность достигнута именно за счет того, что пропавшие в пути датаграм-мы или иные блоки информации перепосылаются, пока не будет подтвержден их верный прием.

Запись на компакт-диск ведется с использованием кода Рида-Соломона с коррекцией массовых ошибок.

То есть технология заведомо рассчитана на возникновение ошибок на этапе считывания.

И такие ошибки всегда возникают.

Но исправляются благодаря избыточности кода.

Одним словом, «неизменной» компьютерную информацию может воображать лишь пользователь, который не знает подробностей внутреннего устройства компьютерной техники и программного обеспечения. Вообще, понятие «неизменность» лишь с натяжкой применима к компьютерной информации.

На некоторых видах носителей она хранится действительно статически - в виде разной намагниченности участков носителя или вариаций его оптических свойств.

Но в других случаях метод хранения информации таков, что предусматривает постоянную смену носителя.

Или предусматривает случайные величины. Несколько слов об особенностях изучаемых следов.

Почти все следы, с которыми приходится работать специалисту по форензике, имеют вид компьютерной информации, регулярной или побочной.

Их достаточно легко уничтожить - как умышленно, так и случайно.

Часто их легко подделать, ибо «поддельный» байт ничем не отличается от «подлинного». Фальсификация электронных (цифровых) доказательств выявляется либо по смысловому содержанию информации, либо по оставленным в иных местах следам, тоже информационным.

Цифровые доказательства нельзя воспринять непосредственно органами чувств человека, но только через посредство сложных аппаратно-программных средств.

Поэтому эти следы сложно продемонстрировать другим лицам - понятым, прокурору, судье.

Не всегда просто обеспечить неизменность следов при их хранении.

И не только обеспечить, но и доказать суду эту неизменность.
Целостность
  • криминальная практика - способы, инструменты совершения соответствующих преступлений, их последствия, оставляемые следы, личность преступника;
  • оперативная, следственная и судебная практика по компьютерным преступлениям;
  • методы экспертного исследования компьютерной информации и, в частности, программ для ЭВМ;
  • достижения отраслей связи и информационных технологий (ИТ), их влияние на общество, а также возможности их использования как для совершения преступлений, так и для их предотвращения и раскрытия.


Предметами форензики являются:

Форензика (компьютерная криминалистика) является прикладной наукой о раскрытии и расследовании преступлений, связанных с компьютерной информацией, о методах получения и исследования доказательств, имеющих форму компьютерной информации (так называемых цифровых доказательств), о применяемых для этого технических средствах.

Предмет

А имеющийся в конце книги словарь компьютерных терминов преследует совсем иную цель - отделить устоявшиеся термины от жаргонных и указать, какие из многочисленных вариантов следует использовать в официальных документах.

Поэтому не остается ничего иного, как рассчитывать на определенный уровень компьютерной грамотности читателя.

Если в подробные объяснения не вдаваться, а просто привести определения всех используемых терминов, как это любят делать отечественные авторы, то подготовленный читатель будет на этих страницах скучать, а неподготовленный все равно ничего не поймет.

Определения - не объяснения.

Подобный метод изложения незнакомого материала напоминает книгу на иностранном языке, к которой приложен словарь этого языка; одним читателям он не нужен, другим не поможет.

Если вдаваться в подробные объяснения о том, что такое файловая система, как работает протокол TCP или почему мощность процессора не влияет на скорость интернет-соединения, то вместо работы по криминалистике получится пятисотстраничный самоучитель по работе на компьютере, в котором всего несколько страниц - по делу.

Именно такая история происходит с большинство книг, изданных в Европе и США [1-6, 74], которым подошло бы название «Компьютерная криминалистика для чайников». Также практикуется чисто популяризаторский подход, при котором материал излагается поверхностно, хотя и занимательно; специальных знаний не требует, но и не дает [39].

Автор весьма опечален, что пришлось ограничить таким образом круг читателей, но, к большому сожалению, по-другому поступить невозможно.

Понимание материала настоятельно требует специальных познаний. Для полного понимания данной книги необходимо владеть компьютером на уровне продвинутого пользователя и иметь базисные представления о современных коммуникационных технологиях и Интернете.
Ценз Некоторые авторы разделяют компьютерную криминалистику (computer forensics) и сетевую криминалистику (network forensics). Применяемые методы в том и в другом случае действительно отличаются. Внутри форензики уже наметился один обособленный раздел - исследование программ для ЭВМ.

Изучение устройства программ по исполняемому коду, методы создания вредоносных программ и противодействия им - это требует своих методов, существенно отличающихся от прочих методов форензики, применяемых для поиска, сбора и исследования цифровых доказательств.

Хорошие специалисты по вредоносным программам, как правило, имеют узкую специализацию и не занимаются ничем иным - ни восстановлением скрытой информации, ни фиксацией короткоживущих данных, ни трассировкой источника DoS-атаки.

И напротив, эксперт, специализирующийся на исследовании информационного содержимого компьютеров, вряд ли возьмется за исследование неизвестного компьютерного вируса. Форензика оказалась почти не связанной с другими разделами криминалистики.

Разве что прослеживается некоторая связь с технико-криминалистическим исследованием документов - компьютеры и компьютерная периферия широко применяются для подделки традиционных, бумажных документов.

Традиционные разделы криминалистики - дактилоскопия, баллистика, токсикология - развиваются уже более ста лет.

В них не только накоплен большой опыт и отточены методики исследования.

Некоторые особенности криминалистических технологий отражены в законодательстве.

Например, законодательством прямо предусматривается взятие отпечатков пальцев и отстрел оружия в определенных случаях.

Компьютерная криминалистика только что родилась.

Опыт и инструментарий ее пока невелик.

А требования законодательства совсем не заточены под особенности применяемых технологий, и даже иногда препятствуют их использованию.
Другие разделы Термин «форензика» произошел от латинского «foren», что значит «речь перед форумом», то есть выступление перед судом, судебные дебаты - это был один из любимых жанров в Древнем Риме, известный, в частности, по работам Цицерона.

В русский язык это слово пришло из английского.

Термин «forensics» является сокращенной формой «forensic science», дословно «судебная наука», то есть наука об исследовании доказательств - именно то, что в русском именуется криминалистикой.

Соответственно, раздел криминалистики, изучающий компьютерные доказательства, называется по-английски «computer forensics». При заимствовании слово сузило свое значение.

Русское «форензика» означает не всякую криминалистику, а именно компьютерную.
Название
Введение Официоз или сленг? Словарь официальных и жаргонных технических терминов Нормативные акты Интернет-публикации Офлайновые публикации
Литература Законодательство
Криминалистическая техника
Слежка
Новые отношения
Неолиберализм и неоконсерватизм
Возрастание роли Интернета
Перспективы Понимание и просвещение
Широкополосный доступ
Интеллектуальная собственность
Конвергенция
Тенденции
7. Тенденции и перспективы
6. Участие специалиста в судебном заседании Отрицательный пример
Промежуточный пример
Положительный пример
Разбор образцов Стоимость ПО Изучение печатных документов Исследование программ Оценка найденного Реконструкция просмотра веб-страниц Изучение архивов электронной почты и ICQ Информация о файлах
Подключение образа диска
Поиск информации на диске Экспертные инструменты и авторское право Средства и инструменты Использование слабой криптографии
Использование коротких ключей и паролей
Использование словарных паролей
Неаккуратное обращение с открытым текстом
Неаккуратное обращение с паролем
Нешифрованные имена файлов
Ректотермальный криптоанализ
Доступ к содержимому ОЗУ
Использование кейлогера
Шифрование разделов и носителей
Стеганография
Зашифрованные данные Флэш-накопители Другие типы носителей Исследование файловых систем
Копирование носителей
Хэш-функции для удостоверения тождественности
Исследование файлов
Методы КТЭ Оригинал или копия? Объекты исследования Контрафактность
Стоимость
Правомерность доступа
Оценка содержания
Резюме
Неприемлемые вопросы Поиск информации
Следы
Программы
Время
Пользователь
Итоги
Приемлемые вопросы Общее
Кто может быть экспертом?
Проблемы с пониманием
Место и роль КТЭ
5. Компьютерно-техническая экспертиза Заключение к разделу 4 Доказательство наличия контента
Выявление источника
Доказательство использования
Виды преступлений
Контент и доменное имя
Правовая защита домена
Путаница сайта и ДИ
Примеры
Размещение в файлообменных сетях Размещение в телеконференции (newsgroup) Практика
Просмотр
Динамические веб-страницы
Особенности браузера
Адресация
Размещение на веб-сайте
4. Заверение контента. Заключение к разделу 3 Работа с потерпевшими Перечень
Снятие
Как выключать?
Короткоживущие данные Принципы
Общие правила изъятия компьютерной техники при обыске
Особенности
Ноутбук (лэптоп, переносной компьютер)
Наладонный компьютер (КПК)
Принтеры
Сканеры
Флэш-накопители
Мобильные телефоны
Коммутаторы и маршрутизаторы
Автомобильные компьютеры
Модемы
Цифровые фотоаппараты
Сменные накопители
Тактика обыска Определение
Примеры
Лог как доказательство
Цепочка доказательности
Корректность генерирующей программы
Примеры
Неизменность при передаче
Корректность логирующей программы
Неизменность при хранении логов
Корректность изъятия
Неизменность после изъятия
Корректность интерпретации
Процедура приобщения логов
Деревенский вариант
Провинциальный вариант
Столичный вариант
Снятие копии диска
Стерильность
Лог-файлы, доказательная сила лог-файлов Особенности
Стандарты
Осмотр компьютера
3. Следственные действия Заключение к разделу 2 Интернет-поиск как метод ОРД Аппаратные кейлогеры
Программные кейлогеры
Кейлогеры Почтовый ящик
Передача сообщений
Достоверность
Установление
Примеры
Принадлежность адреса электронной почты Изучение ответа
Достоверность данных регистратора
Анонимизация владельцев
Документирование
Установление принадлежности доменного имени Уникальность
Регистраторы
Установление принадлежности IP-адреса через whois-клиент
Установление принадлежности IP-адреса через веб-форму
Корректность
Трассировка IP-адреса
Неуловимый IP
Пространство и время
Документирование
Физическое расположение
Пример
Прочее
Установление принадлежности и расположения IP-адреса Как устроено
Следы
Примеры
Можно ли доверять заголовкам?
Формат сообщений
Документирование прохождения сообщений
Деревенский вариант
Провинциальный вариант
Столичный вариант
Анонимные ремейлеры
Исследование логов мейл-сервера и заголовков электронной почты Системные логи Windows
Системные логи UNIX и Linux
Системные логи IOS
Исследование системных логов Значение логов
Содержание
Можно ли доверять логам?
Исследование логов веб-сервера Анализ заголовков пакетов
Избирательный перехват
Другие данные о трафике Netflow
Пример
Исследование статистики трафика Значение
Пример
Организация перехвата
Шифрованный трафик
Перехват и исследование трафика Взаимодействие
2. Оперативно-розыскные мероприятия Заключение к разделу 1
Платежи через Интернет
Терроризм и кибервойна
Мошенничество в онлайновых играх
Использование RBL
Накрутка
Другое
Определение
Правовая оценка
Киберсквоттинг
Способ
Преступник
Потерпевший
Фишинг
Способ
Преступник
Потерпевший
Следы
Нарушение авторских прав в Сети
Способ
Преступник
Потерпевший
Следы
Политизированность
Нарушение авторских прав в офлайне Мошенничество с трафиком
Способы
Получение
Реализация
Скиминг
Использование интернет-казино
Фиктивные покупки
Реальный пластик
Белый пластик
Посреднические онлайн-сервисы
Почему мошенничество?
Кардерство
Способ
Преступник
Звонилки (dialers)
Следы
Вредоносные программы Способ
Преступник
Следы
Потерпевший
Дефейс
Способ
Преступник
Обстановка
Потерпевший
Следы
DoS-атаки
Способ
Обстановка
Преступник
Потерпевший
Следы
Клевета, оскорбления и экстремистские действия в Сети
Способ
Обстановка
Преступник
Потерпевший
Следы
Онлайн-мошенничество
Статистика
Личность вероятного преступника
Оперативность
Приоритетность расследования
Криминалистическая характеристика Что такое «компьютерное преступление»?
Избыточная криминализация

1. Компьютерные преступления Заключение Контрфорензика Этапы Аппаратные средства
Экспертные программы
Наборы хэшей
Архивирование
Значение спецсредств
Криминалистические информационные системы
Специальные технические средства Современное состояние Роль экспертно-криминалистических подразделений Общественные связи (пиар)
Потерпевший
Вовлечение общественности Хакеры на службе ? Привлечение специалистов Формы Специальные методы Общенаучные методы Задачи Целостность
Форензика и прогресс
Предмет Другие разделы
Ценз
Название
Введение
Оглавление

В книге сделан упор на практику: описывается, как практически реализовать то или иное мероприятие, приведены примеры работы с цифровыми доказательствами из реальных уголовных и гражданских дел.

Каждый из упомянутых категорий, прочитав книгу, сможет приобрести или усовершенствовать свои знания, касающиеся киберпреступлений.

  • оперативные сотрудники правоохранительных органов;
  • следователи;
  • эксперты;
  • судьи;
  • государственные обвинители;
  • адвокаты;
  • студенты юридических специальностей;
  • работники служб информационной безопасности;
  • правозащитники.


Кто должен прочитать эту книгу: Книга рассказывает о методах раскрытия и расследования компьютерных преступлений, правилах сбора, закрепления и представления доказательств по ним применительно к российскому законодательству.

В книге имеются также сведения, относящиеся к гражданским делам, в которых затрагиваются информационные технологии, - таким как дела об авторских правах на программы для ЭВМ и иные произведения в электронной форме, дела о доменных именах, дела об использовании товарных знаков и других средств индивидуализации в Интернете.

Форензика - прикладная наука о раскрытии преступлений, связанных с компьютерной информацией, об исследовании доказательств в виде компьютерной информации, методах поиска, получения и закрепления таких доказательств.

Форензика является подразделом криминалистики.

I AM


Рег
23 Jul, 2011

Тем
403760

Постов
400028

Баллов
2418908
Тем
403,760
Комментарии
400,028
Опыт
2,418,908

Интересно