Форензика - компьютерная криминалистика, Федотов Н. Н. : Crimlib.info: Библиотека

Форензика - компьютерная криминалистика

Аннотация
Книга рассказывает о методах раскрытия и расследования компьютерных преступлений, правилах сбора, закрепления и представления доказательств по ним применительно к российскому законодательству.
Авторы: Федотов Н. Н.
Категории: Криминалистика Криминалистическая техника Компьютерные технологии в криминалистике
Формат: pdf

Федотов Н. Н. / Форензика - компьютерная криминалистика
ОГЛАВЛЕНИЕ
Введение ..........................................................................................11
Название ..........................................................................................11
Другие разделы ................................................................................11
Ценз ................................................................................................12
Предмет................................................................................................12
Целостность ..................................................................................13
Форензика и прогресс ......................................................................14
Задачи ..................................................................................................15
Общенаучные методы ........................................................................16
Специальные методы ..........................................................................19
Формы ..................................................................................................19
Привлечение специалистов ................................................................21
Хакеры на службе? ..........................................................................22
Вовлечение общественности ..............................................................23
Общественные связи (пиар) ............................................................23
Потерпевший ..................................................................................24
Роль экспертно"криминалистических подразделений ....................25
Современное состояние ......................................................................26
Специальные технические средства ..................................................28
Аппаратные средства......................................................................30
Экспертные программы ..................................................................30
Наборы хэшей ..................................................................................31
Архивирование..................................................................................32
Значение спецсредств ......................................................................32
Криминалистические информационные системы ............................33
Этапы ..................................................................................................34
Контрфорензика..................................................................................35
Заключение ..........................................................................................36
1. Компьютерные преступления ....................................................37
Что такое «компьютерное преступление»?....................................37
Избыточная криминализация ..........................................................38
Криминалистическая характеристика ..............................................39
Статистика ..................................................................................40
Личность вероятного преступника ................................................41
Оперативность ..............................................................................47
Мошенничество с трафиком ..............................................................87
Нарушение авторских прав в офлайне ..............................................88
Способ..............................................................................................88
Преступник ....................................................................................89
Потерпевший ..................................................................................89
Следы ..............................................................................................90
Политизированность ......................................................................91
Нарушение авторских прав в Сети ....................................................92
Способ..............................................................................................92
Преступник ....................................................................................92
Потерпевший ..................................................................................93
Следы ..............................................................................................94
Фишинг................................................................................................94
Способ..............................................................................................94
Преступник ..................................................................................101
Потерпевший ................................................................................101
Киберсквоттинг ................................................................................102
Определение ..................................................................................102
Правовая оценка ............................................................................103
Другое ................................................................................................105
Платежи через Интернет ............................................................105
Терроризм и кибервойна ................................................................108
Мошенничество в онлайновых играх..............................................109
Использование RBL........................................................................111
Накрутка ......................................................................................115
Заключение к разделу 1 ....................................................................118
2. Оперативно"розыскные мероприятия ....................................119
Взаимодействие ................................................................................119
Перехват и исследование трафика....................................................121
Значение ........................................................................................121
Пример ..........................................................................................121
Организация перехвата ................................................................125
Шифрованный трафик ..................................................................127
Исследование статистики трафика ..................................................131
Netflow............................................................................................131
Пример ..........................................................................................131
Другие данные о трафике ..................................................................136
Анализ заголовков пакетов ............................................................137
Приоритетность расследования ....................................................49
Онлайн"мошенничество ....................................................................50
Способ..............................................................................................50
Обстановка ....................................................................................52
Преступник ....................................................................................53
Потерпевший ..................................................................................53
Следы ..............................................................................................53
Клевета, оскорбления и экстремистские действия в Сети ..............54
Способ..............................................................................................54
Преступник ....................................................................................57
Обстановка ....................................................................................58
Следы ..............................................................................................59
DoS"атаки ............................................................................................59
Способ..............................................................................................59
Преступник ....................................................................................60
Обстановка ....................................................................................61
Потерпевший ..................................................................................62
Следы ..............................................................................................64
Дефейс..................................................................................................65
Способ..............................................................................................65
Преступник ....................................................................................67
Следы ..............................................................................................67
Потерпевший ..................................................................................68
Вредоносные программы ....................................................................68
Способ..............................................................................................68
Преступник ....................................................................................69
Звонилки (dialers) ............................................................................72
Следы ..............................................................................................73
Кардерство ..........................................................................................74
Способы ..........................................................................................74
Получение ........................................................................................75
Реализация ......................................................................................76
Скиминг ..........................................................................................77
Использование интернетCказино ....................................................80
Фиктивные покупки ........................................................................80
Реальный пластик ..........................................................................83
Белый пластик ................................................................................84
Посреднические онлайнCсервисы ......................................................85
Почему мошенничество?..................................................................86
4 5Почтовый ящик ............................................................................180
Передача сообщений ......................................................................180
Достоверность ..............................................................................186
Установление ................................................................................186
Примеры ........................................................................................187
Кейлогеры ..........................................................................................191
Аппаратные кейлогеры ..................................................................191
Программные кейлогеры ................................................................192
Интернет"поиск как метод ОРД ......................................................192
Заключение к разделу 2 ....................................................................195
3. Следственные действия ............................................................196
Осмотр компьютера ..........................................................................196
Особенности ..................................................................................196
Стандарты....................................................................................197
Лог"файлы, доказательная сила логов..............................................198
Определение ..................................................................................198
Примеры ........................................................................................198
Лог как доказательство ................................................................202
Цепочка доказательности ............................................................203
Корректность генерирующей программы ......................................203
Примеры ........................................................................................204
Неизменность при передаче ..........................................................205
Корректность логирующей программы..........................................206
Неизменность при хранении логов ................................................206
Корректность изъятия..................................................................206
Неизменность после изъятия ........................................................208
Корректность интерпретации......................................................208
Процедура приобщения логов ........................................................209
Деревенский вариант ....................................................................209
Провинциальный вариант..............................................................209
Столичный вариант ......................................................................210
Снятие копии диска ......................................................................211
Стерильность ................................................................................212
Тактика обыска..................................................................................212
Принципы ......................................................................................213
Общие правила изъятия компьютерной техники при обыске........213
Особенности ..................................................................................215
Ноутбук (лэптоп, переносной компьютер) ..................................216
Избирательный перехват ..............................................................138
Исследование логов веб"сервера ......................................................139
Значение логов................................................................................139
Содержание ..................................................................................141
Можно ли доверять логам?............................................................142
Исследование системных логов........................................................142
Системные логи Windows ..............................................................143
Системные логи UNIX и Linux ......................................................144
Системные логи IOS ......................................................................144
Исследование логов мейл"сервера и заголовков
электронной почты............................................................................145
Как устроено ................................................................................145
Следы ............................................................................................146
Примеры ........................................................................................147
Можно ли доверять заголовкам? ..................................................154
Формат сообщений ........................................................................155
Документирование прохождения сообщений ................................155
Деревенский вариант ....................................................................155
Провинциальный вариант..............................................................156
Столичный вариант ......................................................................156
Анонимные ремейлеры ....................................................................156
Установление принадлежности и расположения IP"адреса ..........158
Уникальность ................................................................................158
Регистраторы................................................................................159
Установление принадлежности IPCадреса через whoisCклиент.....160
Установление принадлежности IPCадреса через вебCформу..........162
Корректность................................................................................162
Трассировка IPCадреса ..................................................................162
Неуловимый IP ..............................................................................167
Пространство и время ..................................................................168
Документирование ........................................................................169
Физическое расположение ............................................................169
Пример ..........................................................................................170
Прочее ............................................................................................171
Установление принадлежности доменного имени..........................172
Изучение ответа ..........................................................................175
Достоверность данных регистратора ..........................................177
Анонимизация владельцев ..............................................................177
Документирование ........................................................................178
Принадлежность адреса электронной почты ..................................180
6 7Кто может быть экспертом? ......................................................251
Проблемы с пониманием ................................................................253
Приемлемые вопросы ......................................................................254
Поиск информации ........................................................................255
Следы ............................................................................................256
Программы ....................................................................................256
Время ............................................................................................257
Пользователь ................................................................................257
Итоги ............................................................................................258
Неприемлемые вопросы....................................................................258
Контрафактность ........................................................................258
Стоимость ....................................................................................259
Правомерность доступа ................................................................260
Оценка содержания ......................................................................261
Резюме ..........................................................................................262
Объекты исследования ......................................................................263
Оригинал или копия? ......................................................................263
Методы КТЭ ......................................................................................264
Исследование файловых систем ....................................................264
Копирование носителей ................................................................267
ХэшCфункции для удостоверения тождественности ....................269
Исследование файлов ....................................................................271
Другие типы носителей ....................................................................272
ФлэшCнакопители ........................................................................272
Зашифрованные данные ..................................................................274
Использование слабой криптографии ............................................274
Использование коротких ключей и паролей ..................................274
Использование словарных паролей ................................................275
Неаккуратное обращение с открытым текстом ........................275
Неаккуратное обращение с паролем ..............................................276
Нешифрованные имена файлов ......................................................276
Ректотермальный криптоанализ..................................................277
Доступ к содержимому ОЗУ..........................................................277
Использование кейлогера ..............................................................277
Шифрование разделов и носителей ................................................278
Стеганография ..............................................................................278
Средства и инструменты ..................................................................279
Экспертные инструменты и авторское право ..............................279
Поиск информации на диске............................................................280
Наладонный компьютер (КПК) ....................................................216
Принтеры ......................................................................................217
Сканеры ........................................................................................218
ФлэшCнакопители ........................................................................218
Мобильные телефоны ....................................................................220
Коммутаторы и маршрутизаторы ..............................................220
Автомобильные компьютеры ........................................................221
Модемы ..........................................................................................221
Цифровые фотоаппараты ............................................................222
Сменные накопители ....................................................................222
Короткоживущие данные..................................................................223
Перечень ........................................................................................223
Снятие ..........................................................................................225
Как выключать? ............................................................................227
Работа с потерпевшими ....................................................................229
Заключение к разделу 3 ....................................................................230
4. Заверение контента ..................................................................231
Размещение на веб"сайте ..................................................................232
Практика ......................................................................................232
Просмотр ......................................................................................233
Динамические вебCстраницы ........................................................233
Особенности браузера....................................................................234
Адресация ......................................................................................235
Размещение в телеконференции (newsgroup) ..................................237
Размещение в файлообменных сетях ..............................................240
Доказательство наличия контента..............................................243
Выявление источника ....................................................................244
Доказательство использования ....................................................244
Виды преступлений ........................................................................245
Контент и доменное имя ..................................................................246
Правовая защита домена ..............................................................246
Путаница сайта и ДИ ..................................................................246
Примеры ........................................................................................247
Заключение к разделу 4 ....................................................................249
5. Компьютерно"техническая экспертиза ..................................250
Место и роль КТЭ ............................................................................250
Общее ............................................................................................250
8 9Введение
Название
Термин «форéнзика» произошел от латинского «foren», что значит
«речь перед форумом», то есть выступление перед судом, судебные деба"
ты – это был один из любимых жанров в Древнем Риме, известный, в
частности, по работам Цицерона. В русский язык это слово пришло из
английского. Термин «forensics» является сокращенной формой «forensic
science», дословно «судебная наука», то есть наука об исследовании дока"
зательств – именно то, что в русском именуется криминалистикой. Соот"
ветственно, раздел криминалистики, изучающий компьютерные доказа"
тельства, называется по"английски «computer forensics». При заимствова"
нии слово сузило свое значение. Русское «форензика» означает не всякую
криминалистику, а именно компьютерную.
Другие разделы
Традиционные разделы криминалистики – дактилоскопия, баллисти"
ка, токсикология – развиваются уже более ста лет. В них не только накоп"
лен большой опыт и отточены методики исследования. Некоторые осо"
бенности криминалистических технологий отражены в законодательстве.
Например, законодательством прямо предусматривается взятие отпечат"
ков пальцев и отстрел оружия в определенных случаях. Компьютерная
криминалистика только что родилась. Опыт и инструментарий ее пока
невелик. А требования законодательства совсем не заточены под особен"
ности применяемых технологий, и даже иногда препятствуют их исполь"
зованию.
Форензика оказалась почти не связанной с другими разделами крими"
налистики. Разве что прослеживается некоторая связь с технико"крими"
налистическим исследованием документов – компьютеры и компьютер"
ная периферия широко применяются для подделки традиционных, бу"
мажных документов.
Внутри форензики уже наметился один обособленный раздел – иссле"
дование программ для ЭВМ. Изучение устройства программ по исполня"
емому коду, методы создания вредоносных программ и противодействия
им – это требует своих методов, существенно отличающихся от прочих
методов форензики, применяемых для поиска, сбора и исследования
цифровых доказательств. Хорошие специалисты по вредоносным прог"
раммам, как правило, имеют узкую специализацию и не занимаются ни"
чем иным – ни восстановлением скрытой информации, ни фиксацией
короткоживущих данных, ни трассировкой источника DoS"атаки. И нап"
Информация о файлах....................................................................280
Подключение образа диска ............................................................282
Изучение архивов электронной почты и ICQ..................................282
Реконструкция просмотра веб"страниц ..........................................283
Оценка найденного ..........................................................................284
Исследование программ....................................................................286
Изучение печатных документов ......................................................287
Стоимость ПО....................................................................................287
Разбор образцов ................................................................................290
Отрицательный пример ................................................................290
Промежуточный пример................................................................307
Положительный пример ................................................................311
6. Участие специалиста в судебном заседании ..........................321
7. Тенденции и перспективы ........................................................323
Тенденции..........................................................................................323
Понимание и просвещение..............................................................324
Широкополосный доступ ..............................................................325
Интеллектуальная собственность................................................326
Конвергенция..................................................................................327
Перспективы......................................................................................328
Законодательство ........................................................................328
Криминалистическая техника ......................................................328
Слежка ..........................................................................................328
Новые отношения ..........................................................................329
Неолиберализм и неоконсерватизм ................................................330
Возрастание роли Интернета ......................................................331
Литература........................................................................................332
Офлайновые публикации..................................................................332
Интернет публикации ......................................................................336
Нормативные акты ............................................................................339
Официоз или сленг? Словарь официальных и жаргонных
технических терминов........................................................................340