Книга рассказывает о методах раскрытия и расследования компьютерных преступлений, правилах сбора, закрепления и представления доказательств по ним применительно к российскому законодательству.
Авторы: Федотов Н. Н.
Категории: Криминалистика Криминалистическая техника Компьютерные технологии в криминалистике
Федотов Н. Н. / Форензика - компьютерная криминалистика
ОГЛАВЛЕНИЕ Введение ..........................................................................................11 Название ..........................................................................................11 Другие разделы ................................................................................11 Ценз ................................................................................................12 Предмет................................................................................................12 Целостность ..................................................................................13 Форензика и прогресс ......................................................................14 Задачи ..................................................................................................15 Общенаучные методы ........................................................................16 Специальные методы ..........................................................................19 Формы ..................................................................................................19 Привлечение специалистов ................................................................21 Хакеры на службе? ..........................................................................22 Вовлечение общественности ..............................................................23 Общественные связи (пиар) ............................................................23 Потерпевший ..................................................................................24 Роль экспертно"криминалистических подразделений ....................25 Современное состояние ......................................................................26 Специальные технические средства ..................................................28 Аппаратные средства......................................................................30 Экспертные программы ..................................................................30 Наборы хэшей ..................................................................................31 Архивирование..................................................................................32 Значение спецсредств ......................................................................32 Криминалистические информационные системы ............................33 Этапы ..................................................................................................34 Контрфорензика..................................................................................35 Заключение ..........................................................................................36 1. Компьютерные преступления ....................................................37 Что такое «компьютерное преступление»?....................................37 Избыточная криминализация ..........................................................38 Криминалистическая характеристика ..............................................39 Статистика ..................................................................................40 Личность вероятного преступника ................................................41 Оперативность ..............................................................................47 Мошенничество с трафиком ..............................................................87 Нарушение авторских прав в офлайне ..............................................88 Способ..............................................................................................88 Преступник ....................................................................................89 Потерпевший ..................................................................................89 Следы ..............................................................................................90 Политизированность ......................................................................91 Нарушение авторских прав в Сети ....................................................92 Способ..............................................................................................92 Преступник ....................................................................................92 Потерпевший ..................................................................................93 Следы ..............................................................................................94 Фишинг................................................................................................94 Способ..............................................................................................94 Преступник ..................................................................................101 Потерпевший ................................................................................101 Киберсквоттинг ................................................................................102 Определение ..................................................................................102 Правовая оценка ............................................................................103 Другое ................................................................................................105 Платежи через Интернет ............................................................105 Терроризм и кибервойна ................................................................108 Мошенничество в онлайновых играх..............................................109 Использование RBL........................................................................111 Накрутка ......................................................................................115 Заключение к разделу 1 ....................................................................118 2. Оперативно"розыскные мероприятия ....................................119 Взаимодействие ................................................................................119 Перехват и исследование трафика....................................................121 Значение ........................................................................................121 Пример ..........................................................................................121 Организация перехвата ................................................................125 Шифрованный трафик ..................................................................127 Исследование статистики трафика ..................................................131 Netflow............................................................................................131 Пример ..........................................................................................131 Другие данные о трафике ..................................................................136 Анализ заголовков пакетов ............................................................137 Приоритетность расследования ....................................................49 Онлайн"мошенничество ....................................................................50 Способ..............................................................................................50 Обстановка ....................................................................................52 Преступник ....................................................................................53 Потерпевший ..................................................................................53 Следы ..............................................................................................53 Клевета, оскорбления и экстремистские действия в Сети ..............54 Способ..............................................................................................54 Преступник ....................................................................................57 Обстановка ....................................................................................58 Следы ..............................................................................................59 DoS"атаки ............................................................................................59 Способ..............................................................................................59 Преступник ....................................................................................60 Обстановка ....................................................................................61 Потерпевший ..................................................................................62 Следы ..............................................................................................64 Дефейс..................................................................................................65 Способ..............................................................................................65 Преступник ....................................................................................67 Следы ..............................................................................................67 Потерпевший ..................................................................................68 Вредоносные программы ....................................................................68 Способ..............................................................................................68 Преступник ....................................................................................69 Звонилки (dialers) ............................................................................72 Следы ..............................................................................................73 Кардерство ..........................................................................................74 Способы ..........................................................................................74 Получение ........................................................................................75 Реализация ......................................................................................76 Скиминг ..........................................................................................77 Использование интернетCказино ....................................................80 Фиктивные покупки ........................................................................80 Реальный пластик ..........................................................................83 Белый пластик ................................................................................84 Посреднические онлайнCсервисы ......................................................85 Почему мошенничество?..................................................................86 4 5Почтовый ящик ............................................................................180 Передача сообщений ......................................................................180 Достоверность ..............................................................................186 Установление ................................................................................186 Примеры ........................................................................................187 Кейлогеры ..........................................................................................191 Аппаратные кейлогеры ..................................................................191 Программные кейлогеры ................................................................192 Интернет"поиск как метод ОРД ......................................................192 Заключение к разделу 2 ....................................................................195 3. Следственные действия ............................................................196 Осмотр компьютера ..........................................................................196 Особенности ..................................................................................196 Стандарты....................................................................................197 Лог"файлы, доказательная сила логов..............................................198 Определение ..................................................................................198 Примеры ........................................................................................198 Лог как доказательство ................................................................202 Цепочка доказательности ............................................................203 Корректность генерирующей программы ......................................203 Примеры ........................................................................................204 Неизменность при передаче ..........................................................205 Корректность логирующей программы..........................................206 Неизменность при хранении логов ................................................206 Корректность изъятия..................................................................206 Неизменность после изъятия ........................................................208 Корректность интерпретации......................................................208 Процедура приобщения логов ........................................................209 Деревенский вариант ....................................................................209 Провинциальный вариант..............................................................209 Столичный вариант ......................................................................210 Снятие копии диска ......................................................................211 Стерильность ................................................................................212 Тактика обыска..................................................................................212 Принципы ......................................................................................213 Общие правила изъятия компьютерной техники при обыске........213 Особенности ..................................................................................215 Ноутбук (лэптоп, переносной компьютер) ..................................216 Избирательный перехват ..............................................................138 Исследование логов веб"сервера ......................................................139 Значение логов................................................................................139 Содержание ..................................................................................141 Можно ли доверять логам?............................................................142 Исследование системных логов........................................................142 Системные логи Windows ..............................................................143 Системные логи UNIX и Linux ......................................................144 Системные логи IOS ......................................................................144 Исследование логов мейл"сервера и заголовков электронной почты............................................................................145 Как устроено ................................................................................145 Следы ............................................................................................146 Примеры ........................................................................................147 Можно ли доверять заголовкам? ..................................................154 Формат сообщений ........................................................................155 Документирование прохождения сообщений ................................155 Деревенский вариант ....................................................................155 Провинциальный вариант..............................................................156 Столичный вариант ......................................................................156 Анонимные ремейлеры ....................................................................156 Установление принадлежности и расположения IP"адреса ..........158 Уникальность ................................................................................158 Регистраторы................................................................................159 Установление принадлежности IPCадреса через whoisCклиент.....160 Установление принадлежности IPCадреса через вебCформу..........162 Корректность................................................................................162 Трассировка IPCадреса ..................................................................162 Неуловимый IP ..............................................................................167 Пространство и время ..................................................................168 Документирование ........................................................................169 Физическое расположение ............................................................169 Пример ..........................................................................................170 Прочее ............................................................................................171 Установление принадлежности доменного имени..........................172 Изучение ответа ..........................................................................175 Достоверность данных регистратора ..........................................177 Анонимизация владельцев ..............................................................177 Документирование ........................................................................178 Принадлежность адреса электронной почты ..................................180 6 7Кто может быть экспертом? ......................................................251 Проблемы с пониманием ................................................................253 Приемлемые вопросы ......................................................................254 Поиск информации ........................................................................255 Следы ............................................................................................256 Программы ....................................................................................256 Время ............................................................................................257 Пользователь ................................................................................257 Итоги ............................................................................................258 Неприемлемые вопросы....................................................................258 Контрафактность ........................................................................258 Стоимость ....................................................................................259 Правомерность доступа ................................................................260 Оценка содержания ......................................................................261 Резюме ..........................................................................................262 Объекты исследования ......................................................................263 Оригинал или копия? ......................................................................263 Методы КТЭ ......................................................................................264 Исследование файловых систем ....................................................264 Копирование носителей ................................................................267 ХэшCфункции для удостоверения тождественности ....................269 Исследование файлов ....................................................................271 Другие типы носителей ....................................................................272 ФлэшCнакопители ........................................................................272 Зашифрованные данные ..................................................................274 Использование слабой криптографии ............................................274 Использование коротких ключей и паролей ..................................274 Использование словарных паролей ................................................275 Неаккуратное обращение с открытым текстом ........................275 Неаккуратное обращение с паролем ..............................................276 Нешифрованные имена файлов ......................................................276 Ректотермальный криптоанализ..................................................277 Доступ к содержимому ОЗУ..........................................................277 Использование кейлогера ..............................................................277 Шифрование разделов и носителей ................................................278 Стеганография ..............................................................................278 Средства и инструменты ..................................................................279 Экспертные инструменты и авторское право ..............................279 Поиск информации на диске............................................................280 Наладонный компьютер (КПК) ....................................................216 Принтеры ......................................................................................217 Сканеры ........................................................................................218 ФлэшCнакопители ........................................................................218 Мобильные телефоны ....................................................................220 Коммутаторы и маршрутизаторы ..............................................220 Автомобильные компьютеры ........................................................221 Модемы ..........................................................................................221 Цифровые фотоаппараты ............................................................222 Сменные накопители ....................................................................222 Короткоживущие данные..................................................................223 Перечень ........................................................................................223 Снятие ..........................................................................................225 Как выключать? ............................................................................227 Работа с потерпевшими ....................................................................229 Заключение к разделу 3 ....................................................................230 4. Заверение контента ..................................................................231 Размещение на веб"сайте ..................................................................232 Практика ......................................................................................232 Просмотр ......................................................................................233 Динамические вебCстраницы ........................................................233 Особенности браузера....................................................................234 Адресация ......................................................................................235 Размещение в телеконференции (newsgroup) ..................................237 Размещение в файлообменных сетях ..............................................240 Доказательство наличия контента..............................................243 Выявление источника ....................................................................244 Доказательство использования ....................................................244 Виды преступлений ........................................................................245 Контент и доменное имя ..................................................................246 Правовая защита домена ..............................................................246 Путаница сайта и ДИ ..................................................................246 Примеры ........................................................................................247 Заключение к разделу 4 ....................................................................249 5. Компьютерно"техническая экспертиза ..................................250 Место и роль КТЭ ............................................................................250 Общее ............................................................................................250 8 9Введение Название Термин «форéнзика» произошел от латинского «foren», что значит «речь перед форумом», то есть выступление перед судом, судебные деба" ты – это был один из любимых жанров в Древнем Риме, известный, в частности, по работам Цицерона. В русский язык это слово пришло из английского. Термин «forensics» является сокращенной формой «forensic science», дословно «судебная наука», то есть наука об исследовании дока" зательств – именно то, что в русском именуется криминалистикой. Соот" ветственно, раздел криминалистики, изучающий компьютерные доказа" тельства, называется по"английски «computer forensics». При заимствова" нии слово сузило свое значение. Русское «форензика» означает не всякую криминалистику, а именно компьютерную. Другие разделы Традиционные разделы криминалистики – дактилоскопия, баллисти" ка, токсикология – развиваются уже более ста лет. В них не только накоп" лен большой опыт и отточены методики исследования. Некоторые осо" бенности криминалистических технологий отражены в законодательстве. Например, законодательством прямо предусматривается взятие отпечат" ков пальцев и отстрел оружия в определенных случаях. Компьютерная криминалистика только что родилась. Опыт и инструментарий ее пока невелик. А требования законодательства совсем не заточены под особен" ности применяемых технологий, и даже иногда препятствуют их исполь" зованию. Форензика оказалась почти не связанной с другими разделами крими" налистики. Разве что прослеживается некоторая связь с технико"крими" налистическим исследованием документов – компьютеры и компьютер" ная периферия широко применяются для подделки традиционных, бу" мажных документов. Внутри форензики уже наметился один обособленный раздел – иссле" дование программ для ЭВМ. Изучение устройства программ по исполня" емому коду, методы создания вредоносных программ и противодействия им – это требует своих методов, существенно отличающихся от прочих методов форензики, применяемых для поиска, сбора и исследования цифровых доказательств. Хорошие специалисты по вредоносным прог" раммам, как правило, имеют узкую специализацию и не занимаются ни" чем иным – ни восстановлением скрытой информации, ни фиксацией короткоживущих данных, ни трассировкой источника DoS"атаки. И нап" Информация о файлах....................................................................280 Подключение образа диска ............................................................282 Изучение архивов электронной почты и ICQ..................................282 Реконструкция просмотра веб"страниц ..........................................283 Оценка найденного ..........................................................................284 Исследование программ....................................................................286 Изучение печатных документов ......................................................287 Стоимость ПО....................................................................................287 Разбор образцов ................................................................................290 Отрицательный пример ................................................................290 Промежуточный пример................................................................307 Положительный пример ................................................................311 6. Участие специалиста в судебном заседании ..........................321 7. Тенденции и перспективы ........................................................323 Тенденции..........................................................................................323 Понимание и просвещение..............................................................324 Широкополосный доступ ..............................................................325 Интеллектуальная собственность................................................326 Конвергенция..................................................................................327 Перспективы......................................................................................328 Законодательство ........................................................................328 Криминалистическая техника ......................................................328 Слежка ..........................................................................................328 Новые отношения ..........................................................................329 Неолиберализм и неоконсерватизм ................................................330 Возрастание роли Интернета ......................................................331 Литература........................................................................................332 Офлайновые публикации..................................................................332 Интернет публикации ......................................................................336 Нормативные акты ............................................................................339 Официоз или сленг? Словарь официальных и жаргонных технических терминов........................................................................340
Файлы для скачивания доступны в течении 4х часов после создания ссылок.
Не закрывайте это окно до окончания скачивания, иначе вам придется заново делать запрос на файлы.