КОМПЬЮТЕРНЫЕ ПРЕСТУПЛЕНИЯ

      Что такое «компьютерное преступление»?
     Уголовный кодекс РФ содержит три состава преступлений, называемых преступлениями в сфере компьютерной информации, – ст. 272, 273 и 274 (глава 28). Термин же «компьютерные преступления» несколько шире, чем «преступления в сфере компьютерной информации». Он также охватывает те преступления, где компьютерная техника, программы, компьютерная информация и цифровые каналы связи являются орудиями совершения преступления или объектом посягательства. К таким преступлениям относятся: мошенничество с применением банковских карт (кардинг), мошенничество с выманиванием персональных данных (фишинг), незаконное пользование услугами связи и иной обман в области услуг связи (фрод, кража трафика), промышленный и иной шпионаж, когда объектом являются информационные системы, и т.д.
     В разных источниках имеется несколько определений «компьютерного преступления» – от самого узкого (только три вышеупомянутых состава) до самого широкого (все дела, касающиеся компьютеров). Для целей форензики четкого определения компьютерного преступления и не требуется. Форензика как бы сама есть определение. Компьютерным можно называть любое преступление, для раскрытия которого используются методы компьютерной криминалистики.
     В зарубежной литературе и во многих официальных документах кроме/вместо «computer crime» также часто употребляется термин «cyber crime» – киберпреступность, киберпреступление. Определения этого термина разные, более широкие и более узкие.
Для целей настоящей книги мы будем использовать следующее определение.
     Компьютерное преступление (киберпреступление) – уголовное правонарушение, для расследования которого существенным условием является применение специальных знаний в области информационных технологий.
      Компьютер и компьютерная информация могут играть три роли в преступлениях, которые автор относит к компьютерным:
● объект посягательства;
● орудие совершения;
● доказательство или источник доказательств.
     Во всех трех случаях требуются специальные знания и специальные методы для обнаружения, сбора, фиксации и исследования доказательств.

Скачать бесплатно В.И. Ярочкин Информационная безопасность 

КОНТР-ФОРЕНЗИКА

     Противодействие методам поиска, обнаружения и закрепления цифровых доказательств развивается не столь активно, как сама форензика.
      Дело в том, что спрос на соответствующие контрметоды ограничен. Почему ограничен? Для понимания этого давайте посмотрим, кому и для чего может потребоваться противодействовать обнаружению компьютерной информации.
      Во-первых, то, что первым приходит в голову, – киберпреступники. Те, кто имеет основания опасаться закона и прятать следы своей криминальной деятельности. Понятно, что это очень узкий рынок сбыта, работать на нем сложно, крупные высокотехнологичные компании вряд ли станут выпускать оборудование и ПО для этого сегмента, даже если будет спрос.
      Во-вторых, контрметоды являются составной частью защиты информации. Везде, где имеется подлежащая защите конфиденциальная информация, должны использоваться методы для предотвращения ее утечки. Часть этих методов по борьбе с утечками ориентированы на исключение или затруднение восстановления информации противником.
В-третьих, право граждан на тайну частной жизни (приватность) может обеспечиваться в числе прочих и компьютерно-техническими мерами, которые фактически являются мерами контркриминалистическими. Правда, применение слишком сложных средств и методов здесь невозможно, поскольку указанная самозащита гражданами своего права на тайну частной жизни ограничена квалификацией среднего пользователя. Соответствующие методы не могут требовать высокой квалификации в области ИТ, соответствующие программы должны быть просты в управлении и работать под ОС «Windows», соответствующее оборудование не может быть дорогим. Поэтому здесь обычно ограничиваются довольно примитивной защитой.
     Видно, что значительная часть антикриминалистической техники – непрофессиональная, а то и вовсе кустарная. Видно, что антикриминалистический рынок значительно меньше криминалистического. В случае если антикриминалистическая продукция окажется недоброкачественной, предъявлять претензии к производителю, скорее всего, будет некому. Для преуспевания на этом рынке вовсе не требуется выпускать качественное, сложное оборудование и ПО. Требуется лишь хорошо рекламировать свою продукцию или услуги. Чем производители и занимаются.
      К защитным антикриминалистическим средствам можно отнести следующие:
● программы и аппаратно-программные устройства для шифрования хранимой информации;
● программы и аппаратно-программные устройства для шифрования трафика;
● программы для очистки дисков и других носителей;
● устройства для механического уничтожения информации на магнитных носителях;
● программы для сокрытия присутствия информации на диске (манипуляция с атрибутами файлов, запись в нестандартные места, стеганография);
● системы и сервисы для анонимизации сетевой активности;
● программы и аппаратно-программные устройства для затруднения копирования произведений, представленных в цифровой форме, затруднения исследования исполняемого кода и алгоритмов программ.
      Противодействие указанным средствам также является задачей форензики.

Скачать бесплатно А.В. Крысин Информационная безопасность 

ЭТАПЫ КРИМИНАЛИСТИЧЕСКОГО ПРОЦЕССА

     Криминалистический процесс, который проводят специалисты и эксперты, принято делить на четыре этапа:
1) сбор;
2) исследование;
3) анализ;
4) представление.
     На первом этапе происходит сбор как информации самой по себе, так и носителей компьютерной информации. Сбор должен сопровождаться атрибутированием (пометкой), указанием источников и происхождения данных и объектов. В процессе сбора должны обеспечиваться сохранность и целостность (неизменность) информации, а в некоторых случаях также ее конфиденциальность. При сборе иногда приходится предпринимать специальные меры для фиксации недолговечной (волатильной) информации, например, текущих сетевых соединений или содержимого оперативной памяти компьютера.
   На втором этапе производится экспертное исследование собранной информации (объектов"носителей). Оно включает извлечение/считывание информации с носителей, декодирование и вычленение из нее той, которая относится к делу. Некоторые исследования могут быть автоматизированы в той или иной степени. Но работать головой и руками на этом этапе эксперту все равно приходится. При этом также должна обеспечиваться целостность информации с исследуемых носителей.
      На третьем этапе избранная информация анализируется для получения ответов на вопросы, поставленные перед экспертом или специалистом. При анализе должны использоваться только научные методы, достоверность которых подтверждена.
      Четвертый этап включает оформление результатов исследования и анализа в установленной законом и понятной неспециалистам форме.

Скачать бесплатно А.В. Куприянова Реестр Windows XP: Настройки, трюки, секреты 

КРИМИНАЛИСТИЧЕСКИЕ ИНФОРМАЦИОННЫЕ СИСТЕМЫ

     Указанные системы не используются напрямую для поиска и изучения доказательств. Они выполняют обеспечивающие функции в работе по раскрытию и расследованию преступлений. Но традиционно относятся к криминалистической технике. Криминалистические информационные системы выполняют ряд близких задач. А именно:
        ● облегчают и/или ускоряют оформление различных документов для ОРМ, предварительного следствия, судебных целей;
    ● позволяют работникам правоохранительных органов быстрее найти необходимые нормативные акты, комментарии, прецеденты, получить консультации;
      ● облегчают и ускоряют доступ сотрудников ко всевозможным базам данных, учетам, справочникам – как публичным, так и закрытым;
       ● ускоряют и автоматизируют проведение ОРМ, связанных с перехватом сообщений.
     Иногда к криминалистической технике причисляют также средства связи и навигации, используемые в работе правоохранительных органов. Полезно упомянуть следующие информационные системы:
        ● Глобальная информационно-телекоммуникационная система (ГИТКС) НЦБ Интерпола;
      ● Единая информационно-телекоммуникационная система органов внутренних дел (ЕИТКС ОВД).

Скачать бесплатно Д. Бэндл Защита и безопасность в сетях Linux 

АРХИВИРОВАНИЕ В ФОРЕНЗИКЕ

     Копирование и долговременное хранение копий данных сначала применялось лишь с целью восстановления в случае утраты – так называемое «страховочное копирование» или «холодное резервирование».
     В последнее время архивирование применяется и с иными целями – для расследования инцидентов безопасности, могущих произойти или обнаружиться в будущем. То есть данные копируются не по принципу «наиболее ценные, наиболее чувствительные данные, утрата которых нанесет ущерб», а по совсем иному принципу: копируются данные и области носителей, где могут оставаться следы злоумышленных действий.
    Например, в отношении служебного персонального компьютера для целей восстановления архивируются файлы пользователя и отдельные его настройки. Операционная система и прикладные программы страховочному копированию не подлежат, поскольку легко восстанавливаются из дистрибутива. Все резервное копирование производится на уровне файловой системы. А для целей расследования инцидентов копируется весь жесткий диск (НЖМД) компьютера, причем не на уровне файловой системы, а на уровне контроллера диска, то есть чтобы включалась удаленная и скрытая информация.
      Страховочная копия малополезна для расследования инцидентов.
     Напротив, «инцидентная» копия не подходит для восстановления на случай вирусной атаки или аварии. Это разные копии – и технически, и по назначению. Средства для архивирования на случай расследования инцидентов – это специальные криминалистические средства. Они могут собирать и хранить не только копии НЖМД, но также копии сетевого трафика, копии электронной почты и некоторые другие виды данных.

Скачать бесплатно У. Ванг Как не стать жертвой хакеров и мошенников в Интернете 

НАБОРЫ ХЭШЕЙ

      Так называемые «hash sets» – наборы хэшей – предназначены для облегчения исследования содержимого файловой системы больших носителей, в основном компьютерных жестких дисков.
     Предположим, эксперту поступил для исследования изъятый при обыске у подозреваемого НЖМД, на котором установлена операционная система и имеются пользовательские данные. Эти данные могут быть разбросаны по различным директориям, могут содержаться внутри файлов с настройками, даже могут быть скрыты методами стеганографии внутри файлов, содержащих с виду совсем другие данные. Современные ОС включают в свой состав тысячи файлов, популярные приложения – тоже сотни и тысячи. Таким образом, в файловой системе обычного компьютера может находиться, например, 30 000 файлов, из которых только 500 – это файлы, созданные пользователем или измененные им.
     Чтобы отделить это «меньшинство» пользовательских файлов от заведомо не содержащего ничего интересного «большинства», предназначен набор хэшей.
Хэш, хэш-сумма или однонаправленная хэш-функция файла представляет собой длинное число, вычисляемое из содержимого файла по особому алгоритму. Хэш-сумма похожа на контрольную сумму, но имеет одно существенное отличие: это однонаправленная функция. То есть по файлу легко вычислить его хэш-функцию, но под заданную хэш-функцию подобрать соответствующий ей файл невозможно.
     Хэши известных (то есть входящих в серийное ПО различных производителей) файлов позволяют, не рассматривая подробно содержание этих файлов, отбросить их и быть уверенным, что эти файлы не содержат пользовательской информации. После их исключения эксперту остается исследовать относительно небольшое число файлов. Этот тип наборов именуется «knowngoods».
     Существуют и наборы хэшей, выполняющие обратную задачу. Они именуются «knownbads» и соответствуют не заведомо безобидным файлам, а наоборот, заведомо вредоносным, содержащим порнографию, вирусы или иной криминальный контент.
Обычно набор хэшей – это отдельный продукт, приобретаемый у соответствующего производителя (включая подписку на обновления) и подключаемый к экспертному ПО. Он может содержать сотни тысяч и миллионы хэш-функций с соответствующими сведениями о файлах. Все популярные экспертные системы позволяют подключать и использовать «внешние» наборы хэшей.

Скачать бесплатно С.Г. Баричев, В.В. Гончаров, Р.Е. Серов Основы современной криптографии  

ЭКСПЕРТНЫЕ ПРОГРАММЫ ДЛЯ ФОРЕНЗИКИ

     Такие программы предназначены в основном для исследования содержимого компьютерных носителей информации (прежде всего НЖМД) во время проведения экспертизы.
     Они работают не только на уровне файловой системы, но и ниже – на уровне контроллера НЖМД, что позволяет вос станавливать информацию после удаления файлов.
     Перечислим несколько популярных экспертных программ:
● Семейство программ ProDiscover (подробнее http://computer-forensics-lab.org/lib/?cid=12);
● SMART (Storage Media Analysis Recovery Toolkit) (http://computer-forensics-lab.org/lib/?cid=18)
● Forensic Toolkit (FTK) фирмы «AccessData» (http://computer-forensics-lab.org/lib/?cid=19)
● Encase – экспертная система(http://computer-forensics-lab.org/lib/?rid=23);
● ILook Investigator (http://www.ilook-forensics.org)
● SATAN (System Administrator Tools for Analyzing Networks) – средство для снятия полной информации с компьютеров для ОС Unix;
● DIBS Analyzer 2 (http://computer-forensics-lab.org/lib/?cid=37);
● Helix – экспертный комплект на загрузочном компакт"диске на основе ОС Linux.

Скачать бесплатно С.П. Расторгуев, Н.Н.Дмитриевский Искусство защиты и "раздевания" программ 

АППАРАТНЫЕ СРЕДСТВА ФОРЕНЗИКИ

Учитывая, что современные компьютеры являются универсальными устройствами, в которых используются в основном открытые стандарты и протоколы, специальных аппаратных средств для исследования самих компьютеров и компьютерных носителей информации не требуется. То есть универсальным инструментом является сам компьютер, а все его функции можно задействовать через соответствующие программные средства.
     Немногочисленные аппаратные криминалистические устройства сводятся к дупликаторам дисков и блокираторам записи. Первые позволяют снять полную копию НЖМД в полевых условиях, но это с тем же успехом можно сделать при помощи универсального компьютера. Вторые позволяют подключить исследуемый диск с аппаратной блокировкой записи на него. Но то же самое позволяет сделать программно любая операционная система (кроме Windows). То есть аппаратные криминалистические устройства для компьютеров и компьютерной периферии служат лишь удобству специалиста или эксперта.
     Совсем другое дело – криминалистические устройства для иной техники, отличной от универсальных компьютеров. Мобильные телефоны, цифровые фотоаппараты и видеокамеры, бортовые компьютеры, коммутаторы, маршрутизаторы, аппаратные межсетевые экраны – все эти устройства не являются технологически открытыми и вовсе не стремятся к универсальности. Для полного доступа к компьютерной информации, хранящейся в них, не всегда бывает достаточно компьютера и программных инструментов.
     Разнообразие таких устройств соответствует разнообразию выпускаемых электронных устройств, способных нести компьютерную информацию. У каждого производителя – свои проприетарные протоколы, свои интерфейсы. Приобретать такие устройства заранее вряд ли целесообразно. Исключение, пожалуй, составляют ридеры для SIM-карт мобильных телефонов и ридеры для стандартных банковских карт – эти криминалистические устройства всегда полезно иметь в своем арсенале.

Скачать бесплатно В.В. Платонов Программно-аппаратные средства обеспечения информационной безопасности вычислительных сетей 

Специальные технические средства ФОРЕНЗИКИ

     Компьютерный криминалист вполне может обойтись без специальной криминалистической техники вообще. Компьютер сам по себе – достаточно универсальный инструмент. Среди многообразного периферийного оборудования и программного обеспечения найдутся все необходимые для исследования функции. Некоторые программные инструменты можно легко создать или модифицировать своими руками.
     Однако специальная техника сильно облегчает работу. Впрочем, карманы она облегчает еще сильнее.
     На сегодняшний день на рынке имеются следующие криминалистические инструменты:
● устройства для клонирования жестких дисков и других носителей (в том числе в полевых условиях);
● устройства для подключения исследуемых дисков с аппаратной блокировкой записи на них;
● программные инструменты для криминалистического исследования содержимого дисков и других носителей, а также их образов;
● переносные компьютеры с комплексом программных и аппаратных средств, ориентированных на исследование компьютерной информации в полевых условиях;
● наборы хэшей (hash sets) для фильтрации содержимого изучаемой файловой системы;
● аппаратные и программные средства для исследования мобильных телефонов и SIM-карт;
● программные средства для исследования локальных сетей;
● и некоторые другие.
     В целях криминалистического исследования можно эффективно применять не только специально для этого предназначенные средства, но также некоторые средства общего или двойного назначения.
    С другой стороны, аппаратные и программные инструменты, которые автор назвал криминалистическими, могут быть использованы не только для правоохранительных целей. У них есть и ряд «гражданских» применений:
● тестирование компьютеров и их сетей, поиск неисправностей и неверных настроек;
● мониторинг с целью обнаружения уязвимостей и инцидентов безопасности;
● восстановление данных, утраченных вследствие неисправностей,
ошибок, иных незлоумышленных действий;
● копирование носителей с архивными целями или для быстрой инсталляции/дупликации программного обеспечения;
● поиск скрытой или стертой информации для борьбы с утечкой конфиденциальных данных.

Скачать бесплатно В.Е. Козлов Теория и практика борьбы с компьютерной преступностью

Роль экспертно-криминалистических подразделений в ФОРЕНЗИКЕ

       Роль специалистов и экспертов при раскрытии и расследовании компьютерных преступлений является ключевой, так как без их участия расследовать такое преступление невозможно вообще.
   Особенность состоит в том, что экспертно-криминалистические подразделения правоохранительных органов таких специалистов не имеют.
      В текущих условиях минимальная зарплата ИТ-специалиста «на гражданке» в разы превышает максимальную зарплату сотрудника экспертно-криминалистического подразделения в органах внутренних дел. Старых же кадров, на которых держатся другие направления криминалистики, для форензики попросту не существует, поскольку обсуждаемая отрасль знания сама по себе очень молода.
    Номинальное существование подразделений компьютерно-технической экспертизы в некоторых экспертно-криминалистических учреждениях может ввести кого-то в заблуждение, но только до первой встречи с этими номинальными «экспертами» или их трудами.
     Выход состоит в привлечении к расследованию гражданских специалистов и экспертов из числа сотрудников операторов связи, программистов, инженеров по коммуникационному оборудованию, системных администраторов. Многие из них готовы сотрудничать с органами внутренних дел совсем безвозмездно или на взаимно приемлемых условиях.
     Нечто вроде экспертно-криминалистических отделов существует в некоторых коммерческих организациях, которым часто приходится проводить расследования инцидентов безопасности или которые специализируются на проведении экспертиз по гражданским делам.
     Штатным же ЭКО стоит поручать лишь простейшие, типовые виды компьютерных экспертиз, для которых есть готовые алгоритмы действий и образцы заключений.

 

Скачать бесплатно А.П.Курило Аудит информационной безопасности

Формы ФОРЕНЗИКИ

     Общенаучные и специальные методы компьютерной криминалистики должны использоваться в борьбе с преступностью в следующих формах.
     1. Производство компьютерно-технических экспертиз. Кроме этих, «родных» для себя экспертиз, ИТ-специалисты должны принимать участие в некоторых других видах экспертиз. Например, товароведческая (экономическая) экспертиза по определению стоимости прав на использование экземпляра ПО. Понятно, что обычный экономист не знаком с особенностями ценообразования на программные продукты, с существующей практикой в этой области. Поэтому ему надо дать в помощь эксперта по ИТ.
     2. Участие специалистов в проведении следственных действий, имеющих отношение к компьютерной информации, – обыска, выемки, осмотра места происшествия и т.д. Например, такая элементарная задача, как выключение компьютера, который подлежит изъятию. Нет однозначного способа выключения. Чтобы правильно его выключить, нужно проанализировать обстоятельства дела, взвесить вероятности разных событий и, только исходя из этого, избрать способ выключения. А некоторые типы компьютерной техники вообще выключать нельзя.
      3. Участие специалиста в проведении ОРМ. Наиболее востребованное в обсуждаемой области мероприятие – снятие информации с технических каналов связи – проводится не просто «при участии», а только самим специалистом.
     4. Участие специалиста в судебном заседании. Эта форма стала активно использоваться лишь при рассмотрении дел по компьютерным преступлениям. В таких делах специальные знания требуются очень часто. Без разъяснений специалиста иногда невозможно правильно понять не только заключение эксперта, но также показания свидетелей и вопросы участников процесса. Специалист действует наподобие переводчика, разъясняя участникам процесса значения терминов, поясняя значение тех или иных технических деталей.
     5. Снабжение оперативных работников и следователей техническими средствами, которые те могут использовать в работе самостоятельно, без участия специалиста.
     6. Обучение пользователей и технических специалистов предприятий (то есть потенциальных потерпевших) методам первичной фиксации цифровых доказательств, их предохранения от уничтожения. Значительная часть компьютерных преступлений остается нераскрытой только из-за того, что оператор информационной системы, которая стала целью злоумышленника, не позаботился о сбережении логов, электронных сообщений, использованных программ и иных потенциальных доказательств. Либо не знал, как их правильно сберечь, чтобы в дальнейшем такие доказательства имели силу, либо вообще не подозревал о существовании некоторых цифровых следов.

Узнай как настроить контроль печати на принтере средствами Windows 

Специальные методы ФОРЕНЗИКИ

     Наряду с общенаучными форензика применяет и специальные методы исследования, свойственные только ей. Назовем некоторые из этих методов.
     ● Создание и применение специализированных криминалистических информационных систем; перенастройка и использование в своих целях систем двойного назначения.
     ● Использование в целях обнаружения или исследования доказательств публичных поисковых систем (таких как «Google»), а также поисковых систем специального назначения (типа «Эшелон»).
    ● Создание виртуальной личности для целей проведения с ее помощью ОРМ и агентурной работы.
   ● Сбор хэш"функций известных файлов для отделения их от файлов, содержащих оригинальную пользовательскую или модифицированную информацию.
    ● Архивирование полного содержимого носителей для целей последующего расследования возможных инцидентов.
    ● Эмулирование сетевых сервисов для исследования поведения подозрительных программ в лабораторных условиях.

Все о защите информации 

ОБЩЕНАУЧНЫЕ МЕТОДЫ В ФОРЕНЗИКЕ

     Все научные методы (наблюдение, измерение, описание, сравнение, эксперимент, моделирование, объяснение, анализ, синтез, предсказание) применяются в компьютерной криминалистике без ограничений.
     Однако имеются некоторые особенности.
Такой метод, как наблюдение, применяется в форензике достаточно своеобразно. Дело в том, что основным объектом исследования является компьютерная информация, которая в принципе не может наблюдаться человеком непосредственно. И изменяться непосредственно также не может. Непосредственные органы чувств человека – зрение, слух, осязание – не в состоянии воспринимать компьютерную информацию. В мире много объектов, которые не могут восприниматься человеком непосредственно – глазами, ушами и пальцами. Для наблюдения «ненаблюдаемых» величин есть большое количество инструментов-посредников – микроскопы, вольтметры, интерферометры и так далее, при помощи которых человек может наблюдать и изучать то, что не наблюдается невооруженным глазом.
     При изучении компьютерной информации количество и сложность таких посредников настолько велики, что иногда с большим трудом можно представить, какие именно преобразования претерпела информация по пути от своей исходной формы до наших глаз.
Представим себе, что на месте преступления обнаружен след – отпечаток обуви. Он воспринимается органами чувств человека непосредственно следователь и понятые своими глазами видят отпечаток обуви, прекрасно понимают механизм его возникновения. Совсем по-другому с компьютерной информацией.
     Представим, что на «месте происшествия», а именно на диске сервера, в лог-файле обнаружена запись. Органами чувств человека она не воспринимается. Чтобы увидеть эту запись, потребуется посредничество следующих технических средств:
● механизм жесткого диска (НЖМД*);
● контроллер НЖМД с внутренней микропрограммой (firmware);
● внешний ATA-контроллер;
● программное обеспечение BIOS;
● операционная система;
● файловая система (драйвер);
● программное обеспечение для просмотра содержимого файла (например, вьювер «less»);
● драйвер экрана;
● программный экранный шрифт;
● аппаратные средства ввода и вывода (клавиатура, монитор) со своими собственными микропрограммами.
     Вот сколько посредников стоят между компьютерной информацией и глазами «очевидца»! Все они изготовлены разными производителями. Не для всех из них имеются единые технические стандарты. Не для всех доступны описания. И ни в одном из этих средств нельзя быть полностью уверенным – все знают об ошибках в программном обеспечении, о возможности вирусов, троянов и программных закладок. Могут ли понятые уверенно утверждать, что именно они видели? Даже не рассматривая возможности намеренных закладок в программах... А если оператор, запуская вьювер, ошибся на одну букву в имени каталога или файла? А если «/var» – это не локальный диск, а подмонтированный сетевой?
     Итак, особенностью наблюдения в отношении компьютерной информации является то, что непосредственно наблюдаемое (то есть изображение на экране монитора) имеет отношение к объекту наблюдения (то есть компьютерной информации) косвенное отношение, при этом по пути происходит непредставимо большое и трудно контролируемое количество преобразований, зависящее от множества людей и факторов.
     Другие общенаучные методы – анализ и синтез – также имеют в обсуждаемой науке свои особенности.
      Дело в том, что в других технических науках при изучении объектов мы имеем дело только с объективными физическими процессами. Здесь же мы сталкивается со свободной человеческой волей, которая «зашита» в такой объект исследования, как программа для ЭВМ. Будучи объектом искусственного происхождения, программа несёт в себе волю программиста, отпечаток его личности, выполняет его замыслы, реализует его видение. То есть программа для ЭВМ – это уже не в полной мере объективная реальность. Хотя до полноценного субъекта – искусственного интеллекта – ей еще далеко.
Поясним утверждение на примере. Известно, что злоумышленник мог установить на свой компьютер программу типа «логическая бомба» для уничтожения всей критичной информации при угрозе попадания компьютера в чужие руки. Она должна сработать при выполнении каких-то действий на компьютере или, наоборот, – при невыполнении каких-то действий. Оставим сейчас за скобками стандартный метод (отключение компьютера, изъятие из него носителя информации и изучение его копии, что делает невозможным активацию программы"бомбы) и зададимся вопросом: как можно определить условия срабатывания такой программы для ее нейтрализации? Подумав немного, приходим к выводу, что ключ к пониманию алгоритма действия и условий срабатывания сей неизвестной программы следует искать исключительно в голове ее автора. Только поняв его образ мыслей и шаблоны поведения, можно догадаться, как поведет себя его программа. Формально программа – детерминированный объект. Но фактически изучать ее надо через изучение субъекта, обладающего свободой воли. То есть программа как бы обладает свободой воли, во всяком случае, такое допущение откроет нам путь к ее познанию.
      Но разве не возникает та же ситуация с иными техническими устройствами? Разве на их работу не наложила отпечаток личность создателя?
     Вышеописанная особенность характерна лишь для устройств, реализующих довольно сложный алгоритм. Алгоритм – это как раз тот объект, в котором и может содержаться частичка «воли». Кроме компьютерных программ, какие устройства реализуют алгоритмы? Причем алгоритмы не примитивные, а достаточно сложные, многовариантные. Теоретически такие устройства могут существовать, но нельзя утверждать, что только компьютерные программы обладают описанным свойством, то есть могут рассматриваться как обладающие условной свободой воли.

Все о защите информации 

СФЕРЫ ПРИМЕНЕНИЯ ФОРЕНЗИКИ

1. Раскрытие и расследование уголовных преступлений, в которых фигурируют компьютерная информация как объект посягательства, компьютер как орудие совершения преступления, а также какие"либо цифровые доказательства.
2. Сбор и исследование доказательств для гражданских дел, когда такие доказательства имеют вид компьютерной информации. Особенно это актуально по делам о нарушении прав интеллектуальной собственности, когда объект этих прав представлен в виде компьютерной информации – программа для ЭВМ, иное произведение в цифровой форме, товарный знак в сети Интернет, доменное имя и т.п.
3. Страховые расследования, проводимые страховыми компаниями касательно возможных нарушений условий договора, страхового мошенничества, особенно когда объект страхования представлен в виде компьютерной информации или таким объектом является информационная система.
4. Внутрикорпоративные расследования инцидентов безопасности, касающихся информационных систем, а также работы по предотвращению утечки информации, содержащей коммерческую тайну и иные конфиденциальные данные.
5. Военные и разведывательные задачи по поиску, уничтожению и
   восстановлению компьютерной информации в ходе оказания воздействия на информационные системы противника и защиты своих систем. 
6. Задачи по защите гражданами своей личной информации в электронном виде, самозащиты своих прав, когда это связано с электронными документами и информационными системами
    

ЗАДАЧИ ФОРЕНЗИКИ

Форензика решает следующие задачи:

● разработка тактики оперативно-розыскных мероприятий (ОРМ) и следственных действий, связанных с компьютерной информацией;

● создание методов, аппаратных и программных инструментов для сбора и исследования доказательств компьютерных преступлений;

● установление криминалистических характеристик правонарушений, связанных с компьютерной информацией.

ФОРЕНЗИКА И ПРОГРЕСС

     Теперь – о технических достижениях. Влияние передовых достижений техники и технологии на преступность возможно тремя путями.
Во-первых, неостановимый технический прогресс дает возможность совершать преступления новыми способами и при помощи новых орудий. Естественно, в той же мере прогресс способствует появлению новых способов раскрытия преступлений – как старых, так и новых. Например, то же старое мошенничество в наш век совершается при помощи сети Интернет. Но суть и предмет посягательства у мошенничества прежние.
     Новыми являются лишь орудия совершения – веб-сайт, электронная почта, платежная система.
     Во-вторых, достижения информационных технологий порождают принципиально новые общественные отношения, каковые отношения и становятся предметом преступных посягательств. При этом способ посягательства и орудия могут быть как старыми, так и новыми, с учетом достижений ИТ. Самый яркий пример – доменные имена. Такого общественного отношения, как право распоряжаться доменным именем, до недавних пор просто не существовало. Не было и посягательств. Ныне доменные имена охраняются законом (они причислены к объектам интеллектуальной собственности). И существует целый класс правонарушений, связанных с доменами, – киберсквоттинг.
     В-третьих, развитие ИТ может привести к появлению не просто новых общественных отношений, но нового субъекта таких отношений. Появление полноценного искусственного интеллекта уже явно просматривается на научном горизонте. А пока можно говорить о первых шагах в этом направлении. Программа для ЭВМ еще не рассматривается в качестве субъекта права, но в качестве стихийной силы уже иногда рассматривается. Программам уже дано принимать решения, которые могут существенно влиять на благосостояние и даже жизнь людей. Программы уже могут порождать новые объекты авторского права. Словом, появление принципиально нового субъекта, нового члена общества со своими правами – искусственного интеллекта – не за горами. А его появление вызовет новые правоотношения и, соответственно, новые преступления.

ПРЕДМЕТ ФОРЕНЗИКИ

     Форензика (компьютерная криминалистика) является прикладной наукой о раскрытии и расследовании преступлений, связанных с компьютерной информацией, о методах получения и исследования доказательств, имеющих форму компьютерной информации (так называемых цифровых доказательств), о применяемых для этого технических средствах.
     Предметами форензики являются:

• криминальная практика – способы, инструменты совершения соответствующих преступлений, их последствия, оставляемые следы, личность преступника; 
• оперативная, следственная и судебная практика по компьютерным преступлениям;  
• методы экспертного исследования компьютерной информации и, в частности, программ для ЭВМ; 
• достижения отраслей связи и информационных технологий (ИТ), их влияние на общество, а также возможности их использования как для совершения преступлений, так и для их предотвращения и раскрытия.

ФОРЕНЗИКА КАК РАЗДЕЛ КРИМИНАЛИСТИКИ

     Форензика оказалась почти не связанной с другими разделами криминалистики. Разве что прослеживается некоторая связь с технико-криминалистическим исследованием документов – компьютеры и компьютерная периферия широко применяются для подделки традиционных, бумажных документов.
     Внутри форензики уже наметился один обособленный раздел – исследование программ для ЭВМ. Изучение устройства программ по исполняемому коду, методы создания вредоносных программ и противодействия им – это требует своих методов, существенно отличающихся от прочих методов форензики, применяемых для поиска, сбора и исследования
цифровых доказательств. Хорошие специалисты по вредоносным программам, как правило, имеют узкую специализацию и не занимаются ничем иным – ни восстановлением скрытой информации, ни фиксацией короткоживущих данных, ни трассировкой источника DoS-атаки. И напротив, эксперт, специализирующийся на исследовании информационного содержимого компьютеров, вряд ли возьмется за исследование неизвестного компьютерного вируса.
     Некоторые авторы разделяют компьютерную криминалистику (computer forensics) и сетевую криминалистику (network forensics). Применяемые методы в том и в другом случае действительно отличаются.

ФОРЕНЗИКА

Термин «форéнзика» произошел от латинского «foren», что значит «речь перед форумом», то есть выступление перед судом, судебные дебаты – это был один из любимых жанров в Древнем Риме, известный, в частности, по работам Цицерона. В русский язык это слово пришло из английского. Термин «forensics» является сокращенной формой «forensic science», дословно «судебная наука», то есть наука об исследовании доказательств – именно то, что в русском именуется криминалистикой. Соответственно, раздел криминалистики, изучающий компьютерные доказательства, называется по английски «computer forensics». При заимствовании слово сузило свое значение. Русское «форензика» означает не всякую криминалистику, а именно компьютерную.