Upload
vitaly-balashov
View
52
Download
0
Embed Size (px)
Citation preview
Судебная экспертиза в процессе расследования
киберпреступлений
Балашов В. Ю., судебный эксперт сектора компьютерно-технических и телекоммуникационных исследований Харьковского НИИ судебных экспертиз им. Засл. проф. Н. С. Бокариуса
Компьютерно-техническая экспертиза
«експертиза комп`ютерної техніки та програмних продуктів»
Объект
Информация на цифровых носителях:
• НЖМД в системном блоке ПК
• Флешки
• Компакт-диски
• Встроенная память устройств и т.д.
Основные задачи
• Установление работоспособности устройства
• Установление обстоятельств, связанных с использованием устройства
• Обнаружение информации и ПО, имеющихся на накопителе информации
• установление соответствия ПО определённым версиям или требованиям на разработку
Телекоммуникационная
«Експертиза телекомунікаційних систем та засобів»
Объект
• Телекоммуникационные системы и средства
• Сети и их составные части
• Информация, передаваемая, принимаемая и обрабатываемая в сети
Основные задачи
• Определение характеристик и параметров систем и средств
• Установление фактов и способов передачи (приёма) информации в сети
• Установление фактов и способов доступа к системам, ресурсам и информации.
• Установление качества предоставления телекоммуникационных услуг на уровне их потребления
• Установление конфигурации и рабочего состояния телекоммуникационных систем и средств
• Установление типа, марки, модели и других классификационных категорий систем и средств
• Исследование алгоритмов обработки информации и её защиты
Ключевые статьи УК
• 361 - несанкционированное вмешательство в работу ЭВМ, АС, компьютерных сетей или сетей электросвязи, которое привело к:
утечке
потере
подделке
Блокированию информации
Искажению процесса обработки информации
Нарушению установленного порядка маршрутизации информации
361-1
Создание с целью использования, распространения или сбыта вредных программных или технических средств, а так же их распространение или сбыт.
361-2
Несанкционированный сбыт или распространение информации с ограниченным доступом, которая храниться в ЭВМ, АС, компьютерных сетях или на носителях такой информации
362
Несанкционированное изменение, уничтожение или блокирование информации лицом, имеющим право доступа к ней
Определение несанкционированных действий требуют доказательства факта
отсутствия санкции
Как правильно изъять?
• Грубое отключение
• Копирование (клонирование)
• Предварительный анализ на месте
Грубое отключение
Плюсы:
отсутствие вмешательства
изъятие всего ПК или НЖМД в оригинале
Минусы:
риск потери или искажения информации
потеря информации в ОЗУ
Клонирование
Плюсы: лояльный подход к подозреваемому лёгкое и надёжное хранение дублирование Минусы: время, затрачиваемое на клонирование необходимость иметь под рукой носители большой ёмкости засвидетельствование целостности информации
Предварительный анализ
Проводить или оставить на усмотрение экспертов?
Инструменты предварительного анализа
• Вручную
• Defacto
• COFFEE
COFFEE
Computer Online Forensic Evidence Extractor
Преимущества
• 20 минут для сбора большого количества потенциально важной информации
• Полная автоматизация. Достаточно просто подключить USB-накопитель
• Высокая вероятность в отсутствии необходимости дальнейшей экспертизы
• Фиксация состояния ОС, которое будет потеряно при выключении ПК
Недостатки
Есть риск нарваться на защиту: Detect and Eliminate Computer Acquired Forensics (DECAF)
Работает только для Windows систем
Сложность фиксации отчётов при документировании ОМП.
Недостатки
В апреле 2009 года Майкрософт и Интерпол подписали соглашение о сотрудничестве, согласно которому Интерпол будет распространять COFEE среди правоохранительных органов в 187 странах. Майкрософт предлагает свои устройства и техническую поддержку бесплатно.
http://wlstorage.net/file/microsoft-cofee-112.zip
Запомнить
Не включать изъятые ПК.
Использовать блокиратор записи.