Міністерство освіти і науки України

Вінницький національний технічний університет

Кафедра захисту інформації

Практична робота

з дисципліни: «Методи та засоби дослідження комп’ютерних інцидентів»

Виконав ст. гр. 1БС-13(мі)

Коротаєв Д.О.

Перевірив к.т.н., доц.

Войтович О.П.

Вінниця 2014

Мета роботи: напрацювати набір правильних реакцій відповідальних осіб на інциденти пов’язані з інформаційною безпекою, та виробити техніку обрання стратегії розслідування.

Теоретичні відомості Останнім часом значно підвищилися активність хакерів і відповідно число інцидентів комп'ютерної безпеки. Можна по -різному вважати інциденти , але тенденція очевидна: їх кількість зростає. Ось, наприклад , діаграма з сайту DataLossDB ( http://datalossdb.org/statistics ) (див. рис. 1 ) .

Малюнок 1 . Кількість інцидентів інформаційної безпеки

Реальні приклади інцидентів інформаційної безпеки легко знайти на новинних сайтах. Наприклад , на сайті eSecurityPlanet помітно , що в день відбувається приблизно по п'ять серйозних інцидентів. А подивитися на дефейси веб- сайтів можна на Zone -H. Як ми бачимо , в день піддається дефейсу кілька десятків сайтів .

Підприємства, що мають ІТ- інфраструктуру , природно , реагують на тенденцію зростання комп'ютерних інцидентів , насамперед посилюючи безпеку своєї інформаційної системи за допомогою застосувань технологій захисту та проведенням внутрішніх перевірок . Але ті організації , які беруть участь у зростанні числа інцидентів , теж посилювали безпеку своєї інформаційної системи , однак це не запобігло виникнення у них інцидентів. Звідси випливає необхідність ще одного напрямку реакції на зростаюче число інцидентів - попередню підготовку до них.

Як саме проводити розслідування інцидентів ? Можна звернутися в той же Google , звідки надійшла інформація про зростання числа інцидентів ІТ-

безпеки , і знайти там рекомендації про проведення розслідування комп'ютерних інцидентів.

Процес розслідування занадто важливий, щоб не мати основи , якоїсь методики , схваленої небудь поважною організацією . А процес вивчення питання надто важливий , щоб бути неформалізовані і відданим на вибір самого адміністратора безпеки . При цьому час обмежений , інцидент може статися прямо зараз!

Кримінальна відповідальністьСтаття 361 . Несанкціоноване втручання в роботу електронно -

обчислювальних машин (комп'ютерів) , автоматизованих систем , комп'ютерних мереж чи мереж електрозв'язку1 . Несанкціоноване втручання в роботу електронно -обчислювальних машин (комп'ютерів) , автоматизованих систем , комп'ютерних мереж чи мереж електрозв'язку , що призвело до витоку , втрати, підробки , блокування інформації , спотворення процесу обробки інформації або до порушення встановленого порядку її маршрутизації , - карається штрафом від шестисот до тисячі неоподатковуваних мінімумів доходів громадян або обмеженням волі на строк від двох до п'яти років , або позбавленням волі на строк до трьох років , з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до двох років або без такого та з конфіскацією програмних та технічних засобів , за допомогою яких було скоєно несанкціоноване втручання , які є власністю винної особи.2 . Ті самі дії, вчинені повторно або за попередньою змовою групою осіб , або якщо вони заподіяли істотну шкоду , -Визначення терміну « незаконне втручання » ст.361 КК УкраїниЗ об'єктивної сторони злочин характеризується сукупністю трьох ознак:1 ) діяння - несанкціоноване втручання в роботу електронно -обчислювальних машин (комп'ютерів) , автоматизованих систем , комп'ютерних мереж чи мереж електрозв'язку ;2 ) суспільно небезпечні наслідки у вигляді витоку , втрати, підробки , блокування інформації , спотворення процесу обробки інформації або до порушення встановленого порядку її маршрутизації ;3 ) причинний зв'язок між зазначеними діянням і наслідками.Обов'язковою ознакою об'єктивної сторони є несанкціонованість втручання. Санкціонованим вважається втручання в роботу електронно -обчислювальних машин (комп'ютерів) , автоматизованих систем та комп'ютерних мереж і мереж електрозв'язку з дозволу власника , а також уповноважених власником осіб або посадових осіб на яких покладено забезпечення їх нормальної роботи .Несанкціоноване втручання в роботу в роботу електронно -обчислювальних машин (комп'ютерів) , автоматизованих систем , комп'ютерних мереж чи мереж електрозв'язку може виявлятися у таких діях :

- Досконале навмисне , без наявності права на це , доступ до інформації несанкціонований доступ) , яка в них обробляється , пов'язаний з подоланням програмних , технічних чи організаційних заходів захисту ;- Досконале навмисне , без наявності права на це , вплив на інформацію (несанкціонований вплив) .Доступ - звернення для отримання даних. Метод доступу - сукупність засобів та угод , за допомогою яких реалізується заданий вид доступу до них. Доступ в більшості випадків здійснюється за паролем , але можуть бути використані і спеціальні технічні прилади для ідентифікації користувача (наприклад магнітні картки). На об'єктах телекомунікацій , а також в окремих структурних підрозділах операторів , провайдерів телекомунікацій , де передається , обробляється або зберігається інформація з обмеженим доступом , яка є власністю держави , встановлюється спеціальний режим доступу відповідно до законодавства .Для отриманням необхідних інформаційних продуктів та їх використання користувач інформації повинен звертатися за дозволом до власника інформації , її власника чи розпорядника . Несанкціонований доступ - доступ до інформації , здійснюється з порушенням встановлених в автоматизованій системі правил розмежування доступу , що регламентують доступ користувачів до інформації , на яку вони мають право. Несанкціонований доступ може бути здійснений двома способами:- Безпосереднє проникнення в заборонену зону , приміщення де обробляється інформація тощо;- Опосередковано - віддалений доступ з використанням програмних і технічних засобів для подолання захисту .Обов'язковою ознакою цього посягання має бути те , що винний , здійснюючи несанкціонований доступ , долає заходи безпеки певної комп'ютерної системи або телекомунікаційної мережі. Захист інформації (запобігання вільному доступу до інформації , усунення технічних каналів її витоку і т.п.) в ЕОМ (комп'ютерах) , автоматизованих системах , комп'ютерних мережах та мережах електрозв'язку забезпечується комплексом організаційних , програмних і технічних заходів.Подолання захисту може проявлятися у зломі паролів , кодів доступу і т.д. . Спосіб подолання зазначених заходів безпеки не буде мати значення для кваліфікації , звичайно, якщо сам по собі не буде містити ознак іншого складу злочину ( наприклад, знищення програмних чи технічних засобів ) . Злочинними наслідками несанкціонованого доступу є витік інформації.Стаття 361 . Незаконне втручання в роботу електронно -обчислювальних машин (комп'ютерів) , систем та комп'ютерних мереж

1 . Незаконне втручання в роботу автоматизованих електронно -обчислювальних машин , їх систем чи комп'ютерних мереж , що призвело до перекручення чи знищення комп'ютерної інформації або носіїв такої інформації , а також розповсюдження комп'ютерного вірусу шляхом застосування програмних і технічних засобів , призначених для незаконного проникнення в ці машини , системи чи комп'ютерні мережі і здатних спричинити перекручення або знищення комп'ютерної інформації або носіїв такої інформації , - караються штрафом до сімдесяти неоподатковуваних мінімумів доходів громадян або виправними роботами на строк до двох років , або обмеженням волі на такий же термін.2 . Ті самі дії , якщо вони заподіяли істотну шкоду або вчинені повторно або за попередньою змовою групою осіб , - караються обмеженням волі на строк до п'яти років або позбавленням волі на строк від трьох до п'яти років.1 . Розвиток методів обробки інформації за допомогою комп'ютерів призвів до застосування цих машин в усіх галузях національної економка та інших сферах суспільного життя. Значна кількість таких машин об'єднані в комп'ютерні мережі , деякі з них об'єднані в глобальні інформаційні мережі . За цих умов виникли і набули суспільної небезпеки різні діяння, що заподіюють шкоду нормальній роботі комп'ютерів та комп'ютерних мереж , яка поряд зі встановленим порядком використання ЕОМ та комп'ютерних мереж становить об'єкт цього злочину.2 . Предметом злочину є : 1 ) автоматизовані електронно -обчислювальні машини (комп'ютери , АЕОМ ), у т.ч. персональні ; 2 ) їх системи; 3 ) комп'ютерні мережі.Під системами автоматизованих електронно -обчислювальних машин розуміються операційні системи ( МS- DOS , Windows та інші ) , які встановлюються на певній машині і за допомогою яких здійснюється її робота , а також різні прикладні системи (тобто інформаційні системи , у т.ч. системи управління), як встановлені для локальної роботи на певній машині , так і відкриті для доступу з інших машин через комп'ютерну мережу.Комп'ютерна мережа - це сукупність програмних і технічних засобів , за допомогою яких забезпечується - можливість доступу з однієї АЕОМ до програмних чи технічних засобів іншої (інших) АЕОМ та до інформації , що зберігається в системі іншої (інших ) АЕОМ .3 . Об'єктивна сторона злочину проявляється у формі: 1 ) незаконного втручання в роботу АЕОМ , їх систем чи комп'ютерних мереж , що призвело до перекручення чи знищення комп'ютерної інформації або носіїв такої інформації; 2 ) розповсюдження комп'ютерного вірусу. Останнє є злочинним лише у разі для цього спеціальних знарядь - програмних чи технічних засобів , призначених для незаконного проникнення в АЕОМ , системи чи комп'ютерні

мережі і здатних спричинити перекручення або знищення комп'ютерної інформації або носіїв такої інформації.Незаконне втручання в роботу АЕОМ , їх систем чи комп'ютерних мереж - це проникнення до цих машин , їх систем чи мереж і вчинення дій , які змінюють режим роботи машини , її системи чи комп'ютерної мережі , або ж повністю або частково припиняють їх роботу , без дозволу ( згоди ) відповідного власника або уповноваженої ним особи , а також вплив на роботу АЕОМ за допомогою різних технічних пристроїв , здатних зашкодити роботі машини.Комп'ютерна інформація - це текстова , графічна або будь-яка інша інформація ( дані) , яка існує в електронному вигляді , зберігається на відповідних носіях і може створюватись , змінюватись чи використовуватись за допомогою АЕОМ .Під носіями комп'ютерної інформації розуміються жорсткі магнітні диски різних типів , які є частиною системного блоку АЕОМ або долучаються до нього за допомогою спеціальних пристроїв , гнучкі магнітні диски ( дискети) , оптичні диски ( компакт -диски ) і т.п.Ч. 1 ст. 361 охоплює як випадки проникнення (впливу ) у працюючу АЕОМ , систему чи мережу ( наприклад, проникнення до системи одного працюючого персонального комп'ютера з іншого персонального комп'ютера) , так і несанкціоноване увімкнення непрацюючої машини і проникнення до її системи (вплив на її роботу ) , якщо воно здійснюється за допомогою зазначених у цій статті засобів.Перекручення комп'ютерної інформації - це будь-яка зміна такої інформації за відсутності можливості відновити ті його фрагменти , які зазнали змін, в їх первісному вигляді.Під знищенням комп'ютерної інформації розуміється повна втрата можливості користування відповідною інформацією. Знищенням слід вважати не лише ліквідацію файла , каталогу тощо , у вигляді яких існувала інформація , а й приведення інформації у такий стан , який виключає можливість використання всієї інформації чи значної її частини. Під знищенням носіїв комп'ютерної інформації слід розуміти фізичне знищення відповідних матеріальних предметів або таку зміну їх властивостей, яка призводить до неможливості подальшого зберігання комп'ютерної інформації на цих носіях.Поширенням комп'ютерного вірусу слід вважати введення в ЕОМ , їх системи або комп'ютерної мережі шляхом застосування вказаних засобів хоча б одного комп'ютерного вірусу - комп'ютерної програми , здатної у разі її активізації порушувати нормальну роботу АЕОМ , системи чи комп'ютерної мережі , а також знищувати чи пошкоджувати комп'ютерну інформацію.Програмними засобами , про які йдеться в ст. 361 , є різні комп'ютерні програми , використання яких створює можливість для незаконного проникнення в комп'ютер , його систему чи комп'ютерну мережу або ж полегшує таке незаконне проникнення .

Під технічними засобами у ст. 361 розуміються будь-які технічні пристрої за допомогою яких без використання комп'ютерних програм здійснюється вплив на роботу АЕОМ .Закон передбачає обов'язкову властивість застосовуваних для вчинення даного злочину програмних і технічних засобів: їх здатність спричинити перекручення чи знищення комп'ютерної інформації або носіїв такої інформації.Злочин у першій його формі вважається закінченим з моменту настання хоча б одного із зазначених наслідків - перекручення чи знищення комп'ютерної інформації , знищення носіїв (хоча б одного носія) такої інформації , а в другій формі - з моменту вчинення дій , якими досягається передача на іншу АЕОМ , систему комп'ютерної мережі хоча б одного комп'ютерного вірусу або програми , яка містить такий вірус.4 . Суб'єкт злочину загальний.5 Суб'єктивна сторона злочину характеризується умисною виною . Злочинні дії можуть бути вчинені лише з прямим умислом , тоді як ставлення винного до наслідків злочину може характеризуватися як прямим , так і непрямим умислом.6 . Кваліфікуючими ознаками (ч. 2 ст. 361 ) злочину є вчинення його : 1 ) повторно ; 2 ) за попередньою змовою групою осіб ; 3 ) заподіяння ним істотної шкоди .Про поняття повторності див ст. 32 та коментар до неї, про поняття вчинення злочину групою осіб за попередньою змовою - ст . 28 та коментар до неї.Істотною шкодою слід вважати знищення чи перекручення внаслідок злочинних дій комп'ютерної інформації , або знищення чи пошкодження носіїв такої інформації , в результаті якого власнику чи законному користувачеві АОЕМ чи комп'ютерної мережі заподіяно шкоду , яка є істотною для цього суб'єкта . Питання істотності такої шкоди є питанням факту і потребує вирішення у кожному конкретному випадку з урахуванням всіх обставин справи.Стаття 362 . Викрадення , привласнення, вимагання комп'ютерної інформації або заволодіння нею шляхом шахрайства чи зловживання службовим становищем1 . Викрадення , привласнення, вимагання комп'ютерної інформації або заволодіння нею шляхом шахрайства чи зловживання службовою особою своїм службовим становищем , - караються штрафом від п'ятдесяти до двохсот неоподатковуваних мінімумів доходів громадян або виправними роботами на строк до двох років.2 . Ті самі дії , вчинені повторно або за попередньою змовою групою осіб , - караються штрафом від ста до чотирьохсот неоподатковуваних мінімумів доходів громадян або обмеженням волі на строк до трьох років , або позбавленням волі на той самий строк.

3 . Дії , передбачені частинами першою або другою цієї статті , якщо вони заподіяли істотну шкоду , - караються позбавленням волі на строк від двох до п'яти років.1.Об'ект злочину - власність на комп'ютерну інформацію , встановлений порядок її зберігання та використання .2.Предмет його їсти комп'ютерна інформація . Про поняття комп'ютерної інформації див коментар до ст. 361 .3.Об'ектівная сторона злочину полягає у діях , за допомогою яких особа протиправно , всупереч волі і бажанню власника чи законного користувача , заволодіває комп'ютерною інформацією , а власник чи законний користувач втрачає її .Незаконне копіювання комп'ютерної інформації , внаслідок якого особа не позбавляє її власника чи законного користувача можливості володіти і користуватися нею , ст. 362 неохоплюється . У разі якщо таке незаконне копіювання стало наслідком порушення правил експлуатації АЕОМ , їх систем чи комп'ютерних мереж , ці наслідки інкримінуються особі , яка відповідає за їх експлуатацію (див. ст. 363 і коментар до неї).Способами вчинення цього злочину закон визнає: 1 ) викрадення ; 2 ) присвоєння ; 3 ) вимагання ; 4 ) шахрайство ; 5 ) зловживання службовою особою своїм службовим становищем.Під викраденням комп'ютерної інформації слід розуміти заволодіння нею шляхом крадіжки чи грабежу. Про ці способи викрадення див коментар до Загальних положень розділу VI Особливої частини КК України та ст. ст. 185 і 186 . Про поняття привласнення, заволодіння шляхом зловживання службовою особою своїм службовим становищем , шахрайства див коментар до ст. 190 і 191 . Термін вимагання слід розуміти у тому ж значенні , в якому його вжито у ст . 189 (див. коментар до цієї статті) .У випадках викрадення чи іншого передбаченого даною статтею протиправного заволодіння комп'ютерною інформацією разом з носіями такої інформації чи АЕОМ , у якій ( яких ) знаходяться ці носії , злочинні дії слід кваліфікувати як сукупність злочинів - за ст. 362 і відповідною статтею про злочини проти власності .Якщо при неправомірному оволодінні комп'ютерною інформацією було застосоване насильство , такі дії потребують окремої кримінально- правової кваліфікації .Злочин вважається закінченим з моменту , коли винний заволодів інформацією і має можливість використати її чи розпорядитися нею на власний розсуд. Вчинення цього злочину шляхом вимагання є закінченим з моменту пред'явлення протиправної вимоги , поєднаної з відповідною погрозою, і доведення її до потерпілого .

4 . Суб'єкт злочину загальний.5 . Суб'єктивна сторона злочину характеризується прямим умислом.Викрадення або інше передбачене цією статтею заволодіння комп'ютерною інформацією , яка здатна заподіяти шкоду ( наприклад , заволодіння щойно розробленим комп'ютерним вірусом) , вчинене - з метою відвернення цієї шкоди , має отримувати правову оцінку з урахуванням ст . 39 .6 . Кваліфікуючими ознаками злочину є вчинення його : 1 ) повторно ; 2 ) за попередньою змовою групою осіб (ч. 2 ст. 362 ) .Про поняття повторності див ст. 32 та коментар до неї, про поняття вчинення злочину групою осіб за попередньою змовою - ст. 28 та коментар до неї.

Особливо кваліфікуючою ознакою злочину (ч.3 ст. 362 ) є заподіяння ним істотної шкоди, яка може мати вигляд втрати комп'ютерної інформації , пошкодження її носіїв , пошкодження АЕОМ , комп'ютерної мережі тощо Ця ознака є оціночною і потребує вирішення у кожному конкретному випадку з урахуванням всіх обставин справи.

Стаття 363 . Порушення правил експлуатації автоматизованих електронно -обчислювальних систем

1 . Порушення правил експлуатації автоматизованих електронно -обчислювальних машин , їх систем чи комп'ютерних мереж особою, яка відповідає за їх експлуатацію , якщо це спричинило викрадення , перекручення чи знищення комп'ютерної інформації , засобів її захисту , або незаконне копіювання комп'ютерної інформації , або істотне порушення роботи таких машин , їх систем чи комп'ютерних мереж , - карається штрафом до п'ятдесяти неоподатковуваних мінімумів доходів громадян або позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до п'яти років , або виправними роботами на строк до двох років.

2 . Те ж саме діяння , якщо воно заподіяло істотну шкоду , - карається штрафом до ста неоподатковуваних податком мінімумів доходів громадян або виправними роботами на строк до двох років , або обмеженням волі на строк до п'яти років , з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до трьох років або без такого.

1 . Об'єктом злочину є встановлений порядок експлуатації АЕОМ , їх систем чи комп'ютерних мереж.

2.Об 'ектівние сторона злочину полягає в порушенні правил експлуатації АЕОМ . їх систем чи комп'ютерних мереж , яке може бути здійснене як шляхом певних дій , так і шляхом бездіяльності , за умови настання в результаті такого порушення передбачених цією статтею наслідків .

Під правилами експлуатації АЕОМ , їх систем чи комп'ютерних мереж слід розуміти будь-які правила , які регламентують користування цими машинами , їх системами чи мережами , проведення робіт з їх використанням ,

захисту таких машин , їх систем та мереж або інформації , яка в них знаходиться, і т . п. .

Захист інформації (у т.ч. комп'ютерної) , що є власністю держави або захист якої гарантується державою , здійснюється з дотриманням правил , що встановлюються спеціально уповноваженим державним органом. На даний час таким органом є Департамент спеціальних телекомунікаційних систем та захисту інформації СБ України .

Порушення правил експлуатації АЕОМ , їх систем чи комп'ютерних мереж вважається злочинним лише у разі , коли його наслідком було: 1 ) викрадення ; 2 ) перекручення чи знищення комп'ютерної інформації , засобів її захисту ; 3 ) незаконне копіювання комп'ютерної інформації; 4 ) істотне порушення роботи АЕОМ , їх систем чи комп'ютерних мереж. Ці наслідки можуть виникнути як безпосередньо в результаті дій самого порушника правил , так і в результаті протиправних дій інших осіб , які стали можливими через допущене порушення .

Про поняття перекручення чи знищення комп'ютерної інформації , засобів її захисту див коментар до ст. 361 , про поняття її викрадення - коментар до ст. 362 . Копіювання комп'ютерної інформації слід визнавати незаконним у разі , якщо воно здійснюється без дозволу її власника чи законного користувача або з порушенням встановленого законом порядку такого копіювання.

Під істотним порушенням роботи АЕОМ , їх систем чи комп'ютерних мереж слід розуміти, зокрема , вихід з ладу на тривалий час інформаційної системи , що обслуговує значну кількість машин , припинення на тривалий час роботи комп'ютерної мережі , втрату інформації , яка має важливе значення , блокування на тривалий час доступу до такої інформації тощо . Ця ознака є оціночною . Питання про те , чи було конкретне порушення роботи істотним, має вирішуватися судом у кожному конкретному випадку з урахуванням того , наскільки серйозне значення мала спричинена протиправним діянням зупинка чи обмеження можливостей роботи відповідних АЕОМ , їх систем чи комп'ютерних мереж для їх власника або законного користувача.

Злочин вважається закінченим з моменту настання наслідків , передбачених у ст. 363 .

3 . Суб'єкт злочину спеціальний . Це особа, яка відповідає за експлуатацію АЕОМ , їх систем чи комп'ютерних мереж. Таким особою є користувач зазначених машин , систем чи мереж , а так само будь-яке інше особа, яка відповідно до своїх трудових , службових обов'язків або на основі відповідної угоди з власником ( адміністратором ) цих машин , систем та мереж виконує роботу , пов'язану з підтриманням їх у робочому стані , оновленням інформації , вдосконаленням АЕОМ , системи або мережі , їх захистом чи іншу подібну роботу і зобов'язана при її виконанні дотримуватись встановлених правил експлуатації (і , зокрема , захисту ) АЕОМ , систем та мереж .

4 . Суб'єктивна сторона злочину визначається його наслідками і характеризується необережною формою вини.

5 . Кваліфікуючою ознакою цього злочину (ч. 2 ст. 363 ) є заподіяння ним істотної шкоди, яка може бути як безпосереднім результатом дії винного , так і наслідком протиправних дій інших осіб (наприклад , викрадення інформації за допомогою програмних засобів ), можливість для яких виникла внаслідок цього діяння . Поняття істотної шкоди є оціночним .

Стаття 359 . Незаконне використання спеціальних технічних засобів негласного отримання інформації

1.Незаконное використання спеціальних технічних засобів негласного отримання інформації , -

карається штрафом від ста до двохсот неоподатковуваних мінімумів доходів громадян або обмеженням волі на строк до чотирьох років , або позбавленням волі на той самий строк.

2.Те ж дії , якщо вони вчинені повторно , за попередньою змовою групою осіб або організованою групою , або заподіяли істотну шкоду охоронюваним законом правам , свободам чи інтересам окремих громадян, державним чи громадським інтересам або інтересам окремих юридичних осіб , -

карається позбавленням волі на строк від трьох до семи років. Безпосереднім об'ектомданного злочину є встановлений порядок

використання спеціальних технічних засобів негласного отримання інформації , який забезпечує дотримання конституційних прав людини і громадянина , а також законних інтересів юридичних осіб (Див.: Науково-практичний коментар до кримінального кодексу України от 5 квітня 2001 р . / За ред . М.І. Мельника , М.І. Хавронюка . - К. , 2001 , С. 898 ) . Наскільки дане визначення відповідає потребам вітчизняної правозастосовчої практики можна судити з того , що шляхом належного використання таких спеціальних технічних засобів негласного отримання інформації гарантується ... дотримання прав і законних інтересів певної особи. На жаль , практичні реалії (а саме , дійсний порядок використання такої спецтехніки ) такі, що свідчити це може рівним рахунком про зворотне . Використання таких спеціальних технічних засобів негласного отримання інформації вже ніяк не може забезпечувати дотримання прав і законних інтересів . Швидше за все , це виключення з " конституційного правила" , пов'язане із забезпеченням належного правового режиму використання спеціальних технічних засобів негласного отримання інформації за певних умов. Погодьтеся , що перегляд моєї електронної пошти або прослуховування телефонних розмов якраз свідчить про певний попірательства моїх прав , про обмеження в правах. Зокрема , я , як мінімум , обмежуюся в гарантованої мені статтею 31 Конституції України таємниці листування.

Тому безпосереднім об'єктом злочину тут необхідно вважати встановлений порядок використання спеціальних технічних засобів негласного отримання інформації.

Предметаміданного злочину є спеціальні технічні засоби негласного отримання інформації. Відповідно до п. 1.3 . Ліцензійних умов провадження господарської діяльності з розроблення, виготовлення спеціальних технічних засобів для зняття інформації з каналів зв'язку , інших засобів негласного отримання інформації , торгівлі спеціальними технічними засобами для зняття інформації з каналів зв'язку , іншими засобами негласного отримання інформації , затвердженим наказом Державного комітету України з питань регуляторної політики та підприємництва , Служби безпеки України від 29 січня 2001 р., № 17 / 17 (далі - Ліцензійні умови) спеціальними технічними средстваміявляются технічні засоби , обладнання, апаратура , пристосування, пристрої , препарати та інші вироби , спеціально створені , розроблені , запрограмовані або модернізовані для виконання завдань з негласного отримання інформації під час оперативно -розшукової діяльності. До таких засобів належать спеціальні технічні засоби для негласного отримання та реєстрації аудіоінформації , негласного візуального спостереження та документування ; негласного прослуховування телефонних розмов; негласного перехоплення та реєстрації інформації з технічних каналів зв'язку; негласного контролю поштових повідомлень і відправлень ; негласного огляду предметів і документів; негласного проникнення в приміщення, транспортні засоби , інші об'єкти та їх огляду ; негласного контролю за переміщенням транспортних засобів та інших об'єктів; негласного отримання ( зміни, знищення ) інформації з технічних засобів її зберігання , обробки та предачі (абз. 2 п. 1.3 . Ліцензійних умов) .

Наведений перелік видів спеціальних технічних засобів є вичерпним і розширювальному тлумаченню не підлягає. Тому спірні питання щодо належності до спеціальних технічних засобів конкретного технічного засобу дозволяється експертно- технічною комісією . Саме цій позиції дотримується більшість вітчизняних вчених- правознавців і практиків. Однак така логіка таки викликає ряд заперечень.

Справа в тому , що об'єктом Ліцензійних умов є господарська діяльність з розробки, виготовлення зазначених предметів , а також їх торгівлі . Але ст. 359 КК передбачає відповідальність за незаконне використання (тобто вже розроблених і набутих / реалізованих ) спеціальних технічних засобів негласного отримання інформації. Погодьтеся , різниця досить відчутна : з одного боку - регламентація господарської діяльності (розробки , виготовлення , торгівлі) , з іншого - незаконне використання спеціальних технічних засобів негласного отримання інформації.

Виходячи з положень ст. 359 КК предмет даного злочину повинен володіти такими ознаками :

1 ) бути спеціальним технічним засобом ;2 ) бути придатним для використання;3 ) мати цільове призначення - негласне отримання інформації.Спеціальними технічними засобами слід вважати такі пристрої,

обладнання , апаратуру і пр. , які були спеціально пристосовані ( сконструйовані ) для негласного отримання інформації ( наприклад , технічні засоби для негласного візуального спостереження та документування ( телевізійний і фотографічний об'єктив з винесеним вхідним вічком ) , або ж технічні засоби негласного прослуховування телефонних переговорів - системи дротового зв'язку і радіоапаратура для негласного прослуховування телефонних розмов) .

Придатність спеціальних технічних засобів для використання пов'язується з тим , що за своєю конструкцією вони пристосовані для негласного отримання певної інформації. Так , наприклад , у Додатку до пункту 1 Наказу СБУ , ДПАУ від 9 липня 2001 р., № 176 / 278 коди товарної номенклатури Митного тарифу України , затвердженого Законом України "Про митний тариф ", відповідно з яким разом з технічними засобами побутового призначення та їх складовими частинами також визначаються і спеціальні технічні засоби , сказано , що до приймальні апаратурі для радіотелефонного , радіотелеграфного зв'язку радіомовлення , з'єднані або нез'єднані в одному корпусі з пристроєм запису та відтворення звуку або з годинником відноситься радіоприймальна апаратура , яка може функціонувати без зовнішніх джерел електроживлення , що включає приймачі , здатні приймати радіотелефонні та радіотелеграфні сигнали.

На думку П.П.Андрушко , для негласного отримання інформації можуть використовуватися і інші технічні засоби: фотоапарати , відеокамери , диктофони і т.д. Однак такі кошти мають інше цільове призначення і не є предметом злочину , передбаченого ст. 359 КК , а тому їх використання для негласного отримання інформації кваліфікується , за наявності підстав , як службовий злочин або злочин, пов'язаний з незаконним збором певного виду інформації , наприклад , як незаконне збирання з метою використання відомостей , що становить комерційну таємницю (ст. 231 ) , або відомостей , що становлять державну таємницю (ст. 114 ) (див. : Науково-практичний коментар до кримінального кодексу України / За ред. С.С.Яценка . - К. , 2002 . - С. 779 ) . Тут необхідно підкреслити , що в диспозиції ст. 359 КК йдеться про спеціальні технічні засоби негласного отримання інформації. А , отже , назріває питання , чи можна вважати спеціальним технічними засобами , наприклад , диктофон заводського виробництва , до якого підключений саморобний мікрофон або аналогічного виробництва відеокамеру , пристосовану для запису у вечірній і

нічний час доби за допомогою саморобного приладу нічного бачення (або ж переробленого кустарним способом) ? По-перше , вищенаведене визначення спеціальних технічних засобів акцентує увагу на тих пристроях , які були спеціально пристосовані ( сконструйовані ) для негласного отримання інформації , а тому підключення нестандартних ( саморобних , виготовлених кустарним способом і т.д.) елементів для негласного отримання інформації слід розглядати як спеціальне пристосування таких пристроїв. По-друге , пристосовані такі пристрої , з метою негласного отримання інформації , повинні бути заздалегідь , тобто до моменту їх незаконного використання.

 З об'єктивної сторони злочин характеризується тільки активними діями - незаконним використанням спеціальних технічних засобів негласного отримання інформації. Незаконним використанням таких засобів слід визнавати їх застосування :

а ) працівниками оперативних підрозділів органів , зазначених у ч. 1 ст. 5 Закону " Про оперативно -розшукову діяльність" від 18 лютого 1992 р., № 2135- ХII при вчиненні дій з негласного отримання інформації шляхом використання спеціальних технічних засобів або ж без наявності належного дозволу на використання або за відсутності підстав для негласного отримання певної інформації , або з порушенням встановленого законом порядку використання таких коштів ;

б) будь-якими особами , які не є працівниками оперативних підрозділів , яким надано право здійснювати оперативно-розшукову діяльність (далі - ОРД) , оскільки ч. 2 ст. 5 Закону " Про оперативно -розшукову діяльність" передбачено заборону на проведення ОРД іншими підрозділами зазначених у ч. 1 цієї ж статті органів, ніж перераховані в ній , а також підрозділами інших міністерств , відомств , громадськими , приватними організаціями та особам. Використання спеціальних технічних засобів негласного отримання інформації такими особами завжди буде незаконним , тому що вони взагалі не наділені правом щодо їх використання.

Злочин вважається закінченим з моменту фактичного незаконного використання спеціальних технічних засобів негласного отримання інформації незалежно від того , отримана необхідна інформація чи ні ( тут необхідно враховувати , що такі кошти мають бути придатні для отримання інформації , а тому сам факт отримання будь-якої інформації незаконним шляхом вже очевидний) .

Спеціальні технічні засоби негласного отримання інформації можуть використовуватися лише оперативними підрозділами МВС , СБУ , прикордонних військ , управління державної охорони , органів ДПАУ , органів і установі Державного Департаменту України з питань виконання покарань за наявності підстав здійснення ОРД , передбачених ст.6 вищевказаного Закону , з дотриманням вимог ч.ч. 2 , 3 ст. 8 цього ж Закону та ст. 187 КПК України .

Підставами для проведення ОРД є:1 ) наявність достатньої інформації , отриманої в установленому законом

порядку , що вимагає перевірки за допомогою оперативно- розшукових заходів і засобів про : злочини , які готуються або вчиняються невстановленими особами; особах , які готують або скоюють злочини ; осіб, які переховуються від органів розслідування , суду або ухиляються від відбування кримінального покарання; особах безвісно відсутніх ; розвідувально -підривної діяльності спецслужб іноземних держав , організацій та окремих осіб проти України ; реальну загрозу життю , здоров'ю , житлу , майну працівників суду і правоохоронних органів у зв'язку з їх службовою діяльністю , а також особам , які беруть участь у кримінальному судочинстві , членам їх сімей та близьким родичам , з метою створення умов для належного відправлення правосуддя ;

2 ) запити повноважних державних органів , установ та організацій про перевірку осіб у зв'язку з їх допуском до державної таємниці і до роботи з ядерними матеріалами та на ядерних установках;

3 ) необхідність в отриманні розвідувальної інформації в інтересах безпеки суспільства і держави (ч.1 ст.6 Закону " Про оперативно -розшукову діяльність" ) .

Відповідно до ч. 2 ст. 8 Закону " Про оперативно -розшукову діяльність" негласне зняття інформації з каналів зв'язку , контроль за листуванням , телефонними переговорами , телеграфної та іншої кореспонденцією , застосування інших технічних засобів одержання інформації здійснюється за рішенням суду , прийнятим за поданням керівника відповідного оперативного підрозділу або його заступника . Зазначені заходи можуть так само осуществлятьсяв порядку, погодженому з Генеральним прокурором України та Головою Верховного Суду України виключно з метою отримання розвідувальної інформації для забезпечення зовнішньої безпеки України , запобігання і припинення розвідувально- підривних посягань спецслужб іноземних держав та іноземних організацій . Порядок надання дозволу на зняття інформації з каналів зв'язку визначаються статтею 187 КПК України : такий дозвіл надається постановою голови апеляційного суду або його заступника за поданням слідчого , погодженого з прокурором , за місцем провадження досудового слідства.

З суб'єктивної сторони злочин характеризується тільки умисною формою вини , вид умислу прямий : винний усвідомлює суспільно небезпечний характер незаконного використання спеціальних технічних засобів негласного отримання інформації , передбачає суспільно небезпечні наслідки такого діяння і бажає їх настання.

Аналіз диспозиції ч. 1 ст. 359 КК дає підставу виділити обов'язкову мета такого роду дій - негласне отримання інформації (іншими словами її придбання , отримання ) .

Суб'єктів даного злочину можна поділити на три групи. До першої групи відносяться працівники оперативних підрозділів, що здійснюють ОРД : 1 ) кримінальної , транспортної та спеціальної міліції , спецпідрозділів по боротьбі з оргзлочинністю , забезпечення безпеки працівників суду , правоохоронних органів і учасників кримінального судочинства; 2 ) розвідки , контррозвідки , військової контррозвідки , захисту національної державності , спеціальних підрозділів по боротьбі з корупцією та оргзлочинністю , оперативно -технічних , внутрішньої безпеки , оперативного документування , боротьби з тероризмом і захисту учасників кримінального судочинства та правоохоронних органів; 3 ) підрозділів оперативно- розшукової роботи прикордонних військ ; 4 ) підрозділу оперативного забезпечення охорони управління держохорони ( виключно з метою забезпечення безпеки осіб об'єктів , щодо яких здійснюється державна охорона ) ; 5 ) оперативних підрозділів податкової міліції органів державної податкової служби; 6 ) оперативних підрозділів органів і установ Державного департаменту України з питань виконання покарань (ч. 1 ст. 5 Закону " Про оперативно -розшукову діяльність" ) у разі використання ними спеціальних технічних засобів негласного отримання інформації без отримання дозволу на їх використання або з порушенням порядку використання таких коштів.

У другу групу можна включити тих працівників правоохоронних органів, яким Законом " Про оперативно-розшукову діяльність" не надано право здійснювати ОРД.

У третю группувходят інші фізичні особи , які досягли 16 -річного віку і не є працівниками зазначених у ст. 5 Закону " Про оперативно -розшукову діяльність" оперативних підрозділів, що здійснюють ОРД (наприклад , журналісти , адвокати і т.д.).

кваліфікуючої ознакиКваліфікуючими ознаками незаконного використання спеціальних

технічних засобів негласного отримання інформації є : 1 ) вчинене таких дій повторно ; 2 ) вчинення їх за попередньою змовою групою осіб або організованою групою ; 3 ) вчинення дій, які завдали істотної шкоди охоронюваним законом правам , свободам чи інтересам окремих громадян, державним чи громадським інтересам або ж інтересам окремих юридичних осіб.

ПОВТОРНІСТЬВиходячи з логіки ч. 1 ст. 32 КК , вищевказані технічні засоби повторно

можуть бути застосовані як щодо різних осіб , так і одного й того ж особи , якщо приймалося рішення про їх застосування . Думається , що труднощів з визначенням повторності в таких випадках виникнути не повинно. Однак як слід чинити в тих випадках , коли використання спеціальних технічних засобів здійснювалося тієї самої " третьою групою суб'єктів " , а саме " ... іншими

фізичними особами, які досягли 16 -річного віку і не є співробітниками зазначених у ст. 5 Закону " Про оперативно-розшукову діяльності " оперативних підрозділів, що здійснюють ОРД ...". Взявши за основу положення ч. 1 ст. 32 КК про те , що повторністю злочинів визнається вчинення двох і більше злочинів , передбачених тією ж статтею або частиною статті Особливої частини КК , слід звернути увагу на ряд обставин, що свідчать про відмежування повторності такого роду злочинних дій від суміжних з нею випадків . По-перше , відмежовуючи повторність від реальної сукупності злочинів необхідно пам'ятати, що: 1 ) і при повторності , і при реальній сукупності кожне діяння , вчинене особою , утворює самостійний злочин , і 2) і при повторності , і при реальній сукупності всі діяння , в них входять , вчинені до засудження хоча б за один із них . Виходячи з положень ч. 1 ст. 32 КК , мова тут йде про повторність тотожних злочинів (тобто про вчинення особою суспільно - небезпечних діянь , що містять ознаки одного і того ж складу злочину). Повторність тотожних злочинів відрізняється від реальної сукупності тим , що при даному виді повторності всі скоєні особою діяння охоплюються однією і тією ж статтею КК , а при реальній сукупності кожне з вчинених діянь підпадає під ознаки самостійної статті КК. Наприклад , незаконне використання журналістом спочатку переносного рентгенотелевізійного пристрої , необхідного для негласного огляду документів якогось гр - на N , а потім використання прихованої камери - відеопередавачі для негласного візуального спостереження за діями іншого гр - на N1 кваліфікується за ч. "ст. 359 КК за ознакою повторності . У той же час, використання таких технічних засобів з метою незаконного збору конфіденційної інформації про особу без її згоди утворює собою реальну сукупність і кваліфікується за ч. 1 ст. 359 і ст. 182 (порушення недоторканності приватного життя) КК.

Більш того , істотні труднощі можуть виникнути при відмежуванні повторного вчинення діянь , передбачених ст. 359 КК від продовжуємозлочину . За змістом ч. 2 ст. 32 КК продовжуваний злочин - це злочин, який складається з декількох ( двох і більше) тотожних діянь , об'єднаних єдиним злочинним наміром . Вказівкою на те , що продовжуваний злочин складається з ряду тотожних діянь , воно і зближується з повторністю тотожних злочинів . Стосовно до досліджуваних злочинних діянь , їх відмінність полягає в тому , що продовжуваний злочин - це одиничний злочин , в якому складові його діяння об'єднані єдиним умислом і , більше того , виходячи з теорії кримінального права та судової практики , спрямовані на досягнення спільної мети ( хоча в ч. 2 ст. 32 КК про це не згадується ) . При повторності ж тотожних злочинів має місце не одиничний злочин , а множинність злочинів , де кожне окреме діяння не має з іншими тій органічного зв'язку , яка притаманна тотожним діянням у продовжуємозлочину . Тобто при повторності , що входять до неї злочинні

діяння об'єднуються єдністю наміру і загальною метою їх вчинення. Пояснимо це на наступному прикладі. Якщо той же журналіст використовує декілька разів (наприклад , з різних позицій ) одну і ту ж (або , навпаки , різну ) спецтехніку для негласного отримання певної інформації про дії одного і того ж посадової особи , вчинене слід розглядати як одиничне продовжуємо злочин і кваліфікувати за ч. 1 ст. 359 КК. Якщо ж здійснено декілька самостійних дій по використанню таких спеціальних технічних засобів негласного отримання інформації : спочатку в цілях отримання інформації про посадову особу , а потім про районного прокурора й т.д. , все досконале утворює повторне незаконне використання таких коштів і кваліфікується за ознакою повторності по ч. 2 ст. 359 КК.

ПИТАННЯ співучастіВідповідно до ч. 2 ст. 28 КК злочин визнається вчиненим за попередньою

змовою групою осіб , якщо його спільно вчинили декілька осіб (два і більше) , які заздалегідь , тобто до початку злочину , домовилися про спільне його вчинення . При цьому не обов'язково , щоб кількома особами , які є співвиконавцями , незаконно використовувалися одні й ті ж технічні засоби . Як правильно зазначив П.П.Андрушко , головне, щоб кожна особа усвідомлювала , що воно разом із іншим (іншими ) особами незаконно використовує спеціальні технічні засоби негласного отримання інформації. Як вчинене за попередньою змовою групою осіб має визнаватися і незаконне використання спеціальних технічних засобів негласного отримання інформації двома і більше особами щодо різних осіб , якщо домовленість про таке їх використанні досягнута заздалегідь , тобто до початку їх фактичного використання (див. : Науково- практічнійкоментар до кримінального кодексу України / За ред. С.С.Яценка . - К. , 2002 . - С. 781 ) .

Злочин визнається вчиненим організованою групою , якщо в його готуванні або вчиненні брали участь декілька осіб ( три і більше) , які заздалегідь зорганізувалися в стійке об'єднання для вчинення цього та іншого (інших ) злочинів , об'єднаних єдиним планом з розподілом функцій учасників групи , спрямованих на досягнення цього плану , відомого всім учасникам групи (ч. 3 ст. 28 КК).

Істотною шкодоюВизначення розміру істотної шкоди , заподіяної охоронюваним законом

правам , свободам чи інтересам окремих громадян , державним чи громадським інтересам або інтересам окремих юридичних осіб незаконним використанням спеціальних технічних засобів негласного отримання інформації необхідно проводити в кожному конкретному випадку індивідуально , тобто з урахуванням всіх обставин справи : конкретної мети використання отриманої інформації , її виду та форми , правового статусу потерпілого , його матеріального становища і т.д.

Значним мінусом використання такого оціночного поняття як " істотну шкоду " в якості кваліфікуючої ознаки складу злочину , передбаченого ст. 359 КК є відсутність чітко вироблених законодавчих критеріїв його визначення . Дискутувати з цього приводу можна до нескінченності , особливо коли відсутня судова практика . Без законодавчо вироблених критеріїв визначення розміру істотної шкоди неможливо виробити єдиний раціональний підхід у кваліфікації таких злочинних діянь. На сьогоднішній момент панівний критерій - суто суб'єктивний . Тому багато авторів , коментуючи ст. 359 КК , обмежуються перерахуванням конкретних злочинних діянь , які дозволяють розглядати незаконне використання спеціальних технічних засобів негласного отримання інформації як заподіяло істотну шкоду , і кваліфікувати їх за сукупністю зі ст. 359 КК. Наприклад , як заподіяло істотну шкоду пропонується визначати незаконне використання таких коштів , поєднане з вчиненням наступних дій : незаконне проникнення в житло чи інше володіння особи , незаконне проведення в них огляду або обшуку ( ст. 162 КК) , порушення таємниці листування , телефонних розмов, телеграфної чи іншої кореспонденції , що передаються засобами зв'язку або через комп'ютер ( ст. 163 КК) , незаконне втручання в роботу електронно -обчислювальних машин (комп'ютерів) , систем та комп'ютерних мереж ( ст. 361 КК ), розкрадання комп'ютерної інформації ( ст. 362 КК) і т.д.

Навряд чи виходом зі сформованої ситуації може послужити законодавче закріплення таких критеріїв . Причина в тому , що істотної шкоди відображає суспільно-небезпечні наслідки ( що характерно для злочинів з матеріальним складом ) , а , як зазначалося раніше , злочин, передбачений ст. 359 КК вважається закінченим з моменту фактичного використання таких спеціальних технічних засобів, тобто є злочином з формальним складом. Іншими словами , в рамках однієї частини статті КК законодавець об'єднав злочини з матеріальним і формальним складом , що не може бути визнано правильним. А тому такий кваліфікуючу ознаку як заподіяння істотної шкоди охоронюваним законом правам , свободам чи інтересам окремих громадян, державним чи громадським інтересам або інтересам окремих юридичних осіб з ч. 2 ст. 359 КК слід було б виключити.

Так ми логічно підійшли до необхідності курсу з розслідування комп'ютерних інцидентів , який запропонував би надійну методологію розслідування інцидентів безпеки на підприємстві , включаючи як організаційні , так і технічні питання аналізу даних.

Такий курс є. Він запропонований організацією EC- Council , чиї курси етичного хакинга отримали схвалення за стандартом ANSI / ISO / IEC 17024 . І цей курс пропонується в авторизованому EC- Council Центрі комп'ютерного

навчання «Спеціаліст» як продовження курсу з етичної хакингу й тестування на проникнення .

У цій статті я розповім про те , що буде вивчатися на курсі з розслідування комп'ютерних інцидентів , в якій послідовності і навіщо. Наведу п'ять елементів розслідування комп'ютерних інцидентів , що вивчаються на курсі.

Перший елемент . Що зламано ?Важливо визначити : яка саме система постраждала в результаті

інциденту ; який саме сервіс був скомпрометований ; які саме дані були скомпрометовані .

Виявляється , для цієї мети можна використовувати заздалегідь підготовлений пакет утиліт оперативного реагування , який допоможе визначити , що саме зламано в результаті інциденту. Які саме утиліти будуть входити в цей пакет і як саме будуть використовуватися , вивчається протягом всього курсу.

По-перше , потрібно вміти ідентифікувати і зібрати дані , які можуть зникнути в короткий проміжок часу. Це можуть бути тимчасові файли , cookies , але не тільки.По-друге , потрібно навчитися аналізувати мережеві підключення і активність системи на предмет наявності відхилень від звичайного стану .По-третє , потрібно навчитися аналізувати процеси , в них виконується код , а так як процеси виконують код , розташований у виконуваних файлах і бібліотеках , тут же звернемо увагу на цілісність цих файлів.По-четверте , процеси використовують сховище пара- метрів , реєстр , його аналіз може відкрити більше інформації, і нам допоможуть різні утиліти перегляду реєстру .По-п'яте , всі процеси виконуються в пам'яті , тому аналіз пам'яті також важливий для розслідування. Складністю є те , що пам'ять велика , а шкідливі дані невеликі і легко губляться в шістнадцятковому дампі .Компрометація або порушення цілісності даних може бути помічена також системою аудиту та системою моніторингу мережевого трафіку.

Другий елемент . За допомогою чого зламано ?Важливо визначити : чи була помилка в конфігурації; чи була помилка в

додатку ; чи була помилка в системі; чи була помилка в протоколі.Під кожну тему відведемо модуль , щоб детально вивчити , чим можуть

допомогти інформація про процеси , ключах реєстру , файлах , всілякі дампи і журнали.

Тут потрібно навчитися однієї важливої речі : співвідношенню подій , записів журналів і конфігурації системи. Для цього необхідно розуміти , що журнали можуть бути у кожного сервісу свої , зберігатися можуть як локально ,

так і на віддаленому сервері , а різні платформи можуть використовувати різні формати журналів.

Третій елемент . Хто зламав ?Важливо визначити : через яку систему відбулося вторгнення ; яка була

кінцева мета атаки ; з якого комп'ютера почалася атака .Знадобиться вміння співвідносити інформацію різних журналів з

подіями , супроводжуючими інцидент безпеки . Але на цьому етапі потрібно вміти з вже cобранной інформації виділити ідентифікатори зловмисника. Це не обов'язково має бути IP , це може бути адреса електронної пошти , обліковий запис у додатку , мультимедійний файл .

Четвертий елемент . На комп'ютері підозрюваногоВажливо визначити : яке програмне забезпечення використовувалося ; які

файли використовувалися ; в якій послідовності відбувалася атака .Дії залежать від того , включений комп'ютер підозрюваного чи ні. Якщо

вимкнено, то згідно методології більше не включаємо , а дублюємо образ диска і потім за допомогою таких інструментів , як AccessData FTK і EnCase , виявляємо докази і складаємо звіт . Можливий і варіант знаходження доказів не на комп'ютері , а на будь-якому іншому обладнанні , ксероксі , принтері , мобільному пристрої.

П'ятий елемент . Обгрунтування попередніх елементівВажливо визначити : що є доказом ; як збирати докази ; як аналізувати

докази ; як оформити звіт про розслідування .Слово улика ( evidence ) проходить червоною ниткою через весь курс .

Дампи , журнали , файли - комп'ютерні терміни . Щоб їх можна було долучити до формалізованого процесу розслідування , вони повинні бути оформлені як докази і оброблятися у відповідності з процедурами , що зберігають юридичну значимість доказів. Тут доведеться трохи распараллелен , оскільки правове поле Росії має свої особливості.

Суть розслідування така: фахівці організації виявляють інцидент і або своїми силами оперативно реагують на інцидент , аналізують дані і передають результати аналізу керівництву, або наймають аутсорсера з розслідування комп'ютерних інцидентів , який забезпечить технічне та юридичне супроводження розслідування до передачі справи правоохоронним органам і до суду.

Навіть якщо організація не має наміру проводити юридично значимі розслідування інцидентів , знання і вміння застосувати методологію розслідування хакерських інцидентів підвищить загальну захищеність інформаційної системи підприємства.

Курс з розслідування хакерських інцидентів супроводжується живими кейсами , шістнадцятьма навчальними прикладами з розслідування , що

показують застосування технік розслідування . Ці кейси відпрацьовуються як в теорії , так і на практиці , в рамках лабораторних робіт на віртуальних серверах.

Наприклад , припустимо, що якась організація виявила витік даних, що є предметом інтелектуальної власності , і бажає розслідувати цей інцидент , щоб перервати канал витоку інформації. Для цієї мети було ініційовано комп'ютерне розслідування. Розглянемо для прикладу перші три елементи .

Оскільки витекли дані розташовувалися на єдиному сервері і в архівних копіях , розслідування було розпочато з дослідження FTP -сервера , на якому зберігаються дані .Аналіз системи не виявив сторонніх процесів , підключень, підозрілих файлів.Аналіз системних журналів не виявив ніяких збоїв , несподіваних перезавантажень за останні місяці.Аналіз журналів FTP -сервера показав легітимні аутентифицироваться підключення користувачів та адміністраторів сервера.Аналіз журналів брандмауера показав відсутність заблокованих підключень.Однак на сервері , крім FTP -сервера , розташовується Samba - сервер, що приймає гостьові підключення , в журналі сервера були відзначені численні підключення з IP- адреси 10.5.6.7 .Оскільки в мережі підприємства IP- адреси робочим станціям видаються автоматично , в журналі DHCP -сервера було виявлено подія видачі IP- адреси певного MAC- адресою комп'ютера COMPUTER -12.Оскільки IP -адресу та ім'я комп'ютера містять інформацію про місцезнаходження комп'ютера , він був ідентифікований , а по журналу відвідувань був знайдений користувач , який працював за цим комп'ютером .Результати розслідування передані юристам підприємства . Адміністраторам мережі і сервера було дано вказівку захистити Samba - сервіс від неповноважним підключень для запобігання повторного інциденту.Методологія розслідування супроводжується контрольними списками (чек -листами ) , за якими можна звіряти правильну послідовність проведення розслідування. Тепер ми точно не заплутаємося в розслідуванні діяльності хакера. Адже залишилося тільки слідувати розробленої самими хакерами методикою.

Розслідування інцидентуУ наш час атаками на комп'ютери та комп'ютерні мережі складно кого-

небудь здивувати. Для атак активно використовується Internet , електронна пошта та інші канали зв'язку. Подібні дії піддають організації правовим і фінансовим ризикам і часто вимагають проведення внутрішніх розслідувань.У даному випадку інцидент трапився в інтернет магазині, де на усіх комп’ютерах мережі встановлено операційну систему Windows. Саме тому обговоримо процеси та інструментальні засоби , які можна використовувати при проведенні комп'ютерних розслідувань. Мова піде про застосування засобів

Windows Sysinternals - утиліт , що використовуються для дослідження комп'ютерів на базі ОС Windows , а також внутрішніх команд та інструментів Windows. При цьому частина політик і процедур , задіяних у ході розслідування, можуть також застосовуватися для відновлення ходу подій .

Комп'ютерна модель розслідуванняЗгідно з визначенням Уоррена Круса і Джея Хейсера , авторів « Computer

Forensics : Incident Response Essentials » , комп'ютерні розслідування - це збереження , ідентифікація , витяг , документація та інтерпретація комп'ютерних носіїв для аналізу першопричини. Комп'ютерна модель розслідування показує логічну модель проведення розслідування.

У ході розслідування фахівці виконують такі дії :Оцінюють ситуацію - проводять аналіз галузі розслідування і зроблених дій .Накопичують дані - збирають , захищають і зберігають докази.Аналізують дані - досліджують і зіставляють цифрові докази з тими подіями , які представляють реальний інтерес , що надалі дозволить зрозуміти хід атаки.Готують звіт про проведене розслідування - збирають і впорядковують інформацію і складають остаточний звіт .Детально стадії проведення розслідування розглянемо нижче.Ініціювання процесу розслідуванняПерш ніж починати своє розслідування , необхідно ініціювати процес розслідування .Для початку слід вирішити , чи буде залучено юристів для проведення адміністративного (кримінального ) переслідування зловмисника. Якщо так , то слід залучити правоохоронні органи. Але варто мати на увазі , що це можна зробити і на більш пізніх стадіях проведення розслідування.Однак потрібно розуміти , що в першу чергу необхідно запобігти подальше нанесення збитку зловмисниками. Адже найважливіше захистити організацію від можливого збитку , якщо , звичайно, не порушені інтереси державної безпеки.

Оцінка ситуаціїВ даному випадку було встановленои область інциденту і визначено

необхідні ресурси для проведення внутрішнього розслідування.Для проведення внутрішнього розслідування комп'ютерного інциденту

було отримано відповідний дозвіл керівництва компанії , адже політика безпеки не передбачає інцидентний дозвіл. Було проведено повну оцінку ситуації та визначити подальші кроки . Для цього було зроблено наступне.В організації не існує певної політики реагування на інциденти , тому було письмово повідомлено керівництво і отримано письмовий дозвіл від уповноваженої особи про проведення комп'ютерного розслідування .У ході розслідування було задокументувано всі пов'язані з ним дії . В результаті отримали точний і закінчений опис подій і рішень , що мали місце в ході

інциденту і відповіді на інцидент . Надалі ця документація може використовуватися в суді для опису дій, проведених в ході розслідування .Так як даний інцидент не спричинив до загрози державної безпеки, головним завданням є захист організації від нанесення подальшої шкоди . Після того як безпека організації буде забезпечена, необхідно відновити роботу і розслідувати інцидент.Разом з тим, слід враховувати, що ваші рішення і докази можуть бути оскаржені в суді , оскільки комп'ютерний доказ - процес досить складний і різні дослідження можуть дати різні результати і висновки.

Огляд політик і процедурПриступаючи до комп'ютерного розслідування , вкрай важливо розуміти

політики та процедури, прийняті в компанії , до яких ви можете звернутися в ході розслідування . Зверніть увагу на наступні важливі міркування .Чи маєте ви законні повноваження для проведення розслідування ?Чи існують прийняті в організації політики та процедури , в яких описані правила поводження з конфіденційною інформацією?Описано Чи в цих політиках і процедурах правила проведення внутрішнього розслідування у разі інциденту ? Нажаль в нашій компанії відповідні політики та процедури відсутні. Для уникнення потенційних проблем , пов'язаних з неправильною обробкою результатів проведеного розслідування було отримано консультацію юриста . У число факторів, що провокують такі проблеми , можуть входити:

персональні дані скомпрометованих клієнтів ; порушення будь-яких державних законів; несення кримінальної або адміністративної відповідальності за

перехоплення електронних повідомлень; перегляд закритої інформації . Дані, які можуть поставити під загрозу конфіденційність інформації

клієнта, повинні бути доступні як частина пов'язаної з розслідуванням документації, якщо це безпосередньо використовувалося в проведенні розслідування. В даному випадку ці дані не стосуються клієнтів, тому ці дані можна не використовувати.

Надалі необхідно гарантувати конфіденційність клієнтських даних:всі дані повинні надійно зберігатися , при цьому контроль доступу до них повинен бути посилений ;

Після закінчення розслідування всі дані , включаючи документацію , протягом періоду часу , узгодженого з юристами або відповідно до законодавства , повинні перебувати під пильною увагою . Якщо дані - потенційна частина кримінальної справи , то необхідно проконсультуватися з правоохоронними органами.

У разі судового позову потрібно підтримувати і ретельно зберігати всі цифрові копії доказів . Якщо ви не забезпечите безпечне зберігання доказів , ви не забезпечите довіру зібраним в ході розслідування доказам . Схоронність доказів досягається при наявності документації , піддається перевірці .

Створення групи проведення розслідуваньДля успішного проведення внутрішнього комп'ютерного розслідування слід сформувати групу реагування на інциденти . Найкраще створити групу заздалегідь, до того , як реально буде потрібно проводити розслідування. Важливо , щоб члени групи мали навички проведення подібних розслідувань.

При цьому необхідно врахувати таке.Визначте компетентних співробітників , які розуміють , як потрібно проводити розслідування. Ідеальним буде навчання на відповідних курсах. Пам'ятайте , що у разі проведення слухань у суді навички та вміння співробітника , який проводив розслідування , будуть ретельно перевірятися.

Призначте членів групи розслідування та визначте їх обов'язки .Призначте одного з членів групи як технічного керівника . Як правило , технічний керівник повинен мати досвід участі у проведенні розслідувань і достатні технічні знання . Не забувайте , що члени групи проведення розслідування повинні мати більш високу кваліфікацію , ніж підозрювані.Для забезпечення захисту інформації та особистої безпеки членів групи розслідування складу групи повинен триматися в секреті.У разі відсутності в організації належним чином підготовленого персоналу до розслідування може залучатися довірена зовнішня група, що володіє необхідними знаннями .У разі проведення розслідування необхідні гарантії , що кожен член групи має повноваження для вирішення поставленого завдання. Даний пункт особливо важливий у разі залучення фахівців зі сторони для проведення розслідувань.

Повна оцінка ситуаціїДля визначення пріоритету відповідних дій і розподілу ресурсів групи розслідування необхідна ретельна оцінка ситуації . Дана оцінка визначає поточний і потенційний вплив інциденту на роботу організації , дозволяє ідентифікувати порушену інфраструктуру і як можна повніше оцінити ситуацію. Разом з тим ця інформація дозволить швидше визначити відповідний напрям роботи .Для отримання повної оцінки ситуації було виконано наступні дії .Проведено дослідженя потенційної небезпеки. Вона проявляється у виведенні з ладу комп’ютерів в наслідок понадмірного навантаження. Також було вивчено можливий вплив на організацію. Даний інцидент не зачіпає дані клієнтів, фінансові дані або конфіденційні дані компанії. Не впливає даний інцидент і на зв'язки з громадськістю .

Даний інцидент має вплив лише на роботу організації . Так як зловмисника було виявлено вчасно, компанія не втратить великі кошти на ліквідацію наслідків інциденту.

Так як даний інцидент трапився в середині фірми, клієнти не дізнаються про нього, це дозволяє виключити не матеріальні втрати (вплив на репутацію організації т. д.).

Для проведення ідентифікації , аналізу та документування мережевої інфраструктури і комп'ютерів, порушених інцидентом , було зроблено наступне.

1) Ідентифіковано мережу , залучену в інцидент , кількість , типи та ролі порушених інцидентом комп'ютерів.

2) Вивчено топологію мережі , включаючи детальну інформацію про сервери , мережеві апаратні засоби , системи мережного захисту , підключені до Internet.

Для дослідження стану додатків і операційних систем на комп'ютерах , які зачіпає розслідування, було використано інструментальні засоби . Для дослідження та документування порушених файлів і серверів додатків використовувались інструментальні засоби Windows Sysinternals : PsTools , PsFile , ShareEnum і файли журналів Windows.

Для отримання завершеного розуміння ситуації було зроблено наступне. Складено часовий графік . В результаті чого було виявлено порушника

на ім’я mr. Smith, адже саме в той час, коли він працював за певним комп’ютером, спостерігались великі навантаження на них.

Визначено, що в даний інцидент не залучено сторонніх осіб. Було проведено бесіду з підозрюваним співробітником, та

задокументовано всі результати інтерв'ю . Вони також потрібні для повного розуміння ситуації.

Було відкрито і збережено інформацію статистики роботи за персональним компютером ( файли журналів ).

Зібрана інформація є досить важливою, адже вона стане в нагоді для підготовки плану відновлення після інциденту.

На стадії збору доказів потрібно гарантувати , що результат стадії оцінки ситуації використаний правильно. Таблиця, що має результат оцінки ситуації виглядає наступним чином:Початкова оцінка впливу інциденту на бізнес організації .

Інцидент має досить негативний вплив, адже з часом може вивести з ладу велику кількість комп’ютерів підприємства.

Детальна топологія мережі з докладними вказівками про те , які комп'ютерні системи і

Топологія – зірка. На декількох комп’ютерах було встановлено

яким чином були скомпрометовані . програми “майнери”, які викликали великі навантаження на них, та з часом могли б призвести до повного виведення з ладу в наслідок перегріву.

Резюме з користувачами та адміністраторами скомпрометованих систем

Нажаль користувачі не знали нічого про діяльність зловмисника. Едине, що було помічено, це більш повільна робота комп’ютера, у порівнянні з швидкістю роботи зазвичай.

Результати будь-яких юридичних взаємодій Так як єдине, що було зіпсовано, це відео карта одного з комп’ютерів, було вирішено не вдаватися до юридичних взаємодій.

Повідомлення і файли журналів, згенеровані інструментальними засобами, використовуваними на стадії оцінки .

В результаті огляду файлів журналів, було виявлено, що саме mr. Smith знаходився за комп’ютерами в момент встановлення ПЗ для майну, та приховування його.

Запропонований напрямок і план дій. Даний інцидент вдалося виявити завдяки розмежуванню облікових засобів, та програмам, які ведуть журнал активності системи. Тому було вирішено вдосконалити вже існуючий захист шляхом встановлення розмежування прав доступу, та встановлення спеціального моніторингу роботи системи з зазначенням критичної точки навантаження, чи використання трафіку. Завдяки цьому, користувачі які не мають відповідних прав, не зможуть встановити шкідливе програмне забезпечення. І навіть якщо це зробить привілейований

користувач, то як тільки активність комп’ютера чи використовуваний трафік з’єднання інтернет дійде до критичного рівня (заздалегідь заданого), про це одразу дізнається адміністратор мережі, та дирекція підприємства.

збір даних

У даному розділі ми обговоримо , як зібрати дані , необхідні для проведення розслідування. Варто врахувати , що деякі дані , одержувані в ході розслідування , енергозалежні і можуть бути легко пошкоджені. Тому слід гарантувати , що відповідні дані зібрані правильно і належним чином збережені для проведення аналізу .Формуйте комп'ютерний інструментарій для проведення розслідуванняДля грамотного і своєчасного проведення розслідування організації буде потрібно колекція апаратних і програмних засобів для збору даних в ході розслідування . Такий інструментарій повинен містити ноутбук з набором відповідних програмних засобів , операційних систем з необхідними оновленнями , мобільними носіями , мережевим обладнанням та набором відповідних кабелів . Ідеально створити такий набір інструментів заздалегідь. Причому члени групи повинні бути ознайомлені з інструментальними засобами до проведення розслідування.збір доказівЗбір цифрових доказів виконується локально або по мережі. Однак локальний збір даних не завжди можливий. У разі збору даних по мережі слід враховувати тип зібраних даних та ті зусилля , які для цього будуть потрібні .Рекомендований процес збору даних:1 . Створити точну документацію , яка дозволить підтвердити справжність зібраних доказів . Важливо звертати увагу на будь потенційно цікаві елементи і реєструвати будь-які дії , які можуть бути пізніше визнані важливими в процесі розслідування . Ключем до успішного розслідування є належна документація , в тому числі така інформація:Хто виконав дію і чому?Чого таким чином намагалися добитися ?Як саме виконано дію ?Які використовувалися інструменти та процедури?Коли ( дата і час ) виконано дію ?Які результати досягнуті ?2 . Визначити необхідні методи проведення розслідування. Як правило , використовується комбінація автономних та інтерактивних методів .При проведенні автономних розслідувань додатковий аналіз виконується на порозрядної копії оригінального докази. Автономний метод розслідування застосовується завжди , коли це можливо , так як це зменшує ризик пошкодження оригінального докази. Проте варто врахувати , що даний метод може використовуватися тільки в тих випадках , коли може бути створена відповідна копія , і не може застосовуватися для збору деяких енергозалежних даних.При проведенні інтерактивного розслідування аналіз виконується на оригінальному оперативному доказі . Співробітники , які беруть участь в

проведенні розслідування , повинні бути особливо обережні зважаючи на ризик модифікації доказів .3 . Ідентифікувати і задокументувати потенційні джерела даних , включаючи :сервери ; інформація включає роль сервера , файли логів , файли даних , додатки ;файли журналів внутрішніх та зовнішніх мережевих пристроїв;внутрішні апаратні компоненти ( наприклад , мережеві адаптери) ;зовнішні порти - Firewire , USB і PCMCIA ;запам'ятовують пристрої , включаючи жорсткі диски , мережеві пристрої, що запам'ятовують , змінні носії ;переносні мобільні пристрої - Pocket PC , Smartphone і MP3 -плеєри.4 . При фіксуванні енергозалежних даних слід ретельно розглядати порядок збору даних. Врахуйте , що енергозалежна доказ може бути легко зруйновано при виключенні живлення.5 . Використовуйте наступні методи збору даних.Якщо необхідно витягти небудь пристрої внутрішньої пам'яті, потрібно перевірити , чи всі енергозалежні дані зафіксовані , а потім вимкнути комп'ютер.Вирішіть , видалити накопичувач або використовувати власну систему для фіксування даних. Врахуйте , що можлива ситуація , коли ви не зможете видалити запам'ятовуючий пристрій через апаратної несумісності.Створіть порозрядну копію докази на резервному носії , захистивши оригінальне доказ від запису. Весь подальший аналіз даних повинен виконуватися на цій копії , а не на оригінальному доказі .Документуючи запам'ятовують пристрої , гарантуйте включення інформації про їх конфігурації. Зверніть увагу на виробника і модель устаткування , параметри настройки перемички , обсяг пристрою , тип інтерфейсу і стан диска.6 . Перевірте зібрані дані . Якщо є можливість , створіть контрольні суми та цифрові підписи , щоб гарантувати , що скопійовані дані ідентичні оригіналу. Врахуйте , що в деяких випадках (наприклад , при наявності збійних секторів на носії даних) ви не зможете створити абсолютну копію. Однак слід гарантувати , що ви отримали найкращу копію , яку можна було створити за допомогою наявних інструментальних засобів. Для обчислення криптографічних хешів за алгоритмами MD5 або SHA1 можна використовувати Microsoft File Checksum Integrity Verifier (http://www.microsoft.com/downloads/details.aspx?FamilyID=b3c93558-31b7-47e2-a663-7365c1686c08&DisplayLang=en ) ( FCIV ) .Зберігання і архівПісля того як докази зібрані і готові до аналізу , надзвичайно важливо архівувати і зберігати їх таким чином , щоб гарантувати цілісність.Перелічимо найбільш надійні способи зберігання та архівації даних.

Зберігання даних в фізично безпечному місці.Документування фізичного і мережевого доступу до інформації.Гарантія того , що невповноважені особи по мережі чи іншим способом не можуть отримати доступ до доказів .Захист кімнат і обладнання, в яких зберігаються носії , що містять докази , від впливу електромагнітних полів і статичної електрики .Виготовлення не менше двох копій доказів , зібраних у ході розслідування . При цьому одна з копій повинна зберігатися в безпечному місці поза основної будівлі .Гарантія того , що доказ захищено як фізично (наприклад , поміщено в сейф) , так і в цифровій формі (наприклад , призначений пароль на носії даних).Документування всього процесу зберігання інформації докази.Створення журналу контролю , який включає наступну інформацію:- Ім'я людини , що досліджує доказ ;- Дату і час початку роботи з доказом ;- Дату і час його повернення до сховища.