Виявлення та документування злочинів, пов’язаних зі збутом та розповсюдженням продукції порнографічного характеру в мережі Інтернет та локальних мережах[15]
Ставиться завдання встановити людину, що розмістила порнографічну продукцію. Технічно можливо встановити місце розташування конкретного комп'ютера, з якого інформація була розміщена в мережі.
Існує кілька способів поширення порнографії через Інтернет.
Один з найпоширеніших - це розміщення матеріалів на вебсерверах. Такі сервери можна розділити на дві групи.
Платні сервери. На таких серверах, як правило, потрібна авторизація людини, яка розташувала сайт. Адміністрація таких серверів відповідає за зміст сайтів, розміщених на цих серверах.
Анонімні безкоштовні сервери. На таких серверах користувачі можуть розмістити сайти, не вказуючи свої особисті дані.
Кожен комп’ютер у мережі Інтернет має свою унікальну адресу, що складається з чотирьох чисел, які знаходяться в діапазоні від 0 до 255 і розділені крапками. Ось приклад такої адреси:
195.254.55.232
Такі адреси називаються IP-адресами (адресами Інтернет Протоколу), тому що вони забезпечують роботу протоколу IP.
Викладена нижче система адресації базується на ІР версії 4, що використовує 32-бітову адресацію. Кожне з чотирьох чисел адреси відповідає восьми бітам інформації. Тому ці числа називаються октетами. Такий адресний простір дозволяє використовувати 255 комбінацій кожної октети, тобто приблизно 4,3 мільярда різних адрес. В даний час
Інтернет зіштовхнувся з реальною погрозою недостачі адрес. Тому не дуже давно була розроблена версія IP 6 (має назву „IPng”, чи „Internet Protocol Next Generation”), яка використовує 128-бітну адресацію.
IP-адреса складається з двох частин.
Перша має від одного до трьох чисел ліворуч - позначає мережу, у якій знаходиться комп’ютер, і називається ідентифікатором мережі.
(Інтернет складається з безлічі мереж, кожна з яких має власну адресу.)
Друга має від одного до трьох чисел праворуч - позначає конкретний комп’ютер у мережі і називається ідентифікатором вузла.
Таким чином, ієрархія IP-адрес читається зліва направо, тобто ліворуч розташовуються старші біти, праворуч - молодші (як-то поштова адреса: країна, місто, вулиця, будинок).
Кількість комп’ютерів, що створюють мережі, може бути різною. Будь вона великою чи малою - у будь-якому випадку IP-адреси із загальним ідентифікатором мережі повинно „вистачити” для усіх вузлів. Очевидно, чим більше перше число в IP-адресі (тобто чим більше в ньому бітів), тим більшу кількість адрес можна створити з його використанням. Тому такі числа присутні в адресах великих мереж. Навпаки, менші ідентифікатори мережі говорять про менший розмір мережі.
В залежності від свого розміру мережі поділені на класи. Цих класів чотири - А, В, С, і D, де А позначає найбільші мережі, D - найменший. Розглянемо відмінності, наприклад, мережі класу А від мережі класу С.
Перший октет IP-адреси мережі класу А знаходиться в діапазоні від 1 до 126. Кількість вузлів у такій мережі може досягати 16777214. Ідентифікатори розподіляються в адресі таким способом:
мережа. вузол. вузол. вузол
Перший октет IP-адреси мережі класу С знаходиться у діапазоні від 192 до 233. Кількість вузлів у цьому випадку обмежена 254. Адреса кожного вузла виглядає так:
мережа. мережа. мережа. вузол
Присвоєнням адреси в Інтернеті займається організація за назвою InterNIC (Network Information Center). Однак до присвоєння конкретної адреси кожному комп’ютеру не доходить. При реєстрації мережі в Інте- рнет їй виділяється мережний ідентифікатор залежно від її класу. Ідентифікація ж вузлів у підмережах мережі здійснюється організацією- власником.
Багато організацій, що мають у своєму розпорядженні великі мережі (наприклад, провайдери послуг Інтернет), іноді „заощаджують” на IP-адресах. Вони резервують меншу їхню кількість, ніж число вузлів у мережі. У цьому випадку кожному вузлу при підключенні виділяється динамічна IP-адреса з тих, котрі вільні в даний момент.
Коли особа підключається до Інтернет, її комп’ютер стає частиною мережі, тому йому повинна бути привласнена унікальна IP-адреса.
Отримання IP-адреси здійснюється при кожному підключенні, але ця адреса щоразу має нове значення з діапазону динамічних IP-адрес провайдера, через якого здійснюється підключення.Статичні IP-адреси, як правило, закріплені за тими вузлами Інтернет, що повинні бути присутніми у мережі постійно. Це сервери, призначення яких полягає в тому, щоб обробляти запити користувачів Інтернет.
Хоча комп’ютерам система IP-адресації здається цілком прийнятною у всіх відношеннях, для людини форма подачі інформації представляється не зовсім зручною. Тому для більш легкого уявлення адрес Інтернет була розроблена система доменних імен.
Слово „домен” у перекладі означає „область”, „зона”. Стосовно до Інтернет, домен є віртуальною зоною, до якої належить той чи інший комп’ютер.
Доменне ім’я представляє собою адресу будь-якого ресурсу (інформації) в мережі Інтернет як послідовність слів.
Деякі з них мають змістовне значення, завдяки чому така адреса порівняно легко запам’ятовується.
Адреси Інтернет-ресурсів, представлені таким чином, називають URL-адресами (Uniform Resource Locator), або універсальними покажчиками ресурсу.
Ось типові приклади доменних імен: www.po drobno sti .ua www.google.ru (див. мал. № 1)
малюнок № 1
На відміну від IP-адрес, ієрархія доменних імен читається справа наліво. Самий правий сегмент доменного імені являє собою домен верхнього рівня. В даний час Інтернет поділений на домени верхнього рівня за однією з двох ознак: або за географічною, або за ознакою характеру діяльності.
У табл. 1 приведені домени верхнього рівня, що розрізняються за географічною ознакою (сортування зроблене за назвами доменів).
таблиця 1
| .UA | Україна |
| .RU | Росія |
| .UK | Великобританія |
| .US | США |
| .HN | Г ондурас |
У списку 1 приведені домени верхнього рівня, що розрізняються за ознакою діяльності сайту.
Список 1
Домени верхнього рівня (сфера діяльності) com Комерційні організації
edu Освітні установи
gov Урядові організації
mil Військові організації
net Організації, що стосуються, як правило, послуг
org Г ромадські організації
Оскільки для людини легше сприйняття доменних імен, а для комп’ютера - IP-адрес, між цими двома варіантами запису адреси встановлені однозначні відповідності. Коли комп’ютеру дається команда відкрити сторінку, то вводиться визначена URL адреса; це змушує комп’ютер звертатися за довідкою до іншого комп’ютеру, щоб визначити, яка IP-адреса відповідає введеному доменному імені. Цей „довідковий” комп’ютер називається сервером DNS (Domain Name System). DNS - це служба каталогізації доменних імен. Таблиця відповідності доменних імен IP-адресам розміщається на багатьох DNS-серверах, що послідовно опитуються при пошуку того чи іншого значення.
Щоб довідатися IP-адресу сайту, доменне ім’я якого відомо (і взагалі довідатися, чи існує така адреса), можна скористатися програмою
Ping (Packet Internet or Inter-Network Groper), що входить у комплект Windows. Для цього необхідно виконати команду Пуск > Виконати
(Start > Run) і набрати наступний рядок: ping yahoo.com
(див. мал. № 2)
малюнок № 2
Замість адреси пошукової системи Yahoo можна ввести адресу будь-якого іншого сайту.
Таким чином можна визначити, за ким зареєстрована та чи інша адреса. Для цього існують програми, узагальнені назвою Whois (що можна приблизно перевести як „Хто є хто”). У комплект Windows така програма не входить, але завантажити її можна з будь-якого сховища програмного забезпечення (див. мал. № 3).
малюнок № 3
Також зловмисник може скористатися анонімним проксі-сервером або ланцюжком таких серверів. Як правило, на проксі-серверах ведуться протоколи доступу до них.
У цьому випадку необхідно витребувати ці протоколи або їх необхідну частину у власників серверів.Найбільші проблеми виникають із власниками серверів, які є громадянами інших країн.
У боротьбі із комп’ютерною злочинністю та правопорушеннями у сфері комп’ютерних Інтернет-технологій працівники правоохоронних органів найчастіше зіштовхуються з питаннями:
1. Кому належить той чи інший сайт?
2. Кому належить електронна поштова скринька?
Питання із сайтом вирішується легше з причини того, що він для постійного доступу має статичний адрес та розташований на технічній площадці провайдера, який надає власникові сайту свої ресурси для роботи (це називається послуга хостінгу).
Згідно з описаною вище технологією за допомогою сервісу Whois визначається провайдер, який надає послугу хостінгу. Надалі до провайдера слід звернутися із запитом щодо власників сайту.
Мінімальний рекомендований перелік питань, які має висвітлити провайдер відносно, наприклад, сайту ltd.kiev.ua, такий:
1. Реєстраційні дані (logs) та абонентська інформація про особу, якій надаються послуги хостінгу для сайту ltd.kiev.ua;
2. Адреси, телефонні номери та інші реквізити власника сайту;
3. IP-адреси, які використовувалися для створення цього сайту;
4.ІР-адреси, які використовуються для поповнення змісту цього
сайту;
5. Інформація щодо змісту цього сайту;
6. Інформація щодо користування зазначеним сайтом.
Для полегшення аналізу отриманої інформації та подальшої роботи з нею необхідно, щоб провайдер до відповіді додав інформацію в електронному вигляді.
Питання 1 і 2 відразу можуть дати відповідь на питання, хто є власником сайту. Але інколи така інформація відсутня у провайдера або сфальсифікована власником сайту (якщо послуга хостінгу у провайдера безкоштовна та не оформляється угодою).
Тоді відповіді на питання 3 і 4 висвітлять інформацію про те, через якого провайдера діяв власник сайту, створюючи та оновлюючи свій сайт, що надасть можливість ідентифікувати його, направивши наступний запит до цього провайдера, але вже щодо ідентифікації клієнта, що буде описано нижче.
Питання 5 і 6 висвітлюють інформацію про те, що загалом міститься на всьому сайті (бувають приховані, або платні зони), та про осіб, що користувалися цим сайтом для отримання інформації. Якщо у подальшому є задача ідентифікувати таких осіб, то можливо дізнатися, куди було направлено інформацію з сайту.
2. Електронна поштова скринька відрізняється тим, що ім’я користувача відрізняється від доменного значком @ (комерційна альфа, „собака”, „вухо”), наприклад, vovan@mail.ru.ua або roma@ukr.net.
При встановленні особи, яка користується відомою адресою, необхідно спочатку встановити за допомогою сервісу Whois провайдера, що надає послуги використання електронної пошти. Далі надсилається запит щодо інформації про користувача електронної поштової скриньки.
Мінімальний рекомендований перелік питань, які повинні бути висвітлені:
1. Адреса, телефонні номери та інші реквізити абонента;
2. IP-адреси, які використовувалися для створення цього облікового запису;
3. IP-адреси, які використовуються для з’єднання з цим обліковим записом;
4. Реєстраційні дані (logs) та абонентська інформація про користувача облікового запису (електронної поштової адреси) roma@ukr.net;
5. Відомості про обліковий запис (електронну поштову адресу), на який пересилається повідомлення після його отримання (робиться операція „Forward”);
6. Зміст адресної книги електронної поштової скриньки;
7. Зміст всіх вхідних та вихідних повідомлень.
У цьому разі зручно, щоб провайдер до відповіді додав інформацію в електронному вигляді.
У випадку використання правопорушником електронної поштової адреси є велика ймовірність, що на перші два питання відповіді у провайдера не буде або інформація буде неправдивою. Це обумовлено тим, що більшість електронних поштових адрес надаються безкоштовно і користувач майже ніколи не заповнює реквізити. Останні три питання дають інформацію про осіб, які можуть надати додаткову інформацію відносно користувача електронної поштової адреси, якого необхідно встановити, інші електронні поштові адреси, які він може використовувати, та його особисті інтереси.
Така інформація тільки опосередковано висвітлює користувача, тому потрібно спиратись на інформацію, яка міститься у відповіді на 3-5 питання.
Тут будуть отримані динамічні IP-адреси інших провайдерів, з яких здійснював свою діяльність користувач електронної поштової адреси, тому дуже важливо знати точний час у відповідності до кожної використаної адреси. Згідно з цією інформацією необхідно за допомогою сервісу Whois встановити провайдера (юридичну особу), який надавав послугу з використання мережі Інтернет для користувача електронної поштової адреси. Слід направити до нього запит приблизно такої форми:
„...просимо Вас надати інформацію про реквізити клієнта, який здійснював доступ до мережі „Інтернет” з адреси 195.114.131.145 28.02.2002 р. близько 19 години 15 хвилин, а також вказати телефон, з якого здійснювалося з’єднання з мережею, із зазначенням початку та кінця сеансу зв’язку...”
Відповідь на це запитання надасть вам можливість встановити фізичну адресу користувача електронної поштової адреси.
Але якщо електронна поштова адреса створена навмисно для протиправних дій, правопорушник може користуватися нею з комп’ютерних Інтернет-клубів (кафе, орендованих квартир, готелів тощо), тому необхідно буде встановити наступне:
- комп’ютер у внутрішній локальній мережі клубу (кафе або інше місце, де можливо користуватися мережею Internet), з якого правопорушник здійснював свою діяльність;
- який адміністратор закладу був на зміні під час виходу правопорушника до мережі Інтернет;
- осіб з числа інших клієнтів, які в той час знаходились поблизу комп’ютера правопорушника;
- інший обслуговуючий персонал клубу (кафе, готелю тощо), який міг запам’ятати правопорушника (охоронець, бармен, прибиральниця тощо).
Зазначених осіб необхідно опитати та встановити особу (або скласти фоторобот) правопорушника.
У вирішенні питання ідентифікації власника (користувача) сайту або електронної поштової адреси дуже важливим є фактор часу, який минув з моменту вчинення правопорушення. Це обумовлено тим, що зазначена в запитах інформація зберігається у провайдера лише деякий нетривалий час, який у більшості випадків не перевищує 1-2 місяці, а інколи складає 5-7 днів. При роботі із будь-яким провайдером слід зазначати, що інформація відносно діяльності клієнта, який представляє оперативний інтерес, в мережі Інтернет має зберігатися якомога довше та бути повнішою.
Після визначення фізичної адреси підозрюваної особи (осіб) наступна слідча дія буде полягати у проведенні обшуку та (у разі необхідності) виїмці знарядь скоєння злочину у вигляді електронних носіїв інформації, які необхідні для подальшого розслідування справи. На даному етапі, так як слідчі дії у більшості випадків будуть проводитись в локалізованому просторі, де встановлені та зв’язані у єдину локальну обчислювальну мережу декілька ЕОМ, необхідно з метою підвищення ефективності діяльності працівників правоохоронних органів при проведенні вищевказаних правових дій засвоїти наступну інформацію: локальна мережа може поєднувати до кількох сотень комп’ютерів, стаціонарно з’єднаних кабелями. З’єднання комп'ютерів кабелями може бути організовано різним засобом, що організує різну топологію мережі (зоряну, шинну, кільцеву) (див. мал. №№ 4, 5, 6).
малюнок № 4
малюнок № 5
малюнок № 6
Кабелі приєднуються до ПК через спеціальний пристрій, який називається мережною картою (мережним адаптером) (див. мал. №7)
малюнок № 7
і вставляється в слот розширення на материнській платі комп’ютера. Є материнські плати із уже вбудованим мережним адаптером (див. мал. №8).
Існують різні види мереж- них адаптерів - ArcNet, Ethernet, TokenRing, що розрізняються продуктивністю (швидкістю передачі даних). Для мережі з числом ЕОМ до 50 звичайно застосовуються недорогі адаптери класу Ethernet. Для побудови мережі використовуються й інші мережні пристрої різної складності, з яких необхідно виділити обчислювальні мережі на базі технології Wi-Fi (див. мал. №№ 9, 10)
малюнок № 8
малюнок № 9
малюнок № 10
На даний момент ця технологія по праву вважається найбільш перспективною в секторі зв’язку. Головна відмінність мережі Wi-Fi від локальної мережі - відсутність з’єднувальних проводів, оскільки така мережа працює на основі радіоканалу, при цьому дальність дії Wi-Fi передавачів близько 160м, однак швидкість передачі даних нітрохи не нижче, ніж у провідної локальної мережі. Застосовувані технічні засоби й топологія мережі в сукупності визначають надійність функціонування й швидкість передачі інформації в такій мережі, що у цей час варіюється від 10 до 100 Мбіт у секунду. Існує дві принципово різних супідрядності комп’ютерів у локальній мережі й, відповідно, технології роботи в ній:
Однорангова мережа - це мережа рівноправних комп’ютерів (робочих станцій), кожний з яких має унікальне ім’я (ім’я комп’ютера) і звичайно пароль для входу в нього в момент завантаження операційної системи. Ім’я і пароль входу призначаються власником ЕОМ засобами ОС (див. мал. №11).
У такій мережі можуть бути організовані „пі- дмережі”, так звані групи, кожна з яких також має ім’я, наприклад „Бухгалтерія”.
малюнок № 11
Приналежність робочої станції до якої-небудь групи може бути задана або змінена самим користувачем. Рівноправність ПК означає, що власник кожного комп’ютера в мережі сам має програмну можливість перетворити свій локальний ресурс (диски, папки, принтер) у розділений, надавши до нього доступ іншим користувачам групи, встановлювати права й пароль доступу до ресурсу. Він же відповідає за зберігання або працездатність цього ресурсу. Програмні засоби також дозволяють власникові ЕОМ скасувати доступ до ресурсу, тобто повернути йому статус локального. Доступ до „чужих ресурсів” у такій мережі організований на рівні ресурсів. Це означає, що доступ до мережних ресурсів робочої станції одержує будь-який комп’ютер, що входить у ту ж групу, що й „власник ресурсу”. Доступ до мережних ресурсів комп’ютерів іншої групи неможливий. Поняття „користувач” у такій мережі відсутнє, а точніше, збігається з поняттям „комп’ютер групи”. В одноранговій мережі кожна робоча станція може одночасно як надавати свої ресурси іншим комп’ютерам групи (бути сервером), так і використовувати ресурси інших ЕОМ (бути клієнтом). Мережі цього типу часто організуються в невеликих офісах для об’єднання невеликого числа комп’ютерів ( 10-15 ЕОМ). Створення й експлуатація такої мережі не вимагає високого професіоналізму і наявності спеціальної особи (системного адміністратора), відповідального за функціонування мережі.
Ієрархічні мережі - це мережі, у яких є потужний комп’ютер - виділений сервер, ресурси якого надаються іншим з’єднаним з ним комп’ютерам (робочим станціям) (див. мал. № 12).
малюнок № 12
Ресурси робочих станцій серверу, як правило, не доступні. Ієрархічні мережі організуються при великій кількості робочих станцій. У порівнянні з одноранговими мережами вони забезпечують більш високу швидкодію й надійність роботи мережі, підвищують конфіденційність і надійність зберігання інформації, а також надають ряд інших корисних можливостей. Однак створення ієрархічної мережі вимагає високого професіоналізму, а роботу всієї мережі організує спеціальна відповідальна особа - системний адміністратор. На відміну від однорангової мережі надання ресурсів сервера в ієрархічній мережі здійснюється на рівні користувачів. Це означає, що для повноцінної роботи в мережі кожний користувач повинен бути персонально зареєстрований адміністратором мережі, після чого йому призначаються унікальні в мережі ім'я й пароль, під яким він „буде відомий серверу”. При реєстрації користувачу також виділяються певні ресурси на сервері й права доступу до
малюнок № 14
Домен - область ієрархічних імен мережі Інтернет, що обслуговується набором серверів доменних імен (DNS) і централізовано адмініструються. Домен ідентифікується ім’ям домена. У великих мережах може бути декілька доменів. Іноді у великих компаніях кожному відділу відповідає власний домен.
Поряд із класичними мережами, зазначеними вище, можлива організація мереж і більш складних видів, а саме: сполучення одноранго- вої й ієрархічної мережі, у якій робочі станції можуть бути підключені як до виділеного сервера, за принципом ієрархічної мережі, так і об’єднані між собою в однорангову мережу; ієрархічна мережа з декількома виділеними серверами; ієрархічна мережа, у якій є кілька рівнів ієрархії серверів, при чому сервера нижнього рівня підключаються до серверів більше високого рівня. Принципи роботи в таких мережах близькі до тих, що використовуються в найпростіших однорангових і ієрархічних мережах. Усі мережні операційні системи (МОС) автоматично надають користувачам базові можливості навіть при роботі зі звичайними програмами. Поряд із цим виявляється можливою розробка спеціальних мережних прикладних програм, які більш ефективно використо-
46
вують переваги роботи в робочих станцій в комп’ютерній мережі. Базові мережні можливості МОС для локальних і розподілених мереж дозволяють: копіювати файли з одного ЕОМ на інші; з одного комп’ютера мережі обробляти дані (уводити, редагувати, видаляти, робити пошук), розміщені на іншому; запускати програму, розміщену в пам’яті одного комп’ютера, що буде оперувати з даними, що зберігаються на іншому ЕОМ; з будь-якого ЕОМ мережі використовувати пристрої (наприклад, DVD-ROM, принтер, модем), розміщені на „чужій” ЕОМ (або підключені до „чужій” ЕОМ) у мережі. Ці можливості дозволяють мати один або декілька потужних ЕОМ (виділених серверів), у довгостроковій пам’яті яких розміщається колективно використовувана в організації інформація й необхідні програми. Тим самим можна знизити вимоги до технічних характеристик (особливо до об’єму оперативної та постійної пам’яті) інших комп’ютерів у мережі. Основним стимулом стала можливість застосування нових інформаційних технологій, найважливіші особливості яких полягають у наступному: незалежність процесу обробки інформації від конкретного комп’ютера: клієнт може бути обслужений будь-яким операціонистом, наприклад у банку (у будь-якому віконці), бухгалтерські проводки можуть бути введені будь-яким бухгалтером з будь-якого комп’ютера й т.ін.; виключення дублювання або різночитання однієї і тієї ж інформації за рахунок її зберігання на однієї із ЕОМ мережі й забезпечення доступу до неї з інших комп’ютерів; підвищення надійності зберігання інформації в більших системах шляхом її концентрації на ЕОМ із поліпшеними технічними характеристиками або які мають спеціальні пристрої для її дублювання, зберігання копій, а при необхідності й відновлення (можливо, і автоматичного); підвищення конфіденційності використання наявної в організації інформації шляхом застосування програмних засобів МОС, що дозволяють для кожного користувача в мережі встановити диференційовані права доступу до різних секторів інформації; спрощення програмного супроводження інформаційної системи, захисту від вірусів, непрофесійної зміни непідготовленими користувачами системних настроювань у колективно використовуваних програмах; можливість організації оперативного безпаперового обміну інформацією між підрозділами й співробітниками організації. Крім перерахованих факторів, перевага мереж визначається такими зовнішніми ефектами, як економія робочого часу співробітників при обміні інформацією й підготовці спільних документів; спрощення фінансових розрахунків, що сприяють прискоренню оберту фінансових коштів; створення нових видів послуг і ін. Одержуваний ефект від перерахованих зовнішніх факторів значно перевершує витрати на створення й підтримку локальних комп’ютерних мереж.
Під час вилучення комп’ютера, машинних носіїв та інформації з них виникає ряд загальних проблем, пов’язаних зі специфікою технічних засобів, що вилучаються. Так, конче необхідно брати до уваги засоби безпеки, які застосовуються злочинцями з метою знищення речових доказів. Вони, наприклад, можуть використати спеціальне обладнання, яке в критичних випадках утворює сильне магнітне поле, що стирає магнітні записи. Дуже поширена історія про хакера Кевіна Мітника, який створив у дверному отворі магнітне поле такої сили, що воно знищувало інформацію з магнітних носіїв при винесенні їх агентами ФБР з його кімнати. Тому завжди слід враховувати, що злочинець має можливість включити до складу програмного забезпечення свого комп’ютера програму, яка примусить комп’ютер періодично вимагати пароль і, якщо декілька секунд правильний пароль не буде введений, дані в комп’ютері будуть автоматично знищені. Власники комп’ютерів встановлюють інколи приховані команди, що знищують чи виконують архівацію з паролем важливої інформації.
Розглянемо таке поняття як доказова електронна інформація. У загальному вигляді доказова електронна інформація - це сукупність інформації, яка зберігається в електронному вигляді на будь-яких типах електронних носіїв та в електронних засобах і має значення для об’єктивного розкриття всіх обставин справи. Особливість цих доказів полягає в тому, що вони не можуть сприйматися безпосередньо, а мають бути інтерпретовані певним чином та проаналізовані за допомогою спеціальних технічних засобів та програмного забезпечення.
Правоохоронні органи в різних країнах утворюють усе більше спеціалізованих підрозділів для збирання та аналізу електронних доказів. Також цю функцію виконують численні лабораторії судової експертизи - як державні, так і приватні.
Дуже часто правоохоронні органи мають справу з комп’ютерами, коли розслідуються звичайні види кримінальних злочинів: крадіжка, вимагання, шантаж, торгівля наркотиками тощо. Для криміналістів теж усе більш звичним стає пошук та аналіз у комп’ютерних системах інформації, яка може бути використана як доказ при розгляді кримінальної справи в суді. Тому, хоча законодавчі процедури та правила вилучення й оформлення доказів відрізняються в різних країнах, однаковим є те, що визнання комп’ютерних доказів судами - процес важкий і потребує впевненості в тому, що докази були виявлені та вилучені співробітником, який має певні навички та підготовку для цієї діяльності.
У ході обшуку всі електронні докази, які знаходяться у комп’ютері чи комп’ютерній системі, мають бути зібрані в такий спосіб, щоб вони потім були визнані судом. Світова практика свідчить, що досить часто під тиском представників захисту в суді електронні докази не беруться до уваги. Для того щоб гарантувати їх визнання в якості доказів, необхідно суворо дотримуватися вимог кримінально- процесуального законодавства, а також стандартизованих прийомів та методик їх вилучення.
Розслідування злочинів, що вчиняються за допомогою комп’ютерних технологій, вимагає спеціальних знань. Якщо його буде доручено некваліфікованим особам, то це може створити серйозні проблеми. Тому існує велика потреба у спеціалізованих „комп’ютерних” підрозділах або у кваліфікованих фахівцях.
Комп’ютери, що входять до складу інформаційної системи, - це складне обладнання, яке потребує обережного поводження з ним під час роботи на місці події. Слід пам’ятати, що комп’ютери можуть містити в собі велику кількість даних, які належать сторонній особі або організації (наприклад, можуть бути об’єктом інтелектуальної власності). Тому обережність при поводженні з комп’ютером необхідна як з точки зору збереження важливої доказової інформації, так і з точки зору відвернення матеріальних збитків та збереження власності. Саме тому необхідно, щоб з комп’ютером на місці події мала справу дійсно кваліфікована особа.
Справедливим є твердження про те, що не існує такого поняття, як універсальний комп’ютерний експерт. Тому, збираючись на місце події, важливо з’ясувати, з якою технікою і з якою операційною системою доведеться мати справу. Перше, що необхідно встановити, - це тип операційної системи. Не всі комп’ютерні системи однаково розповсюджені, і тут теж можуть виникнути певні проблеми. Спеціаліст з операційної системи MS DOS може не володіти необхідними знаннями для управління машиною з іншою операційною системою, наприклад, Unix або Windows. Але, незважаючи на певні труднощі, фахівець має визначитись, може він особисто працювати з даною операційною системою чи слід залучати іншого фахівця в цій галузі. В останньому випадку дії з обладнанням залучених осіб мають ретельно фіксуватися.
Найбільш простий випадок - коли йдеться про окремий комп’ютер. Але комп’ютери можуть бути пов’язані між собою в комп’ютерні мережі (наприклад, локальні), котрі, у свою чергу, можуть бути об’єднані через глобальні комп’ютерні мережі. Тому не виключена ситуація, що певна важлива інформація (яка може бути використана як доказ) буде передана через мережу в інше місце, не виключено, що й за кордон, а іноді важлива для кримінальної справи інформація може знаходитись на території кількох країн. У такому разі необхідно використати всі можливості (документацію, допити осіб, технічні можливості системи) для встановлення місцезнаходження іншої комп’ютерної системи, куди була передана інформація. Як тільки це буде зроблено, потрібно терміново надіслати запит (з дотриманням встановлених вимог) про надання допомоги (або правової допомоги, якщо така необхідна для виконання поставлених у запиті питань) до компетентного правоохоронного органу відповідної країни (по встановленим офіційним каналам, наприклад, Інтерпол). Саме на цьому етапі виникають найбільші труднощі в організації роботи щодо розслідування злочину, який вчиняється за допомогою комп’ютерних технологій, та кримінального переслідування злочинців.
Сучасні комп’ютерні технології дуже розвинуті та складні, ось чому існує небезпека, що слідство може втратити важливі докази, якщо особи, що ведуть його, не будуть достатньо підготовлені для цього. Необхідно зрозуміти, що реальне фізичне місцезнаходження даних може бути зовсім не в тому місці, як це сприймається на перший погляд. Т аким чином, використання локальних і глобальних інформаційних мереж дозволяє приховувати реальне місцезнаходження комп’ютерної інформації не на фізичному жорсткому диску та файловій системі у тому місці, де проводиться обшук і вилучення даних, а в іншому місці або країні.
Особливу цінність при розслідуванні в комп’ютерних мережах мають так звані „логи” - інформація, що міститься в логфайлах (текстова інформація). За допомогою цієї інформації можна, наприклад, встановити рахунок користувача, його ідентифікатор, час трансакції, мережну адресу, телефонний номер, а також те, які події відбувалися в системі - що було знищено, змінено, скопійовано, які ресурси були за- діяні для цього.
Логи можуть збиратися в комп’ютерних системах на різному рівні: в операційній системі, у спеціально встановленому програмному забезпеченні (наприклад, програмному аудиті безпеки), в окремих модулях баз даних і навіть у деяких прикладних програмах. Фізично ця інформація може знаходитися в різних місцях - від робочої станції і серверу мережі до віддаленого серверу.
До підготовки будь-якої дії, пов’язаної з розслідуванням злочину, що вчиняється за допомогою комп’ютерних технологій (особливо вилучення інформації і комп’ютерного обладнання), доцільно з самого початку залучити фахівця з галузі інформаційних технологій. До початку операції необхідно також мати певну інформацію щодо марки, моделі комп’ютера, операційної системи, периферійних пристроїв, засобів зв’язку та будь-які інші відомості про систему, яка є об’єктом розслідування.
Отримана інформація має бути терміново доведена до фахівця, щоб він мав час для встановлення при потребі додаткового контакту з іншими фахівцями (або його залучення), а також підготовки необхідних спеціальних апаратно-програмних засобів.
Пошук необхідної інформації в комп’ютерній системі може зайняти кілька годин, а іноді і днів. Якщо систему фізично неможливо вилучити й перемістити в інше місце, виникає необхідність копіювати інформацію та комп’ютерні програми на магнітні носії (зробити повні копії окремих жорстких дисків або окремих файлів і директорій). Тому для пошуку, вилучення та копіювання інформації необхідно зарезервувати час.
Магнітні носії, на які передбачається копіювати інформацію, мають бути підготовлені (необхідно впевнитись, що на них нема ніякої інформації). Носії потрібно зберігати у спеціальних упаковках або загортати у чистий папір (не слід використовувати звичайні поліетиленові пакети). Слід пам’ятати, що інформація може бути зіпсована вологістю, температурним впливом або електростатичними (магнітними) полями.
Під час транспортування комп’ютерного обладнання слід поводитися з ним обережно, оскільки інформація на жорсткому диску може бути пошкоджена під час транспортування. Для транспортування великих комп’ютерних систем слід підготувати транспорт та спеціальні упаковки.
Прибувши на місце події (обшуку), необхідно насамперед „заморозити” ситуацію: вивести всіх осіб із зони доступу до обладнання, забезпечити неможливість втручання до системи через лінії зв’язку (зокрема через модеми). Не дозволяти нічого змінювати в роботі системи. Система може бути дуже складною, тому, чітко не розібравшись у її конфігурації, не слід приймати жодного рішення.
Окрема увага має приділятися підозрюваній особі, адже можливо, що нею передбачені засоби знищення інформації шляхом натиснення на комп’ютері однієї лише клавіші. Бажано, щоб підозрюваний був присутній при огляді, оскільки саме він може надати найбільш важливу інформацію про систему - паролі, коди доступу, перелік інстальованих програм та місцезнаходження окремих директорій (у тому числі прихованих). Причому його не слід допускати до комп’ютерного обладнання, щоб запобігти спробам знищення комп’ютерних доказів.
Після ретельного обстеження комп’ютерного обладнання робиться його опис у протоколі з наведенням схеми системи. Слід пам’ятати, що помилкове втручання до системи може внести зміни до доказової інформації або призвести до її повної втрати. Крім того, знищення даних або пошкодження обладнання в результаті некваліфікованих дій можуть спричинити матеріальні претензії до організації, яка проводить розслідування.
Доцільно також зробити оглядові та детальні фотографії місця події, при можливості провести аудіо- та відеозапис. Треба враховувати, що окремі компоненти системи можуть знаходитися в інших приміщеннях і навіть будівлях або бути добре прихованими. Схованки можуть бути обладнані в стінах будівлі, стелях, на горищах тощо.
Не можна допускати, щоб будь-які особи або непідготовлений персонал вмикали та користувалися вилученим обладнанням. Якщо це можливо, всі дослідження необхідно проводити за участю фахівців спеціальних підрозділів або в судових лабораторіях. Це запобігає випадковим помилкам та забезпечує цілісність вилученої доказової інформації. Всі операції, які здійснюються з системою, мають ретельно фіксуватися.
Перевезення й зберігання комп’ютерної техніки має здійснюватися в умовах, що виключають її пошкодження, в тому числі внаслідок дії магнітних полів, що використовуються для перевірки багажа в аеропортах. При вилученні й перевезенні комп’ютерів не можна ставити їх один на один, розміщувати на них будь-які інші предмети.
Також слід дотримуватися чітких правил поводження з комп’ютерним обладнанням (саме тоді повною мірою перевіряється ступінь підготовленості працівників правоохоронних органів).
1. На будь-якому етапі роботи з комп’ютерним обладнанням та доказами комп’ютерного походження, якщо немає впевненості у власних силах, слід дочекатись прибуття експерта або забезпечити участь фахівця.
2. Якщо участь експерта або фахівця неможлива, потрібно дотримуватися певних вимог і послідовності дій (їх невиконання може призвести до втрати інформації або її доказової сили):
2.1. Не можна користуватися поблизу комп’ютерів радіотелефонами, оскільки вони здатні шкідливо впливати на комп’ютерну систему;
2.2. При охороні комп’ютера не можна дозволяти будь-кому відключати електричне живлення, торкатися клавіатури, змінювати положення комп’ютера або пов’язаного з ним обладнання. Не можна рухати комп’ютер, якщо він підключений. Не можна вимикати принтер до закінчення друкування;
2.3. Треба зафіксувати з’єднання кожної частини комп’ютерної мережі між собою та з іншим обладнанням і сфотографувати його (див. мал. № 15).
малюнок № 15
При роз’єднанні обладнання слід позначити (маркувати) обидва кінці кабелів. Необхідно сфотографувати як саме комп’ютерне обладнання, так і загальний вигляд кімнати, де знаходилась апаратура, і її підключення.
На цій стадії не можна вимикати або вмикати комп’ютер. Відключення живлення з метою вилучення обладнання призведе до втрати інформації в тимчасовій пам’яті комп’ютера (RAM), а також може
визвати ускладнення з запуском системи в майбутньому, тому що вона може бути захищена паролем.
Якщо екран не світиться, це ще не означає, що комп’ютер обов’язково вимкнений. Можуть бути пошкоджені деякі деталі обладнання, не працювати вентилятор чи бути вимкненим тільки монітор;
2.4. Слід записати в повному обсязі інформацію, яка є на екрані (екранах), і по можливості зафіксувати її фотографічним способом;
2.5. Слід забезпечити охорону комп’ютерної системи, після чого з’ясувати:
а) Чи підключений комп’ютер до телефонної мережі за допомогою модему (це може бути зовнішній дротовий та 3G модем, внутрішній,
бездротовий USB - 3G модем з підтримкою стандарту CDMA) (див.
мал. №№ 16, 17, 18);
малюнок № 16
малюнок № 17
малюнок № 18
Якщо комп’ютер підключений через модем, то треба відключити напругу до модему, записати номер використаного телефону;
б) Де знаходиться джерело струму (батареї, джерело безперервного живлення та інше);
в) Необхідно закрити активні програми, після чого можна вимкнути монітор, комп’ютер та відключити напругу;
2.6. Встановити виробника, модель та серійний номер усіх вузлів та операційних систем;
2.6. Від’єднати шнури струму, клавіатури, монітора, модема та принтера;
2.7. При вилученні жорсткого магнітного диска його слід покласти в окремий пакет, опечатати та зазначити номер печатки. Якщо це портативний комп’ютер, то треба вкласти його до конверта, а потім до опечатаного пакета. Не слід самостійно відкривати портативний комп’ютер.
3. При вилученні комп’ютерного обладнання доцільно упакувати в окремі опечатані пакети:
• CPU (кожний окремо);
• портативні комп’ютери;
• дискети;
• окремо змонтовані жорсткі диски;
• носії інформації, які можуть використовуватися разом з комп’ютерами (касети, дискети, лазерні диски).
Слід перевірити, чи були вилучені такі речі:
• монітор;
• клавіатура;
• принтер;
• модем;
• документація та інструкції по експлуатації;
• адаптери до портативних комп’ютерів;
• помічені кабелі та розмикаючи пристрої;
• зразки фірмових та інших бланків комп’ютерного походження;
• роздруковані комп’ютерні тексти, які можуть мати відношення до злочину (вони могли бути знищені на комп’ютері);
• функціональні обов’язки користувачів, адміністратора системи та інформаційної безпеки;
• іншу організаційно-технічну документацію, яка відображає політику безпеки даної установи.
Усі речі та документи мають бути вилучені та описані відповідно до норм чинного кримінально-процесуального законодавства.
4. Необхідно опитати підозрюваних, свідків та всіх причетних до справи осіб.
Порнографія в соціальних мережах
За останні кілька років соціальні мережі одержали величезну популярність. Користувачі цих мереж мають можливість розміщення на своїх сторінках необмеженої кількості графіки й відеофайлів, що призвело до появи в них великої кількості зображень і відеороликів порнографічного змісту.
Питання щодо відповідальності за розміщення аморального контента на веб-сайті - це питання про регулювання доступу до контенту. Тому якщо тримач контента дозволяє всім користувачам розміщати будь-яку інформацію, не жадаючи від них ніяких гарантій того, що зазначена ними інформація є достовірною, то відповідальність слід покласти субсидіарно й на тримача контента як особи, що діє без того ступеня дбайливості й обачності, що від нього потрібний, й на самого користувача, що розміщає дану інформацію. Питання про відповідальність - одне із найскладніших, тому досить нелегко коротко окреслити весь спектр проблем, що виникає з цього питання.
Існує кілька способів вирішення даної проблеми. У першу чергу, перевірка записів реєстрації користувачів з покладанням всієї повноти відповідальності на користувача. При порушенні правил користування надати право на блокування IP адрес користувачів.
Також під час завантаження контента адміністрація мережі повинна перевіряти вміст інформації, що завантажується. Ця вимога стала практично нездійсненною у зв’язку з тим, що кількість користувачів популярних соціальних мереж обчислюється десятками мільйонів.
Необхідна служба скарг і підтримки користувачів на кожному з великих Інтернет-Порталів і соціальних мереж. Це допоможе вирішити низку проблем щодо виявлення й блокування аморального вмісту.
Є ще одна серйозна проблема, яка полягає в тому, що розміщення неналежного контента в мережах може відбуватися юридично безкарно у зв’язку з недосконалістю процедур ідентифікації користувачів, що не дозволяють установлювати їхню справжню ідентичність. Розміщення „нелегального” контента може відбуватися й через псевдо-користувачів, з використанням „роботів”, що імітують реальних користувачів програм - „ботів”.
Еще по теме Виявлення та документування злочинів, пов’язаних зі збутом та розповсюдженням продукції порнографічного характеру в мережі Інтернет та локальних мережах[15]:
- Т.М. Бухтіарова и др.. Документування злочинів, пов’язаних зі збутом та розповсюдження продукції порнографічного характеру в мережі Інтернет та локальних мережах: практичний посібник / [Т.М. Бухтіарова, О.А. Черкас, В.О. Мирошніченко, О.І. Соболь, О.О. Титаренко та ін.]. - Дніпропетровськ: Дніпроп. держ. ун-т внутр. справ,2009. - 80 с., 2009
- Стаття 301. Ввезення, виготовлення, збут і розповсюдження порнографічних предметів
- 12.2.5. Ввезення, виготовлення, збут і розповсюдження порнографічних предметів
- Стаття 363-1. Перешкоджання роботі електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку шляхом масового розповсюдження повідомлень електрозв'язку
- Кримінальна відповідальність за ввезення, виготовлення, збут і розповсюдження порнографічних предметів (ст. 301 КК України)
- § 2. Засади виявлення злочинів
- § 1. Поняття виявлення та розслідування злочинів
- 22.3. Прийоми виявлення і фіксації слідів знарядь учинення злочинів
- 10.2. Використання оперативної інформації для попередження, виявлення, припинення і розслідування злочинів та інших протиправних діянь
- Стаття 361-2. Несанкціоновані збут або розповсюдження інформації з обмеженим доступом, яка зберігається в електронно-обчислювальних машинах (комп'ютерах), автоматизованих системах, комп'ютерних мережах або на носіях такої інформації
- Стаття 113. Підсудність кількох вимог, пов’язаних між собою
- Питання предметної підсудності справ, пов’язаних із земельними відносинами
- Стаття 361-1. Створення з метою використання, розповсюдження або збуту шкідливих програмних чи технічних засобів, а також їх розповсюдження або збут
- Вирішення судом інших питань, пов’язаних з виконанням судових рішень
- Окремі питання участі прокурора у справах, пов’язаних із земельними спорами