УДК 343.98 И. В. Медведев
ББК 67.409 Иркутский юридический институт (филиал)
Российской правовой академии Минюста России
компьютерная криминалистика «форензика»
И КИБЕРПРЕстУПНОсть в РОссИИ
Рассматриваются проблемы борьбы с компьютерными преступлениями. Показано, что существенными условиями для предотвращения и успешного расследования таких преступлений является совершенствование правовой базы и развитие компьютерной криминалистики — форензики.
Ключевые слова: компьютерное преступление; киберпреступность; компьютерная криминалистика; форензика.
I. V. Medvedev
Irkutsk Law Institute (Affiliate) of the Russian Law Academy of the Ministry of Justice of the Russian Federation
computer cRIMINALISTIcS ««FoRENSIcS»» AND cYBERcRiMES In RuSSIA
The author examines the issues of fighting computer crimes and shows that the improvement of legislative support and the development of computer criminalistics — forensics — are important conditions for the prevention and successful investigation of such crimes.
Keywords: computer crimes; cybercrimes; computer criminalistics; forensics.
о
-о
В конце 1970-х гг. с появлением первых персональных компьютеры, предназначенных для эксплуатации одним пользователем в его личных интересах, началась массовая компьютеризация и информатизация общества, а с развитием в начале 1990-х гг. сети общего пользования Интернет увеличилось количество киберпреступлений — преступлений, осуществляемых с использованием персонального компьютера.
В широком смысле, под компьютерным преступлением (киберпреступлением) следует понимать запрещенные уголовным кодексом под угрозой наказания виновно совершенные общественно опасные деяния, объектом преступных посягательств которых являются информационные правоотношения, связанные с правомерным использованием охраняемой законом компьютерной информации [2, с. 93]. Спектр видов киберпреступлений обширен: интернет-мошенничество, DoSатаки, создание вредоносного программного обеспечения, нарушение авторских прав и т. д. В рамках Всемирной паутины географическое местоположение злоумышленника не играет роли, преступления, содеянные в одной стране, могут совершаться людьми, находящимися в любой другой.
Для борьбы с нарастающей проблемой киберпреступности организовали новый раздел криминалистики — компьютер-
ная криминалистика. В США компьютерная криминалистика получила название «computerforensics», что дословно переводится как «компьютерная экспертиза». При заимствовании слова из английского языка произошло сужение значения, поэтому в русском языке «форензика» означает не криминалистику в общем, а именно компьютерную криминалистику [3].
Форензика занимается сбором, исследованием, оценкой следов преступлений в компьютерной области, а также разрабатывает систему специальных приемов, методов и средств, применяемых в ходе предварительного следствия для предупреждения, раскрытия и расследования преступлений, а также при рассмотрении уголовных дел в судах.
Из-за исторических особенностей компьютерные технологии в России развивались медленнее, чем во всем мире, поэтому появление киберпреступности осталось практически незамеченным. В начале 2000-х гг. компьютеризация России поднялась на достаточно высокий уровень, т. е. когда весь мир уже активно боролся с кибер-преступностью, Россия только стала знакомиться с ней, столкнувшись с вполне сформированной преступной деятельностью в сфере информационных технологий, развивавшейся в других странах постепенно.
© И. В. Медведев, 2013
Согласно исследованиям управления «К» МВД России в 2012 г. количество кибер-преступлений в России выросло на 28 % по сравнению с 2011 г., чаще всего хищение финансовых средств происходило из систем дистанционного банковского обслуживания, а также со счетов физических лиц в банках1.
По данным Group-IB, финансовые показатели оборота мирового рынка компьютерной преступности в 2011 г. составили 12,5 млрд дол. На долю русских хакеров пришлось 4,5 млрд дол., из них 2,3 млрд дол. составляют доходы от киберпреступлений, совершенных непосредственно на территории РФ. В число данных преступлений вошли:
1. Интернет-мошенничество — 942 млн дол. (41 %):
- мошенничество в системах интернет-банкинга — 490 млн дол. (21,3 %);
- обналичивание денежных средств — 367 млн дол. (16 %);
- фишинг — 55 млн дол. (2,4 %);
- хищение электронных денег — 30 млн дол. (1,3 %).
2. Спам — 830 млн дол. (36,1 %):
- спам — 553 млн дол. (24 %);
- медикаменты и различная контрафактная продукция — 142 млн дол. (6,2 %);
- «поддельное» — 135 млн дол. (5,9 %).
3. Внутренний рынок — 230 млн дол. (10 %):
- продажа трафика -153 млн дол. (6,6 %);
- продажа эксплойтов — 41 млн дол. (1,8 %);
- продажа загрузок — 27 млн дол. (1,2 %);
- анонимизация — 9 млн дол. (0,4 %).
4. DDoS-атаки — 130 млн дол. (5,6 %).
5. Иное — 168 млн дол. (7,3 %).
Согласно ежегодному докладу Norton-
CybercrimeReport, сделанному на основе онлайн-опроса летом 2012 г., среди жителей 24 стран 92 % пользователей из России становятся жертвами киберпреступлений в возрасте от 18 до 64 лет2.
Всего от рук киберпреступников пострадали 556 млн пользователей Интернета (1,5 млн жертв в день). Совокупный ущерб пользователей Symantec оценила в 110 млрд дол., а от атаки на одного человека — около 200 дол. (в России — 2 тыс. р.).
1 URL : http://www.securitylab.ru/news/ 437301.php.
2 Nortoncybercrimereport 2012. — URL : http://
now-static.norton.com/now/en/pu/images/ Promotions/2012/cybercrimeReport/2012_Norton_ Cybercrime_Report_Master_FINAL_050912.pdf.
С 2011 г. по 2012 г. 76 % российских пользователей стали жертвами вирусов, ха-керских атак, вредоносного программного обеспечения, мошенничества, киберкраж (в среднем по миру этот показатель не превышает 46 %), у 43 % пользователей взломали аккаунт в социальных сетях. Однако стоит учитывать, что приведенные данные основываются на статистическом опросе людей и не отражают картину в полной мере.
Одна из причин сложившегося положения кроется в безразличном отношении самих пользователей к собственной безопасности. Так, согласно тому же докладу Nor-tonCybercrimeReport, 30 % опрошенных не задумываются о киберугрозах, поскольку не ожидают, что это может случиться с ними, 21 % не принимают никаких действий, чтобы защитить персональную информацию в Интернете, а 40 % не знают, что вредоносное программное обеспечение может работать, не нарушая основных функций компьютера. Больше половины опрошенных пользователей (63 %) в России получают уведомление о необходимости сменить пароль, для того чтобы сделать его более безопасным. Так, 32 % опрошенных получили уведомление от почтовых сервисов, а ведь если преступник получит доступ к почтовому аккаунту, то он сможет получить доступ не только к личной или корпоративной информации, но и к другим аккаунтам, зарегистрированным на данный почтовый адрес.
Другой причиной активного роста ки-берпреступлений в России является малое количество экспертов-форензиков и существующая законодательная база. Причем основная проблема законодательства не в том, что оно слабо развито, а в том, что оно развивается медленно. Так, например, только в последней редакции Федерального закона «Об информации, информационных технологиях и защите информации» даны определения таким терминам, как сайт, хостинг, владелец сайта и др.
В связи с несовершенством законодательства, наблюдались случаи, когда дела не возбуждались несколько лет. Всем понятно, что без места преступления нет и самого преступления. Но как быть, если злоумышленник украл деньги у банка в Москве, обналичил их в любом другом городе, а сам при этом находится в Иркутске3? Как в этом
3 Киберпреступность в России. — URL : http://www.youtube.com/watch?v=qvQNe8dfSTI; DLPexpertRu. — URL : http://www.youtube. com/user/DLPexpertRu?feature=watch; Group-IB: Cyber Crimes Investigation. — URL : http://www. youtube.com/user/GroupIB?feature =watch.
1=1 о
CD
д n
CD
д
CD П
к
о
о-
5
е
■о
X
S)
а
к ■о
S) л
35
S)
о ■о
CD
35
S)
о\
CD
■о □
■о
CD О
о о
п
Р
о о о
.0 X ш
т
>
.0
<
о <
о
<
00 о
ej
б о
о
и
случае определить место преступления? Не прояснив этот вопрос, уголовное дело не возбудишь.
Еще одной причиной является сбор улик. Если у криминалиста, собирающего улики на месте преступления, где была совершена обычная кража, не возникает вопросов, как и чем собирать улики, поскольку процедура их сбора хорошо описана в литературе и отработана годами практики, то специалист в области киберпресту-плений не обладает такой информацией. Форензик как обладатель специальных знаний должен понимать и знать тонкости сбора улик из различных источников. Собираемые в компьютере улики — это сведения, которые по природе своей нематериальны, и только они являются уликой, а не их материальный носитель.
Например, если взять оперативную память, то мы знаем, что она регенерируется раз в несколько миллисекунд (записанные там сигналы фактически стираются и записываются вновь) [2]. Кроме того, память энергозависима, соответственно, при перезапуске персонального компьютера теряются все данные текущей сессии. Для эффективной работы специалиста-форензика требуются отлаженные механизмы сбора улик, подкрепленные не только знаниями, но и соответствующими инструментами.
Такими инструментами могут служить различные специальные программные продукты:
- AccessDataForensicToolkit — программное обеспечение для проведения компьютерных экспертиз, для анализа дампа оперативной памяти, использует мощный инструмент поиска, осуществляет архивацию данных и проводит полное исследование компьютера в рамках судебной экспертизы;
- BrowserForensicTool — инструмент для извлечения информации о действиях пользователя из различных браузеров;
- TheSleuthKit (TSK) — библиотеку консольных программ, предназначенных для проведения анализа данных на произвольных файловых системах. Используя это программное обеспечение, следователи могут идентифицировать и восстановить удаленные данные из образов, снятых во время расследования или с работающих систем;
- EncryptedDiskDetector — программа, которая помогает найти на локальном компьютере скрытые зашифрованные тома TrueCrypt, PGP и Bitlocker, используя подпись/сигнатуру шифрования диска в главной загрузочной области.
Описанные инструменты по большей части применяются после совершения преступления, однако существуют программные продукты, позволяющие специалисту-фо-рензику зафиксировать момент совершения преступления и собрать необходимые доказательства. Такими программными продуктами являются различные DLP-системы (DataLossPrevention), созданные для предотвращения утечек конфиденциальной информации за пределы корпоративной сети. DLP-системы (Securit ZGate, InfoWatch Traffic Monitor, Symantec Data Loss Prevention, Search Inform Контур информационной безопасности, FalconGaze SecureTower) строятся на анализе потоков данных, выходящих за пределы корпоративной сети, в случае обнаружения передачи конфиденциальной информации такие системы либо блокируют передачу данных, либо посылают уведомления офицеру безопасности1.
Кроме того, причиной роста количества киберпреступлений можно считать активный рост количества пользователей сети Интернет. Так по статистическим данным «Фонда общественного мнения»2 количество людей выходящих в сеть Интернет хотя бы раз в месяц в конце 2011 г. составило 57,8 млн чел. (50 % населения), а в конце 2012 г. уже 64,4 млн чел. (55 % населения). То есть годовой прирост интернет-пользователей, выходящих в сеть хотя бы раз за месяц, составил 11 %.
Подводя итог, можно сделать вывод, что киберпреступность в России активно развивается. В значительной степени этому способствует недостаток специалистов-фо-рензиков, проблемы в законодательстве, а также постоянный приток новых пользователей сети Интернет, большинство из которых по статистике станут жертвами киберпреступников по своей же халатности. Например, если в РФ в 2011 г. зафиксировали 2 123 киберпреступлений, связанных с хищением денег у пользователей, то в 2012 г. таких преступлений было зарегистрировано 3 6453.
Следовательно, если противодействие останется на таком же уровне, как и сейчас — Россия займет лидирующее место в мире по количеству совершаемых кибер-преступлений.
1 Выбираем DLP-систему для средней организации. — URL : http://habrahabr.ru/post/141000/.
2 Интернет в России: динамика проникновения. Осень 2012. — URL : http://runet.fom.ru/ Proniknovenie-interneta/10738.
3 URL : http://www.securitylab.ru/news/ 437301.php.
список использованном литературы
1. Пархомов В. А. К определению понятия «информационное преступление» // Вестник Иркутской государственной экономической академии. — 2001. — № 1. — С. 92-96.
2. Федотов Н. Н. Форензика — компьютерная криминалистика. — М., 2007. — 360 с.
информация об авторе
Медведев Илья Валерьевич (Иркутск) — преподаватель кафедры гуманитарных и информационных дисциплин. Иркутский юридический институт (филиал) ФГБОУ ВПО «Российская правовая академия Министерства юстиции Российской Федерации» (664011, г. Иркутск, ул. Некрасова, 4, e-mail: [email protected])
iNFORMATiON ABOUT THE AUTHOR
Medvedev, Ilya Valeryevich (Irkutsk) — Instructor, Chair of the Humanities and Information Disciplines. Irkutsk Law Institute (Affiliate) of the Russian Law Academy of the Ministry of Justice of the Russian Federation (Nekrasova st., 4, Irkutsk, 664011, e-mail: [email protected])