CC BY
159
Раздел V. Новые информационные технологии в энергетике
УДК 681.3: 681.323
В. В. Борисов
ОБ ОСОБЕННОСТЯХ ФИКСАЦИИ ИНФОРМАЦИОННЫХ СЛЕДОВ В ПРАКТИКЕ ЗАЩИТЫ ИНФОРМАЦИИ
Работа посвящена изучению новых принципов следообразованш в сфере компьютерной информации. Введено понятие "информационного следа". Рассмотрен общий алгоритм фиксации информационных следов и особенности его .
Защита информации; криминалистика; веб-ресурс; следообразование.
V. V. Borisov
THE FEATURES OF A FIXED INFORMATION TRACES THE PRACTICE OF INFORMATION SECURITY
The work is devoted to the analysis of the new principles in information traces fingerprinting. New definition of term "information trace" is placed. In the article new algorithm for information traces fixation is given and review of special technical features resulted.
Information security; criminology; web-site; fingerprinting.
Постановка задачи исследования. Возникновение сл едов имеет свои закономерности не только в реальном мире, но и в киберпространстве. Изучение данных закономерностей обеспечивает быстрое обнаружение и правильное использование следов в целях установления обстоятельств, имеющих значение для . -цессов следообразования в сфере информационных технологий, поскольку компьютерная информация чрезмерно волатильна и наиболее легко подвержена изменениям и сокрытию.
Обращаясь к юридическим наукам, можно утверждать, что опытом криминалистики доказана невозможность совершения преступления без оставления при этом тех или иных следов. При этом, чем полнее познаны закономерности образования различных следов, тем скорее они могут быть обнаружены.
, , -среде, особенно когда это касается вопросов защиты информации. Однако следообразование в сфере компьютерной информации имеет ряд существенных от, -мо действии со следами и их фиксации.
Понятие "информационных следов". Для удобства обозначения мы введем термин "информационный след", который обозначает некоторую инфор-, -ступлении лиц с помощью специального программного средства и произведенную субъектом уголовно-процессуальной системы (например, следователем).
1б4
С одной стороны, процесс возникновения доказательств, как и всякий процесс отражения происходившей когда-либо действительности, является си.
полной мере применима и к новейшим информационным технологиям. Именно по этой причине возникновение новых информационных технологий не послужило само по себе толчком к созданию нового направления в трасологии.
Но с другой стороны, информационные следы и сам процесс следообразования в компьютерной технике имеют ряд существенных отличий от аналогичных физических процессов, происходящих в реальной жизни. Например, имеют место следующие проблемы, стоящие перед специалистом, расследующим преступления в сфере компьютерной информации:
- неочевидность и нечеткая связь мест, в которых образуются следы той или иной деятельности, фиксируются результаты и промежуточные данные вычислительных процессов с происходящими событиями;
- ,
, ;
- ( -ме, силами самого следователя), и как следствие, необходимость разработки и применения специального программного обеспечения (которое позволяет фиксировать информационный след) на профессиональном уровне.
, , -пользованы при решении как оперативно-розыскных, так и идентификационных .
зрения производства действий уголовно-процессуального характера в сфере
, -нию эффективности расследования.
Технические особенности формирования информационных следов.
Рассмотрим практическую сторону процессов следообразования в сфере информационных технологий на примере веб-ресурсов. Информационные веб-ресурсы появляются в поле зрения оперативных работников, как правило, по причине размещения на них материалов, способствующих разжиганию ненависти и национальной вражды (действия, квалифицирующиеся по ст.282 УК РФ "Возбуждение ненависти либо вражды, а равно унижение человеческого достоинства").
В ходе анализа веб-ресурсов внимание должно уделяться в первую очередь журнальным файлам и принятой системе журналирования. Журналирование в данном контексте - процесс записи информации о происходящих с каким-то объектом (или в рамках какого-то процесса) событиях в журнал (например, в ). ,
установлено на веб-ресурсе. Данная информация позволяет выяснить наличие и месторасположения журнальных файлов и произвести их анализ.
Для операционных систем типа UNIX существует стандарт "syslog" от-
( ),
использует протоколы TCP/IP. Протокол syslog достаточно прост: отправитель посылает короткое текстовое сообщение размером меньше 1024 байт получателю сообщения. Получатель при этом носит имя «syslogd», «syslog daemon», либо же, «syslog server». Сообщения могут отправляться как по протоколам UDP, так и по протоколам TCP. Как правило, такое сообщение отсылается в открытом виде. Протокол и соответствующая сетевая служба syslog используются для удобства администрирования и обеспечения информационной безопасности. Они реализованы под множество платформ и используются во множестве аппа-
ратных устройств. Использование syslog позволяет намного облегчить сбор журнальной информации от различных подсистем. Журнальные файлы почтового сервера (наиболее распространенным является "sendmail"), как правило, ве-
syslog.
syslog
веб-сервера (как правило, это веб-сервер типа "apache"). Для того чтобы выяснить наличие и месторасположение самого веб-сервера, необходимо выяснить его название (получив листинг работающих программ, например, с помощью
" ”сл p
PID TT STAT TIME COMMAND
52166 ?? SJ 0: 7 5 1 0 dovecot-auth
52167 ?? IJ 0: 1 0 0 0 n i g 0 1 3 p o p
52168 ?? IJ 0: 00.01 imap-login
61966 ?? SsJ 0: 2 2 7 0 /usr/sbin/syslogd -ss
61972 ?? IsJ 0: 6 8 9 3 /usr/local/sbin/named -u root
62048 ?? SsJ 1 21.03 /usr/local/sbin/httpd -DSSL
62075 ?? IJ 0 02.94 /usr/local/sbin/httpd -DSSL
62078 ?? IJ 0: 1 0 0 0 d l q s y /m n/ i /b l a c 0 1 r/ s /u h s n/ i
defaults...
В листинге выше подчеркнут вариант названия веб-сервера ("httpd"), найденный в листинге. Затем следует проверить несколько возможных вариантов размещения конфигурационных файлов программы веб-сервера - это могут быть каталоги "/usr/local/www", "/usr/apache", "/usr/local/etc/apache" для операционной системы FreeBSD или "/var/www" для операционной системы Linux.
Оставленный в журнальных файлах информационный след представляет , , формирования записи, запрошенных данных и т.п. параметрах, характеризующих действия пользователя, обратившегося к веб серверу ресурса:
123.165.123.164 - - [08/Oct/2008:14:41:45 +0300] "GET /forum/ HTTP/1.1"
200 1458 "http://www.google.com.tr/search?ndsp=2 0&um=1&hl=tr&q=&ie=UTF-8&sa=N&tab=iw" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
Значение 123.165.123.164 представляет адрес пользовательского компьютера, пославшего запрос в 14 часов 41 минуту 45 сек. 8 октября 2008 года на получение страницы с веб-адресом "http:/MM^BEBPECyPCA/fomm/". При этом пользователь не набирал этот веб адрес в адресной строке браузера, а указал его при переходе со страницы на веб-ресурсе "www.google.com.tr" - турецком шлюзе поисковой системы Google.
, , осуществлял поиск по определенным ключевым словам, описывающим анализи-
- , , -формации определенного рода.
, -стом текстовом формате, не имеют каких-либо служебных пометок и сохраня-" ", . позволяет с легкостью имитировать несуществующие записи, удалять и изменять уже существующие.
В журнале почтового сервера аналогичный пример записей выглядит при:
May 25 09:45:55 www sm-mta[9037]: n4P8jsua009037: from=<teinb@questdiagnostics.com>, size=3824, class=0, nrcpts=3,
Раздел V. Новые информационные технологии в энергетике
msgid=<000d01c9dd15$3322f33 0$64 00a8c0@teinb>, proto=ESMTP, daemon=IPv4, relay=[92.84.125.102]
May 25 09:45:55 www sm-mta[9059]: n4P8jsua009037:
to=\\virtuser 1002,\\virtuser 1003,\\virtuser 1001, delay=00:00:00, xde-lay=00:00:00, mailer=local, pri=94018, relay=local, dsn=2.0.0, stat=Sent May 25 10:04:35 www sm-mta[38980]: n4P94Xk1038980:
from=<ebkwoyfbgrqn@borderlinks.com>, size=4236, class=0, nrcpts=3, msgid=<0 0 0d01c9dd17$c4e92 5d0$64 0 0a8c0@ebkwoyfbgrqn>, proto=ESMTP, dae-mon=IPv4, relay=[86.58.65.5]
В листинге выше показан пример журнальных записей, в которых указывается на получение писем электронной почты пользователями virtuser_1001, virtuser_1002 и virtuser_1003 от абонента "teinb@questdiagnostics.com", датированной 25 мая текущего года, в 9 часов 45 минут.
Важно также изучить конфигурационные настройки средств работы с журнальными файлами - зачастую системные утилиты осуществляют так назы-" " . , -риод существования которых больше, чем заданный временной промежуток (как , 24 ). ,
одного заданного промежутка времени, удаляются навсегда из системы.
Алгоритм фиксации информационных следов. На сегодняшний день существует множество специальных программ, которые позволяют следить за неизменностью файлов данных на рабочих станциях и серверах. Однако специфика формирования журнальных файлов не позволяет использовать данное про, -, , ,
, .
По этой причине актуальна задача фиксации информационных следов та, -:
- должны фиксироваться не только параметры, описывающие объект информационного следа, но и ;
- должны фиксироваться контрольные суммы различных значимых фраг-
, ( , -
,
);
- -
( , ,
- -
);
-
объекта для фиксации (журнальные файлы могут быть не только текстовыми, но и бинарными, графическими и т.п.).
, -ределить как последовательность следующих шагов:
1. ,
, :
) -зователя под своей учетной записью;
б) выявить все объекты, созданные, модифицированные, удаленные ( , ) -;
в) исключить из этого перечня записи, сделанные системой автоматически и без участия пользователя - прямого или косвенного;
)
файлов, согласно требованиям, указанным выше.
2. , распространена на весь веб-ресурс, следует выполнить следующие действия:
) -, , -тельное специальное программное обеспечение журналирования, которое может способствовать идентификации информационных следов;
) , -трольных сумм для этих файлов, согласно требованиям, указанным выше;
) -частность отдельных пользователей к совершенным действиям.
Заключение. В работе введено понятие "информационного следа", отличающееся от других значений тем, что в качестве определяющего фактора используется журнальная запись, сделанная на компьютерной технике подозреваемых в преступлении лиц с помощью специального программного средства. Рассмотрен общий алгоритм фиксации информационных следов и особенности его технической реализации. Представленный алгоритм и анализ особенностей его применения позволяет ограничить область технических задач, возникающих при построении и эксплуатации систем защиты информации. Кроме того, в работе представлен способ анализа журнальных файлов веб-серверов и систем .
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Зима В.М., Молдовян А А., Молдовян Н.А. Безопасность глобальных сетевых технологий. - СПб.: БХВ-Петербург, 2000. - 380 с.
2. . . // Материалы международной научной конференции по проблемам безопасности и противодействия терроризму. - М.:МЦНМО, 2006. - С.114-116.
3. : / . . . . - : -
, 2004. - 277 c.
4. .. . .: - -
, 1976. - 120 .
5. . . . ,
М: Нолидж, 2002. - 240 c.
Борисов Владимир Владимирович
Федеральное государственное научное учреждение Научно-
исследовательский институт «СПЕЦВУЗАВТОМАТИКА».
E-mail: borisovjojoba@gmail.com
414025, Астрахань, Татищева ул., 16. Тел: 8863 241-12-28
Borisov Vladimir Vladimirovich
Ministry of education and science of Russian Federation "SPETSVUZATOMATIKA"
E-mail: borisovjojoba@gmail.com
16, Tatisheva, Astrakhan, 414025 .Phone: 8863 241-12-28
