Инструментарий компьютерной криминалистики

Студенты ТюмГУ

Аннотация: Статья посвящена описанию инструментов, которые позволят читателю окунуться в мир форензики и дадут возможность учиться работать в сфере информационной безопасности
Проблематика: Чтобы читатель не рассредотачивался по просторам интернета, в статье был собран основной инструментарий Безопасника

Вступление


Расследование инцидентов в области информационной безопасности не такая горячая тема, как пентесты, но эта научная и практическая дисциплина продолжает развиваться, во многом, благодаря Open Source сообществу.
Давайте пройдемся по просторам GitHub и посмотрим, какие инструменты для сбора и анализа цифровых доказательств доступны всем желающим.
Под катом утилиты для разбора содержимого оперативной памяти, исследования Docker-образов, анализа журналов, извлечения информации из кеша браузеров и многое другое.

Дистрибутивы

Начнем обзор утилит со специализированного дистрибутива, содержащего большинство утилит, фреймворков и средств для криминалистического анализа.

Digital Evidence & Forensics Toolkit: DEFT Linux

Этот дистрибутив разработан на платформе Lubuntu и оснащен удобным графическим интерфейсом. Кроме того, в продукт добавлен набор профильных утилит, начиная от антивирусов, систем поиска информации в кэше браузера, сетевыми сканерами и утилитами для выявления руткитов и заканчивая инструментами, необходимыми при проведении поиска скрытых на диске данных.

Основное предназначение — проведение мероприятий по форензике — анализа последствий взлома компьютерных систем, определения потерянных и скомпрометированных данных, а также для сбора т.н. цифровых доказательств совершения киберпреступлений.

Более подробно про DEFT Linux

Фреймворки

Одним из самых популярных фреймворков является Volatility Framework — фреймворк для исследования образов содержимого оперативной памяти и извлечения цифровых артефактов из энергозависимой памяти (RAM).

Извлекаемые данные:

  • дата и время;
  • список запущенных процессов;
  • список открытых сетевых сокетов;
  • список открытых сетевых соединений;
  • список загруженных библиотек для каждого процесса;
  • имена открытых файлов для каждого процесса;
  • адреса памяти;
  • модули ядра ОС;
  • маппинг физических смещений на виртуальные адреса.

Для тестирования фреймворка рекомендуем воспользоваться готовыми образами RAM.

Более подробно про Volatility Framework

  • DFF (Digital Forensics Framework) — фреймворк для криминалистического анализа, интерфейсы представлены как в виде командной строки, так и GUI. DFF можно использовать для исследования жестких дисков и энергозависимой памяти и создания отчетов о пользовательских и системных действиях.

Более подробно про DFF

  • PowerForensics предоставляет единую платформу для криминалистического анализа жестких дисков в реальном времени.

Более подробно про PowerForensics

  • Sleuth Kit (TSK) — это набор средств командной строки для цифровой судебной экспертизы, которые позволяют исследовать данные томов жестких дисков и файловой системы.

Более подробно про Sleuth Kit

  • MIG: Mozilla InvestiGator — это платформа для проведения оперативных исследований на удаленных конечных точках. Фреймворк позволяет исследователям параллельно получать информацию из большого количества источников, ускоряя тем самым расследование инцидентов и обеспечение безопасности повседневных операций.

Более подробно про MIG: Mozilla InvestiGator

  • bulk_extractor — позволяет извлекать информацию с помощью специальных сканеров (почта, номер кредитной карты, GPS координаты, номера телефонов, EXIF данные в изображениях). Быстрота работы достигается за счет использования многопоточности и работы с жестким диском «напрямую».

Более подробно про Bulk Extractor

  • PhotoRec — мультисистемная платформа для поиска и извлечения файлов с исследуемых образов операционных систем, компакт-дисков, карт памяти, цифровых фотокамер и т.д. Основное предназначение — извлечение удаленных (или утраченных) файлов.

Более подробно про PhotoRec

Анализ сетевого взаимодействия

  • Wireshark — этот сетевой анализатор пакетов (или сниффер) может быть эффективно использован для анализа трафика (в том числе и вредоносного). Один из популярнейших инструментов. Функциональность, которую предоставляет Wireshark, очень схожа с возможностями программы tcpdump, однако Wireshark имеет графический пользовательский интерфейс и гораздо больше возможностей по сортировке и фильтрации информации. Программа позволяет пользователю просматривать весь проходящий по сети трафик в режиме реального времени, переводя сетевую карту в неразборчивый режим (promiscuous mode).
  • SiLK (System for Internet-Level Knowledge) — предназначен для эффективного сбора, хранения и анализа данных сетевого потока. SiLK идеально подходит для анализа трафика на магистрали или границе крупного, распределенного предприятия или провайдера среднего размера.

Многофункциональные «комбайны»

  • SIFT Workstation — набор бесплатных инструментов для форензики и реагирования на инциденты с открытым исходным кодом от SANS Institute. Универсальный и подробно документированный тулкит на основе Ubuntu LTS 20.04.

Более подробно про SIFT Workstation

  • Appliance for Digital Investigation and Analysis (ADIA) — Open Source инструментарий для проведения цифровых расследований и сбора данных, включающий Autopsy, Sleuth Kit, Digital Forensics Framework, log2timeline, Xplico и Wireshark. Доступен в виде образов для VMware и VirtualBox.
  • Skadi — еще один набор утилит с открытым исходным кодом, который позволяет собирать, обрабатывать и проводить расширенный анализ криминалистических артефактов и изображений. Работает на MacOS, Windows и Linux, легко масштабируется.

Более подробно про Skadi

  • Autopsy достаточно функциональна, чтобы занимать отдельное место в этом списке. Это платформа для цифровой криминалистики и графический интерфейс для анализатора образов дисков The Sleuth Kit, PhotoRec, STIX и других программ для цифровой криминалистики. Поддерживает сторонние модули на Java и Python, расширяющие возможности платформы.

Инструменты для совместного расследования

  • IRIS — веб-приложение для совместной работы над сложными и запутанными расследованиями. Упрощает обмен файлами, например, журналами Windows. Может быть развернута на сервере или локальном компьютере из Docker-образа.
  • Kuiper — платформа сфокусированная на сборе и анализе доказательств. Предоставляет удобный графический интерфейс, централизованное управление парсерами, поддерживает массовую загрузку артефактов из любых каналов и позволяет целой группе аналитиков совместно маркировать и сортировать файлы.

 Более подробно про Kulper

  • TheHive — платформа реагирования на инциденты безопасности с открытым исходным кодом, предназначенная для SOC, CSIRT, CERT и любых других специалистов по информационной безопасности. Легко интегрируется с MISP и выделяется проработанной ролевой моделью, которая позволяет аналитикам из разных компаний без проблем работать над одним случаем.
  • GRR Rapid Response позволяет группе аналитиков сортировать атаки и выполнять их анализ удаленно в режиме реального времени. Состоит из клиентского python-агента, который устанавливается на целевые системы, и управляющего python-сервера. Поддерживает низкоуровневый доступ и автоматическое планирование повторяющихся задач.

Более подробно про GRR Rapid Response

  • DFIRTrack — платформа для форензики, ориентированная на разбор одного или нескольких крупных инцидентов затронувших сразу много различных систем. Представляет собой веб-приложение для развертывания в Ubuntu, в основанное на Django и использующее PostgreSQL.

Более подробно про DFIRTrack

  • Orochi — это платформа для группового анализа дампов памяти. Де-факто представляет собой графический интерфейс для Volatility 3. Сохраняет результаты работы этой утилиты в ElasticSearch.

Более подробно про Orochi

  • Timesketch — утилита для совместного timeline analysis. Позволяет восстановить и наглядно представить последовательность событий во время инцидента.

Более подробно про Timesketch

Мониторинг хостов

  • Zentral — решение для мониторинга конечных точек. Объединяет сбор журналов событий при помощи osquery с гибкой системой уведомлений и различными хранилищами данных: ElasticStack, Azure Log Analytics, Splunk.
  • Fleetdm — еще один инструмент для мониторинга хостов, который использует osquery для получения журналов событий и собирает их с целевых систем в реальном времени.

Более подробно про Fleetdm

  • POFR — клиент-серверный «черный ящик», который регистрирует данные о выполнении процессов, доступе к файлам и сетевых соединениях в Linux-системах, а затем передает отчеты на сервер по протоколу SSH.

Более подробно про POFR

  • IntelMQ — система автоматизированной обработки инцидентов, которую можно использовать для сбора данных для дальнейшего анализа. Имеет модульную структуру, состоящую из ботов для извлечения, обогащения и записи данных.

Более подробно про IntelMQ

  • Velociraptor — инструмент для сбора информации о состоянии хостов при помощи гибкого языка запросов VQL. Позволяет в значительной степени автоматизировать сбор разнообразных криминалистических артефактов.

Более подробно про Velociraptor

  • Meerkat — набор модулей PowerShell, предназначенных для сбора артефактов из систем на базе Windows без предварительной установки агента. Сценарии использования включают реагирование на угрозы, поиск угроз, базовый мониторинг, сравнение снапшотов.

IOC — сканеры

  • Loki — простой сканер индикаторов компрометации для проверки конечных точек. 

Более подробно про Loki

  • Fenrir — универсальный bash-скрипт для сканирования Linux, OSX и Unix систем. Работает с более широким набором индикаторов компрометации.

Более подробно про Fenrir

  • Fastfinder — кроссплатформенная утилита для поиска подозрительных файлов. Поддерживает контрольные суммы md5/sha1/sha256, регулярные выражения и правила YARA.

Сбор артефактов

  • artifactcollector — настраиваемый агент для сбора артефактов из Windows, macOS и Linux. Умеет извлекать файлы, каталоги, записи реестра, команды WMI. Интегрируется с Digital Forensics Artifact Repository.

Более подробно про articfactcollector

  • osquery — аналитика операционной системы для знатоков баз данных. Утилита представляет операционную систему как высокопроизводительную реляционную базу данных. Это позволяет использовать SQL для работы со всем содержимым компьютера. Доступна для Linux, macOS, Windows и FreeBSD.

Более подробно про osquery

  • ir-rescue — пара сценариев для Windows и Unix, которые собирают большой объем криминалистических данных, отвечающий потребностям большинства расследований. Запускают множество команд и инструментов, поэтому оставляют заметные следы в системе.
  • UAC — (Unix-like Artifacts Collector) — использует встроенные инструменты Unix-подобных систем для автоматизации сбора артефактов. Работает вне зависимости от архитектуры, в том числе на macOS и Android.

Более подробно про UAC

  • FastIR Artifacts — кроссплатформенный сборщик артефактов с поддержкой Digital Forensics Artifact Repository.

Более подробно про FastIR Artifacts

  • DFTimewolf — фреймворк для организации сбора, обработки и экспорта данных, ценных для криминалистов.
  • AChoir — сценарий для сбора артефактов Windows в режиме реального времени.
  • CyLR — инструмент для сбора криминалистических артефактов из систем с файловой системой NTFS.
  • DFIR ORC — тулкит для деликатного сбора артефактов: файловых таблиц, ветвей реестра и журналов событий из машин под управлением Windows. Разработан так, чтобы свести к минимуму влияние на систему, в которой он работает. Не устанавливает никаких программ, создает минимум файлов, ключей реестра и служб и записывает минимально необходимый объем данных.

Работа с реестром

  • RegRipper — инструмент с открытым исходным кодом для извлечения информации (ключи, значения, другие данные) из реестра. Написан на языке Perl.

Более подробно про RegRipper

  • RegRippy и Regipy еще пара библиотек для чтения и извлечения полезных криминалистических данных из ветвей реестра Windows. На этот раз на Python.

Работа с журналами

  • Logdissect — CLI-утилита и Python API для анализа, фильтрации и экспорта данных в файлы журнала Windows или JSON.
  • APT Hunter — разработан для поиска подозрительной активности в журналах Windows. Автоматизирует сбор журналов Sysmon, Security, System, Powershell, Powershell Operational, ScheduledTask, WinRM, TerminalServices, Windows Defender. Сортирует события по серьезности и ведет статистику, которая помогает обнаруживать аномалии. 

Более подробно про APT Hunter

  • LogonTracer — анализирует Windows Active Directory, связывает имя хоста (или IP-адрес) и имя учетной записи, найденные в событиях, связанных с входом в систему, а затем отображает их в виде схемы. Позволяет реконструировать историю авторизаций.
  • StreamAlert — безсерверная система анализа журналов в реальном времени, написанная на Python. Принимает данные из любых источников, имеет встроенную систему оповещений на основе настраиваемой пользовательской логики. Выполняется с минимальными привилегиями, хранит данные в зашифрованном виде.

Более подробно про StreamAlert

  • USBRip — простая консольная утилита для восстановления истории подключения USB-носителей к компьютерам под управлением Linux. Может экспортировать собранные данные в JSON-файл.

Более подробно про USBRip

Работа с памятью и образами системы

  • AVML — портативный инструмент для сбора данных из энергонезависимой памяти Linux-систем. Написан на Rust и предназначен для развертывания в виде статического бинарного файла. Его можно использовать для получения данных «вслепую», не зная версию дистрибутив целевой ОС.
  • LiME — загружаемый модуль ядра (LKM) для захвата данных из памяти устройств под управлением Linux, в том числе и Android-смартфонов. Развивается и совершенствуется с 2012 года.
  • Bmap-tools — инструмент для копирования файлов с использованием создания карты блоков (bmap).
  • INDXParse — тулкит для извлечения артефактов NTFS.
  • nTimetools — инструментарий для работы с временными метками в Windows. Позволяет экспертам-криминалистам проверять метки в файловой системе NTFS с точностью до 100 наносекунд.
  • RecuperaBit — утилита для криминалистической реконструкции файловой системы и восстановления файлов. Поддерживает только NTFS.
  • MemProcFS — утилита для простого доступа к физической памяти, как к файлам виртуальной файловой системы.
  • dof (Docker Forensics Toolkit) — извлекает и помогает интерпретировать криминалистические артефакты из Docker-контейнеров. Отображает историю сборки образа, монтирует файловую систему контейнера в заданном месте, распределяет артефакты по временной шкале и так далее.

Извлечение веб-артефактов

  • hindsight — простой и функциональный инструмент для анализа веб-артефактов с поддержкой браузеров на базе Chromium. Позволяет анализировать историю посещений и загрузок, содержимое кэша, cookie, закладки, автозаполнение, сохраненные настройки, расширения и пароли. Все извлеченные данные помещаются на временную шкалу.

Более подробно про hindsight

  • Dumpzilla — аналогичная программа для сбора интересной информации из браузеров Firefox, Iceweasel и Seamonkey.

Более подробно про Dumpzilla

Работа с метаданными

  • Exif Tool — чтение, запись и редактирование метаданных в файлах различных графических форматов.

Более подробно про Exif Tool

  • Exiv2 — библиотека для работы с метаданными Exif, IPTC, XMP и ICC.

Более подробно про Exiv2

  • PdfParser — служит для извлечения данных из файла PDF-файлов.
  • FOCA — это инструмент для поиска метаданных и скрытой информации в документах, загруженных в веб. Работает с Microsoft Office, Open Office, PDF, Adobe InDesign и SVG. 

Инструменты для Mac

  • macOS Artifact Parsing Tool — комплект для обработки образов дисков Mac и извлечения данных, полезных для расследования. Представляет собой фреймворк на основе Python, и плагины для обработки отдельных артефактов, например, истории Safari.
  • ESF Playground — инструмент для просмотра событий в Apple Endpoint Security Framework (ESF) в режиме реального времени.
  • Knockknock — выводит полный список элементов (программ, скриптов, команд, двоичных файлов), которые автоматически выполняются в macOS.

Инструменты для смартфонов

  • MobSF — автоматизированная система для анализа вредоносных программ и оценки безопасности мобильных приложений (Android/iOS/Windows), способная выполнять статический и динамический анализ. Поддерживает бинарные файлы мобильных приложений (APK, XAPK, IPA и APPX) вместе с заархивированным исходным кодом и предоставляет REST API для бесшовной интеграции с конвейером CI/CD или DevSecOps.
  • Andriller — утилита для сбора данных с Android-устройств. Может быть использована для снятия блокировки со смартфона.
  • ALEAPP — парсер журналов событий и Protobuf для Android.
  • iLEAPP — парсер журналов событий для iOS.

Различные инструменты

  • Bitscout — инструмент для создания LiveCD/LiveUSB приспособленных для цифровой криминалистики и не только.

Более подробно про Bitscout

Более подробно про DFAR

  • sherloq — набор инструментов для судебной экспертизы цифровых фотографий.
  • swap_digger — bash-скрипт, автоматизирующий извлечение файла подкачки Linux и поиск учетных данных пользователей, адресов электронной почты, содержимого веб-форм, WiFi SSID ключей и других чувствительных данных.
  • LaZagne — приложение с открытым исходным кодом для извлечения паролей, хранящихся на компьютере.
  • Fibratus — инструмент для исследования и трассировки ядра Windows.

Более подробно про Fibratus

  • afflib — расширяемый открытый формат для хранения образов дисков и криминалистической информации.

Более подробно про afflib

  • Sigma — открытый формат подписи для SIEM-систем.

Материал для изучения

Для того чтобы проводить те или иные действия по анализу данных необходимо иметь базис теоретического материала по расследования киберпреступлений. Для этого я рекомендую ознакомиться со следующими изданиями:

  • Н.Н.Федотов: Форензика – компьютерная криминалистика
  • Darren Quick, Ben Martini, Raymond Choo: Cloud Storage Forensics
  • Suzanne Widup: Computer Forensics and Digital Investigation with EnCase Forensic v7
  • Brian Carrier: File System Forensic Analysis
  • Brett Shavers, John Bair: Hiding Behind the Keyboard: Uncovering Covert Communication Methods with Forensic Analysis
  • Philip Polstra: Linux Forensics
  • Jonathan Levin: Mac OS X and iOS Internals: To the Apple’s Core
  • Ric Messier: Operating System Forensics
  • Satish Bommisetty, Rohit Tamma, Heather Mahalik: Practical Mobile Forensics
  • Michael Hale Ligh, Andrew Case, Jamie Levy, AAron Walters: The Art of Memory Forensics: Detecting Malware and Threats in Windows, Linux, and Mac Memory
  • Harlan Carvey: Windows Registry Forensics, Second Edition: Advanced Digital Forensic Analysis of the Windows Registry
  • Laura Chappell: The Official Wireshark Certified Network Analyst Study Guide

Практические площадки

Для тестирования вышеперечисленного инструментария можно воспользоваться специализированными платформами или образами для анализа, представленными на визуализированной mindmap. В качестве первых образцов для тренировки рекомендуем:

Заключение

Форензика, как ответвление информационной безопасности, развита гораздо в меньшем объеме нежели тестирование на проникновение или организация защитных средств. Грамотный подход при проведении мероприятий по сбору цифровых доказательств не только даст восстановить картину возможного инцидента, но и позволит выявить пути и предпосылки возникновения инцидента.

Определение личности преступника в компьютерных преступлениях

Студенты ТюмГУ

Аннотация: статья посвящена составным частям и сферам применения компьютерной криминалистики. Акцентируется внимание на определении характера совершенных преступлений для установления методов исследования информации и форм борьбы с преступностью.

Проблематика

Глобализация и стремительное развитие компьютерных и IT-технологий привели к возникновению нового вида правонарушений — киберпреступления. Данное понятие еще законодательно не закреплено, и существует проблема классификации преступлений, совершенных в киберпространстве. Понимание вида совершенных преступлений и определение их к определенному классу образует особое криминалистическое средство борьбы с преступностью с помощью методов и форм.

Предметы форензики:

● криминальная практика — способы, инструменты совершения соответствующих преступлений, их последствия, оставляемые следы, личность преступника;

● оперативная, следственная и судебная практика по компьютерным преступлениям;

● методы экспертного исследования компьютерной информации и, в частности, программы для ЭВМ;

● достижения отраслей связи и информационных технологий, их влияние на общество, а также возможности их использования как для совершения преступлений, так и для их предотвращения и раскрытия

Задачи, решаемые форензикой:

● разработка тактики оперативно-розыскных мероприятий (ОРМ) и следственных действий, связанных с компьютерной информацией;

● создание методов, аппаратных и программных инструментов для сбора и исследования доказательств компьютерных преступлений;

● установление криминалистических характеристик правонарушений, связанных с компьютерной информацией.

Классификация компьютерной криминалистики

Как и любая наука, форензика склонна делиться на более частные темы:

  • Компьютерная криминалистика — это отрасль цифровой криминалистики, относящаяся к доказательствам, найденным в компьютерах и цифровых носителях информации. Целью компьютерной криминалистики является изучение цифровых носителей в криминалистически обоснованной манере с целью выявления, сохранения, восстановления, анализа и представления фактов и мнений о цифровой информации.
  • Сетевая криминалистика — это подотрасль цифровой криминалистики, связанная с мониторингом и анализом трафика компьютерной сети в целях сбора информации, юридических доказательств или обнаружения вторжений. В отличие от других областей цифровой криминалистики, сетевые расследования имеют дело с изменчивой и динамической информацией.
  • Криминалистический анализ данных посвящен изучению файлов, структур данных и бинарных последовательностей, оставшихся после атаки или использовавшихся при вторжении. В ней рассматриваются структурированные данные в отношении случаев финансовых преступлений. Основная цель — обнаружить и проанализировать закономерности мошеннических действий.
  • Криминалистика мобильных устройств — это отрасль цифровой криминалистики, связанная с восстановлением цифровых доказательств или данных с мобильного устройства в судебно-обоснованных условиях. К классу мобильное устройство относится к мобильным телефонам, а также к любому цифровому устройству, которое имеет как внутреннюю память, так и коммуникационные возможности, включая устройства КПК, устройства GPS и планшетные компьютеры.
  • Криминалистика аппаратного обеспечения и технических устройств — наименее популярное и наиболее сложное направление. Сюда входит разбор данных на низком уровне (микроконтроллера, прошивки или BIOS), исследование специфических особенностей работы устройства, к примеру диапазона частот работы Wi-Fi-передатчика или внутреннего устройства скиммера, устанавливаемого на банкоматы.

Сферы применения компьютерной криминалистики:

  • Раскрытие и расследование уголовных преступлений, в которых фигурируют компьютерная информация как объект посягательства, компьютер как орудие совершения преступления, а также какие-либо цифровые доказательства.
  • Сбор и исследование доказательств для гражданских дел, когда такие доказательства имеют вид компьютерной информации.
  • Страховые расследования, проводимые страховыми компаниями касательно возможных нарушений условий договора, страхового мошенничества, особенно когда объект страхования представлен в виде компьютерной информации или таким объектом является информационная система.
  • Внутрикорпоративные расследования инцидентов безопасности, касающихся информационных систем, а также работы по предотвращению утечки информации, содержащей коммерческую тайну и иные конфиденциальные данные.
  • Военные и разведывательные задачи по поиску, уничтожению и восстановлению компьютерной информации в ходе оказания воздействия на информационные системы противника и защиты своих систем.
  • Задачи по защите гражданами своей личной информации в электронном виде, самозащиты своих прав, когда это связано с электронными документами и информационными системами.

Общенаучные методы исследования информации компьютерной криминалистики:

  • Наблюдение
  • Измерение
  • Описание
  • Сравнение
  • Эксперимент
  • Моделирование
  • Объяснение
  • Анализ
  • Синтез
  • Предсказание

Все научные методы применяются в компьютерной криминалистике без ограничений. Хотя имеют некоторые особенности.

Особенностью наблюдения в отношении компьютерной информации является то, что непосредственно наблюдаемое (то есть изображение на экране монитора) имеет очень косвенное отношение к объекту наблюдения (то есть компьютерной информации). По пути происходит не просто большое количество преобразований, но непредставимо большое, трудно контролируемое, зависящее от множества незнакомых людей и невоспроизводимых факторов количество преобразований.

Другие общенаучные методы — анализ и синтез — также имеют в обсуждаемой науке свои особенности.

Дело в том, что в других технических науках при изучении объектов мы имеем дело только с объективными физическими процессами. Здесь же мы сталкивается со свободной человеческой волей, которая «зашита» в такой объект исследования, как программа для ЭВМ. Будучи объектом искусственного происхождения, программа несёт в себе волю программиста, отпечаток его личности, выполняет его замыслы, реализует его видение. То есть программа для ЭВМ — это уже не в полной мере объективная реальность. Хотя до полноценного субъекта — искусственного интеллекта — ей еще далеко.

Специальные методы

Наряду с общенаучными форензика применяет и специальные методы исследования, свойственные только ей:

  • Создание и применение специализированных криминалистических информационных систем; перенастройка и использование в своих целях систем двойного назначения.
  • Использование в целях обнаружения или исследования доказательств публичных поисковых систем (таких как «Google»), а также поисковых систем специального назначения (типа «Эшелон»).
  • Создание виртуальной личности для целей проведения с ее помощью ОРМ и агентурной работы.
  • Сбор хэш-функций известных файлов для отделения их от файлов, содержащих оригинальную пользовательскую или модифицированную информацию.
  • Архивирование полного содержимого носителей для целей последующего расследования возможных инцидентов.
  • Эмулирование сетевых сервисов для исследования поведения подозрительных программ в лабораторных условиях.

Формы

Общенаучные и специальные методы компьютерной криминалистики должны использоваться в борьбе с преступностью в следующих формах:

  • Производство компьютерно-технических экспертиз. Кроме этих, родных для себя экспертиз, необходимо принимать участие в некоторых других видах экспертиз. Например, товароведческая (экономическая) экспертиза по определению стоимости прав на использование экземпляра программного обеспечения.
  • Участие специалистов в проведении следственных действий, имеющих отношение к компьютерной информации, — обыска, выемки, осмотра места происшествия и т.д.
  • Участие специалиста в проведении ОРМ. Наиболее востребованное в обсуждаемой области мероприятие — снятие информации с технических каналов связи — проводится не просто «при участии», а только самим специалистом.
  • Участие специалиста в судебном заседании. Эта форма, предусмотренная УПК, стала активно использоваться лишь при рассмотрении дел по компьютерным преступлениям. В таких делах специальные знания требуются очень часто. Специалист в зале суда может действовать наподобие переводчика, разъясняя участникам процесса значения терминов, поясняя значение тех или иных технических деталей и так далее.
  • Снабжение оперативных работников и следователей техническими средствами, которые те могут использовать в работе самостоятельно, без участия специалиста.
  • Обучение пользователей и технических специалистов предприятий (потенциальных потерпевших) методам первичной фиксации цифровых доказательств, их предохранения от уничтожения.

Компьютерные преступления

Студенты ТюмГУ

Аннотация: Статья посвящена описанию компьютерных преступлений. Приводятся в пример схемы преступлений, предполагаемые преступники, потерпевшие, а также следы, оставленные преступниками.

Проблематика:

В эпоху глобализации, цифровой трансформации и стремительного развития компьютерных и IT-технологий современное общество, с одной стороны, пользуется преимуществами новых технологий (например, доступом к информации из любой точки мира, мгновенными электронными переводами денежных средств и другими), с другой — столкнулось с новым направлением преступности — киберпреступностью.

Можно отметить, что общественные отношения в сфере компьютерных и IT-технологий образовали новый объект для совершения преступлений, средств и способов правонарушений, что делает борьбу с киберпреступлениями одной из самых актуальных проблем современности.

Онлайн-мошенничество

Способы онлайн-мошенничества:

  • спам-рассылки и сайты с просьбой о материальной помощи (например: дети-сироты, жертвы войны, жертвы аварии и т. д.);
  • сайты фиктивных брачных агентств;
  • двойники интернет-магазинов;
  • мошеннические онлайн «банки» и «инвестиционные фонды»;
  • мошеннические сайты и рассылки, предлагающие удаленную работу и требующие под этим предлогом какой-либо «вступительный взнос»;
  • фальшивые сайты благотворительности, туроператоров или авиакомпаний;
  • фишинговая атака по электронной почте (например: рассылка писем с сообщением о выигранном призе или о блокировке счета).

Признаки онлайн-мошенничества на примере интернет-магазина:

  • в адресной строке указано неверное название магазина, чаще всего мошенники меняют несколько букв местами (например: delicates72.org – официальный сайт, deilcates72.org – фальшивый);
  • не указано никаких данных о личности владельца сайта там, где она должна указываться
  • применяются только такие способы оплаты, где возможно скрыть личность получателя платежа, невозможна оплата курьеру при получении;
  • период между заказом товара и его доставкой достаточно большой;
  • цена на товары может быть завышена.

Вероятный тип преступника на примере онлайн-магазина:

  • «хакер»
  • «е-бизнесмен»

Потерпевший на примере онлайн-магазина:

Скорее всего это будет человек, который ранее уже пользовался услугами интернет-магазинов, т. к. для человека достаточно сложно решиться на покупки в новом для него формате.

Также очевидно, что потерпевший является пользователем одной из платежных систем, которой пользовались преступники.

Потерпевшим свойственно надеется, что их не обманули и товар задерживается в пути. Именно поэтому, если преступник уже пойман, и работа веб-сайта прекращена, есть смысл ее возобновить и разместить там информацию о том, как можно связаться со следователем. 

Схема онлайн-мошенничества и следы, которые оставляют преступники:

Схема всех онлайн-мошенничеств такова:

  • размещение (рассылка) информации;
  • взаимодействие с жертвой;
  • получение денежного перевода.

При онлайн-мошенничестве на примере онлайн-магазина можно рассчитывать на такие следы, оставляемые мошенниками:

  • регистрационные данные на доменное имя; логи от взаимодействия с регистратором доменных имен; следы от проведения платежа этому регистратору;
  • следы при настройке DNS-сервера, поддерживающего домен мошенников;
  • следы от взаимодействия с хостинг-провайдером, у которого размещен веб-сайт: заказ, оплата, настройка, залив контента;
  • следы от рекламирования веб-сайта: взаимодействие с рекламными площадками, системами баннерообмена, рассылка спама;
  • следы от отслеживания активности пользователей на сайте;
  • следы при приеме заказов — по электронной почте, через веб-форму;
  • следы от переписки с потенциальными жертвами;
  • следы при осуществлении ввода денег в платежную систему (реквизиты, которые указываются жертве);
  • следы при переводе денег между счетами, которые контролируются мошенниками;
  • следы при выводе денег;
  • следы от дистанционного управления мошенниками своими счетами, их открытия и закрытия;
  • следы от взаимодействия мошенников с посредниками по отмыванию и обналичиванию денег.

Вредоносные программы

Основные разновидности вредоносных программ:

  • вирусы. Как правило вирусы попадают на устройство в виде вложения, как только потерпевший открывает файл, происходит заражение;
  • троянские программы. Используются для создания зомби-сетей, которые затем используются для рассылки спама, DoS-атак, организации фишерских сайтов и т.п.;
  • так называемое spyware, то есть черви и троянцы для похищения персональных данных;
  • так называемое adware, то есть вредоносные программы, скрытно внедряющиеся на персональный компьютер и показывающие пользователю несанкционированную рекламу;
  • руткиты, служащие для повышения привилегий пользователя и сокрытия его действий на «взломанном» компьютере;
  • логические бомбы, которые предназначены для автоматического уничтожения всей чувствительной информации на компьютере в заданное время или при выполнении (при невыполнении) определенных условий;
  • так называемое ransomware — подвид троянских программ, которые после скрытного внедрения на компьютер жертвы шифруют файлы, содержащие пользовательскую информацию, после чего предъявляют требование об уплате выкупа за возможность восстановления файлов пользователя.

Наиболее вероятные типы преступников:

Давно не отмечалось случаев, когда один человек исполнял весь преступный замысел целиком – писал программу, применял ее, использовал результат для получения дохода. Создатель вредоносной программы – это почти всегда член преступной группы, например:

  • Спамеры. Один из преступников занимается разработкой программного обеспечения. Второй, покупает права на использование данной программы и рассылает в массу, затем успешные экземпляры объединяет в зомби-сеть. Готовую сеть продает третьему преступнику, который осуществляет рассылку спама. Заказы на рассылку принимает четвертый сообщник, который при помощи того-же спама ищет дальнейших заказчиков, часть полученных денег пересылает третьему преступнику в качестве оплаты его услуг. Пятый преступник занимается сбором адресов электронной почты для рассылок, которые продает четвертому или третьему преступнику.
  • Кардеры. Первый из преступников занимается сбором данных банковских карт. Например, он может внедрять шпионские программы spyware или использовать фишинг. После получения какого-то количества номеров банковских карт он отправляет их второму преступнику, который исполняет роль организатора этой криминальной системы и распределяет данные по исполнителям. Третий будет исполнять верификацию реквизитов карт, то есть проверять их действительность и пригодность для совершения платежей. Четвертый сообщник нужен для того, чтобы создать веб-сайт (лжемагазин, интернет-казино) с возможностью оплаты услуг банковскими карточками. Пятая группа сообщников – так называемые набивщики. Они получают от организатора номера банковских карт и выводят деньги через веб-сайты четвертого преступника под видом разных клиентов. При этом они эмулируют доступ из разных стран и с разных компьютеров. Есть также шестой сообщник, который занимается вещевым кардингом. Получая от организатора наиболее перспективные номера банковских карт, использует их для заказа каких-либо дорогих товаров в настоящих интернет-магазинах. Эти заказы приходят на адреса седьмой группы сообщников, их называют дропы. Их работа заключается в том, чтобы подтвердить заказ, получить его и сразу переслать следующему преступнику (иногда другому дропу, для запутывания следов). Восьмой сообщник получает и реализует посылки от дропов.
  • Фишеры. Первый преступник занимается размещением в интернете фальшивых веб-сайтов банков и иных учреждений. В такие сайты входит система, которая моментально отсылает преступнику введенные конфиденциальные данные пользователя, естественно не напрямую, для запутывания следов. Второй преступник занимается разработкой этих сайтов, составляет подложные письма и рассылает их с помощью услуг спамеров. Третий занимается реализацией полученных данных (номера банковских карт с пин-кодами, пароли к платежным системам) кардерам или иным преступным системам. Иногда бывает так, что реализацией пин-кодов группа занимается самостоятельно. В этом случае есть четвертый преступник, который изготавливает копии банковских карт для офлайновых магазинов и банкоматов. Также есть пятая группа, которая занимается снятием денег с банкоматов.

Следы, которые оставляют преступники при использовании вредоносных программ:

При изготовлении вредоносных программ можно обнаружить следующие цифровые следы:

  • исходный текст вредоносной программы, его промежуточные варианты, исходные тексты других вредоносных программ, из которых вирмейкер заимствовал фрагменты кода;
  • антивирусное ПО различных производителей, на котором создатель вредоносной программы обязательно тестирует свою, а также средства отладки;
  • программные средства для управления вредоносными программами (многие из них работают по схеме «клиент-сервер», одна из частей внедряется на компьютер жертвы, а другая часть работает под непосредственным управлением злоумышленника);
  • средства и следы тестирования работы вредоносных программ под различными вариантами ОС;
  • следы контактирования с заказчиками или пользователями вредоносной программы, передачи им экземпляров и документации, оплаты.

При распространении и применении вредоносных программ можно обнаружить следующие цифровые следы:

  • средства и следы тестирования работы вредоносной программы под различными вариантами ОС;
  • контакты с создателем или распространителем-посредником вредоносной программы;
  • программные средства для управления вредоносной программой, данные о внедрениях этой программы к жертвам, результаты деятельности (пароли, отчеты о готовности, похищенные персональные данные);
  • средства распространения вредоносной программы или контакты с теми, кто подрядился ее распространять.

DoS-атаки

DoS-атака или атака типа «отказ в обслуживании» является одним из видов неправомерного доступа, а именно такого, который приводит к блокированию информации и нарушению работы ЭВМ и их сети. Иные виды неправомерного доступа (копирование информации, уничтожение информации), а также использование вредоносных программ могут быть этапами осуществления DoS-атаки.

Вероятные преступники использующие DoS-атаки:

В настоящее время встречаются DoS-атаки как с личными, так и с корыстными мотивами. Организовать DoS-атаку на типичный веб-сайт не представляет никакой сложности. Цена на такую атаку достаточно низкая, так что ее может позволить себе практически любой человек.  Сейчас в интернете все больше и больше бизнесменов, благополучие работы которых полностью зависит от доступности его сайта. Это могут быть онлайн-магазины, онлайн-аукционы, онлайн-казино, букмекерские конторы и т. д. Остановка работы веб-сайта для такого вида бизнеса, означает полную остановку работы. А несколько недель такого простоя могут полностью разорить бизнес, из-за этого находятся желающие шантажировать владельца на получение денежных средств для остановки DoS-атаки. Также заказчиком такой атаки может быть человек с личными целями, например конкурент, желающий разорить чужой бизнес.

Вероятный потерпевший:

В подавляющем большинстве случаев потерпевшим выступает юридическое лицо. Коммерческие организации редко бывают заинтересованы в официальном расследовании, поскольку для них главное — устранить опасность и минимизировать убытки. В наказании злоумышленника они не видят для себя никакой выгоды. А участие в судебном процессе в роли потерпевшего часто негативно отражается на деловой репутации.

Выступить потерпевшим владелец атакуемого ресурса может в следующих случаях:

  • когда есть уверенность, что не наказанный злоумышленник будет повторять атаки;
  • когда предприятию надо отчитываться об понесенных убытках или перерывы в оказании услуг перед партнерами, клиентами, акционерами;
  • когда руководитель предприятия усматривает в атаке личные мотивы, личную обиду, когда уязвлено его самолюбие.

В прочих случаях не приходится рассчитывать на заинтересованность потерпевшего в раскрытии преступления.

Следы, оставляемые преступниками при DoS-атаках:

При подготовке и проведении DoS-атаки образуются следующие следы технического характера:

  • наличие инструментария атаки — программных средств (агентов), установленных на компьютере злоумышленника или, чаще, на чужих используемых для этой цели компьютерах, а также средств для управления агентами;
  • следы поиска, тестирования, приобретения инструментария;
  • логи операторов связи, через сети которых проходила атака;
  • логи технических средств защиты — детекторов атак и аномалий трафика, систем обнаружения вторжений, межсетевых экранов, специализированных антифлудовых фильтров;
  • логи, образцы трафика и другие данные, специально полученные техническими специалистами операторов связи в ходе расследования инцидента, выработки контрмер, отражения атаки;
  • следы от изучения подозреваемым рекламы исполнителей DoS-атак, его переписки, переговоров и денежных расчетов с исполнителями;
  • следы от контрольных обращений подозреваемого к атакуемому ресурсу в период атаки, чтобы убедиться в ее действенности.

Определение личности преступника в компьютерных преступлениях

Студенты ТюмГУ

Аннотация: Статья посвящена вопросам криминалистической характеристики личности преступника в компьютерных преступлениях. Акцентируется внимание на важности определения личности преступника, проводится разграничение общих черт преступника и описание статей нарушения УК РФ.

Проблематика



В технических науках при изучении объектов мы имеем дело только с объективными физическими процессами. Здесь же мы сталкивается со свободой человеческой воли.

При постоянном использовании компьютера человеком, пользователь оставляет «отпечаток» собственной личности. Этот «отпечаток» индивидуализирует информационное содержимое компьютера. Например: фотографии, музыка, приложения, история браузера, заметки и так далее. Анализируя полученные данные мы можем составить “портрет” пользователя — потенциального нарушителя, попытаться понять его эмоции, наклонности, способности.

Данная проблема всегда имела определенную как научную, так и практическую составляющую, так как без изучения личности тех лиц, которые совершают преступление, попросту невозможно бороться с преступностью.

Изучение мотивационной сферы преступного поведения содействует раскрытию места и роли, исполняемых в механизме преступного поведения интересами, потребностями, привычками человека, таким образом, она будет являться основой проверки социальных ценностей личности. Следует заметить, что мотивация преступления (в принципе, как и все психические процессы) принадлежит к фактам поведения, непосредственно не наблюдаемым.

Модель нарушения



Большинство исследователей пишут о криминалистической характеристике трех видов преступлений, разделяя все рассматриваемые преступления по составам трех статей:

— УК РФ Статья 272. Неправомерный доступ к компьютерной информации
Предусматривает ответственность за неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации.

Под охраняемой законом понимается информация, для которой законом установлен специальный режим ее правовой защиты (например, государственная, служебная и коммерческая тайна, персональные данные и т.д.).

Краткое разъяснение статьи: Прокурор разъясняет — Прокуратура Чувашской Республики (genproc.gov.ru)
Полная информация о статье 272 УК РФ: УК РФ Статья 272. Неправомерный доступ к компьютерной информации \ КонсультантПлюс (consultant.ru)

— УК РФ Статья 273. Создание, использование и распространение вредоносных компьютерных программ
Наказание предусмотрено за такие преступные действия как создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, а также в случае совершения подобных действий группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно причинившие крупный ущерб или совершенные из корыстной заинтересованности, или данные действия повлекли тяжкие последствия или создали угрозу их наступления.

Краткое разъяснение статьи: Прокурор разъясняет — Прокуратура Оренбургской области (genproc.gov.ru)
Полная информация о статье 273 УК РФ: УК РФ Статья 273. Создание, использование и распространение вредоносных компьютерных программ \ КонсультантПлюс (consultant.ru)

— УК РФ Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей
Данной статьей установлена уголовная ответственность за нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб.

Краткое разъяснение статьи: Прокурор разъясняет — Прокуратура Московской области (genproc.gov.ru)
Полная информация о статье 274 УК РФ: УК РФ Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей \ КонсультантПлюс (consultant.ru)

Одной «компьютерной» статьей УК охватывается сразу несколько преступных деяний, сильно отличающихся по личности преступника, по способу, по оставляемым следам.
Например, психически неуравновешенный программист создал и распустил по Сети вирус, чтобы навредить всему миру, который он ненавидит. Другой пример: сотрудник рекламного агентства использует зомби-сеть* (ботнет) для рассылки спама* в соответствии с полученным заказом. Оба они совершают преступление, предусмотренное статьей 273 УК — создание или использование вредоносных программ.

Криминалистика характеризует преступления
следующими параметрами:



1.способ совершения
2.личность преступника
3.личность потерпевшего
4.методы раскрытия и так далее

Общую криминалистическую характеристику могут иметь преступления из разных глав УК (например, клевета и возбуждение национальной розни). А преступления, объединенные в одну статью УК, с точки зрения криминалистики, существенно отличны друг от друга (например, нарушение авторских прав в Сети и в офлайне).

Личность вероятного преступника



Если рассматривать психологию, личность преступника – это динамическая, относительно устойчивая система индивидуальнопсихологических (психофизиологических, психологических и социальнопсихологических) свойств, признаков, связей, отношений, характеризующий лицо, виновно нарушающее уголовный закон, и прямя или косвенно определяющих проявление противоправного поведения.

Оценивая вероятного преступника, важнее всего для нас установить уровень его компетенции в области ИТ. Этот параметр является критическим. В технических методах борьбы, в соревнованиях «спрятать-найти» или «стереть-восстановить» уровень специальных знаний является решающим.
Когда квалификация подозреваемого неизвестна, ее следует предполагать высокой. С той же целью специалисту или следователю имеет смысл до поры скрывать свой собственный уровень познаний в ИТ перед подозреваемым.

Далее описание нескольких типичных образов компьютерных преступников. Все наименования условные.

«Хакер»



Основной мотивацией этого типа нарушителей являются: исследовательский интерес, любопытство, стремление доказать свои возможности, честолюбие. Средства защиты компьютерной информации, ее недоступность они воспринимают как вызов своим способностям. Некоторые исследователи полагают необходимой чертой этого типа хорошие знания в области ИТ и программирования. Однако практика опровергла это предположение. Среди обвиняемых по соответствующим составам средний уровень знаний оказался невысок. Другие исследователи, наряду с многознающими «хакерами» вводят отдельную категорию «script kiddies*». Это те, кто движим теми же мотивами, но не в состоянии придумать свое и поэтому просто бездумно используют готовые инструменты, сделанные другими.

Первой чертой личностью «хакера» является эскапизм — бегство от действительности, стремление уйти от реальности, от общепринятых норм общественной жизни в мир иллюзий, или псевдодеятельность. Компьютерный мир, особенно вместе с Интернетом, является прекрасным альтернативным миром, в котором возможно найти интересное занятие, защиту от нежелательных социальных контактов, реализовать креативный потенциал и даже заработать денег.

Второй чертой личности является некриминальная в общем направленность мыслей «хакера». Исследовательский интерес и честолюбие редко сочетаются с антиобщественными установками, предельной опас-ливостью, боязнью правоохранительных органов. Это, как правило, выливается в уделение малого внимания заметанию следов, непринятие мер конспирации. Часто у него даже отсутствует само осознание того факта, что совершается уголовное преступление.
Следует упомянуть, что эскапизмом и сниженной социализирован-ностью страдает большинство ИТ-специалистов. Собственно, некоторый отрыв от реальной жизни — это побочный эффект большого опыта в компьютерной сфере. Поэтому поиск по указанным критериям даст не только возможного преступника, но и вполне законопослушных ИТ-специалистов.

«Инсайдер»



Несколько более распространенным типом компьютерного злоумышленника является человек, не слишком хорошо владеющий знаниями в области ИТ, зато владеющий доступом в информационную систему (ИС) в силу служебного положения.
Уже стало общим местом утверждение, что большая часть «взломов» компьютерных систем совершается изнутри. Это действительно так. Поэтому при расследовании неправомерного доступа «инсайдер» — первая версия, которую следует рассматривать. Даже если неправомерный доступ был явно снаружи, скорее всего, он стал возможным из-за сговора с местным сотрудником.

Если для «внешнего» хакера обнаружить уязвимость в информационной системе представляет собой задачу, то для сотрудника предприятия почти все уязвимости видны с самого начала. И если информационная система (ИС) имеет отношение к деньгам, ценностям или платным услугам, то сотрудник постоянно пребывает под искушением. Однако руководители и даже сотрудники службы безопасности, чьим попечениям доверена такая ИС, часто страдают странным дефектом зрения: они опасаются и уделяют внимание защите от внешних злоумышленников и в то же время слепо доверяют собственным сотрудникам, забывая, что разница между первыми и вторыми — только в их возможностях. У сотрудников возможностей напакостить несравненно больше.

Итак, типичный «инсайдер» совершает компьютерное преступление (лично или в форме подстрекательства, совместно с «внешним» соучастником) с использованием сведений, полученных в силу служебного положения. Такие сведения — пароли, знания о конфигурации ИС, знания о ее уязвимостях, о принятых процедурах. В ряде случаев этими сведениями он владеет «официально», то есть они ему необходимы для выполнения работы. Но чаще бывает, что реальный доступ сотрудников к конфиденциальной информации значительно шире, чем формальный или чем необходимый. То есть «инсайдер» знает об ИС больше, чем ему положено.

«Белый воротничок»



Этот тип злоумышленника имеет минимальную квалификацию в сфере ИТ и компьютер как орудие совершения преступления не использует. Компьютер здесь выступает только как носитель следов, доказательств совершения преступления.

По своим мотивам «белые воротнички» могут быть разделены на три группы:
1. Злоупотребляющие своим служебным положением из чувства обиды на компанию или начальство. Их следует искать среди долго проработавших сотрудников. Причем для возникновения мотива мести совсем не обязательно наличие действительной обиды со стороны работодателя. В значительной части случаев, как отмечалось выше, обиды эти оказываются вымышленными. Такой обиженный, обойденный и недостойно оплачиваемый злоумышленник чаще всего ворует, чтобы «компенсировать» якобы недополученное от работодателя. Но бывают и бескорыстные мстители, которые не приобретают выгоды от своих незаконных действий либо по этическим соображениям (реже), либо для снижения вероятности раскрытия преступления (чаще).

2. Беспринципные расхитители, не имеющие моральных барьеров и ворующие только потому, что представилась такая возможность. Для подобных «белых воротничков» характерен недолгий срок службы на должности до начала злоупотреблений. Довольно часто за таким имеется криминальное прошлое.

3. Вынужденные расхитители, попавшие в тяжелое материальное положение, в материальную или иную зависимость от лица, требующего совершить хищение или мошенничество. Как правило, подобные проблемы трудно скрыть от окружающих — крупный проигрыш, наркомания, семейный кризис, неудачи в бизнесе. Эта группа расхитителей менее осторожна, они не могут долго подготавливать свои преступления, как это делают первые и вторые.

«Е-бизнесмен»



С самого начала он планирует именно криминальное предприятие, отлично осознаёт его противозаконность. Решение совершить правонарушение именно в компьютерной (сетевой) среде, а не в офлайне* он принял не из-за своих особых знаний в этой области и не из-за внутренней тяги к компьютерам, а исключительно на основе рационального анализа. Он посчитал, что так будет выгоднее.
Успешные компьютерные преступления отличаются технической сложностью, участием нескольких сообщников с «разделением труда», многоходовостью. Поэтому чертой личности «е-бизнесмена» является наличие организаторских способностей и предпринимательской инициативы.

«Антисоциальный тип»



Мотивом для совершения мошенничества являлась антисоциальная психопатия (социо-патия) таких лиц и их патологическая тяга к ведению подобных «игр». Социопатия признана отдельным видом психического расстройства и зарегистрирована под названием «antisocial personality disorder» или «dissocial personality disorder» в классификаторе болезней ВОЗ (ICD, №F60.2). Обычно такие типы действуют импульсивно и не склонны к планированию, особенно долгосрочному.
Подобное расстройство вообще часто приводит к совершению преступления, не только компьютерного, причем мошенничества чаще, чем насилия. Интернет-мошенничество не требует особых технических знаний, вполне достаточно умения пользоваться готовыми программными инструментами.

Ссылка для ознакомления с тяжелыми расстройства личности и выраженными отклонениями в поведении: МКБ-10: Диагноз F60 Специфические расстройства личности (лечение заболевания) (chastnaya-psihiatricheskaya-klinika.ru).

Заключение



Более подробное изучение личности преступника позволяет быть готовым к методам контр-форензики, к сокрытию информации, к созданиям препятствий расследования в реальном мире. Компьютерные преступления всё еще остаются достаточно молодой категорией преступлений, в быстро развивающейся сфере высоких технологий, что указывает на необходимость и дальше собирать информацию о способах совершения преступления, их количестве, выделение новых признаков преступной деятельности.

Расширение списка типичных образов преступников и углубление в уже существующие поможет более четко понять мотивы преступления, сократить время раскрытия преступления во избежание тяжелых последствий.

Специальная литература

1.Федотов, Н. Н. Форензика – компьютерная криминалистика /Н. Н. Федотов // Москва: «Юридический мир», 2007. – 43 с. ISBN: 5-91159-013-1

Электронный ресурс

2.»Консультант Плюс» — законодательство РФ: кодексы, законы, указы, постановления Правительства Российской Федерации, нормативные акты (consultant.ru)
3. Генеральная прокуратура Российской Федерации — Генеральная прокуратура Российской Федерации (genproc.gov.ru)

Дополнительная информация

4. Кауров М.С._ЮРб_1303.pdf (tltsu.ru)
5.Немного ресурсов по форензике (практика расследования кибер-преступлений) (securitylab.ru)

«Яндекс.Практикум» начал расследование после сообщений об утечке

https://www.rbc.ru/society/14/06/2022/62a8bd429a7947e76cdaede0

Студенты ТюмГУ

Хакеры атаковали Rutube, платное ТВ и телепрограмму «Яндекса»

https://www.rbc.ru/technology_and_media/09/05/2022/6278ce689a79476147db8edb

Студенты ТюмГУ

Российский аналог Google Play сообщил о DDoS-атаке в первый день работы

https://www.rbc.ru/rbcfreenews/628236f59a7947061f87d42f

Студенты ТюмГУ

Сайт Роспотребнадзора подвергся DoS-атаке

https://iz.ru/1347549/2022-06-09/sait-rospotrebnadzora-podvergsia-dos-atake

Студенты ТюмГУ

Код ученый: зафиксирован всплеск вредоносных рассылок якобы от вузов

https://iz.ru/1322303/ivan-chernousov/kod-uchenyi-zafiksirovan-vsplesk-vredonosnykh-rassylok-iakoby-ot-vuzov

Студенты ТюмГУ

Не кликай беду: хакеры резко увеличили число атак через электронную почту

https://iz.ru/1343773/ivan-chernousov/ne-klikai-bedu-khakery-rezko-uvelichili-chislo-atak-cherez-elektronnuiu-pochtu

Студенты ТюмГУ

    Оставьте заявку на консультацию

    И мы свяжемся с вами в ближайшее время