Тема 3: «Оперативно-техническое сопровождение раскрытия преступлений и сфере компьютерной информации»

Практическое занятие: Э кспертные исследования компьютерных средств

 

Учебные вопросы:

1. Обнаружения, фиксации и изъятия компьютерной информации;

2. Составления типовых вопросов при назначении КТЭ;

3. Содержание экспертного исследования;

Время: 2 часа.

 

Обсуждено и одобрено на заседании

кафедры информационной безопасности

Протокол № ___ от __________2009 г.

 

Составил:

доцент кафедры

информационной безопасности

к.ф.-м.н., доцент

 Алексеенко С.П.

 

 

Воронеж 2009

 

Обсуждено и одобрено на заседании методической секции.

1. Организационная часть - 3 минуты.

Прием рапорта, проверка наличия и готовности курсантов к занятию (внешний вид, тетради, ручки).

2. Вступительная часть - 2 минуты.

Объявление темы, цели занятия и учебных вопросов

3. Опрос по материалам лекции 15 минут

4. Изложение и обсуждение вопроса №1 - 25 минут

5. Изложение и обсуждение вопроса №2 - 35 минут

6. Ответы на вопросы - 5 минут

7. Подведение итогов - 2 минуты

8. Задание на самоподготовку - 3 минуты

 

Итого 90 минут

 

Форма проведения занятия – самостоятельная работа курсантов под руководством преподавателя, работа преподавателя и курсантов в форме диалога, устный (письменный) опрос по ранее изученному материалу.

 

Задание по подготовке к практическому занятию

1. Изучить материал лекции.

2. Повторить основные понятия, относящиеся к вопросам исследования компьютерных средств.

3. Подготовить ответы на контрольные вопросы, заданные на лекционных занятиях.

 

Литература для подготовки:

1. Лукацкий А. Обнаружение атак (2-е издание)/ Лукацкий А.  СПб.: BHV-СПб, 2003. - 608 с.

2. Программно-аппаратные средства обеспечения информационной безопасности. Защита в операционных системах/ Учебное пособие для вузов/ Проскурин В.Г., Крутов С.А., Мацкевич И.В.–М.: Радио и связь 2000. - 168 с.

3. Секреты хакеров. Безопасность Linux-готовые решения/ Пер. с англ.-М. Издательский дом «Вильямс», 2002.-544 с.

4. Скляров Д.В. Искусство защиты и взлома информации. - СПБ.: БХВ-Петербург, 2004.-288 с.: ил.

5. Расследование неправомерного доступа к компьютерной информации / Под ред. Н.Г. Шурухнова. - М.: Щит-М. 1999.

Министерство Внутренних Дел Российской Федерации

 

ВОРОНЕЖСКИЙ ИНСТИТУТ

 

Кафедра информационной безопасности

 

 

Методические указания для практического занятия

 

с курсантами 4 курса РТФ специальности 090106.65 -

дисциплина «Компьютерная разведка»

Тематический модуль №2 «Компьютерная разведка в ходе процессуальных действий»

Тема 3: «Оперативно-техническое сопровождение раскрытия преступлений и сфере компьютерной информации»

Практическое занятие: Э кспертные исследования компьютерных средств

 

Учебные вопросы:

1. Обнаружения, фиксации и изъятия компьютерной информации;

2. Составления типовых вопросов при назначении КТЭ;

3. Содержание экспертного исследования;

Время: 2 часа.

 

Обсуждено и одобрено на заседании

кафедры информационной безопасности

Протокол № ___ от __________2009 г.

 

 

Составил:

доцент кафедры

информационной безопасности

к.ф.-м.н., доцент

 Алексеенко С.П.

 

Воронеж 2009

Практическое занятие

 

ЭКСПЕРТНЫЕ ИССЛЕДОВАНИЯ КОМПЬЮТЕРНЫХ СРЕДСТВ

Время: 2 ч.

 

 

Вопрос 1. О бнаружения, фиксации и изъятия компьютерной информации;

Подготовка к обыску

Помимо стандартных действий, которые необходимо выполнить при подготовке к проведению обыска, следует обязательно выяснить, имеется ли в данном помещении компьютерная техника. При наличии таковой необходимо установить:

количество компьютеров и их типы;

наличие автономных источников питания;

используемые носители информации;

наличие локальной сети и выхода в другие сети с помощью модема, радиомодема или выделенных линий;

используемое прикладное программное обеспечение;

наличие систем защиты информации и шифрования, их типы;

возможности использования средства экстренного уничтожения компьютерной информации.

В случае проведения обыска на предприятии необходимо дополнительно выяснить:

количество компьютеров на предприятии и их распределение по службам и помещениям;

объединены ли компьютеры в локальную сеть.

Если такое объединение существует, то необходимо установить:

кто на предприятии отвечает за сетевую систему и программное обеспечение, т.е. является администратором системы;

количество и типы используемых серверов;

количество и типы рабочих мест;

типы используемых операционных сетевых систем;

прикладное программное обеспечение, используемое в сети (например, сетевые базы данных, система документооборота и пр.);

наличие резервных копий серверных дисков и баз данных и место их хранения;

наличие выхода в другие, в том числе и глобальные, сети;

используются ли распределенные сети или почтовые программы для связи с удаленными подразделениями организации или с другими предприятиями;

используются ли системы шифрования и защиты информации, если до, то какие;

используются ли другие средства компьютерной связи (например, модемы и радиомодемы, выделенные линии);

наличие выхода в Интернет и системы электронной почты.

Получить ответы на все перечисленные вопросы не всегда представляется возможность, но выяснить расположение компьютеров и серверов на предприятии необходимо. При отсутствии полной информации по данным вопросам целесообразно включить в группу, производящую обыск, эксперта по компьютерной технике. Если такой возможности нет, то следователю необходимо предварительно получить консультацию у любого другого специалиста в области компьютерных технологий, исходя из наличия имеющейся информации.

Проведение обыска

При проведении обыска основной задачей руководителя следственной группы и специалистов применительно к компьютерным средствам является обеспечение сохранности информации, имеющейся в компьютерах и на компьютерных носителях информации. Для этого необходимо:

предотвратить отключение энергоснабжения предприятия, обеспечив охрану распределительного щита;

запретить сотрудникам предприятия и прочим лицам производить какие-либо манипуляции с компьютерами и носителями информации;

оградить работающие компьютеры от случайных нажатий на клавиши клавиатуры и кнопки системных блоков и устройств;

предупредить всех сотрудников следственной группы о недопустимости самостоятельной манипуляции с компьютерной техникой и носителями информации;

в случае использования телефонной линии для связи с другими сетями обеспечить отключение телефона;

удалить из помещений, в которых находятся компьютеры и носители информации, все взрывчатые, едкие и легковоспламеняющиеся материалы.

В дальнейшем следует точно определить местоположение компьютеров; при этом помнить, что портативные компьютеры типа notebook легко умещаются в небольшую сумку.

При наличии в осматриваемом помещении локальной сети следует точно установить местоположение серверов. Как правило, на крупных предприятиях под серверную выделена специальная комната, вход в которую ограничен. Однако помимо центральной серверной в отделах могут находиться местные локальные серверы. Определить местоположение компьютеров при наличии локальной сети поможет проводка. Достаточно проследить трассы кабеля или коробов (в случае, когда кабель спрятан в специальный короб).

Следует обратить внимание на неподключенные разъемы на коаксиальном кабеле и свободные розетки (розетки для подключения компьютеров в локальную сеть, использующие витую пару, имеют вид импортных телефонных розеток), так как в этих местах, возможно, находились компьютеры или подключались портативные компьютеры, которые в момент проведения обыска могут находиться в другом месте или могут быть спрятаны.

Особое внимание следует обратить на места хранения дискет и других носителей информации. Если при внешнем осмотре компьютеров в их составе обнаружены устройства типа стримера, магнитооптического накопителя и им подобные, то необходимо найти места хранения носителей информации к соответствующим накопителям.

На предприятиях, имеющих развитую локальную сеть, как правило, производится регулярное архивирование информации на какой-либо носитель. Следует определить место хранения данных копий.

Обязательно следует выявить администратора системы и провести его опрос, при котором необходимо выяснить:

какие операционные системы установлены на каждом из компьютеров;

какое программное обеспечение используется;

какие программы защиты и шифрования используются;

где хранятся общие файлы данных и резервные копии;

пароли супервизора и администраторов системы;

имена и пароли пользователей.

Далее специалист по компьютерам, участвующий в обыске, используя данные, полученные от администратора системы, может произвести копирование информации на заранее приготовленные носители. Это могут быть обычные дискеты, однако при большом объеме изымаемых файлов рекомендуется использовать более современные носители информации (например, магнитооптический диск или дополнительный жесткий диск). Носители, на которые была переписана информация, должны быть упакованы в пластиковые коробки (если это жесткий диск, то его необходимо упаковать в антистатический пакет и предотвратить его свободное перемещение в упаковке при транспортировке), которые необходимо опечатать в соответствии с требованиями УПК.