книги / Теория и практика борьбы с компьютерной преступностью
..pdfАудит регистрации
Если осуществляется аудит попыток регистрации (audit session - все по пытки регистрации, audit session whenever successful - успешные попытки регистрации, audit session whenever not successful - неуспешные попытки ре гистрации) с базой данных и записи аудита хранятся в таблице SYS.AUD$, то их можно просмотреть через представление словаря данных DBA_AUDIT_SESSION этой таблицы.
Аудит операций Любая операция, оказывающая воздействие на некоторый объект базы
данных, может быть подвергнута аудиту. Выделяют следующие группы ау дита SQL-команд:
CLASTER - создание, изменение, удаление или усечение кластера в схеме;
DATABASELINK - создание, удаление частных связей баз данных в собст венной схеме;
DIRECTORY- создание, удаление объектов базы данных «каталоги»;
EXISTS - SQL-операторы, завершившиеся неуспешно из-за того, что объект уже существует;
INDEX - создание, изменение и удаление индекса в системе;
NOT EXISTS - SQL-операторы, завершившиеся неуспешно из-за того, что объект уже не существует;
PROCEDURE - создание, изменение и удаление хранимых процедур, функ ций и модулей в схеме;
PROFILE - создание, изменение и удаление профиля;
PUBLICDATABASELINK - создание, удаление общих связей баз данных;
PUBLICSYNONYM- создание и удаление общих синонимов;
ROLE ~ создание, изменение и удаление роли в схеме;
ROLLBACKSEGMENT —создание, изменение и удаление сегментов отката;
SEQUENCE - создание, изменение и удаление последовательности в схеме;
SESSION - попытки регистрации;
SYNONYM—создание и удаление синонимов в собственной схеме;
SYSTEMAUDIT - разрешение (audit) или запрещение (noaudit) аудита SQLоператоров;
SYSTEMGRANT - разрешение (audit) или запрещение (noaudit) аудита сис темных привилегий и ролей;
TABLESPASE - создание, изменение и удаление табличных областей;
TRIGGER - создание триггера базы данных; разрешение, запрещение или компилирование любого триггера базы данных в любой схеме; удаление триггера;
TYPE - создание, изменение и удаление типов и тел типов в схеме;
USER - создание, изменение и удаление пользователей;
VIEW—создание и удаление представлений в собственной схеме.
Каждой операции, которая может быть подвергнута аудиту, в базе дан ных присваивается числовой код. К этим кодам можно обращаться через представление AUDIT_ACTIONS. В свою очередь, получив код операции через представление DBA_AUDIT_QBJECT, можно узнать, какому воздей ствию подвергается объект во время операции.
А УДИ Т О БЪ Е К ТО В
Помимо системных операций, выполняемых над объектами, аудиту мо гут подвергаться операции манипулирования данными, а также операции select, insert, update и delete, выполняемые над таблицами.
Microsoft SQL Server 7.0
Для эффективного проведения криминалистического исследования СУБД Microsoft SQL Server 7.0 необходимо:
■определить множество событий, которые должны контролироваться;
■определить, какая информация должна фиксироваться для события.
В составе Microsoft SQL Server 7.0 имеются утилиты, которые позволяют производить мониторинг и контролировать функционирование системы в целом (рис. 3.2.8).
Рис. 3.2.8
Performance Monitor
Данное приложение является инструментом наблюдения за функциони рованием системы SQL Server 7.0 и ее взаимодействием с операционной системой Windows NT. Performance Monitor позволяет в реальном времени накапливать статистические данные о функционировании SQL Server 7.0 и Windows NT. Возможен контроль показаний до 156 счетчиков (с учетом от
дельных классов объектов) для SQL Server 7.0 и сотен счетчиков для опера ционной системы. Собираемые в счетчиках данные могут быть сохранены в файле журнала.
SQL Server Enterprise Manager
В SQL Server Enterprise Manager контролируются действия отдельных пользователей.
SQL Server Profiler
Данная утилита, позволяет осуществлять контроль активности пользова телей. Она имеет возможность контролировать и протоколировать работу пользователей, относящуюся к 12 категориям событий:
Cursors - набор событий, связанных с операциями над курсорами;
Error and Warning - набор событий, создаваемых, когда SQL Server выводит сообщения об ошибках или предупреждение;
Locks - набор событий, связанных с наложением блокировки;
Misk - набор событий, которые невозможно классифицировать в рамках ос тальных категорий;
Odjects - набор событий, генерируемых при создании, открытии, закрытии, удалении или уничтожении объектов;
Scans - набор событий, создаваемый при сканировании таких баз данных, как таблицы и индексы;
Session ~ набор событий, создаваемых при подключении и отключении кли ентов к серверу;
SQL Operators - набор событий, создаваемых при исполнении Data Manipulation Language (DML) конструкций T-SQL: SELECT, UP, DATE, INSERT;
Stored Procedures - набор событий, создаваемых при исполнении хранимых процедур. Эти события связаны с началом и окончанием исполнения проце дуры в целом, исполнением индивидуальных команд процедуры и т. д.;
Transactions - набор событий, связанных с исполнением транзакций, созда ваемых координатором распределенных транзакций, самим сервером. В эту категорию также входят события, создаваемые при записи данных в журнал транзакции;
TSQL - набор событий, генерируемых при исполнении команд Т-SQL, пере даваемых серверу от приложения;
User Configurable - собственный класс событий.
ГЛАВА 3. ФИКСАЦИЯ И ИЗЪЯТИЕ СЛЕДОВ КОМПЬЮТЕРНЫХ ПРЕСТУПЛЕНИЙ
§3.1. Сущность фиксации следовой информации по делам
окомпьютерных преступлениях
Под фиксацией доказательств в криминалистике понимают их «закреп ление, т. е. запечатление в установленном законом порядке» [11, с. 29].
Процесс фиксации результатов осмотра места происшествия с целью по лучения доказательственной информации по делам указанной категории определяется следующими обстоятельствами:
■метод фиксации должен быть настолько быстрым, чтобы полученный результат был сразу же процессуально закреплен;
■в ходе обследования компьютерной системы необходимо предпринять все усилия к тому, чтобы в результате действий следователя, специали ста по его заданию или эксперта не были допущены случайное стирание данных или случайное внесение к имеющимся данным посторонней ин формации.
Процесс фиксации состоит из следующих взаимосвязанных и направ ленных на достижение общей цели действий:
■физической фиксации наиболее существенных признаков и свойств;
■удостоверения результатов физической фиксации;
■облечения результатов фиксации в процессуальную форму.
Для обеспечения достоверности полученных в ходе осмотра доказатель
ственных данных учеными-криминалистами высказаны следующие общие рекомендации описывания следов в протоколе осмотра места происшест вия, в соответствии с которыми необходимо указать:
■место расположения, общие и частные признаки предмета или материа ла, на котором обнаружен след;
■место расположения и собственные признаки следа;
■взаиморасположение следов между собой и с обстановкой места проис шествия;
*характер предпринятых действий и примененных средств для обнаруже ния, фиксации, изъятия и сохранения следов [145, с. 9].
Рассмотрим действия основных участников осмотра места происшест вия, направленные на фиксацию следовой информации по делам о компью терных преступлениях (специалисты, следователь, понятые, если их при сутствие необходимо, а также эксперт-криминалист, если он проводит экс пертное исследование непосредственно на месте происшествия).
§3.2. Особенности фиксации следовой информации
опопытках зондирования компьютерных систем или ведения радиоэлектронной разведки
Эти особенности схематично отражены на рис. 3.3.1-3.3.3.
Специалисты по поручению следователя |
|
||
Осуществляют физическую |
|
■ |
|
|
Оказывают помощь в облечении |
|
|
фиксацию наиболее существен |
|
результатов фиксации |
|
ных признаков и свойств |
J |
в процессуальную форму |
|
" 1 |
_______________________ 1____________________ |
|
|
Осуществляют консервирование |
|
Оказывают помощь следователю в описывании в |
|
найденных электронных средств |
|
протоколе осмотра места происшествия обнару |
|
Применяют видеосъемку, отра |
|
женных следов-предметов, описанных в крими |
|
жающую процесс поиска |
|
налистической характеристике компьютерных |
|
Применяют фотосъемку, отра |
|
преступлений |
|
|
Составляют промежуточный акт о результатах |
|
|
жающую результаты поиска |
|
применения аппаратно-программных модулей |
|
Изготовляют чертежи, эскизы, |
|
обнаружения электронных устройств ведения ра |
|
планы и схемы, поясняющие |
|
диоэлектронной разведки на месте происшест |
|
процесс поиска |
|
вия, к которому могут прилагаться отчеты, сгене |
|
|
|
рированные программны м обеспечение м |
|
|
|
Рис. 3.3.2 |
|
! |
|
Понятые |
! |
I I I I I I I I I I I I I I I I I I I I I I I I I I I I I I E I . I I I I I I I I I I I I I I I I I I I I I I I I I i r
; |
Удостоверяют результаты физической фиксации |
| |
; |
_ _ _ I _ _ I I . 1 _ ........ . .........!_........ ............._11_ I I I I I I I I I * |
|
Присутствуют при применении аппаратно-программных модулей и удостоверяют факты, |
; |
|
|
содержание и результаты действий следователя и специалистов на месте происшествия_ |
; |
Рис. 3.3.2
В результате фиксации следовой информации о попытках ведения пре ступниками радиоэлектронной разведки в протокол осмотра места проис шествия помимо обязательных данных следователем должны быть занесены еще такие:
■наименование примененных аппаратно-программных модулей;
■условия и порядок их использования;
■перечень объектов, к которым применялись модули;
■перечень полученных результатов;
■список прилагаемых документов (чертежи, эскизы, планы, схемы).
При необходимости до получения заключения эксперта по поручению следователя специалистом составляется промежуточный акт применения
аппаратно-программных модулей. К акту прилагаются отчеты, сгенериро ванные программным обеспечением.
К протоколу осмотра места происшествия прилагаются обнаруженные уст ройства. Процесс поиска обязательно сопровождается видеозаписью, найден ные устройства фотографируются по правилам детальной фотосъемки.
Рис. 3.3.3
§3.3. Особенности фиксации следовой информации
одействии вредоносных программ в ходе осмотра компьютерных систем и их сетей
Схематично они представлены на рис. 3.3.4-3.37.
По нашему мнению, наилучшим свидетельством проникновения вируса является физическая копия зараженной системы, а также дискеты с копиями зараженных файлов. Используемые специалистом (экспертом) носители должны быть предварительно проверены на отсутствие вируса и механиче ски защищены от случайной записи после производства резервного копиро вания файлов серверов и рабочих станций.
Поскольку исследуемая система может быть заражена вирусом и его распространения на другие машины допустить нельзя, для каждой ЭВМ специалисту во время осмотра компьютерных систем (эксперту - при про ведении экспертного исследования), их сетей и периферийного оборудова ния необходимо использовать ранее не задействованные носители.
Специалисты по поручению следователи
Осуществляют фиаичесхую фикса цию наиболее сущ ественнь/х призна ков и свойств
Проводят резервное копирование фай лов серверов и рабочих станцкм
Применяют видеосъемку, детально от ражающую процесс фиксации и реак цию участников осмотра
Готовят к изъятию предыдущие ре зервные копии данных субъекта хозяй ствования
Создают физические копии зараженной системы
Копируют зараженные файлы на соб ственные носители
Наносят на носители ярлыки Защищают носители от случайной записи
Осуществляют оказание помощи в обле чении результатов фиксации в процессу альную форму
Оказываетпомощь следователю в списывании в протоколе осмотра места происчвствия, обна ружение еледов-гредметов и следовотображений, описанныхв криминалилтесюй характеристик юшькзтернях преступлений
При наличии возможности непосредственного сравнения дэнтьк с резервной копией оказыва ют помощи следователю в отражении в протоко ле: а) изменений размеров исполняемых файлов на дисках; б) умегъцвния объемов свободной оперативной памяти; в] появления кластеров магнитных носителей, помеченныхкакнеис
пользуемые; г) изменения приемника информа ции, назначенного системой; д) появления неиз
вестно файлов; е] стирания отдетъной инфор мации на диске или его форматирования; ж} замены первьк либо последило байтов блока при загиси; з) замены отделныхеигеолов
Составляет акт о резутътатахприменения про граммных модален обнаружения вирусов и вре доносных программ на месте троисиествия, к которому могут прилагаться отчеты, сгенериро ванные использованным программным обеспе чением; к акту прилагаются резервные копии компьютерных систем и носителис копиями за-
раженных файлов
Рис. 3.3.4
Зараженные файлы должны быть скопированы на собственные носители. При производстве копирования можно предложить для специалиста (экс перта) следующие рекомендации:
1)вести как можно более точные записи своих действий, отмечая их да ту, время, последовательность, а также местонахождение ЭВМ;
2)при выявлении вирусов сектора начальной загрузки или составных вирусов следует убедитЬся в том, что используемые носители заразились, произведя их немедленное тестирование;
3)на носители необходимо нанести ярлыки с соответствующими по метками, а именно:
•названием обнаруженного вируса (если он был идентифицирован во время проведения тестирования);
•датой копирования;
•фамилией и инициалами лица, обнаружившего вирус;
•номером дискеты;
4) использованные носители защищаются от случайной записи:
•при проведении осмотра они (в присутствии понятых) опечатывают ся следователем для того, чтобы в дальнейшем являться процессу альной гарантией того, что следы, изъятые с места происшествия, яв ляются именно теми, которые были обнаружены в ходе проведения осмотра;
Г |
Понятые |
I |
• |
Удостоверяют результаты физической фиксации |
« |
[ |
: : : : : : : : : : : |
|
Присутствуют при применении програминых модулей обнаружения вирусов и вредо- |
| |
|
I носных программ и удостоверяют факты, содержание и результаты действий следователя |
■ |
|
J |
и специалистов на месте происшествия |
[ |
|
Рис. 3.3.5 |
|
•при проведении экспертного исследования непосредственно на месте
происшествия в своем заключении эксперт указывает, для проведе ния каких дополнительных исследований зафиксирована и изъята информация на носителе;
5) в любом случае количество копий должно быть не менее двух:
•для использования в качестве источника доказательства;
•для последующей работы эксперта.
В результате фиксации следовой информации следователь дополняет фотокол осмотра места происшествия следующими данными:
■наименованием примененных антивирусных и вирусодетектирующих
программных средств;
*условиями и порядком их использования;
■перечень ЭВМ, к которым применялись указанные программы; " перечнем полученных результатов;
■порядком и условиями применения видеосъемки.
Врезультате применения антивирусного и вирусодетектирующего про граммного обеспечения специалистом по поручению следователя может быть составлен акт, к которому прилагаются отчеты, сгенерированные про граммным обеспечением.
Носители информации, содержащие данные, полученные при резервном копировании и копировании зараженных программ, либо кода вируса под робным образом описываются в протоколе осмотра места происшествия в соответствии с рекомендациями, изложенными выше.
Рис. 3.3.6
Особенное™ фиксации следовой информации о действии вредоносных программ в Mine фовенемля экспертного исследоватя комгыотергы х систем и их сетей непосредетвенно ю месте фоисшествия
— ---- |
Эксперт |
■- |
I |
) Осуществляет физическую фиксаирю наиболее существенных признаков и свойств ]
' .......................
__________ Проводит резервное копирование файлов се рверое и рабочих станций__________
Готовит к изъятию предыдущие резервные копии данных субъекта хозяйствования
____________________ Создает физические копии зараженной системы_________________
Копирует зараженные файлы на собственные носители
______________________________Наносит на носитегм ярлыки _______________
_______________________ Защищает носители от случайной записи________________________
Описывает в своем заключении обнаруженные следы-предметы и следы-отображения1*
При наличие возможности непосредственного сравнения данных с резервной копией описывает в своем заключении факты
■ из менения раз меров исполн яемых файлов на дисках; ■ у меньшения объе мов свободной оп еративной памяти,
*появл ения кластеров магнитных носителей, помеченных как неисп ользу емые, ■ из менения приемника инф орнации, назначенн ого систе мой,
*появления неизвестных файлов;
■ стирания отдельной информации на диске или его форматирование; ■ замены первых ш б о последних байтов блока при записи,
1 замены отдельных символов______________________________________________________
Отражает в своем заключении иные результаты применения программных моделей, обнаружения вирусов и вредоносных программ, к заключению могут прилагаться отчеты, сгенерированные использованным программным обеспечением, резервные изпии компьютерных систем и носители с копиями зараженных файлов, при этом может быть указано, для проведения каких дополнительных экспертиз произведена фиксация
и изъятие данных копий
Рис. 3.3.7
§ 3.4. Особенности фиксации следовой информации при проведении аудита компьютерных систем в ходе осмотра компьютерных систем и их сетей
Эти особенности схематично отражены на рис. 3.3.8-3.3.11.
Специалисты попоручению следователя
I |
" . Г " — |
1 |
|
Осуществляют физическую фиксэщло наи |
Осуществляют оказание помощи в |
||
более существенных признаков и свойств |
облечении р езулыпатов фиксации в |
||
I |
|
процессуальную форму |
....... |
|
I.......... |
||
Применяют фотосъемку» видеосъемку ис |
Оказывают помощь следователю |
||
ходного расположения компьютерных сис |
в списывании в протоколе осмотра |
||
тем, их компонентов, а также наиболее суще |
места происшествия, исходного рас |
||
ственных особенностей помещений и пред |
положения компьютерных систем, их |
||
метов внутри них |
|
компонентов, назначения, техниче |
|
Применяют видеосъемку, детально отра |
ских характеристик, свойств |
||
жающую процесс фиксации и реакцию участ |
и статуса |
|
ников осмотра
Изготовляют схему размещения и соедине ния компьютерного (при необходимости ино го офисного) оборудования и периферийных устройств
Копируют на собственные носители регист рационные файлы, файлы конфигураций, журналы событий защиты, наносят на носи теле ярлыки, защищает используемые носите ш от случайной записи________
Если программа, используемая для проверки работоспособности аппаратных средств по мещает результаты проверки в файл, убеж даются, что он записывается на дискету,
а не на жесткий диск
Производят распечатку на печатающем уст ройстве Например, принтере) результатов работы программных модулей
Осуществляют преобразование выявленных частей файлов в файлы и помещают ж на собственные носители, наносят на носители ярлыки, защищают используемые носители от случайной записи
При налички возможности непосред ственного сравнения данных с ре зервной копией оказывают помощь следователю в отражении в протоко ле: а) снижение производительности компьютерных систем;6) нарушение работоспособности операционных систем; в) отказ систем в выполне нии определенных функций; г) об ращение к внешним устройствам в те периоды, когда по логике работы программного обеспечения обраще ний к ним не предусмотрено или они должны быть менее продолжительны
Составляют акт о результатах аудита компьютерных систем на месте про исшествия, к которому могут прила гаться отчеты, сгенерированные ис пользованным программным обеспечением; к акту прилагаются копии на электронных носителях, полученные при проведении
физической фиксации ____
Рис. 3.3.8