Березовська
Е.А.
Донецький
національний університет, Україна
Методичні
особливості судово-експертної діагностики захищеної комп'ютерної інформації
Аналіз
судово-експертної практики дослідження комп’ютерних засобів і систем вказує на зростання
потреби залучення спеціальних знань з наукових областей, що прямо не входять в
галузь спеціальних пізнань судово-технічної комп’ютерної експертизи (СКТЕ). Так,
наприклад, у справі з отриманням доступу до захищеної комп'ютерної інформації.
Слід помітити, що кількість виникнення подібних експертних ситуацій має
тенденцію до зростання як і рівень професійної підготовки користувачів, комп’ютери
яких поступають на СКТЕ.
Експертними задачами
у вказаних випадках є: зняття парольного захисту, отримання доступу до закодованих
даних (які виявлені в ході експертизи), розшифровка інформації з пошкодженою
структурою даних, діагностика різних криптографічних алгоритмів, програм і
апаратних засобів. Цей напрям експертної діяльності тісно пов’язаний із
самостійною галуззю досліджень – криптографією і захистом інформації. Проте, в
рамках комплексної побудови основ методичного забезпечення СКТЕ видається
доцільним розглянути ряд найважливіших питань з вказаної області.
Раніше вже
розглядався достатньо детально матеріал, необхідний для проведення правильної
діагностики застосованих засобів захисту інформації в досліджуваному об'єкті СКТЕ
і визначення шляхів формування доказової бази по злочину, що розслідується. На
сьогоднішній день розроблено декілька типів захисту даних: апаратні, програмні,
апаратно-програмні і інші. В ході виробництва експертизи експерт у принципі
може зустрітися з будь-якою з вказаних систем. У зв'язку з цим у відобразимо
лише малу частину досліджуваних питань, що представляють найбільший інтерес
зважаючи на свою специфіку.
Час і об’єми
проведення СКТЕ об'єктів з різними видами обмеження доступу до криміналістично значущої комп'ютерної інформації можуть
бути дуже великі. Тому в подібних ситуаціях велике значення набуває задача
діагностики використаних засобів захисту, а безпосередній доступ до виявлених
зашифрованих даних може дістати пізніше іншими шляхами і засобами. Тут на перше
місце, спираючись на одержані висновки СКТЕ, можуть вийти такі слідчі дії як
допит обвинуваченого, або слідчий експеримент, що можуть надалі надати нові
початкові дані для додаткової СКТЕ.
Отже, судовий експерт
СКТЕ в своїй діяльності може зустрітися із слідами використовування різних
криптографічних засобів захисту комп'ютерної інформації. Якщо на експертизу
поступив об'єкт, інформація на якому вимагала професійної якості
зашифровуваної, то швидше за все для цього був використаний пакет PGP. Ну а
якщо об'єктом експертизи є комп’ютер Macintosh або комп’ютер з операційною
системою UNIX, то альтернативи PGP там просто немає. Великий популярність через
свою надійність користується засіб BestCrypt NP. Але
ця утиліта не використовує алгоритми з відкритим ключем. Тому цей захист може зустрічатися
частіше за все у локальних користувачів, вирішальних свої задачі в
індивідуальному порядку.
Якщо комп'ютер був
вилучений в якому-небудь малому офісі і захист там потрібно була тільки від
колег і відвідувачів, швидше за все в ньому використовувалася програма CodedDrag. Це дуже зручна програма і має багато
прихильників серед офісних працівників. Програма Secur-all
3.2 дуже повільна, а міжнародна версія SecurPC, дуже
урізана, тому вірогідність виявлення її на досліджуваному комп'ютері невисока.
Якщо в досліджуваному
комп'ютері як ОС інстальована лише MS DOS, то для захисту необхідних даних
користувач, швидше за все використовував програму Diskreet
з комплексу Norton Utilites
або варіант PGP для DOS. Останній є командно-рядковою програмою з синтаксисом,
схожим на архіватор ARJ. Недолік PGP для DOS полягає
в тому, що паролі потрібно вводити безпосередньо в DOS-запрошенні, внаслідок
чого вони виставляються на загальний огляд. Цей факт може бути цілком
використаний при проведенні додаткових слідчих дій з метою виявлення паролів
доступу до криміналістично значущої інформації.
Основні методичні
рекомендації з діагностики програмно-захищених об'єктів СКТЕ полягають в
проведенні ретельного аналізу всього проінстальованого
в комп’ютері програмного забезпечення (в першу чергу, за системним реєстром).
Мета аналізу – виявлення ознак використовування спеціальних засобів
криптографічного захисту. Наявність серед системного або прикладного
програмного забезпечення якого-небудь із згаданих, або інших, криптографічних
програм повинне послужити приводом для детального перегляду всієї файлової
системи і виявлення файлів із специфічними розширеннями. Тільки отримання
достатньої сукупності діагностичних ознак дозволить експерту СКТЕ сформулювати
категоричний висновок про використовування конкретного програмного засобу для
захисту комп’ютерної інформації на досліджуваному об'єкті.