Рассмотрим компьютерно-технические следы, которые могут оставаться и при опосредованном (удаленном) доступе в сети Интернет, позволяющие установить лицо, совершившее неправомерный доступ к компьютерной информации, более подробно. 1. Данные о фирме-провайдере1. В свойствах электронного сообщения, полученного по электронной почте присутствует электронный адрес компьютера отправителя. В сети Интернет существует специальная служба Whois, предназначенная для установления провайдера, через которого произошел неправомерный доступ, для чего необходимо указать электронный адрес (IP) интересующего компьютера. Для связи с этой службой для европейской части сети существует сервис по адресу: www.ripe.net. 2. Время выхода абонента на связь и продолжительность его работы можно установить у провайдера по ведущемуся у него специальному логфайлу. 3. Номер телефона, с которого была установлена связь с провайдером. Следует иметь в виду, что не все провайдеры устанавливают устройства автоматического определения номера на свои телефоны, да и ГТС не всегда может предоставить подобную информацию, однако пренебрегать этими возможностями нельзя. Впрочем, не стоит забывать и о том, что существуют, и широко популяризированы через Интернет различные системы маскировки под другой номер, либо анти-АОНы. Но даже если удалось установить телефон, с которого был осуществлен звонок, это не всегда дает выход на конкретное лицо, поскольку к Интернету может быть подключена и локальная вычислительная сеть. В этом случае установить, с какого рабочего места был осуществлен сеанс связи, можно по лог-файлу сервера локальной сети с теми же ограничениями по времени. 4. Протокол выхода в Интернет с определенного компьютера. Он автоматически ведется на каждом компьютере, с которого возможен выход во 142 1Под провайдером понимается фирма, предоставляющая услуга по доступу в Интернетконкретным пользователям. |
копирование информации, нарушение работы ЭВМ, их системы или сети; устанавливается способ совершения преступления. Для этого с помощью специалиста в области компьютерных средств наблюдается действие программ, содержимое текстовых файлов и баз данных. При этом особое внимание следует уделить изучению имеющихся в большинстве компьютерных систем файлов регистрации. Какое бы событие ни произошло в системе, информация о нем (в том числе, кто инициировал его, когда и в какое время оно произошло, какие при этом были затронуты файлы) регистрируется в этих файлах. В частности, в файлах регистрации может получить отражение информация о паролях пользователей, их именах, идентификационных номерах. Впоследствии данная информация может быть использована для установления компьютера, с которого произошел неправомерный доступ ккомпьютерной информации. Большой информационной ценностью обладает протокол выхода в сеть Интернет с определенного компьютера. Он автоматически ведется на каждом компьютере, с которого возможен выход во всемирную сеть (количество дней его хранения определяется пользователем). Так же представляют интерес данные о пользователе электронной почты (фамилия, имя, отчество, дата и место рождения, место жительства, работы и пр.). В большинстве случаев добросовестный пользователь заинтересован в предоставлении достоверной информации для получения электронных сообщений. При этом специалист-криминалист производит поиск традиционных следов преступления, обращая внимание не только на наличие (отсутствие) физических повреждений компьютерной техники, магнитных носителей и т.п., но и на состояние окон, дверей и запорных устройствах на них. Если выясняется, что имел место непосредственный доступ к компьютерной технике и информации, то с помощью специалиста-криминалиста необходимо отыскивать следы пальцев рук, микрочастицы на клавиатуре, корпусе ЭВМ, мониторе, принтере и т.п. 125 |