Компьютерно-сетевая экспертиза

Компьютерно-сетевая экспертиза является одним из видов компьютерно-технических исследований. Данный тип анализа во многом аналогичен программно-компьютерной экспертизе, однако акцент в работе эксперта смещен на исследование деятельности пользователя в сети. То есть, в первую очередь, производится анализ действий человека, осуществляемых через компьютерные сети. Для проведения компьютерно-сетевой экспертизы эксперту необходимо обладать специальными знаниями в области сетевых технологий, чтобы эффективно отслеживать передвижение информационных пакетов через анализ информационного следа. Понимание принципов функционирования сетей позволяет объединить все отдельные объекты, полученные в ходе расследования, и данные о них в общую доказательную базу. Это позволяет наиболее эффективно решать поставленные задачи экспертизы.

Компьютерно-сетевая экспертиза в первую очередь рассматривает функциональные возможности компьютерных систем, использующих сетевые технологии. Часто с помощью этого исследования собираются доказательства в делах, связанных с интернет-технологиями. Объектом изучения являются информационно-компьютерные сети и обнаруженные следы сетевой активности пользователя. При расследовании преступлений, совершенных через интернет и не имея доступа к компьютеру правонарушителя, доказательства можно получить путем анализа информационных следов в сети. В таких ситуациях применяется компьютерно-сетевая экспертиза.

Важно отметить, что этот вид исследования используется не только при раскрытии различных преступлений. Компьютерно-сетевая экспертиза позволяет оценить эффективность работы сетевой системы, определить возможность изменений в рабочем процессе системы, предложить способы модернизации организованной сетевой системы путем обновления компонентов системы или улучшения структуры ее функционирования. Во многих случаях исследование отдельных персональных компьютеров или даже целых сетей по отдельности не дает положительного результата, так как данные в сетевой работе хранятся разбросанно, а многие процессы организованы с применением сетевых технологий.

Задачи, которые решает компьютерно-сетевая экспертиза

Круг задач, решаемых компьютерно-сетевой экспертизой, заключает в себе исследование программных средств сети, персональных компьютеров с доступом в интернет, а также крупных компьютерных систем, организованных сетевым образом и подключенных к интернету. Задачи при проведении исследования зависят от представленного анализу набора объектов и целей, которые ставят перед экспертизой. Эксперт по компьютерно-сетевой экспертизе в общем случае решает следующие задачи:

• Выявление связей между использованием конкретных сетевых объектов и результатами их функционирования.
• 2. Анализ событий, произошедших в сети – выявление обстоятельств и механизма действия, исходя из полученных данных. Происходит исследование распространения вредоносных программ через сеть, случаи несанкционированного доступа к данным и системам и т. д.
• Изучение отражений сети в информационных блоках носителей данных для выявления характеристик и состояния сети. Проводится анализ HDD, CD, USB-накопителей, дискет, RAID-массивов и прочего.
• Определение механизма изменения свойств сети и причин таких изменений.
• Обнаружение нарушений установленного режима использования сети, выявление запрещенного программного обеспечения.
• Определение начального состояния исследуемой сети и ее компонентов, анализ изменений, внесенных в ее структуру.
• Оценка текущего состояния сети или устройства, выявление физических дефектов, идентификация компонентов доступа и системных журналов событий.
• Выявление уникальных характеристик сетевой системы, ее конфигурации и типа архитектуры устройства.
• Проверка соответствия обнаруженных характеристик типовым для подобных сетевых систем.
• Определение принадлежности объекта к клиентской или серверной стороне сети.
• Определение характеристик отдельных компонентов сети – программных и аппаратных объектов, их функционального назначения и места в структуре сети.

Методы при проведении компьютерно-сетевой экспертизы

Компьютерно-сетевая экспертиза – достаточно новая область исследований, однако активно развивающаяся. С появлением новых сетевых технологий и программных решений методы их анализа постоянно модернизируются. Сегодня практически все используемые в сетевых системах технологии успешно анализируются и исследуются. Методика компьютерно-сетевой экспертизы базируется на следующих принципах:

• Методы, основанные на классификации протоколов.
• Алгоритмы распределенной обработки данных.
• Исследование маршрутов и коммутации.
• Топологические методы исследования.
• Методы доступа.

Методы, опирающиеся на иерархию протоколов, используются для анализа работы сетей и сетевых систем посредством алгоритмов, управляющих их функционированием. Протоколы структурированы и подчиняются иерархии в соответствии с общей структурой компьютерной системы. Также учитываются приоритеты использования различных протоколов при обработке данных во время их передачи через сети.

Алгоритмы распределенной обработки данных, применяемые в компьютерно-сетевой экспертизе, основаны на концепциях мультимашинных и мультипроцессорных систем, которые в значительной степени различаются друг от друга. Однако, с развитием техники, грани между ними постепенно стираются. Все подходы этой группы основаны на изучении работы указанных мультисистем, в которых обычно выполняется ряд этапов работы:

• Обмен сообщениями между программами разных систем.
• Организация доступа к данным и ресурсам нескольких компьютеров, включая использование одних файлов несколькими машинами.
• Взаимодополняющие функции, выполняемые соединенными компьютерами при выполнении задачи.

Использование мультисистем значительно упрощает выполнение разнообразных задач в работе сетей, включая и незаконные или преступные. Однако такие технологии имеют свои слабые стороны, которые позволяют отслеживать их работу и идентифицировать злоумышленников. Например, обмен данными через пересылку файлов между компьютерами соответствует последовательной обработке данных. Многократные передачи файлов помогают установить связи между различными объектами и проследить путь для выполнения задачи.

Методы изучения маршрутизации и коммутации позволяют определить последовательность передачи данных через сеть. Сети организованы так, что пользователи соединяются через коммутаторы, а локальные сети связываются маршрутизатором. Данные, проходя через различные сегменты сети, оставляют след, который помогает отследить их путь.

Топологические методы компьютерно-сетевой экспертизы основаны на анализе иерархических структур сетей и систем. Они помогают определить роли и функции различных компьютеров и пользователей в работе сети.

Методы доступа направлены на изучение уровня защиты данных, безопасности и поведения пользователей с доступом к информации на распределенных хранилищах.

Норативно-правовая база при проведении компьютерно-сетевой экспертизы

Преступления, связанные с компьютерной информацией, а также наказания за них, закреплены в главе 28 Уголовного кодекса РФ. Эта глава включает в себя три статьи, охватывающие все виды правонарушений в области компьютерных и сетевых технологий на сегодняшний день:

• Незаконный доступ к защищенной информации, хранящейся в компьютере, компьютерной системе или на носителях данных (статья 272).
• Создание, распространение и использование вредоносных программ, наносящих ущерб работе компьютеров и сетей или злоупотребляющих ресурсами чужих компьютеров и сетей в преступных целях (статья 273).
• Нарушение правил использования компьютеров, компьютерных и сетевых систем (статья 274).