Реферат на тему:


Воспользуйтесь поиском к примеру Реферат        Грубый поиск Точный поиск






Загрузка...
Компьютерная вирусология: криминалистическая классификация

Реферат

на тему

"Комп Компьютерная вирусология:

криминалистическая классификация "

Создание и обработка информации, в том числе и документированной, можно было бы, с точки зрения информатики, свести, в общем виде, к вербализации результатов анализа природы полученных сигналов и ее подготовки к передаче. Процесс создания (изготовления) информации является сложным действием, которая включает в себя различные операции, каждая из которых может оставлять идеальные и материальные следы. Понятно, что неточности при описании как термина создания (изготовления), так и процесса создания информации может существенно отразиться на описании криминальной деятельности.

Рассмотрим ситуацию на примере создания комп ютерних вирусных программ (далее КИП) для ЭВМ, имея в виду проблему в целом. Эта деятельность может включать в себя:

- постановку задачи, определение среды обитания и цели КИП;
- выбор средств и языков реализации КИП;
- написание непосредственного текста КИП;
- отладка КИП (проверка соответствия содержания информации поставленной задаче)
- запуск и непосредственное действие КИП (выпуск, предоставление информации) /

Действия по постановке задачи, определение среды обитания и цели программы, выбора средств и языков реализации программ могут найти отражение в показаниях свидетелей, документах библиотек, переписке, указывающие на заинтересованность субъектов объекта в данной проблематике. Действия по написанию непосредственного текста программы, ее отладки могут отразиться в черновиках на традиционных и магнитных носителях информации, в показаниях наблюдателей за процессом отладки или его результатами. Действия по запуску и непосредственной работы программы могут быть зафиксированы как в показаниях очевидцев, так и во время материального отражения вредных общественно опасных последствий. Каждая из этих элементарных действий при условии существования намерения создания контрольно существовании о объективно выраженных следов его существования могут быть предметом криминалистического исследования и уголовно-правовой оценки.

Аналогичным образом, как сложное действие, следует рассматривать и любой процесс создания информации от порнографических материалов в публичных призывов к решению Обязательства агрессивной войны. Способами совершения преступлений, основанные на создании (обработке и изготовлении) комп ютерной информации являются:
- создание КИП для ЭВМ, которые блокируют ЭВМ и (или) модифицируют информацию;
- создание КИП для ЭВМ, которые уничтожают, модифицируют информацию и (или) блокируют ЭВМ;
- создание КИП для ЭВМ для организации неправомерного доступа к чужим информационным ресурсам (банковских, страховых и т.д.).

Существуют различные классификации КИП. Но не все они имеют значение для криминалистических исследований, потому что создание таких классификаций чаще подчинено прикладным задачам обнаружения и уничтожения вирусов. Для криминалистики интересны данные, характеризующие последствия действий контрольно их наиболее явные проявления, позволяет зафиксировать результаты действий программ, например, в показаниях свидетелей.

Ранее в специальной литературе, посвященной "комп Компьютерная вирусологии" считалось, что в тех случаях, когда в результате действий "вирусов" происходят существенные разрушения файловой системы, уничтожение информации и т.д., "вирус" опасен. Если в результате его действия на экране, например, с являются стихи, ругань и т.д., "вирус" считается безопасным. Классификация, которую мы предлагаем, носит криминалистический характер, поскольку отражает признаки, имеющие значение прежде всего для криминалистической, а не уголовно-правовой оценки.

Первый класс КИП ( "безобидные инфекции") обладают свойствами самостоятельного размножения в системах и сетях ЭВМ, не всегда приводят к существенным последствиям для информационных ресурсов, хотя в некоторых случаях и модифицируют информацию, а иногда и блокируют ЭВМ, их сети и системы. Разработчик этого класса КИПне рассматривает свою деятельность как общественно-опасное, хотя о объективно она является. Так, например, 2 мая 1988 "безопасный вирус", который был запущен неизвестным лицом, сработал, и около 350 000 машин во всем мире после загрузки осветили на экранах сообщение "РЕАСЕ" ( "МИР"). После этого вирус уничтожил сам себя во всех системах. Сложнее дело обстоит состоялась с КПП "рождественская открытка" (вирусная программа типа "червь как" паразитический процесс, который истощает ресурсы системы). Эта программа распространялась через электронную почту и одновременно с демонстрацией поздравлений на экране тайно считывала данные о все адреса, которые имел абонент, и рассылала по этим адресaмы аналогичные сообщения. Данная КИП за очень короткое время заблокировала своими копиями электронную почту. Признак самостоятельного размножения отличает данный класс вредоносных программ от так называемой "спем" (spem) информации. Последняя представляет собой рекламные об Объявления, которые рассылаются по сетям ЭВМ без согласия получателей По оценкам специалистов, доля этого "мусора" составляет 10% всех сообщений электронной почты в мире.

Второй класс КИП ( "опасные инфекции») разрушают информационные системы и наносят существенный вред. Простейшим примером такой программы является программа, которая размножается сама под названием "SURPRISE", которая при запуске выполняет уничтожения всех файлов в директории, а затем выводит на экран надпись "SURPRISE" ( "СЮРПРИЗ!").

Третий класс КИП ( "инфекции проникновения") предназначен для организации неправомерного доступа к чужим информационным ресурсам. Известны случаи противоправного проникновения в ЭВМ показывают, что злоумышленники чаще вынуждены, прежде всего, менять различными способами, в том числе путем внедрения КИП, программные средства (или порядок их работы), которые обеспечивают взаимодействие ЭВМ между собой и с пользователем. Такие КИП, обеспечивающих вход в систему или привилегированный режим работы с ней, называется "люков" ( "back door") или "троянские программы". Работа такихпрограмм н связана с существованием в них наряду с внешней пользой, скрытого модуля, выполняющего различные, чаще вредные для пользователя, функции. Довольно часто эти программы распространяются как новые версии уже известных программных продуктов.

Разновидностью "троянских программ" есть "логические бомбы" и "бомбы с часовым механизмом". Работа вирусной программы начинается при определенных обстоятельствах наступлением любой даты, времени другой значительного события. Такие программы чаще используются обиженными сотрудниками как форма мести нанимателю. Известно, что во время проведения военной операции "Буря в пустыне" в Персидском заливе система ПВО Ирака оказалась заблокированной и не смогла адекватно реагировать на вторжение сил противника в воздушное пространство. Предполагается, что приобретенная во Франции вычислительная техника, которая обеспечивает системы ПВО Ирака "электронные закладки", которые блокировали работу вычислительной системы. К данному классу КИП следует отнести также многочисленные программные "изделия", предназначенные для снятия защиты от копирования коммерческих программных продуктов. Такие КИП приносят существенный вред авторам и распространителям программ и систем.

Проанализируем проблему использования КИП. Использование КИП предполагает использование разработанных другим лицом КИП при эксплуатации ЭВМ и обработки информации. Следует обратить внимание на признак санкционирования наступления вредных последствий во время действия КИП. Владелец информационного ресурса вправе в необходимых случаях (например, исследовательские работы по созданию антивирусных средств и т.д.) использовать компьютер Компьютерные вирусные программы. Понятно, что для квалификации действий как пользователя КИП необходимые доказательства того, что лицо раньше знала о свойствах программы, которую она использует, и последствиях ее использования. При этом достаточно, чтобы это лицо знала не обо всех вредных свойствах программы, а лишь о некоторых из них. Поэтому вызывают сомнения утверждение о том, что использование компьютера ютерной вирусной программы является выпускв свет, воспроизведение и другие действия по введению такой программы в хозяйственный оборот, так как такие действия больше характерны для создания программы. Внесение изменений вредного характера в существующую программу, которая превращает ее в вирусоносителя, как правило, н связано с модификацией программ, при определенных условиях может быть расценено как неправомерный доступ к комп ютерной информации.

Во распространением программ надо понимать предоставление доступа к воспроизведенной в любой материальной форме программы для ЭВМ или базы данных, в том числе сетевыми и иными способами, а также путем продажи, проката, сдачи внаем, предоставления займа, включая импорт для любой из этих целей. Это определение можно распространить и на КИП. Лица, которые совершили эти действия по неосторожности, то есть за легкомыслием или небрежностью, также подлежат ответственности. Например, лица, обнаружили "вирусную программу", но не предприняли необходимых мер к ее локализации, уничтожению и позволили ее дальнейшее распространение, должны быть привлечены к ответственности за свои действия.

Сложным для правовой оценки вопросом является проблема квалификации действий по отдельным видам борьбы с КИП. Разработанные для автоматизированной ликвидации КИП в системе Иnternet программы, "автоматически" распространяются в сети для уничтожения КИП во всех включенных в сеть ЭВМ. При этом, "вакцины", обычно без санкции владельца сети, меняют и модифицируют программы, которые существуют в системе.

Кроме очевидных, д связанных с демонстрационным эффектом, который является характерным для конкретной КИПиА, признаки, указывающие заражения программы, могут быть такими: изменение длины командного процессора (COMMAND.COM) сообщения об ошибках чтения (записи) во время чтения информации, во время загрузки программ с дискет и других внешних устройств; изменение длины и (или) даты создания программы; выполнение программы медленнее обычного; увеличение времени загрузки, зацикливания при загрузке; обращение к дискете и файлов на защищенх дисках, не имеют объяснения; потеря работоспособности некоторых резидентных программ и драйверов; аварийное завершение нормально функционирующих ранее программ; зависания и перегрузки системы, которые не имеют объяснения; уменьшение о объема системной памяти памяти или свободной памяти памяти после скачивания; резких уменьшение доступной дисковой памяти памяти, хотя файлы не добавлялись но не уничтожались; появление дополнительных скрытых файлов или других изменений файловой системы.

Стандартной реакцией пользователя в таких случаях повторный запуск ЭВМ, т.е. выключение и новое включение ЭВМ. При появлении этих признаков, пользователь, в зависимости от уровня своей компетентности и установленного обладателем или владельцем информационных ресурсов порядка использования ЭВМ, или пытается решить проблемы самостоятельно, либо обращается к администратору системы. Понятно, что в этот момент пользователь и администратор системы больше всего заинтересованы в восстановлении работоспособности системы и ликвидации потерь информации, чем фиксации признаков противоправных действия с ЭВМ. В этом случае выявления первых признаков комп ютерних преступлений в ходе расследования могут найти отражение в показаниях свидетелей (за исключением случаев, когда имеют место физические повреждения ЭВМ). Первые случаи проникновения в ЭВМ, где хранится не очень важная информация, посторонних лиц или КИП не вызывает у администратора активным действиям. Лишь повторение таких случаев инициирует активный поиск источника проблем и применения мер противодействия. Большинство современных операционных систем обеспечивают режим коллективного доступа к ресурсам отдельной ЭВМ и присоединения локальной ЭВМ к другим ЭВМ, перефирийных приборов и сетей ЭВМ. В составе таких операционных систем содержатся средства разделения ресурсов между отдельными пользователями (категориями пользователей) и средства контроля со стороны администратора системы за действиями конкретного пользователя в области ресурсов, которые ему предоставлены. Обладателям или владельцам информационных ресурсов, которые определяют порядок действий,целесообразно внутренними актами установить обязанность связь фиксации таких признаков.

Эффекты, которые могут быть вызваны КИПиА, квалифицируются по следующим основным категориям:

- отказ комп ютера от выполнения стандартной функции;
- выполнение комп ютером действий, не предусмотренных программой;
- разрушение отдельных файлов, управляющих блоков и программ, а иногда всей файловой системы (в том числе путем уничтожения файлов, форматирування диске и т.д.);
- выдача ложных, раздражающих, неприличных или отвлекающих сообщений;
- создание посторонних звуковых и визуальных эффектов
- инсценировка ошибок или сбоев в программе или в операционной системе, перегрузки или "зависания" программы или систем;
- блокирование доступа к системным ресурсам;
- имитация сбоев внутренних и периферийных аппаратных устройств;
- ускорение износа оборудования или попытки его повреждения.

При возникновении "вирусных" проблем с отдельной ЭВМ, входящая в состав сети, администратор сети пытается локализовать эту ЭВМ с целью недопущения распространения КИП в сети, выявления и ликвидации этой КИП. Одновременно осуществляется поиск источников проникновения КИП к ЭВМ. Частым случаем проникновения "вируса" в систему является работа пользователя с инфицированными дискетами. Поэтому адекватной реакцией администратора системы является физическое окончания работы всех пользователей системы с дисководами и требование проверки всех дискет, принадлежащих пользователям. Иногда последняя действие дает результат и за объяснением пользователя, принесший инфицированную "вирусом" дискету, удается установить, где именно произошло заражение. Успешное предотвращения заражения предусматривает сочетание методов безопасной обработки данных и привлечения третьей стороны, например, использование антивирусного продукта. С помощью специальных антивирусных программ представляется возможным идентифицировать КИП, то есть установить тип, а иногда и наименование КИП. В дальнейшем имеем абстрактную возможность проследитьшаг за шагом пути его "доставки" к конкретной ЭВМ.

На основании вышеупомянутого следует отметить, что для успешного предотвращения вируса необходимо сделать первый шаг узнать своего врага.


Список литературы:

1. Биленчук Д.П., Биленчук П.Д., Котляревский А.И. Комп компьютерный преступник: понятие, характеристика, классификация // Вестник АПСВ, 1998, №2. с.193-202
2. Биленчук П.Д., Котляревский А.И. Основы комп ютерной криминалистики // Криминалистика. Учебник. Киев, 1998. 416с.
3. Бачило И.Л. Правовое регулирование процессов информатизации // Гос. и право. - 1994. №12. с.72

Загрузка...