Informatyka kryminalistyczna
Fragment książki:
Ewa Gruza, Mieczysław Goc, Jarosław Moszczyński, Kryminalistyka – czyli rzecz o metodach śledczych, Wydawnictwa Akademickie i Profesjonalne, Warszawa 2008.
Informatyka kryminalistyczna zajmuje się badaniem nowych form i metod popełniania przestępstw komputerowych, wykrywaniem i zapobieganiem przestępczości komputerowej oraz wykorzystaniem technik komputerowych w różnego rodzaju badaniach kryminalistycznych i prowadzeniu baz danych.
Przestępczość komputerowa obejmuje wszelkie zachowania przestępcze związane z funkcjonowaniem elektronicznego przetwarzania danych, godzące bezpośrednio w przetwarzaną informację, jej nośnik i obieg w komputerze oraz całym systemie połączeń komputerowych, a także w sam sprzęt komputerowy oraz prawa do programu komputerowego. Są to zarówno czyny popełniane z użyciem elektronicznych systemów przetwarzania danych, jak i skierowane przeciwko takim systemom. O przestępstwach komputerowych można mówić zarówno w aspekcie materialnoprawnym, jak i procesowym. W pierwszym przestępstwa komputerowe oznaczają zamachy skierowane na systemy, dane i programy komputerowe lub posługiwanie się elektronicznymi systemami informacji do naruszania dóbr prawnych tradycyjnie chronionych przez prawo karne. Pojęcie przestępstw komputerowych w aspekcie karnoprocesowym wiąże się z tym, że system komputerowy może zawierać dowody działalności przestępczej.
Przestępstwa komputerowe zaistniały w okresie, gdy komputery przestały być ściśle strzeżoną domeną zamówień rządowych i stały się dostępne dla instytucji o charakterze gospodarczym. Można zatem przyjąć, że komputerowe przestępstwa gospodarcze pojawiły się wraz z powstaniem komputerów drugiej generacji (po wynalezieniu tranzystorów, pierwsza połowa lat pięćdziesiątych). Jednakże upowszechnienie się przestępstw komputerowych należy wiązać z komputerami trzeciej generacji (wykorzystanie układów scalonych, druga połowa lat sześćdziesiątych).
1. Rodzaje przestępstw komputerowych
Wśród przestępstw komputerowych U. Sieber wyróżnił:
1. przestępstwa związane z naruszeniem ochrony danych (np. tajemnicy urzędowej, bankowej, zawodowej, danych osobowych);
2. przestępstwa gospodarcze z użyciem komputerów:
a) manipulacje komputerowe: operacje rozrachunkowe i bilansowe, nadużycia kart bankomatowych i innych środków płatniczych, manipulowanie stanem kont bankowych, nadużycia telekomunikacyjne
b) sabotaż i szantaż komputerowy
c) hacking komputerowy
d) szpiegostwo komputerowe
e) kradzież oprogramowania i inne formy piractwa dotyczące produktów przemysłu komputerowego
3. inne rodzaje przestępstw:
a) rozpowszechnianie za pomocą komputerów informacji pochwalających użycie przemocy, rasistowskich i pornograficznych
b) użycie techniki komputerowej w tradycyjnych rodzajach przestępstw
H. Cornwall wydzielił następujące grupy przestępstw komputerowych:
1. niemożliwe do dokonania poza środowiskiem komputerowym:
a) manipulacje dokonywane za pomocą komputera na zbiorach danych i oprogramowaniu
b) zamachy na urządzenia systemu informatycznego oraz ich kradzież
c) kradzież materiałów eksploatacyjnych systemów komputerowych
d) hacking
2. ułatwiane przez stosowanie komputerów:
a) oszustwa (fałszowanie danych wejściowych, wykorzystywanie tzw. martwych dusz, realizacja fikcyjnych inwestycji)
b) fałszerstwa i podszywanie się pod cudze nazwisko
c) kradzież informacji
d) podsłuch
3. popełniane przy biernym udziale komputerów (np. oszustwa lub wyrządzanie szkód w interesach gospodarczych oraz prywatnych)
4. dokonywane przez profesjonalnych przestępców z wykorzystaniem komputerów
W Interpolu przyjęto następującą klasyfikację przestępstw komputerowych:
1. naruszenie praw dostępu do zasobów, a w szczególności
a) hacking
b) przechwytywanie danych
c) kradzież czasu
2. modyfikację zasobów za pomocą bomby logicznej, konia trojańskiego, wirusa i robaka komputerowego
3. oszustwa przy użyciu komputera, a w szczególności:
a) oszustwa bankomatowe
b) fałszowanie urządzeń wejścia lub wyjścia (np. kart magnetycznych lub mikroprocesorowych)
c) oszustwa poprzez podanie fałszywych danych identyfikacyjnych
d) oszustwa w systemie sprzedaży
e) oszustwa w systemach telekomunikacyjnych
4. powielanie programów, w tym:
a) gier we wszystkich postaciach
b) wszelkich innych programów komputerowych
c) topografii układów scalonych
5. sabotaż zarówno sprzętu, jak i oprogramowania
6. przestępstwa dokonywane za pomocą BBS-ów
7. przechowywanie zabronionych prawem zbiorów
8. przestępczość w sieci Internet
2. Metody ataków w cyberprzestrzeni i ich wykonawcy
Komputery podłączone do sieci komputerowej narażone są na różnego rodzaju ataki, mające na celu m.in. uszkodzenie ich oprogramowania, zniszczenie lub wykradzenie danych, dokonanie w nich niepożądanych zmian, uniemożliwienie prawidłowego funkcjonowania, wykorzystywanie ich mocy obliczeniowej itp. Do tego rodzaju ataków wykorzystywane są np.: wirusy komputerowe, robaki komputerowe, konie trojańskie, bomby logiczne, e-mail bombing, sniffing, spoofing, DDoS, SYN Floyd.
Wirus komputerowy jest to samoreplikujący się program komputerowy, umieszczony w innym programie (nosicielu). Posiada on zdolność oddziaływania na dowolny element systemu komputerowego, a w szczególności:
1. wyświetlania nietypowych obrazów na ekranie (rysunków, znaków albo napisów)
2. zakłócania, zmieniania lub usuwania plików danych użytkownika (np. kasowanie danych, oznaczenie miejsc na dysku jako „uszkodzone”, przez co zmniejsza się użyteczna przestrzeń dysku, uszkadzanie programów)
3. zakłócania lub oddziaływania na porty komunikacyjne (np. wymiana bajtów i zakłócanie danych w połączeniach modemowych, inicjowanie „fałszywych” połączeń telefonicznych, zmiana położenia lub kierunku działania myszki, niewłaściwy obraz na ekranie monitora itp.)
4. spowalniania pracy systemu komputerowego (np. modyfikowanie przerwań sprzętowych)
5. powodowania fizycznych uszkodzeń podzespołów systemu komputerowego
Robak komputerowy to podstawowe narzędzie włamań serwerowych. Paraliżuje on kolejne warstwy systemu w celu przejęcia uprawnień administratora węzła sieciowego. Jest podobny do wirusa, ale wytwarza swoje kopie w całości bez potrzeby istnienia programu nosiciela. Robaki komputerowe wypełniają także pamięć komputera dużą ilością przypadkowo generowanych danych, co powoduje spowolnienie lub zatrzymanie komputera.
Koń trojański (trojan) jest oprogramowaniem, które podszywając się pod przydatne lub ciekawe dla użytkownika aplikacje dodatkowo implementuje niepożądaną, ukrytą funkcjonalność. Koń trojański może być ukryty wśród instrukcji w systemie operacyjnym oraz w powszechnie stosowanych programach użytkowych, gdzie oczekując na wykonanie docelowego programu, umieszcza w nim dodatkowe instrukcje i usuwa je, nie pozostawiając śladów. Efektem działania konia trojańskiego może być np. wymazywanie bazy danych, formatowanie dysku, inwigilacja systemów szyfrujących lub podsłuch. Konie trojańskie rozprzestrzeniają się za pomocą poczty elektronicznej lub poprzez wejście na zainfekowaną stronę internetową.
Bomba logiczna jest fragmentem kodu programu komputerowego (np. w postaci wirusa lub robaka), który po zainstalowaniu na danym komputerze może przez dłuższy czas pozostawać nieaktywny. Aktywuje go spełnienie określonych warunków w postaci np. określonej daty lub godziny, uruchomienia przez użytkownika określonej aplikacji, obecności określonych plików czy zalogowania się określonego użytkownika. Aktywowana bomba logiczna może realizować różne działania, takie jak: skasowanie danych, zmiana haseł, zawieszenie systemu, przejecie kontroli nad komputerem i inne.
E-mail bombing polega na zapchaniu serwera pocztowego ogromną liczbą wiadomości wysyłanych do określonego adresata z wielu miejsc, w tym samym czasie, z wykorzystaniem specjalnych programów generujących te wiadomości. W rezultacie następuje zablokowanie poczty elektronicznej.
Backdoor jest luką w zabezpieczeniach systemu, utworzoną umyślnie w celu późniejszego wykorzystania. Backdoor może być pozostawiony przez crackera, który włamał się przez inną, chwilowo istniejącą lukę w oprogramowaniu, bądź przez podrzucenie użytkownikowi konia trojańskiego. Utworzony backdoor ułatwia późniejsze ataki.
Sniffing (podsłuch) polega na uzyskaniu dostępu do sieci, wymuszając zaakceptowanie swojego adresu IP jako adresu sieciowego. Atakujący przejmuje najpierw kontrolę nad komputerem pracującym w sieci, odłącza go z niej i sam podaje się, w jego miejsce, za uprawnionego użytkownika. Istnieją specjalne programy sniffers, które po zainstalowaniu się w sieci, do której nastąpiło włamanie, monitorują w niej ruch i przechwytują początkowe sekwencje bajtów każdej sesji, które zawierają identyfikatory i hasła użytkowników.
Phishing (spoofing, maskarada) polega na podstępnym poufnej informacji osobistej, np. hasła lub szczegółów dotyczących karty płatniczej, przez udawanie instytucji (osoby) godnej zaufania, której pilnie potrzebne są te informacje. Jest to rodzaj ataku opartego na inżynierii społecznej. Przykład: tzw. pisher wysyła spam do wielkiej liczby potencjalnych ofiar i informuje o konieczności reaktywowania konta bankowego. W tym celu kieruje odbiorców na stronę w sieci, która udaje rzeczywisty bank internetowy i prosi o wejście na nią w celu potwierdzenia określonych danych. W rezultacie przechwytuje wpisywane tam przez ofiary ataku poufne informacje.
Pharming jest bardziej niebezpieczną oraz trudniejszą do wykrycia formą pishingu. Oszust wykonuje dodatkowo atak na serwer DNS w celu skojarzenia prawdziwego adresu URL z serwerem www podrobionej strony.
SMiShing (pishing sms-owy) jest atakiem podobnym do pishingu, polegającym na rozsyłaniu SMS-ów, które mają skłonić ofiarę do podjęcia określonego działania, np. wzięcia udziału w jakiejś grze lub wejścia na określoną stronę internetową, co skutkuje zazwyczaj poniesieniem pewnych kosztów lub zainfekowaniem komputera (w przypadku wejścia na wskazaną stronę internetową).
IP spoofing polega na fałszowaniu adresów IP w wysyłanym przez komputer pakiecie sieciowym w celu ukrycia tożsamości atakującego, podszycia się pod innego użytkownika sieci i ingerowanie w jego aktywność sieciową lub wykorzystanie uprawnień posiadanych przez inny adres. Technika ta ma na celu obchodzenie zabezpieczeń, jakie wprowadzają na danym serwerze administratorzy sieci wewnętrznej, co umożliwia atakującemu przechwytywanie wszystkich danych, które miały trafić do uprawnionego komputera.
DDoS (Distributed Denial of Service) polega na wykonaniu ataku na system komputerowy lub usługę sieciową w celu uniemożliwienia działania poprzez zajęcie wszystkich wolnych zasobów. Atak przeprowadzany jest równocześnie z wielu komputerów, najczęściej takich, nad którymi przejęto kontrolę. Sieć takich komputerów nazywana jest botnetem, poszczególne zaś zainfekowane komputery noszą miano zombi. Na dany sygnał komputery zaczynają jednocześnie atakować system ofiary, zasypując go fałszywymi próbami skorzystania z usług, jakie oferuje. Dla każdego takiego wywołania komputer musi przydzielić pewne zasoby (pamięć, czas procesora, pasmo sieciowe), co przy bardzo dużej ilości żądań prowadzi do wyczerpania dostępnych zasobów, a w efekcie do przerwy w działaniu lub nawet zawieszenia systemu. Groźba ataku DDos bywa czasami używana do szantażowania firm, np. serwisów aukcyjnych, firm brokerskich i innych, gdzie przerwa w działaniu systemu transakcyjnego przekłada się na bezpośrednie straty finansowe firmy i jej klientów.
SYN flood polega na wysyłaniu dużej ilości pakietów z ustawioną w nagłówku flagą synchronizacji (SYN) i najczęściej ze sfałszowanym adresem IP nadawcy. Pakiety TCP z ustawioną flagą SYN służą do informowania zdalnego komputera o chęci nawiązania z nim połączenia. Podczas takiego ataku serwer, który otrzymał pakiet z flagą SYN, odpowiada zgodnie z zasadami protokołu TCP wysyłając potwierdzenie (ACK) do komputera, który nie zamierzał nawiązywać tego połączenia. Powoduje to przesyłanie dużych ilości danych i obciąża łącze sieciowe.
Przestępców komputerowych najczęściej określa się mianem hacker, co w slangu angielskim oznacza fanatyka komputerowego, a zwłaszcza takiego, który przez komputer osobisty włamuje się do innych systemów komputerowych. B. Landreth wyróżnia pięć kategorii hakerów:
1. nowicjuszy, których pociągają np. gry komputerowe czy zawartość zbiorów danych, natomiast ich działania w odniesieniu do systemów są nie do przewidzenia
2. analityków lub badaczy, zainteresowanych poznawaniem różnego rodzaju komputerów, bez czynienia jakichkolwiek szkód
3. turystów traktujących systemy komputerowe jak łamigłówki, do których nie powracają po ich rozwiązaniu
4. wandali, dążących umyślnie do wyrządzenia użytkownikom komputerów jak najwiekszych szkód
5. złodziei, działających na ogół na rzecz firm konkurencyjnych
Można spotkać także inne typologie hakerów: krakerzy, piraci i lanierzy.
Krakerzy metodycznie przeszukują Internet i po odnalezieniu interesującego ich miejsca w wybranym systemie komputerowym, pokonują zabezpieczenia oraz zmieniają prawa dostępu do katalogów w celu ich nieautoryzowanego użycia. Piraci kontynuują dzieło krakerów i kradną pliki z hasłami, zamieniają lub modyfikują programy, zostawiają wirusy i instalują „tylne drzwi”, co ułatwia później wejście do systemu. Lanierzy posiadają najmniejszy zasób wiedzy i w sposób krótkotrwały wspomagają pirackie ataki. Przestępcy (zwykli), wykorzystują techniki komputerowe jako narzędzie dowolnego przestępstwa, kierując się chęcią zysku lub motywami politycznymi.
