387

УДК 685.325.05 Э45

Отражены результатытеоретических и прикладных разработок в области электротехники, системных исследований и моделирования в науке, технике

иобразовании, электромеханических систем управления, промышленных АСУ, АСУТП, АСНИ, САИ, аппаратурного и программного обеспечения информаци- онно-управляющих систем, SCADA-систем, систем телекоммуникации и связи. Представленные материалы информируют о новейших программных и аппаратныхсредствах, опытеработыученыхэлектротехническогофакультетаПермского государственного технического университета, системной интеграции кафедрПермскогогосударственноготехническогоуниверситетаипромышленных предприятийрегиона. Приведеныобзорыинформационно-управляющихсистем

икомплексов, даны рекомендации по применению методического, аппаратного

ипрограммного обеспечения.

Результаты исследований могут вызвать интерес у широкого круга специалистов в области электротехники, современных систем автоматизации и управления, а также у студентов старших курсов и аспирантов соответствующих специальностей.

Редакционная коллегия:

В.В. Киселев, доцент, канд. техн. наук A.M. Костыгов, доцент, канд. техн. наук Н.Н. Матушкин, профессор, д-р техн. наук А.Б. Петроченков, доцент, канд. техн. наук Н.М. Труфанова, профессор, д-р техн. наук

Р.А. Файзрахманов, профессор, д-р экон. наук А.Г. Щербинин, профессор, д-р техн. наук (отв. редактор)

Рецензент – генеральный директор ЗАО «Энергокомплектсервис» доцент, канд. техн. наук Л.Г. Сидельников

Издано в рамках приоритетного национального проекта «Образование» по программе Пермского государственного технического университета «Создание инновационной системы формирования профессиональных компетенций кадров и центра инновационного развития региона на базе многопрофильного технического университета».

CИСТЕМНЫЕ ИССЛЕДОВАНИЯ

ИМОДЕЛИРОВАНИЕ В НАУКЕ, ТЕХНИКЕ

ИОБРАЗОВАНИИ

УДК 681.3.06

С.П. Артемов

Пермский государственный технический университет

ТРЕБОВАНИЯ К СИСТЕМЕ ПОДДЕРЖКИ ПРИНЯТИЯ РЕШЕНИЙ, ПРИМЕНЯЕМОЙ ПРИ ПРОВЕДЕНИИ СУДЕБНЫХ КОМПЬЮТЕРНО-ТЕХНИЧЕСКИХ ЭКСПЕРТИЗ

В современном информационном обществе все чаще возникает необходимость в судебно-кибернетической экспертизе. В статье рассматриваются предпосылки создания системы поддержки принятия решений (СППР) эксперта и описывается круг задач, решение которыхвозможносеепомощью.

Эксперту приходится решать множество разных задач, из которых многие являются рутинными. К тому же возникает противоречие: с одной стороны, многие задачи нельзя решить без экспериментального исследования, с другой стороны, методы исследований должны быть неразрушающими и состояние исследуемой системы не должно изменяться. Однако создание точной копии исследуемой системы для экспериментов требует затрат как материальных, так и временных. Иногда невозможно вскрыть исследуемый компьютер и извлечь носители информации. Запуск исследуемой системы может повлечь изменение или блокирование данных.

Такимобразом, созданиеСППРдляэкспертаявляетсяактуальным. Предполагается выполнить СППР в виде комплекса программных средств, включающих операционную систему, набор поддерживающих утилит, облегченную СУБД и пакет программ для решения

экспертных задач.

На территории РФ в основном распространены вычислительные системы на базе архитектуры i386, так что имеет смысл заточить комплекс под эту архитектуру. Подобные системы снабжены BIOS, который позволяет изменить процедуру начальной загрузки и выбрать для этого необходимый носитель, в том числе сменный. Сменные носители (CR-ROM, USB-Flash) теперь позволяют хранить объемы данных

4

порядка сотен MB, что вполне достаточно для функционирования такой системы. То есть достаточно подключить съемный носитель с СППР, установить его в качестве основного устройства для загрузки, и дальнейшая работа системы, в том числе и доступ к носителям, пойдет под управлением СППР.

Попытаемся определить задачи, решаемые СППР. В СКТЭ выделяются:

−аппаратно-компьютерная экспертиза;

−программно-компьютерная экспертиза;

−информационно-компьютерная экспертиза (данных);

−компьютерно-сетевая экспертиза.

Анализируя перечень вопросов, выносимых на СКТЭ, можно выделить задачи, которые приходится решать эксперту, а также средства, которые помогают в решении этих задач. Не будем рассматривать задачи, связанные с анализом аппаратных средств, рассмотрим только анализ программных средств и данных.

Эти задачи можно разделить на следующие группы:

Общая характеристика:

1.Составление перечня найденных данных (программных средств, файлов, системных журналов и т.д.).

2.Составление перечня устройств (логических и физических), входящих в состав аппаратного средства.

Для облегчения решения задач этой группы СППР должна содержать пакет типовых утилит. В том числе файловые, дисковые утилиты, антивирусное ПО, ПО для восстановления данных. Используя эти утилиты, можно автоматически создавать описание анализируемой системы. В том числе создавать описание файловой системы, обнаруженных логических устройств.

Анализ программных средств:

1.Анализ состояния программных средств (определение состава, оценка состояния, работоспособности).

2.Классификация программных средств (назначение, наименование, версия, реквизиты владельца, системные требования).

3.Поиск отклонений (изменение состава, модификация данных, признаки контрафактности).

Для облегчения решения подобных задач нужно включить в СППР базу данных программных средств, содержащую данные

5

о существующих программных средствах. В том числе реквизиты производителя, наименования и номера версий, описания структур данных, контрольные суммы файлов и т.д. На основании пополняемой базы данных существующих программных средств можно автоматически определять их наличие, классификационные признаки, признаки модификации и контрафактности.

Анализ структур данных:

1.Определение типов и назначения найденных файлов.

2.Типы и структура файловых систем.

3.Форматы хранения данных.

4.Анализ защищенности данных, определение содержимого защищенных данных.

5.Анализ целостности данных.

6.Поиск данных по заданному критерию.

Для этого СППР должна содержать средства, позволяющие осуществлять поиск данных в соответствии с заданными критериям, в том числе помогать формировать критерии поиска для типовых случаев. Проводить идентификацию данных статистическими методами или при помощи ключевых фрагментов и определять их классификационные признаки.

Анализ журналов:

1.Определение механизмов действий.

2.Определение хронологии выполненных действий.

3.Поиск признаков преодоления защиты.

Осуществлять поиск и анализ структуры журналов типовых программных средств. Осуществлять поиск событий в журналах по заданному критерию, в том числе помогать в формировании критерия для анализа типовых ситуаций.

Эвристический анализ:

1.Анализ используемых алгоритмов.

2.Анализ приемов, техник программирования.

3.Определение последствия использования программных средств.

4.Постановка эксперимента.

Для этого СППР должна помогать в постановке эксперимента. В том числе содержать типовые тесты для аппаратного обеспечения, пакеты программ для поиска и анализа типовых уязвимостей аппаратного и программного обеспечения.

6

Кроме того, СППР должна вести журнал действий эксперта и предоставлять средства их автоматического документирования. В том числе создавать соответствующие разделы отчета в соответствии с нормативными документами, снимать контрольные суммы исследуемых данных и обеспечивать их сохранность, предотвращать совершение экспертом ошибочных действий.

Предоставлять средства для пополнения собственных баз данных, что при наличии поддержки со стороны производителей программного и аппаратного обеспечения и наличия центра обмена данными обеспечило бы полноту и актуальность данных.

Получено 29.01.2007

7

УДК 681.3.06

С.П. Артемов

Пермский государственный технический университет

МЕТОДИКА ПРОВЕДЕНИЯ СУДЕБНО-КОМПЬЮТЕРНОЙ ЭКСПЕРТИЗЫ

Рассматриваются основные этапы и методы проведения экспертизы, ее назначение и условия.

Развитие современного общества в области информационных технологий привело к увеличению числа преступлений, преследуемых по закону. Такие преступления совершаются с использованием современной техники и знаний в области информационных и компьютерных технологий. Противозаконные действия злоумышленников могут быть направлены на большие промышленные предприятия, банковские системы, мелкие, средние и крупные фирмы-производи- тели программного обеспечения и технического оборудования, различные компании и другие образования и организации, в которых используется любая компьютерная техника. Противозаконность действий чаще всего связана с кражей информации – одного из самых дорогостоящих ресурсов в развитом информационном обществе. Наличие уникальной информации дает ее владельцу возможность использования ее с целью получения для себя какой-либо выгоды. Но не только кража информации будет являться информационным преступлением. Использование компьютерных средств и технологий для создания каких-либо противозаконных документов, хищение средств, незаконное копирование и распространение, несанкционированный доступ тоже преследуются по закону.

Для доказательства причастности обвиняемого к расследуемому делу, имеющему хоть какое-то отношение к информационным технологиям, привлекают специалистов этой области – экспертов. Такие специалисты должны иметь необходимые специальные знания и могут быть как государственными экспертами, так и независимыми. Эксперт проводит экспертизы различного образца и сложности в за-

8

висимости от совершенного преступления. Перед экспертизой в первую очередь ставятся задачи определения статуса компьютерного объекта, его причастности к расследуемому преступлению и доступа к данным на информационных носителях исследуемого объекта.

Не исключено, что в государственных структурах существуют материально-финансовые, технические и кадровые проблемы с проведением экспертиз. К примеру, исследование сложных информационных систем требует первоклассных специалистов, современной дорогостоящей техники и немалых денежных средств для достойной оплаты работы специалистов своего дела. Кроме того, исследования некоторых информационных объектов требуют знаний не только компьютерной техники, программирования и сетей, а еще и криминалистики, лингвистики и социологии.

Заключение эксперта может являться одним из основных доказательств причастности обвиняемого к расследуемому делу, и поэтому очень важно качественно провести судебно-компьютерную экспертизу [3]. Чтобы заключение эксперта было объективным, нужно верно оценить объект, подвергающийся исследованию, и применить правильно разработанную методику проведения экспертиз. Для этого следует разобраться, что должна представлять собой судебно-кибер- нетическая экспертиза, какие требования к ней предъявляются, какие основные этапы она должна включать.

Прежде чем начать экспертизу, необходимо подготовить для нее материалы, а именно:

−осмотреть упаковку, в которой находились материалы (ни упаковка, ни печати, ни подписи не должны быть повреждены);

−одинаковые устройства необходимо пронумеровать;

−описать программные системы для просмотра ианализа реестра;

−для удобства восприятия предлагается разбить экспертизу на пять основных этапов [2]:

1)компьютерно-технический;

2)оценочный;

3)технико-криминалистический;

4)автороведческий;

5)комплексный.

Опишем методику и механизм проведения каждого этапа, проанализируем их для наилучшего осознания важности каждого шага экспертизы.

9

1. Компьютерно-технический этап. Этот этап для удобства можно разбить на шаги.

1.1. Технический. Включает в себя осмотр и исследование про- граммно-аппаратного комплекса на целостность, выявление повреждений. Проводится диагностика аппаратных средств компьютерной сети, определяется техническое состояние, режимы эксплуатации

ит.п. Далее следуют процессы установления фирм-производителей всех плат и их наименований, объема жесткого диска, объема оперативной памяти и других технических характеристик программноаппаратного комплекса (скорость, объем, частота и т.д.). Также на данном шаге проводится проверка контрольной суммы (биты данных), служебной информации.

1.2.Программный. Включает исследование компьютерных программ и баз данных для определения их предназначения, а также компьютерных технологий для установления возможности применения их в целях решения конкретных преступных задач. Изучается программное обеспечение ЭВМ, исследуется состав программных продуктов, проверяется наличие типовых имен (если такие файлы найдены, то проводится побитовое сравнение их содержимого, при наличии разницы проводится анализ). Также эксперт проводит проверку регистрации программных продуктов в операционной системе, существования таких продуктов, которые избежали процедуры стандартной регистрации. Если система работоспособна, проводится анализ ее конфигурации.

1.3.Информационный. Этап, на котором производится поиск, восстановление, анализ информации, содержащейся на носителях. Для начала снимается побитовая копия, или образ с жесткого диска,

итолько после этого начинается поиск и анализ информации, хранящейся на нем. Для обеспечения информационного этапа экспертизы существует множество дорогостоящего и бесплатного программного обеспечения и утилит, например программное обеспечение Symantec Ghost или утилита Norton Ghost – для снятия образа с жесткого диска. Также используются RAID-массивы и носители информации большой емкости для размещения изъятых данных.

В ходе этого этапа эксперт получает данные с носителей. Даже если они были удалены, их можно восстановить, частично (если область данных на диске перезаписана данными из другого файла, но не полностью) или полностью.

10