Компьютерын криминалистик: Засвар хоорондын ялгаа

Компьютерын гэмт хэрэгт хийх криминалистикийн шинжилгээ

1. Компьютерын криминалистикийн тухай ойлголт

Компьютерын криминалистик – /англиар “Computer Forensics”, оросоор “Компьютерная форенсика”/ орчин үед хөгжиж буй криминалистикийн шинжлэх ухааны салбар юм. Компьютерын криминалистик нь криминалистикийн шинжлэх ухааны кибертехнологийн бүлэгт хамаардаг ба үүнд мөн “Мэдээллийн криминалистик” багтдаг байна.

Компьютерын криминалистик нь компьютерын гэмт хэргийн ул мөр үлдсэн мэдээлэл хадгалах төхөөрөмжүүдийг олж илрүүлэх, түүнд шинжилгээ хийх, түүнд агуулагдах баримт болон бусад дижитал нотлох баримтуудын эх сурвалжийг тодруулах зорилготой арга техник юм.

2. Компьютерын гэмт хэрэг

Компьютерын гэмт хэрэг гэдэг ойлголт нь олон улсын хэмжээнд зорилго, арга, халдлагын зүйл зэргээр нь олон төрлийн гэмт хэргүүдийг багтааж ойлгодог. Монгол улсын хувьд Эрүүгийн хуулийн хорин тавдугаар бүлэгт компьютерын мэдээллийн аюулгүй байдлын эсрэг гэмт хэрэг хэмээн тодорхойлсон бөгөөд үндсэндээ компьютерын мэдээллийг эвдэх, сүйтгэх, өөрчлөх, хууль бусаар олж авах, сүлжээнд хууль бусаар нэвтрэх, нянтай программ зохион бүтээх гэсэн үйлдлүүдийг авч үзсэн.

Олон улсын хэмжээнд компьютерын гэмт хэргүүдийг бүхэлд нь 3 бүлэгт хувааж авч үздэг: 1. Компьютерын эсрэг чиглэсэн 2. Нотлох баримт хадгалагдаж буй компьютерын эсрэг чиглэсэн 3. Компьютерыг гэмт хэргийн хэрэгсэл болгож ашигласан.

3. Криминалистикийн шинжилгээ

Дээрхээс үзвэл компьютерын гэмт хэрэг нь зөвхөн нэг компьютер дээр бус хэд хэдэн компьютер хамарсан сүлжээ, цаашлаад интернэтээр дамжин хэд хэдэн улсад байрших компьютерыг хамардаг учир ихэвчлэн хийсвэр кибер орчинд хэргийн газрын үзлэг явагддаг. Шинжээчийн зүгээс зөвхөн нэг компьютер дээр шинжилгээ хийх бус сүлжээгээр дамжин хийсвэр гэмт хэргийн газарт үзлэг хийх, нотлох баримт илрүүлэх, цуглуулах, түүнд шинжилгээ хийх, нотлох баримтыг баталгаажуулах зэрэг ажиллагаануудыг явуулахыг шаарддаг.

Компьютерын криминалистикийн шинжилгээ нь үндсэндээ 2 объект дээр шинжилгээ хийдэг: 1. Сүлжээний бус орчинд байрших компьютер, дижитал нотлох баримтанд хийх шинжилгээ 2. Сүлжээний орчин дахь компьютер, дижитал нотлох баримтанд хийх шинжилгээ

Сүлжээний бус орчинд байршиж буй компьютер, дижитал нотлох баримтад хийх шинжилгээ нь сүлээний орчин дахиас илүү хялбар байдаг. Учир нь хэргийн газрын хамрах хүрээ нь зөвхөн тухайн компьютер байдаг ба гаднаас тухайн компьютерт байрлах нотлох баримтыг устгах, өөрчлөх боломжгүй байдаг юм.

Харин сүлжээний орчин дахь компьютерт хийх шинжилгээ нь төвөгтэй бөгөөд нарийн мэргэшсэн шинжээчийг шаардаж байдаг. Учир нь тухайн компьютерт халдсан этгээд нь дэлхийн аль ч өнцөгт байрших боломжтой ба тухайн компьютерт халдахдаа хэд хэдэн компьютеруудыг дамжин, өөрийн ул мөрийг устгах замаар халдаж, халдлагад өртсөн компьютер дээрх хяналтын файлууд (лог файлууд)-ыг устгах, өөрчлөх замаар ул мөрөө устгасан байдаг тул шинжээчийн зүгээс халдагчийн ул мөрийг илрүүлэхийн тулд сүлжээгээр дамжин хэд хэдэн компьютерт үзлэг хийх шаардлагатай үүсдэг ба тухайн компьютер дээрх үлдсэн нотлох баримтуудыг халдагч санаатайгаар өөрчилсөн эсэх, устгасан эсэх зэргийг тогтоох ажиллагаануудыг шаарддаг нарийн төвөгтэй ажиллагаа байдаг.

Иймээс компьютерын криминалистикийн шинжээчид тавигдах гол шаардлага нь компьютерын техник эд ангиас гадна, програм хангамж, үйлдлийн систем, сүлжээний орчингийн талаар нарийн мэдлэг байдаг. Тиймдээ зарим улсуудад дээрх чиглэлээр мэргэшсэн байгууллагууд нь цагдаагийн байгууллагад хөндлөнгөөс криминалистикийн шинжилгээ хийхэд туслах зорилготой ажиллаж байдаг.

4. Электрон нотлох баримтанд хийх криминалистикийн шинжилгээ

Электрон нотлох баримтыг хэд хэдэн эх сурвалжаас цуглуулан авах боломжтой байдаг. Нотлох баримт нь янз бүрийн мэдээлэл дамжуулах, хадгалах технологи дээр олддог. Халдагч этгээдийн үлдээсэн ул мөрийг цуглуулахад нотлох баримтыг 3 эх сурвалжаас цуглуулдаг: 1. Халдагчийн компьютер 2. Халдагчийн нэвтэрсэн сервер 3. Халдагч болон халдлагад өртсөн компьютерыг холбосон сүлжээ Уг гурван эх сурвалжаас нотлох баримтын гарал үүслийг шинжээч нь тогтоох боломжтой болно.

Электрон нотлох баримтыг цуглуулуулж хурааж авахдаа бусад нотлох баримтуудын адил маш хянуур авахыг шаарддаг. Уг электрон нотлох баримт нь нотлох баримтын чанараа алдахгүй байлгахын тулд компьютерын криминалистикт нотлох баримт хурааж авах стандартуудыг баримталдаг. Жишээ нь халдагчийн компьютерын файлуудыг хуулж авахдаа уг файлыг устгах вирус байгаа эсэхийг нягталж үзэх ба тухайн мэдээллийг хадгалж буй хэрэгсэлд соронзон орны нөлөө болон механик гэмтэл учруулахгүй байхыг шаарддаг. Нотлох баримтыг устах, гэмтэхээс урьдчилан сэргийлэх хэдэн алхамуудыг шинжээчээс шаардаж байдаг: 1. Жинхэнэ нотлох баримтыг хуулбараас ялгаж өгөх 2. Нотлох баримтыг хадгалах төхөөрмжийг нарийн сонгох 3. Нотлох баримттай холбоотой бүхий л ажилгаагаа баримтжуулах 4. Хувийн мэдлэгээсээ давсан ажиллагаа явуулахгүй байх

Хэрвээ эдгээр алхамуудыг дагаагүй бол жинхэнэ нотлох баримт өөрчлөгдөх, устах, эвдрэх зэргээр нотлох баримтын чанараа алддаг. Мөн шинжээчийн зүгээс цуглуулж авсан нотлох баримт нь хэрэгт холбогдолгүй, байгууллага хувь хүний нууцад холбогдох мэдээлэл байгаа эсэхийг нягталж үзэхийг шаарддаг.

Зарим тохиолдолд ганцхан компьютерт хадгалагдсан нотлох баримтуудаас гадна тухайн компьютерын хэрэглэгчээс нотлох баримтыг илрүүлэх, цуглуулах, хурааж авахад шаардалагтай мэдээллийг олж авч болдог. Хэрэглэгчийн зүгээс өгч буй мэдүүлгийг ашиглан криминалистикийн шинжээч нь компьютерын тохируулга, програм хангамж, чухал файлуудыг хаана хадгалдаг байсан, тухайн файлд нэвтрэх нууц үг, код зэргийг олж авснаар нотлох баримтанд хүрэхэд тун хялбар болж өгдөг. Халдлагад өртсөн компьютерын хэрэглэгч нь туршлагатай хэрэглэгч байсан тохиолдолд түүнээс халдагчийн талаар боломжит таамаглалуудыг цуглуулах замаар халдагчийн үлдээсэн ул мөрийг сүлжээгээр дамжуулан хайхад илүү тус дөхөм болдог. Нотлох баримтыг цуглуулах – Энэ шатанд шинжээч нь халдлагад өртсөн компьютерын эргэн тойрноос шинжилгээгээ эхлэнэ. Халдлагад өртсөн компьютертэй холбоотой мэдээлэл хадгалагч бүхий л биет багаж төхөөрөмжүүдийг хураан авч лабораторийн шинжилгээнд явуулна. Үүнд компьютерын хатуу диск, уян диск, флаш диск, компакт дискүүд орох ба эдгээрийг лабораторийн шинжилгээнд явуулах боломжгүй тохиолдолд тусгай хуулбарлагч програм хангамжуудыг ашиглан өөр мэдээлэл хадгалагч руу шилжүүлж авдаг. Жишээ нь компьютерын хатуу дискийг салгаж авахад шууд эвдэрэхээр гэмтсэн байвал түүний агуулгыг бүхэлд толин хуулбар хийгч програм ашиглан хуулбарлаж авдаг. Мөн нэг мэдээлэл хадгалагчаас нөгөө мэдээлэл хадгалагч руу шилжүүлж цуглуулж авч болох ба энэ тохиолдолд эх мэдээллийг хэзээ хуулбарлаж авсан гэдгийг тэмдэглэлд тодорхой тусгаснаар хуулбарлагдсан файлд үүссэн огноотой таарснаар нотлох баримтын хэмжээнд үнэлэгдэх юм.

Зарим түр зуурын мэдээллийг цуглуулах – Компьютерын зарим мэдээлэл хатуу дискэн дээр хадгалагдалгүй түр зуурын санах ойд хадгалагдаж байгаад өөрөө өөрийгөө устгаж байдаг. Үүний жишээ нь компьютерын шуурхай санах ой, сүүлд компьютерт нэвтэрсэн нэвтрэлтүүдийн бүртгэл зэрэг юм. Хэрэв халдлагад өртсөн компьютер унтраагүй, тэжээлээс салгагдаагүй байгаа тохиолдолд шинжээч шуурхай санах ойд хадгалагдсан мэдээллийг юуны түрүүнд хуулбарлаж авах хэрэгтэй ба ямар нэг байдлаар компьютер тэжээлээс салгагдсан тохиолдолд үнэ цэнэтэй мэдээллийг алдаж болдог.

Нотлох баримтыг баримтжуулах – энэ нь электрон нотлох баримтанд хийгдэх криминалистикийн шинжилгээний чухал үе шат юм. Хэн, хэзээ, юуг, хаана, ямар аргаар ажиллагаа явуулсныг шинжилгээний бүх шатанд баримтжуулах нь чухал. Хэр нарийвчилж шинжилгээг баримтжуулна, тэр хэрээр нотлох баримт үнэ цэнээ хадгалаж байдаг. Зарим тохиолдолд компьютерын гэмт хэрэг нь шийдэгтэл олон жил тойрох тохиолдол гардаг ба энэ тохиолдолд нотлох баримт цуглуулах ажлыг тусгай дэвтэр гарган тэмдэглэж явахыг зөвлөдөг. Уг дэвтэр наад зах нь дараах зүйлсийг тусгасан байхыг шаарддаг: - Тухайн хэрэгт хэн шинжээчээр ажиллаж байгаа - Албан ёсны мөрдөн байцаах ажиллагааны үнэлгээ - Шинжилгээнд оролцож буй хүмүүсийн нэрс - Хэргийн дугаар - Шинжилгээ хийх болсон шалтгаан

Мөн криминалистикийн шинжилгээний доорх мэдээллүүдийг тусгаж өгнө: - Шинжилж буй компьютерын үйлдлийн систем, түүний үзүүлэлтүүд - Сүлжээний диаграмм - Шинжилгээ хийгдэж байхад ажиллаж байсан бүх программууд - Системд хэн албан ёсоор нэвтэрч орох эрхтэй байсан - Системын удирдагчдын нэрс - Нотлох баримт илрүүлэх, цуглуулах ажиллагааны бүх үе шатыг тэмдэглэсэн тэмдэглэл. Үүнд ажиллагаа явагдсан огноо, хугацаа, хэн явуулсан, ямар ажиллагаа явуулсан, хаана явуулсан, ажиллагааны үр дүнг тус тус тусгана. - Хэн, хэзээ хураагдаж авсан нотлох баримтуудыг үзсэн, нэвтэрсэн тухай бүртгэл

Эдгээр ажиллагаануудыг бүрэн гүйцэт явуулснаар компьютерын гэмт хэрэгт хийх криминалистикийн шинжилгээ дуусгавар болох хэр алдаагүй, мэргэжлийн түвшинд явуулсан эсэхээс нотлох баримтын чанар нь шалтгаалж байдаг байна.