Криминалистическая характеристика компьютерных преступлений


Компьютерные преступления имеют общую родовую криминалистическую характеристику, включающую сведения о способах совершения преступлений, лицах, их совершивших, данные о потерпевшей стороне, обстоятельствах преступлений и типичных следственных версиях.
На основе анализа конкретных уголовных дел по преступлениям, совершенным с использованием средств компьютерной техники, а также всестороннего изучения специальной литературы выделяется свыше 20 основных способов совершения преступлений в сфере компьютерной информации и около 40 разновидностей. Число их постоянно увеличивается по причине использования преступниками различных комбинаций и логической модификации алгоритмов. Такое поведение обусловлено как сложностью самих средств компьютерной техники, так и разнообразием и постоянным усложнением выполняемых информационных операций, многие из которых отражают движение материальных ценностей, финансовых и денежных средств, научно-технических разработок и т.д.
В то же время следует подчеркнуть, что практически все способы совершения преступлений в сфере компьютерной информации имеют свои индивидуальные, присущие только им признаки, по которым их можно распознать и классифицировать в отдельные общие группы. Исследование показало, что в большинстве случаев преступниками используются различные количественные и качественные комбинации нескольких основных способов, имеющих достаточно простой алгоритм исполнения и хорошо известных отечественной юридической практике по традиционным видам преступлений. По мере их модификации и постоянного усложнения логических связей появляются все новые и новые способы, отличительной особенностью которых является уже наличие сложных алгоритмов действий преступника, которые от преступления к преступлению все более совершенствуются и модернизируются. Происходит как бы «естественный отбор».
Все способы совершения компьютерных преступлений классифицируются по группам: перехват информации; несанкционированный доступ к средствам компьютерной техники (СКТ); манипуляция данными и управляющими командами; комплексные методы.
Рассмотрим каждую из этих групп подробнее.
gt; Перехват информации. К первой группе относятся способы совершения преступлений в сфере компьютерной информации, основанные на действиях преступника, направленных на получение данных и машинной информации посредством использования методов аудиовизуального и электромагнитного перехвата.
1. Непосредственный (активный) перехват. Осуществляется с помощью непосредственного подключения к телекоммуникационному оборудованию компьютера, компьютерной системы или сети, например линии принтера или телефонному проводу канала связи, используемого для передачи данных и управляющих сигналов компьютерной техники, либо непосредственно через соответствующий порт персонального компьютера. В связи с этим различают:
а)              форсированный перехват, представляющий собой перехват сообщений, направляемых рабочим станциям (ЭВМ), имеющим неполадки в оборудовании или каналах связи;
б)              перехват символов — выделение из текста, набираемого пользователем на клавиатуре терминала, знаков, не предусмотренных стандартным кодом данной ЭВМ;
в)              перехват сообщений — несанкционированное подключение специального терминала к линии связи, прием и использование сообщений, циркулирующих между абонентскими пунктами и ЭВМ.
После подключения к каналу связи, вся информация записывается на физический носитель или переводится в человекочитаемую форму посредством бытовой или специальной радиоэлектронной аппаратуры.
При этом программные средства позволяют в реальном времени просматривать передаваемую информацию, выбирая интересующие фрагменты практически незаметно для отправителя и получателя.
В качестве примера активного перехвата, но уже радиорелейной связи, можно привести действия преступной группы в Воронеже, собравшей из легально приобретенной аппаратуры сканеры, позволяющие считывать номера и персональные идентификационные коды абонентов сотовой сети в момент автоматического обмена этой информацией между зарегистрированной абонентской станцией и центральным процессором сотовой компании.
2. Электромагнитный (пассивный) перехват. Не все перехватывающие устройства требуют непосредственного подключения к системе, данные и информация могут быть перехвачены не только в канале связи, но и в помещениях, в которых находятся средства коммуникации, а также на значительном удалении от них. Так, без прямого контакта можно зафиксировать и закрепить на физический носитель электромагнитное излучение, возникающее при функционировании многих средств компьютерной техники, включая и средства коммуникации.
Дело в том, что электронно-лучевая трубка, являющаяся центральным элементом компьютерного устройства для видеоотображения информации на экране (дисплее), излучает в окружающее пространство электромагнитные волны, несущие в себе определенную информацию, данные («электронный смог»). Волны, излучаемые этим прибором, примерно так же, как при телевизионном вещании, проникают сквозь различные физические преграды с некоторым коэффициентом ослабления, например через стекло оконных проемов и стены строений, а принимать их можно, как показывают данные многочисленных экспериментов, на расстоянии до 1000 м. Как только эти сигналы приняты соответствующей аппаратурой и переданы на другой компьютер (преступника), можно получить изображение, идентичное изображению, возникающему на мониторе «передающего» компьютера, для чего достаточно настроиться на его конкретную индивидуальную частоту.
Впервые дистанционный перехват информации с дисплея компьютера открыто был продемонстрирован в марте 1985 г. в Каннах на Международном конгрессе по вопросам безопасности ЭВМ. Сотрудник голландской телекоммуникационной компании РТТ Вим-Ван-Эк шокировал специалистов тем, что с помощью разработанного им устройства из своего автомобиля, находящегося на улице, «снял» данные с экрана дисплея персонального компьютера, установленного на восьмом этаже здания, расположенного на расстоянии 100 м от автомобиля. Аудиоперехват или снятие информации по виброакустическому каналу. Данный способ совершения преступления является наиболее опасным и достаточно распространенным.
Этот способ съема информации имеет две разновидности: захо- довую (заносную) и беззаходовую. Первая заключается в установке инфитивного телефона (прослушивающего устройства) в аппаратуру средств обработки информации, в различные технические устройства, на проводные коммуникационные линии, а также в различные конструкции инженерно-технических сооружений и бытовых предметов, находящихся на объекте, с целью перехвата разговоров работающего персонала и звуковых сигналов технических устройств. Вторая — беззаходовая разновидность — наиболее опасная. Акустические и вибрационные датчики съема информации устанавливают на инженерно-технические конструкции, находящиеся за пределами охраняемого помещения, из которого необходимо принимать сигналы. «Уборка мусора». Этот способ совершения преступления заключается в неправомочном использовании преступником отходов информационного процесса, оставленных пользователем после работы. Этот вариант требует просмотра, а иногда и последующего исследования данных, находящихся в памяти компьютера. Он основан на некоторых технологических особенностях функционирования СКТ. Например, последние записанные данные не всегда стираются в оперативной памяти компьютерной системы после завершения работы или же преступник записывает только небольшую часть своей информации при законном доступе, а затем считывает предыдущие записи, выбирая нужные ему сведения.
Примечателен здесь случай из зарубежной практики, когда сотрудник службы безопасности коммерческого вычислительного центра, обслуживающего несколько крупных нефтяных компаний, находясь на своем посту в зале работы клиентов, обратил внимание на то, что у одного из клиентов, работавших на компьютере, перед тем как загорится световой индикатор записи его информации на магнитный диск, всегда сравнительно продолжительное время горит индикатор считывания информации. Проведенной по данному факту доследственной проверкой было установлено, что клиент занимался промышленным шпионажем.
В некоторых случаях преступником могут осуществляться действия, направленные на восстановление и последующий анализ данных, содержащихся в стертых файлах.
gt; Несанкционированный доступ к средствам компьютерной техники. Ко второй группе способов совершения преступлений в сфере компьютерной информации относятся действия преступников, на-
правленные на получение несанкционированного доступа к средствам компьютерной техники. К ним относятся следующие: «За дураком». Этот способ часто используется преступниками для проникновения в запретные зоны — электронные системы. Он заключается в использовании преступником из числа внутренних пользователей путем подключения компьютерного терминала к каналу связи через коммуникационную аппаратуру в тот момент, когда сотрудник, отвечающий за работу средства компьютерной техники, выбранной в качестве предмета посягательства, кратковременно покидает свое рабочее место, оставляя терминал или персональный компьютер в активном режиме. «За хвост». Этот способ съема информации заключается в следующем. Преступник подключается к линии связи законного пользователя (с использованием средств компьютерной связи) и терпеливо дожидается сигнала, обозначающего конец работы, перехватывает его «на себя», а потом, когда законный пользователь заканчивает активный режим, осуществляет доступ к системе. «Компьютерный абордаж». Данный способ совершения преступления в сфере компьютерной информации осуществляется преступником путем случайного подбора (или заранее добытого) абонентного номера компьютерной системы потерпевшей стороны с использованием, например, обычного телефонного аппарата. После успешного соединения с вызываемым абонентом и появления в головном телефоне преступника специфического позывного сигнала, свидетельствующего о наличии модемного входа/выхода на вызываемом абонентном номере, преступником осуществляется механическое подключение собственного модема и персонального компьютера к каналу телефонной связи. После чего преступником производится подбор кода доступа к компьютерной системе жертвы (если таковой вообще имеется) или используется заранее добытый код.
Стоит обратить внимание на то, что существует множество про- грамм-«взломщиков». Эти программы работают по принципу простого перебора символов, которые возможно ввести через клавиатуру персонального компьютера.
По существу, «компьютерный абордаж» является подготовительной стадией преступления в сфере компьютерной информации. Неспешный выбор. Отличительной особенностью данного способа совершения преступления является то, что преступник осуществляет несанкционированный доступ к компьютерной системе путем нахождения слабых мест в ее защите. Однажды обнаружив их, он может не спеша исследовать содержащуюся в системе информацию, скопировать ее на свой физический носитель и, возвращаясь к ней много раз, выбрать наиболее оптимальный предмет посягательства. Обычно такой способ используется преступником в отношении тех, кто не уделяют должного внимания регламенту проверки своей системы, предусмотренному методикой защиты компьютерной системы. «Брешь». В отличие от «неспешного выбора», когда производится поиск уязвимых мест в защите компьютерной системы, при данном способе преступником осуществляется их конкретизация: определяются участки, имеющие ошибки или неудачную логику программного построения; выявленные таким образом «бреши» могут использоваться преступником многократно, пока не будут обнаружены. Последнее возможно лишь высококвалифицированным программистом или лицом, непосредственно разработавшим данную программу.
«Люк». Данный способ является логическим продолжением предыдущего. В этом случае в найденной «бреши» программа «разрывается» и туда дополнительно преступник вводит одну или несколько команд. Такой «люк» «открывается» по мере необходимости, а включенные команды автоматически выполняются. При совершении компьютерного преступления данным способом следует обратить внимание на то, что при этом всегда преступником осуществляется предметная модификация (изменение) определенных средств компьютерной техники. «Маскарад». Данный способ состоит в том, что преступник проникает в компьютерную систему, выдавая себя за законного пользователя. Самый простейший путь к проникновению в такие системы — получить коды и другие идентифицирующие шифры законных пользователей. «Мистификация». Иногда по аналогии с ошибочными телефонными звонками случается так, что пользователь с терминала или персонального компьютера подключается к чьей-либо системе, будучи абсолютно уверенным в том, что он работает с нужным ему абонентом. Этим фактом и пользуется преступник, формируя правдоподобные ответы на запросы владельца информационной системы, к которой произошло фактическое подключение, и поддерживая это заблуждение в течение некоторого периода времени, получая при этом требуемую информацию, например коды доступа или отклик на пароль. «Аварийный». В этом способе преступником используется тот факт, что в любом компьютерном центре имеется особая программа, применяемая как системный инструмент в случае возникновения сбоев или других отклонений в работе ЭВМ (аварийный или контрольный отладчик). Принцип работы данной программы заключается в том, что она позволяет достаточно быстро обойти все имеющиеся средства защиты информации и компьютерной системы с целью получения аварийного доступа к наиболее ценным данным.
Такие программы являются универсальным «ключом» в руках преступника. «Склад без стен». Несанкционированный доступ к компьютерной системе в этом случае осуществляется преступником путем использования системной поломки, в результате которой возникает частичное или полное нарушение нормального режима функционирования систем защиты данных. Например, если нарушается система иерархичного либо категорийного доступа к информации, у преступника появляется возможность получить доступ к той категории информации, в получении которой ему ранее было отказано.
gt; Манипуляция данными и управляющими командами. К третьей группе способов совершения преступлений в сфере компьютерной информации относятся действия преступников, связанные с использованием методов манипуляции данными и управляющими командами средств компьютерной техники.
Рассмотрим наиболее широко используемые преступниками способы совершения преступлений из третьей группы: Подмена данных — наиболее простой и поэтому очень часто применяемый способ совершения преступления. Действия преступников в данном случае направлены на изменение или введение новых данных, которое осуществляется, как правило, при вводе-выводе информации. В частности, данный способ совершения преступления применяется для приписывания счету «чужой» истории, т.е. модификации данных в автоматизированной системе банковских операций, приводящей к появлению в системе сумм, которые реально на данный счет не зачислялись.
Например, таким способом экономистом Брестского областного производственного объединения К. были совершены хищения денежных средств. Как свидетельствуют материалы уголовного дела, будучи экономистом по учету заработной платы и отвечая за достоверность документов и сдачу их в ОАСУ, К. на протяжении ряда лет вносила в документы начисления заработной платы подложные документы, в результате чего заработная плата начислялась на счета вымышленных лиц и переводилась в сберкассы г. Бреста на специально открытые ею счета: на имя матери К., сестры, знакомого.
Частным вариантом способа подмены данных является способ подмены кода. Он заключается в изменении кода данных, например, бухгалтерского учета. «Троянский конь». Данный способ заключается в тайном введении в чужое программное обеспечение специально созданных программ, которые, попадая в информационно-вычислительные системы (обычно выдавая себя за известные сервисные программы), начинают выполнять новые, не планировавшиеся законным владельцем принимающей «троянского коня» программы, с одновременным сохранением прежней работоспособности. По существу, «троянский конь» — это модернизация уже рассмотренного нами способа «люк» с той лишь разницей, что он «открывается» не при помощи непосредственных действий самого преступника («вручную»), а автоматически — с использованием специально подготовленной для этих целей программы без дальнейшего непосредственного участия самого преступника.
Из зарубежной практики известен факт использования «троянского коня» одним американским программистом. Он вставил в программное обеспечение персонального компьютера по месту своей работы команды, которые не выводили на печать для отчета определенные поступления денежных средств. Эти суммы особым образом шифровались и циркулировали только в информационной среде компьютера. Похитив бланки выдачи денег, преступник заполнял их с указанием своего шифра, а затем проставлял в них определенные суммы денег, соответствующие операции по их выдаче также не выводились на печать и, следовательно, не могли подвергнуться документальной ревизии.
Справедливости ради следует отметить, что «троянский конь» иногда бывает и полезным. Вот пример того, как «троянский конь» помог обнаружить нарушение авторских прав.
Две американские фирмы разрабатывали программное обеспечение для тестирования компьютеров в условиях сильной нагрузки на них. Первая фирма предложила второй заключить соглашение. Вторая фирма отказалась. Вскоре после этого маленькая независимая компания купила лицензию на программу первой, более удачливой фирмы. И вдруг эта фирма получает электронное письмо из Internet о том, что ее программа запущена в сети второй фирмы-конкурента — и ее исследуют. Естественно, первая фирма возбудила уголовное дело против конкурента.
История эта показательна потому, что письмо было послано самой программой тестирования загрузки компьютеров в ответ на некоторые действия с ней. По-видимому, в условиях Internet это более действенный способ защиты авторских прав, чем электронные ключи и ключевые дискеты[XXXVII]. «Троянская матрешка». Является разновидностью «троянского коня». Особенность этого способа заключается в том, что во фрагмент программы потерпевшей стороны вставляются не команды, собственно выполняющие незаконные операции, а команды, формирующие эти команды, и после выполнения своей функции, т.е. когда уже будет автоматически на программном уровне создан «троянский конь», самоуничтожающиеся. Иначе говоря, это программные модули-фрагменты, которые создают «троянского коня» и самоликвидируются на программном уровне по окончании исполнения своей задачи. «Троянский червь». Еще одна разновидность способа «троянский конь». Данный способ совершения преступления характеризуется тем, что в алгоритм работы программы, используемой в качестве орудия совершения преступления, наряду с ее основными функциями, уже рассмотренными нами выше, закладывается алгоритм действий, осуществляющих саморазмножение, программное автоматическое воспроизводство «троянского коня». «Программы-черви» автоматически копируют себя в памяти одного или нескольких компьютеров (при наличии компьютерной сети) независимо от других программ. При этом используется тактика компьютерных вирусов, которые будут рассмотрены нами далее. «Салями». Такой способ совершения преступления стал возможным лишь благодаря использованию компьютерной технологии в бухгалтерских операциях. Данный способ основан на методике проведения операций перебрасывания на подставной счет мелочи — результата округления, которая на профессиональном бухгалтерском языке называется «салями». Мелочный преступный расчет в этом случае построен на том, что ЭВМ в секунду совершает миллионы операций. В то время как высококвалифицированный бухгалтер за целый день может выполнить лишь до двух тысяч таких операций. На этом строится и тактика использования «троянского коня», основанная на том, что отчисляемые суммы столь малы, что их потери практически незаметны, а незаконное накопление суммы осуществляется за счет совершения большого количества операций. «Логическая бомба». Иногда из тактических соображений хищения удобнее всего совершать при стечении каких-либо обстоятельств, которые обязательно должны наступить. В этих случаях преступниками используется рассматриваемый способ совершения преступления, основанный на тайном внесении изменений в программу потерпевшей стороны набора команд, которые должны сработать (или срабатывать каждый раз) при наступлении определенных обстоятельств через какое-либо время. Далее включается алгоритм программ «троянского коня».
«Временная бомба». Является разновидностью «логической бомбы», которая срабатывает по достижении определенного момента времени. Например, в США получили широкое распространение преступления, в которых преступником используется способ «временной бомбы» для хищения денежных средств. Механизм применения этого способа заключается в следующем. Преступником, находящимся в стране «А», посредством заранее введенной в банк данных автоматизированной системы межбанковских электронных операций программы — «временной бомбы» — в стране «Б», похищаются деньги в определенный заданный момент времени при стечении благоприятных обстоятельств. Все манипуляции с ценными данными, а также начало осуществления бухгалтерских операций с ними производятся и контролируются программой. Преступнику лишь остается в определенный момент времени снять деньги, поступившие на заранее открытый счет. Аналогично происходят и преступления, направленные на разрушение определенных данных и информации в компьютерной системе для различных преступных целей. Компьютерные вирусы. Наиболее распространенный способ совершения компьютерных преступлений, с которым сталкиваются пользователи персональных компьютеров, — это компьютерные вирусы. Последние являются особого типа вредоносными программами, доставляющими пользователям и обслуживающему ПК персоналу немало неприятностей[XXXVIII]. В самом общем виде этот способ совершения преступлений в сфере компьютерной информации является ничем иным, как логической модернизацией способа «троянский конь», выполняющего алгоритм, например, типа «сотри все данные этой программы, перейди в следующую и сделай то же самое».
Компьютерным вирусом называется способная к самовоспроизводству и размножению программа, внедряющаяся в другие программы.
С программно-технической точки зрения под компьютерным вирусом понимается специальная программа, способная самопроизвольно присоединяться к другим программам («заражать» их) и при запуске последних выполнять различные нежелательные действия: порчу файлов и каталогов (при файловой организации программной среды), искажение и стирание (уничтожение) данных и информации, переполнение машинной памяти и создание помех в работе ЭВМ.
Очевидна аналогия понятий компьютерного и биологического вирусов. Однако не всякая могущая саморазмножаться программа является компьютерным вирусом. Вирусы всегда наносят ущерб — препятствуют нормальной работе ПК, разрушают файловую структуру и т.д., поэтому их относят к разряду так называемых вредоносных программ.
Исторически появление компьютерных вирусов связано с идеей создания самовоспроизводящихся механизмов, в частности программ, которая возникла в 1950-х гг. Дж. фон Нейман еще в 1951 г. предложил метод создания таких механизмов, и его соображения получили дальнейшее развитие в работах других исследователей. Первыми появились игровые программы, использующие элементы будущей вирусной технологии, а затем уже на базе накопленных научных и практических результатов некоторые лица стали разрабатывать самовоспроизводящиеся программы с целью нанесения ущерба пользователям компьютера.
Создатели вирусов сосредоточили свои усилия в области ПК вследствие их массовости и практически полного отсутствия эффективных средств защиты как на аппаратном уровне, так и на уровне ОС. Среди побудительных мотивов, движущих авторами вирусов, можно назвать следующие: стремление «насолить» кому-либо; неестественная потребность в совершении преступлений; желание самоутвердиться, озорство и одновременно недопонимание всех последствий распространения вируса; невозможность использовать свои знания в конструктивном русле (это в большей степени экономическая проблема); уверенность в полной безнаказанности (в ряде стран отсутствуют нормы правовой ответственности за создание и распространение вирусов).
Основными каналами проникновения вирусов в персональный компьютер являются накопители на сменных носителях информации и средства сетевой коммуникации, в частности сеть Internet.
Первые случаи массового заражения ПК вирусами были отмечены в 1987 г., когда появился так называемый Пакистанский вирус, созданный братьями Амджатом и Базитом Алви. Таким образом они решили наказать американцев, покупавших дешевые незаконные копии программного обеспечения в Пакистане, которые братья стали инфицировать разработанным вирусом. Вирус заразил в США более 18 тыс. компьютеров и, проделав кругосветное путешествие, попал в СССР. Следующим широко известным вирусом стал вирус Lehigh (лехайский вирус), распространившийся в одноименном университете США. В течение нескольких недель он уничтожил содержимое нескольких сот дискет из библиотеки вычислительного центра университета и личных дискет студентов. К февралю 1989 г. в США этим вирусом было поражено около 4 тыс. ПК.
В дальнейшем количество вирусов и число зараженных ими компьютеров стало лавинообразно увеличиваться, что потребовало принятия срочных мер как технического, так и организационного и юридического характера. Появились различные антивирусные средства, вследствие чего ситуация стала напоминать гонку вооружений и средств защиты от них. Определенный эффект был достигнут в результате принятия рядом развитых стран законодательных актов о компьютерных преступлениях, среди которых были и статьи, касающиеся создания и распространения компьютерных вирусов.
В настоящее время в мире насчитывается более 50 тыс. вирусов, включая штаммы, т.е. разновидности вирусов одного типа. Вирусы не признают границ, поэтому большинство из них курсирует и по России. Более того, проявилась тенденция увеличения числа вирусов, разработанных отечественными программистами. Если ситуация не изменится, то в будущем Россия сможет претендовать на роль лидера в области создания вирусов.
Классификация вирусов. Жизненный цикл компьютерных вирусов, как правило, включает следующие фазы: латентный период, в течение которого вирусом никаких действий не предпринимается; инкубационный период, в пределах которого вирус только размножается; активный период, в течение которого наряду с размножением выполняются несанкционированные действия, заложенные в алгоритме вируса.
Первые две фазы служат для того, чтобы скрыть источник вируса, канал его проникновения и инфицировать как можно больше файлов до выявления вируса. Длительность этих фаз может определяться предусмотренным в алгоритме временным интервалом, наступлением какого-либо события в системе, наличием определенной конфигурации аппаратных средств ПК (в частности, наличием НЖМД) и т.д.
Компьютерные вирусы классифицируются в соответствии со следующими признаками: среда обитания; способ заражения среды обитания; способ активизации; способ проявления (деструктивные действия или вызываемые эффекты); способ маскировки.
Вирусы могут внедряться только в те программы, которые, в свою очередь, могут содержаться или в файлах, или в некоторых компонентах системной области диска, участвующих в процессе загрузки операционной системы.
В соответствии со средой обитания различают: файловые вирусы, инфицирующие исполняемые файлы; загрузочные вирусы, заражающие компоненты системной области, используемые при загрузке ОС; файлово-загрузочные вирусы, интегрирующие черты первых двух групп.
Файловые вирусы могут инфицировать: позиционно-независимые перемещаемые машинные программы, находящиеся в COM-файлах; позиционно-зависимые перемещаемые машинные программы, размещаемые в EXE-файлах; драйверы устройств (SYS- и BIN-файлы); файлы с компонентами DOS; объектные модули (OBJ-файлы); файлы с программами на языках программирования (в расчете на компиляцию этих программ); командные файлы (BAT-файлы); объектные и символические библиотеки (LIB- и др. файлы); оверлейные файлы (OVL-, PIF- и др. файлы).
Наиболее часто файловые вирусы способны внедряться в COM- и (или) EXE-файлы.
Загрузочные вирусы могут заражать: загрузочный сектор на дискетах; загрузочный сектор системного логического диска, созданного на винчестере; внесистемный загрузчик на жестком диске.
Загрузочные вирусы распространяются на дискетах в расчете на то, что с них будет осуществлена попытка загрузиться, что происходит не так часто. У файловых вирусов инфицирующая способность выше.
Файлово-загрузочные вирусы обладают еще большей инфицирующей способностью, так как могут распространяться как в программных файлах, так и на дискетах с данными.
Способы заражения среды обитания зависят от типа последней. Зараженная вирусом среда называется вирусоносителем. При имплантации тело файлового вируса может размещаться: в конце файла; в начале файла; в середине файла; в хвостовой (свободной) части последнего кластера, занимаемого файлом.
Наиболее легко реализуется внедрение вируса в конец COM-файла. При получении управления вирус выбирает файл-жертву и модифицирует его следующим образом: дописывает к файлу собственную копию (тело вируса); сохраняет в этой копии оригинальное начало файла; заменяет оригинальное начало файла на команду передачи управления на тело вируса.
При запуске инфицированной описанным способом программы первоначально инициируется выполнение тела вируса, в результате чего: восстанавливается оригинальное начало программы (но не в файле, а в памяти!); возможно, отыскивается и заражается очередная жертва; возможно, осуществляются несанкционированные пользователем действия; производится передача управления на начало программы- вирусоносителя, в результате чего она выполняется обычным образом.
Имплантация вируса в начало COM-файла производится иначе: создается новый файл, являющийся объединением тела вируса и содержимого оригинального файла. Два описанных способа внедрения вируса ведут к увеличению длины оригинального файла.
Имплантация вируса в середину файла наиболее сложна и специализирована. Сложность состоит в том, что в этом случае вирус должен «знать» структуру файла-жертвы (например, COMMAND.COM), чтобы можно было внедриться, в частности, в область стека. Описанный способ имплантации не ведет к увеличению длины файла.
Пр оявлением (деструктивными действиями) вирусов могут быть: влияние на работу ПК; искажение программных файлов; искажение файлов с данными; форматирование диска или его части; замена информации на диске или его части; искажение системного или несистемного загрузчика диска; разрушение связности файлов путем искажения таблицы FAT; искажение данных в CMOS-памяти.
Большую часть вирусов первой группы, вызывающих визуальные или звуковые эффекты, неформально называют «иллюзионистами». Другие вирусы этой же группы могут замедлять работу ПК или препятствовать нормальной работе пользователя, модифицируя и блокируя функции выполняемых программ, а также операционной системы. Вирусы всех остальных групп часто называют «вандалами» из-за наносимого ими, как правило, непоправимого ущерба.
В соответствии со способами маскировки различают: немаскирующиеся вирусы; самошифрующиеся вирусы; стелс-вирусы.
Авторы первых вирусов уделяли особое внимание механизмам размножения (репликации) с внедрением тел в другие программы. Маскировка же от антивирусных средств не осуществлялась. Такие вирусы называются немаскирующимися.
В связи с появлением антивирусных средств разработчики вирусов сосредоточили усилия на обеспечении маскировки своих изделий. Сначала была реализована идея самошифрования вируса. При этом лишь небольшая его часть является доступной для осмысленного чтения, а остальная расшифровывается непосредственно перед началом работы вируса. Такой подход затрудняет как обнаружение вируса, так и анализ его тела специалистами.
Появились также стелс-вирусы, названные по аналогии с широкомасштабным проектом по созданию самолетов-невидимок.
Методы маскировки, используемые стелс-вирусами, носят комплексный характер и могут быть условно разделены на две категории: маскировка наличия вируса в программе-вирусоносителе; маскировка присутствия резидентного вируса в ОЗУ.
К первой категории относятся: автомодификация тела вируса; реализация эффекта удаления тела вируса из вирусоносителя при чтении последнего с диска, в частности, отладчиком (это осуществляется путем перехвата прерывания, конечно, в случае наличия резидентного вируса в ОЗУ); имплантация тела вируса в файл без увеличения его размера; эффект неизменности длины инфицированного файла (осуществляется аналогично п. 2); сохранение неизменным оригинального начала программных файлов.
Например, при чтении каталога средствами DOS резидентный вирус может перехватить соответствующее прерывание и искусственно уменьшить длину файла. Конечно реальная длина файла не меняется, но пользователю выдаются сведения, маскирующие ее увеличение. Работая же с каталогами непосредственно (в обход средств DOS), можно получить истинную информацию о характеристиках файла. Такие возможности предоставляет, в частности, оболочка Norton Commander.
Ко второй категории методов маскировки можно отнести: занесение тела вируса в специальную зону резидентных модулей DOS, в хвостовые части кластеров, в CMOS-память, видеопамять и т.п.; модификацию списка несистемного загрузчика, о чем уже говорилось; манипулирование обработчиками прерываний, в частности специальные методы их подмены, с целью обойти резидентные антивирусные средства; корректировку общего объема ОЗУ.
Многие разновидности вирусов устроены так, что при запуске зараженной программы вирус остается резидентно (т.е. до перезагрузки DOS) в памяти компьютера и время от времени заражает программы и выполняет вредные действия на компьютере.
При повседневной работе пользователь в состоянии обнаружить вирус по его симптомам. Естественно, что симптомы вируса непосредственно определяются реализованными в нем способами проявления, а также другими характеристиками вируса. В качестве симптомов вирусов выделяют следующие: увеличение числа файлов на диске; уменьшение объема свободной оперативной памяти; изменения времени и даты создания файла; увеличение размера программного файла; появление на диске зарегистрированных дефектных кластеров; ненормальная работа программы; замедление работы программы; загорание лампочки дисковода в то время, когда к диску не должны происходить обращения; заметное возрастание времени доступа к жесткому диску; сбои в работе операционной системы, в частности ее зависание; невозможность загрузки операционной системы; разрушение файловой структуры (исчезновение файлов, искажение каталогов).
Наряду с компьютерными вирусами существуют и другие опасные программы, например так называемые «черви», формально именуемые репликаторами. Их основная особенность состоит в способности к размножению без внедрения в другие программы. Репликаторы создаются с целью распространения по узлам вычислительной сети и могут иметь начинку, состоящую, в частности, из вирусов. В этом отношении можно провести аналогию между червем и шариковой бомбой.
Примером репликатора является программа Christmas Tree, рисующая на экране дисплея рождественскую елку, а затем рассылающая свои копии по всем адресам, зарегистрированным средствами электронной почты.
Характерным примером преступления с использованием компьютерного вируса является уголовное дело, возбужденное ГУВД Свердловской области по факту распространения гр.
Флягиным программ для ЭВМ, заведомо приводящих к несанкционированному уничтожению, блокированию информации и нарушению работы ЭВМ. Флягин, используя свой домашний персональный компьютер «Packard Bell 486-СХ-ЗЗ», модем «US-Robotics» и телефон, зарегистрированный на Екатеринбургской ПС, а также установленную им специализированную компьютерную программу «Maxi’mus 3.00» (BBS — Bulletin Board Sistem — электронную доску объявлений), обеспечивающую работу компьютера с удаленными пользователями через телефонную сеть, распространял программы для ЭВМ, заведомо приводящие к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети. Сами же «вирусы» он переписывал с помощью сети Internet с одного из серверов в Бразилии. «Асинхронная атака». Такой способ совершения преступления очень сложен и требует хорошего знания операционной системы. Операционная система — это комплекс программных средств, обеспечивающих управление информационными процессами при функционировании компьютерной системы. Столь сложный программный продукт практически ни при каких условиях невозможно проверить на предмет достоверности работы и логической завершенности. Иначе говоря, особенности функционирования операционной системы при всех условиях остаются неизвестными. Этим и пользуются преступники при организации «асинхронных атак».
Используя асинхронную природу функционирования операционной системы, преступник заставляет последнюю работать при ложных условиях, вследствие чего управление обработкой информации частично или полностью нарушается. Если преступник, совершающий «асинхронную атаку», достаточно искусен, то он может использовать данную ситуацию, чтобы внести изменения в операционную систему или направить ее функционирование на выполнение своих корыстных целей, причем вне операционной системы эти изменения будут не заметны. Моделирование. Для совершения преступлений в сфере компьютерной информации все более характерным становится использование преступником способа компьютерного моделирования: моделирования поведения устройства или системы с помощью программного обеспечения. Моделируются процессы, в которые прес- ступники хотят вмешаться, и планируемые способы совершения преступления. Например, в последнее время преступниками с целью ухода от налогообложения все чаще используется так называемая «черная» или «двойная» бухгалтерия, основанная на существовании двух одновременно работающих программ автоматизированного бухгалтерского учета с взаимопересекающимися контрольными данными. В данном случае одна из них функционирует в легальном режиме, а другая — в нелегальном для проведения незаконных теневых бухгалтерских операций. Иногда одновременно с этими программами существует и третья, используемая только одним лицом, входящим в состав преступных групп и сообществ, выполняющим роль бухгалтера по ведению общественной кассы преступной группировки. Реверсивная модель — разновидность способа моделирования, заключается в следующем: создается модель конкретной системы, на которую планируется совершить нападение. В нее вводятся реальные исходные данные и учитываются планируемые действия. Затем исходя из полученных данных подбираются максимально приближенные к действительности желаемые результаты. После чего модель совершения преступных действий «прогоняется» назад, к исходной точке, и преступнику становится ясно, какие манипуляции с входными-выходными данными нужно совершить, чтобы достичь желаемого корыстного результата. Обычно «прокручивание» модели вперед-назад осуществляется преступником многократно, чтобы выявить возникающие ошибки и просчеты в механизме планируемых преступных действий. Таким образом, осуществляется оптимизации действий при проведении криминальных «операций» и минимизируется возможный при этом риск их «провала». «Воздушный змей». Механизм совершения хищения денежных средств заключается в следующем. В двух или нескольких банках открываются счета на некоторые несуществующие суммы. Далее деньги переводятся из одного банка в другой и обратно с постепенным увеличением сумм. До того как в банке обнаружится, что поручение о переводе не обеспечено необходимой суммой, приходит извещение в данный банк о том, что общая сумма покрывает требование о первом переводе. Этот цикл многократно повторяется («воздушный змей» поднимается все выше и выше) до тех пор, пока на нужном счете не оказывается достаточная сумма денег (фактически она постоянно «перескакивает» с одного счета на другой, как бы «парит в воздухе», постоянно увеличиваясь в размерах). Когда сумма достигает требуемого значения, деньги оперативно снимаются с закрытием счетов и впоследствии отмываются (легализуются). Обычно, как показывает практика, в подобные преступные операции преступниками включается большое число банков.
7.3 «Ловушка на живца» («подсадная утка») — еще одна разновидность способа моделирования. Преступником создается специальная программа, которая затем записывается на физический носитель и под любым предлогом вручается или подкидывается потерпевшей стороне с расчетом на то, что ее по каким-либо причинам заинтересует данная программа и она постарается ознакомиться с ней. Алгоритм программы построен таким образом, что при ее работе в определенный момент времени автоматически моделируется системная поломка компьютерной системы, на которой был запущен данный программный продукт с целью проверки его качества и работоспособности. Затем указанная программа записывает данные и информацию, которые могут заинтересовать преступника. После того как программа выполнила заданные ей функции, она изымается у потерпевшей стороны с использованием различных способов. Копирование (тиражирование). Этот способ совершения преступления заключается в действиях преступника, направленных на незаконное копирование (тиражирование) программных средств компьютерной техники, а также типологий интегральных микросхем. Копирование осуществляется преступником посредством воспроизведения данных с сохранением исходной информации на любом материальном носителе.
Существуют две разновидности применения преступником указанного способа. В первом случае копирование осуществляется посредством законного (санкционированного) доступа к средствам компьютерной техники, во втором — посредством несанкционированного доступа с использованием способов, рассмотренных нами выше. В последнем случае будет иметь место применение комплексного метода совершения преступления (совокупность двух и более способов совершения преступления), которые будут рассмотрены нами в следующей, четвертой группе. Преодоление программных средств защиты. Этот способ является вспомогательным и предназначен для подготовки совершения компьютерного преступления способами, рассмотренными выше. Он заключается в действиях преступника, направленных на умышленное преодоление программных средств защиты компьютерной техники и имеет несколько разновидностей. Незаконное создание копии ключевой дискеты осуществляется преступником путем электромагнитного переноса всей структуры и информации, расположенных на ключевой дискете-оригинале, защищенной от копирования программными средствами, на дискету- копию, в результате чего аутентификационная часть системы защиты воспринимает копию ключевой дискеты как оригинал. Модификация кода системы защиты заключается в модификации (изменении) кода модуля системы защиты, выполняющего следующие функции: 1) проверку ключевой дискеты; 2) корректировку счетчика установок на жесткий магнитный диск (винчестер), защищенного от копирования программного средства с ключевой дискеты; 3) проверку санкционированности запуска защищенного информационного ресурса.
Обычно модификация сводится к простому обходу кода модуля, выполняющего перечисленные выше функции. В некоторых случаях модуль подвергается существенным изменениям, позволяющим обойти проверки систем защиты. Основная задача заключается в определении логики работы модуля. Последующее же внесение изменений в него остается «делом техники» и не представляет особого труда для преступника, разгадавшего логику построения защиты. Моделирование обращений к ключевой дискете. Многие программные средства защиты информации логически используют не прямую, как это принято, работу с контроллером, а средства системы BIOS — прерывание 13h. Этим и пользуются преступники, программно моделируя результат обращения ЭВМ к ключевой дискете путем перехвата прерывания 13h. Использование механизма установки/снятия программных средств защиты информации. Некоторые программные средства защиты используют при их установке на винчестер привязку к физическому расположению файла на диске. Одновременно с этим в алгоритм работы этих средств включаются функции, обеспечивающие их снятие с винчестера с одновременным восстановлением исходного состояния счетчика установок, так как защищенные программные средства нельзя перемещать путем использования стандартных средств сохранения/восстановления файлов. Использовав же функцию снятия защищенной программы с винчестера, можно тем самым получить возможность незаконного тиражирования защищенных программных продуктов в корыстных целях. Для этого преступником осуществляется следующий алгоритм действий: 1) получается санкционированный или несанкционированный доступ к защищенному программному средству, расположенному на винчестере; 2) анализируется структура размещения и содержание всех файлов, созданных на винчестере программой установки; 3) выполняется копирование защищенной программы с винчестера (при этом восстанавливается исходный счетчик установок); 4) восстанавливаются сохраненное состояние системы и ее содержимое. В результате всех этих действий получается ключевая дискета с исходным счетчиком установок и нелегальная копия программного продукта на винчестере. Снятие системы защиты из памяти ЭВМ. Данный способ заключается в следующем. Система защиты через определенное время автоматически загружает в память ЭВМ защищаемое программное средство, расшифровывает его и передает управление расшифрованному коду. В этот момент в оперативной памяти компьютерной системы находится полностью расшифрованная программа и для получения несанкционированной копии остается только сохранить ее в каком-либо файле. Этим и пользуются преступники.
Рассмотренные выше способы совершения преступлений в сфере компьютерной информации, относящиеся к подгруппе преодоления программных средств защиты, и представляют собой переходную категорию между первыми тремя группами способов и четвертой.
gt; Комплексные методы. К четвертой группе способов совершения преступлений в сфере компьютерной информации относятся комплексные методы, под которыми понимается использование преступником двух и более способов, а также их различных комбинаций при совершении преступления. Эти способы были подробно рассмотрены в первых трех группах. Некоторые из них оказываются вспомогательными, работающими на основной способ, выбранный преступником в качестве центрального, исходя из конкретной преступной цели и ситуации.
Помимо способов в криминалистическую характеристику компьютерных преступлений входят также цели совершения преступлений. Можно выделить следующие типичные преступные цели совершения компьютерных преступлений: хищение денег (подделка счетов и платежных ведомостей; фальсификация платежных документов, вторичное получение уже произведенных выплат, перечисление денег на подставные счета и т.д.); приписка сверхурочных часов работы; хищение вещей (совершение покупок с фиктивной оплатой, добывание запасных частей и редких материалов); хищение машинной информации; внесение изменений в машинную информацию; кража машинного времени; подделка документов (получение фальшивых дипломов, фиктивное продвижение по службе); несанкционированная эксплуатация системы; саботаж; шпионаж (политический и промышленный).
Мотивами совершения компьютерных преступлений, как показали исследования зарубежных и российских исследователей, являются следующие[XXXIX]: корыстные соображения — 66%; политические цели — 17%; исследовательский интерес — 7%; хулиганство — 5%; месть — 5%.
Для подавляющего большинства преступлений характерны корыстные мотивы — 52% всех компьютерных преступлений; с разрушением и уничтожением средств компьютерной техники сопряжено 16% преступлений, с подменой исходных данных — 12%, с хищением данных и программ — 10%, с хищением услуг — 10%[XL]. В этой связи интересными представляются результаты опроса, проведенного в 1988 г. среди 1600 специалистов по информационной безопасности в 50 странах мира[XLI].
Результаты опроса свидетельствуют, что самой распространенной угрозой безопасности были компьютерные вирусы — важнейшим этот тип угрозы назвали 60% опрошенных. В 1991 и 1992 гг. эти цифры составляли 22 и 44% соответственно.
В полном отсутствии финансовых потерь из-за нарушений в области защиты информации уверены 28% опрошенных. Среди тех, кто признает наличие таких потерь, их доли распределились так, как показано на диаграмме (рис. 16.1).
Опрос показал также, что основная часть угроз по-прежнему исходит от персонала компаний. На то, что хотя бы один из авторизованных пользователей был уличен в компьютерном злоупотреблении, указало 58% респондентов (в 1991 г. — 75%). Опасность от внешних злоумышленников не так велика, как это представляется средствами массовой информации. Неавторизованные пользователи проникали в корпоративные сети только в 24% случаев. Поставщики и покупатели являлись источниками атак лишь в 12% случаев.
Свыше 100 000 тыс. долл. Менее 1 тыс. долл.

Рис. 16.1. Финансовые потери в результате нарушений безопасности


В этой связи особый интерес приобретает характеристика личности преступника. С криминалистической точки зрения можно выделить несколько самостоятельных обособленных групп компьютерных преступников.
К первой группе можно отнести лиц, сочетающих определенные черты профессионализма с элементами изобретательности и развлечения. Такие люди, работающие с компьютерной техникой, весьма любознательны, обладают острым умом, а также склонностью к озорству. Они воспринимают меры по обеспечению безопасности компьютерных систем как вызов своему профессионализму и стараются найти технические пути, которые доказали бы их собственное превосходство. При этом они не прочь поднять свой престиж, похваставшись перед коллегами умением найти слабости в компьютерной системе защиты, а иногда и продемонстрировать, как эти слабости можно использовать. Постепенно они набирают опыт, приобретают вкус к такого рода деятельности и пытаются совмещать свои занятия с получением некоторой материальной выгоды. Такой путь проходит большинство хакеров.
Вторую группу составляют лица, страдающие особого рода информационными болезнями, развившимися на почве взаимодействия со средствами компьютерной техники.
Компьютерные системы действует на основе строго определенных правил и алгоритмов, ограниченных рамками задачи. Человек часто руководствуется чувствами, старается пояснить свою цель, аргументировать постановку задачи, ввести при необходимости новые данные и т.п. Некоторые люди попадают в такие ситуации, когда не могут адаптироваться к требованиям современной компьютерной технологии. У них развивается болезненная реакция, приводящая к неадекватному поведению. Чаще всего она трансформируется в особый вид компьютерного преступления — компьютерный вандализм.
Обычно он принимает форму физического разрушения компьютерных систем, их компонентов или программного обеспечения. Часто этим занимаются из чувства мести уволенные сотрудники, а также люди, страдающие компьютерными неврозами.
К третьей группе, представляющей наибольший интерес, относятся специалисты или профессиональные компьютерные преступники. Эти лица обладают устойчивыми навыками, действуют расчетливо, маскируют свои действия, всячески стараются не оставлять следов. Цели их преимущественно корыстные. Особенно опасно, если лица такой направленности оказываются среди сотрудников организации или среди авторизованных пользователей информационной системы.
В 1998 г. в Экспертно-криминалистическом центре МВД РФ был проведен классификационный анализ лиц, замешанных в применении компьютеров для совершения противоправных деяний. Обобщенный портрет отечественного хакера, созданный на основе уголовного преследования такого рода лиц, выглядит примерно так: это мужчина в возрасте от 15 до 45 лет, либо имеющий многолетний опыт работы на компьютере, либо, напротив, почти не обладающий таким опытом; в прошлом к уголовной ответственности не привлекался; является яркой, мыслящей личностью, способной принимать ответственные решения; хороший, добросовестный работник, по характеру нетерпимый к насмешкам и к потере своего социального статуса в рамках группы окружающих его людей; любит уединенную работу; приходит на службу первым и уходит последним; часто задерживается на работе после окончания рабочего дня и очень редко использует отпуска и отгулы.
Существенную роль в структуре криминалистической характеристики компьютерных преступлений играют также сведения о потерпевшей стороне. Изучение жертв компьютерных преступлений часто дает больше информации для решения вопросов компьютерной безопасности, чем изучение лиц, совершающих компьютерные преступления. По опубликованным данным, относящимся к группе развитых стран, среди жертв собственники системы составляли 79%; клиенты — 13%; третьи лица — 8%*.
Особенность криминалистической характеристики компьютерных преступлений заключается и в том, что трудно найти другой вид преступления, после совершения которого его жертва не выказывает особой заинтересованности в поимке преступника, а сам преступник, будучи пойман, всячески рекламирует свою деятельность на поприще компьютерного взлома, мало что утаивая от представителей правоохранительных органов. Психологически этот парадокс вполне объясним. Во-первых, жертва компьютерного преступления совершенно убеждена, что затраты на его раскрытие (включая потери, понесенные в результате утраты своей репутации) существенно превосходят уже причиненный ущерб. И, во-вторых, преступник приобретает широкую известность в деловых и криминальных кругах, что в дальнейшем позволяет ему с выгодой использовать приобретенный опыт.
Организации, жертвы компьютерных преступлений, с неохотой сообщают об этом в правоохранительные органы. Латентность компьютерных преступлений чрезвычайно высока. Часто виновные лица просто увольняются или переводятся в другие структурные подразделения. Иногда с виновного взыскивается ущерб в гражданском порядке. Принимая решение, жертва компьютерного преступления руководствуется одним или несколькими из указанных ниже факторов: компьютерный преступник, как правило, не рассматривается как типичный уголовный преступник; расследование компьютерных преступлений может нарушить нормальное функционирование организации, привести к приостановке ее деятельности; расследование компьютерных преступлений, в том числе и силами самой фирмы, является делом весьма дорогостоящим; будучи разоблаченными, компьютерные преступники в большинстве случаев отделываются легкими наказаниями, зачастую условными — для пострадавших это является одним из аргументов за то, чтобы не заявлять о преступлении;
1 PC WEEK/RE. № 1, 19 января, 1999. законодательство не всегда применимо к компьютерным преступлениям, что приводит к серьезным затруднениям при правильной их квалификации; правоохранительные органы не склонны относить многие из компьютерных правонарушений к категории преступлений и, соответственно, отказывают в возбуждении уголовного дела; компьютерный преступник воспринимается как незаурядная личность; жертва боится серьезного, компетентного расследования, так как оно может вскрыть неблаговидную, если не незаконную, механику ведения дел в организации; расследование компьютерных преступлений может выявить несостоятельность мер безопасности, принимаемых ответственным за них персоналом организации, привести к нежелательным осложнениям, постановке вопросов о профессиональной пригодности и т.д.; опасение увеличения размеров страховых взносов, если компьютерные преступления становятся для организации регулярными; боязнь потери клиентов вследствие утраты репутации; раскрытие компьютерных преступлений сопряжено, как правило, с открытием финансовых, коммерческих и других служебных тайн, которые могут стать достоянием гласности во время судебного рассмотрения дел.
Вопросы предотвращения и раскрытия компьютерных преступлений сегодня касаются каждой организации. Важно, чтобы администрация хорошо понимала, какие условия делают возможными такие посягательства. Руководителям не обязательно быть экспертами в области информационной безопасности, но они должны четко представлять себе возможные проблемы и последствия, связанные с потерей критичной информации.
Существует много косвенных признаков того, что в организации, учреждении готовится или осуществляется компьютерное преступление. Выявление этих признаков не требует специальных знаний и, учитывая это обстоятельство, можно предусмотреть дополнительные меры по совершенствованию компьютерной безопасности и предотвращению преступлений. Наиболее общие индикаторы таковы: сотрудники дают подозрительные объяснения по поводу распределения денежных и материальных средств; производится перезапись данных без серьезных на то причин; данные заменяются, изменяются или стираются; данные не обновляются; на ключевых документах появляются подделанные подписи;
появляются фальшивые записи; персонал системы без видимых на то оснований начинает работать сверхурочно; персонал возражает против осуществления контроля за записью данных; у работников, непосредственно работающих с компьютерами, появляется ненормальная реакция на рутинные вопросы; некоторые сотрудники отказываются уходить в отпуск; отдельные работники начинают слоняться без дела в других подразделениях; жалобы клиентов становятся хроническими и др.
Случайно 19%
Рис. 16.2. Выявление преступлений в сфере компьютерной информации
По оценкам ведущих зарубежных и отечественных специалистов (рис. 16.2), 90% преступлений в сфере компьютерной информации остаются не обнаруженными или о них не сообщается в правоохранительные органы по различным причинам, а из оставшихся 10% обнаруженных и зарегистрированных преступлений раскрывается только каждое десятое. При этом зарегистрированные преступления в информационной сфере обнаруживаются следующим образом: выявляются в результате регулярных проверок доступа к данным службами коммерческой безопасности — 31%; устанавливают с помощью агентурной работы, а также при проведении оперативных мероприятий по проверкам заявлений граждан (жалобам клиентов) — 28%; случайно — 19%; в ходе проведения бухгалтерских ревизий — 13%; в ходе расследования других видов преступлений — 10%.

Наряду с общими обстоятельствами, подлежащими установлению при расследовании компьютерных преступлений, необходимо в обязательном порядке выяснить: характеристику объекта, где совершено преступление: технические и конструктивные особенности помещений, связанные с установкой и эксплуатацией вычислительной техники (специальное оборудование полов, потолков и окон, каналы кабельных и вентиляционных шахт, установка и фактическое состояние устройств кондиционирования воздуха, система электропитания и иные особенности); особенности установки средств комплекса вычислительной техники (сосредоточены в одном месте или расположены в различных помещениях); связь компьютеров между собой посредством локально-вычислительной сети (ЛВС), устройств телекоммуникации и состояние линий связи; структура, конфигурация сети ЭВМ и внешних информационных связей; режим работы; состав вычислительного комплекса: тип, модель, тип и размер энергонезависимых носителей информации и другие характеристики компьютеров; наличие и типы периферийных устройств; состав и аппаратура организации локальной вычислительной сети; наличие, модель и характеристики устройств телекоммуникации; используемое программное обеспечение; использование программно-аппаратных средств защиты; организацию работы со средствами вычислительной техники; способы преодоления программной и аппаратной защиты: подбор ключей и паролей; предварительное хищение ключей и паролей; отключение средств защиты; использование несовершенства средств защиты; разрушение средств защиты; использование специальных программных средств; содержание и назначение информации, подвергшейся воздействию; количественные и качественные характеристики информации (объем, включая примерный объем архивной информации, возможность использования без инсталляции (установки) ключевых дискет и аппаратных ключей-паролей, способ шифрования).
Кроме того, подлежат выяснению обстоятельства, характерные для того или иного вида преступлений данной категории. К таким обстоятельствам относятся: режим и фактическое состояние охраны; наличие и техническая характеристика охранной сигнализации, вид охранной техники; технические средства, использованные при совершении преступления; режим доступа к средствам вычислительной техники; разграничение доступа к средствам вычислительной техники и машинным носителям; организация доступа к ресурсам ЭВМ, сети ЭВМ (в том числе по устройствам телекоммуникации), к кодам, паролям и другой идентифицирующей информации; организация противовирусной защиты — наличие разработанных правил эксплуатации ЭВМ и документации об ознакомлении с ними.
Уровень компьютерной преступности определяется во многом объективными причинами и напрямую зависит от общего уровня информатизации общества. Большинством зарубежных и отечественных исследователей отмечается отставание России в вопросах компьютеризации от развитых стран в среднем на 20 лет. Если в США первое компьютерное преступление было зафиксировано в 1966 г., то в бывшем СССР — в 1979 г. Поэтому тенденции развития компьютерной преступности в России могут заметно отличаться от таковых в развитых странах. По мнению экспертов в данной области, следует прежде всего ожидать значительного количественного роста компьютерных преступлений. Этому способствует ряд причин, среди которых основными можно считать: во-первых, резкий рост безработицы и падение уровня жизни среди так называемой «беловоротничковой» прослойки населения на фоне общего экономического кризиса и кризиса неплатежей; во-вторых, массовая неконтролируемая компьютеризация и использование новейших электронных средств во всех сферах деятельности, прежде всего финансовых, банковских и кредитных учреждениях всех форм собственности; в-третьих, отсутствие соответствующей правовой базы, препятствующей в сколько-нибудь заметной мере распространению и пресечению компьютерных преступлений. Если в США на сегодня действует более 2000 законов и подзаконных актов, в той или иной мере касающихся компьютерных преступлений и связанных с ними явлений, а аналогичные нормы действуют также в ФРГ, Великобритании и Франции, то в России их число не превышает и 10, включая статьи нового Уголовного кодекса РФ.
На наш взгляд, преимущественное внимание на фоне ожидаемого количественного роста компьютерных преступлений следует обратить на выявление качественных изменений и основных тенденций развития компьютерной преступности в России с целью их возможной профилактики и пресечения. К таким тенденциям можно отнести следующие: перенос центра тяжести на совершение компьютерных преступлений с использованием компьютерных сетей, что вызвано широким применением межбанковской системы электронных платежей и компьютерных систем связи, в рамках которой, по различным оценкам, совершается около 40% всех банковских операций в России; преимущественный рост компьютерных преступлений, совершаемых в сфере экономики и денежного обращения, к которым относятся финансовые хищения, мошенничества, подлоги и т.д. Это вызвано, прежде всего, большим количеством финансовых средств, находящихся в этой сфере при отсутствии надежных средств защиты информации и устойчивой дезорганизации платежной системы России; перерастание компьютерной преступности в разряд транснациональных преступлений, чему способствует относительная легкость преодоления систем защиты в компьютерных сетях и доступа к коммерческим секретам крупнейших мировых корпораций и банков, включая Всемирную компьютерную сеть Internet. Компьютерные преступления позволяют наиболее простым способом отмывать «грязные» капиталы (наркобизнес, незаконный оборот оружия и др.) и переводить крупные суммы денег на офшорные счета за рубежом; существенное омоложение в ближайшие годы компьютерной преступности за счет притока молодого поколения профессио- налов-компьютерщиков, чему способствует раннее знакомство учащейся молодежи с компьютерами и отсутствие при этом устойчивых моральных принципов; одна из самых опасных тенденций — сращивание компьютерной преступности с организованной преступностью. Современные компьютерные преступления носят в своей массе организованный характер, требуют специальной подготовки и больших материальных и финансовых затрат на их проведение. Интеграция в международные преступные сообщества и коррупция в среде должностных лиц также способствуют этому положению; распространение таких компьютерных преступлений, как компьютерный экономический и политический шпионаж, шантаж и преступления против личности.
На современном этапе развития ИТ в России назрела необходимость детального изучения проблемы основ криминалистического исследования компьютерной преступности. Следует отметить, что при совершении компьютерных преступлений, также как и при совершении любых других общеизвестных видов преступлений, остаются «следы», обнаружение, фиксация и исследование которых является непременным условием при расследовании и раскрытии как данного вида преступлений, так и в борьбе с «техногенной» преступностью в целом.
Решение задачи борьбы с преступлениями в сфере компьютерной информации видится также в более объективном и тщательном подходе в законотворчестве к регламентированию общественных отношений, связанных с рассматриваемой темой. Необходимо привлекать к этой работе профессионалов из подразделений правоохранительных органов, людей, занятых в сферах бизнеса технологий и телекоммуникаций.
В Уголовный кодекс РФ требуется внести новые составы преступлений, которые позволили бы более точно определить круг преступных деяний в сфере высоких технологий и телекоммуникаций. Необходимо уйти от общих составов главы 28 УК в сторону конкретизации.
Особенно следует понимать, что в будущем не отдельные лица и даже не группы злоумышленников смогут использовать достижения в сфере высоких технологий и телекоммуникаций для своих преступных целей, но и целые государства, стоящие на позиции открытой и скрытой конфронтации, будут вести враждебные действия в информационной сфере.
В заключение рассмотрения вопроса о криминалистической характеристике компьютерных преступлений хотелось бы особо подчеркнуть, что, по данным многочисленных опросов, лишь небольшое число респондентов осведомлено о существовании тех или иных видов и способов совершения преступлений в сфере компьютерной информации, что еще раз подчеркивает актуальность проведенного выше рассмотрения.
Объясняется же столь опрометчивая неосведомленность очень просто — количество зарегистрированных компьютерных преступлений в России пока еще не очень велико. Не получившие до сих пор, в основном по экономическим причинам, необходимого развития крупные государственные и корпоративные информационные системы именно в силу своей содержательной и технической отсталости не стали объектом вторжений со стороны как отечественных, так и зарубежных информационных преступников, хотя и подвергаются массовому «пиратскому» копированию.
Банковские информационные системы стали создаваться и продолжают развитие уже с учетом имевшихся на Западе проблем с конфиденциальностью, многие из них и сейчас закрыты от внешнего доступа. Эти и другие подобные обстоятельства дают основание полагать, что угрозы информационной преступности именно в области компьютерной информации для российских субъектов реальны, однако пока не имеют той остроты, как для стран, развитых в области информационных технологий. Практика последних лет показывает, что пока еще отечественные «преступные таланты» ищут жертвы для нападения преимущественно в зарубежных информационных системах.
Кроме того, многие организации даже при установлении факта подобного преступления предпочитают ограничиваться разрешением конфликта своими силами, поскольку убытки от расследования могут оказаться выше суммы причиненного ущерба. (Изъятие файлового сервера для проведения экспертизы может привести к остановке работы на срок до двух месяцев, что неприемлемо ни для одной организации.) Их руководители опасаются подрыва своего авторитета в деловых кругах и, как следствие, потери большого числа клиентов, неминуемого раскрытия в ходе судебного разбирательства системы безопасности организации либо выявления собственной незаконной деятельности.
Но даже при отсутствии перечисленных обстоятельств руководители организаций, работающих в информационной сфере, сомневаются в возможности положительного решения их проблем правоохранительными органами. Тем не менее органами внутренних дел уже проведены как организационные, так и практические мероприятия, направленные на совершенствование борьбы с компьютерными преступлениями.
В Следственном комитете при МВД России создан Отдел по организации расследования преступлений в сфере компьютерной информации, а в следственных управлениях крупных регионов — специализированные подразделения по расследованию данного вида преступлений. Оперативно-розыскная деятельность по выявлению, пресечению и раскрытию правонарушений в сфере телекоммуникаций и компьютерной информации осуществляется имеющимся в министерстве Управлением по борьбе с преступлениями в сфере высоких технологий и его подразделениями на местах.
В настоящее время активно ведется работа по подготовке и обучению сотрудников как следственных, так и оперативных подразделений. Для этих целей, помимо ведущих российских специалистов, приглашаются и специалисты правоохранительных органов зарубежных стран, уже давно столкнувшихся с проблемой компьютерной преступности.
Таким образом, созданы все необходимые условия для успешной борьбы с этим видом общественно опасных деяний.
Контрольные вопросы и задания Какие существуют противоправные действия в отношении компьютерной информации? В чем заключается проблема информационных нападений? Приведите примеры информационных нападений. Назовите основные особенности информационной компьютерной преступности в России. Какие виды компьютерных преступлений вы знаете? Как их предупреждать? Охарактеризуйте способы совершения информационных компьютерных преступлений. Что представляет собой компьютерный вирус? Назовите основные типы вирусов. В чем заключаются отрицательные проявления компьютерных вирусов? Что такое инкубационный период развития вируса? Что такое резидентный вирус и как он действует? К какому виду информации относится записанный на бумаге текст программы для ЭВМ? Является ли вредоносной программа, обеспечивающая снятие защиты от копирования компьютерных игр?




<< | >>
Источник: под ред. С.Я. Казанцева, Н.М. Дубининой. Информатика и математика для юристов: учебник для студентов вузов, обучающихся по юридическим специальностям. 2010

Еще по теме Криминалистическая характеристика компьютерных преступлений:

  1. 1. Компьютерные преступления
  2. Криминалистическая характеристика
  3. О КОМПЬЮТЕРНЫХ ПРЕСТУПЛЕНИЯХ И ИХ ПОСЛЕДСТВИЯХ ДЛЯ ЧЕЛОВЕЧЕСТВА
  4. Глава 1. ОБЩАЯ ХАРАКТЕРИСТИКА ПРЕСТУПЛЕНИЙ ТЕРРОРИСТИЧЕСКОГО ХАРАКТЕРА
  5. «Виртуальная реальность», или Педагогические возможности игровой эстетической компьютерной среды в курсе «Компьютерная графика и анимация» Елена ХРАМЦОВА
  6. 15.1 Выявление и расследование преступлений и изобличение лиц, виновных в их совершении, как одна из важнейших правоохранительных функций. Виды этой деятельности: оперативно- розыскная, дознание и предварительное следствие. Их общая характеристика
  7. Роль экспертно-криминалистических подразделений
  8. Прикладные проблемы судебной патопсихологии 2.1.1. Криминалистические
  9. 5. Компьютерно-техническая экспертиза
  10. 13.7. Компьютерное тестирование
  11. А.Е. Петров, JI.A. Беляев, А.П. Бужилова Между наукой и областной администрацией: опыт фальсификации останков Ивана Сусанина с помощью заданной интерпретации археологических и судебно-криминалистических исследований