Способы совершения преступления в сфере компьютерной информации. Способы совершения компьютерных преступлений Преступления против информационной безопасности в Республике Беларусь

Важнейшим и определяющим элементом криминалистической характеристики любого, в том числе и компьютерного, преступления является совокупность данных, характеризующих способ его совершения.Под способом совершения преступления обычно понимают объективно и субъективно обусловленную систему поведения субъекта до, в момент и после совершения преступления, оставляющего различного рода характерные следы, позволяющие с помощью криминалистических приемов и средств получить представление о сути происшедшего, своеобразии преступного поведения правонарушителя, его отдельных личностных данных и соответственно определить наиболее оптимальные методы решения задач раскрытия преступления Сорокин А.В. Компьютерные преступления: уголовно-правовая характеристика, методика и практика раскрытия и расследования. - Курган, 1999.

В настоящее время можно выделить свыше 20 основных способов совершения компьютерных преступлений и около 40 их разновидностей. И их число постоянно растет.

Ю.М. Батурин классифицировал способы совершения компьютерных преступлений в пять основных групп. При этом в качестве основного классифицирующего признака выступает метод использования преступником тех или иных действий, направленных на получение доступа к средствам компьютерной техники. Руководствуясь этим признаком, Батурин выделил следующие общие группы Батурин Ю.М. Проблемы компьютерного права. -- М.: Юрид. лит., 1991.

> изъятие средств компьютерной техники (СКТ);

> перехват информации;

> несанкционированный доступ к СКТ;

> манипуляция данными и управляющими командами;

> комплексные методы.

I. Изъятие средств компьютерной техники. К этой группе преступлений можно отнести, например, незаконное изъятие физических носителей, на которых находится ценная информация.

II. Хищение компьютерной информации. Если «обычные» хищения подпадают под действие существующего уголовного закона, то проблема хищения информации значительно более сложна. Присвоение машинной информации, в том числе программного обеспечения, путем несанкционированного копирования не квалифицируется как хищение, поскольку хищение сопряжено с изъятием ценностей из фондов организации. Не очень далека от истины шутка, что у нас программное обеспечение распространяется только путем краж и обмена краденым. При неправомерном обращении в собственность машинная информация может не изыматься из фондов, а копироваться. Следовательно, машинная информация должна быть выделена как самостоятельный предмет уголовно-правовой охраны.

Другой вид преступлений, связанный с хищением информации, получил название «воздушный змей». В простейшем случае требуется открыть в двух банках по небольшому счету. Далее деньги переводятся из одного банка в другой и обратно с постепенно повышающимися суммами. Хитрость заключается в том, чтобы до того, как в банке обнаружится, что поручение о переводе не обеспечено необходимой суммой, приходило бы извещение о переводе в этот банк, так чтобы общая сумма покрывала требование о первом переводе. Этот цикл повторяется большое число раз («воздушный змей» поднимается все выше и выше) до тех пор, пока на счете не оказывается приличная сумма (фактически она постоянно «перескакивает» с одного счета на другой, увеличивая свои размеры). Тогда деньги быстро снимаются, а владелец счета исчезает. Этот способ требует очень точного расчета, но для двух банков его можно сделать и без компьютера. На практике в такую игру включают большое количество банков: так сумма накапливается быстрее и число поручений о переводе не достигает подозрительной частоты. Но управлять этим процессом можно только с помощью компьютера.

Эти способы основаны на действиях преступника, направленных на получение данных путем определенного перехвата:

1. непосредственный перехват - это подключение непосредственно к оборудованию компьютера, системы или сети (например, к линии принтера или телефонной линии). Подключение осуществляется с помощью использования бытовых средств и оборудования: телефона, отрезка провода и т.д., а перехваченная информация записывается на физический носитель и переводится в человекообразную форму средствами компьютерной техники;

2. электронный перехват - это дистанционный перехват. Он не требует непосредственного подключения к оборудованию компьютера: основан на установлении приемника, который принимает электромагнитные волны - если настроить этот приемник на определенную частоту, то можно принимать, например, волны, которые излучает экран монитора. Благодаря этому способу можно принимать сигналы с больших расстояний;

3. аудиоперехват - самый опасный способ перехвата информации. Он заключается в установке специального прослушивающего устройства - «жучка». Эти устройства очень трудно обнаружить, потому что они искусно маскируются под обычные вещи. Аудиоперехват также может проводиться с помощью дорогостоящих лазерных установок, которые могут принимать звуковые вибрации, например, с оконного стекла. Этим способом пользуются, в основном, профессиональные преступники;

4. видеоперехват - заключается в использовании преступником видеооптической техники для перехвата информации. Способ имеет две разновидности: первая - физическая, заключается в применении преступником различных бытовых видеооптических приборов (подзорные трубы, бинокли, приборы ночного видения), полученная информация может фиксироваться на физический носитель; во втором случае преступник использует специальные электронные устройства (электронный видеоперехват), которые предполагают наличие различных каналов связи, устройства состоят из передатчика и приемника (передатчик находится в нужном помещении и передает получаемые сигналы на приемник, который находится в руках преступника), а также преступником используются цифровые видеокамеры, видеомагнитофоны и т.д.;

5. «уборка мусора». Этот способ совершения компьютерных преступлений заключается в неправомерном использовании преступником отходов технологического процесса. Он осуществляется в двух формах: физической и электронной. В первом случае преступник осматривает содержимое мусорных корзин, емкостей для технологических отходов; собирает оставленные или выброшенные физические носители информации. Электронный вариант требует просмотра содержимого памяти компьютера для получения необходимой информации. Последние записанные данные не всегда полностью стираются из памяти компьютера и существуют специальные программы, которые могут частично или полностью восстанавливать данные на компьютере. Преступник, используя такую программу, может получить необходимую информацию (уничтоженную с точки зрения пользователя). Подобное происходит по вине пользователя, который выполнил не все действия для полного уничтожения данных.

III. Получение несанкционированного доступа к средствам компьютерной техники. Несанкционированный доступ осуществляется, как правило, с использованием чужого имени, изменением физических адресов технических устройств, использованием информации оставшейся после решения задач, модификацией программного и информационного обеспечения, хищением носителя информации, установкой аппаратуры записи, подключаемой к каналам передачи данных.

Несанкционированный доступ к файлам законного пользователя осуществляется нахождением слабых мест в защите системы. Однажды обнаружив их, нарушитель может исследовать содержащуюся в системе информацию, копировать ее, возвращаться к ней много раз. Виды несанкционированного доступа:

1. «за дураком». Правонарушителем в данном случае является внутренний пользователь определенной системы. Используя этот способ, он получает несанкционированный доступ к средствам компьютерной техники путем прямого подключения к ним (например, с помощью телефонной проводки). Преступление совершается в тот момент, когда сотрудник, который отвечает за работу средства компьютерной техники, ненадолго покидает свое рабочее место, оставляя технику в активном режиме, т.е. способ становится возможным в случае низкой бдительности сотрудников организации;

2. «компьютерный абордаж». Если преступник получает доступ к компьютеру, он не может сразу получить нужные ему данные, т.к. на полезную информацию обычно ставят пароль доступа. Используя данный способ, преступник производит подбор кода, для чего используются специальные программы, перебирающие с помощью высокого быстродействия компьютера все возможные варианты пароля. В том случае, если преступник знает пароль, доступ получается значительно быстрее. Необходимо отметить, что существует множество программ, которые взламывают пароль доступа. Но есть также программы-«сторожи», которые отключают пользователя от системы в случае многократного некорректного доступа. В таких случаях преступниками используется другой метод - «интеллектуального подбора». В этом случае программе-«взломщику» передаются некоторые данные о личности составителя пароля (имена, фамилии, номера телефонов и пр.), добытые преступником с помощью других способов. Так как из подобного рода данных обычно составляются пароли, эффективность этого метода достаточно высока. По оценкам специалистов с помощью метода «интеллектуального подбора» вскрывается 42% от общего числа паролей;

3. неспешный выбор характеризуется поиском преступником слабых мест в защите компьютерной системы. Когда такое место найдено, преступник копирует нужную информацию на физический носитель. Этот способ назван так, потому что поиск слабых мест производится долго и очень тщательно;

4. «брешь» - способ, при котором преступник ищет конкретно участки программы, имеющие ошибки. Такие «бреши» используются преступником многократно, пока не будут обнаружены. Дело в том, что программисты иногда допускают ошибки при разработке программных средств, и впоследствии их может обнаружить только высококвалифицированный специалист. Иногда программисты намеренно делают «бреши» с целью подготовки совершения преступления. Когда преступник находит «брешь», он может ввести туда несколько команд, которые срабатывают в определенное время или при определенных условиях, образуя тем самым «люк», который открывается по мере необходимости;

5. «маскарад» - способ, с помощью которого преступник входит в компьютерную систему, выдавая себя за законного пользователя. Самый простой путь к проникновению в такие системы - получить коды законных пользователей (путем подкупа, вымогательства и т.д.) либо использовать метод «компьютерный абордаж», рассмотренный выше;

6. мистификация. Пользователь, который подключается к чьей-нибудь системе, обычно уверен, что он общается с нужным ему абонентом. Этим пользуется преступник, который правильно отвечает на вопросы обманутого пользователя. Пока пользователь находится в заблуждении, преступник может получать необходимую информацию (коды доступа, отклик на пароль и т.д.);

7. «аварийная ситуация» - способ, характеризующийся тем, что преступник для получения несанкционированного доступа использует программы, которые находятся на самом компьютере. Обычно это программы, ликвидирующие сбои и другие отклонения в компьютере. Таким программам необходим непосредственный доступ к наиболее важным данным, и благодаря этим программам преступник может войти в систему;

8. «склад без стен» - способ, при котором преступник проникает в систему во время поломки компьютера (в это время нарушается система защиты).

IV. Манипуляции данными и управляющими командами средств компьютерной техники. Подмена данных - наиболее популярный способ совершения преступления, потому что достаточно простой. Действия преступника при этом направлены на изменение или введение новых данных. Это осуществляется при вводе-выводе информации. Например, в банковские счета можно добавить суммы, которые туда не зачислялись, а потом получить эти деньги.

«Троянский конь» - тоже весьма популярный способ совершения преступления. Он заключается во введении преступником в чужое программное обеспечение специальных программ, которые начинают выполнять новые действия, незапланированные законным владельцем средства компьютерной техники. Обычно они используется преступниками для отчисления на заранее открытый счет определенной суммы с каждой операции.

«Троянская матрешка» - вид «троянского коня». Предполагает собой самоуничтожение программы из чужого программного обеспечения после выполнения своей задачи.

«Салями» - способ, основанный на быстродействии средств компьютерной техники: при совершении коммерческих сделок конечные суммы округляются; остаточные суммы настолько малы, что вообще не учитываются. Накопление денежных средств преступником происходит за счет отчисления таких сумм со многих операций.

«Логическая бомба» - представляет собой тайное внесение в чужое программное обеспечение специальных команд, которые срабатывают при определенных обстоятельствах (в наступлении которых преступник абсолютно уверен). Разновидностью этого способа является «временная бомба» -программа, которая включается по достижении какого-либо времени.

Компьютерные вирусы. «Троянские кони» типа «сотри все данные этой программы, перейди в следующую и сделай тоже самое» обладают свойствами переходить через коммуникационные сети из одной системы в другую, распространяясь как вирусное заболевание. Выявляется вирус не сразу: первое время компьютер «вынашивает инфекцию», поскольку для маскировки вирус нередко используется в комбинации с «логической бомбой» или «временной бомбой». Вирус наблюдает за всей обрабатываемой информацией и может перемещаться, используя пересылку этой информации.

Начиная действовать (перехватывать управление), вирус дает команду компьютеру, чтобы тот записал зараженную версию программы. После этого он возвращает программе управление. Пользователь ничего не заметит, так как его компьютер находится в состоянии «здорового носителя вируса». Обнаружить этот вирус можно, только обладая чрезвычайно развитой программистской интуицией, поскольку никакие нарушения в работе ЭВМ в данный момент не проявляют себя. А в один прекрасный день компьютер «заболевает».

Варианты вирусов зависят от целей, преследуемых их создателем. Признаки их могут быть относительно доброкачественными, например, замедление в выполнении программ или появление светящейся точки на экране дисплея. Признаки могут быть иволютивными, и «болезнь» будет обостряться по мере своего течения. Так, по непонятным причинам программы начинают переполнять магнитные диски, в результате чего существенно увеличивается объем программных файлов. Наконец, эти проявления могут быть катастрофическими и привести к стиранию файлов и уничтожению программного обеспечения.

Эти программы самопроизвольно присоединяются к другим программам и при запуске последних выполняют различные, нежелательные действия (порча файлов и каталогов, искажение и уничтожение информации и т.д.). Этот способ совершения компьютерных преступлений наиболее популярен. В настоящее время в мире существует очень много видов компьютерных вирусов, но всех их можно отнести к загрузочным либо к файловым:

ѕ загрузочные вирусы - заражение происходит при загрузке компьютера с носителя информации, содержащего вирус. Заразить сам носитель достаточно просто: на него вирус может попасть, если пользователь вставил его в приемное устройство зараженного включенного компьютера. При этом вирус автоматически внедряется во внутреннюю структуру носителя;

ѕ файловые вирусы - поражают исполняемые файлы: EXE, COM, SYS, BAT. Эти вирусы заражают компьютер, если была запущена программа, которая уже содержит вирус. В этом случае происходит дальнейшее заражение других программ, по сути напоминающее вирусное заболевание.

Для изучения вирусов создана специальная наука - компьютерная вирусология. С точки зрения этой науки вирусы можно разделить на:

ѕ резидентные и нерезидентные . Резидентный вирус, оставляя свой код в оперативной памяти, возобновляется при каждом включении компьютера. Менее опасными являются нерезидентные вирусы. Они оставляют в оперативной памяти небольшие программы, которые не имеют алгоритма распространения вируса (такой вирус погибает при выключении компьютера);

ѕ «вульгарные» и «раздробленные» . Такое деление произведено по алгоритму строения и обнаружения того или иного вируса. «Вульгарные» вирусы написаны одним блоком и легко обнаруживаются специалистами с помощью специальных антивирусных программ. Что касается Программа «раздробленного» вируса разделена на части, никак не связанные друг с другом, но они «собирающиеся» при определенных условиях во вполне здоровый вирус (после выполнении своей задачи такой вирус распадается или самоуничтожается).

Вирусные модификации:

ѕ вирусы-«черви» - вирусы, не изменяющие программные файлы. Они проникают в память компьютера из компьютерной сети, и вычисляют адреса других компьютеров (в обнаруженные компьютеры рассылают копии вируса);

ѕ вирусы-«невидимки» - достаточно совершенные вирусы: их трудно обнаружить антивирусной программой и невозможно увидеть при обычном просмотре файлов, т.к. при открытии зараженного файла они немедленно удаляются из него, а при закрытии опять заражают;

ѕ вирусы-«призраки» - тоже трудно обнаруживаемые вирусы: заражая программы, они постоянно меняют свой код (содержание), так что во всех следующих зараженных программах нельзя заметить какого-то совпадения. Потому эти вирусы трудно обнаружить с помощью антивирусных программ, основанных на этом принципе.

Моделирование - способ совершения компьютерных преступлений, который представляет собой моделирование поведения устройства или системы с помощью программного обеспечения. Например: «двойная» бухгалтерия. Здесь одновременно существуют две бухгалтерские программы, одна из которых функционирует в законном режиме, а другая - незаконном. С помощью незаконной программы проводят теневые сделки.

Копирование - способ совершения преступления, который представляет собой незаконное копирование информации преступником программных средств компьютерной техники. Преступник незаконно копирует информацию на свой физический носитель, а затем использует ее в корыстных целях. Этот способ распространен из-за своей простоты. Например: два лица заключают договор на разработку программного средства, заказчик при этом платит определенную сумму за работу. Исполнитель просто копирует нужную программу из какого-либо источника, и, выдавая за свою, предоставляет заказчику.

Преодоление программных средств защиты - вспомогательный способ совершения преступления, представляющий собой умышленное преодоление системы защиты. Существует несколько разновидностей этого способа:

1. создание копии ключевой дискеты. Для запуска некоторых систем необходима ключевая дискета с необходимыми системными файлами. Преступник может незаконно создать копию такой дискеты с помощью программы DISKCOPY, что позже поможет ему попасть в нужную систему;

2. модификация кода системы защиты. Код системы защиты выполняет в компьютере проверку ключевых дискет на санкционированность запуска защищенного информационного ресурса. Модифицируя этот код, преступник просто обходит систему защиты. Данный способ может быть реализован только высококлассным опытным специалистом;

3. использование механизма установки (снятия) программных средств защиты информации. Некоторые программные средства защиты устанавливаются на физический носитель и закрепляются на нем вместе с другими данными. В связи с этим невозможно произвести копирование с такого носителя. В данном случае преступник производит некий алгоритм действий и снимает защищенные программы с носителя. Этот процесс требует немалых знаний и опыта от правонарушителя;

4. снятие системы защиты из памяти ЭВМ. Система защиты периодически загружает защищаемое программное средство в оперативную память для передачи управления этой программой коду защиты. Когда код еще не взял управление на себя, в оперативной памяти находится совершенно незащищенная программа. Преступнику остается сохранить ее в каком-нибудь файле.

ВОЕННЫЙ УНИВЕРСИТЕТ

Кафедра информатики и управления

Курсовая работа

курсанта 1-го курса 5-го факультета

Арзамаскина Алексея Сергеевича

Тема: «Способы совершения компьютерных преступлений»

Руководитель: _______________

____________________________

____________________________

____________________________

Защищена Оценка

_________ _________

Москва – 2004

"По-настоящему безопасной можно считать лишь систему, которая выключена, замурована в бетонный корпус, заперта в помещении со

Юджин Х. Спаффорд

эксперт по информационной безопасности

ВВЕДЕНИЕ

Прогресс не остановить ничем. Человечество развивается сейчас большими темпами. Порой законодатель не успевает за все убыстряющими темпами технократического развития общества. Уголовно-правовая защита компьютерной информации в российском уголовном законодательстве введена впервые. Ранее, 23 сентября 1992 года, был принят Закон "О правовой охране программного обеспечения для ЭВМ и баз данных" 1 и 20 февраля 1995 года Федеральный Закон "Об информации, информатизации и защите информации" 2 В этих законах был предусмотрен целый комплекс мер по защите ЭВМ, баз данных, сетей в целом комплексной информации. В ст.20 Закона от 23 сентября 1992 года содержалось положение о том, что выпуск под своим именем чужой программы для ЭВМ или баз данных, либо незаконное воспроизведение, распространение таких произведений влечет за собой уголовную ответственность в соответствии с Законом. Однако данные уголовно-процессуальные нормы тогда не были приняты. Очевидно, посчитали достаточной статью 141 Уголовного кодекса РСФСР, хотя она ответственности за упомянутые деяния не предусматривала. В настоящее время в различных отраслях законодательства идет процесс, связанный с принятием ряда нормативных актов, устанавливающих условия и принципы защиты информации в соответствующих областях. Действует с 1995 года Федеральный закон "Об информации, информатизации и защите информации" 3 , устанавливающий основные принципы защиты информации; в Уголовном кодексе РФ 96 года есть целая глава (гл.28 "Преступления в сфере компьютерной информации") предусматривает уголовную ответственность за деяния в названной сфере. Создание правового аппарата, который обеспечивал бы нормальное функционирование механизма защиты, представляет собой очень сложную задачу. Анализ литературных источников позволяет говорить о разработке нескольких правовых проблем, которые могут быть рассмотрены в качестве составных частей правовой компоненты механизма защиты. К их числу относятся:

Установление правовых оснований контроля над доступом к данным в системы 4 .

Установление внутрисистемной ответственности за выполнение технологических операций, так или иначе связанных с защитой данных.

Таким образом, можно сделать ряд выводов. Во-первых, накоплена теоретическая база, которая свидетельствует о складывающемся правовом механизме, нацеленным на защиту информации. Во-вторых, большинство авторов, выделяет сначала проблему, требующую правового урегулирования, а затем уже предлагает средства такого регулирования, то есть используется функциональный подход. В-третьих, пока еще нет четкого представления о правовом механизме защиты автоматизированных систем как целостной системы.

Компьютерная преступность не знает границ. Это международное понятие. С внедрением в человеческую жизнь новых технологий, когда обмен информацией стал быстрым, дешевым и эффективным, преступность в информационной сфере переросла за рамки тех понятий, которые обычно существуют для определения преступности. Компьютерные преступления условно можно подразделить на две боль­шие категории - преступления, связанные с вмешательством в работу компьютеров, и преступления, использующие компьютеры как необходимые технические средства.

Сегодня массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации.

Несмотря на принятые во многих странах законы о борьбе с компьютерными преступлениями и разработку специальных программных средств защиты от вирусов, количество новых программных вирусов постоянно растет. Это требует от пользователя персонального компьютера знаний о природе вирусов, способах заражения вирусами и защиты от них.

Но вирусы, при всем их разнообразии – это далеко не весь перечень компьютерных преступлений, которые существуют на сегодняшний день. В своей работе я попытаюсь более подробно изложить данную проблему, так как считаю, что она актуальна на сегодняшний день. Особое внимание я уделю наиболее распространенному преступлению – создание и эксплуатация вирусов, а так же лицам, которые связаны с этой деятельностью – хакеры.

I. КЛАССИФИКАЦИЯ КОМПЬЮТЕРНЫХ ПРЕСТУПЛЕНИЙ

Зарубежными специалистами разработаны различные классификации способов совершения компьютерных преступлений. Ниже приведены названия способов совершения подобных преступлений, соответствующих кодификатору Генерального Секретариата Интерпола. В 1991 году данный кодификатор был интегрирован в автоматизированную систему поиска и в настоящее время доступен НЦБ более чем 100 стран 5 .

Все коды, характеризующие компьютерные преступления, имеют идентификатор, начинающийся с буквы Q . Для характеристики преступления могут использоваться до пяти кодов, расположенных в порядке убывания значимости совершенного 6 .

QA - Несанкционированный доступ и перехват

QAH - компьютерный абордаж

QAI - перехват

QAT - кража времени

QAZ - прочие виды несанкционированного доступа и перехвата

QD - Изменение компьютерных данных

QUL - логическая бомба

QDT - троянский конь

QDV - компьютерный вирус

QDW - компьютерный червь

QDZ - прочие виды изменения данных

QF - Компьютерное мошенничество

QFC - мошенничество с банкоматами

QFF - компьютерная подделка

QFG - мошенничество с игровыми автоматами

QFM - манипуляции с программами ввода-вывода

QFP - мошенничества с платежными средствами

QFT - телефонное мошенничество

QFZ - прочие компьютерные мошенничества

QR - Незаконное копирование

QRG - компьютерные игры

QRS - прочее программное обеспечение

QRT - топография полупроводниковых изделий

QRZ - прочее незаконное копирование

QS - Компьютерный саботаж

QSH - с аппаратным обеспечением

QSS - с программным обеспечением

QSZ - прочие виды саботажа

QZ - Прочие компьютерные преступления

QZB - с использованием компьютерных досок объявлений

QZE - хищение информации, составляющей коммерческую тайну

QZS - передача информации конфиденциального характера

QZZ - прочие компьютерные преступления 7

II. КРАТКАЯ ХАРАКТЕРИСТИКА КОМПЬЮТЕРНЫХ ПРЕСТУПЛЕНИЙ

Согласно приведенному кодификатору кратко охарактеризую некоторые виды компьютерных преступлений.

Несанкционированный доступ и перехват информации (QA) включает в себя следующие виды компьютерных преступлений:

QAH - "Компьютерный абордаж" (хакинг - hacking): доступ в компьютер или сеть без нрава на то. Этот вид компьютерных преступлений обычно используется хакерами для проникновения в чужие информационные сети.

QAI - перехват (interception): перехват при помощи технических средств, без права на то. Перехват информации осуществляется либо прямо через внешние коммуникационные каналы системы, либо путем непосредственного подключения к линиям периферийных устройств. При этом объектами непосредственного подслушивания являются кабельные и проводные системы, наземные микроволновые системы, системы спутниковой связи, а также специальные системы правительственной связи. К данному виду компьютерных преступлений также относится электромагнитный перехват (electromagnetic pickup). Современные технические средства позволяют получать информацию без непосредственною подключения к компьютерной системе: ее перехват осуществляется за счет излучения центрального процессора, дисплея, коммуникационных каналов, принтера и т.д. Все это можно осуществлять, находясь на достаточном удалении от объекта перехвата 8 .

Для характеристики методов несанкционированного доступа и перехвата информации используется следующая специфическая терминология:

"Жучок" (bugging) - характеризует установку микрофона в компьютере с целью перехвата разговоров обслуживающего персонала;

"Откачивание данных" (data leakage) - отражает возможность сбора информации, необходимой для получения основных данных, в частности о технологии ее прохождения в системе;

"Уборка мусора" (scavening) - характеризуе г поиск данных, оставленных пользователем после работы на компьютере. Этот способ имеет две разновидности - физическую и электронную. В физическом варианте он может сводиться к осмотру мусорных корзин и сбору брошенных в них распечаток, деловой переписки и т.д. Электронный вариант требует исследования данных, оставленных в памяти машины;

метод следования "За дураком" (piggbackiiig), характеризующий несанкционированное проникновение как в пространственные, так и в электронные закрытые зоны. Его суть состоит в следующем. Если набрать в руки различные предметы, связанные с работой на компьютере, и прохаживаться с деловым видом около запертой двери, где находится терминал, то, дождавшись законного пользователя, можно пройти в дверь помещения вместе с ним;

метод"За хвост" (between the lines entry), используя который можно подключаться к линии связи законного пользователя и, догадавшись, когда последний заканчивает активный режим, осуществлять доступ к системе;

метод "Неспешного выбора" (browsing). В этом случае несанкционированный доступ к базам данных и файлам законного пользователя осуществляется путем нахождения слабых мест в защите систем. Однажды обнаружив их, злоумышленник может спокойно читать и анализировать содержащуюся в системе информацию, копировать ее, возвращаться к ней по мере необходимости;

метод "Поиск бреши" (trapdoor entry), при котором используются ошибки или неудачи в логике построения программы. Обнаруженные бреши могут эксплуатироваться неоднократно;

метод"Люк" (trapdoor), являющийся развитием предыдущего. В найденной "бреши" программа "разрывается" и туда вставляется определенное число команд. По мере необходимости "люк" открывается, а встроенные команды автоматически осуществляют свою задачу 9 ;

метод "Маскарад" (masquerading). В этом случае злоумышленник с использованием необходимых средств проникает в компьютерную систему, выдавая себя за законного пользователя;

метод "Мистификация" (spoofing), который используется при случайном подключении "чужой" системы. Злоумышленник, формируя правдоподобные отклики, может поддерживать заблуждение ошибочно подключившегося пользователя в течение какого-то промежутка времени и получать некоторую полезную для него информацию, например коды пользователя.

QAT - кража времени: незаконное использование компьютерной системы или сети с намерением неуплаты.

Изменение компьютерных данных (QD) включает в себя следующие виды преступлений:

QDL/QDT - логическая бомба (logic bomb), троянский конь (trojan horse): изменение компьютерных данных без права на то, путем внедрения логической бомбы или троянского коня.

Логическая бомба заключается в тайном встраивании в программу набора команд, который должен сработать лишь однажды, но при определенных условиях.

Троянский конь - заключается в тайном введении в чужую программу таких команд, которые позволяют осуществлять иные, не планировавшиеся владельцем программы функции, но одновременно сохранять и прежнюю работоспособность.

QDV - вирус (virus): изменение компьютерных данных или программ, без права на то, путем внедрения или распространения компьютерного вируса.

Компьютерный вирус - это специально написанная программа, которая может "приписать" себя к другим программам (т.е. "заражать" их), размножаться и порождать новые вирусы для выполнения различных нежелательных действий на компьютере 10 .

Процесс заражения компьютера программой-вирусом и его последующее лечение имеют ряд черт, свойственных медицинской практике. По крайней мере, эта терминология весьма близка к медицинской:

резервирование - копирование FAT, ежедневное ведение архивов измененных файлов - это самый важный и основной метод защиты от вирусов. Остальные методы не могут заменить ежедневного архивирования, хотя и повышают общий уровень защиты;

профилактика - раздельное хранение вновь полученных и уже эксплуатируемых программ, разбиение дисков на "непотопляемые отсеки" - зоны с установленным режимом "только для чтения", хранение неиспользуемых программ в архивах, использование специальной "инкубационной" зоны для записи новых программ с дискет, систематическая проверка ВООТ-сектора используемых дискет и др.;

анализ - ревизия вновь полученных программ специальными средствами и их запуск в контролируемой среде, систематическое использование контрольных сумм при хранении и передаче программ. Каждая новая программа, полученная без контрольных сумм, должна тщательно проверяться компетентными специалистами по меньшей мере на известные виды компьютерных вирусов и в течение определенного времени за ней должно быть организовано наблюдение;

фильтрация - использование резидентных программ типа FluShot Plus, MaceVaccinee и других для обнаружения попыток выполнить несанкционированные действия;

вакцинирование - специальная обработка файлов, дисков, катало-гов, запуск специальных резидентных программ-вакцин, имитирующих сочетание условий, которые используются данным типом вируса, для определения заряжения программы или всего диска;

терапия - деактивация конкретного вируса п отраженных программах с помощью специальной антивирусной программы или восстановление первоначального состояния программ путем уничтожения всех экземпляров вируса в каждом из зараженных файлов или дисков с помощью программы-фага 11 .

Понятно, что избавится от компьютерного вируса гораздо сложнее, чем обеспечить действенные меры по его профилактике.

QDW - червь: изменение компьютерных данных или программ, без права на то, путем передачи, внедрения или распространения компьютерного червя в компьютерную сеть.

Компьютерные мошенничества (QF) объединяют в своем составе разнообразные способы совершения компьютерных преступлений:

QFC - компьютерные мошенничества, связанные с хищением наличных денег из банкоматов.

QFF - компьютерные подделки: мошенничества и хищения из компьютерных систем путем создания поддельных устройств (карточек и пр.).

QFG - мошенничества и хищения, связанные с игровыми автоматами.

QFM - манипуляции с программами ввода-вывода: мошенничества и хищения посредством неверного ввода или вывода в компьютерные систе-мы или из них путем манипуляции программами. В этот вид компьютерных преступлений включается метод Подмены данных кода (data diddling code change), который обычно осуществляется при вводе-выводе данных. Это простейший и потому очень часто применяемый способ.

QFP - компьютерные мошенничества и хищения, связанные с платежными средствами. К этому виду относятся самые распространенные компьютерные преступления, связанные с кражей денежных средств, которые составляют около 45% всех преступлений, связанных с использованием ЭВМ.

QFT - телефонное мошенничество: доступ к телекоммуникационным услугам путем посягательства на протоколы и процедуры компьютеров, обслуживающих телефонные системы.

Незаконное копирование информации (QR) составляют следующие виды компьютерных преступлении:

QRG/QRS - незаконное копирование, распространение или опубликование компьютерных игр и другого программного обеспечения, защищенного законом 12 .

QRT - незаконное копирование топографии полупроводниковых изделий: копирование, без права на то, защищенной законом топографии полупроводниковых изделий, коммерческая эксплуатация или импорт с этой целью, без права на то, топографии или самого полупроводникового изде-лия, произведенного с использованием данной топографии.

Компьютерный саботаж (QS) составляют следующие виды преступлений:

QSH - саботаж с использованием аппаратного обеспечения: ввод, изменение, стирание, подавление компьютерных данных или программ;вмешательство в работу компьютерных систем с намерением помешать функционированию компьютерной или телекоммуникационной системы.

QSS - компьютерный саботаж с программным обеспечением: стирание, повреждение, ухудшение или подавление компьютерных данных или программ без права на то.

К прочим видам компьютерных преступлений (QZ) в классификаторе отнесены следующие:

QZB - использование электронных досок объявлений (BBS) для хра-нения, обмена и распространения материалов, имеющих отношение к преступной деятельности;

QZE - хищение информации, составляющей коммерческую тайну: приобретение незаконными средствами или передача информации, представляющей коммерческую тайну без права на то или другого законного обоснования, с намерением причинить экономический ущерб или получить незаконные экономические преимущества;

QZS - использование компьютерных систем или сетей для хранения, обмена, распространения или перемещения информации конфиденциального характера.

Некоторые специалисты по компьютерной преступности в особую группу выделяют методы манипуляции, которые имеют специфические жаргонные названия 13 .

"Временная бомба" - разновидность логической бомбы, которая срабатывает при достижении определенного момента времени;

"Асинхронная атака" (asynchronous attack) состоит в смешивании и одновременном выполнении компьютерной системой команд двух или нескольких пользователей.

"Моделирование" (simulation modelling) используется как для анализа процессов, в которые преступники хотят вмешаться, так и для планирования методов совершения преступления. Таким образом, осуществляется "оптимизация" способа совершения преступления 14 .

III . ВИРУСЫ, КАК ОДИН ИЗ СПОСОБОВ СОВЕРШЕНИЯ КОМПЬЮТЕРНОГО ПРЕСТУПЛЕНИЯ

3.1 Свойства компьютерных вирусов

Сейчас применяются персональные компьютеры, в которых пользователь имеет свободный доступ ко всем ресурсам машины. Именно это открыло возможность для опасности, которая получила название компьютерного вируса.

Что такое компьютерный вирус? Формальное определение этого понятия до сих пор не придумано, и есть серьезные сомнения, что оно вообще может быть дано. Многочисленные попытки дать «современное» определение вируса не привели к успеху. Чтобы почувствовать всю сложность проблемы, попробуйте, к примеру, дать определение понятия «редактор». Вы либо придумаете нечто очень общее, либо начнете перечислять все известные типы редакторов. И то и другое вряд ли можно считать приемлемым. Поэтому мы ограничимся рассмотрением некоторых свойств компьютерных вирусов, которые позволяют говорить о них как о некотором определенном классе программ 15 .

Прежде всего, вирус - это программа. Такое простое утверждение само по себе способно развеять множество легенд о необыкновенных возможностях компьютерных вирусов. Вирус может перевернуть изображение на вашем мониторе, но не может перевернуть сам монитор. К легендам о вирусах-убийцах, «уничтожающих операторов посредством вывода на экран смертельной цветовой гаммы 25-м кадром» также не стоит относиться серьезно. К сожалению, некоторые авторитетные издания время от времени публикуют «самые свежие новости с компьютерных фронтов», которые при ближайшем рассмотрении оказываются следствием не вполне ясного понимания предмета.

Вирус - программа, обладающая способностью к самовоспроизведению. Такая способность является единственным средством, присущим всем типам вирусов. Но не только вирусы способны к самовоспроизведению. Любая операционная система и еще множество программ способны создавать собственные копии. Копии же вируса не только не обязаны полностью совпадать с оригиналом, но и могут вообще с ним не совпадать!

Вирус не может существовать в «полной изоляции»: сегодня нельзя представить себе вирус, который не использует код других программ, информацию о файловой структуре или даже просто имена других программ. Причина понятна: вирус должен каким-нибудь способом обеспечить передачу себе управления 16 .

3.2 Классификация вирусов

В настоящее время известно более 5000 программных вирусов, их можно классифицировать по следующим признакам:

среде обитания

способу заражения среды обитания

воздействию

особенностям алгоритма

В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные и файлово-загрузочные. Сетевые вирусы распространяются по различным компьютерным сетям. Файловые вирусы внедряются главным образом в исполняемые модули, т. е. В файлы, имеющие расширения COM и EXE. Файловые вирусы могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению. Загрузочные вирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Re-cord). Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков.

По способу заражения вирусы делятся на резидентные и нерезидентные. Резидентный вирус при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время 17 .

По степени воздействия вирусы можно разделить на следующие виды:

неопасные , не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах

опасные вирусы, которые могут привести к различным нарушениям в работе компьютера

очень опасные , воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.

Известны вирусы-невидимки , называемые стелс-вирусами , которые очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска. Наиболее трудно обнаружить вирусы-мутанты , содержащие алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов. Имеются и так называемые квазивирусные или «троянские» программы, которые хотя и не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков 18 .

IV . ХАКЕРЫ КАК СУБЪЕКТЫ КОМПЬЮТЕРНЫХ ПРЕСТУПЛЕНИЙ 19

Для некоторых взлом и попытка разобраться в украденной информации развлечение, для других бизнес. Они могут месяцами "стучаться" в закрытые паролями, системами защиты от копирования "двери" сетей или компьютеров конкретных людей пере­бирая простые слова в качестве пароля. И это не так глупо как кажется (по крайней мере, было до недавнего времени). Есть еще несколько доволь­но простых и эффективных способов незаконного подключения к удаленным компьютерам. По этому поводу пишутся целые трактаты, их можно найти в неограниченном количестве в Интернете – глобальной всемирной компьютерной сети. Несанкционированный доступ к файлам законного пользователя осу­ществляется также нахождением слабых мест в защите системы. Однажды обнаружив их, нарушитель может не спеша исследовать содержащуюся в сис­теме информацию, копировать ее, возвращаться к ней много раз как поку­патель рассматривает товары на витрине или читатель выбирает книгу, просматривая полки библиотек. Программисты иногда допускают ошибки в программах, которые не удается обнаружить в процессе отладки. Это создает возможности для нахождения "бре­шей". Авторы больших сложных программ могут не заметить некоторых сла­бостей логики. Уязвимые места иногда обнаруживаются и в электронных цепях. Обычно они все-таки выявляются при проверке, редактировании, отладке программы, но абсолютно избавиться от них невозможно. Бывает, что программисты намеренно делают "бреши" для последующего использования. Прием "брешь" можно развить. В найденной (созданной) "бреши" программа "разрывается" и туда дополнительно вставляют одну или несколько команд. Этот "люк" "открывается" по мере необходимости, а встроенные команды автоматичес­ки осуществляют свою задачу. Чаще всего этот прием используется проек­тантами систем и работниками организаций, занимающихся профилактикой и ремонтом систем. Реже - лицами, самостоятельно обнаружившими "бреши". Бывает, что некто проникает в компьютерную систему, выдавая себя за законного пользователя. Системы, которые не обладают средствами ау­тентичной идентификации (например, по физиологическим характеристикам: по отпечаткам пальцев, по рисунку сетчатки глаза, голосу и т. п.), оказываются без защиты против этого приема. Самый простой путь его осуществления - получить коды и другие идентифицирующие шифры законных пользователей. Здесь способов – великое множество, начиная с простого мошенничества. Иногда случается, как, например, с ошибочными телефонными звонка­ми, что пользователь сети с удаленного компьютера подключается к чьей-то системе, будучи абсолютно уверенным, что он работает с той системой, с какой и намеривался. Владелец системы, к которой произошло фактическое подключение, формируя правдоподобные отклики, может поддерживать это заблуждение в течение определенного времени и таким образом получить некоторую информацию, в частности кода. В любом компьютерном центре имеется особая программа, применяемая как системный инструмент в случае возникновения сбоев или других отк­лонений в работе ЭВМ, своеобразный аналог приспособлений, помещаемых в транспорте под надписью "Разбить стекло в случае аварии". Такая прог­рамма - мощный и опасный инструмент в руках злоумышленника.

Совсем недавно у нас в стране стали создаваться высшие учебные заведения для обучения специалистов в области информационной безопасности. Несанкционированный доступ может осуществляться и в результате системной поломки. Например, если некоторые файлы пользователя остают­ся открытыми, он может получить доступ к не принадлежащим ему частям банка данных. Все происходит так, словно клиент банка, войдя в выде­ленную ему в хранилище комнату, замечает, что у хранилища нет одной стены. В таком случае он может проникнуть в чужие сейфы и похитить все, что в них хранится. Также под понятие "несанкционированного доступа" попадают такие частности, как ввод в программное обеспечение "логических бомб", которые сра­батывают при выполнении определенных условий и частично или полностью выводят из строя компьютерную систему. Способ "троянский конь" состоит в тайном введении в чужую прог­рамму таких команд, которые позволяют осуществить новые, не планиро­вавшиеся владельцем программы функции, но одновременно сохранять и прежнюю работоспособность. С помощью "троянского коня" преступники, например, отчисляют на свой счет определенную сумму с каждой операции. На самом деле все обстоит довольно просто: компьютерные программные тексты обычно чрезвычайно сложны. Они состоят из сотен тысяч, а иногда и миллионов команд. Поэтому "троянс­кий конь" из нескольких десятков команд вряд ли может быть обнаружен, если, конечно, нет подозрений относительно этого. Но и в последнем случае экспертам-программистам потребуется много дней и недель, чтобы найти его. Обратимся к истории компьютерных преступлений. Здесь, в частности, явно лидирует США, потому что именно эта страна является местом массового зарождения компьютерных технологий. Про Россию говорить пока рано, потому что она, на мой взгляд, только вступает на тернистый путь всеобщей "компьютеризации", да и возможность совершить преступление в этой области у нас в стране несколько меньше, или порой они вообще не имеют смысла. Интересен случай использования "троянского коня" одним американс­ким программистом. Он вставил в программу компьютера фирмы, где рабо­тал, команды, не отчисляющие деньги, а не выводящие на печать для от­чета определенные поступления. Эти суммы, особым образом маркирован­ные, "существовали" только в системе. Украв блан­ки, он заполнял их с указанием своей секретной маркировки и получал эти деньги, а соответствующие операции по-прежнему не выводились на печать и не могли подвергнуться ревизии.

Есть еще одна разновидность "троянского коня". Ее особенность сос­тоит в том, что в безобидно выглядящую часть программы вставляются не команды, собственно выполняющие всю непосредственную работу. А команды, формирую­щие эти команды и после выполнения уничтожающие их. В это случае прог­раммисту, пытающемуся найти "троянского коня", необходимо искать не его самого, а команды, его формирующие. Развивая эту идею, можно представить себе команды, которые создают команды и т. д. (сколь угодно большое число раз), которые создают "троянского коня".

Просматривая большое количество статей (в основном в электронных журналах) о проблемах компьютерного взлома, обращает на себя внимание тот факт, что ни в одной статье не проводится та грань, которая, по нашему мнению, четко разделяет всех, так или иначе связанных с компьютерной безопасностью. В основном мнение компьютерного мира по этому поводу либо сугубо отрицательное (хакеры - это преступники), либо - скромно-положительное (хакеры - "санитары леса"). На самом деле у этой проблемы существует, по меньшей мере, две стороны: одна положительная, другая - отрицательная и между ними проходит четкая граница. Эта граница разделяет всех профессионалов, связанных с информационной безопасностью, на хакеров (hackers) и кракеров (crackers 20). И те, и другие, во многом, занимаются решением одних и тех же задач - поиском уязвимостей в вычислительных системах и осуществлением атак на данные системы ("взломом"). Но самое главное и принципиальное отличие между хакерами и кракерами состоит в целях, которые они преследуют. Основная задача хакера, исследуя вычислительную систему, обнаружить слабые места (уязвимости) в ее системе безопасности с целью информирования пользователей и разработчиков системы для последующего устранения найденных уязвимостей. Другая задача хакера, проанализировав существующую безопасность вычислительной системы, сформулировать необходимые требования и условия повышения уровня ее защищенности. С другой стороны, основная задача кракера состоит в непосредственном осуществлении взлома системы с целью получения несанкционированного доступа к чужой информации - иначе говоря, для ее кражи, подмены или для объявления факта взлома. То есть, кракер, по своей сути, ни чем не отличается от обычного вора, взламывающего чужие квартиры и крадущего чужие вещи. Кракер же взламывает чужие вычислительные системы и крадет чужую информацию. Вот в чем состоит кардинальное отличие между теми, кого можно назвать хакерами и кракерами: первые - исследователи компьютерной безопасности, вторые - просто взломщики, воры или вандалы. При этом хакер, в данной терминологии, - это, по определению, специалист. В качестве доказательства этого приведем определение из словаря Guy L. Steele:

HACKER (сущ.)

Данная трактовка понятия "хакер" отличается от принятой в средствах массовой информации, которые, собственно, и привели к подмене понятий. В последнее время многие специалисты по компьютерной безопасности начали аккуратнее относиться к этим терминам.

Низменность мотивов кракеров приводит к тому, что 9 из 10 из них являются "чайниками" 21 , которые взламывают плохо администрируемые системы в основном благодаря использованию чужих программ (обычно эти программы называются exploit 22). (Причем это мнение тех самых 10% профессиональных кракеров). Такие профессионалы - бывшие хакеры, ставшие на путь нарушения закона. Их, в отличие от кракеров - "чайников", остановить действительно очень сложно, но, как показывает практика, отнюдь не невозможно. Очевидно, что для предотвращения возможного взлома или устранения его последствий требуется пригласить квалифицированного специалиста по информационной безопасности - профессионального хакера.

Однако, было бы несправедливо смешать в одну кучу всех кракеров, однозначно назвав их ворами и вандалами. По нашему мнению, всех кракеров можно разделить на три следующих класса в зависимости от цели, с которой осуществляется взлом: вандалы, "шутники" и профессионалы.

Вандалы - самая известная (во многом благодаря повседневности вирусов, а также творениям некоторых журналистов) и, надо сказать, самая малочисленная часть кракеров. Их основная цель – взломать систему для ее разрушения. К ним можно отнести, во-первых, любителей команд типа: rm -f -d *, del *.*, format c: /U и т.д., и, во-вторых, специалистов в написании вирусов или троянских коней. Совершенно естественно, что весь компьютерный мир ненавидит кракеров-вандалов лютой ненавистью. Эта стадия кракерства обычно характерна для новичков и быстро проходит, если кракеру удается совершенствоваться (ведь довольно скучно осознавать свое превосходство над беззащитными пользователями). Кракеров, которые даже с течением времени ни миновали эту стадию, а только все более совершенствовали свои навыки разрушения, иначе, чем социальными психопатами, не назовешь.

"Шутники" - наиболее безобидная часть кракеров (конечно, в зависимости от того, насколько злые они предпочитают шутки), основная цель которых - известность, достигаемая путем взлома компьютерных систем и внесением туда различных эффектов, выражающих их неудовлетворенное чувство юмора. "Шутники" обычно не наносят существенный ущерб (разве что моральный). На сегодняшний день в Internet это наиболее распространенный класс кракеров, обычно осуществляющих взлом Web - серверов, оставляя там упоминание о себе. К "шутникам" также можно отнести создателей вирусов, с различными визуально-звуковыми эффектами (музыка, дрожание или переворачивание экрана, рисование всевозможных картинок и т.п.). Все это, в принципе, либо невинные шалости начинающих, либо - рекламные акции профессионалов.

Взломщики - профессиональные кракеры , пользующиеся наибольшим почетом и уважением в кракерской среде, основная задача которых - взлом компьютерной системы с серьезными целями, будь то кражи или подмена хранящейся там информации. В общем случае, для того, чтобы осуществить взлом системы, необходимо пройти три основные стадии: исследование вычислительной системы с выявлением изъянов в ней, разработка программной реализации атаки и непосредственное ее осуществление. Естественно, настоящим профессионалом можно считать того кракера, который для достижения свое цели проходит все три стадии. С некоторой натяжкой также можно считать профессионалом того кракера, который, используя добытую третьим лицом информацию об уязвимости в системе, пишет программную реализацию данной уязвимости. Осуществить третью стадию, очевидно, может в принципе каждый, используя чужие разработки. Но то чем занимаются взломщики - это обычное воровство, если абстрагироваться от предмета кражи. К сожалению, у нас, в России, все не так просто. В стране, где большая часть программного обеспечения, используемого каждым пользователем, является пиратским, то есть украденным не без помощи тех же взломщиков, почти никто не имеет морального права "бросить в них камень". Конечно, взлом компьютерных систем с целью кражи ни в коем случае нельзя назвать достойным делом, но и упрекать кракеров-взломщиков могут только те, кто легально приобрел все используемое программное обеспечение.

V . ОТЕЧЕСТВЕННОЕ ЗАКОНОДАТЕЛЬСТВО В БОРЬБЕ С КОМПЬЮТЕРНЫМИ ПРЕСТУПЛЕНИЯМИ 23

Компьютерные преступления чрезвычайно многогранные и сложные явления. Объектами таких преступных посягательств могут быть сами технические средства (компьютеры и периферия) как материальные объекты или программное обеспечение и базы данных, для которых технические средства являются окружением; компьютер может выступать как предмет посягательств или как инструмент…

… В настоящее время все меры противодействия компьютерным преступлениям можно подразделить на технические, организационные и правовые.

К техническим мерам можно отнести защиту от несанкционированного доступа к компьютерной системе, резервирование важных компьютерных систем, принятие конструкционных мер защиты от хищений и диверсий, обеспечение резервным электропитанием, разработку и реализацию специальных программных и аппаратных комплексов безопасности и многое другое.

К организационным мерам относятся охрана компьютерных систем, подбор персонала, исключение случаев ведения особо важных работ только одним человеком, наличие плана восстановления работоспособности центра после выхода его из строя, организацию обслуживания вычислительного центра посторонней организацией или лицами, незаинтересованными в сокрытии фактов нарушения работы центра, универсальность средств защиты от всех пользователей (включая высшее руководство), возложение ответственности на лиц, которые должны обеспечить безопасность центра, выбор места расположения центра и т.п. В мире и нашей стране техническим и организационным вопросам посвящено большое количество научных исследований и технических изысканий.

К правовым мерам следует отнести разработку норм, устанавливающих ответственность за компьютерные преступления, защиту авторских прав программистов, совершенствование уголовного и гражданского законодательства, а также судопроизводства. К правовым мерам относятся также вопросы общественного контроля за разработчиками компьютерных систем и принятие соответствующих международных. Только в последние годы появились работы по проблемам правовой борьбы с компьютерной преступностью, (в частности, это работы Ю. Батурина, М. Карелиной, В. Вехова) и совсем недавно отечественное законодательство встало на путь борьбы с компьютерной преступностью. И поэтому, представляется весьма важным расширить правовую и законодательную информированность специалистов и должностных лиц, заинтересованных в борьбе с компьютерными преступлениями.

До недавнего времени, а именно до 1 января 1997 года, даты вступления в действие нового Уголовного Кодекса Российской Федерации (УК РФ), в России отсутствовала возможность эффективно бороться с компьютерными преступлениями. Несмотря на явную общественную опасность, данные посягательства не были противозаконными, т.е. они не упоминались нашим уголовным законодательством. Хотя, еще до принятия нового УК в России была осознана необходимость правовой борьбы с компьютерной преступностью. Был принят ряд законов, которые внесли правовую определенность в явление компьютеризации нашего общества вообще и проблему компьютерной преступности в частности и вместе с другими правовыми актами сформировали пласт, именуемый "законодательством в сфере информатизации", охватывающий в настоящее время несколько сотен нормативно-правовых актов.

Непосредственно законодательство России в области информатизации начало формироваться с 1991 года и включало до 1997 года десять основных законов. Это закон "О средствах массовой информации" (27.12.91 г. N 2124-I), Патентный закон РФ (от 23.09.92 г. N 3517-I), закон "О правовой охране топологий интегральных микросхем" (от 23.09.92 г. N 3526-I), закон "О правовой охране программ для электронных вычислительных машин и баз данных" (от 23.09.92 г. N 3523-I), Основы законодательства об Архивном фонде РФ и архивах (от 7.07.93 г. N 5341-I), закон "Об авторском праве и смежных правах" (от 9.07.93 г. N 5351-I), закон "О государственной тайне" (от 21.07.93 г. N 5485-I), закон "Об обязательном экземпляре документов" (от 29.12.94 г. N 77-ФЗ), закон "О связи" (от 16.02.95 г. N 15-ФЗ), закон "Об информации, информатизации и защите информации" (от 20.02.95 г. N 24-ФЗ), закон "Об участии в международном информационном обмене" (от 5.06.1996 г. N 85-ФЗ)…

… Следует также упомянуть Указы Президента РФ, которые касаются, прежде всего, вопросов формирования государственной политики в сфере информатизации, (включая организационные механизмы), создания системы правовой информации и информационно-правового сотрудничества с государствами СНГ, обеспечения информацией органов государственной власти, мер по защите информации (в частности, шифрования).

Таким образом, до 1 января 1997 года на уровне действующего законодательства России можно было считать в достаточной степени урегулированными вопросы охраны исключительных прав и частично защиту информации (в рамках государственной тайны). Не получили достойного отражения в законодательстве права граждан на доступ к информации и защита информации, т.е. то, что напрямую связано с компьютерными преступлениями.

Часть указанных пробелов в общественных отношениях в области компьютерной информации была ликвидирована после введения в действие с 1 января 1997 года нового Уголовного Кодекса, принятого Государственной Думой 24 мая 1996 года.

Составы компьютерных преступлений (т.е. перечень признаков, характеризующих общественно опасное деяние как конкретное преступление) приведены в 28 главе УК, которая называется "Преступления в сфере компьютерной информации" и содержит три статьи: "Неправомерный доступ к компьютерной информации" (ст. 272), "Создание, использование и распространение вредоносных программ для ЭВМ" (ст. 273) и "Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети" (ст. 274).

ЗАКЛЮЧЕНИЕ

Впервые мир узнал о компьютерных преступлениях в начале 70-х годов, когда в Америке было выявлено довольно большое количество таких деяний. Как известно – наиболее опасные преступления – это те, которые носят экономический характер. Например, – это неправомерное обогащение путем злоупотребления с автоматизированными информационными системами, экономический шпионаж, кража программ и так называемого "компьютерного времени", традиционные экономические преступления, совершаемые с помощью компьютера. Изначально, как показывает история, органы уголовной юстиции боролись с ней при помощи традиционных правовых норм о преступлениях против собственности: краже, присвоении, мошенничестве, злоупотреблении доверием и тому подобное. Однако вскоре практика показала, что такой подход не отвечает всем требованиям сложившейся ситуации, поскольку многие преступления в сфере компьютерной деятельности не охватываются традиционными составами преступлений. Во многих преступлениях отсутствовал материальный признак, так как предмет отсутствует как материальная вещь, существующая в реальном физическом мире. "Обман компьютера" – вещь несколько эфемерная, потому что это всего лишь механизм и обмануть его в принципе невозможно. С таким же успехом можно обманывать дверной замок. Уничтожение имущества тоже не подходит под данные преступления – нет уничтожения как такового. Хотя подобные действия, описанные мной выше и могут принести значительный имущественный ущерб – без физического повреждения компьютера такой состав попросту не имеет смысла.

Преступления в сфере компьютерной информации имеют, на мой взгляд, как бы двоякий смысл, и поэтому требуют специальных статей в Уголовном кодексе. Принятый в недавнем прошлом кодекс содержит целую главу, включающую в себя три статьи, что, на мой взгляд, несколько мало. Даже исходя из дословного толкования, позволю себе сказать, что они уже несколько устарели по смысловому значению, и требуют обновлений. В своей курсовой работе я попытался расширить само понятие преступлений в области компьютерной информации, придать ему новый смысл.

Однако, всей жизнью движет технологический прогресс, и наряду с появлением новых технологий, которые, особенно, компьютерные, выпускаются чуть ли не ежедневно, будут появляться новые категории преступлений и лиц, их совершающих. В связи с этим неизбежно будет устаревать законодательство. Вполне возможно, что поэтому устареет и данная работа.

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

1. Батурин Ю.М. Компьютерная преступность и компьютерная безопасность. М. 1991. – 254с.

2. Беляев В.С. Безопасность в распределительных системах. М. 1995. – 363с.

Борзенков Г.Н., Комиссаров В.С. Уголовное право Российской Федерации. М.: Олимп, 1997. – 196с.

Ведеев Д.В. Защита данных в компьютерных сетях. М. 1995. – 327с.

Федеральный закон "Об информации, информатизации и защите информации" от 20 февраля 1995 года №24-ФЗ

Закон Российской Федерации "О правовой охране программ для электронных вычислительных машин и баз данных" от 23 сентября 1992 года №3523-1;

Медведовский И.Д., Семьянов П.В. Атака через Internet. М. 1998. – 125с.

Hackzone – территория взлома. 1999 ., – №2

Ф.Файтс, П.Джонстон, М.Кратц Компьютерный вирус: проблемы и прогноз. М.: Мир, 1993. – 85с.

Информации 13 информации (15)Реферат >> Государство и право

На сегодня способы совершения "компьютерных преступлений" отличаются значительным, и постоянно расширяющимся разнообразием. Совершают преступления данной категории...

3. Преступления против информационной безопасности в Республике Беларусь

   Курсовая работа >> Государство и право

   4 Компьютерная преступность и компьютерная безопасность 6 Характеристика компьютерных преступлений 11 Способы совершения компьютерных преступлений 13 Предупреждение компьютерных преступлений 21 Практика раскрытия и расследования компьютерных преступлений ...

Изготовление контрафактных экземпляров программ конечным пользователем

Существуют две основные разновидности этого вида преступ­лений.

Первая разновидность - приобретение (часто безвоз­мездное) контрафактного экземпляра программы для ЭВМ у законного пользователя и его последующая установка вторым пользователем на всю ПЭВМ. Как правило, это происходит с игровыми программа­ми, текстовыми редакторами, электронными таблицами и другим популярным программным обеспечением.

Вторая разновидность данного вида заключается в превы­шении числа разрешенных правообладателями инсталляций законно при­обретенной программы: одна и та же программа устанавливается на большее число компьютеров, чем разрешено правообладателем. Наи­более часто это нарушение встречается на средних и крупных пред­приятиях, в которых парк компьютеров постоянно растет.

Все способы совершения компьютерных пре­ступлений можно свести к следующим основным группам:

перехват информации;

несанкционированный доступ к средствам компьютерной техники (СКТ);

манипуляция данными и управляющими командами;

комплексные методы.

Перехват информации. К этой группе относятся способы совер­шения преступлений в сфере компьютерной информации, осно­ванные на действиях преступника, направленных на получение данных и машинной информации посредством использования ме­тодов аудиовизуального и электромагнитного перехвата.

Непосредственный (активный) перехват. Осуществляется с по­мощью непосредственного подключения к телекоммуникацион­ному оборудованию компьютера, компьютерной системы или сети, например к линии принтера или телефонному проводу канала свя­зи, используемого для передачи данных и управляющих сигналов компьютерной техники, либо непосредственно через соответству­ющий порт персонального компьютера.

В связи с этим различают:

а) форсированный перехват, представляющий собой перехват сообщений, направляемых рабочим станциям (ЭВМ), имеющим неполадки в оборудовании или каналах связи;

б) перехват символов - выделение из текста, набираемого пользователем на клавиатуре терминала, знаков, не предусмот­ренных стандартным кодом данной ЭВМ;

в) перехват сообщений - несанкционированное подключение специального терминала к линии связи, прием и использование сообщений, циркулирующих между абонентскими пунктами и ЭВМ.

После подключения к каналу связи вся информация записыва­ется на физический носитель или переводится в читаемую форму посредством бытовой или специальной радиоэлектронной аппа­ратуры. При этом программные средства позволяют в реальном времени просматривать передаваемую информацию, выбирая ин­тересующие фрагменты практически незаметно для отправителя и получателя.

Электромагнитный (пассивный) перехват. Не все перехватыва­ющие устройства требуют непосредственного подключения к сис­теме, данные и информация могут быть перехвачены не только в канале связи, но и в помещениях, в которых находятся средства коммуникации, а также на значительном удалении от них. Так, без прямого контакта можно зафиксировать и закрепить на физи­ческий носитель электромагнитное излучение, возникающее при функционировании многих средств компьютерной техники, вклю­чая и средства коммуникации.

Дело в том, что электронно-лучевая трубка, являющаяся цент­ральным элементом компьютерного устройства для видеоотобра­жения информации на экране (дисплее), излучает в окружающее пространство электромагнитные волны, несущие в себе опреде­ленную информацию, данные («электронный смог»). Волны, из­лучаемые этим прибором, примерно так же, как при телевизион­ном вещании, проникают сквозь различные физические преграды с некоторым коэффициентом ослабления, например, через стек­ло оконных проемов и стены строений, а принимать их можно, как показывают данные многочисленных экспериментов, на рас­стоянии до 1000 м. Как только эти сигналы приняты соответствую­щей аппаратурой и переданы на другой компьютер (преступника), можно получить изображение, идентичное изображению, возни­кающему на мониторе «передающего» компьютера, для чего до­статочно настроиться на его конкретную индивидуальную частоту.

Аудиоперехват, или снятие информации по виброакустическому каналу. Данный способ совершения преступления является наибо­лее опасным и довольно распространенным.

Этот способ съема информации имеет две разновидности: заходовую (заносную) и беззаходовую. Первая заключается в ус­тановке прослушивающего устройства в аппаратуру средств об­работки информации, в различные технические устройства, на проводные коммуникационные линии, а также в различные кон­струкции инженерно-технических сооружений и бытовых предме­тов, находящихся на объекте, с целью перехвата разговоров рабо­тающего персонала и звуковых сигналов технических устройств. Вторая - беззаходовая - наиболее опасная. Акустические и виб­рационные датчики съема информации устанавливают на ин­женерно-технические конструкции, находящиеся за пределами охраняемого помещения, из которого необходимо принимать сигналы.

«Уборка мусора ». Этот способ совершения преступления заклю­чается в неправомочном использовании преступником отходов информационного процесса, оставленных пользователем после работы. Этот вариант требует просмотра, а иногда и последующего исследования данных, находящихся в памяти компьютера. Он ос­нован на некоторых технологических особенностях функциониро­вания СКТ. Например, последние записанные данные не всегда стираются в оперативной памяти компьютерной системы после завершения работы или же преступник записывает только неболь­шую часть своей информации при законном доступе, а затем счи­тывает предыдущие записи, выбирая нужные ему сведения.

В некоторых случаях преступником могут осуществляться дей­ствия, направленные на восстановление и последующий анализ данных, содержащихся в стертых файлах.

Несанкционированный доступ к СКТ. К этой группе способов совершения преступлений в сфере компьютерной информации от­носятся действия преступников, направленные на получение не­санкционированного доступа к средствам компьютерной техники. К ним относятся следующие.

«За дураком». Этот способ часто используется преступниками для проникновения в запретные зоны - электронные системы. Он заключается в подключении преступником из числа внутренних пользователей компьютерного терминала к каналу связи через ком­муникационную аппаратуру в тот момент времени, когда сотруд­ник, отвечающий за работу средства компьютерной техники, вы­бранной в качестве предмета посягательства, кратковременно по­кидает свое рабочее место, оставляя терминал или персональный компьютер в активном режиме.

«За хвост». Преступник подключается к линии связи законного пользователя (с использованием средств компьютерной связи) и терпеливо дожидается сигнала, обозначающего конец работы, пе­рехватывает его «на себя», а потом, когда законный пользователь заканчивает активный режим, осуществляет доступ к системе.

«Компьютерный абордаж». Данный способ совершения преступ­ления в сфере компьютерной информации осуществляется пре­ступником путем случайного подбора (или заранее добытого) або­нентного номера компьютерной системы потерпевшей стороны с использованием, например, обычного телефонного аппарата. После успешного соединения с вызываемым абонентом и появления в головном телефоне преступника специфического позывного сиг­нала, свидетельствующего о наличии модемного входа/выхода на вызываемом абонентном номере, преступником осуществляется механическое подключение собственного модема и персонального компьютера к каналу телефонной связи. После чего преступником производится подбор кода доступа к компьютерной системе жерт­вы (если таковой вообще имеется) или используется заранее до­бытый код.

Стоит обратить внимание на то, что существует множество про- грамм-«взломщиков». Эти программы работают по принципу про­стого перебора символов, которые возможно ввести через клавиа­туру персонального компьютера.

По существу, «компьютерный абордаж» является подготовитель­ной стадией преступления в сфере компьютерной информации.

«Неспешный выбор». Отличительной особенностью данного спо­соба совершения преступления является то, что преступник осу­ществляет несанкционированный доступ к компьютерной системе путем нахождения слабых мест в ее защите. Однажды обнаружив их, он может не спеша исследовать содержащуюся в системе инфор­мацию, скопировать ее на свой физический носитель и, возвра­щаясь к ней много раз, выбрать наиболее оптимальный предмет посягательства. Обычно такой способ используется преступником в отношении тех, кто не уделяет должного внимания регламенту проверки своей системы, предусмотренному методикой защиты компьютерной системы.

«Брешь». В отличие от «неспешного выбора», когда производит­ся поиск уязвимых мест в защите компьютерной системы, при данном способе преступником осуществляется их конкретизация: определяются участки, имеющие ошибки или неудачную логику программного построения. Выявленные таким образом «бреши» могут использоваться преступником многократно, пока не будут обнаружены. Последнее возможно лишь высококвалифицирован­ным программистом или лицом, непосредственно разработавшим данную программу.

«Люк». Данный способ является логическим продолжением предыдущего. В этом случае в найденной «бреши» программа «раз­рывается» и туда преступник дополнительно вводит одну или не­сколько команд. Такой «люк» открывается по мере необходимости, а включенные команды автоматически выполняются. При совер­шении компьютерного преступления данным способом следует обратить внимание на то, что преступником всегда осуществляет­ся предметная модификация (изменение) определенных средств компьютерной техники.

«Маскарад». Преступник проникает в компьютерную систему, выдавая себя за законного пользователя. Самый простейший путь к проникновению в такие системы - получить коды и другие иден­тифицирующие шифры законных пользователей.

«Мистификация». Иногда по аналогии с ошибочными телефон­ными звонками случается так, что пользователь с терминала или персонального компьютера подключается к чьей-либо системе, будучи абсолютно уверенным в том, что он работает с нужным ему абонентом.

Этим фактом и пользуется преступник, формируя правдопо­добные ответы на запросы владельца информационной системы, к которой произошло фактическое подключение, и поддерживая это заблуждение в течение некоторого периода времени, получая при этом требуемую информацию, например коды доступа или отклик на пароль.

«Аварийный ». В этом способе преступником используется тот факт, что в любом компьютерном центре имеется особая програм­ма, применяемая как системный инструмент в случае возникнове­ния сбоев или других отклонений в работе ЭВМ (аварийный или контрольный отладчик). Принцип работы данной программы за­ключается в том, что она позволяет достаточно быстро обойти все имеющиеся средства защиты информации и компьютерной систе­мы с целью получения аварийного доступа к наиболее ценным данным. Такие программы являются универсальным «ключом» в руках преступника.

« Склад без стен». Несанкционированный доступ к компьютер­ной системе в этом случае осуществляется преступником путем использования системной поломки, в результате которой возни­кает частичное или полное нарушение нормального режима функ­ционирования систем защиты данных. Например, если нарушает­ся система иерархичного либо категорийного доступа к информа­ции, у преступника появляется возможность получить доступ к той категории информации, в получении которой ему ранее было отказано.

Манипуляция данными и управляющими командами. К этой группе способов совершения преступлений в сфере компьютерной ин­формации относятся действия преступников, связанные с исполь­зованием методов манипуляции данными и управляющими ко­мандами средств компьютерной техники.

Рассмотрим наиболее широко используемые преступниками способы совершения преступлений.

Подмена данных - наиболее простой и поэтому очень часто применяемый способ совершения преступления. Действия преступ­ников в данном случае направлены на изменение или введение новых данных, которое осуществляется, как правило, при вводе-выводе информации.

В частности, данный способ совершения преступления приме­няется для приписывания счету «чужой» истории, т.е. модифика­ции данных в автоматизированной системе банковских операций, приводящей к появлению в системе сумм, которые реально на данный счет не зачислялись.

Подмена кода. Это частный вариант способа подмены данных. Он заключается в изменении кода данных, например, бухгалтер­ского учета.

«Троянский конь». Данный способ заключается в тайном вве­дении в чужое программное обеспечение специально созданных программ, которые, попадая в информационно-вычислительные системы (обычно выдавая себя за известные сервисные програм­мы), начинают выполнять новые, не планировавшиеся законным владельцем принимающей «троянского коня» программы, с одно­временным сохранением прежней ее работоспособности. По суще­ству, «троянский конь» - это модернизация способа «люк» с той лишь разницей, что он открывается не при помощи непосредственных действий самого преступника («вручную»), а автоматически - с использованием специально под­готовленной для этих целей программы без дальнейшего непосред­ственного участия самого преступника.

«Троянская матрешка». Является разновидностью «троянского коня». Особенность этого способа заключается в том, что во фраг­мент программы потерпевшей стороны вставляются не команды, собственно выполняющие незаконные операции, а команды, фор­мирующие эти команды, и после выполнения своей функции, т. е. когда уже будет автоматически на программном уровне создан «тро­янский конь», самоуничтожающиеся. Иначе говоря, это программные модули-фрагменты, которые создают «троянского коня» и самоликвидируются на программном уровне по окончании испол­нения своей задачи.

« Троянский червь». Еще одна разновидность способа «троянский конь». Данный способ совершения преступления характеризуется тем, что в алгоритм работы программы, используемой в качестве орудия совершения преступления, наряду с ее основными функ­циями, уже рассмотренными нами выше, закладывается алгоритм действий, осуществляющих саморазмножение, программное ав­томатическое воспроизводство «троянского коня». «Программы- черви» автоматически копируют себя в памяти одного или несколь­ких компьютеров (при наличии компьютерной сети) независимо от других программ. При этом используется тактика компьютер­ных вирусов, которые будут рассмотрены далее.

«Салями». Также разновидность «троянского коня». Этот способ совершения преступления стал возможным лишь благодаря ис­пользованию компьютерной технологии в бухгалтерских операци­ях. Он основан на методике проведения операций перебрасывания на подставной счет мелочи - результата округления, которая на профессиональном бухгалтерском языке называется «салями». Пре­ступный расчет в этом случае построен на том, что ЭВМ в секунду совершает миллионы операций, в то время как высококвалифи­цированный бухгалтер за целый день может выполнить лишь до двух тысяч таких операций. Отчисляемые суммы столь малы, что их потери практически незаметны, а незаконное накопление суммы на подставном счете осуществляется благодаря совершению боль­шого количества операций.

«Логическая бомба». Иногда из тактических соображений хище­ния удобнее всего совершать при стечении каких-либо обстоя­тельств, которые обязательно должны наступить. В этих случаях преступниками используется рассматриваемый способ соверше­ния преступления, основанный на тайном внесении изменений в программу набора команд потерпевшей стороны, которые долж­ны сработать (или срабатывать каждый раз) при наступлении оп­ределенных обстоятельств через какое-либо время. Далее включа­ется алгоритм программ «троянского коня».

«Временная бомба». Является разновидностью «логической бом­бы», которая срабатывает по достижении определенного момента времени.

Компьютерные вирусы. С программно-технической точки зре­ния под компьютерным вирусом понимается специальная програм­ма, способная самопроизвольно присоединяться к другим про­граммам («заражать» их) и при запуске последних выполнять раз­личные нежелательные действия: порчу файлов и каталогов (при файловой организации программной среды), искажение и стира­ние (уничтожение) данных и информации, переполнение машин­ной памяти и создание помех в работе ЭВМ.

В самом общем виде этот способ совершения преступлений в сфере компьютерной информации является не чем иным, как ло­гической модернизацией способа «троянский конь», выполняю­щего алгоритм, например, типа «сотри все данные этой програм­мы, перейди в следующую и сделай то же самое».

Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а, скажем, при выполнении определенных условий. После того как вирус выпол­нит нужные ему действия, он передает управление той програм­ме, в которой он находится, и она работает так же, как обычно. Поэтому внешне работа зараженной программы выглядит так же, как и незараженной.

Многие разновидности вирусов устроены таким образом, что при запуске зараженной программы вирус остается в памяти ком­пьютера резидентно, т.е. до перезагрузки DOS, и время от време­ни заражает программы и выполняет на компьютере несанкцио­нированные действия.

Количество вирусов постоянно увеличивается. Их можно разбить на несколько групп:

загрузочные (системные) вирусы (поражающие загрузочные секторы машинной памяти);

файловые вирусы (поражающие исполняемые файлы и не­которые другие);

комбинированные вирусы.

Чтобы предотвратить обнаружение, некоторые вирусы приме­няют довольно хитрые приемы маскировки. Самые распространен­ные - «невидимые» и самомодифицирующиеся вирусы.

«Невидимые» вирусы. Многие резидентные вирусы (и файловые, и загрузочные) предотвращают свое обнаружение тем, что пере­хватывают обращения DOS (и тем самым прикладных программ) к зараженным файлам и областям диска и выдают их в исходном (незараженном) виде. Разумеется, этот эффект наблюдается только на зараженном компьютере: на «чистом» компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить.

Самомодифицирующиеся вирусы. Другой способ, применяемый вирусами для того, чтобы укрыться от обнаружения, - модифи­кация своего тела. Многие вирусы хранят большую часть своего тела в закодированном виде, чтобы с помощью дизассемблеров нельзя было разобраться в механизме их работы. Самомодифици­рующиеся вирусы используют этот прием и часто меняют пара­метры кодировки, а кроме того, изменяют и свою стартовую часть, которая служит для раскодировки остальных команд вируса. Таким образом, в теле подобного вируса не имеется ни одной постоян­ной цепочки байтов, по которой можно было бы идентифициро­вать вирус. Это, естественно, затрудняет нахождение таких виру­сов программами-детекторами.

Признаки появления вируса в ПЭВМ. Все действия вируса могут выполняться достаточно быстро и без выдачи каких-либо сообще­ний, поэтому пользователю очень трудно заметить, что в компью­тере происходит что-то необычное.

Пока в компьютере заражено относительно мало программ, наличие вируса может быть практически незаметно. Однако по прошествии некоторого времени в компьютере происходит следующее:

некоторые программы перестают работать или начинают ра­ботать неправильно;

на экран выводятся посторонние сообщения, символы и т.д.;

работа на компьютере существенно замедляется;

некоторые файлы оказываются испорченными и т. д.

К этому моменту, как правило, уже достаточно много (или даже большинство) программ являются зараженными вирусом, а неко­торые файлы и диски - испорченными. Зараженные программы с одного компьютера могли быть перенесены с помощью дискет или по локальной сети на другие компьютеры.

Некоторые виды вирусов ведут себя еще более коварно. Они вначале незаметно заражают большое число программ или дис­ков, а потом причиняют очень серьезные повреждения, например форматируют весь жесткий диск в компьютере. Существуют и ви­русы, которые стараются вести себя как можно более незаметно, но понемногу и постепенно портят данные на жестком диске ком­пьютера.

«Асинхронная атака». Такой способ совершения преступления очень сложен и требует хорошего знания операционной системы.

Операционная система - это комплекс программных средств, обес­печивающих управление информационными процессами при функ­ционировании компьютерной системы. Столь сложный программный продукт практически ни при каких условиях невозможно проверить на предмет достоверности работы и логической завершенности. Иначе говоря, особенности функционирования операционной системы при всех условиях остаются неизвестными. Этим и пользу­ются преступники при организации «асинхронных атак».

Используя асинхронную природу функционирования операци­онной системы, преступник заставляет последнюю работать при ложных условиях, из-за чего управление обработкой информации частично или полностью нарушается. Если преступник, соверша­ющий «асинхронную атаку», достаточно искусен, то он может использовать данную ситуацию, чтобы внести изменения в опера­ционную систему или направить ее функционирование на выполне­ние своих корыстных целей, причем вне операционной системы эти изменения не будут заметны.

Моделирование. Для совершения преступлений в сфере компью­терной информации все более характерным становится использо­вание преступником способа компьютерного моделирования по­ведения устройства или системы с помощью программного обес­печения. Моделируются как те процессы, в которые преступники хотят вмешаться, так и планируемые способы совершения пре­ступления. Например, в последнее время преступниками с целью ухода от налогообложения все чаще начинает использоваться так называемая «черная», или «двойная», бухгалтерия, основанная на существовании двух одновременно работающих программ автома­тизированного бухгалтерского учета с взаимопересекающимися контрольными данными. В данном случае одна из них функциони­рует в легальном режиме, а другая - в нелегальном для проведе­ния незаконных теневых бухгалтерских операций. Иногда одновре­менно с этими программами существует и третья, которая ис­пользуется только одним лицом, входящим в состав преступных групп и сообществ, выполняющим роль бухгалтера по ведению общественной кассы преступной группировки.

Реверсивная модель. Разновидность способа моделирования. За­ключается в следующем: создается модель конкретной системы, на которую планируется совершить нападение. В нее вводятся ре­альные исходные данные и учитываются планируемые действия. Затем, исходя из полученных данных, подбираются максимально приближенные к действительности желаемые результаты. После чего модель совершения преступных действий «прогоняется» назад, к исходной точке, и преступнику становится ясно, какие манипу­ляции с входными-выходными данными нужно совершить, чтобы достичь желаемого корыстного результата. Обычно «прокручива­ние» модели вперед-назад осуществляется преступником много­

кратно, чтобы выявить возникающие ошибки и просчеты в меха­низме планируемых преступных действий. Таким образом, осуще­ствляется оптимизация действий при проведении криминальных «операций» и минимизируется возможный при этом риск их «про­вала».

«Воздушный змей». Механизм совершения хищения денежных средств заключается в следующем. В двух или нескольких банках открываются счета на некоторые несуществующие суммы. Далее деньги переводятся из одного банка в другой и обратно с посте­пенным увеличением сумм. До того как в банке обнаружится, что поручение о переводе не обеспечено необходимой суммой, при­ходит извещение в данный банк о том, что общая сумма покрыва­ет требование о первом переводе. Этот цикл многократно повторя­ется («воздушный змей» поднимается все выше и выше) до тех пор, пока на нужном счете не оказывается достаточная сумма де­нег (фактически она постоянно «перескакивает» с одного счета на другой, как бы «парит в воздухе», постоянно увеличиваясь в раз­мерах). При достижении определенной величины деньги опера­тивно снимаются с закрытием счетов и впоследствии отмываются (легализуются). Обычно, как показывает практика, в подобные преступные операции преступниками включается большое число банков.

«Ловушка на живца» («подсадная утка»). Еще одна разновид­ность способа моделирования. Заключается в том, что преступни­ком создается специальная программа, которая затем записывается на физический носитель и под любым предлогом вручается или подкидывается потерпевшей стороне с расчетом на то, что ее по каким-либо причинам заинтересует данная программа и она по­старается ознакомиться с ней. Алгоритм программы построен та­ким образом, что при ее работе в определенный момент времени автоматически моделируется системная поломка компьютерной системы, на которой был запущен данный программный продукт с целью проверки его качества и работоспособности. После чего указанная программа записывает данные и информацию, которые могут заинтересовать преступника. После того как программа вы­полнила заданные ей функции, она изымается у потерпевшей сто­роны с использованием различных способов.

Копирование (тиражирование ). Этот способ совершения преступ­ления заключается в действиях преступника, направленных на незаконное копирование (тиражирование) программных средств компьютерной техники, а также типологий интегральных микро­схем. Копирование осуществляется преступником посредством вос­произведения данных с сохранением исходной информации на любом материальном носителе.

Существуют две разновидности применения преступником ука­занного способа. В первом случае копирование осуществляется посредством законного (санкционированного) доступа к средствам компьютерной техники, во втором - посредством несанкциони­рованного доступа с использованием способов, рассмотренных нами выше. В последнем случае будет иметь место применение ком­плексного метода совершения преступления (совокупность двух и более способов совершения преступления), которые будут рассмот­рены нами в следующей, четвертой группе.

Преодоление программных средств защиты. Этот способ являет­ся вспомогательным и предназначен для подготовки совершения компьютерного преступления способами, рассмотренными нами выше. Он заключается в действиях преступника, направленных на умышленное преодоление программных средств защиты компью­терной техники и имеет несколько разновидностей.

Незаконное создание копии ключевой дискеты. Осуществляется преступником путем электромагнитного переноса всей структуры и информации, расположенных на ключевой дискете-оригинале, защищенной от копирования программными средствами, на дис- кету-копию, в результате чего аутентификационная часть системы защиты воспринимает копию ключевой дискеты как оригинал.

Модификация кода системы защиты. Заключается в модифика­ции (изменении) кода модуля системы защиты, выполняющего следующие функции: 1) проверку ключевой дискеты; 2) коррек­тировку счетчика установок на жесткий магнитный диск (винчес­тер), защищенного от копирования программного средства с клю­чевой дискеты; 3) проверку санкционированное™ запуска защи­щенного информационного ресурса.

Обычно модификация сводится к простому обходу кода моду­ля, выполняющего перечисленные выше функции. В некоторых случаях модуль подвергается существенным изменениям, позволя­ющим обойти проверки систем защиты. Основная задача заключа­ется в определении логики работы модуля. Последующее же внесе­ние изменений в него остается «делом техники» и не представляет особого труда для преступника, разгадавшего логику построения защиты.

Моделирование обращений к ключевой дискете. Многие про­граммные средства защиты информации логически используют не прямую, как это принято, работу с контроллером, а средства си­стемы BIOS - прерывание 13h. Этим и пользуются преступники, программно моделируя результат обращения ЭВМ к ключевой дискете путем перехвата прерывания 13h.

Использование механизма установки/снятия программных средств защиты информации. Некоторые программные средства защиты используют при их установке на винчестер привязку к фи­зическому расположению файла на диске. Одновременно с этим в алгоритм работы этих средств включаются функции, обеспечива­ющие их снятие с винчестера с одновременным восстановлением исходного состояния счетчика установок, так как защищенные программные средства нельзя перемещать путем использования стандартных средств сохранения/восстановления файлов. Исполь­зовав же функцию снятия защищенной программы с винчестера, можно тем самым получить возможность незаконного тиражиро­вания защищенных программных продуктов в корыстных целях. Для этого преступником осуществляется следующий алгоритм действий: 1) получается санкционированный или несанкциони­рованный доступ к защищенному программному средству, распо­ложенному на винчестере; 2) анализируется структура размеще­ния и содержание всех файлов, созданных на винчестере программ­ной установки; 3) выполняется копирование защищенной про­граммы с винчестера (при этом восстанавливается исходный счет­чик установок); 4) восстанавливаются сохраненное состояние си­стемы и ее содержимое. В результате всех этих действий получается ключевая дискета с исходным счетчиком установок и нелегальная копия программного продукта на винчестере.

Снятие системы защиты из памяти ЭВМ. Данный способ за­ключается в следующем. Система защиты через определенное время автоматически загружает в память ЭВМ защищаемое программное средство, расшифровывает его и передает управление расшифро­ванному коду. В этот момент в оперативной памяти компьютерной системы находится полностью расшифрованная программа и для получения несанкционированной копии остается только сохранить ее в каком-либо файле. Этим и пользуются преступники.

Рассмотренные способы совершения преступлений в сфере компьютерной информации, относящиеся к подгруппе «Преодоление программных средств защиты», являются переход­ными между первыми тремя группами способов и четвертой.

Комплексные методы. К этой группе способов совершения пре­ступлений в сфере компьютерной информации относятся комп­лексные методы, под которыми понимаются использование пре­ступником двух и более способов, а также их различных комбина­ций при совершении преступления. Эти способы были подробно рассмотрены в первых трех группах. Некоторые из них оказывают­ся вспомогательными, работающими на основной способ, вы­бранный преступником в качестве центрального, исходя из конк­ретной преступной цели и ситуации.

Важнейшим и определяющим элементом криминалистической характеристики любого, в том числе и компьютерного, преступления является совокупность данных, характеризующих способ его

совершения.

Под способом совершения преступления обычно понимают объективно и субъективно обусловленную систему поведения субъекта до, в момент и после совершения преступления, оставляющего различного рода характерные следы, позволяющие с помощью криминалистических приемов и средств получить представление о сути происшедшего, своеобразии преступного поведения правонарушителя, его отдельных личностных данных и, соответственно, определить наиболее оптимальные методы решения задач раскрытия преступления.

По способу совершения выделяют следующие группы компьютерных преступлений:

 воровство средств компьютерной техники;

 перехват информации;

 несанкционированный доступ;

 манипуляция данными и управляющими командами;

 комплексные методы.

К первой группе относятся традиционные способы совершения обычных видов преступлений, в которых действия преступника направлены на воровство чужого имущества. Характерной отличительной чертой данной группы способов совершения компьютерных преступлений будет тот факт, что в них средства компьютерной техники будут всегда выступать только в качестве предмета пре-

ступного посягательства.

Ко второй группе относятся способы совершения компьютерных преступлений, основанные на действиях преступника, направленных на получение данных и машинной информации посредст-

вом использования различных методов перехвата. К методам перехвата относятся:

 активный перехват;

 пассивный перехват;

 аудиоперехват;

 видеоперехват;

 просмотр мусора.

Активный перехват (interception) осуществляется с помощью подключения к телекоммуникационному оборудованию компьютера, например линии принтера, или телефонному проводу канала связи, либо непосредственно через соответствующий порт персонального компьютера.

Пассивный (электромагнитный) перехват (electromagneticpickup) основан на фиксации электромагнитных излучений, возникающих при функционировании многих средств компьютерной техники, включая и средства коммуникации (например, излучение электронно-лучевой трубки дисплея можно принимать с помощью специальных приборов на расстоянии до 1000 м).

Аудиоперехват, или снятие информации по виброакустическому каналу, является достаточно распространенным способом и имеет две разновидности. Первая заключается в установке подслушивающего устройства в аппаратуру средств обработки информации, вторая – в установке микрофона на инженерно-технические конструкции за пределами охраняемого помещения (стены, оконные рамы, двери и т.п.).

Видеоперехват осуществляется путем использования различной видеооптической техники.

Просмотр, или уборка «мусора» (scavening) представляет собой достаточно оригинальный способ перехвата информации. Преступником неправомерно используются технологические отходы информационного процесса, оставленные пользователем после работы с компьютерной техникой (например, удаленная с жестких дисков компьютера, а также съемных дисков информация может быть восстановлена и несанкционированно изъята с помощью специальных программных средств).

К третьей группе способов совершения компьютерных преступлений относятся действия преступника, направленные на получение несанкционированного доступа к информации.

К ним относятся следующие:

 «Компьютерный абордаж» (hacking) – несанкционированный доступ в компьютер или компьютерную сеть без права на то. Этот способ используется хакерами для проникновения в чужие информационные сети.

 «За дураком» (piggybacking).

Этот способ используется преступниками путем подключения компьютерного терминала к каналу связи через коммуникационную аппаратуру в тот момент времени, когда сотрудник, отвечающий за работу средства компьютерной техники, кратковременно покидает свое рабочее место, оставляя терминал в рабочем режиме.

 «За хвост» (between-the-lines entry).

При этом способе съема информации преступник подключается к линии связи законного пользователя и дожидается сигнала, обозначающего конец работы, перехватывает его на себя и осуществляет доступ к системе.

 «Неспешный выбор» (browsing).

При данном способе совершения преступления преступник осуществляет несанкционированный доступ к компьютерной системе путем нахождения уязвимых мест в ее защите.

 «Брешь» (trapdoor entry).

При данном способе преступником ищутся участки программ, имеющие ошибку или неудачную логику построения. Выявленные таким образом «бреши» могут использоваться преступником многократно, пока не будут обнаружены.

 «Люк» (trapdoor).

Данный способ является логическим продолжением предыдущего. В месте найденной «бреши» программа «разрывается», и туда дополнительно преступником вводится одна или несколько команд. Такой «люк» «открывается» по необходимости, а включенные команды автоматически выполняются.

К четвертой группе способов совершения компьютерных преступлений относятся действия преступников, связанные с использованием методов манипуляции данными и управляющими командами средств компьютерной техники. К этой группе относятся следующие способы совершения компьютерных преступлений:

 Написание программы, называемой «Троянский конь» (trojanhorse).

Данный способ заключается в тайном введении в чужое программное обеспечение специально созданных программ, которые, попадая в информационно-вычислительные системы, начинают выполнять новые, не планировавшиеся законным владельцем действия, с одновременным сохранением прежних функций. В соответствии со ст. 273 Уголовного кодекса Российской Федерации под такой программой понимается «программа для ЭВМ, приводящая к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети». По существу «троянский конь» – это модернизация рассмотренного выше способа «люк» с той лишь разницей, что люк «открывается» не при помощи непосредственных действий преступника, а автоматически, с использованием специально подготовленной для этих целей программы и без непосредственного участия

самого преступника. С помощью такого способа преступники обычно отчисляют на заранее открытый счет определенную сумму с каждой банковской операции. Возможен и вариант увеличения преступниками избы точных сумм на счетах при автоматическом пересчете рублевых остатков, связанных с переходом к коммерческому курсу соответствующей валюты. Разновидностями такого способа совершения компьютерных преступлений является внедрение в программы «логических бомб » (logic bomb) и «временных бомб » (time bomb).

 Написание программы называемой «компьютерный вирус» (virus). С уголовно-правовой точки зрения, согласно ст. 273 Уголовного кодекса РФ, под компьютерным вирусом следует понимать вредоносную программу для ЭВМ, способную самопроизвольно присоединяться к другим программам («заражать» их) и при запуске последних выполнять различные нежелательные действия: порчу файлов, искажение, стирание данных и информации, переполнение машинной памяти и создание помех в работе ЭВМ.

 Компьютерное мошенничество. Данный вид компьютерных преступлений осуществляется способом «подмены данных » (data digging ) или «подмены кода » (codechange ). Это наиболее простой и поэтому очень часто применяемый способ совершения преступления. Действия преступников в этом случае направлены на изменение или введение новых данных, и осуществляются они, как правило, при вводе-выводе информации.

 Незаконное копирование (тиражирование) программ с преодолением программных средств защиты предусматривает незаконное создание копии ключевой дискеты, модификацию кода системы защиты, моделирование обращения к ключевой дискете, снятие системы защиты из памяти ЭВМ и т.п. Не секрет, что подавляющая часть программного обеспечения, используемого в России, является пиратскими копиями взломанных хакерами программ. В качестве примера незаконного тиражирования программ можно привести компьютерную базу российского законодательства «Консультант-плюс». Несмотря на постоянную работу специалистов фирмы по улучшению системы защиты, тысячи нелегальных копий программы имеют хождение на территории России. Последняя, шестая версия «Консультанта» была «привязана» к дате создания компьютера, записанной в его постоянной памяти. Однако не прошло и двух недель после выхода этой версии, как хакерами была создана программа, эмулирующая нужную дату на любом компьютере.

Пятая группа способов – комплексные методы, которые включают в себя различные комбинации рассмотренных выше способов совершения компьютерных преступлений.

По международной классификации в отдельную группу принято выделять такие способы, как компьютерный саботаж с аппаратным или программным обеспечением, которые приводят к выводу из строя компьютерной системы. Наиболее значительные компьютерные преступления совершаются посредством порчи программного обеспечения, причем часто его совершают работники, недовольные своим служебным положением, отношением с руководством и т.д.

Существует ряд способов совершения компьютерных преступлений, которые сложно отнести к какой-либо группе. К таким способам относятся: асинхронная атака, моделирование, мистификация, маскарад и т.д.

Асинхронная атака (Asynchronous attack ). Сложный способ, требующий хорошего знания операционной системы. Используя асинхронную природу функционирования большинства операционных систем, их заставляют работать при ложных условиях, из-за чего управление обработкой информации частично или полностью нарушается. Если лицо, совершающее «асинхронную атаку», достаточно профессионально, оно может использовать ситуацию, чтобы внести изменения в операционную систему или сориентировать ее на выполнение своих целей, причем извне эти изменения не будут заметны.

Моделирование (Simulation ). Создается модель конкретной системы, в которую вводятся исходные данные и учитываются планируемые действия. На основании полученных результатов методом компьютерного перебора и сортировки выбираются возможные подходящие комбинации. Затем модель возвращается к исходной точке и выясняется, какие манипуляции с входными данными нужно проводить для получения на выходе желаемого результата. В принципе, «прокручивание» модели вперед-назад может происходить многократно, чтобы через несколько итераций добиться необходимого итога. После этого остается осуществить задуманное на практике.

Мистификация (spoofing ). Возможна, например, в случаях, когда пользователь удаленного терминала ошибочно подключается к какой-либо системе, будучи абсолютно уверенным, что работает именно с той самой системой, с которой намеревался. Владелец системы, к которой произошло подключение, формируя правдоподобные отклики, может поддержать контакт в течение определенного времени и получать конфиденциальную информацию, в частности коды пользователя и т.д.

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

3. Способы совершения компьютерных преступлений и их предупреждение

3. 1 Способы совершения компьютерных преступлений

Важнейшим и определяющим элементом криминалистической характеристики любого, в том числе и компьютерного, преступления является совокупность данных,

характеризующих способ его совершения.

Под способом совершения преступления обычно понимают объективно и субъективно обусловленную систему поведения субъекта до, в момент и после совершения преступления, оставляющего различного рода характерные следы, позволяющие с помощью криминалистических приемов и средств получить представление о сути происшедшего, своеобразии преступного поведения правонарушителя, его отдельных личностных данных и соответственно определить наиболее оптимальные методы решения задач раскрытия преступления.

Ю.М. Батурин классифицировал способы совершения компьютерных преступлений в пять основных групп. При этом в качестве основного классифицирующего признака выступает метод использования преступником тех или иных действий, направленных на получение доступа к средствам компьютерной техники. Руководствуясь этим признаком Батурин выделил следующие общие группы:

1. изъятие средств компьютерной техники (СКТ);

2. перехват информации;

3. несанкционированный доступ к СКТ;

4. манипуляция данными и управляющими командами;

5. комплексные методы.

К первой группе нами относятся традиционные способы совершения обычных видов («некомпьютерных») преступлений, в которых действия преступника направлены на изъятие чужого имущества. Характерной отличительной чертой данной группы способов совершения компьютерных преступлений будет тот факт, что в них средства компьютерной техники будут всегда выступать только в качестве предмета преступного посягательства. Например, прокуратурой г. Кургана в 1997 г. расследовалось уголовное дело по факту убийства частного предпринимателя. В ходе обыска на квартире убитого следователем был изъят персональный компьютер. По имеющейся оперативной информации в памяти этой ЭВМ убитый мог хранить фамилии, адреса своих кредиторов и должников. В дальнейшем этот компьютер по решению следователя был передан в одну из компьютерных фирм для производства исследования содержимого его дисков памяти. В ту же ночь из помещения этой компьютерной фирмы путем отгиба решеток была произведена кража данного компьютера. В результате того, что изъятие и передача ЭВМ были произведены следователем с рядом процессуальных нарушений, данное преступление осталось не раскрытым.

Ко второй группе относятся способы совершения компьютерных преступлений, основанные на действиях преступника, направленных на получение данных и машинной информации посредством использования методов аудиовизуального и электромагнитного перехвата, широко практикуемых в оперативно-розыскной деятельности правоохранительных органов.

Непосредственный активный перехват осуществляется с помощью подключения к телекоммуникационному оборудованию компьютера, например линии принтера или телефонному проводу канала связи, либо непосредственно через соответствующий порт персонального компьютера.

Электромагнитный (пассивный) перехват основан на фиксации электромагнитных излучений, возникающих при функционировании многих средств компьютерной техники, включая и средства коммуникации. Волны, излучаемые электронно-лучевой трубкой дисплея, несущие в себе определенную информацию с помощью специальных приборов можно принимать на расстоянии до 1000 м.

Аудиоперехват или снятие информации по виброакустическому каналу является наиболее опасным и достаточно распространенным. Этот способ съема информации имеет две разновидности. Первая заключается в установке подслушивающего устройства в аппаратуру средств обработки информации. Вторая - в установке спецмикрофона на инженерно-технические конструкции за пределами охраняемого помещения (стены, оконные рамы, двери и т.п.).

Видеоперехват заключается в действиях преступника, направленных на получение информации путем использования различной видеооптической техники.

«Уборка мусора» представляет собой неправомерное использование преступником технологических отходов информационного процесса, оставленных пользователем после работы с компьютерной техникой. Например, даже удаленная из памяти компьютера информация, подлежит быстрому восстановлению и несанкционированному изъятию с помощью специальных программных средств.

К третьей группе способов совершения компьютерных преступлений относятся действия преступника, направленные на получение несанкционированного доступа к

средствам компьютерной техники. К ним относятся нижеследующие.

1. « За дураком » . Этот способ используется преступником путем подключения компьютерного терминала к каналу связи через коммуникационную аппаратуру в тот момент времени, когда сотрудник, отвечающий за работу средства компьютерной техники, кратковременно покидает свое рабочее место, оставляя терминал в активном режиме.

2. « За хвост » . При этом способе съема информации преступник подключается к линии связи законного пользователя и дожидается сигнала, обозначающего конец работы, перехватывает его на себя и осуществляет доступ к системе.

3. « Компьютерный абордаж » , по существу являющийся подготовительной стадией компьютерного преступления.

4. Данный способ совершения компьютерного преступления осуществляется преступником путем случайного перебора абонентного номера компьютерной системы с использованием модемного устройства. Иногда для этих целей используется специально созданная самодельная, либо заводская программа автоматического поиска пароля. Алгоритм ее работы заключается в том, чтобы используя быстродействие современных компьютерных устройств, перебирать все возможные варианты комбинаций букв, цифр и специальных символов, и в случае совпадения комбинации символов производить автоматическое соединение указанных абонентов.

Автор, используя одну из таких программ провел эксперимент по подбору пароля путем простого перебора. В результате было установлено, что 6-ти символьные пароли подбираются примерно за 6-дней непрерывной работы компьютера. Элементарный подсчет показывает, что уже для подбора 7-ми символьных паролей потребуется от 150 дней для английского языка до 200 дней для русского. А если есть буквы заглавные, то эти цифры надо умножить еще на 2. Таким образом, простой перебор представляется чрезвычайно трудновыполнимым.

Исходя из этого, в последнее время, преступниками стал активно использоваться метод «интеллектуального перебора», основанный на подборе предполагаемого пароля, исходя из заранее определенных тематических групп его принадлежности. В этом случае программе - « взломщику » передаются некоторые исходные данные о личности автора пароля. По оценкам специалистов, это позволяет более чем на десять порядков сократить количество возможных вариантов перебора символов и на столько же - время на подбор пароля.

Автору по роду деятельности не раз приходилось снимать пароли с различных файлов, содержащихся в изъятых у подозреваемых и обвиняемых персональных компьютерах. Все снимаемые пароли были на удивление простыми. Среди них встречались такие как: 7 букв «А»; имя или фамилия автора или его инициалы; несколько цифр, например, «57»; даты рождения, адреса, телефоны или их комбинации.

5. Неспешный выбор. При данном способе совершения преступления, преступник осуществляет несанкционированный доступ к компьютерной системе путем нахождения слабых мест в ее защите.

6. Этот способ чрезвычайно распространен среди так называемых хакеров. В Интернете и других глобальных компьютерных сетях идет постоянный поиск, обмен, покупка и продажа взломанных хакерами программ. Существуют специальные телеконференции в которых проходит обсуждение взламывающих программ, вирусов, вопросов их создания и распространения.

7. « Брешь » . В отличие от « неспешного выбора » , когда производится поиск уязвимых мест в защите компьютерной системы, при данном способе преступником осуществляется их конкретизация: определяются участки, имеющие ошибку или неудачную логику программного строения. Выявленные таким образом «бреши» могут использоваться преступником многократно, пока не будут обнаружены.

8. « Люк » . Данный способ является логическим продолжением предыдущего. В этом случае в найденной « бреши » программа « разрывается » и туда дополнительно преступник вводит одну или несколько команд. Такой « люк » « открывается » по необходимости, а включенные команды автоматически выполняются.

Необходимо заметить, что подобный « черный вход » в якобы защищенную систему имеется в любой сертифицированной государством программе, но об этом не принято распространяться вслух.

Для примера приведу следующий факт: Саддам Хусейн потерпел поражение задолго до войны в заливе. Имеющиеся в его распоряжении самолеты « М ираж » были поставлены французскими производителями. Коварные продавцы уверяли покупателя, что электроника этих самолетов имеет стопроцентную защиту от несанкционированного доступа.

Однако, когда дело дошло до войны, эта защита была сломана немедленно - одним кодовым сигналом, пущенным в обход хитроумной системы. Бортовые системы самолетов были отключены, и диктатор остался без авиации.

К четвертой группе способов совершения компьютерных преступлений относятся действия преступников, связанные с использованием методов манипуляции данными и управляющими командами средств компьютерной техники. Эти методы наиболее часто используются преступниками для совершения различного рода противоправных деяний и достаточно хорошо известны сотрудникам подразделений правоохранительных органов, специализирующихся по борьбе с экономическими преступлениями.

Наиболее широко используются следующие способы совершения компьютерных преступлений, относящихся к этой группе.

1. Подмена данных - наиболее простой и поэтому очень часто применяемый способ совершения преступления. Действия преступников в этом случае направлены на изменение или введение новых данных, которые осуществляются, как правило, при вводе-выводе информации.

2. « Троянский конь » . Данный способ заключается в тайном введении в чужое программное обеспечение специально созданных программ, которые, попадая в информационно-вычислительные системы, начинают выполнять новые, не планировавшиеся законным владельцем программы, с одновременным сохранением прежней ее работоспособности. В соответствии со ст. 2 73 Уголовного кодекса Российской Федерации под такой программой понимается «программа для ЭВМ, приводящая к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети». По существу, « троянский конь » - это модернизация уже рассмотренного нами способа « люк » с той лишь разницей, что он « открывается » не при помощи непосредственных действий самого преступника (« вручную » ), а автоматически - с использованием специально подготовленной для этих целей программы без дальнейшего непосредственного участия самого преступника.

С помощью данного способа преступники обычно отчисляют на заранее открытый счет определенную сумму с каждой операции. Возможен здесь и вариант увеличения преступниками избыточных сумм на счетах при автоматическом пересчете рублевых остатков, связанных с переходом к коммерческому курсу соответствующей валюты.

Разновидностями такого способа совершения компьютерных преступлений является внедрение в программы « логических » и « временных бомб » , разнообразных компьютерных вирусов. С уголовно-правовой точки зрения, согласно ст. 2 73 Уголовного кодекса РФ, под компьютерным вирусом следует понимать вредоносную программу для ЭВМ, способную самопроизвольно присоединяться к другим программам (« заражать » их) и при запуске последних выполнять различные нежелательные действия: порчу файлов, искажение, стирание данных и информации, переполнение машинной памяти и создание помех в работе ЭВМ.

3. Копирование (тиражирование) программ с преодолением программных средств защиты. Этот способ предусматривает незаконное создание копии ключевой дискеты, модификацию кода системы защиты, моделирование обращения к ключевой дискете, снятие системы защиты из памяти ЭВМ и т.п.

Не секрет, что подавляющая часть программного обеспечения, используемого в России, является пиратскими копиями взломанных хакерами программ. Самой популярной операционной системой в России является Microsoft Windows"95 . По статистике, на долю этой платформы приходится свыше 77 процентов отечественного рынка операционных систем. Своим бесспорным успехом на российском рынке Windows"95 обязана деятельности компьютерных пиратов. По данным антипиратской организации BSA, свыше 90 процентов используемых в России программ установлены на компьютеры без лицензий, тогда как в США не более 24 процентов.

Можно привести в качестве примера и широко известную отечественную программу « Консультант-плюс » содержащую периодически обновляемую компьютерную базу российского законодательства. Несмотря на постоянную работу программистов фирмы по улучшению систем защиты, тысячи нелегальных копий взломанной программы имеют хождение на территории страны. Последняя уже шестая версия «Консультанта» была «привязана» к дате создания компьютера, записанной в его постоянной памяти. Не прошло и двух недель после выхода этой версии, как хакерами была создана программа, эмулирующая нужную дату на любой ЭВМ. Теперь любой желающий может найти такую программу в компьютерных сетях и бесплатно установить на свой компьютер базу данных стоимостью более 1000 $ США.

Успехи хакеров настолько велики, что, например, США намерены использовать их в информационной войне.

С момента официального признания в 1993 году военно-политическим руководством США « и нформационной войны » в качестве одной из составляющих национальной военной стратегии, ускоренными темпами идут поиски методов, форм и средств ее ведения. Так, в последние годы все чаще говорят о целесообразности привлечения хакеров на различных стадиях « и нформационной войны » .

Хакеры наиболее эффективно могут быть использованы на этапе сбора разведывательной информации и сведений о компьютерных сетях и системах вероятного противника.

Они уже накопили достаточный опыт в угадывании и раскрытии паролей, использовании слабых мест в системах защиты, обмане законных пользователей и вводе вирусов, «троянских коней» и т.п. в программное обеспечение компьютеров. Искусство проникновения в компьютерные сети и системы под видом законных пользователей дает хакерам возможность стирать все следы своей деятельности, что имеет большое значение для успешной разведывательной деятельности. Кроме того, обозначенная видимость законного пользователя дает возможность хакеру-разведчику сформировать ложную систему и ввести ее в сеть противника в качестве законного пользователя информации.

Не менее эффективным может являться применение опыта хакеров в электронной войне при решении задач дезинформирования и пропаганды через информационные системы и сети противника. Для хакеров не составляет проблемы манипулирование данными, находящимися в базах данных противника. Им также не трудно лишить противника возможности доступа к информационным ресурсам, использование которых входило в его планы. Для этого могут использоваться способы загрузки систем большим количеством сообщений, передаваемых по электронной почте, или заражение систем противника компьютерными вирусами.

По сообщениям зарубежных СМИ, проблема использования хакеров в интересах информационной войны в настоящее время не только ограничивается изучением их опыта, но и реализуется на практике. Спецслужбы США и некоторых европейских стран уже прибегают к услугам этой категории компьютерщиков.

3.2 Предупреждение компьютерных преступлений

Международный опыт борьбы с преступностью свидетельствует о том, что одним из приоритетных направлений решения задачи эффективного противодействия современной преступной деятельности является активное использование правоохранительными органами различных мер профилактического характера.

Большинство зарубежных специалистов прямо указывает на то, что предупредить компьютерное преступление всегда намного легче и проще, чем его раскрыть и расследовать.

Обычно выделяются три основные группы мер предупреждения компьютерных преступлений, составляющие в своей совокупности целостную систему борьбы с этим социально опасным явлением: правовые, организационно-технические и криминалистические.

Вступлением в силу Уголовного кодекса РФ отечественное уголовное законодательство приведено в соответствие с общепринятыми международными правовыми нормами развитых в этом отношении зарубежных стран. Теперь очередь за принятием нового уголовно-процессуального законодательства, регламентирующего все возможные следственные действия и механизм их осуществления применительно к специфике компьютерных преступлений.

Проблемы затрудняющие предупреждение и расследование компьютерных преступлений включают в себя: выявившееся несовершенство УК (состав преступлений ст. ст. 2 72, 274 - материальный (требует наличие перечисленных в законе общественно опасных последствий); дефицит специалистов в МВД; отсутствие наработок (методических рекомендаций по изъятию, обыску, осмотру места происшествия и т.п.); недоработанность УПК (в частности неясно, как принимать в качестве доказательства электронный документ); и некоторые другие проблемы.

Между тем общеизвестно, что одними правовыми мерами сдерживания не всегда удается достичь желаемого результата в деле предупреждения преступлений. Тогда следующим этапом становится применение мер организационно-технического характера для защиты средств компьютерной техники от противоправных посягательств на них.

Ввиду того, что компьютерные преступления все больше приобретают транснациональный характер (вспомним хотя бы дело В. Левина о проникновении в электронную сеть « Сити-банка » в 1995 г.), усиливается международное сотрудничество в этой области.

Так 9-10 декабря 1997 г. в Вашингтоне прошла встреча министров юстиции и внутренних дел стран « восьмерки » на которой обсуждались вопросы усиления борьбы с преступностью в сфере высоких технологий и было принято специальное Коммюнике. Во исполнение решений этой встречи Генеральной прокуратурой России совместно с МВД, ФСБ, ФСНП и ФАПСИ был разработан план мероприятий по реализации Коммюнике в России. Этот план предполагает следующие мероприятия:

1 Разработать порядок взаимодействия правоохранительных и иных заинтересованных министерств и ведомств Российской Федерации, а также обмена информацией в борьбе с использованием высоких технологий в преступных целях.

2 Обобщить прокурорско-следственную практику по делам о преступлениях в сфере высоких технологий и на этой основе разработать методические рекомендации на местах.

3 Организовать и провести научно-практическую конференцию с участием иностранных специалистов и практических работников по проблемам выявления пресечения и расследования преступлений в сфере высоких технологий.

5 Создать в составе экспертно-криминалистических учреждений подразделения для производства экспертиз по делам о преступлениях в сфере высоких технологий

6 Проанализировать действующее законодательство Российской Федерации по рассматриваемой проблеме, по результатам подготовить проект соответствующих

законодательных актов, в том числе о внесении дополнений изменений в это законодательство.

7 Подготовить проект закона о дополнении ст. с т. 2 72 -2 74 УК Российской Федерации санкциями, позволяющими осуществлять конфискацию технических средств, программного обеспечения и накопленной информации, использовавшихся в преступной деятельности.

8 Создать межведомственный центр для проведения исследований и экспертиз при расследовании преступлений, совершенных с использованием компьютерных и информационных систем, сертификации компьютерных и информационных систем на предмет достоверности и полноты данных протоколов регистрации пользователей и другой служебной информации; обучения сотрудников правоохранительных органов методике изъятия и обеспечения сохранности доказательственной базы таких преступлений.

9 Разработать программу подготовки кадров, специализирующихся для работы в сфере высоких технологий.

10 Ввести в программы обучения юридических вузов курс лекций по проблемам борьбы с преступностью в сфере высоких технологий с подготовкой учебных пособий.

11 Организовать обучение необходимого числа сотрудников для решения зада борьбы с преступностью в сфере высоких технологий и оказания помощи правоохранительным органам других стран.

Несомненно, проблема кадрового обеспечения правоохранительных органов стоит для России наиболее актуально. Даже в такой глубоко информатизированной стране как США сейчас принимаются срочные меры для ликвидации дефицита кадров в области компьютеризации американского общества. Для этого разработана специальная правительственная программа, включающая:

- компьютерную переподготовку людей, потерявших работу в других отраслях. На это ассигнуется 3 млн. долларов;

- организацию централизованного банка данных, доступного через Internet, в котором будут храниться сведения о вакансиях;

- широкую пропагандистскую компанию по поднятию престижа работников компьютерной сферы.

В настоящее время в США компьютерная индустрия имеет 346 тыс. вакансий, а в течение следующего десятилетия к их числу добавится еще 1,3 млн. рабочих мест.

На фоне таких цифр просто смешно говорить о компьютеризации правоохранительных органов нашей страны, где редкий следователь умеет просто печатать на компьютере, не говоря о расследовании компьютерных преступлений.

К счастью не везде ситуация настолько плоха. Уже 2 года назад в составе 3 отдела ГУЭП МВД России создано « О тделение по борьбе с хищениями денежных средств,

совершаемых с использованием электронных средств доступа » . Вслед за этим в С-Петербурге, Москве и нескольких других крупных городах созданы отделы (отделения) аналогичной направленности.

В сентябре 1997 г. в Академии МВД России прошел семинар по компьютерным преступлениям и правам на интеллектуальную собственность. В течение пяти дней шесть агентов ФБР обучали отечественных специалистов проведению расследования в области компьютерных правонарушений.

Названия основных тем лекций звучали завораживающе: « И спользование компьютеров в преступлениях » , « Р оль прокурора в расследовании компьютерных преступлений » , « З аконы о компьютерных преступлениях » , « С лучаи вторжения в компьютер » , « В идео-компьютерные преступления » . Но реальное наполнение лекций оказалось излишне обобщенным. В чем преуспели американские коллеги - так это в разработке законодательной базы.

Действительно, в отличие от российских специалистов, агенты ФБР имеют четкое руководство к действию в виде части 18 Свода законов. Здесь содержится множество статей, параграфов и пунктов, однозначно классифицирующих, например, ответственность за торговлю компьютерными паролями; за причинение ущерба передаче данных, повлекших за собой повреждение компьютера и информации; незаконный доступ к компьютеру, используемому правительством, и т.д. Кстати, ответственность за разного рода компьютерные преступления может составлять до 30 лет тюрьмы или до 1 млн. долл. штрафа. В ФБР введена стройная классификация с упоминанием и разбором типичных примеров: « П ирамида » , « О перации с предварительно уплаченным взносом » , « С планированное банкротство » или « М ошеннические операции в телемаркетинге » .

Понимание истинной квалификации российских коллег пришло к агентам ФБР после знакомства с уровнем разработок, проводимых в научных подразделениях Академии МВД. Оказалось, что многие отечественные разработки, например средство контроля за информацией, передаваемой по телефонным каналам связи, или средство построения различных систем идентификации личности ни в чем не уступают зарубежным.

Семинар лишний раз продемонстрировал, что у нас имеется все необходимое - высококвалифицированные специалисты, ресурсы и даже оборудование - для успешной борьбы с компьютерными преступлениями.

К сожалению, приходится признать, что большая часть компьютерных преступлений совершается вследствие недостаточности организационных мер в предприятиях и организациях, слабой защитой данных от несанкционированного доступа, недостаточной конфиденциальности, слабой проверки и инструктажа персонала.

Анализ материалов отечественных уголовных дел позволяет сделать вывод о том, что основными причинами и условиями, способствующими совершению компьютерных преступлений в большинстве случаев стали:

1) неконтролируемый доступ сотрудников к пульту управления (клавиатуре) компьютера, используемого как автономно, так и в качестве рабочей станции автоматизированной сети для дистанционной передачи данных первичных бухгалтерских документов в процессе осуществления финансовых операций;

2) бесконтрольность за действиями обслуживающего персонала, что позволяет преступнику свободно использовать указанную в п. 1 ЭВМ в качестве орудия совершения преступления;

3) низкий уровень программного обеспечения, которое не имеет контрольной защиты, обеспечивающей проверку соответствия и правильности вводимой информации;

4) несовершенство парольной системы защиты от несанкционированного доступа к рабочей станции и ее программному обеспечению, которая не обеспечивает достоверную идентификацию пользователя по индивидуальным биометрическим параметрам;

5) отсутствие должностного лица, отвечающего за режим секретности и конфиденциальности коммерческой информации и ее безопасности в части защиты средств компьютерной техники от несанкционированного доступа;

7) отсутствие договоров (контрактов) с сотрудниками на предмет неразглашения коммерческой и служебной тайны, персональных данных и иной конфиденциальной

информации.

Зарубежный опыт показывает, что наиболее эффективной защитой от компьютерных правонарушений является введение в штатное расписание организаций должности специалиста по компьютерной безопасности (администратора по защите информации) либо создание специальных служб как частных, так и централизованных, исходя из конкретной ситуации. Наличие такого отдела (службы) в организации, по оценкам зарубежных специалистов, снижает вероятность совершения компьютерных преступлений вдвое.

Кроме того, в обязательном порядке должны быть реализованы следующие организационные мероприятия:

для всех лиц, имеющих право доступа к СКТ, должны быть определены категории доступа;

определена административная ответственность за сохранность и санкционированность доступа к информационным ресурсам;

налажен периодический системный контроль за качеством защиты информации;

проведена классификация информации в соответствии с ее важностью, дифференциация на основе этого мер защиты;

организована физическая защита СКТ.

Помимо организационно-управленческих мер, существенную роль в борьбе с компьютерными преступлениями могут играть меры технического характера (аппаратные, программные и комплексные).

Аппаратные методы предназначены для защиты компьютерной техники от нежелательных физических воздействий и закрытия возможных каналов утечки конфиденциальной информации. К ним относятся источники бесперебойного питания, устройства экранирования аппаратуры, шифрозамки и устройства идентификации личности.

Программные методы защиты предназначаются для непосредственной защиты информации. Для защиты информации при ее передаче обычно используют различные методы шифрования данных. Как показывает практика, современные методы шифрования позволяют достаточно надежно скрыть смысл сообщения. Например, в США, в соответствии с директивой Министерства финансов, начиная с 1984 г. все общественные и частные организации были обязаны внедрить процедуру шифрования коммерческой информации по системе DES (Data Encryption Standard). Как правило, российские пользователи справедливо не доверяют зарубежным системам, взлом которых стал любимым развлечением хакеров и всяких джеймсов бондов. Однако и российские государственные системы тоже могут быть ненадежными - когда над Охотским морем советскими истребителями был сбит корейский пассажирский самолет, правительство США уже через неделю представило в ООH дешифровку переговоров наших военных летчиков со станциями слежения. Но с тех пор прошло пятнадцать лет. Разработаны, сертифицированы и активно используются десятки отечественных систем шифрования. Ряд из них имеют криптографическую защиту, то есть теоретически не могут быть взломаны за разумное время (менее десяти лет) даже сотрудниками ФАПСИ и уж тем более любопытствующими хакерами.

При рассмотрении вопросов, касающихся программной защиты информационных ресурсов, особо выделяется проблема их защиты от компьютерных вирусов как способа совершения компьютерного преступления. В настоящее время разрабатываемые отечественные и зарубежные программные антивирусные средства позволяют с определенным успехом (примерно 97%) опознать зараженные программные средства и их компоненты. Существующие антивирусные программные пакеты (AIDSTEST, DrWeb, SHERIFF, ADinf, Norton Antivirus и др.) позволяют обнаруживать и уничтожать большинство вирусных программ.

4. Методика и практика расследования преступлений в сфере компьютерной информации

Хорошо известно, что одними мерами предупреждения не всегда удается предотвратить преступное посягательство. В связи с этим возникает необходимость заниматься не только вопросами защиты средств компьютерной техники, но и решать вопросы расследования компьютерных преступлений.

В 1998 г. в Экспертно-криминалистическом центре МВД был проведен классификационный анализ лиц, замешанных в применении компьютеров для совершения противоправных деяний. Обобщенный портрет отечественного злонамеренного хакера, созданный на основе уголовного преследования такого рода личностей, выглядит примерно так: это мужчина в возрасте от 15 до 45 лет, либо имеющий многолетний опыт работы на компьютере, либо почти не обладающий таким опытом; в прошлом к уголовной ответственности не привлекался; является яркой, мыслящей личностью, способной принимать ответственные решения; хороший, добросовестный работник, по характеру нетерпимый к насмешкам и к потере своего социального статуса в рамках группы окружающих его людей; любит уединенную работу; приходит на службу первым и уходит последним; часто задерживается на работе после окончания рабочего дня и очень редко использует отпуска и отгулы.

По сведениям того же Экспертно-криминалистического центра МВД, принципиальная схема организации взлома защитных механизмов информационных системы достаточно однотипна. Профессиональные компьютерные взломщики обычно работают только после тщательной предварительной подготовки. Они снимают квартиру на подставное лицо, подкупают сотрудников организации, знакомых с деталями электронных платежей и паролями, и работников телефонной станции, чтобы обезопаситься на случай поступления запроса от служб безопасности. Нанимают охрану из бывших сотрудников МВД. Чаще всего взлом компьютерной сети осуществляется рано утром, когда дежурный службы безопасности теряет свою бдительность, а вызов помощи затруднен.

Ниже представлена общая схема расследования неправомерного доступа к компьютерной информации. В ходе расследования основные следственные задачи целесообразно решать в такой последовательности:

1. Установление факта неправомерного доступа к информации в компьютерной системе или сети.

2. Установление места несанкционированного проникновения в компьютерную систему или сеть.

3. Установление времени совершения преступления.

4. Установление надежности средств защиты компьютерной информации.

5. Установление способа несанкционированного доступа.

6. Установление лиц, совершивших неправомерный доступ, их виновности и мотивов преступления.

7. Установление вредных последствий преступления.

8. Выявление обстоятельств, способствовавших преступлению.

На признаки несанкционированного доступа или подготовки к нему могут указывать следующие обстоятельства: появление в компьютере фальшивых данных; не обновление в течение длительного времени в автоматизированной информационной системе кодов, паролей и других защитных средств; частые сбои в процессе работы компьютеров; участившиеся жалобы клиентов компьютерной системы или сети; осуществление сверхурочных работ без видимых на то причин; немотивированные отказы некоторых сотрудников, обслуживающих компьютерные системы или сети, от отпусков; неожиданное приобретение сотрудником домашнего дорогостоящего компьютера; чистые дискеты либо диски, принесенные на работу сотрудниками компьютерной системы под сомнительным предлогом перезаписи программ для компьютерных игр; участившиеся случаи перезаписи отдельных данных без серьезных на то причин; чрезмерный интерес отдельных сотрудников к содержанию чужих распечаток (листингов), выходящих из принтеров.

Определить место и время непосредственного применения технических средств удаленного несанкционированного доступа (не входящих в данную компьютерную систему или сеть) на практике бывает достаточно трудно. Для установления этих данных необходимо привлекать специалистов.

Способ несанкционированного доступа может быть установлен путем производства информационно-технической судебной экспертизы, перед экспертом следует поставить вопрос: « Каким способом мог быть совершен несанкционированный доступ в данную компьютерную систему? » . Целесообразно представить эксперту всю проектную документацию на исследуемую систему (если таковая имеется), а также имеющиеся данные о ее сертификации.

Несанкционированный доступ к закрытой компьютерной системе или сети является технологически весьма сложным действием. Совершить такую акцию могут только специалисты, имеющие достаточно высокую квалификацию. Поэтому поиск подозреваемых следует начинать с технического персонала пострадавших компьютерных систем или сетей (разработчиков соответствующих систем, их руководителей, операторов, программистов, инженеров связи, специалистов по защите информации и других).

Следственная практика показывает, что чем сложнее в техническом отношении способ проникновения в компьютерную систему или сеть, тем легче выделить подозреваемого, поскольку круг специалистов, обладающих соответствующими способностями, обычно весьма ограничен.

При расследовании преступления, предусматривающего создание, использование и распространение вредоносных программ для ЭВМ представляется наиболее целесообразной следующая последовательность решения основных задач:

1) Установление факта и способа создания вредоносной программы для ЭВМ.

2) Установление факта использования и распространения вредоносной программы.

3) Установление лиц, виновных в создании, использовании и распространении вредоносных программ для ЭВМ.

4) Установление вреда, причиненного данным преступлением.

5) Установление обстоятельств, способствовавших совершению расследуемого преступления.

При расследовании нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети, необходимо прежде всего доказать факт нарушения определенных правил, повлекший уничтожение, блокирование или модификацию охраняемой законом компьютерной информации и причинивший существенный вред. Кроме того, необходимо установить и доказать:

1) место и время (период времени) нарушения правил эксплуатации ЭВМ;

2) характер компьютерной информации, подвергшейся уничтожению, блокированию или модификации вследствие нарушения правил эксплуатации компьютерной системы или сети;

3) способ и механизм нарушения правил;

4) характер и размер ущерба, причиненного преступлением;

5) факт нарушения правил определенны лицом;

6) виновность лица, допустившего преступное нарушение правил эксплуатации ЭBM;

7) обстоятельства, способствовавшие совершению расследуемого преступления.

Помимо этого, следователю необходимо знать, что существует много особенностей, которые должны учитываться при производстве отдельных следственных действий.

Приведу некоторые из них.

Если следователь располагает информацией, что на объекте обыска находятся средства компьютерной техники, расшифровка данных, с которых может дать доказательства по делу, он должен заранее подготовиться к их изъятию. Необходимо обеспечить участие в ходе обыска специалиста по компьютерной технике. По прибытии на место обыска следует сразу же принять меры к обеспечению сохранности ЭВМ и имеющихся на них данных и ценной информации.

Для этого необходимо:

1) не разрешать, кому бы то ни было из лиц, работающих на объекте обыска или находящихся здесь по другим причинам (персоналу), прикасаться к ЭВМ с любой целью;

2) не разрешать, кому бы то ни было из персонала выключать электроснабжение объекта;

3) в случае если на момент начала обыска электроснабжение объекта выключено, то до его восстановления следует отключить от электросети всю компьютерную технику, находящуюся на объекте;

4) самому не производить никаких манипуляций со средствами компьютерной техники, если результат этих манипуляций заранее неизвестен;

После принятия указанных выше неотложных мер можно приступать к непосредственному обыску помещения и изъятию средств компьютерной техники.

При этом следует принять во внимание следующие неблагоприятные факторы:

- возможные попытки со стороны персонала повредить ЭВМ с целью уничтожения информации и ценных данных;

- возможное наличие на компьютерах специальных средств защиты от несанкционированного доступа, которые, не получив в установленное время специальный код, автоматически уничтожат всю информацию;

- возможное наличие на ЭВМ иных средств защиты от несанкционированного доступа;

- постоянное совершенствование компьютерной техники, следствием чего может быть наличие на объекте программно-технических средств, незнакомых следователю.

В целях недопущения вредных последствий перечисленных факторов следователь может придерживаться следующих рекомендаций:

1. Перед выключением питания по возможности корректно закрыть все используемые программы, а в сомнительных случаях просто отключить компьютер (в некоторых случаях некорректное отключение компьютера - путем перезагрузки или выключения питания без предварительного выхода из программы и записи информации на постоянный носитель - приводит к потере информации в оперативной памяти и даже к стиранию информационных ресурсов на данном компьютере).

2. При наличии средств защиты, ЭВМ от несанкционированного доступа принять меры к установлению ключей доступа (паролей, алгоритмов и т.д. ).

3. Корректно выключить питание всех ЭВМ, находящихся на объекте (в помещении).

4. Не пытаться на месте просматривать информацию, содержащуюся в компьютерах.

5. В затруднительных случаях не обращаться за консультацией (помощью) к персоналу, а вызывать специалиста, не заинтересованного в исходе дела.

6. Следует изъять все ЭВМ, обнаруженные на объекте.

7. При обыске не подносить ближе, чем на 1 м к компьютерной технике металлоискатели и другие источники магнитного поля, в т. ч. сильные осветительные приборы и некоторую спецаппаратуру.

8. Поскольку многие, особенно неквалифицированные, пользователи записывают процедуру входа-выхода, работы с компьютерной системой, а также пароли доступа на отдельных бумажных листках, следует изъять также все записи, относящиеся к работе с ЭВМ.

9. Так как многие коммерческие и государственные структуры прибегают к услугам нештатных и временно работающих специалистов по обслуживанию средств компьютерной техники, следует записать паспортные данные у всех лиц, находящихся на объекте, независимо от их объяснений цели пребывания на объекте.

При изъятии средств компьютерной техники необходимо обеспечить строгое соблюдение требований действующего уголовно-процессуального законодательства. Для этого необходимо акцентировать внимание понятых на всех производимых действиях и их результатах, давая им при необходимости пояснения, поскольку многим участникам следственного действия могут быть непонятны производимые манипуляции. Кроме того, следует опечатывать ЭВМ так, чтобы исключить возможность работы с ними, разукомплектовки и физического повреждения основных рабочих компонентов в отсутствие владельца или эксперта. При опечатывании компьютерных устройств следует наложить один лист бумаги на разъем электропитания, расположенный на задней панели, второй - на переднюю панель вверху с захлестом на верхнюю панель и закрепить их края густым клеем. На листах бумаги должны быть подписи следователя, понятых и представителя персонала. При изъятии магнитного носителя машинной информации нужно помнить, что они должны перемещаться в пространстве и храниться только в специальных опломбированных и экранированных контейнерах или в стандартных дискетных или иных алюминиевых футлярах заводского изготовления, исключающих разрушающее воздействие различных электромагнитных и магнитных полей и « наводок » , направленных излучений.

В случае, когда необходимо сослаться непосредственно на определенный физический носитель, следует указать в протоколе его серийный (заводской) номер, тип, название (если есть) или провести его точное описание (размеры, цвет, класс, надписи, физические повреждения). При отсутствии четких внешних признаков физический носитель запечатывается в отдельную коробку (ящик, конверт) о чем обязательно делается отметка в протоколе проведения следственного действия.

В случае невозможности изъятия и приобщения к делу в качестве вещественного доказательства средства компьютерной техники (например, если компьютер является сервером или рабочей станцией компьютерной сети) в обязательном порядке после его осмотра необходимо блокировать не только соответствующее помещение, но и отключать источники энергопитания аппаратуры или, в крайнем случае, создать условия лишь для приема информации с одновременным опломбированием всех необходимых узлов, деталей, частей и механизмов компьютерной системы.

Если же возникла необходимость изъятия информации из оперативной памяти компьютера (непосредственно из оперативного запоминающего устройства - ОЗУ), то сделать это возможно только путем копирования соответствующей машинной информации на физический носитель с использованием стандартных паспортизированных программных средств с соответствующим документальным приложением и в порядке, установленном следующими нормативными документами; Государственный стандарт (ГОСТ) №6104-84 от 01.07.87 «УСД». Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники.

Основные положения и Постановление Госстандарта №2781 от 24.09.86 « Методические указания по внедрению и применению ГОСТ 6104 -8 4 » . Только с использованием указанных нормативных документов машинная информация будет относиться к разряду «документированной информации», как требует того закон.

К сожалению, пятилетняя практика работы автора в органах прокуратуры показывает, что вышеуказанные рекомендации в большинстве случаев следователями не применяются в практической деятельности по расследованию преступлений. В результате неправильного изъятия средств компьютерной техники добытая информация зачастую не может являться доказательством в судебном процессе. Однако хочется привести и пример грамотных действий группы следователей прокуратуры Курганской области в которой принимал непосредственное участие и автор данной работы.

В 1996 г. прокуратурой Курганской области было возбуждено уголовное дело в отношении ряда должностных лиц ГИБДД УВД Курганской области по факту неоднократного получения взяток за изготовление поддельных документов на автомобили и внесении заведомо ложной информации в компьютерную базу данных.

Материалами дела было установлено, что в конце января 1996 года по предложению работника ГИБДД УВД Курганской области В., Ю., работая инженером подотдела ГИБДД и, являясь должностным лицом, на своем рабочем месте, используя компьютер и лазерный принтер, изготовил заведомо поддельную таможенную декларацию на автомобиль «Вольво-360», за что получил от В. в качестве взятки 500 тысяч рублей.

Также, в начале февраля 1996 года Ю. по предложению В. на своем рабочем месте, используя компьютер и лазерный принтер, заполнил бланк свидетельства о регистрации автомобиля «Вольво-445», внеся в него заведомо ложные сведения о регистрации указанного автомобиля в РЭО ГИБДД УВД г. Кургана В то же время Ю., используя свое служебное положение, внес в компьютерную базу данных РЭО ГИБДД УВД г. Кургана заведомо ложные сведения о регистрации автомобиля «Вольво-445» на имя Д. За это Ю. получил от В. в качестве взятки 500 тысяч рублей.

Своими действиями Ю. совершил преступление, предусмотренное ст. 173 ч. 2 УК РСФСР, т.е. - получение взятки должностным лицом неоднократно за выполнение действий в интересах дающего взятку с использованием своего служебного положения.

Кроме того, Ю., изготовив в январе - марте 1996 г. по предложению В. на своем рабочем месте с использованием компьютера и лазерного принтера заведомо поддельную таможенную декларацию на автомобиль «Вольво-360», два бланка доверенностей нотариуса Люберецкой государственной нотариальной конторы Московской области С., и внеся заведомо ложные сведения о регистрации автомобиля «Вольво-445» в бланк свидетельства о регистрации и в компьютерную базу данных РЭО ГИБДД УВД г. Кургана, совершил преступление, предусмотренное ст. 1 75 УК РСФСР - должностной подлог.

При проведении первоначальных следственных действий был произведен обыск в рабочем помещении РЭО ГИБДД, при котором в соответствии с требованиями закона изъяты используемые в работе средства вычислительной техники. После доставления этих компьютеров в помещение областной прокуратуры вся база данных в присутствии понятых была переписана на съемные носители информации. В дальнейшем при производстве сверки с другими базами данных, имеющимися в ИЦ УВД области, архивными документами, данными таможенной службы были выявлены множественные несоответствия. Выяснилось, что обвиняемыми сотрудниками РЭО ГИБДД путем внесения заведомо ложной информации в компьютерную базу данных и выдачи поддельных техпаспортов, таможенных деклараций, были незаконно зарегистрированы десятки автомашин импортного производства без уплаты соответствующих таможенных пошлин и платежей. Данное уголовное дело в начале 1997 г. было рассмотрено Курганским областным судом с вынесением обвинительного приговора. Все подсудимые были приговорены к длительным срокам лишения свободы.

Однако большинство уголовных дел по компьютерным преступлениям в России остаются нераскрытыми. И дело здесь даже не в том, что наши сыщики плохо работают или, что российские компании экономят на защите своих компьютерных сетей. К сожалению, при высоком техническом оснащении и тщательной подготовке преступления, поймать компьютерного вора очень сложно. Ведь компьютерные сигналы легко перебрасываются через спутник и могут поступать в тот же Центробанк хоть из Зимбабве, хоть с Берега Слоновой Кости. Похищенные деньги прокручиваются через несколько банков, и если их след все же обнаруживается, конечный получатель только пожимает плечами - мол, сам удивляюсь, откуда они взялись.

На нынешний день возбуждено около 20 уголовных дел по «компьютерным преступлениям», - сказал в интервью газете «Труд» оперуполномоченный по особо важным делам Главного управления по экономическим преступлениям МВД РФ Игорь Никитенко. - Но я не уверен, что все они будут доведены до суда. Дела разваливаются, так как выявить личность конкретного преступника порой просто невозможно».

Вот лишь два примера:

- Уголовное дело номер 113063. Неизвестные лица проникли в компьютерную сеть Центрального банка и ввели программу о переводе более 68 миллиардов рублей на другие счета. Произошло это в 1993 году. Преступники так и не найдены.

- Уголовное дело номер 112288. В начале 1995 года злоумышленники через компьютерную сеть одного из московских банков фиктивно ввели на его счет 2 миллиарда рублей, попытавшись потом перевести эту сумму на другие счета. Попытка преступления была предотвращена. Но уголовное дело в настоящий момент приостановлено « з а неустановлением виновных лиц »…

Подобные документы

Криминалистическая характеристика компьютерных преступлений. Обстоятельства, подлежащие установлению. Аппаратно-технические средства электронно-вычислительной техники как орудие совершения преступления. Различные классификации компьютерных преступлений.

реферат , добавлен 22.05.2010


Понятие, возникновение и признаки множественности преступлений. Уголовно-правовые последствия множественности преступлений, его формы: совокупность и рецидив преступлений. Понятие и виды единичного преступления согласно уголовному законодательству России.

курсовая работа , добавлен 04.01.2011


дипломная работа , добавлен 13.11.2016


Преступления в сфере компьютерной информации. Основные понятия и классификация компьютерных преступлений, методы их предупреждение. Методика раскрытия и расследования компьютерных преступлений. Статьи российского законодательства, примеры уголовных дел.

презентация , добавлен 26.05.2012


Общие положения о преступлениях против несовершеннолетних. Понятие и виды преступлений. Уголовно-правовая характеристика преступлений против несовершеннолетних. Объективные и субъективные признаки. Меры предупреждения совершения преступлений.

курсовая работа , добавлен 12.10.2003


Сущность и разновидности способов совершения преступления. Виды компьютерных преступлений и определение ответственности за них. Способы и основные инструменты доступа к компьютерной информации, исследование конкретных примеров из отечественной практики.

реферат , добавлен 12.10.2010


Политические права и свободы граждан и понятие преступлений против них. Мотивы совершения преступления. Вовлечение несовершеннолетнего в совершение преступления. Понятие преступлений против семьи и несовершеннолетних. Способы совершения преступлений.

реферат , добавлен 06.02.2010


Понятие, виды, структура и классификация методик расследования преступлений. Проблемы предупреждения и методика расследования экологических преступлений (загрязнение вод и атмосферы). Уголовно-процессуальная характеристика экологических преступлений.

дипломная работа , добавлен 20.07.2011


Понятие и формы множественности преступлений. Совершение одним лицом нескольких преступлений. Уголовно-правовое значение преступлений. Понятие и виды единого преступления. Совокупность преступлений. Рецидив преступлений. Конкуренция норм.

реферат , добавлен 21.02.2007


Выявление налоговых преступлений. Методика расследования уклонений от уплаты налогов. Характеристика российской трехуровневой системы налогообложения предприятий, организаций и граждан. Типичные признаки и способы совершения налоговых преступлений.