10. КОМПЬЮТЕРНЫЕ ПРЕСТУПЛЕНИЯ
10.1. Введение
Процесс информатизации общества наряду с положительными последствиями имеет и ряд отрицательных сторон. Так, например, объединение компьютеров в глобальные сети, с одной стороны, дало возможность большому количеству людей приобщиться к огромному массиву накопленной в мире информации, а с другой, – породило проблемы с охраной интеллектуальной собственности, помещаемой в сеть и хранящейся в ней.
Широкое распространение и внедрение компьютеров во все сферы жизни общества привело и к тому, что изменился сам характер многих преступлений, появились новые их виды.
Преступные группы и сообщества также начали активно использовать в своей деятельности новые информационные технологии. Для достижения прежде всего корыстных целей преступники стали активно применять компьютеры и специальную технику, создавать системы конспирации и скрытой связи в рамках системного подхода при планирования своих действий. Одновременно наблюдается резкое нарастание криминального профессионализма - количества дерзких по замыслу и квалифицированных по исполнению преступлений.
Очевидно, что рассматриваемые проблемы не могли не затронуть и сферу деятельности правоохранительных органов. Возникла необходимость в разработке подходов к исследованию новых видов преступлений, методов их расследования и профилактики.
10.2. Понятие компьютерных преступлений и их классификация
Негативным последствием информатизации общества является и появление так называемой компьютерной
343
преступности. В литературе до настоящего времени ведется полемика о том, какие действия следует относить к разряду компьютерных преступлений. Сложность решения вопроса заключается также и в том, что диапазон противоправных действий, совершаемых с использованием средств компьютерной техники, чрезвычайно широк – от преступлений традиционного типа до требующих высокой математической и технической подготовки.
Появление на рынке в 1974 г. компактных и сравнительно недорогих персональных компьютеров дало возможность подключаться к мощным информационным потокам неограниченному кругу лиц. Встал вопрос о контроле доступа к информации, ее сохранности и целостности. Организационные меры, а также программные и технические средства защиты информации оказались недостаточно эффективными.
Особенно остро проблема несанкционированного вмешательства в работу компьютерных систем дала о себе знать в странах с развитой информационной инфраструктурой. Вынужденные прибегать к дополнительным мерам безопасности, они стали активно использовать правовые, в том числе и уголовно-правовые средства защиты. Так, например, в Уголовном кодексе Франции в 1992 г. система преступлений против собственности пополнилась специальной главой «О посягательствах на системы автоматизированной обработки данных». В ней предусмотрена ответственность за незаконный доступ ко всей или части системы автоматизированной обработки данных, воспрепятствование работе или нарушение правильности работы системы или ввод в нее обманным способом информации, уничтожение или изменение базы данных. Изучить и разработать проект специальной, конвенции, посвященной проблеме правонарушений в сфере компьютерной информации, счел необходимым и Совет Европы.
Развивалась компьютерная преступность и в СССР. Так, одно из первых в нашей стране компьютерных преступлений, совершенное в 1979 г. в Вильнюсе, - хищение 78 584 рублей – удостоилось занесения в международный реестр подобных правонарушений. Российские правоведы уже давно ставили вопрос о необходимости
344
законодательного закрепления правоотношений, вытекающих из различных сфер применения средств автоматизированной обработки информации. Определенным этапом стало принятие в 1992 г. Закона РФ «О правовой охране программ для электронно-вычислительных машин и баз данных». Закон содержал положение о том, что выпуск под своим именем чужой программы для ЭВМ или базы данных либо незаконное воспроизведение или распространение таковых влечет уголовную ответственность. Однако соответствующих изменений в УК РФ внесено не было. В 1994 г. был принят Гражданский кодекс, который содержит ряд норм, связанных с компьютерной информацией, а в 1995 г. - Федеральный закон об информации, информатизации и защите информации. Логическим развитием правовой системы, создающей условия безопасности автоматизированной обработки информации, стало включение в УК РФ 1996 года группы статей, предусматривающих основания уголовной ответственности за нарушения в сфере компьютерной информации.
Хотя действующее в большинстве стран уголовное законодательство является достаточно гибким, чтобы квалифицировать правонарушения этого типа, социальные и технические изменения создают все новые и новые проблемы. Поэтому некоторые из известных мировой практике компьютерных посягательств не подпадают под действие уголовного законодательства и в юридическом смысле не могут считаться преступными. Так, существует точка зрения, что компьютерных преступлений, как преступлений специфических в юридическом смысле, не существует и следует говорить лишь о компьютерных аспектах преступлений1.
Вместе с тем, специалисты в данной области исследований пришли к выводу, что к разряду компьютерных следует отнести те преступления, у которых объектом преступного посягательства является информация, обрабатываемая и хранящаяся в компьютерных системах, а орудием посягательства служит компьютер. По этому пути пошло и российское законодательство.
1 Батурин ЮМ. Право и политика в компьютерном круге. – М.-Наука, 1987.
345
Следует заметить, что с точки зрения уголовного законодательства охраняется компьютерная информация, которая определяется как информация, зафиксированная на машинном носителе или передаваемая по телекоммуникационным каналам в форме, доступной восприятию ЭВМ. Вместо термина компьютерная информация можно использовать и термин машинная информация, под которой подразумевается информация, которая запечатлена на машинном носителе, в памяти ЭВМ, системе ЭВМ или их сети. В качестве предмета или орудия преступления, согласно законодательству, может выступать компьютерная информация, компьютер, компьютерная система или компьютерная сеть.
При рассмотрении вопросов классификации компьютерных преступлений и их криминалистической характеристике целесообразно исходить из определения компьютерного преступления в широком смысле слова. В этом случае под компьютерным преступлением следует понимать предусмотренные законом общественно-опасные деяния, совершаемые с использованием средств компьютерной техники. Правомерно также использовать термин «компьютерное преступление» в широком значении как социологическую категорию, а не как понятие уголовного права.
Классификация компьютерных преступлений может быть проведена по различным основаниям. Так, например, можно условно подразделить все компьютерные преступления на две большие категории: преступления, связанные с вмешательством в работу компьютеров, и преступления, использующие компьютеры как необходимые технические средства. При этом не принимаются во внимание так называемые «околокомпьютерные» преступления, связанные с нарушением авторских прав программистов, незаконным бизнесом на вычислительной технике, а также физическим уничтожением компьютеров и т.п.
Одна из наиболее общих классификаций была предложена в 1983 г. группой экспертов Организации экономического сотрудничества и развития. В соответствии с ней выделяются следующие криминологические группы компьютерных преступлений:
экономические преступления;
346
• преступления против личных прав и частной сферы;
• преступления против государственных и общественных интересов.
Экономические компьютерные преступления являются наиболее распространенными. Они совершаются по корыстным мотивам и включают в себя компьютерное мошенничество, кражу программ («компьютерное пиратство»), кражу услуг и машинного времени, экономический шпионаж.
Компьютерными преступлениями против личных прав и частной сферы являются незаконный сбор данных о лице, разглашение частной информации (например, банковской или врачебной тайны), незаконное получение информации о расходах и т.д.
Компьютерные преступления против государственных и общественных интересов включают преступления, направленные против государственной и общественной безопасности, угрожающие обороноспособности государства, а также злоупотребления с автоматизированными системами голосования и т.п.
Подходить к классификации компьютерных преступлений наиболее оправдано с позиций составов преступлений, которые могут быть отнесены к разряду компьютерных. Хотя состав компьютерных преступлений в настоящее время четко не определен, можно выделить ряд видов противоправных Деяний, которые могут быть в него включены. Перечислим некоторые основные виды преступлений, связанных с вмешательством в работу компьютеров:
> Несанкционированный доступ в корыстных целях к информации, хранящейся в компьютере или информационно-вычислительной сети.
Несанкционированный доступ осуществляется, как правило, с использованием чужого имени, изменением физических адресов технических устройств, использованием информации, оставшейся после решения задач, модификацией программного и информационного обеспечения, хищением носителя информации, установкой аппаратуры записи, подключаемой к каналам передачи данных.
347
Бывает, что некто проникает в компьютерную систему, выдавая себя за законного пользователя. Системы, которые не обладают средствами аутентичной идентификации (например, по физиологическим характеристикам: по отпечаткам пальцев, по рисунку сетчатки глаза, голосу и т.п.), оказываются беззащитны против этого приема. Самый простой путь его осуществления – получить коды и другие идентифицирующие шифры законных пользователей.
Несанкционированный доступ может осуществляться и в результате системной поломки. Например, если некоторые файлы одного пользователя остаются открытыми, то другие пользователи могут получить доступ к не принадлежащим им частям банка данных. Все происходит так, словно клиент банка, войдя в выделенную ему в хранилище комнату, замечает, что у хранилища нет одной стены. В таком случае он может проникнуть в чужие сейфы и похитить все, что в них хранится.
> Разработка и распространение компьютерных вирусов.
Программы-вирусы обладают свойствами переходить через коммуникационные сети из одной системы в другую, распространяясь как вирусное заболевание.
> Ввод в программное обеспечение «логических бомб».
Это такие программы, которые срабатывают при выполнении определенных условий и частично или полностью выводят из строя компьютерную систему.
> Халатная небрежность jipu разработке, создании и эксплуатации программно-вычислительных комплексов компьютерных сетей, приведшая к тяжким последствиям.
Проблема небрежности в области компьютерной техники сродни вине по неосторожности при использовании любого другого вида техники.
Особенностью компьютерных систем является то, что абсолютно безошибочных программ в принципе не бывает. Если проект практически в любой области техники можно выполнить с огромным запасом надежности, то в области программирования такая надежность весьма условна, а в ряде случаев почти недостижима.
> Подделка и фальсификация компьютерной информации, 348
с- V'
I
По-видимому, этот вид компьютерной преступности является одним из наиболее распространенных. Он является разновидностью несанкционированного доступа с той лишь разницей, что пользоваться им может сам разработчик, причем имеющий достаточно высокую квалификацию.
Идея преступления состоит в подделке выходной информации с целью имитации работоспособности больших систем, составной частью которых является компьютер. При достаточно ловко выполненной подделке зачастую удается сдать заказчику заведомо неисправную продукцию.
К фальсификации информации можно отнести также подтасовку результатов выборов, референдумов и т.п. Если каждый голосующий не может убедиться, что его голос зарегистрирован правильно, то всегда возможно внесение искажений в итоговые протоколы.
Естественно, что подделка информации может преследовать и другие, в том числе корыстные цели.
> Хищение программного обеспечения.
Если «обычные» хищения подпадают под действие существующего уголовного закона, то проблема хищения программного обеспечения значительно более сложна. Значительная часть программного обеспечения в России распространяется путем кражи и обмена краденым.
> Несанкционированное копирование, изменение или уничтожение информации.
При неправомерном обращении в собственность машинная информация может не изыматься из фондов, а копироваться. Следовательно, машинная информация должна быть выделена как самостоятельный предмет уголовно-правовой охраны.
> Несанкционированный просмотр или хищение информации из банков данных, баз данных и баз знаний.
В данном случае под базой данных следует понимать форму представления и организации совокупности данных (например: статей, расчетов), систематизированных таким образом, чтобы эти данные могли быть найдены и обработаны с помощью ЭВМ.
349
Приходится констатировать, что процесс компьютеризации общества приводит к увеличению количества компьютерных преступлений, возрастанию их удельного веса в общей доле материальных потерь от различных видов преступлений. Потери же отдельно взятого государства в таких случаях могут достигать колоссальных размеров. Один из характерных примеров – уголовное дело о хищении 125,5 тыс. долл. США и подготовке к хищению еще свыше 500 тыс. долл. во Внешэкономбанке СССР в 1991 г., рассмотренное московским судом. По материалам другого уголовного дела, в сентябре 1993 г. было совершено покушение на хищение денежных средств в особо крупных размерах из Главного расчетно-кассового центра Центрального банка России по г. Москве на сумму 68 млрд 309 млн 768 тыс. руб.
Имели также место следующие факты: хищение в апреле 1994 г. из расчетно-кассового центра (РКЦ) г. Махачкалы на сумму 35 млрд 1 млн 557 тыс. руб.; хищения в московском филиале Инкомбанка; в филиалах Уникомбанка; в коммерческом банке Красноярского края, откуда было похищено 510 млн руб.; хищения в акционерном коммерческом банке г. Волгограда на сумму 450 млн руб ; в Сбербанке г. Волгограда на сумму 2 млрд руб.
По данным МВД России, с 1992–1994 гг. из банковских структур преступниками по фальшивым кредитным авизо и поддельным ордерам было похищено более 7 трлн руб. В связи с ростом подобных хищений еще в конце 1993 г. в ЦБ России и региональных РКЦ были установлены компьютерные системы защиты от фальшивых платежных документов. По данным Центрального банка России, ежеквартально выявляется фиктивных платежей на десятки миллиардов рублей, которые преступники внедряют в сети подразделений банка.
Парадоксальная особенность компьютерных преступлений состоит и в том, что трудно найти другой вид преступления, после совершения которого его жертва не выказывает особой заинтересованности в поимке преступника, а сам преступник, будучи пойман, всячески рекламирует свою деятельность на поприще компьютерного взлома, мало что утаивая от представителей правоохранительных органов. Психологически этот парадокс вполне объясним.
350
Во-первых, жертва компьютерного преступления совершенно убеждена, что затраты на его раскрытие (включая потери, понесенные в результате утраты своей репутации) существенно превосходят уже причиненный ущерб.
И, во-вторых, преступник приобретает широкую известность в деловых и криминальных кругах, что в дальнейшем позволяет ему с выгодой использовать приобретенный опыт.
10.3. Уголовно-правовая характеристика компьютерных преступлений
В Уголовном Кодексе Российской Федерации имеется специальная глава 28, в которой определяются общественно опасные деяния, совершаемые с использованием средств компьютерной техники. К ним относятся:
1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети.
2. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами.
3. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ.
С точки зрения уголовно-правовой охраны под компьютерными преступлениями понимаются те предусмотренные уголовным законом общественно опасные деяния, в которых машинная информация является объектом преступного посягательства. В качестве предмета или орудия совершения преступления может выступать машинная ин-
351
формация, компьютер, компьютерная система или компьютерная сеть.
Преступления, имеющие своим предметом только лишь аппаратно-технические средства вычислительных машин (хищение, уничтожение), подпадают под другой тип уголовных правонарушений, закрепленных в главе 21 «Преступления против собственности».
Глава 28 УК РФ имеет своей целью охрану именно информационной безопасности и только в силу этого защиту и аппаратно технических средств, которые являются материальными носителями информационных ресурсов. Последствия неправомерного использования информации могут быть самыми разнообразными: нарушение неприкосновенности интеллектуальной собственности, разглашение сведений о частной жизни граждан, имущественный ущерб в виде прямых убытков и неполученных доходов, потеря репутации фирмы, различные виды нарушений нормальной деятельности предприятия, отрасли и т.д. Поэтому совершенно оправдано то, что преступления данного вида помещены в раздел «Преступления против общественной безопасности и общественного порядка».
Таким образом, общим объектом компьютерных преступлений выступает совокупность всех общественных отношений, охраняемых уголовным законом; родовым – общественная безопасность и общественный порядок; видовым – совокупность общественных отношений по правомерному и безопасному использованию информации; а непосредственный объект трактуется исходя из названий и диспозиций конкретных статей. Чаще всего непосредственный объект основного состава компьютерного преступления сформулирован альтернативно, в квалифицированных составах количество их, естественно, увеличивается.
Машинная информация может являться и средством преступного посягательства, когда компьютерная техника используется с целью совершения другого противоправного посягательства на иной объект. Разработчики УК РФ сформулировали составы главы 28 таким образом, что машинная информация в каждом случае является лишь объектом преступного посягательства.
Однако при использовании машинной информации в качестве средства совершения другого преступления 352
отношения по ее охране страдают неизбежно, т. е. она сама становится предметом общественно опасного деяния. Невозможно противоправно воспользоваться информацией, хранящейся в ЭВМ, не нарушив при этом ее защиты, т.е. не совершив одного из действий, предусмотренных в законе «Об информации, информатизации и защите информации». Таким образом, даже при совершении такого преступления, как электронное хищение денег, ответственность должна наступать по правилам идеальной совокупности преступлений.
Почти все составы главы 28 относятся к преступлениям небольшой и средней тяжести, и только один – к тяжким преступлениям. Характеризуя объективную сторону рассматриваемых составов, следует отметить, что большинство из них конструктивно сформулированы как материальные, поэтому предполагают не только совершение общественно-опасного деяния, но и наступление общественно-опасных последствий, а также установление причинной связи между этими двумя признаками.
Нельзя не признать, что уничтожение, блокирование, модификация и копирование информации не исключают совершения самостоятельных действий. В литературе указывается, что правильнее было бы рассматривать основанием уголовной ответственности за неправомерный доступ к компьютерной информации случаи, когда неправомерный доступ сопряжен с уничтожением, блокированием и т.д., т.е. такому доступу следовало бы придать значение не только причины, но и необходимого условия1.
В силу ч. 2 ст. 9 УК РФ временем совершения каждого из преступлений будет признаваться время окончания именно деяния независимо от времени наступления последствий. Сами же общественно опасные деяния чаще всего выступают в форме действий и лишь иногда – как бездействие. В одном случае такой признак объективной стороны состава преступления, как способ его совершения, сформулирован в качестве обязательного признака основного и квалифицированного составов. В
1 Уголовное право. Особенная часть: Учебник / Под ред. И.Я. Козаченко •М.: ИНФРА-М-НОРМА, 1997
12 Информатика и математика для юристов
353
остальных – он, а также время, место, обстановка, орудия, средства совершения преступления могут быть учтены судом в качестве смягчающих или отягчающих обстоятельств.
Из всех признаков субъективной стороны значение будет иметь только один – вина. Для всех преступлений данного вида необходимо наличие вины в форме умысла, и лишь два квалифицированных состава предусматривают две ее формы: умысел по отношению к деянию и неосторожность в отношении наступивших общественно-опасных последствий. Факультативные признаки субъективной стороны так же, как и в вопросе о стороне объективной, не будут иметь значения для квалификации преступления.
Мотивами совершения деяний чаще всего бывают корысть либо хулиганские побуждения, но могут быть и соображения интереса, чувство мести; не исключено совершение их с целью скрытия другого преступления и т.д. Естественно, что особую трудность вызывает проблема неосторожного причинения вреда, что связано с повышенной сложностью и скрытностью процессов, происходящих в компьютерных системах и сетях.
Субъект нескольких составов является специальным. В остальных случаях им может стать, в принципе, любой человек, особенно если учесть растущую компьютерную грамотность населения.
Первоначально в проекте УК РФ глава о компьютерных преступлениях содержала 5 статей. Однако в дальнейшем по замечаниям, высказанным как теоретиками уголовного права, так и практиками компьютерного дела, первые три статьи были объединены.
10.4. Способы совершения компьютерных преступлений
Важнейшим и определяющим элементом криминалистической характеристики любого, в том числе и компьютерного, преступления является совокупность данных, характеризующих способ его совершения.
Под способом совершения преступления обычно понимают объективно и субъективно обусловленную систему поведения субъекта до, в момент и после совершения преступления, оставляющего различного рода ха-354
рактерные следы, позволяющие с помощью криминалистических приемов и средств получить представление о сути происшедшего, своеобразии преступного поведения правонарушителя, его отдельных личностных данных и, соответственно, определить наиболее оптимальные методы решения задач раскрытия преступления.
Ю.М. Батурин классифицировал способы совершения компьютерных преступлений в пять основных групп1. Методологический подход Ю.М. Батурина и ряд предложенных им классификаций следует считать достаточно удачными, поскольку в своей основе он опирался на систематизацию способов совершения компьютерных преступлений, применяющуюся в международной практике. В качестве основного классифицирующего признака выступает метод использования преступником тех или иных действий, направленных на получение доступа к средствам компьютерной техники. Руководствуясь этим признаком Батурин выделил следующие общие группы по отношению к способу совершения компьютерных преступлений:
1) изъятие средств компьютерной техники;
2) перехват информации;
3) несанкционированный доступ;
4) манипуляция данными и управляющими командами;
5) комплексные методы.
> Изъятие средств компьютерной техники К этой группе относятся традиционные способы совершения обычных видов преступлений, в которых действия преступника направлены на изъятие чужого имущества. Характерной отличительной чертой данной группы способов совершения компьютерных преступлений будет тот факт, что в них средства компьютерной техники будут всегда выступать только в качестве предмета преступного посягательства.
Например, прокуратурой г. Кургана в 1997 г. расследовалось уголовное дело по факту убийства частного предприниш-теля. Следователем в ходе обыска на квартире убитого был изъят персональный компьютер. По имеющейся оперативной ин-
I
1 Батурин ЮМ. Проблемы компьютерного права – М.: Юрид. лит., 1991.
355
формации в памяти этой ЭВМ предприниматель мог хранить фамилии, адреса своих кредиторов и должников. В дальнейшем этот компьютер по решению следователя был передан в одну из компьютерных фирм для производства исследования содержимого его дисков памяти. В ту же ночь из помещения этой компьютерной фирмы путем отгиба решеток была произведена кража данного компьютера В результате того, что изъятие и передача ЭВМ были произведены следователем с рядом процессуальных нарушений, данное преступление осталось нераскрытым.
> Перехват информации
К этой группе относятся способы совершения компьютерных преступлений, основанные на действиях преступника, направленных на получение данных и машинной информации посредством использования методов аудиовизуального и электромагнитного перехвата. Далее в скобках приведены оригиналы названий способов на английском языке.
Активный перехват (interception) осуществляется с помощью подключения к телекоммуникационному оборудованию компьютера, например линии принтера или телефонному проводу канала связи, либо непосредственно через соответствующий порт персонального компьютера.
Пассивный (электромагнитный) перехват (electromagnetic pickup) основан на фиксации электромагнитных излучений, возникающих при функционировании многих средств компьютерной техники, включая и средства коммуникации. Так, например, излучение электронно-лучевой трубки дисплея можно принимать с помощью специальных приборов на расстоянии до 1000 м.
Аудиоперехват или снятие информации по виброакустическому каналу является опасным и достаточно распространенным способом и имеет две разновидности. Первая заключается в установке подслушивающего устройства в аппаратуру средств обработки информации, вторая – в установке микрофона на инженерно-технические конструкции за пределами охраняемого помещения (стены, оконные рамы, двери и т.п.).
Видеоперехват осуществляется путем использования различной видеооптической техники.
«Уборка мусора» (scavening) представляет собой достаточно оригинальный способ перехвата информации.
356
Преступником неправомерно используются технологические отходы информационного процесса, оставленные пользователем после работы с компьютерной техникой. Например, даже удаленная из памяти и с жестких дисков компьютера, а также дискет информация подлежит восстановлению и несанкционированному изъятию с помощью специальных программных средств.
> Несанкционированный доступ
К этой группе способов совершения компьютерных преступлений относятся действия преступника, направленные на получение несанкционированного доступа к информации. К ним относятся следующие способы.
1» «Компьютерный абордаж» (hacking) - несанкционированный доступ в компьютер или компьютерную сеть без права на то.
Этот способ используется хакерами для проникновения в чужие информационные сети. Преступление осуществляется чаще всего путем случайного перебора абонентного номера компьютерной системы с использованием модемного устройства. Иногда, для этих целей используется специально созданная программа автоматического поиска пароля. Алгоритм ее работы заключается в том чтобы, учитывая быстродействие современных компьютеров, перебирать все возможные варианты комбинаций букв, цифр и специальных символов и в случае совпадения комбинаций символов производить автоматическое соединение указанных абонентов.
Эксперименты по подбору пароля путем простого перебора показали, что 6-символьные пароли подбираются примерно за 6 дней непрерывной работы компьютера. Элементарный подсчет показывает, что уже для подбора 7-символьных паролей потребуется от 150 дней для английского языка и до 200 дней - для русского. А если учитывать регистр букв, то эти цифры надо умножить еще на 2.
Таким образом, простой перебор представляется чрезвычайно трудновыполнимым. Поэтому в последнее время преступниками стал активно использоваться метод «интеллектуального перебора», основанный на подборе предполагаемого пароля, исходя из заранее определен-
357
ных тематических групп его принадлежности. В этом случае программе-взломщице передаются некоторые исходные данные о личности автора пароля. По оценкам специалистов, это позволяет более чем на десять порядков сократить количество возможных вариантов перебора символов и на столько же – время на подбор пароля.
Практика расследования компьютерных преступлений свидетельствует о том, что взломанные хакерами пароли оказывались на удивление простыми. Среди них встречались такие как: 7 букв «А»; имя или фамилия автора или его инициалы; несколько цифр, например, «57»; даты рождения, адреса, телефоны или их комбинации.
Одно из громких компьютерных преступлений было совершено группой петербургских программистов. Несколько жителей Санкт-Петербурга с компьютера, стоящего в квартире одного из них, проникли в базу данных известной канадско-американской информационной компьютерной сети Sprint Net.
Российские хакеры действовали по накатанному пути. Узнав телефонный номер входа в информационную сеть, они написали оригинальную программу эффективного подбора паролей и с ее помощью узнали коды входа в Sprint Net. Используя их, они получили доступ к конфиденциальным базам данных американских и канадских клиентов.
Не удалось установить, какие конкретно цели преследовали хакеры, поскольку воспользоваться ценной коммерческой информацией они не успели. Никакой ответственности за свои действия хакеры не понесли. Единственным «наказанием» для них стала оплата сетевого времени, затраченного на вскрытие компьютерной системы и перебор паролей.
«Успехи» хакеров настолько велики, что США, например, намерены использовать их в информационной войне. С момента официального признания в 1993 г. военно-политическим руководством США «информационной войны» в качестве одной из составляющих национальной военной стратегии, ускоренными темпами идут поиски методов, форм и средств ее ведения. Так, в последние годы все чаще говорят о целесообразности привлечения хакеров к различным стадиям ведения «информационной войны».
Хакеры наиболее эффективно могут быть использованы на этапе сбора разведывательной информации и сведений о компьютерных сетях и системах вероятного противника. Они уже накопили достаточный опыт в угадывании и раскрытии паролей, использовании слабых мест в системах защиты, обмане законных пользователей и вводе вирусов,
358'
«троянских коней» и т.п. в программное обеспечение компьютеров. Искусство проникновения в компьютерные сети и системы под видом законных пользователей дает хакерам возможность стирать все следы своей деятельности, что имеет большое значение для успешной разведывательной деятельности. Имитация законного пользователя дает возможность хакеру-разведчику сформировать систему слежения в сети противника на правах законного пользователя
информации.
Не менее эффективным может являться применение опыта хакеров в электронной войне при решении задач дезинформирования и пропаганды через информационные системы и сети противника. Для хакеров не составляет проблемы манипулирование данными, находящимися в базах данных противника. Им также нетрудно лишить противника возможности доступа к жизненно важным информационным ресурсам. Для этого могут использоваться способы загрузки информационных систем большим количеством сообщений, передаваемых по электронной почте, или же заражение систем противника компьютерными вирусами.
По сообщениям зарубежных СМИ, проблема использования хакеров в интересах информационной войны в настоящее время не только ограничивается изучением их опыта, но и реализуется на практике. Спецслужбы США и некоторых европейских стран уже прибегают к услугам этой категории компьютерных «специалистов».
2. «За дураком» (piggybacking). Этот способ используется преступником путем подключения компьютерного терминала к каналу связи через коммуникационную аппаратуру в тот момент времени, когда сотрудник, отвечающий за работу средства компьютерной техники, кратковременно покидает свое рабочее место, оставляя терминал в активном режиме.
3. «-За хвост» (between-the-lines entry). При этом способе съема информации преступник подключается к линии связи законного пользователя и дожидается сигнала, обозначающего конец работы, перехватывает его на себя и осуществляет доступ к системе.
4. Неспешный выбор (browsing). При данном способе совершения преступления, преступник осуществляет не-
359
санкционированный доступ к компьютерной системе путем нахождения слабых мест в ее защите. Этот способ чрезвычайно распространен среди хакеров. В Интернете и других глобальных компьютерных сетях идет постоянный поиск, обмен, покупка и продажа взломанных хакерами программ. Существуют специальные телеконференции, в которых проходит обсуждение программ-взломшиц, вопросов их создания и распространения.
5. «Брешь» (trapdoor entry). В отличие от «неспешного выбора», когда производится поиск уязвимых мест в защите компьютерной системы, при данном способе преступником осуществляется конкретизация поиска: ищутся участки программ, имеющие ошибку или неудачную логику построения. Выявленные таким образом «бреши» могут использоваться преступником многократно, пока не будут обнаружены.
6. «Люк» (trapdoor). Данный способ является логическим продолжением предыдущего. В месте найденной «бреши» программа «разрывается» и туда дополнительно преступником вводится одна или несколько команд. Такой люк «открывается» по необходимости, а включенные команды автоматически выполняются. Люки часто бывают оставлены самими создателями программ, иногда с целью внесения возможных изменений. Подобные «черные входы» в защищенную систему обычно имеются в любой сертифицированной программе, но об этом не принято распространяться вслух.
В качестве примера можно привести компьютерную систему управления самолетов «Мираж» Во время войны в Персидском заливе ее «стопроцентная» защита от несанкционированного доступа была сломана одним кодовым сигналом, пущенным в обход системы защиты Бортовые системы самолетов были отключены, и Ирак остался без авиации
> Манипуляция данными и управляющими командами
К этой группе способов совершения компьютерных преступлений относятся действия преступников, связанные с использованием методов манипуляции данными и управляющими командами средств компьютерной техники. Эти методы наиболее часто используются преступниками для совершения различного рода противоправных деяний и достаточно хорошо известны сотрудникам под-360
разделений правоохранительных органов, специализирующихся по борьбе с компьютерными преступлениями. Наиболее широко используются следующие способы совершения компьютерных преступлений, относящихся к этой группе:
1. «Троянский конь» (trojan horse). Данный способ заключается в тайном введении в чужое программное обеспечение специально созданных программ, которые, попадая в информационно-вычислительные системы, начинают выполнять новые, не планировавшиеся законным владельцем действия, с одновременным сохранением прежних функций. В соответствии со ст. 273 УК РФ под такой программой понимается «программа для ЭВМ, приводящая к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети». По существу «троянский конь» – это модернизация рассмотренного выше способа «люк» с той лишь разницей, что люк «открывается» не при помощи непосредственных действий преступника, а автоматически, с использованием специально подготовленной для этих целей программы и без непосредственного участия самого преступника.
С помощью такого способа преступники обычно отчисляют на заранее открытый счет определенную сумму с каждой банковской операции. Возможен и вариант увеличения преступниками избыточных сумм на счетах при автоматическом пересчете рублевых остатков, связанных с переходом к коммерческому курсу соответствующей валюты.
Разновидностями такого способа совершения компьютерных преступлений является внедрение в программы «логических бомб» (logic bomb) и «временных бомб» (time bomb).
2. «Компьютерный вирус» (virus). С уголовно-правовой точки зрения, согласно ст. 273 Уголовного кодекса РФ, под компьютерным вирусом следует понимать вредоносную программу для ЭВМ, способную самопроизвольно присоединяться к другим программам («заражать» их) и при запуске последних выполнять различные нежелательные действия: порчу файлов, искажение, сти-
361
рание данных и информации, переполнение машинной памяти и создание помех в работе ЭВМ.
К этой же группе относят и некоторые другие способы совершения компьютерных преступлений, которые иногда выделяются в самостоятельные группы:
3. Компьютерное мошенничество. Компьютерное мошенничество чаще всего осуществляется способом подмены данных (data digging) или подмены кода (code change). Это наиболее простой и поэтому очень часто применяемый способ совершения преступления. Действия преступников в этом случае направлены на изменение или введение новых данных, и осуществляются они, как правило, при вводе-выводе информации.
Некоторые из таких способов совершения преступлений возникли и получили распространение только с появлением компьютеров. В качестве примера можно привести перебрасывание на подставной счет мелочи, являющейся результатом округления (операция типа «салями» (salami)). Расчет построен на том, что компьютер совершает сотни тысяч операций в секунду и обрабатывает при этом сотни тысяч счетов клиентов. Заниматься подобным мошенничеством вручную не имеет никакого смысла.
4. Незаконное копирование. Незаконное копирование (тиражирование) программ с преодолением программных средств защиты предусматривает незаконное создание копии ключевой дискеты, модификацию кода системы защиты, моделирование обращения к ключевой дискете, снятие системы защиты из памяти ЭВМ и т.п.
Не секрет, что подавляющая часть программного обеспечения, используемого в России, является пиратскими копиями взломанных хакерами программ. Самой популярной операционной системой в России является Microsoft Windows 95. По статистике на долю этой платформы приходится свыше 77% отечественного рынка операционных систем. Своим бесспорным успехом на российском рынке Windows 95 обязана деятельности компьютерных пиратов. По данным международной организации BSA, занимающейся вопросами охраны интеллектуальной собственности, свыше 90% используемых 362
в России программ установлены на компьютеры без лицензий, тогда как в США таких не более 24%.
В качестве примера незаконного тиражирования программ можно привести и компьютерную базу российского законодательства «Консультант Плюс». Несмотря на постоянную работу специалистов фирмы по улучшению системы защиты, тысячи нелегальных копий программы имеют хождение на территории России. Последняя, шестая версия «Консультанта», была «привязана» к дате создания компьютера, записанной в его постоянной памяти. Однако не прошло и двух недель после выхода этой версии, как хакерами была создана программа, эмулирующая нужную дату на любом компьютере. В настоящее время желающий может найти такую программу в компьютерной сети Internet и с ее помощью установить на свой компьютер базу данных по законодательству, стоимость которой превышает 1000$ США.
> Комплексные методы. Эта группа включает в себя различные комбинации рассмотренных выше способов совершения компьютерных преступлений.
Следует заметить, что рассмотренная выше классификация не является, как уже говорилось выше, единственно возможной. Так, по международной классификации в отдельную группу принято выделять такие способы, как компьютерный саботаж с аппаратным или программным обеспечением, которые приводят к выводу из строя компьютерной системы. Наиболее значительные компьютерные преступления совершаются посредством порчи программного обеспечения, причем часто его совершают работники, недовольные своим служебным положением, отношением с руководством и т.д.
Примером такого компьютерного преступления может служить получивший широкую огласку случай с программистом, остановившим главный конвейер Волжского автозавода в г. Тольятти. Занимаясь от-* ладкой программного кода автоматизированной системы, управляющей подачей механических узлов на конвейер, он умышленно внес изменения в программу. Как результат, после прохождения заданного числа деталей система «зависала» и конвейер останавливался. Пока программисты устраняли источник сбоев, с конвейера автозавода не сошло более двухсот машин.
Существует также ряд способов совершения преступлений, которые крайне сложно отнести к какой-либо группе. К таким способам относятся асинхронная атака, моделирование, мистификация, маскарад и т.д.
1. Асинхронная атака (Asynchronous attack). Сложный способ, требующий хорошего знания операционной системы. Используя асинхронную природу функционирова-
363
ния большинства операционных систем, их заставил.,,. работать при ложных условиях, из-за чего управление обработкой информации частично или полностью нарушается. Если лицо, совершающее «асинхронную атаку», достаточно профессионально, оно может использовать ситуацию, чтобы внести изменения в операционную систему или сориентировать ее на выполнение своих целей, причем извне эти изменения не будут заметны.
2. Моделирование (Simulation). Создается модель конкретной системы, в которую вводятся исходные данные и учитываются планируемые действия. На основании полученных результатов методом компьютерного перебора и сортировки выбираются возможные подходящие комбинации. Затем модель возвращается к исходной точке и выясняется, какие манипуляции с входными данными нужно проводить для получения на выходе желаемого результата. В принципе, «прокручивание» модели вперед-назад может происходить многократно, чтобы через несколько итераций добиться необходимого итога. После этого остается осуществить задуманное на практике.
3. Мистификация (spoofing). Возможна, например, в случаях когда пользователь удаленного терминала ошибочно подключается к какой-либо системе, будучи абсолютно уверенным, что работает именно с той самой системой, с которой намеревался. Владелец системы, к которой произошло подключение, формируя правдоподобные отклики, может поддержать контакт в течение определенного времени и получать конфиденциальную информацию, в частности, – коды пользователя и т.д.
10.5. Криминалистическая характеристика компьютерных преступлений
, Можно выделить следующие типичные преступные цели совершения компьютерных преступлений:
• хищение денег (подделка счетов и платежных ведомостей;
• фальсификация платежных документов, вторичное получение уже произведенных выплат, перечисление денег на подставные счета и т.д.);
• приписка сверхурочных часов работы;
364
• хищение вещей (совершение покупок с фиктивной оплатой, добывание запасных частей и редких материалов);
• хищение машинной информации;
• внесение изменений в машинную информацию;
• кража машинного времени;
• подделка документов (получение фальшивых дипломов, фиктивное продвижение по службе);
• несанкционированная эксплуатация системы;
• саботаж;
• шпионаж (политический и промышленный).
Мотивами совершения компьютерных преступлений, как показали исследования зарубежных и российских исследователей, являются следующие1:
1) корыстные соображения - 66%;
2) политические цели - 17%;
3) исследовательский интерес - 7%;
4) хулиганство - 5%;
5) месть - 5%.
Для подавляющего большинства преступлений характерны корыстные мотивы – 52% всех компьютерных преступлений; с разрушением и уничтожением средств компьютерной техники сопряжено 16% преступлений, с подменой исходных данных – 12%, с хищением данных и программ – 10%, с хищением услуг – 10%2. В этой связи интересными представляются результаты опроса, проведенного в 1988 году среди 1600 специалистов по информационной безопасности в 50 странах мира3.
Результаты опроса свидетельствуют, что самой распространенной угрозой безопасности были компьютерные вирусы – важнейшим этот тип угрозы назвали 60% опрошенных. В 1991 и 1992 гг. эти цифры составляли 22 и 44% соответственно.
В полном отсутствии финансовых потерь из-за нарушений в области защиты информации уверены 28% опрошенных. Среди тех, кто признает наличие таких по-
1 Вехов В.Б. Компьютерные преступления. – М.: Право и Закон, 1996.
2 Там же. - С. 42
3 PC WEEK/RE, № 1, 19 января 1999.
365
терь, их доли распределились так, как показано на диаграмме (рис. 10.1).
16%
28%
35%
21%
В Менее $ 1 000 Н $ 1 000 - $ 10 000
0 $ 10 000-$100 000 П Свыше $ 100 000
Рис. 10.1. Финансовые потери в результате нарушений безопасности
Опрос показал также, что основная часть угроз по-прежнему исходит от персонала компаний. На то, что хотя бы один из авторизованных пользователей был уличен в компьютерном злоупотреблении, указало 58% респондентов (в 1991 г. – 75%). Опасность от внешних злоумышленников не так велика, как это представляется средствами массовой информации. Неавторизованные пользователи проникали в корпоративные сети только в 24% случаев. Поставщики и покупатели являлись источниками атак лишь в 12% случаев.
В этой связи особый интерес приобретает характеристика личности преступника. С криминалистической точки зрения можно выделить несколько самостоятельных обособленных групп компьютерных преступников.
> К первой группе можно отнести лиц, сочетающих определенные черты профессионализма с элементами изобретательности и развлечения. Такие люди, работающие с компьютерной техникой, весьма любознательны, обладают острым умом, а также склонностью к озорству. Они воспринимают меры по обеспечению безопасности 366
компьютерных систем как вызов своему профессионализму и стараются найти технические пути, которые доказали бы их собственное превосходство. При этом они не прочь поднять свой престиж, похваставшись перед коллегами умением найти слабости в компьютерной системе защиты, а иногда и продемонстрировать, как эти слабости можно использовать. Постепенно они набирают опыт, приобретают вкус к такого рода деятельности и пытаются совмещать свои занятия с получением некоторой материальной выгоды. Такой путь проходит большинство хакеров.
> Вторую группу составляют лица, страдающие особого рода информационными болезнями, развившимися на почве взаимодействия со средствами компьютерной техники.
Компьютерные системы действует на основе строго определенных правил и алгоритмов, ограниченных рамками задачи. Человек часто руководствуется чувствами, старается пояснить свою цель, аргументировать постановку задачи, ввести при необходимости новые данные и т.п. Некоторые люди попадают в такие ситуации, когда не могут адаптироваться к требованиям современной компьютерной технологии. У них развивается болезненная реакция, приводящая к неадекватному поведению. Чаще всего она трансформируется в особый вид компьютерного преступления – компьютерный вандализм.
Обычно он принимает форму физического разрушения компьютерных систем, их компонентов или программного обеспечения. Часто этим занимаются из чувства мести уволенные сотрудники, а также люди, страдающие компьютерными неврозами.
> К третьей группе, представляющей наибольший интерес, относятся специалисты или профессиональные компьютерные преступники. Эти лица обладают устойчивыми навыками, действуют расчетливо, маскируют свои действия, всячески стараются не оставлять следов. Цели их преимущественно корыстные. Особенно опасно, если лица такой направленности оказываются среди сотрудников организации или среди авторизованных пользователей информационной системы.
367
В 1998 г. в Экспертно-криминалистическом центре МВД был проведен классификационный анализ лиц, замешанных в применении компьютеров для совершения противоправных деяний. Обобщенный портрет отечественного хакера, созданный на основе уголовного преследования такого рода лиц, выглядит примерно так: это мужчина в возрасте от 15 до 45 лет, либо имеющий многолетний опыт работы на компьютере, либо, напротив, почти не обладающий таким опытом; в прошлом к уголовной ответственности не привлекался; является яркой, мыслящей личностью, способной принимать ответственные решения; хороший, добросовестный работник, по характеру нетерпимый к насмешкам и к потере своего социального статуса в рамках группы окружающих его людей; любит уединенную работу; приходит на службу первым и уходит последним; часто задерживается на работе после окончания рабочего дня и очень редко использует отпуска и отгулы.
Существенную роль в структуре криминалистической характеристики компьютерных преступлений играют также сведения о потерпевшей стороне. Изучение жертв компьютерных преступлений часто дает больше информации для решения вопросов компьютерной безопасности, чем изучение лиц, совершающих компьютерные преступления. По опубликованным данным, относящимся к группе развитых стран, среди жертв собственники системы составляли 79%; клиенты – 13%; третьи лица - 8%.'
Организации, жертвы компьютерных преступлений, с неохотой сообщают об этом в правоохранительные органы. Латентность компьютерных преступлений чрезвычайно высока. Часто виновные лица просто увольняются или переводятся в другие структурные подразделения. Иногда с виновного взыскивается ущерб в гражданском порядке. Принимая решение, жертва компьютерного преступления руководствуется одним или несколькими из указанных ниже факторов:
• компьютерный преступник, как правило, не рассматривается как типичный уголовный преступник;
1 PC WEEK/RE. № 1, 19 января 1999. 368
• расследование компьютерных преступлений может нарушить нормальное функционирование организации, привести к приостановке ее деятельности;
• расследование компьютерных преступлений, в том числе и силами самой фирмы, является делом весьма дорогостоящим;
• будучи разоблаченными, компьютерные преступники в большинстве случаев отделываются легкими наказаниями, зачастую условными – для пострадавших это является одним из аргументов за то, чтобы не заявлять о преступлении;
• законодательство не всегда применимо к компьютерным преступлениям, что приводит к серьезным затруднениям при правильной их квалификации;
• правоохранительные органы не склонны относить многие из компьютерных правонарушений к категории преступлений и, соответственно, отказывают в возбуждении уголовного дела;
• компьютерный преступник воспринимается как незаурядная личность;
• жертва боится серьезного, компетентного расследования, так как оно может вскрыть неблаговидную, если не незаконную, механику ведения дел в организации;
• расследование компьютерных преступлений может выявить несостоятельность мер безопасности, принимаемых ответственным за них персоналом организации, привести к нежелательным осложнениям, постановке вопросов о профессиональной пригодности и т.д.;
• опасение увеличения размеров страховых взносов, если компьютерные преступления становятся для организации регулярными;
• боязнь потери клиентов вследствие утраты репутации;
• раскрытие компьютерных преступлений, сопряжено, как правило, с открытием финансовых, коммерческих и других служебных тайн, которые могут стать достоянием гласности во время судебного рассмотрения дел.
369
Вопросы предотвращения и раскрытия компьютерных преступлений сегодня касаются каждой организации. Важно, чтобы администрация хорошо понимала, какие условия делают возможными такие посягательства. Руководителям не обязательно быть экспертами в области информационной безопасности, но они должны четко представлять себе возможные проблемы и последствия, связанные с потерей критичной информации.
Существует много косвенных признаков того, что в организации, учреждении готовится или осуществляется компьютерное преступление. Выявление этих признаков не требует специальных знаний и, учитывая это обстоятельство, можно предусмотреть дополнительные меры по совершенствованию компьютерной безопасности и предотвращению преступлений. Наиболее общие индикаторы таковы:
• сотрудники дают подозрительные объяснения по поводу распределения денежных и материальных средств;
• производится перезапись данных без серьезных на то причин;
• данные заменяются, изменяются или стираются;
• данные не обновляются;
• на ключевых документах появляются подделанные подписи;
• появляются фальшивые записи;
• персонал системы без видимых на то оснований начинает работать сверхурочно;
• персонал возражает против осуществления контроля за записью данных;
• у работников, непосредственно работающих с компьютерами, появляется ненормальная реакция на рутинные вопросы;
• некоторые сотрудники отказываются уходить в отпуск;
• отдельные работники начинают слоняться без дела в других подразделениях;
• жалобы клиентов становятся хроническими и др.
370
10.6. Тенденции развития компьютерной преступности в России
Уровень компьютерной преступности определяется во многом объективными причинами и напрямую зависит от общего уровня информатизации общества. Большинством зарубежных и отечественных исследователей отмечается отставание России в вопросах компьютеризации от развитых стран в среднем на 20 лет. Если в США первое компьютерное преступление было зафиксировано в 1966 г., то в СССР – в 1979 г. Поэтому тенденции развития компьютерной преступности в России могут заметно отличаться от таковых в развитых странах. По мнению экспертов в данной области, следует прежде всего ожидать значительного количественного роста компьютерных преступлений. Этому способствует ряд причин, среди которых основными можно считать:
во-первых, резкий рост безработицы и падение уровня жизни среди так называемой «беловоротничковой» прослойки населения на фоне общего экономического кризиса и кризиса неплатежей;
во-вторых, массовая неконтролируемая компьютеризация и использование новейших электронных средств во всех сферах деятельности, прежде всего финансовых, банковских и кредитных учреждениях всех форм собственности;
в-третьих, отсутствие соответствующей правовой базы, препятствующей в сколько-нибудь заметной мере распространению и пресечению компьютерных преступлений (если в США на сегодня действует более 2000 законов и подзаконных актов, в той или иной мере касающихся компьютерных преступлений и связанных с ними явлений, а аналогичные нормы действуют также в ФРГ, Великобритании и Франции, то в России их число не превышает и 10, включая рассмотренные выше три статьи нового Уголовного Кодекса РФ).
На наш взгляд, преимущественное внимание на фоне ожидаемого количественного роста компьютерных преступлений следует обратить на выявление качественных изменений и основных тенденций развития компьютерной преступности в России с целью их возможной
371
I
ЧЯр
профилактики и пресечения. К таким тенденциям можно отнести следующие:
• перенос центра тяжести на совершение компьютерных преступлений с использованием компьютерных сетей, что вызвано широким применением межбанковской системы электронных платежей и компьютерных систем связи, в рамках которой, по различным оценкам, совершается около 40% всех банковских операций в России;
• преимущественный рост компьютерных преступлений, совершаемых в сфере экономики и денежного обращения, к которым относятся финансовые хищения, мошенничества, подлоги и т.д. Это вызвано, прежде всего, большим количеством финансовых средств, находящихся в этой сфере при отсутствии надежных средств защиты информации и устойчивой дезорганизации платежной системы России;
• перерастание компьютерной преступности в разряд транснациональных преступлений, чему способствует относительная легкость преодоления систем защиты в компьютерных сетях и доступа к коммерческим секретам крупнейших мировых корпораций и банков, включая всемирную компьютерную сеть «Internet». Компьютерные преступления позволяют наиболее простым способом отмывать «грязные» капиталы (наркобизнес, незаконный оборот оружия и др.) и переводить крупные суммы денег на оффшорные счета за рубежом;
• существенное омоложение в ближайшие годы компьютерной преступности за счет притока молодого поколения профессионалов-компьютерщиков, чему способствует раннее знакомство учащейся молодежи с компьютерами, понимание их роли в современном обществе и отсутствие при этом устойчивых моральных принципов.
• одна из самых опасных тенденций -1- сращивание компьютерной преступности с организованной преступностью. Современные компьютерные преступления носят в своей массе организованный характер, требуют специальной подготовки и боль-
372
ших материальных и финансовых затрат на их проведение. Интеграция в международные преступные сообщества и коррупция в среде должностных лиц, также способствуют этому положению;
• значительный количественный рост, особенно характерного для России, такого вида компьютерных преступлений, как кражи и незаконное тиражирование программного обеспечения, что является следствием массовой компьютеризации при сложившейся психологии потребителей российского компьютерного рынка. По некоторым оценкам специалистов, доля «пиратского» программного обеспечения составляет около 95% и не имеет пока тенденции к сокращению (для сравнения, их доля в США не превышает 30%);
• рост такого вида компьютерных преступлений в России, как незаконное пользование услугами телефонных и телекоммуникационных компаний. К этому приводит широкое распространение модемной связи при существовании высоких цен на данные виды услуг. Так например, одна их крупнейших компаний США «America On Line» вынуждена была отказать в предоставлении услуг российским пользователям, ввиду многочисленных случаев неуплаты и махинаций в Сети, приносивших многомиллионные убытки компании и ее пользователям в других странах;
• появление и распространение таких компьютерных преступлений, как компьютерный экономический и политический шпионаж, шантаж и преступления против личности, чему способствует повсеместная компьютеризация атомной энергетики, здравоохранения, систем транспорта и оборонной промышленности, в особенности ракетной сферы;
• появление таких новых для России видов компьютерных преступлений, как например, кража и подделка кредитных карточек.
Среди положительных тенденций можно прогнозировать сокращение числа краж собственно компьютерной техники и периферии ввиду существенного падения
373
цен на них и относительной доступности, а также сокращение незаконного использования машинных ресурсов и машинного времени.
На современном этапе развития ИТ в России, назрела необходимость детального изучения проблемы основ криминалистического исследования компьютерной преступности. Следует отметить, что при совершении компьютерных преступлений, также как и при совершении любых других общеизвестных видов преступлений, остаются «следы», обнаружение, фиксация и исследование которых является непременным условием при расследовании и раскрытии как данного вида преступлений, так и в борьбе с «техногенной» преступностью в целом.
10.7. Компьютерные вирусы
10.7.1. Общие сведения
Пользователи ПК наиболее часто сталкиваются с одной из разновидностей компьютерной преступности -компьютерными вирусами. Последние являются особого типа вредоносными программами, доставляющими пользователям и обслуживающему ПК персоналу немало неприятностей1.
Компьютерным вирусом называется способная к самовоспроизводству и размножению программа, внедряющаяся в другие программы.
Очевидна аналогия понятий компьютерного и биологического вирусов. Однако не всякая могущая саморазмножаться программа является компьютерным вирусом. Вирусы всегда наносят ущерб - препятствуют нормальной работе ПК, разрушают файловую структуру и т.д., поэтому их относят к разряду так называемых вредоносных программ.
Исторически появление компьютерных вирусов связано с идеей создания самовоспроизводящихся механизмов, в частности программ, которая возникла в 50-х гг. Дж. фон Нейман еще в 1951 г. предложил метод создания таких механизмов, и его соображения получили
Безруков Н Н. Компьютерные вирусы. - М.' Наука, 1991.
374
дальнейшее развитие в работах других исследователей. Первыми появились игровые программы, использующие элементы будущей вирусной технологии, а затем уже на базе накопленных научных и практических результатов некоторые лица стали разрабатывать самовоспроизводящиеся программы с целью нанесения ущерба пользователям компьютера.
Создатели вирусов сосредоточили свои усилия в области ПК вследствие их массовости и практически полного отсутствия эффективных средств защиты как на аппаратном уровне, так и на уровне ОС. Среди побудительных мотивов, движущих авторами вирусов, можно назвать следующие:
• стремление «насолить» кому-либо;
• неестественная потребность в совершении преступлений;
• желание самоутвердиться, озорство и одновременно недопонимание всех последствий распространения вируса;
• невозможность использовать свои знания в конструктивном русле (это в большей степени экономическая проблема);
• уверенность в полной безнаказанности (в ряде стран отсутствуют нормы правовой ответственности за создание и распространение вирусов).
Основными каналами проникновения вирусов в персональный компьютер являются накопители на сменных носителях информации и средства сетевой коммуникации, в частности сеть Internet.
Первые случаи массового заражения ПК вирусами были отмечены в 1987 г., когда появился так называемый Пакистанский вирус, созданный братьями Амджатом и Базитом Алви. Таким образом они решили наказать американцев, покупавших дешевые незаконные копии программного обеспечения в Пакистане, которые братья стали инфицировать разработанным вирусом. Вирус заразил в США более 18 тыс. компьютеров и, проделав кругосветное путешествие, попал в тогда СССР. Следующим широко известным вирусом стал вирус Lehigh (Лехайский вирус), распространившийся в одноименном
375
университете США. В течение нескольких недель он уничтожил содержимое нескольких сот дискет из библиотеки вычислительного цента университета и личных дискет студентов. К февралю 1989 г. в США этим вирусом было поражено около 4 тыс. ПК.
В дальнейшем количество вирусов и число зараженных ими компьютеров стало лавинообразно увеличиваться, что потребовало принятия срочных мер как технического, так и организационного и юридического характера. Появились различные антивирусные средства, вследствие чего ситуация стала напоминать гонку вооружений и средств защиты от них. Определенный эффект был достигнут в результате принятия рядом развитых стран законодательных актов о компьютерных преступлениях, среди которых были и статьи, касающиеся создания и распространения компьютерных вирусов.
В настоящее время в мире насчитывается более 20 тыс. вирусов, включая штаммы, т.е. разновидности вирусов одного типа. Вирусы не признают границ, поэтому большинство из них курсирует и по России. Более того, проявилась тенденция увеличения числа вирусов, разработанных отечественными программистами. Если ситуация не изменится, то в будущем Россия сможет претендовать на роль лидера в области создания вирусов.
10.7.2. Классификация вирусов
Жизненный цикл компьютерных вирусов, как правило, включает следующие фазы:
1) латентный период, в течение которого вирусом никаких действий не предпринимается;
2) инкубационный период, в пределах которого вирус только размножается;
3) активный период, в течение которого наряду с размножением выполняются несанкционированные действия, заложенные в алгоритме вируса.
Первые две фазы служат для того, чтобы скрыть источник вируса, канал его проникновения и инфицировать как можно больше файлов до выявления вируса. Длительность этих фаз может определяться предусмотренным в алгоритме временным интервалом, наступле-
376
нием какого-либо события в системе, наличием определенной конфигурации аппаратных средств ПК (в частности, наличием НЖМД) и т.д.
Компьютерные вирусы классифицируются в соответствии со следующими признаками:
• среда обитания;
• способ заражения среды обитания;
• способ активизации;
• способ проявления (деструктивные действия или вызываемые эффекты);
• способ маскировки.
Вирусы могут внедряться только в программы, которые, в свою очередь, могут содержаться или в файлах, или в некоторых компонентах системной области диска, участвующих в процессе загрузки операционной системы.
В соответствии со средой обитания различают:
• файловые вирусы, инфицирующие исполняемые файлы;
• загрузочные вирусы, заражающие компоненты системной области, используемые при загрузке ОС;
• файлово-загрузочные вирусы, интегрирующие черты первых двух групп.
> Файловые вирусы могут инфицировать:
• позиционно-независимые перемещаемые машинные программы находящиеся в СОМ-файлах;
• позиционно-зависимые перемещаемые машинные программы, размещаемые в ЕХЕ-файлах;
• драйверы устройств (SYS- и BIN-файлы);
• файлы с компонентами DOS;
• объектные модули (OBJ-файлы);
• файлы с программами на языках программирования (в расчете на компиляцию этих программ);
• командные файлы (ВАТ-файлы);
• объектные и символические библиотеки (LIB- и др. файлы);
• оверлейные файлы (OVL-, PIF- и др. файлы).
• Наиболее часто файловые вирусы способны внедряться в СОМ и/или ЕХЕ-файлы.
- 377
> Загрузочные вирусы могут заражать:
• загрузочный сектор на дискетах;
• загрузочный сектор системного логического диска, созданного на винчестере;
• внесистемный загрузчик на жестком диске. Загрузочные вирусы распространяются на дискетах в
расчете на то, что с них будет осуществлена попытка загрузиться, что происходит не так часто. У файловых вирусов инфицирующая способность выше.
> Файлово-загрузочные вирусы обладают еще большей инфицирующей способностью, так как могут распространяться как в программных файлах, так и на дискетах с данными.
Способы заражения среды обитания, зависят от типа последней. Зараженная вирусом среда называется виру-соносителем. При имплантации тело файлового вируса может размещаться:
• в конце файла;
• в начале файла;
• в середине файла;
• в хвостовой (свободной) части последнего кластера, занимаемого файлом.
Наиболее легко реализуется внедрение вируса в конец СОМ-файла. При получении управления вирус выбирает файл-жертву и модифицирует его следующим образом:
1) дописывает к файлу собственную копию (тело вируса);
2) сохраняет в этой копии оригинальное начало файла;
3) заменяет оригинальное начало файла на команду передачи управления на тело вируса.
При запуске инфицированной описанным способом программы первоначально инициируется выполнение тела вируса, в результате чего:
1) восстанавливается оригинальное начало программы (но не в файле, а в памяти!);
2) возможно, отыскивается и заражается очередная жертва;
3) возможно, осуществляются несанкционированные пользователем действия;
378
4) производится передача управления на начало про-граммы-вирусоносителя, в результате чего она выполняется обычным образом.
Имплантация вируса в начало СОМ-файла производится иначе: создается новый файл, являющийся объединением тела вируса и содержимого оригинального файла. Два описанных способа внедрения вируса ведут к увеличению длины оригинального файла.
Имплантация вируса в середину файла наиболее сложна и специализирована. Сложность состоит в том, что в этом случае вирус должен «знать» структуру файла-жертвы (например, COMMAND.COM), чтобы можно было внедриться, в частности, в область стека. Описанный способ имплантации не ведет к увеличению длины файла.
Проявлением (деструктивными действиями) вирусов могут быть:
• влияние на работу ПК;
• искажение программных файлов;
• искажение файлов с данными;
• форматирование диска или его части;
• замена информации на диске или его части;
• искажения системного или несистемного загрузчика диска;
• разрушение связности файлов путем искажения таблицы FAT;
• искажение данных в CMOS-памяти.
Большую часть вирусов первой группы, вызывающих визуальные или звуковые эффекты, неформально называют «иллюзионистами». Другие вирусы этой же группы могут замедлять работу ПК или препятствовать нормальной работе пользователя, модифицируя и блокируя функции выполняемых программ, а также операционной системы. Вирусы всех остальных групп часто называют «вандалами» из-за наносимого ими, как правило, непоправимого ущерба.
В соответствии со способами маскировки различают:
• немаскирующиеся вирусы;
• самошифрующиеся вирусы;
• стелс-вирусы.
379
Авторы первых вирусов уделяли особое внимание механизмам размножения (репликации) с внедрением тел в другие программы. Маскировка же от антивирусных средств не осуществлялась. Такие вирусы называются немаскирующимися.
В связи с появлением антивирусных средств разработчики вирусов сосредоточили усилия на обеспечении маскировки своих изделий. Сначала была реализована идея самошифрования вируса. При этом лишь небольшая его часть является доступной для осмысленного чтения, а остальная расшифровывается непосредственно перед началом работы вируса. Такой подход затрудняет как обнаружение вируса, так и анализ его тела специалистами.
Появились также стелс-вирусы, названные по аналогии с широкомасштабным проектом по созданию самолетов-невидимок.
Методы маскировки, используемые стелс-вирусами, носят комплексный характер, и могут быть условно разделены на две категории:
1) маскировка наличия вируса в программе-вирусоносителе;
2) маскировка присутствия резидентного вируса в
ОЗУ. > К первой категории относятся:
1) автомодификация тела вируса;
2) реализация эффекта удаления тела вируса из ви-русоносителя при чтении последнего с диска, в частности, отладчиком (это осуществляется путем перехвата прерывания, конечно, в случае наличия резидентного вируса в ОЗУ);
3) имплантация тела вируса в файл без увеличения его размера;
4) эффект неизменности длины инфицированного файла (осуществляется аналогично п.2);
5) сохранение неизменным оригинального начала программных файлов.
Например, при чтении каталога средствами DOS резидентный вирус может перехватить соответствующее прерывание и искусственно уменьшить длину файла. Конечно реальная длина файла не меняется, но пользо-
380
вателю выдаются сведения, маскирующие ее увеличение. Работая же с каталогами непосредственно (в обход средств DOS), можно получить истинную информацию о характеристиках файла. Такие возможности предоставляет, в частности, оболочка Norton Commander.
> Ко второй категории методов маскировки можно отнести:
1) занесение тела вируса в специальную зону резидентных модулей DOS, в хвостовые части кластеров, в CMOS-память, видеопамять и т. п.;
2) модификацию списка несистемного загрузчика, о чем уже говорилось;
3) манипулирование обработчиками прерываний, в частности, специальные методы их подмены, с целью обойти резидентные антивирусные средства;
4) корректировку общего объема ОЗУ.
При повседневной работе пользователь в состоянии обнаружить вирус по его симптомам. Естественно, что симптомы вируса непосредственно определяются реализованными в нем способами проявления, а также др. характеристиками вируса. В качестве симптомов вирусов выделяют следующие:
• увеличение числа файлов на диске;
• уменьшение объема свободной оперативной памяти;
• изменения времени и даты создания файла;
• увеличение размера программного файла;
• появление на диске зарегистрированных дефектных кластеров;
• ненормальная работа программы;
• замедление работы программы;
• загорание лампочки дисковода в то время, когда к диску не должны происходить обращения;
• заметное возрастание времени доступа к жесткому диску;
• сбои в работе операционной системы, в частности, ее зависание;
• невозможность загрузки операционной системы;
381
• разрушение файловой структуры (исчезновение файлов, искажение каталогов).
Наряду с компьютерными вирусами существуют и другие опасные программы, например, так называемые «черви», формально именуемые репликаторами. Их основная особенность состоит в способности к размножению без внедрения в другие программы. Репликаторы создаются с целью распространения по узлам вычислительной сети и могут иметь начинку, состоящую, в частности, из вирусов. В этом отношении можно провести аналогию между червем и шариковой бомбой.
Примером репликатора является программа Christmas Tree, рисующая на экране дисплея рождественскую елку, а затем рассылающая свои копии по всем адресам, зарегистрированным средствами электронной почты.
10.7.3. Классификация антивирусных средств
В настоящие время имеется большое количество антивирусных средств. Однако все они не обладают свойствами универсальности: каждое рассчитано на конкретные вирусы, либо перекрывает некоторые каналы заражения ПК или распространения вирусов. В связи с этим перспективной областью исследований можно считать применение методов искусственного интеллекта к проблеме создания антивирусных средств.
Антивирусным средством, называют программный продукт, выполняющий одну или несколько из следующих функций:
1) защиту файловой структуры от разрушения;
2) обнаружение вирусов;
3) нейтрализацию вирусов.
Вирус-фильтром (сторожем) называется резидентная программа, обеспечивающая контроль выполнения характерных для вирусов действий и требующая от пользователя потверждения на производство действий. Контроль осуществляется путем подмены обработчиков соответствующих прерываний. В качестве контролируемых действий могут выступать:
382 '
• обновление программных файлов;
• прямая запись на диск (по физическому адресу);
• форматирование диска;
• резидентное размещение программы в ОЗУ.
Детектором называется программа, осуществляющая поиск вирусов как на внешних носителях информации, так и в ОЗУ. Результатом работы детектора является список инфицированных файлов и/или областей, возможно, с указанием конкретных вирусов, их заразивших.
Детекторы делятся на универсальные (ревизоры) и специализированные. Универсальные детекторы проверяют целостность файлов путем подсчета контрольной суммы и ее сравнения с эталоном. Эталон либо указывается в документации на программный продукт, либо может быть определен в самом начале его эксплуатации.
Специализированные детекторы настроены на конкретные вирусы, один или несколько. Если детектор способен обнаруживать несколько различных вирусов, то его называют полидетектором. Работа специализированного детектора основывается на поиске строки кода, принадлежащей тому или иному вирусу, возможно заданной регулярным выражением. Такой детектор не способен обнаружить все возможные вирусы.
Дезинфектором (доктором, фагом) называется программа, осуществляющая удаление вируса как с восстановлением, так и без восстановления среды обитания. Ряд вирусов искажает среду обитания таким образом, что ее исходное состояние не может быть восстановлено.
Наиболее известными полидетекторами-фагами являются программные пакеты Antiviral Toolkit Pro Евгения Касперского и DrWeb фирмы «Диалог».
Иммунизатором (вакциной) называют программу, предотвращающую заражение среды обитания или памяти конкретными вирусами. Иммунизаторы решают проблему нейтрализации вируса не посредством его уничтожения, а путем блокирования его способности к размножению. Такие программы в настоящее время практически не используются.
383
10.7.4. Методы защиты от компьютерных вирусов
При защите от компьютерных вирусов как никогда важна комплексность проводимых мероприятий как организационного, так и технического характера. На переднем ее крае «обороны» целесообразно разместить средства защиты данных от разрушения, за ними - средства обнаружения вирусов и, наконец, средства нейтрализации вирусов.
Средства защиты данных от возможной потери и разрушения должны использоваться всегда и регулярно. Дополнительно к этому следует придерживаться следующих рекомендаций организационного характера, чтобы избавиться от заражения вирусами:
• гибкие диски использовать всегда, когда это возможно, с заклеенной прорезью защиты от записи,
• без крайней необходимости не пользоваться неизвестными дискетами;
• не передавать свои дискеты другим лицам;
• не запускать на выполнение программы, назначение которых не понятно; использовать только лицензионные программные продукты;
• ограничить доступ к ПК посторонних лиц.
При необходимости использования программного продукта, полученного из неизвестного источника, рекомендуется:
• протестировать программный продукт специализированными детекторами на предмет наличия известных вирусов. Нежелательно размещать детекторы на жестком диске - для этого нужно использовать защищенную от записи дискету;
• осуществить резервирование файлов нового программного продукта;
• провести резервирование тех своих файлов, наличие которых требуется для работы нового программного обеспечения;
• организовать опытную эксплуатацию нового программного продукта на фоне вирус-фильтра с обдуманными ответами на его сообщения.
Защита от компьютерных вирусов должна стать частью комплекса мер по защите информации как в от-384
дельных компьютерах, так и в автоматизированных информационных системах в целом.
10.8. Методика расследования преступлений в сфере компьютерной информации
Хорошо известно, что одними мерами предупреждения не всегда удается предотвратить преступное посягательство. В связи с этим возникает необходимость заниматься не только вопросами защиты средств компьютерной техники, но и решать вопросы расследования компьютерных преступлений.
Принципиальная схема организации взлома защитных механизмов информационных системы достаточно однотипна. Профессиональные компьютерные взломщики обычно работают только после тщательной предварительной подготовки. Они снимают квартиру на подставное лицо, подкупают сотрудников организации, знакомых с деталями электронных платежей и паролями, и работников телефонной станции, чтобы обезопаситься на случай поступления запроса от служб безопасности. Нанимают охрану из бывших сотрудников МВД. Чаще всего взлом компьютерной сети осуществляется рано утром, когда дежурный службы безопасности теряет свою бдительность, а вызов помощи затруднен.
Может быть предложена некоторая общая схема расследования преступления, связанного с неправомерным доступом к компьютерной информации. В ходе расследования основные следственные задачи целесообразно решать в такой последовательности:
1. Установление факта неправомерного доступа к информации в компьютерной системе или сети.
2. Установление места несанкционированного проникновения в компьютерную систему или сеть.
3. Установление времени совершения преступления.
4. Установление надежности средств защиты компьютерной информации.
5. Установление способа несанкционированного доступа.
6. Установление лиц, совершивших неправомерный доступ, их виновности и мотивов преступления.
13 Информатика и математика для юристов
7. Установление вредных последствий преступления.
8. Выявление обстоятельств, способствовавших преступлению.
На признаки несанкционированного доступа или подготовки к нему могут указывать следующие очевидные обстоятельства: появление в компьютере фальшивых данных; не обновление в течение длительного времени в автоматизированной информационной системе кодов, паролей и других защитных средств; частые сбои в процессе работы компьютеров; участившиеся жалобы клиентов компьютерной системы или сети; осуществление сверхурочных работ без видимых на то причин; немотивированные отказы некоторых сотрудников, обслуживающих компьютерные системы или сети, от отпусков; неожиданное приобретение сотрудником домашнего дорогостоящего компьютера; чистые дискеты либо диски, принесенные на работу сотрудниками компьютерной системы под сомнительным предлогом перезаписи программ для компьютерных игр; участившиеся случаи перезаписи отдельных данных без серьезных на то причин; чрезмерный интерес отдельных сотрудников к содержанию чужих распечаток (листингов), выходящих из принтеров и т.д.
Определить место и время непосредственного применения технических средств удаленного несанкционированного доступа, не входящих в данную информационную систему или сеть, на практике бывает достаточно трудно. Для установления этих данных необходимо привлекать специалистов.
Способ несанкционированного доступа может быть установлен путем производства информационно-технической судебной экспертизы. Перед экспертом следует поставить вопрос: «Каким способом мог быть совершен несанкционированный доступ в данную компьютерную систему?». Целесообразно представить эксперту всю проектную документацию на исследуемую систему (если таковая имеется), а также имеющиеся данные о ее сертификации.
Несанкционированный доступ к закрытой компьютерной системе или сети является технологически весьма сложным действием. Совершить такую акцию могут только специалисты, имеющие достаточно высокую квалификацию. Поэтому поиск подозреваемых следует начинать с техническо-
386
го персонала пострадавших компьютерных систем или сетей (разработчиков соответствующих систем, их руководителей, операторов, программистов, инженеров связи, специалистов по защите информации и др.).
Следственная практика показывает, что чем сложнее в техническом отношении способ проникновения в компьютерную систему или сеть, тем легче выделить подозреваемого, поскольку круг специалистов, обладающих соответствующими способностями, обычно весьма ограничен.
При расследовании компьютерных преступлений, связанных с созданием, использованием и распространением вредоносных программ для ЭВМ, целесообразно применять следующую последовательность действий:
1. Установление факта и способа создания вредоносной программы для ЭВМ.
2. Установление факта использования и распространения вредоносной программы.
3. Установление лиц, виновных в создании, использовании и распространении вредоносных программ для ЭВМ.
4. Установление вреда, причиненного данным преступлением.
5. Установление обстоятельств, способствовавших совершению расследуемого преступления.
При расследовании нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети, необходимо прежде всего доказать факт нарушения определенных правил, повлекший уничтожение, блокирование или модификацию охраняемой законом компьютерной информации и причинивший существенный вред. Кроме того, необходимо установить и доказать:
1) место и время (период времени) нарушения правил эксплуатации ЭВМ;
2) характер компьютерной информации, подвергшейся уничтожению, блокированию или модификации вследствие нарушения правил эксплуатации компьютерной системы или сети;
3) способ и механизм нарушения правил;
4) характер и размер ущерба, причиненного преступлением;
5) факт нарушения правил определенны лицом;
13* 387
6) виновность лица, допустившего преступное нарушение правил эксплуатации ЭВМ;
7) обстоятельства, способствовавшие совершению расследуемого преступления.
Кроме того, следователю необходимо знать, что существует много особенностей, которые должны учитываться при производстве отдельных следственных действий.
Приведем некоторые из них.
Если следователь располагает информацией, что на объекте обыска находятся средства компьютерной техники, расшифровка данных с которых может дать доказательства по делу, он должен заранее подготовиться к их изъятию. Необходимо обеспечить участие в ходе обыска специалиста по компьютерной технике. По прибытии на место обыска следует сразу же принять меры к обеспечению сохранности ЭВМ и имеющихся на них данных и ценной информации.
Для этого необходимо:
1) не разрешать, кому бы то ни было из лиц, работающих на объекте обыска или находящихся здесь по другим причинам (персоналу), прикасаться к ЭВМ с любой целью;
2) не разрешать, кому бы то ни было из персонала выключать электроснабжение объекта;
3) в случае если на момент начала обыска электроснабжение объекта выключено, то до его восстановления следует отключить от электросети всю компьютерную технику, находящуюся на объекте;
4) самому не производить никаких манипуляций со средствами компьютерной техники, если результат этих манипуляций заранее неизвестен;
После принятия указанных выше неотложных мер можно приступать к непосредственному обыску помещения и изъятию средств компьютерной техники.
При этом следует принять во внимание следующие неблагоприятные факторы:
• возможные попытки со стороны персонала повредить ЭВМ с целью уничтожения информации и ценных данных;
• возможное наличие на компьютерах специальных средств защиты от несанкционированного доступа,
388
которые, не получив в установленное время специальный код, автоматически уничтожат всю информацию;
• возможное наличие на ЭВМ иных средств защиты от несанкционированного доступа;
• постоянное совершенствование компьютерной техники, следствием чего может быть наличие на объекте программно-технических средств, незнакомых следователю.
В целях недопущения вредных последствий перечисленных факторов следователь может придерживаться следующих рекомендаций:
4 1. Перед выключением питания по возможности корректно закрыть все используемые программы, а в сомнительных случаях просто отключить компьютер (в некоторых случаях некорректное отключение компьютера – путем перезагрузки или выключения питания без предварительного выхода из программы и записи информации на постоянный носитель – приводит к потере информации в оперативной памяти и даже к стиранию информационных ресурсов на данном компьютере).
2. При наличии средств защиты, ЭВМ от несанкционированного доступа принять меры к установлению ключей доступа (паролей, алгоритмов и т. д.).
3. Корректно выключить питание всех ЭВМ, находящихся на объекте (в помещении).
4. Не пытаться на месте просматривать информацию, содержащуюся в компьютерах.
5. В затруднительных случаях не обращаться за консультацией (помощью) к персоналу, а вызывать специалиста, не заинтересованного в исходе дела.
6. Следует изъять все носители ЭВМ, обнаруженные на объекте.
7. При обыске не подносить ближе, чем на 1 м к компьютерной технике металлоискатели и другие источники магнитного поля, в т.ч. сильные осветительные приборы и некоторую спецаппаратуру.
8. Поскольку многие, особенно неквалифицированные, пользователи записывают процедуры входа-выхода при работе с компьютерной системой, а также пароли доступа, на отдельных бумажных листках, следует изъять также все записи, относящиеся к работе с ЭВМ.
389
9. Так как многие коммерческие и государственные структуры прибегают к услугам нештатных и временно работающих специалистов по обслуживанию средств компьютерной техники, следует записать паспортные данные у всех лиц, находящихся на объекте, независимо от их объяснений цели пребывания на объекте.
При изъятии средств компьютерной техники необходимо обеспечить строгое соблюдение требований действующего уголовно-процессуального законодательства. Для этого необходимо акцентировать внимание понятых на всех производимых действиях и их результатах, давая им при необходимости пояснения, поскольку многим участникам следственного действия могут быть непонятны производимые манипуляции. Кроме того, следует опечатывать ЭВМ так, чтобы исключить возможность работы с ними, разукомплектования и физического повреждения основных рабочих компонентов в отсутствие владельца или эксперта. При опечатывании компьютерных устройств следует наложить один лист бумаги на разъем электропитания, расположенный на задней панели, второй – на переднюю панель вверху с захлестом на верхнюю панель и закрепить их края густым клеем. На листах бумаги должны быть подписи следователя, понятых и представителя персонала. При изъятии магнитного носителя машинной информации нужно помнить, что они должны перемещаться в пространстве и храниться только в специальных опломбированных и экранированных контейнерах или в стандартных дис-кетных или иных алюминиевых футлярах заводского изготовления, исключающих разрушающее воздействие различных электромагнитных и магнитных полей и «наводок», направленных излучений.
В случае, когда необходимо сослаться непосредственно на определенный физический носитель, следует указать в протоколе его серийный (заводской) номер, тип, название (если есть) или провести его точное описание (размеры, цвет, класс, надписи, физические повреждения). При отсутствии четких внешних признаков физический носитель запечатывается в отдельную коробку (ящик, конверт) о чем обязательно делается отметка в протоколе проведения следственного действия.
В случае невозможности изъятия и приобщения к делу в качестве вещественного доказательства средства компьютерной техники (например, если компьютер является серве-390
ром или рабочей станцией компьютерной сети) в обязательном порядке после его осмотра необходимо блокировать не только соответствующее помещение, но и отключать источники энергопитания аппаратуры или, в крайнем случае, создать условия лишь для приема информации с одновременным опломбированием всех необходимых узлов, деталей, частей и механизмов компьютерной системы.
Если же возникла необходимость изъятия информации из оперативной памяти компьютера (непосредственно из оперативного запоминающего устройства – ОЗУ), то сделать это возможно только путем копирования соответствующей машинной информации на физический носитель с использованием стандартных паспортизированных программных средств с соответствующим документальным приложением и в порядке, установленном следующими нормативными документами:
• Государственный стандарт (ГОСТ) № 6104-84 от 01.07.87 «УСД». Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники.
• Основные положения и Постановление Госстандарта № 2781 от 24.09.86 «Методические указания по внедрению и применению ГОСТ 6104-84».
Только с использованием указанных нормативных документов машинная информация будет относиться к разряду «документированной информации», как требует того закон.
К сожалению, практика работы органов прокуратуры и следствия показывает, что рассмотренные рекомендации в большинстве случаев следователями не применяются в практической деятельности по расследованию компьютерных преступлений. В результате неправильного изъятия средств компьютерной техники добытая информация зачастую не может являться доказательством в судебном процессе.
За рубежом накоплен обширный опыт борьбы с компьютерной преступностью. Однако в России большинство уголовных дел по компьютерным преступлениям остаются нераскрытыми. И дело не в том, что плохо работают сыщики или российские компании экономят на защите своих компьютерных сетей. К сожалению, при высоком техническом оснащении и тщательной подготовке компьютерного преступления поймать преступника очень сложно.
391
«все книги «к разделу «содержание Глав: 16 Главы: < 8. 9. 10. 11. 12. 13. 14. 15. 16.