Защита информации в компьютерной сети
Подделка компьютерной информации.
По-видимому, этот вид компьютерной преступности является одним из наиболее свежих. Он является разновидностью несанкционированного доступа с той разницей, что пользоваться им может, как правило, не посторонний пользователь, а сам разработчик, причем имеющий достаточно высокую квалификацию.
Идея преступления состоит в подделке выходной информации компьютеров с целью имитации работоспособности больших систем, составной частью которых является компьютер. При достаточно ловко выполненной подделке зачастую удается сдать заказчику заведомо неисправную продукцию.
К подделке информации можно отнести также подтасовку результатов выборов, голосовании, референдумов и т.п. Ведь если каждый голосующий не может убедиться, что его голос зарегистрирован правильно, то всегда возможно внесение искажений в итоговые протоколы.
6. Хищение компьютерной информации.
Если “обычные” хищения подпадают под действие существующего уголовного закона, то проблема хищения информации значительно более сложна. Присвоение машинной информации, в том числе программного обеспечения, путем несанкционированного копирования не квалифицируется как хищение, поскольку хищение сопряжено с изъятием ценностей из фондов организации. Не очень далека от истины шутка, что у нас программное обеспечение распространяется только путем краж и обмена краденым. При неправомерном обращении в собственность машинная информация может не изыматься из фондов, а копироваться.
Рассмотрим теперь вторую категорию преступлений, в которых компьютер является “средством” достижения цели. Надежность алгоритма шифрования Различные криптографические алгоритмы обладают разной надежностью, чаще называемой стойкостью алгоритма шифрования или стойкостью шифра. Стойкость зависит от того, насколько легко криптоаналитик может взломать шифр. Если при этом стоимость затрат превышает ценность полученной в результате информации, то владельцу этого шифра, возможно, и беспокоиться не о чем. Если время, потраченное на взлом шифра, больше, чем период, в течение которого ваши данные должны храниться в секрете, то они вероятно вне опасности
1. Разработка сложных математических моделей, входными данными в которых являются возможные условия проведения преступления, а выходными данными — рекомендации по выбору оптимального варианта действий преступника.
2. Преступления с общим названием — “воздушный змей”.
В простейшем случае требуется открыть в двух банках по небольшому счету. Далее деньги переводятся из одного банка в другой и обратно с постепенно повышающимися суммами. Хитрость заключается в том, чтобы до того, как в банке обнаружится, что поручение о переводе не обеспечено необходимой суммой, приходило бы извещение о переводе в этот банк, так чтобы общая сумма покрывала требование о первом переводе. Этот цикл повторяется большое число раз (“воздушный змей” поднимается все выше и выше) до тех пор, пока на счете не оказывается приличная сумма (фактически она постоянно “перескакивает” с одного счета на другой, увеличивая свои размеры). Тогда деньги быстро снимаются, а владелец счета исчезает. Этот способ требует очень точного расчета, но для двух банков его можно сделать и без компьютера. На практике в такую игру включают большое количество банков: так сумма накапливается быстрее и число поручений о переводе не достигает подозрительной частоты. Но управлять этим процессом можно только с помощью компьютера.
Классификация компьютерных преступлений
Зарубежными специалистами разработаны различные классификации способов совершения компьютерных преступлений. Ниже приведены названия способов совершения подобных преступлений, соответствующих кодификатору Генерального Секретариата Интерпола. В 1991 году данный кодификатор был интегрирован в автоматизированную систему поиска и в настоящее время доступен НЦБ более чем 100 стран.
Все коды, характеризующие компьютерные преступления, имеют идентификатор, начинающийся с буквы Q. Для характеристики преступления могут использоваться до пяти кодов, расположенных в порядке убывания значимости совершенного.
QA — Несанкционированный доступ и перехват
QAH — компьютерный абордаж
QAT — кража времени
QAZ — прочие виды несанкционированного доступа и перехвата
QD — Изменение компьютерных данных
QUL — логическая бомба
QDT — троянский конь
QDV — компьютерный вирус
QDW — компьютерный червь
QDZ — прочие виды изменения данных
QF — Компьютерное мошенничество
QFC — мошенничество с банкоматами
QFF — компьютерная подделка
QFG — мошенничество с игровыми автоматами
QFM — манипуляции с программами ввода-вывода
QFP — мошенничества с платежными средствами
QFT — телефонное мошенничество
QFZ — прочие компьютерные мошенничества
QR — Незаконное копирование
QRG — компьютерные игры
QRS — прочее программное обеспечение
QRT — топография полупроводниковых изделий
QRZ — прочее незаконное копирование
QS — Компьютерный саботаж
QSH — с аппаратным обеспечением
QSS — с программным обеспечением
QSZ — прочие виды саботажа
QZ — Прочие компьютерные преступления
QZB — с использованием компьютерных досок объявлений
QZE — хищение информации, составляющей коммерческую тайну
QZS — передача информации конфиденциального характера
QZZ — прочие компьютерные преступления
Кратко охарактеризуем некоторые виды компьютерных преступлений согласно приведенному кодификатору.
Несанкционированный доступ и перехват информации (QA) включает в себя следующие виды компьютерных преступлений:
QAH — «Компьютерный абордаж» (хакинг — hacking): доступ в компьютер или сеть без нрава на то. Этот вид компьютерных преступлений обычно используется хакерами для проникновения в чужие информационные сети.
QAI — перехват (interception): перехват при помощи технических средств, без права на то. Перехват информации осуществляется либо прямо через внешние коммуникационные каналы системы, либо путем непосредственного подключения к линиям периферийных устройств. При этом объектами непосредственного подслушивания являются кабельные и проводные системы, наземные микроволновые системы, системы спутниковой связи, а также специальные системы правительственной связи. К данному виду компьютерных преступлений также относится электромагнитный перехват (electromagnetic pickup). Современные технические средства позволяют получать информацию без непосредственною подключения к компьютерной системе: ее перехват осуществляется за счет излучения центрального процессора, дисплея, коммуникационных каналов, принтера и т.д. Все это можно осуществлять, находясь на достаточном удалении от объекта перехвата.
Источник
Подделка компьютерной информации
По-видимому, этот вид компьютерной преступности является одним из наиболее свежих. Он является разновидностью несанкционированного доступа с той разницей, что пользоваться им может, как правило, не посторонний пользователь, а сам разработчик причем имеющий достаточно высокую квалификацию. Идея преступления состоит в подделке выходной информации компьютеров с целью имитации работоспособности больших систем, составной частью которых является компьютер. При достаточно ловко выполненной подделке зачастую удается сдать заказчику заведомо неисправную продукцию. К подделке информации можно отнести также подтасовку результатов выборов, голосований, референдумов и т. п. Ведь если каждый голосующий не может убедиться, что его голос зарегистрирован правильно, то всегда возможно внесение искажений в итоговые протоколы. Естественно, что подделка информации может преследовать и другие цели.
Рассмотрим теперь вторую категорию преступлений, в которых компьютер является «средством» достижения цели. В тех случаях, когда компьютерная аппаратура является предметом преступления против собственности, соответственно ее хищение, уничтожение или повреждение подлежит квалификации по статьям 158-168 Уголовного кодекса. Но дело в том, что информационная структура (например, программы и информация) не может быть преступлением против собственности, поскольку машинная информация не отвечает ни одному из основных принципов предмета преступления против собственности, в частности, она не обладает физическим признаком (другими словами ее просто нет в реальном мире, она эфемерна). Что же касается компьютера как орудия преступления, то его следует рассматривать в ряду таких средств, как оружие или транспортное средство. В этом смысле использование компьютера имеет уже прикладное значение при совершении преступления, то есть хищения денежных средств, сокрытие налогов. Кроме того, компьютер может использоваться в целях хранения какой-либо информации, он может служить типографским станком, аппаратурой для неправомерного доступа в базы данных, копирования информации и так далее.
Такие действия не рассматриваются в качестве самостоятельных преступлений, а подлежат квалификации по иным статьям в соответствии с объектом посягательства. Вся проблема состоит, на мой взгляд, в том, что компьютер по сути своей универсален, и позволяет выполнять практически любую работу очень широкого круга назначения. Здесь также можно выделить разработку сложных математических моделей, входными данными, в которых являются возможные условия проведения преступления, а выходными данными — рекомендации по выбору оптимального варианта действий преступника.
Другой вид преступлений с использованием компьютеров получил название «воздушный змей». В простейшем случае требуется открыть в двух банках по небольшому счету. Далее деньги переводятся из одного банка в другой и обратно с постепенно повышающимися суммами. Хитрость заключается в том, чтобы до того, как в банке обнаружится, что поручение о переводе не обеспечено необходимой суммой, приходило бы извещение о переводе в этот банк так чтобы общая сумма покрывала требование о первом переводе. Этот цикл повторяется большое число раз («воздушный змей» поднимается все выше и выше) до тех пор, пока на счете не оказывается приличная сумма (фактически она постоянно «перескакивает» с одного счета на другой, увеличивая свои размеры). Тогда деньги быстро снимаются и владелец счета исчезает. Этот способ требует очень точного расчета, но для двух банков его можно сделать и без компьютера. На практике в такую игру включают большое количество банков: так сумма накапливается быстрее и число поручений о переводе не достигает подозрительной частоты. Но управлять этим процессом можно только с помощью компьютера.
Перспективы на будущее
Очевидно, что киберпреступность никуда не исчезнет. В этом нет ничего удивительного. Киберпреступность — не только побочный продукт эпохи интернета, но и часть общего криминального ландшафта. Если что-то можно использовать, то кто-то обязательно найдет возможность использовать это во зло. Компьютерные технологии и интернет — не исключение. Преступность неискоренима, поэтому борьба с киберпреступностью — вопрос не столько «победы в войне», сколько ограничения риска, связанного с работой в интернете.
Для управления этим риском мировому сообществу, несомненно, необходима правовая система вкупе с приспособленными для решения этой задачи и эффективными правоохранительными структурами. Нет сомнения в том, что за последнее десятилетие правоохранительные органы приобрели значительный опыт борьбы с преступлениями в сфере высоких технологий, в том числе и в рамках совместных операций на территории нескольких стран. Для эффективной борьбы с киберпреступностью необходимо дальнейшее сотрудничество, в частности, распространение международного законодательства за пределы развитых стран, а также создание «кибер-Интерпола», который был бы способен преследовать киберпреступников, невзирая на геополитические границы. Это могло бы значительно облегчить борьбу с киберпреступностью.
Но правоохранительные органы — лишь часть решения. Необходимо также, чтобы отдельные пользователи и компании понимали, в чем состоит опасность, и имели достаточные знания и инструментарий, чтобы свести к минимуму риск стать жертвой киберпреступников. Это особенно важно для пользователей, которые зачастую несведущи в технике и плохо понимают, какие потенциальные проблемы таят в себе онлайн-покупки, интернет-банкинг и социальные сети. Проблему усугубляет также растущее число пользователей, соединяющихся с интернетом впервые. Необходимо выработать разнообразные творческие подходы для повышения уровня понимания обществом проблем, связанных с киберпреступностью и методов, позволяющих уменьшить риск до минимума.
«Информационная супермагистраль» по своей сути ничем не отличается от любой дороги общего пользования. Необходимы качественные дороги, безопасные машины, четкие дорожные знаки и умелые водители. Другими словами, необходимо сочетание специализированного законодательства, эффективного полицейского надзора и общественной осведомленности.
Заключение
Для того чтобы справиться с киберпреступностью, необходимо создавать и внедрять защитные стратегии. На самом деле программное обеспечение для борьбы с вредоносными программами и стратегии по управлению рисками важны на всех уровнях. Я хочу сказать, что помимо соответствующих стратегий защиты успешная борьба с киберпреступностью требует совместных усилий. Должен действовать интернет-Интерпол, должна вестись постоянная разъяснительная работа, подобная той, которая ведется по поводу необходимости использовать ремни безопасности в автомобиле. Должны существовать правила, соблюдение которых будет обязательно при нахождении в интернете. Эти же правила должны поддерживать действия правоохранительных органов. Как и в случае с ремнями безопасности, требуется длительная и упорная воспитательная работа для того, чтобы пользователи осознали необходимость таких мер. И хотя я не верю, что нам удастся когда-либо положить конец киберпреступности, так же как не удается полностью победить преступность в физическом мире, у нас все-таки есть цель, к которой нужно стремиться: мы можем и должны сделать интернет более безопасным. Для этого нужны более широкомасштабные меры, чем те, о которых я уже упомянула, в них должны принимать участие не одна отдельная компания и не одно отдельное правительство. Нам нужно сообщество единомышленников, каждый из которых внес бы свою лепту в дело информационной безопасности, сообщество, которое может и обязательно добьется успеха.
Список литературы
1. Интернет – ресурсы
2. Тропина Т.Л. Интернет и терроризм: прежние цели — новые средства
3. Уголовный кодекс Российской Федерации
4. Наумов А.В. Комментарий к Уголовному кодексу
5. Фридланд А.Я. Информатика и компьютерные технологии: Основные термины: Толков. Слов.: Более 1000 базовых понятий и терминов.
6. Шафрин Ю.А. 1500 основных понятий, терминов и практических советов для пользователей персональным компьютером.
Источник
В. Б. Вехов основы криминалистического учения
| Название | В. Б. Вехов основы криминалистического учения |
| страница | 13/33 |
| Тип | Монография |
rykovodstvo.ru > Руководство эксплуатация > Монография
| Типичные способы подделки электронных документов |
и их признаки
Как было отмечено, электронные документы могут выступать средством и (или) предметом преступного посягательства. В таком виде они чаще всего и используются в качестве вещественных доказательств. В связи с чем с криминалистических позиций способы подделки документов будут являться либо способом совершения преступления, либо его элементом.
Известно, что под способом совершения преступления понимают объективно и субъективно обусловленную систему поведения субъекта до, в момент и после совершения преступного деяния, оставляющего различного рода типичные следы, позволяющие с помощью криминалистических приемов и средств получить представление о сути происшедшего события, своеобразии преступного поведения правонарушителя, его отдельных личностных данных и, соответственно, определить оптимальные методы решения задач раскрытия, расследования и предупреждения преступления.
Применительно к обычным документам в криминалистике, как правило, выделяют два основных способа их подделки:
– интеллектуальный – изготовление документа с подлинными реквизитами, но заведомо ложным содержанием 306 . В этом случае по своему оформлению (набору реквизитов) документ формально отвечает всем установленным требованиям, но сведения, изложенные в нем, не соответствуют действительности. Такой документ называется подложным;
– материальный, при котором осуществляется частичная или полная подделка реквизитов документа. Частичная подделка заключается в изменении одного или нескольких реквизитов, при полной подделываются все реквизиты документа. По этим основаниям документ называется поддельным.
Анализ зарубежной и отечественной специальной литературы, диссертационных исследований и материалов конкретных уголовных дел позволяет выделить наиболее распространенные способы подделки электронных документов и их криминалистически значимые признаки 307 .
1. Подмена данных на стадии оформления (генерации) электронного документа. Осуществляется путем внесения в программу для ЭВМ, базу данных, систему или сеть ЭВМ заведомо ложных сведений. На их основе формируется электронный документ установленной формы (формата), но с заведомо ложным содержанием. При этом следует различать:
а) полную подделку, когда документ изготавливается со всеми необходимыми реквизитами и с использованием стандартных программных средств, которые позволяют беспрепятственно внедрить его в соответствующей форме в компьютерную систему или сеть, например, скопировать в виде файла определенного формата непосредственно с мобильного машинного носителя (дискеты, компакт-диска, USB-драйвера, флэш-карты) на стационарный машинный носитель ЭВМ и другого компьютерного устройства (жесткий магнитный диск («винчестер»), интегральную микросхему оперативной либо постоянной памяти) или дистанционно – с одного машинного носителя на другой по сети ЭВМ или электросвязи;
б) частичную подделку, при которой электронная форма (бланк) документа, генерируемого соответствующей технологической программой для ЭВМ, базой данных или системой ЭВМ, заполняется сведениями, не соответствующими действительности, например, отличающимися от сведений, изложенных в первичных (исходных) документах, на основе которых формируется (генерируется) электронный документ.
Это наиболее простой и поэтому часто применяемый преступниками способ подделки электронных документов.
Для установления подмены данных необходимо использовать три группы признаков:
– порядок размещения в массиве документов;
– формат записи документа;
– основной текст документа.
Признаки размещения в массиве документов имеют значение в тех случаях, когда программа для ЭВМ, база данных, компьютерная система или сеть, в которую внедряется поддельный документ, оборудована автоматическими средствами логического учета (регистрации) входящих (копируемых в нее) документов. Таким образом документ, не имеющий порядкового учетного номера, имеющий не порядковый учетный номер либо расположенный на машинном носителе в нарушение общей логики размещения документов в массиве, будет хорошо заметен.
Признаки формата записи нужно учитывать в тех случаях, когда нормативно определены единые требования, предъявляемые к формату записи электронного документа соответствующего содержания и предназначения на машинный носитель 308 . Действующая система (правила) обработки электронных документов может быть до конца не известна преступникам. Поэтому поддельный ЭД может иметь:
● формат, не соответствующий правилам, установленным для обработки документов в данной компьютерной системе или сети (например, расширение файла);
● содержание записи (например, имя файла), не соответствующее тематическому разделу, в котором находится ЭД;
● название записи (например, название файла – «имя + расширение»), не соответствующее содержанию документа или установленным правилам маркировки ЭД определенной категории в данной системе документооборота.
Признаки основного текста проявляются в индивидуальных особенностях его оформления и содержания. При анализе оформления текста ЭД следует обращать внимание на наличие всех необходимых реквизитов (в том числе удостоверительных, например ЭЦП) и их признаков: общую разметку документа и частную разметку его отдельных элементов (текста, таблиц, рисунков и других встроенных объектов); количество электронных страниц и логику их объединения (упорядочения) в документе; наличие, порядок расположения, размер и цвет мемо-полей (окон); параметры электронной страницы (цвет, размер, поля и другие); цвет, стиль, тип и размер шрифта, используемого в каждом реквизите; размер абзацного отступа и вид межстрочного интервала; вид переноса в словах (мягкий, автоматический, принудительный); наличие гиперссылок, знаков «перевод каретки» и «принудительный разрыв страницы»; наличие автоматически проставляемых или принудительных (ручных) маркеров для перечислений, их параметры (абзацные отступы и границы); иные признаки, отличающие его от стандарта или от общих признаков оформления других документов, находящихся с ним в одном массиве.
Содержание основного текста ЭД требует изучения и оценки сведений, отраженных в нем. Для обнаружения подделки необходимо сопоставить сведения, изложенные в конкретном ЭД, с содержанием первичных (исходных) документов (в целом или по отдельным реквизитам), на основе которых он был создан (сгенерирован).
Если документ состоит из нескольких электронных страниц, то требуется также сопоставить содержание исследуемой страницы с содержанием предыдущей и последующей страниц. При этом особое внимание следует уделить изучению параметров организационной связи страниц между собой (логическая или гиперссылочная).
Иногда возникает необходимость проведения сравнительного анализа содержания совокупности отдельных реквизитов и установления источника их происхождения (человека или автомата), например, придающих документу юридическую силу. Так, отечественной следственной практике известны случаи использования для совершения хищения денежных средств, товаров и услуг электронных платежных документов, сгенерированных на основе реквизитов поддельных пластиковых карт 309 .
2. Внесение изменений в электронный документ на стадии его использования. Это второй по распространенности в криминальной практике способ подделки. Он заключается в несанкционированной модификации (изменении), блокировании, уничтожении или перезаписи (уничтожении подлинных и последующего копирования подложных данных) отдельных реквизитов ЭД. Примечательно, что эти действия могут быть выполнены субъектом собственноручно с использованием необходимых компьютерных программ и средств электронно-вычислительной техники либо путем создания и (или) использования соответствующей вредоносной программы. Работая в автоматическом режиме без непосредственного участия субъекта, она сама по заданному ее разработчиком алгоритму внесет все требуемые изменения в электронный документ в целом или отдельные его реквизиты (ст. 273 УК РФ). В данном случае эта программа будет являться основным орудием совершения преступления.
Например, путем внесения соответствующих изменений в ЭД, являющийся объектом авторского права и смежных прав, дезактивируется реквизит его защиты. В этих целях преступниками широко используются как стандартные системные и инструментальные компьютерные программы, так и специальные: программы – взломщики защиты (crack-tools – инструменты взлома). С их помощью получается контрафактный экземпляр ЭД.
3. Незаконное использование электронной цифровой подписи, средств идентификации пользователя в системе или сети ЭВМ либо электросвязи, а также электронно-цифровых аналогов его собственноручной подписи. Как было отмечено, в настоящее время в гражданском обороте широко используются различные электронно-цифровые средства удостоверения электронных документов: ЭЦП, электронно-цифровые аналоги собственноручной подписи, логины и пароли для получения возмездных услуг Интернет, персональные идентификационные коды (ПИН-коды), а также идентификаторы абонентов либо аппаратов сотовой и иной цифровой электросвязи (IP и МАС-адреса, IMEI и др.). По своей физической природе рассматриваемые реквизиты являются разновидностью документированной компьютерной информации и позволяют, во-первых, получить доступ к компьютерной системе или сети, во-вторых, создать (сгенерировать) новый электронный документ или внести изменения в существующие ЭД, в-третьих, защитить созданный ЭД от подделки, в-четвертых, идентифицировать лицо, его создавшее. Естественно, как и всякая иная компьютерная информация, они материализованы на локальном или сетевом (внешнем либо внутреннем) машинном носителе. Таким образом, получая любыми способами доступ к этим реквизитам, например, путем открытого визуального ознакомления с ними, хищения материального носителя либо применения специальных программ сканирования и расшифровки трафика работы пользователей в сети Интернет или сотовой электросвязи, преступник использует их в корыстных целях. В последующем с их помощью создаются фиктивные ЭД, выступающие средством подготовки и совершения преступлений различных видов.
Анализ материалов следственной практики показывает, что чаще всего субъекты копируют указанные реквизиты на свой машинный носитель, в память идентификационной карты для электронных терминальных устройств (IC–карты), ЭВМ и иного компьютерного устройства. Так создаются идентификационные карты – клоны, в память которых записывается код опознавания электронного терминального устройства в компьютерной системе или сети по типу «свой – чужой». Они будут подробно исследованы нами далее.
§ 5. Основы криминалистического исследования
для ЭВМ и других компьютерных устройств
Впервые с позиций криминалистики вредоносные программы для ЭВМ и других компьютерных устройств (далее – «вредоносные программы») как средства совершения преступлений были исследованы нами в 1995 г. 310 . Базируясь на результатах изучения материалов отечественной и зарубежной следственной практики, мы выделили их общие признаки и разработали криминалистическую классификацию. В ее основу были положены типичные отражения алгоритмов их работы – последствия деструктивных воздействий, оказываемых на компьютерную информацию и средства ее обработки, системно проявляющиеся в окружающей обстановке на месте происшествия. Также было предложено под вредоносной программой понимать специально изготовленную либо приспособленную и использованную в преступных целях программу, приводящую к несанкционированному уничтожению, повреждению, изменению (модификации) программных средств компьютерной техники 311 .
В своей последующей монографической работе мы использовали определение указанной дефиниции, изложенное в ч. 1 ст. 273 Уголовного кодекса Российской Федерации: «программа для ЭВМ, приводящая к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети» 312 . Именно с этой даты впервые в истории отечественного уголовного законодательства преступлением стали считаться следующие деяния:
1) создание вредоносных программ;
2) использование таких программ;
3) использование машинных носителей, содержащих вредоносные программы;
4) распространение таких программ;
5) распространение машинных носителей, содержащих вредоносные программы;
6) внесение в существующие (невредоносные. – В. В.) программы изменений, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети 313 .
С 1 января 1997 г. государственная статистика стала их регистрировать и отражать в ежегодных отчетах о состоянии преступности в Российской Федерации. Так, за 10 лет – с 1 января 1997 по 1 января 2007 гг. – количество преступлений рассматриваемой категории возросло в 1 тыс. 625 раз и, начиная с 1999 г., продолжает ежегодно увеличиваться в 1,8 раза (см. приложение).
По данным отдельных исследователей, в настоящее время для подготовки, совершения и сокрытия различных преступных посягательств в арсенале преступников находится более 170 тыс. вредоносных программ. При этом их количество постоянно увеличивается 314 .
Значительный вклад в изучение проблем, связанных с механизмами следообразования по делам о создании, использовании, распространении вредоносных программ и машинных носителей с такими программами, а также с определением их понятия и криминалистической классификации, в разные годы внесли Ю. В. Гаврилин, В. В. Крылов, А. В. Остроушко, Е. Р. Россинская, Л. Н. Соловьев, А. И. Усов, А. Н. Яковлев и другие.
Так, В. В. Крылов подчеркивал, что компьютерные программы, в том числе вредоносные, являются разновидностью компьютерной информации 315 . В своих последующих научных работах он методологически правильно предложил в рамках криминалистического исследования вредоносных программ использовать правовые определения, сформулированные в Законе Российской Федерации «О правовой охране программ для электронных вычислительных машин и баз данных» (от 23.09.1992 г. № 3523-1) 316 . Рассмотрим их подробнее.
Как отмечалось, программа для ЭВМ – это объективная форма представления совокупности данных и команд, предназначенных для функционирования ЭВМ и других компьютерных устройств с целью получения определенного результата, а также подготовительные материалы, полученные в ходе ее разработки, и порождаемые ею аудиовизуальные отображения (ст. 1). В нашем случае таким результатом будут:
а) не санкционированные обладателем компьютерной информации ее уничтожение, блокирование, модификация либо копирование;
б) нарушение работы ЭВМ и другого компьютерного устройства, системы ЭВМ или компьютерной сети.
Создание вредоносной программы – это целенаправленная деятельность, состоящая из следующих операций:
1) постановка задачи, определение программно-технической среды существования и целей программы;
2) выбор средств реализации программы – языков программирования;
3) написание алгоритма работы программы в виде исходного текста (так называемого «исходника»), т. е. описание с помощью того или иного языка программирования порядка (последовательности) обработки данных и команд, управляющих этим процессом;
4) перевод исходного текста программы на машинный язык кодов команд – объектный код, т. е. из обычной человекочитаемой формы в ту или иную объективную форму существования компьютерной информации;
5) компилирование программы под определенную операционную систему;
6) отладка программы путем ее запуска с машинных носителей, в памяти ЭВМ или иного компьютерного устройства, в конкретной компьютерной системе или сети, для работы в которых она и была создана;
7) подготовка программы к ее использованию и распространению в конкретной программной среде и с помощью определенных материальных носителей.
Таким образом видно, что программа для ЭВМ может существовать в двух материальных формах:
– в виде исходного человекочитаемого текста на обычных, например бумажном, носителях;
– в виде объектного кода – компьютерной информации на машинных носителях, в памяти ЭВМ и других компьютерных устройств, например, сотового радиотелефона, в компьютерных системах и сетях.
Использование вредоносной программы – выпуск ее в свет, воспроизведение, распространение, копирование и иные действия по введению в хозяйственный оборот (в том числе в модифицированной форме).
Использование машинного носителя, содержащего вредоносную программу, – всякое его употребление в целях использования записанной на нем вредоносной программы.
Распространение вредоносной программы – предоставление доступа к воспроизведенной в любой материальной форме программе, в том числе сетевыми и иными способами, а также путем продажи, проката, сдачи внаем, предоставления взаймы, включая импорт для любой из этих целей.
Распространение машинных носителей, содержащих вредоносные программы, – продажа, прокат, сдача внаем, предоставление взаймы и иные возмездные действия по их введению в хозяйственный оборот, включая импорт и экспорт для любой из этих целей.
Внесение в существующие программы изменений, которые превращают их в категорию вредоносных программ, – их модификация, изменение алгоритма работы, в том числе путем удаления или добавления отдельных команд либо их блоков (модулей) 317 .
Рассматривая криминалистические признаки вредоносных программ, согласимся с С. А. Пашиным в том, что вредоносность программы для ЭВМ определяется не ее назначением, то есть способностью уничтожать, блокировать, модифицировать либо копировать информацию, нарушать работу ЭВМ, системы ЭВМ или их сети, а несанкционированным характером действия 318 . Анализ материалов следственной, экспертной и судебной практики показывает, чтобы признать компьютерную программу вредоносной, необходимо доказать наличие совокупности следующих обстоятельств:
1. Программа способна уничтожать, блокировать, модифицировать либо копировать информацию, нарушать работу ЭВМ, системы ЭВМ или их сети.
2. Программа не предполагает предварительного уведомления собственника, владельца или пользователя (обладателя) компьютерной информации, ЭВМ, системы ЭВМ или их сети о характере своих действий.
3. Программа не запрашивает согласия (санкции) у собственника, владельца или пользователя (обладателя) компьютерной информации, ЭВМ, системы ЭВМ или их сети на реализацию своего назначения (алгоритма).
По нашему мнению, отсутствие у компьютерной программы хотя бы одного из этих признаков делает ее невредоносной.
Как следует из анализа п. «в» ст. 1 Соглашения о сотрудничестве государств – участников Содружества Независимых Государств в борьбе с преступлениями в сфере компьютерной информации, «вредоносная программа –это созданная или существующая программа со специально внесенными изменениями, заведомо приводящая к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети» 319 .
По мнению В. В. Крылова, «программа, специально разработанная или модифицированная для несанкционированного собственником информационной системы уничтожения, блокирования, модификации либо копирования информации, нарушения обычной работы ЭВМ, является вредоносной» 320 . Очевидно, что в этом определении автор не учел возможность использования и распространения такой программы в компьютерных сетях, в том числе в сетях электросвязи.
В своей кандидатской диссертации Л. Н. Соловьев определил исследуемую дефиницию «как программу для ЭВМ, наделенную функциями, выполнение которых может оказать неправомерное воздействие на средства компьютерной техники, приводящее к их уничтожению, блокированию или иному нарушению их работы, и на компьютерную информацию, приводящее к ее уничтожению, блокированию, модификации или копированию» 321 . Помимо выделенного недостатка, в нем отсутствует указание на возможность использования и распространения вредоносных программ в компьютерных системах, хотя далее автор пишет, что эти программы «могут создавать свои копии (размножаться) и распространяться, то есть внедрять свои копии в файлы, системные области компьютерных систем» 322 .
С учетом изложенного вредоносная программа – это компьютерная программа, специально созданная или модифицированная для не санкционированного собственником, владельцем или пользователем (обладателем) компьютерной информации, ЭВМ, компьютерной системы или сети уничтожения, блокирования, модификации либо копирования компьютерной информации, нарушения работы ЭВМ, системы ЭВМ или их сети.
Существуют различные классификации вредоносных программ 323 . Как писал В. В. Крылов: «Но не все они могут иметь значение для криминалистических исследований, поскольку создание таких классификаций чаще всего подчинено прикладным задачам выявления и уничтожения компьютерных вирусов. Для криминалистики же интересны данные, характеризующие последствия действий вредоносных программ и их наиболее явные проявления, позволяющие зафиксировать результаты действия этих программ» 324 .
В своих научных работах (1995 и 1996 гг.) мы предложили классифицировать вредоносные программы по типичным отражениям алгоритмов их работы – последствиям деструктивных воздействий, оказываемых на компьютерную информацию и средства ее обработки, системно проявляющиеся в окружающей обстановке на месте происшествия. По этому основанию были выделены виды и подвиды вредоносных программ 325 .
1. «Троянский конь». В криминальной практике встречаются такие его разновидности, как: «Троянская матрешка»; «Троянский червь»; «Салями»; «Логическая бомба»; «Временная бомба».
2. Компьютерные вирусы. Они были классифицированы:
2.1. По объекту поражения: «загрузочные» – поражающие загрузочные сектора машинных носителей; «файловые» – поражающие системные и иные исполняемые файлы; комбинированные вирусы.
2.2. По следам, остающимся в оперативной памяти как автономной ЭВМ, так и работающей в составе компьютерной системы или сети: резидентные; нерезидентные.
2.3. По алгоритму строения и обнаружения: написанные единым блоком и достаточно легко обнаруживаемые с помощью набора стандартных антивирусных компьютерных программ; разделенные на логические части (модули), которые по отдельности не являются вредоносными, но при заданных обстоятельствах автоматически собираются в единое целое, образуют вредоносную программу и после выполнения ею своих функций снова приходят в исходное положение – распадаются на невредоносные программные модули. Их частными модификациями являются: вирусы-«спутники»; вирусы-«черви» (спам-вирусы); «паразитические»; «студенческие»; вирусы-невидимки, или маскирующиеся вирусы; вирусы-мутанты.
В. В. Крылов «на базе представлений о цели создания программы и последствиях ее действия» предложил классифицировать вредоносные программы на три класса 326 :
1. «Безвредные инфекции» – вредоносные программы, которые не уничтожают информацию и не всегда ее блокируют, модифицируют либо копируют, нарушают работу ЭВМ, системы ЭВМ или их сети.
2. «Опасные инфекции» – вредоносные программы, уничтожающие информацию, разрушающие информационные системы и приносящие существенный вред.
3. «Инфекции проникновения» – вредоносные программы, предназначенные для организации неправомерного доступа к чужим информационным ресурсам, а именно: «люки» («back door»), «Троянские программы (кони)», «логические бомбы» и «бомбы с часовым механизмом».
Как правильно заметил Л. Н. Соловьев, «…безвредность вредоносных программ – это очень относительное понятие и ему крайне сложно найти применение в криминалистике» 327 . В свою очередь, проанализировав наши с В. В. Крыловым авторские классификации, он предложил с криминалистических позиций подразделить все вредоносные программы по ряду оснований 328 .
А. По особенностям их создания: на специально созданные; созданные путем внесения изменений в существующие невредоносные программы; модифицированные вредоносные программы;
Б. В зависимости от наличия функции самораспространения: на самораспространяющиеся программы (компьютерные вирусы, компьютерные черви); программные закладки – программы, не обладающие функцией самораспространения. Программные закладки он классифицировал на подвиды.
1. Осуществляющие сбор информации об информационных процессах, протекающих в компьютерной системе:
● мониторы, предназначенные для наблюдения за процессами обработки данных, протекающими в программной среде;
● сборщики информации об атакуемой программной среде, предназначенные для пассивного наблюдения за программной средой, в которую внедрена закладка.
2. Обеспечивающие неправомерный доступ:
● перехватчики паролей, предназначенные для автоматического перехвата логических имен и паролей, вводимых пользователями защищенной компьютерной системы или сети в процессе идентификации и аутентификации;
● программные закладки, повышающие полномочия пользователя;
● «логический люк», программа, предназначенная для доступа к защищенной системе, минуя программные средства ее защиты.
3. Наделенные деструктивными функциями – программы типа «логическая бомба», которые при определенных условиях оказывают разрушающее воздействие на атакованную компьютерную систему или сеть в целях их полного выведения из строя, создания устойчивых и продолжительных помех в работе.
4. Блокирующие работу средств компьютерной техники. Например, во время проведения военной операции под кодовым названием «Буря в пустыне» в Персидском заливе система ПВО Ирака была заблокирована и не смогла адекватно реагировать на вторжение военных самолетов противника в его воздушное пространство. Впоследствии оказалось, что в программное обеспечение закупленных во Франции электронно-вычислительных комплексов, обеспечивающих работу системы ПВО Ирака, были внедрены вредоносные программные закладки, активированные затем с военных спутников противника 329 .
5. Комбинированные программные закладки.
В. В зависимости от наличия во вредоносных программах открыто декларируемых функций выделяются троянские программы и скрытые вредоносные программы. Под троянской программой Л. Н. Соловьевым понимается вредоносная программа для ЭВМ, которая, помимо скрытых вредоносных функций, заложенных в ее алгоритм создателем и осуществляемых в соответствии с заранее определенными условиями, имеет и открыто декларируемые функции, не связанные с оказываемым вредоносным воздействием.
Г. По видам оказываемого воздействия выделяются вредоносные программы, оказывающие воздействие:
а) на общую работоспособность компьютерной системы, что вызывает: не предусмотренную пользователем самопроизвольную перезагрузку ЭВМ; вывод какой-либо звуковой, текстовой, графической информации на периферийные устройства; замедление работы ЭВМ и иного компьютерного устройства; блокирование коммуникационных связей; логическое переназначение функций клавиш клавиатуры; блокирование работы клавиатуры и других устройств;
б) на системную область машинных носителей информации и файловую структуру, вследствие чего происходит: логическая перестановка (смешивание) файлов; структурное нарушение работы файловой системы; переименование, шифрование, копирование, уничтожение, сокрытие от визуального просмотра, блокирование работы файлов; повреждение, шифрование, уничтожение компьютерной информации, содержащейся в загрузочном секторе диска, а также таблицы размещения файлов на нем; форматирование машинного носителя в целях полного уничтожения записанной на нем компьютерной информации; изменение содержания файлов;
в) на конфиденциальность информации, что предопределяет: непосредственно неправомерный доступ к компьютерной информации; незаконную ее пересылку (копирование) по компьютерным сетям и сетям и сетям электросвязи; незаконное получение логических имен и паролей пользователей, а также иной конфиденциальной информации, находящейся в памяти ЭВМ, системе ЭВМ или компьютерной сети потерпевшего; незаконное расширение круга полномочий пользователя;
г) на аппаратно-технические средства компьютерной техники;
д) на здоровье человека. Речь идет о вредоносных программах, которые, используя компьютерные средства аудиовизуального отображения компьютерной информации (монитор, звуковые колонки, сотовый радиотелефон и др.), негласно осуществляют по заданному в них алгоритму психофизиологическое программирование человека – пользователя. Эта технология получила название «эффект 25-го кадра». Суть ее заключается в том, что при увеличении скорости воспроизведения видеоизображений свыше 24 кадров в секунду в подсознание (мозг) смотрящего на монитор (телевизор) человека копируются скрытые образы предметов, лиц, помещений, участков местности и иных объектов, которые размещаются на «дополнительных» кадрах. Аналогичное воздействие оказывается с помощью передаваемой и на уровне подсознания копируемой в мозг человека звуковой информации. При этом частота звуковых колебаний лежит за порогом их нормального восприятия человеком, например, на уровне ультразвука.
В абзаце 2 ст. 4 Закона Российской Федерации «О средствах массовой информации» (от 27.12.1991 г. № 2124-I) указано: «Запрещается использование в информационных компьютерных файлах и программах обработки информационных текстов, относящихся к специальным средствам массовой информации, скрытых вставок, воздействующих на подсознание людей и (или) оказывающих вредное влияние на их здоровье».
Вместе с тем полагаем, что наиболее конкретной является криминалистическая классификационная система вредоносных программ , разработанная группой специалистов в области судебной компьютерно-технической экспертизы 330 . Расположим выделенные ими виды вредоносных программ в зависимости от частоты встречаемости в следственной, экспертной и судебной практике.
1. Саморазмножающиеся вредоносные программы.
1.1. Черви (Worms) – одна из разновидностей саморазмножающихся вредоносных программ. Для своего распространения, как правило, они используют уязвимости операционных систем. В отличие от вирусов, они не заражают (не модифицируют) существующие файлы, а создают свои собственные, в которых в чистом виде содержится тело червя. Однако отдельные их разновидности могут вообще не обращаться к постоянной памяти компьютера, а существовать в его оперативной памяти.
В зависимости от специфики атакуемого объекта они подразделяются на файловые, архивные, сетевые (Net-Worm) и почтовые (Email-Worm).
1.1.1. Файловый червь создает свои копии в файлах (со случайными или генерирующимися по определенным правилам именами), располагающихся в тех или иных папках. Здесь делается ставка на психологический фактор: пользователь, обнаружив неизвестный исполнимый файл, обязательно запустит его, чтобы посмотреть, что это за программа.
1.1.2. Архивный червь дописывает свои копии к существующим или создаваемым архивам (обычно используется метод store, т. е. без сжатия, как наиболее быстрый – вирусу не требуется знать алгоритм архивации, достаточно только сделать заголовок определенного формата). За счет того, что для ускорения работы антивирусных программ пользователи часто отключают проверку архивов, данный тип вирусов благополучно выживает. Поскольку архивы создаются либо для передачи файлов по каналам электросвязи, либо для длительного хранения информации, такой способ позволяет вирусам эффективно размножаться.
1.1.3. Сетевой червь имеет встроенные возможности (функции) для работы с сетью и рассылки себя на другие компьютеры сети. Некоторые исследователи ошибочно относят Р2Р-червей (т. е. использующих возможности P2Р-сетей типа Kazaa, Gnutella, eDonkey и других) к числу сетевых. Однако Р2Р-черви не имеют возможностей работы с сетью и лишь создают файлы на диске (в папках) локального компьютера в «надежде» на то, что зараженные папки будут использоваться при работе Р2Р-клиентов. Поэтому Р2Р-червей было бы правильнее относить к файловым червям.
1.1.4. Почтовый червь рассылает себя по адресам электронной почты, используя для этого имеющиеся на компьютере почтовые программы или встроенные функции работы с SMTP-сервером. Списки почтовых адресов потерпевших могут им генерироваться случайным образом, а могут быть найдены в специфических файлах (адресные книги, текстовые документы) на зараженном компьютере.
1.2. Вирус (Virus) – программа, которая заражает другие программы, чтобы получить управление при запуске зараженных файлов. Процесс заражения протекает автоматически и заключается в том, что вирус добавляет в программу свой код. При запуске зараженной программы вирус сначала копирует себя в другие программы, а затем выполняет свой вредоносный алгоритм, например, занимает дисковое пространство, оперативную память, может мешать корректной работе программ, выполняет и другие деструктивные функции, заложенные в него преступником.
2. Вредоносные программы, не способные к саморазмножению (не имеющие алгоритма автоматического копирования при их запуске).
2.1. Деструктивный троянский конь (Trojan) – программа, содержащая деструктивные недокументированные возможности, маскирующаяся под полезную программу, приводящая к несанкционированному уничтожению, блокированию, модификации, копированию информации, нарушению работы ЭВМ и компьютерных сетей при запуске или в другой момент (при выполнении определенных условий, заложенных в алгоритм работы этой программы). Маскировка используется для проникновения под благовидным предлогом на компьютер потерпевшего, а недокументированные функции проявляются уже после проникновения.
2.2. Шпион (Spyware) – программа, позволяющая негласно собирать сведения об отдельно взятом компьютере и его пользователе (-ях). Как правило, целями создания этих вредоносных программ являются:
1) отслеживание действий пользователя на конкретном компьютере;
2) негласное получение информации о содержании жесткого магнитного диска компьютера, например, путем сканирования определенных каталогов и реестра операционной системы для последующего составления списка и анализа программного обеспечения, используемого потерпевшим;
3) сбор информации о характеристиках сетевых подключений (качестве связи, способе подключения, используемых логинов и паролей, скорости модема и др.).
К шпионам относятся Keylogger (клавиатурный шпион), Sniffer (перехватчики компьютерной информации, передаваемой по каналам связи в локальной сети), Spoofer (имитаторы Приглашений для ввода атрибутов доступа) и аналогичные им – PSW (Password Stealer Ware) – сборщики паролей.
2.2.1. Клавиатурный шпион (KeyLogger – от англ. «key logger» – «сохраняющий клавиши») – вредоносная программа, сохраняющая информацию обо всех нажатых пользователем клавишах в специальном создаваемом ею файле для последующей его отправки в адрес преступника. Некоторые кейлоггеры позволяют ограничить окна 331 , нажатия клавиш в которых нужно сохранять. В nepвую очередь для создавшего ее преступника интересна информация о клавишах, нажимаемых потерпевшим в окнах с определенным заголовком. Как правило, это окна, содержащие текстовые строки «Вход в систему», « Аутентификация», «Введите пароль», «Регистрация», в которых вводимые пользователем символы визуально заменяются звездочками.
2.2.2. Сниффер (Sniffer, от англ. sniff – «нюхать») – программа автоматического перехвата компьютерной информации, передаваемой по локальной сети. Некоторые снифферы умеют автоматически распознавать формат перехваченных данных и извлекать из них пароли, файлы и содержащуюся в них информацию. Существуют узкоспециализированные снифферы для перехвата информации определенного вида, например, пользовательских имен и паролей от программы ICQ.
2.2.3. Спуфер (Spoofer) – вредоносная программа, позволяющая получать несанкционированный доступ к логинам и паролям пользователей путем имитации стандартных приглашения входа в ту или иную информационную систему либо регистрации для работы с какой-либо программой (так называемый спуфинг, Spoofing). Все вводимые потерпевшими пароли и иные идентификационные реквизиты (иногда даже паспортные данные о нем) автоматически сохраняются и (или) отсылаются в адрес преступника. После этого спуфер имитирует ошибку ввода этой информации и запускает настоящую программу регистрации входа в систему. По замыслу преступника он может также автоматически передать ей введенную потерпевшим информацию, чтобы не вызвать у последнего подозрений. Спуфер может быть запущен на компьютере и пользователем, имеющим минимальные права доступа к системе.
2.2.4. Программа удаленного администрирования (RAT, remote access trojan, remote access tool, бэкдор, backdoor, от англ. «back door» – «зaдняя дверь», «черный ход») – вредоносная программа, предоставляющая преступнику возможность дистанционного неправомерного доступа ко всем информационным ресурсам зараженного компьютера и управления им.
2.3. Троянский прокси (Proxy) – это негласно скопированная в память ЭВМ потерпевшего программа-«анонимайзер», которая позволяет преступнику скрывать следы несанкционированного доступа к программному обеспечению этого компьютера и вредоносного воздействия на его программное обеспечение. Программа блокирует функции учета обращений к системе компьютера и передачи с него или на него какой-либо компьютерной информации.
2.4. Downloader – программа для копирования и последующего запуска других вредоносных программ с заранее заданных преступником электронных адресов. Условно она выполняет роль мобильной оружейной платформы, которая обеспечивает доставку ракеты – вредоносной программы в заданную точку пространства – память конкретной ЭВМ и ее залп – запуск на исполнение.
2.5. DoS, DDoS, Nuke – программы для организации сетевых атак на удаленные компьютеры в целях несанкционированного блокирования доступа к содержащейся в их памяти компьютерной информации, нарушению их работы или работы всей компьютерной сети.
2.6. Эксплоит (Exploit) – программа, использующая уязвимости в конкретной прикладной программе, контролирующей сетевой порт ЭВМ, или в сетевом аппаратном обеспечении с целью внедрения в память компьютера потерпевшего других вредоносных программ или проведения атаки типа «отказ от обслуживания» (DDoS-атаки).
2.7. Клей (Dropper, Binder) – программа, предназначенная для сокрытия другой вредоносной программы путем «склеивания» ее программного кода с кодом какого-либо безвредного файла или программы. Фактически она на уровне машинного кода камуфлирует вредоносную программу под тот или иной файл общего назначения.
2.8. Сканер портов (Port Scanner) – программа для просмотра открытых сетевых портов удаленного компьютера, определения параметров и характеристик его программной и аппаратной среды. Используется при подготовке к применению других вредоносных программ.
2.9. Кликер (Clicker) – программа для автоматического увеличения числа фантомных посетителей конкретного сайта или электронной страницы в компьютерной сети. Используется для несанкционированного увеличения их популярности в соответствующих автоматических поисковых системах Интернет типа Rambler, Yandex, Google, Yahoo! Ее работа приводит к увеличению трафика и тем самым – нарушению заданного режима работы ЭВМ или компьютерной сети.
2.10. Рекламная программа (Adware) – вредоносная программа для не санкционированных обладателем конкретного сетевого информационного ресурса демонстрации рекламных сообщений в форме всплывающих окон, открытия рекламируемых сайтов и др. Программный код этих программ включается в соответствующее программное обеспечение без ведома его обладателя. Как правило, эти программы негласно встраиваются в программное обеспечение, распространяемое бесплатно, а также собирают и передают своему разработчику – преступнику персональные данные о пользователе, изменяют настройку рабочих параметров браузера (его стартовые и поисковые страницы, уровни безопасности и др.) и создают неконтролируемый пользователем трафик.
2.11. Программа-шутка (Hoax, Joke) – программа, не причиняющая прямого вреда, но выводящая сообщение о том, что такой вред уже причинен либо будет причинен при каких-либо условиях. Она призвана испугать пользователя и спровоцировать его на действия, которые могут привести к образованию ущерба. Может маскироваться под полезную программу.
2.12. «Автодозвон» (Dialer, PoraWare) – вредоносная программа для осуществления несанкционированного и негласного автоматического телефонного звонка – соединения компьютера потерпевшего через модем с сетью оператора, оказывающего услуги международной телефонной связи. Услуги международной связи по телефонному номеру, находящемуся в теле этой вредоносной программы, тарифицируется посекундно по особым (завышенным) тарифам, определяемым соответствующим гражданским договором между преступником и оператором международной связи. Причем договор составляется на законном основании. Как правило, преступник договаривается с оператором о предоставлении ему услуг международной спутниковой связи для обеспечения коммерческой деятельности. Единственное назначение таких звонков – извлечение прибыли, которая по договору в определенных пропорциях делится между оператором связи и преступником-мошенником. Звонки могут быть осуществлены одним из следующих способов:
– на компьютере потерпевшего в списке соединений несанкционированно создается новое соединение с привлекательным названием в надежде на то, что он воспользуется им из интереса;
– негласно в памяти компьютера потерпевшего изменяются программные настройки существующих соединений с WEB-серверами провайдеров услуг Интернет (набор телефонного номера модемного пула местного провайдера изменяется на код соединения с сетью оператора международной телефонной связи и телефонный номер преступника);
– звонок осуществляется самой вредоносной программой при обнаружении отсутствия пользователя на рабочем месте (такой вывод делается в случае, если пользователь несколько минут не работал «мышью» и не нажимал на клавиши клавиатуры компьютера);
– во время работы потерпевшего в сети Интернет через модемный пул местного провайдера соединение с ним разрывается вредоносной программой и сразу же автоматически осуществляется соединение с сетью оператора международной телефонной или спутниковой связи и телефонным номером преступника (под видом автоматического восстановления прежнего разорванного соединения);
– контролируется инициализация модемного звонка и в оперативной памяти компьютера потерпевшего осуществляется подмена телефонного номера, к которому в настоящее время идет обращение.
2.13. Хиджакер (Hijacker) – программа, осуществляющая не санкционированную пользователем перенастройку системы (например, смену обоев рабочего стола, обработчиков файлов по умолчанию, настроек браузера).
2.14. Руткит (Rootkit) – программа для негласного перехвата управляющих сигналов операционной системы. Она используется преступниками для сокрытия следов пребывания в ЭВМ, системе ЭВМ или их сети вредоносных программ, а также маскировки действий, дистанционно осуществляемых преступником в программной среде компьютера потерпевшего. Эти программы могут использовать установку собственного драйвера (утилиты).
Таким образом, вредоносные программы являются одним из видов информационного оружия – информационно-программным оружием 332 . По мнению отдельных исследователей, это специальное оружие, основанное на применении разрушающего программного воздействия на аппаратное, программно-математическое обеспечение, компьютерную информацию, в том числе на средства защиты информации, компьютерных систем и сетей. Разрушающее программное воздействие – целенаправленное изменение функций программного обеспечения, компьютерной системы или сети, приводящее к потенциально или реально опасным последствиям 333 . Это оружие и следы его применения 334 , по нашему твердому убеждению, должны исследоваться в рамках рассматриваемого подраздела криминалистического компьютероведения.
Представляется, что на основе предлагаемой системы научных положений о вредоносных программах и следах их применения необходимо совершенствовать имеющиеся и разрабатывать новые криминалистические средства, приемы и методики их обнаружения, фиксации, предварительного исследования, изъятия и последующего использования в целях раскрытия, расследования и предупреждения преступлений. В качестве примера можно привести указания следователям на необходимость применения в ходе производства отдельных следственных действий по делам о компьютерных преступлениях таких научно-технических средств, как антивирусные программы , которые содержатся в опубликованных нами и другими авторами криминалистических рекомендациях 335 .
Анализ юридической литературы показал, что имеющиеся в настоящее время научно-практические разработки по выделенной проблематике находятся в «зачаточном» состоянии и ориентированы, главным образом, на экспертов в области судебной компьютерно-технической экспертизы 336 , а не на сотрудников органов предварительного расследования. В связи с чем многие преступления, связанные с созданием, использованием, распространением вредоносных программ и машинных носителей с такими программами, остаются невыявленными. По этой же причине в стадии возбуждения уголовного дела о преступлениях данного вида теряется значительная часть доказательственной информации, что в конечном итоге негативно сказывается на результатах расследования.
В заключение отметим, что, по-видимому, актуальность и значимость рассмотренной подотрасли криминалистического компьютероведения будут возрастать пропорционально увеличению количества компьютерных преступлений, появлению новых способов их совершения, а также возрастанию роли электронных документов как доказательств в уголовном, гражданском, арбитражном и административном процессах.
Источник
