Типовые методические рекомендации
по выявлению, раскрытию и расследованию преступлений, связанных
с использованием компьютерных технологий

 

(Назмышев

Рахмади Айтышович)

 

1. ВВЕДЕНИЕ

 

В настоящее время особую тревогу вызывают факты появления и развития в Республике Казахстан нового вида преступных посягательств, ранее неизвестных отечественной юридической науке и практике и связанной с использованием средств компьютерной техники и информационно-обрабатывающей технологии - компьютерных преступлений, вследствие того, что с появлением на рынке компактных и сравнительно недорогих персональных компьютеров, по мере совершенствования которых стали размываться границы между мини- и большими ЭВМ, появилась возможность подключаться к мощным информационным потокам неограниченному кругу лиц. Естественно, одновременно с этим, встал вопрос о контролируемости доступа к информации, ее сохранности и доброкачественности. При этом организационные меры, а также программные и технические средства защиты иногда оказываются недостаточно эффективными. Особенно остро проблема несанкционированного вмешательства дала о себе знать в странах с высокоразвитыми технологиями и информационными сетями. Вынужденные прибегать к дополнительным мерам безопасности, они стали активно использовать правовые средства защиты.

Не исключено, что в Казахстане компьютерная преступность имеет скрытный характер в связи с общей криминальной обстановкой и несовершенством уголовного законодательства, а также специфичностью самой компьютерной сферы, требующей специальных познаний. Также, необходимо учесть определенную специфику преступлений, связанных с вычислительной техникой. Сама вычислительная техника может быть как предметом преступного посягательства (преступления против собственности - хищение, уничтожение, повреждение), так и инструментом совершения преступления, то есть средством хищения, сокрытия налогов, искажения информации и пр. (в этом смысле компьютер может рассматриваться в одном ряду с такими орудиями преступления, как оружие или транспортное средство).

Парадоксальность компьютерных преступлений состоит в том, что трудно найти другой вид преступления, после совершения которого его жертва не выказывает особой заинтересованности в поимке преступника, а сам преступник, будучи пойман, всячески рекламирует свою деятельность на поприще компьютерного взлома, мало что утаивая от представителей правоохранительных органов. Психологически этот парадокс вполне объясним. Во-первых, жертва компьютерного преступления совершенно убеждена, что затраты на его раскрытие (включая потери, понесенные в результате утраты, например, банком своей репутации) существенно превосходят уже причиненный ущерб. А во-вторых, преступник, даже заработав максимальный срок лишения свободы (до трех лет, если не наступили тяжкие последствия, а чаще срок условный), приобретает широкую известность в деловых и криминальных кругах, что в дальнейшем позволит ему с выгодой использовать приобретенные знания и умения.

 

 

2. ПОНЯТИЕ КОМПЬЮТЕРНЫХ ПРЕСТУПЛЕНИЙ

 

Необходимо определить некоторые основные понятия, используемые в данной методике.

Компьютерная информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах, представленных в машиночитаемом виде, т.е. в виде совокупности данных, хранимых в памяти компьютера, либо на машинном носителе (дискете, оптическом, магнитооптическом диске, магнитной ленте и т.п.), либо ином материальном носителе.

ЭВМ (компьютер), вычислительная система - устройство или система (несколько объединенных устройств) предназначенное для ввода, обработки и вывода информации.

Программа для ЭВМ - объективная форма представления совокупности данных и команд, предназначенных для функционирования ЭВМ и других компьютерных устройств с целью получения определенного результата, включая подготовительные материалы, полученные в ходе разработки программы для ЭВМ, и порождаемые ею аудиовизуальные отображения;

Сеть ЭВМ (компьютеров) - совокупность компьютеров, средств и каналов связи, позволяющая использовать информационные и вычислительные ресурсы каждого компьютера включенного в сеть независимо от его места нахождения.

База данных - это объективная форма представления и организации совокупности данных (например: статей, расчетов), систематизированных таким образом, чтобы эти данные могли быть найдены и обработаны с помощью ЭВМ.

Средства вычислительной техники -совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем;

Удаленный доступ к ЭВМ или сети ЭВМ -доступ пользователя с применением коммуникационных линий (телефонная линия, локальная сеть) и устройств (модем, сетевая карта), к ресурсам ЭВМ или сети ЭВМ с назначенными правами.

Накопитель компьютерной информации (машинный носитель)- устройство для долговременного хранения служебных или принадлежащих пользователю данных (жесткий диск, дискета, магнитная лента, оптический диск и т.п.).

Периферийное оборудование- устройство, которое подключается к ЭВМ и которым управляет его процессор (клавиатура, манипулятор «мышь», модем, принтер, сканер и т.п.).

Под компьютерными преступлениями следует понимать предусмотренные уголовным законом общественно опасные действия, в которых машинная информация является или средством, или объектом преступного посягательства (в настоящее время в отечественной криминалистической науке все еще не существует четкого определения понятия компьютерного преступления, однако в данной методике будем использовать предложенное выше).

Под неправомерным доступом к охраняемой законом компьютерной информации следует понимать любую форму проникновения к ней с использованием средств вычислительной техники, позволяющую манипулировать информацией, и, если это деяние повлекло за собой уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ или их сети. Способы неправомерного доступа к компьютерной информации могут быть самыми различными, например, представление фиктивных документов на право доступа к информации (ст. 176 УК РК), изменение кода или адреса технического устройства, нарушение средств или системы защиты информации, кража носителя информации (ст. 175 УК РК).

Собственником информационных ресурсов, информационных систем, технологии и средств их обеспечения является субъект, в полном объеме реализующий права владения, пользования, распоряжения указанными объектами.

Владельцем информационных ресурсов, информационных систем, технологий и средств их обеспечения является субъект, осуществляющий владение и пользование указанными объектами и реализующий права распоряжения в пределах, установленных законом.

Пользователем (потребителем) информации является субъект, обращающийся к информации.

Под уничтожением информации следует понимать ее утрату при невозможности ее восстановления.

Блокирование информации - это невозможность ее использования при сохранности такой информации.

Модификация информации означает изменение ее содержания по сравнению с той информацией, которая первоначально (до совершения деяния) была в распоряжении собственника или законного пользователя.

Под копированием информации следует понимать ее переписывание, а также иное тиражирование при сохранении оригинала. Представляется, что копирование информации может означать и ее разглашение.

Нарушение работы ЭВМ или их сети может выразиться в их произвольном отключении, в отказе выдать информацию, в выдаче искаженной информации при сохранении целости ЭВМ или их сети.

Компьютерные преступления условно можно подразделить на две большие категории -преступления, связанные с вмешательством в работу компьютера, сети компьютеров, и преступления, использующие компьютер, сеть компьютеров, как необходимые технические средства.

Зарубежными специалистами разработаны различные классификации способов совершения компьютерных преступлений. В приложении 1 приведены названия способов совершения подобных преступлений, соответствующих кодификатору Генерального Секретариата Интерпола. В 1991 году данный кодификатор был интегрирован в автоматизированную систему поиска и в настоящее время доступен более чем в 100 странах.

Все коды, характеризующие компьютерные преступления, имеют идентификатор, начинающийся с буквы Q. Для характеристики преступления могут использоваться до пяти кодов, расположенных в порядке убывания значимости совершенного преступления (приложение 1).

 

 

3. ВЫЯВЛЕНИЕ И РАСКРЫТИЕ ПРЕСТУПЛЕНИЙ В СФЕРЕ КОМПЬЮТЕРНЫХ ТЕХНОЛОГИЙ.

 

Международный опыт борьбы с преступностью свидетельствует о том, что одним из приоритетных направлений решения задачи эффективного противодействия современной преступной деятельности является активное использование правоохранительными органами различных действий мер профилактического характера по выявлению и раскрытию компьютерных преступлений. Несмотря на многообразие компьютерных преступлений, практически все способы их совершения имеют свои индивидуальные, присущие только им признаки, по которым их можно распознать и классифицировать по отдельным общим группам:

1. Изъятие средств компьютерной техники.

2. Неправомерный доступ, перехват компьютерной информации:

• Преступления, совершаемые в отношении компьютерной информации, находящейся в ЭВМ.

• Преступления, совершаемые в отношении компьютерной информации, находящейся в ЭВМ, не являющихся компьютером в классическом понимании этого слова (сотовые телефоны, пейджеры и их сети связи, радиотелефоны, игровые и кассовые аппараты).

3. Изготовление или распространение вредоносных программ.

4. Нарушение авторских прав (компьютерное пиратство).

Рассмотрим более подробно некоторые известные приемы и методы совершения компьютерных преступлений по принадлежности к той или иной группе:

Изъятие средств компьютерной техники производится с целью получения системных блоков, отдельных носителей информации, хранящих личные сведения пользователя или служебную информацию, принадлежащую организации. Такие действия могут осуществляться путем хищения, разбоя, вымогательства, обмана или злоупотребления доверием и сами по себе содержат состав преступления обычных «некомпьютерных» преступлений. В связи с изложенным, преступления, относящиеся к данной группе можно квалифицировать с использованием статей 175, 178, 179, 181,182 УКРК.

Неправомерный доступ, перехват компьютерной информации - это активные действия по созданию возможности распоряжаться информацией без согласия собственника. Перехват информации служит для получения определенных сведений. Он может осуществляться с использованием методов и аппаратуры аудио-, визуального и электромагнитного наблюдения. Объектами, как правило, являются каналы связи, телекоммуникационное оборудование, служебные помещения с установленными ЭВМ, сетью ЭВМ, бумажные и магнитные носители (в том числе и технологические отходы). Неправомерный доступ, перехват компьютерной информации могут быть квалифицированы с использованием статей 143, 177, 200, 227 УК РК.

Компьютерные преступления данной группы обычно реализуется с использованием следующих известных приемов:

«За дураком» - физическое проникновение в производственные помещения злоумышленника, путем маскировки под обслуживающий персонал организации. Другой вариант - электронное проникновение в ЭВМ путем подключения дополнительного компьютерного терминала к каналу связи с использованием специального коммутационного шлейфа («шнурка») в тот момент времени, когда законный пользователь кратковременно покидает свое рабочее место, оставляя ЭВМ или терминал в активном режиме.

«За хвост» - злоумышленник подключается к линии связи законного пользователя и терпеливо дожидается сигнала, обозначающего конец работы, перехватывает его на себя, а потом, когда законный пользователь заканчивает активный режим, осуществляет доступ к сети ЭВМ.

«Компьютерный абордаж» - злоумышленник вручную или с использованием компьютерной программы подбирает код (пароль) доступа к вычислительной системе или сети ЭВМ, используя удаленное соединение.

«Неспешный выбор» - злоумышленник изучает и исследует систему защиты от несанкционированного доступа используемую отдельным пользователем или организацией, ее слабые места, выявляет участки, имеющие ошибки или неудачную логику программного строения, разрывы программы (брешь, люк) и вводит дополнительные команды, разрешающие доступ.

«Маскарад» - злоумышленник проникает в сеть ЭВМ, выдавая себя за законного пользователя с применением его кодов (паролей) и других идентифицирующих шифров.

«Мистификация» - злоумышленник создает условия, когда законный пользователь сети ЭВМ осуществляет связь с нелегальным терминалом, будучи абсолютно уверенным в том, что он работает с нужным ему законным абонентом. Злоумышленник вручную или с помощью компьютерной программы формирует правдоподобные ответы на запросы законного пользователя и поддерживая его заблуждения некоторое время, добывает коды (пароли) доступа или отклик на пароль.

«Аварийный» - злоумышленник создает условия для возникновения сбоев или других отклонений в работе ЭВМ или сети ЭВМ. При этом включается особая программа, позволяющая в аварийном режиме получать доступ к наиболее ценным данным. В этом режиме возможно «отключение» всех имеющихся, если таковые существуют, средств защиты информации, что облегчает доступ злоумышленника к данным, хранящимся в ЭВМ или сети ЭВМ.

Асинхронная атака является одним из приемов подготовительного этапа к совершению преступления. Злоумышленник, используя асинхронную природу операционной системы, заставляет работать ЭВМ или сеть ЭВМ при ложных условиях из-за чего управление обработкой частично или полностью нарушается. Эта ситуация используется для внесения изменений в операционную систему, причем эти изменения не будут заметны.

Моделирование (Реверсивная модель) - это наиболее сложный и трудоемкий прием подготовки к совершению преступления. Существо метода заключается в следующем. Создается модель конкретной компьютерной системы. В нее вводятся реальные исходные данные и учитываются планируемые действия. Затем, исходя из полученных правильных результатов, подбираются правдоподобные желательные результаты. Затем модель прогоняется назад, к исходной точке, и становится ясно, какие манипуляции с входными данными нужно проводить. В принципе, прокручивание модели «вперед-назад» может проходить не один раз, чтобы через определенное число итераций добиться желаемого. После этого остается только осуществить задуманное.

Например, в нескольких сторонних банках открываются счета на незначительные суммы, моделируется ситуация при которой деньги переводятся из одного банка в другой и обратно с постепенным увеличением сумм. В ходе анализа выявляются условия, при которых:

а) в банке обнаружится, что поручение о переводе не обеспечено необходимой суммой;

б) когда в банк необходимо прислать извещение из другого банка, о том, что общая сумма покрывает требование о первом переводе;

в) сколько циклов это нужно повторять, что бы на нужном счете оказалась достаточная сумма и число платежных поручений не казалось подозрительным.

«Троянский конь» (матрешка, червь, бомба) так же служит непосредственно для неправомерного доступа к информации. Это такая манипуляция, при которой злоумышленник тайно вводит в прикладное программное обеспечение ЭВМ или сети ЭВМ специальные программные модули, обеспечивающих сбор, хранение для последующего неправомерного доступа к данной информации или передачу этих сведений злоумышленнику по телекоммуникационным каналам. Все манипуляции с данными производятся и контролируются этим программным модулем в определенный заданный момент времени и при стечении благоприятных для злоумышленника обстоятельств.

«Салями» - оригинальная электронная версия метода изъятия «лишних» денежных средств, перемещающихся, в электронном виде, по банковским информационным системам в свою пользу. При использовании этого метода злоумышленник использует «троянского коня», «дописывая» к нему специальный модуль, который манипулирует с информацией - перебрасывает на подставной счет мелочи (результата округления при осуществлении законных транзакций), которая на бухгалтерском сленге называется «Салями». Расчет построен на том, что отчисляемые суммы столь малы, что их потери практически незаметны, а незаконное накопление суммы осуществляется за счет суммы совершения большого количества операций.

Особое место занимают приемы, которые используются злоумышленником для сокрытия следов преступления при неправомерном доступе к банковским информационным системам. Эти действия вряд ли можно квалифицировать по статьям Уголовного Кодекса, однако, они направлены на то, что бы злоумышленник смог воспользоваться плодами своего неблагородного труда. Эти приемы важны при оценке завершенности совершенного преступления. Вот описание некоторых из них:

Дробление денежных сумм - злоумышленник делит полученные в результате несанкционированных манипуляций с банковской информацией денежные суммы на неравные долевые части с зачислением на корреспондентские счета сторонних банков, в которых, можно было бы снять переведенные суммы наличными.

Переброска денежных средств - злоумышленник организует перевод полученных денежных сумм по счетам различных клиентов банка, прогоняет их по цепочкам счетов и, в результате, затрудняет возможность определения истинного происхождения денег. Далее, когда «концы» потеряны, эти суммы можно использовать по своему усмотрению.

«Бухинг» (организация электронного блокирования) - банковская компьютерная система блокируется одновременной «атакой» несанкционированного доступа большим количеством злоумышленников (сообщников злоумышленника) со своих персональных компьютеров из различных регионов. Они организуют прикрытие одной основной незаконной транзакции огромным количеством фиктивных платежных поручений, которые затрудняют определение истинных путей утечки денежных средств.

Изготовление или распространение вредоносных программ - это действия, при которых злоумышленник тайно вводит в прикладное программное обеспечение ЭВМ или сети ЭВМ специальные программные модули, которые запрограммированы на:

• сбор, сохранение компьютерной информации для последующего неправомерного доступа к ней;

• передачу определенных сведений злоумышленнику по телекоммуникационным каналам связи;

• повреждение или блокирование компьютерной информации;

• несанкционированное удаление компьютерной информации;

• нарушение нормальной работы ЭВМ или сети ЭВМ.

Преступления, относящиеся к данной группе можно квалифицировать с использованием статей 227,257 УК РК.

Наиболее широко известны следующие способы совершения компьютерных преступлений, относящихся к этой группе:

«Компьютерный вирус» - это специально написанная программа-вирус, которая может «приписать» себя к другим программам (т.е. «заражать» их), размножаться и порождать новые вирусы для выполнения различных нежелательных действий на ЭВМ или сети ЭВМ. Существует множество возможных целей использования «компьютерных вирусов», начиная от выведения на экран ЭВМ или нескольких, находящихся в сети ЭВМ, безобидных сообщений до полного уничтожения всех данных в вычислительной системе или компьютерной сети.

«Червь» - это специально написанная программа-вирус, которая внедряется злоумышленником в программу обработки данных для выполнения определенных действий на ЭВМ. Однако в отличии от «компьютерного вируса» он не способен «приписывать» себя к другим программам (т.е. «заражать» их). Вместе с тем последствия использования «червя» могут быть такими же серьезными, как и последствия применения «компьютерного вируса»: например «червь», который впоследствии уничтожает себя, может дать команду программе, управляющей банковскими переводами, осуществлять перевод части денежных сумм на подложный счет, принадлежащий злоумышленнику.

«Логическая бомба», известная также как «троянский конь» или «бомба замедленного действия», является еще одним способом совершения компьютерного преступления. Создание «логических бомб» требует наличие у злоумышленника определенных специальных знаний, поскольку при ее применении программируется уничтожение или изменение данных в конкретное время в будущем. Однако в отличие от «компьютерного вируса» и «червей» данный вид программ-вирусов очень трудно обнаружить до их срабатывания, поэтому из всех способов компьютерных преступлений они обладают наибольшим потенциалом разрушения. Их действие может быть запрограммировано таким образом, чтобы причинить максимальный ущерб и произойти значительно позднее -после того, как злоумышленник покинет место преступления. «Логическая бомба» может также использоваться в целях вымогательства, причем в таких случаях выкуп требуется в обмен на сообщение о местонахождении программы-вируса (ст. 181 УК РК).

Нарушение авторских прав (компьютерное пиратство) несанкционированное копирование компьютерных программ может нанести существенный экономический ущерб законным владельцам. Преступления, относящиеся к данной группе можно квалифицировать с использованием статей 184,227 УК РК.

Наиболее широко известны следующие способы совершения компьютерных преступлений, относящихся к этой группе:

Незаконное копирование, распространение или опубликование компьютерных игр, другого программного обеспечения, защищенного законом.

Незаконное копирование, без права на то, защищенной законом топографии полупроводниковых изделий, коммерческая эксплуатация или импорт с этой целью, без права на то, топографии или самого полупроводникового изделия, произведенного с использованием данной топографии.

Окончание компьютерного преступления - это момент в действиях злоумышленника, после которого им достигнута цель, квалифицированная законодательством, как компьютерное преступление. Все другие противоправные действия образуют состав незаконченного преступления.

 4. КОМПЬЮТЕРНО-ТЕХНИЧЕСКАЯ ЭКСПЕРТИЗА

 

Действенную помощь в раскрытии компьютерных преступлений может оказать компьютерно - техническая экспертиза. В проведении экспертизы необходимо участие специалистов, которые могут быть приглашены из организаций, осуществляющих обслуживание и эксплуатацию телекоммуникационной и компьютерной техники, из учебных и научно-исследовательских заведений или других специализированных учреждений (за исключение лиц, причастных к расследуемым событиям). В соответствии с поставленными задачами экспертиза может дать ответы на вопросы:

• каковы технические ресурсы и программное обеспечение компьютерной техники и можно ли с их помощью осуществить исследуемые действия;

• каковы информационные ресурсы исследуемой вычислительной техники;

• какие конкретные программные ресурсы были использованы для совершения компьютерного преступления;

• какие информационные ресурсы конкретной ЭВМ были использованы и какова степень их изменения или уничтожения;

• какова степень участия пользователя или оператора конкретной ЭВМ в совершении компьютерного преступления;

• какова степень участия посторонних лиц и специалистов по обслуживанию ЭВМ, сети ЭВМ и сетевого оборудования в исследуемых действиях;

• какая служебная документация, имена и пароли были использованы для неправомерных действий и способы их получения лицами, не имевших на то нрава;

• какими программно-техническими средствами и способами было выполнено незаконное изготовление документов или бланочной продукции;

• какие программные продукты или информационные ресурсы подвергались незаконному копированию.

Помимо аппаратной части компьютерной техники, экспертизе могут быть подвержены: программное обеспечение и носители информации, а именно:

• операционные системы;

• сетевое программное обеспечение;

• прикладное программное обеспечение;

• носители информации (магнитные диски и ленты, оптические диски);

• периферийные устройства (принтеры, плоттеры, сканеры, модемы и прочее);

• документы и бланочная продукция, изготовленные с использованием компьютерных технологий.

Основными этапами в проведении экспертизы объектов компьютерной техники являются следующие этапы.

1. Изучение обстоятельств дела, определение объема исследований и формирование задач.

2. Предварительный осмотр объектов с целью изучения состояния вещественных доказательств и их достаточности для проведения экспертизы, фиксация первоначального состояния объектов исследования и выдвижение экспертной версии.

3. Проведение экспертного эксперимента с целью моделирования действий, совершенных злоумышленником. Здесь могут быть смоделированы методы незаконного доступа к средствам компьютерной техники, действие вредоносных программ, способы искажения информации или ее подмены, процесс изготовления фальшивых бланков и документов и др.

4. Сравнительное исследование. При этом производится сравнивание идентификационных признаков объектов для определения наличия или отсутствия тождества. Идентификационные признаки могут сравниваться с признаками, присущими объектам компьютерной техники, признаками накопленными следственной или судебной практикой, или определенными в технической характеристике объектов компьютерной техники.

5. Анализ результатов исследования и формирование заключительных выводов. Выводы должны основываться на устойчивости и значимости признаков, их совокупной достаточности и совпадении вариаций признаков.

 

 

5. РАССЛЕДОВАНИЯ ПРЕСТУПЛЕНИЙ В СФЕРЕ КОМПЬЮТЕРНЫХ ТЕХНОЛОГИЙ.

 

Хорошо известно, что одними мерами предупреждения не всегда удается предотвратить преступное посягательство. В связи с этим возникает необходимость заниматься не только вопросами защиты средств компьютерной техники, но и решать вопросы расследования компьютерных преступлений.

Установлено, что компьютерные преступления совершаются представителями самых широких слоев общества, причем возраст правонарушителей составляет от 10 до 60 лет, а их уровень подготовки - от новичка до профессионала. Поэтому лица, совершающие компьютерные преступления, - это, как правило, не профессиональные преступники, обладающие уникальными способностями и талантами, а обычные люди. Потенциальным преступником в области компьютерной техники является любое лицо любого возраста, имеющее хотя бы минимальные знания, увлекающееся решением проблем, относящихся к данной области, стремящееся получить выгоду, добиться известности или признания.

Лица, совершающие компьютерные преступления, могут быть объединены в три большие группы:

• лица, не связанные трудовыми отношениями с организацией-жертвой, но, возможно имеющие некоторые связи с нею;

• сотрудники организации, занимающие ответственные посты;

• сотрудники организации, являющиеся пользователями ЭВМ или сети ЭВМ, злоупотребляющие своим положением.

В силу своих профессиональных и должностных обязанностей сотрудники организации могут соответственно сыграть определенную роль в совершении компьютерных преступлений:

• операционные преступления - совершаются операторами ЭВМ, периферийных устройств ввода информации в ЭВМ и обслуживающими линии телекоммуникации;

• преступления, основанные на использовании программного обеспечения, обычно совершаются лицами, в чьем ведении находятся библиотеки программ; системными программистами; прикладными программистами; хорошо подготовленными пользователями;

•для аппаратной части компьютерных систем опасность совершения преступлений представляют: системные инженеры, инженеры по терминальным устройствам, инженеры-связисты, инженеры-электронщики;

• определенную угрозу совершения компьютерных преступлений представляют и сотрудники, занимающиеся организационной работой: управлением компьютерной сетью, руководством операторами; управлением базами данных; руководством работой по программному обеспечению;

•угрозу могут представлять также разного рода клерки, работники службы безопасности, работники, контролирующие функционирование ЭВМ или сети ЭВМ;

• особую опасность могут представлять специалисты в случае вхождения ими в сговор с руководителями подразделений и служб самой коммерческой структуры или связанных с ней систем, а также с организованными преступными группами, поскольку в этих случаях причиняемый ущерб от совершенных преступлений и тяжесть последствий значительно увеличиваются.

Субъектом компьютерного преступления, указанного в статьях: 143, 175, 177, 178, 179, 181, 182, 184, 200, 227, 257 УК РК, может быть любое вменяемое физическое лицо, достигшее шестнадцатилетнего возраста, а в статьях: 175, 178, 179, 181, ч. 2 ст. 257 УК РК, может быть любое вменяемое физическое лицо, достигшие ко времени совершения преступления четырнадцатилетнего возраста, в том числе и законный пользователь, который не имеет разрешения для работы с информацией определенной категории.

Части 2 статей 143, 182, 200, 227 УК РК предусматривают в качестве квалифицирующих признаков несколько новых, характеризующих объективную сторону и субъект состава. Это совершение деяния:

1. группой лиц по предварительному сговору;

2. организованной группой;

3. неоднократно;

4. лицом с использованием своего служебного положения;

5. лицом, имеющим доступ к ЭВМ или сети ЭВМ.

Если описание первых трех признаков дано в статьях 11, 27, 28 УК РК, то специальных субъектов двух последних можно трактовать как отдельных должностных лиц, программистов, операторов ЭВМ, наладчиков оборудования, специалистов-пользователей автоматизированных рабочих мест и других специалистов, имеющих доступ к ЭВМ или сети ЭВМ.

Из всех признаков субъективной стороны значение будет иметь только один - вина. При этом, исходя из ч. 3 ст. 19 УК, для всех преступлений данного вида необходимо наличие вины в форме умысла, и лишь два квалифицированных состава предусматривают две ее формы: умысел по отношению к деянию и неосторожность в отношении наступивших общественно-опасных последствий. Факультативные признаки субъективной стороны так же, как и в вопросе о стороне объективной, не будут иметь значения для квалификации преступления. Так, мотивами совершения таких деяний чаще всего бывают корысть либо хулиганские побуждения, но могут быть и соображения интереса, чувство мести; не исключено совершение их, с целью скрыть другое преступление и т.д. Естественно, что особую трудность вызовет проблема ограничения неосторожного и невиновного причинения вреда, что связано с повышенной сложностью и скрытностью процессов, происходящих в ЭВМ и сетях ЭВМ.

Принципиальная схема организации взлома защитных механизмов информационных систем однотипна. Профессиональные компьютерные взломщики обычно работают только после тщательной предварительной подготовки. Возможен съем квартиры на подставное лицо, подкуп сотрудников организации, знакомых с деталями электронных платежей и паролями, и работников телефонной станции, чтобы обезопаситься на случай поступления запроса от служб безопасности. Нанимают охрану из бывших сотрудников правоохранительных органов. Чаще всего взлом компьютерной сети осуществляется рано утром или в праздничные дни, когда дежурный службы безопасности (администратор безопасности) теряет свою бдительность, а вызов помощи затруднен.

Ниже представлена общая схема расследования неправомерного доступа к компьютерной информации. Также, необходимо отметить, что все следственные действия, связанные с документированием доказательств компьютерных преступлений, должны проводится во взаимодействии с техническими экспертами.

В ходе расследования основные следственные задачи целесообразно решать в такой последовательности:

1. Установление факта неправомерного доступа к информации в ЭВМ или сети ЭВМ.

2. Установление места несанкционированного проникновения в ЭВМ или сеть ЭВМ.

3. Установление времени совершения преступления.

4. Установление надежности средств защиты компьютерной информации.

5. Установление способа несанкционированного доступа.

6. Установление вредных последствий преступления.

7. Выявление обстоятельств, способствовавших преступлению.

8. Установление наблюдения за лицами, имеющими доступ к компьютеру, с помощью которого осуществляется неправомерный доступ к информации.

9. Использование оперативно-технических возможностей по документированию доказательств причастности конкретного лица к совершению преступного посягательства, выявление сообщников, мест сокрытия (хранения) похищенного.

На признаки несанкционированного доступа или подготовки к нему могут указывать следующие обстоятельства:

• появление в ЭВМ или сети ЭВМ фальшивых данных;

• не обновление в течение длительного времени в автоматизированной информационной системе кодов, паролей и других защитных средств;

• частые сбои в процессе работы ЭВМ или сети ЭВМ;

• участившиеся жалобы пользователей на неадекватное поведение используемых программных продуктов, аппаратной части ЭВМ, сети ЭВМ;

• осуществление сверхурочных работ без видимых на то причин;

• немотивированные отказы некоторых сотрудников, обслуживающих ЭВМ или сеть ЭВМ, от отпусков;

• неожиданное приобретение сотрудником домашнего дорогостоящего компьютера;

• незарегистрированные накопители информации, принесенные на работу сотрудниками, работающими с ЭВМ или сетью ЭВМ под сомнительным предлогом перезаписи программ;

• участившиеся случаи перезаписи отдельных данных без серьезных на то причин;

• чрезмерный интерес отдельных сотрудников к содержанию чужих распечаток (листингов), выходящих из принтеров.

Определить место и время непосредственного применения технических средств удаленного несанкционированного доступа (не входящих в сеть ЭВМ ) на практике бывает достаточно трудно. Для установления этих данных необходимо привлекать специалистов.

Способ несанкционированного доступа может быть установлен путем производства информационно-технической судебной экспертизы, перед экспертом следует поставить вопрос: «Каким способом мог быть совершен несанкционированный доступ в данную компьютерную систему?». Целесообразно представить эксперту всю проектную документацию на исследуемую систему (если таковая имеется), а также имеющиеся данные о ее сертификации.

Несанкционированный доступ к защищенной ЭВМ или сети ЭВМ является технологически весьма сложным действием. Совершить такую акцию могут только специалисты, имеющие достаточно высокую квалификацию. Поэтому поиск подозреваемых следует начинать с технического персонала пострадавших ЭВМ или сетей ЭВМ (разработчиков соответствующих систем, их руководителей, операторов, программистов, инженеров связи, специалистов по защите информации и других).

Следственная практика показывает, что чем сложнее в техническом отношении способ проникновения в ЭВМ или сеть ЭВМ, тем легче выделить подозреваемого, поскольку круг специалистов, обладающих соответствующими способностями, обычно весьма ограничен.

При расследовании преступления, предусматривающего создание, использование и распространение вредоносных программ для ЭВМ представляется наиболее целесообразной следующая последовательность решения основных задач:

1. Установление факта и способа создания вредоносной программы для ЭВМ.

2. Установление факта использования и распространения вредоносной программы.

3. Установление лиц, виновных в создании, использовании и распространении вредоносных программ для ЭВМ.

4. Установление вреда, причиненного данным преступлением.

5. Установление обстоятельств, способствовавших совершению расследуемого преступления.

Помимо этого, следователю необходимо знать, что существует много особенностей, которые должны учитываться при производстве отдельных следственных действий:

1. Если следователь располагает информацией, что на объекте обыска находятся средства компьютерной техники, расшифровка данных, с которых может дать доказательства по делу, он должен заранее подготовиться к их изъятию.

2. По прибытии на место обыска следует сразу же принять меры к обеспечению сохранности ЭВМ и имеющихся на них данных и ценной информации. Для этого необходимо:

а) не разрешать, кому бы то ни было из лиц, работающих на объекте обыска или находящихся здесь по другим причинам (персоналу), прикасаться к ЭВМ с любой целью;

б) не разрешать, кому бы то ни было из персонала выключать электроснабжение объекта;

в) в случае если на момент начала обыска электроснабжение объекта выключено, то до его восстановления следует отключить от электросети всю вычислительную технику, находящуюся на объекте;

г) самому не производить никаких манипуляций со средствами вычислительной техники, если результат этих манипуляций заранее неизвестен.

После принятия указанных выше неотложных мер можно приступать к непосредственному обыску помещения и изъятию средств вычислительной техники. При этом следует принять во внимание следующие неблагоприятные факторы:

а) возможные попытки со стороны персонала повредить ЭВМ с целью уничтожения информации и ценных данных;

б) возможное наличие на ЭВМ специальных средств защиты от несанкционированного доступа, которые, не получив в установленное время специальный код, автоматически уничтожат всю информацию;

в) возможное наличие на ЭВМ иных средств защиты от несанкционированного доступа

г) постоянное совершенствование компьютерной техники, следствием чего может быть наличие на объекте программно-технических средств, незнакомых следователю.

В целях недопущения вредных последствий перечисленных факторов следователь может придерживаться следующих рекомендаций:

1. Перед выключением питания по возможности корректно закрыть все используемые программы, а в сомнительных случаях просто отключить ЭВМ (в некоторых случаях некорректное отключение ЭВМ - путем перезагрузки или выключения питания без предварительного выхода из программы и записи информации на постоянный носитель - приводит к потере информации в оперативной памяти и даже к стиранию информационных ресурсов на данной ЭВМ).

2. При наличии средств защиты, ЭВМ от несанкционированного доступа принять меры к установлению ключей доступа (паролей, алгоритмов и т. д.).

3. Корректно выключить питание всех ЭВМ, находящихся на объекте (в помещении).

4. Не пытаться на месте просматривать информацию, содержащуюся в ЭВМ.

5. В затруднительных случаях не обращаться за консультацией (помощью) к персоналу, а вызывать специалиста, не заинтересованного в исходе дела.

6. При необходимости следует изъять все ЭВМ, обнаруженные на объекте.

7. При обыске не подносить ближе, чем на 1 м к вычислительной технике металлоискатели и другие источники магнитного поля, в т. ч. сильные осветительные приборы и некоторую специальную аппаратуру.

8. Поскольку многие, особенно неквалифицированные, пользователи записывают процедуру входа-выхода, работы с сетью ЭВМ, а также пароли доступа на отдельных бумажных листках, следует изъять также все записи, относящиеся к работе с ЭВМ.

9. Так как многие коммерческие и государственные структуры прибегают к услугам нештатных и временно работающих специалистов по обслуживанию средств вычислительной техники, периферийного оборудования, следует записать паспортные данные у всех лиц, находящихся на объекте, независимо от их объяснений цели пребывания на объекте.

При изъятии средств вычислительной техники необходимо обеспечить строгое соблюдение требований действующего уголовно-процессуального законодательства. Для этого необходимо акцентировать внимание понятых на всех производимых действиях и их результатах, давая им при необходимости пояснения, поскольку многим участникам следственного действия могут быть непонятны производимые манипуляции. Кроме того, следует опечатывать ЭВМ так, чтобы исключить возможность работы с ними, разукомплектовки и физического повреждения основных рабочих компонентов в отсутствие владельца или эксперта. При опечатывании вычислительных устройств следует наложить один лист бумаги на разъем электропитания, расположенный на задней панели, второй - на переднюю панель вверху с захлестом на верхнюю панель и закрепить их края густым клеем. На листах бумаги должны быть подписи следователя, понятых и представителя персонала.

При изъятии носителя машинной информации нужно помнить, что они должны перемещаться в пространстве и храниться только в специальных опломбированных и экранированных контейнерах или в стандартных футлярах заводского изготовления, исключающих разрушающее воздействие различных электромагнитных и магнитных полей и «наводок», направленных излучений, резкой смены температуры, влажности и иных неблагоприятных факторов.

В случае, когда необходимо сослаться непосредственно на определенный физический носитель информации, следует указать в протоколе его серийный (заводской) номер, тип, название (если есть) или провести его точное описание (размеры, цвет, класс, надписи, физические повреждения). При отсутствии четких внешних признаков физический носитель информации запечатывается в отдельную коробку (ящик, конверт) о чем обязательно делается отметка в протоколе проведения следственного действия.

В случае невозможности изъятия и приобщения к делу в качестве вещественного доказательства средства вычислительной техники (например, если ЭВМ является сервером) в обязательном порядке после его осмотра необходимо блокировать соответствующее помещение, при невозможности отключения энергопитания создать условия лишь для приема информации с одновременным пломбированием всех необходимых узлов, деталей, частей и механизмов ЭВМ.

Следует отметить, что в результате неправильного изъятия средств вычислительной техники добытые сведения зачастую не могут являться доказательством в судебном процессе.

 

 

6. ЗАКЛЮЧЕНИЕ

 

Оценивая современное состояние уголовной и криминалистической теории, также учитывая потребности оперативно-следственной практики, надо признать, что в целом проблемы уголовно-правовой характеристики, совершенствования практики раскрытия, расследования и предупреждения компьютерных преступлений изучены явно недостаточно. Необходимость всестороннего исследования обозначенных проблем диктуется как потребностью следственной практики, так и задачами дальнейшего совершенствования как уголовно-правовой, так и криминалистической теории, усиления их влияния на результативность борьбы с компьютерной преступностью.

 

 

7. СПИСОК ЛИТЕРАТУРЫ

 

1. Сорокин А.В., Компьютерные преступления: уголовно - правовая характеристика, методика и практика раскрытия и расследования.

2. Батурин Ю.М., Жодзишский A.M. Компьютерные преступления и компьютерная безопасность. М.: Юрид. Лит. ,1991.

3. Вехов Б. В. Компьютерные преступления: способы совершения, методика расследования. М.:

Право и Закон, 1996.

4. Уголовный кодекс Республики Казахстан от 16 июля 1997 года № 167-1

5. Комментарий к Уголовному кодексу Республики Казахстан.

6. Комментарий к Уголовному кодексу Российской Федерации. М.: Юрид. Лит. , 1996 г.

7. Назмышев Р., «... И хакеры получат по мозгам».// «Юридическая газета» от 14 апреля 2001 года № 18-14(388)

8. Центр по социальному развитию и гуманитарным вопросам Отделения Организации Объединенных Наций в Вене. Международный обзор уголовной политики № 43, № 44. Руководство ООН по предупреждению преступлений, связанных с применением компьютеров, и борьбе с ними. 1994 год.


Приложение 1

 

 

Коды, характеризующие компьютерные преступления, в соответствии с кодификатором

Генерального Секретариата Интерпола

 

QA - Несанкционированный доступ и перехват

QAH - компьютерный абордаж

QAI - перехват

QAT - кража времени

QAZ - прочие виды несанкционированного доступа и перехвата

QD - Изменение компьютерных данных

QDL - логическая бомба

QDT - троянский конь

QDV - компьютерный вирус

QDW - компьютерный червь

QDZ - прочие виды изменения данных

QF - Компьютерное мошенничество

QFC - мошенничество с банкоматами

QFF - компьютерная подделка

QFG - мошенничество с игровыми автоматами

QFM - манипуляции с программами ввода-вывода

QFP - мошенничества с платежными средствами

QFT- телефонное мошенничество

QFZ - прочие компьютерные мошенничества

QR - Незаконное копирование

QRG - компьютерные игры

QRS - прочее программное обеспечение

QRT - топография полупроводниковых изделий

QRZ - прочее незаконное копирование

QS - Компьютерный саботаж

QSH - с аппаратным обеспечением

QSS - с программным обеспечением

QSZ - прочие виды саботажа

QZ - Прочие компьютерные преступления

QZB - с использованием компьютерных досок объявлений

QZE - хищение информации, составляющей коммерческую тайну

QZS - передача информации конфиденциального характера

QZZ - прочие компьютерные преступления

 

 

Краткая характеристика некоторых видов компьютерных преступлений согласно приведенному кодификатору

 

Несанкционированный доступ и перехват информации (QA) включает в себя следующие виды компьютерных преступлений:

QAH - «Компьютерный абордаж» (хакинг - hacking): доступ в компьютер или сеть без права на то. Этот вид компьютерных преступлений обычно используется хакерами для проникновения в чужие информационные сети.

QAI - перехват (interception): перехват при помощи технических средств, без права на то. Перехват информации осуществляется либо прямо через внешние коммуникационные каналы системы, либо путем непосредственного подключения к линиям периферийных устройств. При этом объектами непосредственного подслушивания являются кабельные и проводные системы, наземные микроволновые системы, системы спутниковой связи, а также специальные системы правительственной связи. К данному виду компьютерных преступлений также относится электромагнитный перехват (electromagnetic pickup). Современные технические средства позволяют получать информацию без непосредственного подключения к компьютерной системе: ее перехват осуществляется за счет излучения центрального процессора, дисплея, коммуникационных каналов, принтера и т.д. Все это можно осуществлять, находясь на достаточном удалении от объекта перехвата.

Для характеристики методов несанкционированного доступа и перехвата информации используется следующая специфическая терминология:

«Жучок» (bugging) - характеризует установку микрофона в компьютере с целью перехвата

разговоров обслуживающего персонала;

«Откачивание данных» (data leakage) - отражает возможность сбора информации, необходимой для получения основных данных, в частности о технологии ее прохождения в системе;

«Уборка мусора» (scavenging) - характеризует поиск данных, оставленных пользователем после работы на компьютере. Этот способ имеет две разновидности - физическую и электронную. В физическом варианте он может сводиться к осмотру мусорных корзин и сбору брошенных в них распечаток, деловой переписки и т.д. Электронный вариант требует исследования данных, оставленных в памяти машины;

метод следования «За дураком» (piggbackiiig) характеризующий несанкционированное проникновение, как в пространственные, так и в электронные закрытые зоны. Его суть состоит в следующем. Если набрать в руки различные предметы, связанные с работой на компьютере, и прохаживаться с деловым видом около запертой двери, где находится терминал, то, дождавшись законного пользователя, можно пройти в дверь помещения вместе с ним;

метод «За хвост»(between the lines entry), используя который можно подключаться к линии связи законного пользователя и, догадавшись, когда последний заканчивает активный режим, осуществлять доступ к системе;

метод «Неспешного выбора» (browsing). В этом случае несанкционированный доступ к базам данных и файлам законного пользователя осуществляется путем нахождения слабых мест в защите систем. Однажды обнаружив их, злоумышленник может спокойно читать и анализировать содержащуюся в системе информацию, копировать ее, возвращаться к ней по мере необходимости;

метод «Поиск бреши» (trapdoor entry), при котором используются ошибки или неудачи в логике построения программы. Обнаруженные бреши могут эксплуатироваться неоднократно;

метод «Люк» (trapdoor), являющийся развитием предыдущего. В найденной «бреши» программа «разрывается» и туда вставляется определенное число команд. По мере необходимости «люк» открывается, а встроенные команды автоматически осуществляют свою задачу;

метод «Маскарад» (masquerading). В этом случае злоумышленник с использованием необходимых средств проникает в компьютерную систему, выдавая себя за законного пользователя;

метод «Мистификация»(spoofing), который используется при случайном подключении «чужой» системы. Злоумышленник, формируя правдоподобные отклики, может поддерживать заблуждение ошибочно подключившегося пользователя в течение какого-то промежутка времени и получать некоторую полезную для него информацию, например коды пользователя.

QAT - кража времени: незаконное использование компьютерной системы или сети с намерением неуплаты.

 

Изменение компьютерных данных (QD) включает в себя следующие виды преступлений:

QDL/QDT - логическая бомба (logic bomb), троянский конь (Trojan horse): изменение компьютерных данных без права на то, путем внедрения логической бомбы или троянского коня.

Логическая бомба заключается в тайном встраивании в программу набора команд, который должен сработать лишь однажды, но при определенных условиях.

Троянский конь - заключается в тайном введении в чужую программу таких команд, которые позволяют осуществлять иные, не планировавшиеся владельцем программы функции, но одновременно сохранять и прежнюю работоспособность.

QDV - вирус (virus): изменение компьютерных данных или программ, без права на то, путем внедрения или распространения компьютерного вируса.

Компьютерный вирус - это специально написанная программа, которая может «приписать» себя к другим программам (т.е. «заражать» их), размножаться и порождать новые вирусы для выполнения различных нежелательных действий на компьютере.

Процесс заражения компьютера программой-вирусом и его последующее лечение имеют ряд черт, свойственных медицинской практике. По крайней мере, эта терминология весьма близка к медицинской:

резервирование - копирование FAT, ежедневное ведение архивов измененных файлов - это самый важный и основной метод защиты от вирусов. Остальные методы не могут заменить ежедневного архивирования, хотя и повышают общий уровень защиты;

профилактика - раздельное хранение вновь полученных и уже эксплуатируемых программ, разбиение дисков на «непотопляемые отсеки» - зоны с установленным режимом «только для чтения», хранение неиспользуемых программ в архивах, использование специальной «инкубационной» зоны для записи новых программ с дискет, систематическая проверка ВООТ-сектора используемых дискет и др.;

анализ - ревизия вновь полученных программ специальными средствами и их запуск в контролируемой среде, систематическое использование контрольных сумм при хранении и передаче программ. Каждая новая программа, полученная без контрольных сумм, должна тщательно проверяться компетентными специалистами, по меньшей мере, на известные виды компьютерных вирусов и в течение определенного времени за ней должно быть организовано наблюдение;

фильтрация - использование резидентных программ типа AVP Monitor, FluShot Plus, MaceVaccinee и других для обнаружения попыток выполнить несанкционированные действия;

вакцинирование - специальная обработка файлов, дисков, каталогов, запуск специальных резидентных программ-вакцин, имитирующих сочетание условий, которые используются данным типом вируса, для определения заряжения программы или всего диска;

терапия - деактивация конкретного вируса в отраженных программах с помощью специальной антивирусной программы или восстановление первоначального состояния программ путем уничтожения всех экземпляров вируса в каждом из зараженных файлов или дисков с помощью программы-фага.

Понятно, что избавится от компьютерного вируса гораздо сложнее, чем обеспечить действенные меры по его профилактике.

QDW - червь: изменение компьютерных данных или программ, без права на то, путем передачи, внедрения или распространения компьютерного червя (специальной самостоятельно распространяющейся программы) в компьютерную сеть.

 

Компьютерные мошенничества (QF) объединяют в своем составе разнообразные способы совершения компьютерных преступлений:

QFC - компьютерные мошенничества, связанные с хищением наличных денег из банкоматов.

QFF - компьютерные подделки: мошенничества и хищения из компьютерных систем путем создания поддельных устройств (карточек и пр.).

QFG - мошенничества и хищения, связанные с игровыми автоматами.

QFM - манипуляции с программами ввода-вывода: мошенничества и хищения посредством неверного ввода или вывода в компьютерные системы или из них путем манипуляции программами. В этот вид компьютерных преступлений включается метод Подмены данных кода (data diddling code change), который обычно осуществляется при вводе-выводе данных. Это простейший и потому очень часто применяемый способ.

QFP - компьютерные мошенничества и хищения, связанные с платежными средствами. К этому виду относятся самые распространенные компьютерные преступления, связанные с кражей денежных средств, которые составляют около 45% всех преступлений, связанных с использованием ЭВМ.

QFT - телефонное мошенничество: доступ к телекоммуникационным услугам путем посягательства на протоколы и процедуры компьютеров, обслуживающих телефонные системы.

 

Незаконное копирование информации (QR) составляют следующие виды компьютерных преступлений:

QRG/QRS - незаконное копирование, распространение или опубликование компьютерных игр и другого программного обеспечения, защищенного законом.

QRT - незаконное копирование топографии полупроводниковых изделий: копирование, без права на то, защищенной законом топографии полупроводниковых изделий, коммерческая эксплуатация или импорт с этой целью, без права на то, топографии или самого полупроводникового изделия, произведенного с использованием данной топографии.

 

Компьютерный саботаж (QS) составляют следующие виды преступлений:

QSH - саботаж с использованием аппаратного обеспечения: ввод, изменение, стирание, подавление компьютерных данных или программ; вмешательство в работу компьютерных систем с намерением помешать функционированию компьютерной или телекоммуникационной системы.

QSS - компьютерный саботаж с программным обеспечением: стирание, повреждение, ухудшение или подавление компьютерных данных или программ без права на то.

 

К прочим видам компьютерных преступлений (QZ) в классификаторе отнесены следующие:

QZB - использование электронных досок объявлений (BBS) для хранения, обмена и распространения материалов, имеющих отношение к преступной деятельности;

QZE - хищение информации, составляющей коммерческую тайну: приобретение незаконными средствами или передача информации, представляющей коммерческую тайну без права на то или другого законного обоснования, с намерением причинить экономический ущерб или получить незаконные экономические преимущества;

QZS - использование компьютерных систем или сетей для хранения, обмена, распространения или перемещения информации конфиденциального характера.

15 апреля 2010, 16:44
Источник, интернет-ресурс: Прочие

Если вы обнаружили ошибку или опечатку – выделите фрагмент текста с ошибкой и нажмите на ссылку сообщить об ошибке.

Комментарии
Если вы видите данное сообщение, значит возникли проблемы с работой системы комментариев. Возможно у вас отключен JavaScript