Способы совершения преступлений в сфере компьютерной информации

С позиций криминалистической характеристики способы совершения преступлений, предусмотренных ст. 272, 273 и 274 УК РФ, тесно связаны между собой и взаимодополняют друг друга. Такая ситуация объясняется в определенной мере искусственным разграничением названных выше составов на уголовно-правовом уровне. Так, нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей в определенных случаях может рассматриваться как частный случай неправомерного доступа к компьютерной информации. А создание, использование и распространение вредоносных компьютерных программ может быть составной частью обоих названных выше составов.

Ведущими во всех составах преступлений в сфере компьютерной информации с точки зрения криминалистической характеристики являются способы неправомерного доступа к компьютерной информации. В их числе наибольшее распространение получили:

  • – использование для получения доступа к компьютерной информации чужого имени (путем применения кодов и паролей законных пользователей);
  • – внедрение в объект информатизации программных или технических средств, позволяющих обойти средства защиты и получить возможность копирования информации или несанкционированной работы в информационном массиве;
  • – изменение адреса получателя доступа к сети (или информации) путем внедрения программы-вируса или неправомерного аппаратного воздействия. В результате указанных действий нарушается нормальное управление потоком информации (маршрут передачи информации) и фактический доступ к сети под видом законного пользователя получает постороннее лицо;
  • – перехват информации из средств вычислительной техники с использованием радиоэлектронных средств;
  • – подключение аппаратуры записи с каналам связи;
  • – похищение накопителей компьютерной памяти, в которых хранится информация;
  • – похищение магнитных или бумажных носителей информации.

По месту совершения посягательства на компьютерную информацию различаются:

  • – внешнее, которое осуществляется с компьютеров, не входящих в структуру сети банка;
  • – внутрисетевое, которое совершается с использованием компьютеров, входящих в банковскую сеть.

Подготовительные действия к совершению указанных преступлений условно могут быть разделены на два основных вида. Первые направлены на преодоление мер защиты электронно-вычислительной техники (компьютерной системы) программно-аппаратным методом. Вторые – на достижение указанной цели путем незаконного использования информации, доверенной сотрудникам организации – объекта посягательства, либо полномочий указанных сотрудников. Это разграничение, однако, не является абсолютным. Оба вида подготовки могут объединяться и дополнять друг друга полностью либо частично.

К числу подготовительных действий первого вида следует отнести:

а) виртуальную разведку с целью выявления уязвимых мест ("люка", обеспечивающего вставку в программу дополнительно одной или нескольких программ-вирусов) в защите объекта посягательства.

Для выявления уязвимых мест защиты объекта посягательства определяются адресное пространство сети, в которой расположен объект удаленного воздействия; активные сетевые устройства ЭВМ; открытые порты и службы ЭВМ; тип операционной системы, используемой сетевым устройством.

Определенную часть сведений о компьютере потерпевшего злоумышленник собирает из открытых источников, в число которых входят: веб-сайт организации (адреса и место расположения офисов; номера телефонов; адреса электронной почты; список деловых партнеров; ссылки на другие веб-узлы, имеющие отношение к организации); информация из архивов групп новостей и списков рассылки; информация об администраторе сети и др. Затем, используя специальные программы и протоколы (они распространяются, в частности, через Интернет и специальные журналы), преступник узнает IP-адреса компьютеров интересующей его организации, устанавливает адресное пространство сети, выявляет работающие компьютеры, осуществляет сканирование портов – процесс пробного подключения к портам исследуемого компьютера, проводит сбор маркеров (подключение к различным портам компьютера потерпевшего) с использованием специальных утилит.

В результате описанных действий злоумышленник получает необходимую информацию о схеме расположения сетевых устройств, их адресах, открытых портах, используемых операционных системах, особенностях взаимодействия и работы. Кроме того, используя анализатор пакетов (передающейся по сети информации) он может перехватить сведения о паролях и логинах доступа к интересующему его компьютеру[1];

  • б) проверку результативности (испытание) программы- вируса на других похожих системах по договору с их администраторами (испытывать на реальном объекте бывает опасно ввиду сложности сокрытия следов);
  • в) внедрение программ-закладок в систему жертвы через системы коммуникации либо с участием сотрудников объекта посягательства. Лица, имеющие официальный доступ к компьютерной системе объекта, могут внедрить программу-вирус в защищаемый объект умышленно. Однако во многих случаях они используются втемную. Нарушая правила эксплуатации компьютерной техники, указанные лица вносят в компьютер замаскированную программу-вирус при использовании "новой компьютерной игры" или "демонстрационной программы", врученных им злоумышленниками под благовидным предлогом.

Подготовительные действия второго вида заключаются в противоправном воздействии на сотрудников банка (в том числе бывших), имеющих официальный доступ к работе в информационной системе, с целью:

  • – получения информации о технологии электронных банковских операций, способах защиты компьютерной сети, паролях, кодах (применяются выведывание, подкуп, угрозы, а также другие незаконные приемы);
  • – неправомерного завладения программными ключами, аппаратными ключами, средствами криптографической защиты.

Наиболее распространенные способы маскировки действий злоумышленников при неправомерном доступе к компьютерной информации носят нередко изощренный характер и призваны:

  • а) направить поиск виновного по ложному пути. В этих целях используются входы на компьютеры других пользователей, в том числе в других странах, через которые осуществляется посягательство. Программы – "взломщики" компьютерной защиты сначала внедряются без ведома владельцев в сервер третьей организации (нередко находящийся за рубежом), которые по заданному алгоритму периодически посылают зараженные вирусом документы по адресу потерпевшего;
  • б) исключить либо затруднить своевременное обнаружение преступления или преступника. Для соединения с компьютером жертвы используются: телефон, номер которого не определяется; квартира с телефоном, снятая на имя подставного лица; подключение компьютера непосредственно к парам в распределительной телефонной коробке. При наличии возможности правонарушители уничтожают следы своего пребывания в информационной системе объекта посягательства с использованием специальных программ.

Наиболее распространенными видами следов противоправных посягательств в сфере компьютерной информации являются:

1) зарегистрированные ЭВМ признаки команд, имеющих целью копирование, модификацию или уничтожение информации.

Следы указанных действий (команд) правонарушителя остаются в виде учетных записей в файлах, формируемых активным сетевым оборудованием корпоративной информационной сети, которые затем собираются в базе данных службы защиты информации.

Именно здесь администратор локальной сети (сотрудник службы защиты информации) организации, как правило, обнаруживает отдельные (первичные) признаки неправомерного воздействия на компьютерную информацию.

Носителями указанной следовой информации в типичной компьютерной сети организации (предприятия) являются:

  • – маршрутизатор сегментов локальной вычислительной сети (ЛВС);
  • – пограничный маршрутизатор (межсетевой экран) для выхода в Интернет либо заменяющий его прокси-сервер;
  • – файловый сервер (вместе с контроллером домена, при его наличии), в котором хранятся сетевые папки сотрудников, расширенные папки с файлами вспомогательных баз данных (Access, DBase, FoxPro, Firebird и т.п.);
  • – сервер Интранет (HTTP-сервер, FTP-сервер), на котором содержится внутренний сайт предприятия, как правило, размещенный на сервере провайдера (поставщика услуг) Интернет;
  • – сервер базы данных СУБД MS Access, СУБД Oracle, на котором хранятся основные базы данных деловой активности организации (предприятия);
  • – прокси-сервер сети Интернет для оптимизации доступа сотрудников организации (предприятия) в сеть (выполняющий функции кэширования файлов, учет трафика);
  • – сервер электронной почты Exchange, предназначенный для обмена почтовыми сообщениями как внутри организации, так и с внешними адресатами сети Интернет (для этого, как правило, на сервере провайдера заводится дополнительный почтовый сервер и организуется синхронный обмен сообщениями с внутренним почтовым сервером организации);
  • 2) внештатные программные или технические средства, обнаруженные в объекте информатизации;
  • 3) автоматические закладные регистрирующие и передающие устройства, не предусмотренные проектной документацией и технологией отводы от технических средств и линий связи, а также посторонние подключения к ним; обнаруженные нештатные программы с неизвестными функциями, а также нештатные запоминающие и другие технические устройства, способные выполнять функции скрытого отбора и накопления информации.

Признаками неправомерного доступа к информационной системе могут служить также следы хищения машинных или других оригиналов носителей информации, программных или аппаратных ключей и средств криптографической защиты информации. Способы их обнаружения и фиксации не имеют принципиальных отличий от способов обнаружения следов похищения документов, содержащих сведения ограниченного доступа, изложенных нами в предыдущем параграфе.

  • [1] См.: Милаше В. Л. Проблемы тактики поиска, фиксации и изъятия следов при неправомерном доступе к компьютерной информации в сетях ЭВМ: дис. ... канд. юрид. наук. М., 2004. С. 58.
 
< Пред   СОДЕРЖАНИЕ     След >