Способы совершения неправомерного доступа к компьютерной информации

Способы совершения неправомерного доступа компьютерной информации можно объединить в три основные группы[1].

Первая группа – это способы непосредственного доступа. При их реализации информация уничтожается, блокируется, модифицируется, копируется, а также может нарушаться работа ЭВМ, системы ЭВМ или их сети путем отдачи соответствующих команд с компьютера, на котором информация находится. Непосредственный доступ может осуществляться как лицами, работающими с информацией (имеющими отношение к этой работе), так и лицами, специально проникающими в закрытые зоны и помещения, где производится обработка информации. Например, человек, имеющий умысел на противоправный доступ к компьютерной информации, держа в руках определенные предметы, указывающие на его «принадлежность» к работе на компьютере (дискеты, распечатки и пр.), прохаживается около запертой двери помещения, где расположен терминал. Дождавшись, когда в названное помещение войдет работающий в нем сотрудник, он входит туда вслед за ним[1], а потом через определенный промежуток времени при благоприятной для этого обстановке совершает неправомерный доступ к компьютерной информации.

Необходимо отметить, что описанный способ в настоящее время менее распространен по причине децентрализации обработки информации. Практика показывает, что преступники компьютерную информацию чаще перехватывают при ее передаче по телекоммуникационным каналам и компьютерным сетям. Сделать это им и проще, и безопаснее, чем при непосредственном проникновении в помещение. Примером совершения неправомерного доступа к компьютерной информации может являться дело по обвинению К. по ч.1 ст. 272 УК РФ[1]. В ходе расследования было установлено, что он, находясь на работе в качестве электромеханика Переяславского районного узла электрической связи, на принесенную с собой дискету скопировал с компьютера готовящийся к изданию телефонный справочник района им. Лазо. Эту дискету он принес домой и скопировал полученную информацию на жесткий диск своего компьютера, а затем на принтере отпечатал 4 экземпляра названного справочника. Таким образом, К. умышленно, незаконно скопировал информацию, хранившуюся в электронно-вычислительной машине.

Другой способ непосредственного доступа к компьютерной информации заключается в неправомочном использовании преступником технических отходов информационного процесса, оставленных пользователем после работы с компьютерной техникой[1]. Он осуществляется в двух формах: физической и электронной.

Физический поиск отходов сводится к обследованию рабочих мест программистов, содержимого мусорных баков, емкостей для технологических отходов для сбора оставленных или выброшенных физических носителей информации, а также обследованию различной документации, оставленной на рабочем месте: ежедневников, книг рабочих записей, перекидных календарей и т.п. в целях поиска черновых записей, паролей доступа в систему и пр.

Электронный вариант требует просмотра и последующего исследования данных, находящихся в памяти компьютера. Он основан на некоторых технологических особенностях функционирования средств компьютерной техники. Например, данные, записанные в последний момент работы, не всегда стираются из оперативной памяти компьютерной системы.

В названных целях могут просматриваться и восстанавливаться стертые файлы[1]. В данном случае предполагается обязательное использование в качестве орудия преступления различных программных средств специального назначения. Одним из них является программный комплекс PC Tools Deluxe, содержащий универсальную программу восстановления стертых файлов.

Вторая группа способов совершения рассматриваемого преступления включает способы опосредованного (удаленного) доступа к компьютерной информации. При этом неправомерный доступ к определенному компьютеру и находящейся на нем информации осуществляется с другого компьютера, находящегося на определенном расстоянии, через компьютерные сети. Способы опосредованного доступа к компьютерной информации, в свою очередь, можно разделить на две подгруппы: способы преодоления парольной а также иной программной или технической защиты и последующего подключения к чужой системе; способы перехвата информации.

К способам первой подгруппы относятся:

Подключение к линии связи законного пользователя (например, к телефонной линии) и получение тем самым доступа к его системе. Подключившись, преступник дожидается сигнала, означающего окончание работы, перехватывает его «на себя», а потом, когда законный пользователь закончил сеанс работы, осуществляет доступ к его системе. Данный способ сравним с работой двух параллельных телефонных аппаратов, подключенных к одному абонентскому номеру: если один телефон находится в активном режиме (ведется разговор с абонентом) и на другом аппарате поднимается трубка, то когда разговор по первому телефону закончен и трубка положена, он может быть продолжен по второму.

Проникновение в чужие информационные сети путем автоматического перебора абонентских номеров с последующим соединением с тем или иным компьютером (перебор осуществляется до тех пор, пока на другом конце линии не «отзовется чужой» компьютер). Поскольку в подобном случае один несанкционированный пользователь может быть легко обнаружен, подобный «электронный взлом» осуществляется одновременно с нескольких рабочих мест: в заданное время несколько (более десяти) персональных компьютеров одновременно предпринимают попытку несанкционированного доступа[1]. Это может привести к тому, что несколько «атакующих» компьютеров отсекаются системой защиты, а остальные получают требуемый доступ. Один из «прорвавшихся» компьютеров блокирует систему статистики сети, которая фиксирует все попытки доступа. В результате этого другие «прорвавшиеся» компьютеры не могут быть обнаружены и зафиксированы. Часть из них приступает к «взлому» нужного сектора сети, а остальные занимаются фиктивными операциями в целях дезорганизации работы предприятия, организации, учреждения и сокрытия преступления[1].

3. Проникновение в компьютерную систему с использованием чужих паролей, выдавая себя за законного пользователя. При подобном способе незаконный пользователь осуществляет подбор пароля для доступа к чужому компьютеру. Подбор паролей может осуществляться двумя методами.

Первый: подбор паролей путем простого перебора всех возможных сочетаний символов до тех пор, пока не будет установлена нужная комбинация. Для реализации такого подбора существуют уже специально разработанные программы, которые можно приобрести на «черном» компьютерном рынке. Алгоритм их действия основан на использовании быстродействия современных компьютеров при переборе всех возможных комбинаций букв, цифр и автоматического соединения специальных символов, имеющихся на стандартной клавиатуре персонального компьютера, и в случае совпадения комбинации символов с оригиналом произведения.

Второй: «интеллектуальный» подбор паролей на основе имеющихся «словарей» наиболее распространенных паролей, систематизированных по определенным тематическим группам. Практика показывает, что данным методом вручную вскрываются более 40% паролей. При этом наиболее распространенными тематическими группами паролей являются следующие: имена, фамилии и производные от них (22%); последовательность клавиш компьютера, повтор символов (14%); даты рождения пользователя и его близких, а также их комбинации (12%); интересы, хобби (9,5%); адрес, место рождения (5%); номера телефонов или документов: паспортов, удостоверений личности и пр.(3,5%).

Подобрав необходимый пароль (для подбора восьмизначного пароля требуется несколько часов), незаконный пользователь получает доступ к компьютерной информации и может проводить с ней любые действия под видом законного пользователя: копировать ее, модифицировать, удалять, заставлять программы производить требуемые операции, например, по переводу денежных средств на свои счета, фальсификации платежных документов и пр.

Примером анализируемого способа неправомерного доступа к компьютерной информации может являться деятельность гр. У., который, находясь в помещении ТОО «Тройка»,-под предлогом проверки технического состояния ЭВМ дал указание сотруднику З. произвести копирование компьютерной информации с ЭВМ неизвестной гр. З. фирмы. С этой целью У. продиктовал гр. З. номер телефона, к которому была подключена принадлежащая ЗАО «Вокс» ЭВМ. Гр. З., выполняя указание своего непосредственного начальника У. и в его присутствии, посредством находившегося в помещении ТОО «Тройка» компьютера и подключенного к нему модема, а также данного гр. У телефонного номера, установил компьютерную связь между ЭВМ ТОО «Тройка» и компьютером ЗАО «Вокс». После этого гр. у, руководя действиями гр. З., передал ему так называемый универсальный пароль, позволяющий осуществить доступ к компьютерной информации. Используя этот пароль, гр. З. произвел копирование содержащейся в компьютере ЗАО «Вокс» информации в виде базы данных системных параметров 1-го транкового радиоканала ЗАО «Вокс». В результате произошло копирование и блокирование этой информации, повлекшее нарушение работы ЭВМ ЗАО «Вокс»[1].

4. Разновидностью способа получения пароля для последующего незаконного вхождения в компьютерную систему является так называемый социальный инжиниринг («обратный социальный инжиниринг»). Это метод основан на недостаточной бдительности пользователей, когда информация получается в процессе беседы (телефонной, посредством обмена электронными сообщениями) правонарушителями с пользователями системы. При этом способе правонарушитель представляется либо системным администратором, либо сотрудником обслуживающей компьютерной фирмы, либо сотрудником, вновь поступившим на работу, и запрашивает у собеседника данные о паролях доступа к системе. Данный способ широко применяется для получения данных (имя, пароль) в целях подключения к компьютерной сети Интернет за счет законных пользователей.

Интересен пример из зарубежной практики: преступник, являющийся законным пользователем компьютерной сети, с рабочей станции передал сообщение всем пользователям сервера о том, что его номер якобы изменен. В качестве нового номера был назван номер собственного персонального компьютера преступника, запрограммированный таким образом, чтобы ответить аналогично серверу. Пользователи, посылавшие вызов, набирали при этом свой личный код, что позволило преступнику получить исчерпывающий список личных кодов пользователей[1].

Ко второй подгруппе способов опосредованного (удаленного) доступа к компьютерной информации относятся способы ее непосредственного, электромагнитного и других видов перехвата.

Непосредственный перехват осуществляется либо прямо через внешние коммуникационные каналы системы, либо путем непосредственного подключения к линиям периферийных устройств. При этом объектами непосредственного «подслушивания» являются кабельные и проводные системы, наземные микроволновые системы, системы спутниковой связи, а также специальные системы правительственной связи.

Электромагнитный перехват. Современные технические средства позволяют получить информацию без непосредственного подключения к компьютерной системе: за счет перехвата излучений центрального процессора, дисплея, коммуникационных каналов, принтера и т.д. Все это можно осуществить, находясь на достаточном удалении от объекта перехвата. Например, используя специальную аппаратуру, можно «снимать» информацию с компьютера, расположенного в соседнем помещении, здании[1].

Впервые дистанционный перехват информации с монитора компьютера был открыто продемонстрирован в марте 1985 г. в Каннах на международном конгрессе по вопросам безопасности ЭВМ. Сотрудник голландской телекоммуникационной РТТ Вим Ван Эк шокировал специалистов тем, что с помощью разработанного им устройства из своего автомобиля, находящегося на улице, «снял» данные с экрана монитора персонального компьютера, установленного на 8-м этаже здания, расположенного в 100 м. от автомобиля.

Отечественным примером совершения неправомерного доступа к компьютерной информации подобным способом является дело по обвинению Л. и М. по п. «а» ч.2 ст. 272 УК РФ. В ходе расследования было установлено, что М. собственноручно у себя дома произвел демонтаж и переоборудовал заранее приобретенные им сотовые телефоны фирмы «Моторолла» под микропроцессоры со специальной программой. Изготовив таким образом два аппарата с режимом автосканирования и шесть аппаратов с возможностями ввода с клавиатуры скопированных номеров в электронные записные книжки, он осуществлял неправомерный доступ к сети ЭВМ компании сотовой телефонной связи «Вотек-Мобайл». Путем модернизации телефонного аппарата «Моторолла» гр. М. была получена возможность фиксации в радиусе до 200 м. абонентского и серийного номера аппарата законного пользователя сотовой телефонной сети с последующим занесением его в память электронной записной книжки. Это позволяло производить телефонные звонки с переделанных таким образом сотовых телефонных аппаратов бесплатно, за счет законных клиентов сотовой сети[1].

К методам перехвата информации относится также аудиоперехват и видеооптический перехват.

Аудиоперехват, или снятие информации по вибро-акустическому каналу, имеет две разновидности: заходовую (заносную) и беззаходовую.

Первая заключается в установке инфинитивного телефона (подслушивающего устройства - «таблетки», «клопа», «жучка» и т.п.) в аппаратуру средств обработки информации: в различные технические устройства, на проводные коммуникационные линии (радио, телефон, телевизионный кабель, кабель охранно-пожарной сигнализации или электросеть и т.п.), а также в различные конструкции инженерно-технических сооружений и бытовых приборов, находящихся на объекте. Делается все это в целях перехвата разговоров работающего персонала и звуковых сигналов технических устройств (определение номера вызываемого абонента АТС и т.п.).

Установка «клопа» или иной разведывательной аппаратуры на объект возможна тремя способами.

При первом необходимо скрытное или легендированное проникновение в помещение, при втором требуется радиопередающая и звукозаписываю-щая аппаратура, которая устанавливается во время постройки или ремонта помещения, при третьем - специальная техника приобретается или заносится самой потерпевшей стороной, даже не подозревающей об этом, например монтируется в приобретаемые предметы.

К специальной технике, используемой для этого, относятся: спецмикрофоны с возможным дистанционным управлением, диктофоны с длительной записью, цифровые адаптивные фильтры типа АО-512, ОАС-256 и ОАС-1024, позволяющие проводить обработку зашумленных речевых сигналов.

Обнаружить аппаратуру съема информации крайне трудно, так как она обычно очень хорошо камуфлируется преступником (под микросхему, зажигалку, булавочную головку и т. д.).

Вторая разновидность аудиоперехвата - беззаходовая - наиболее опасна. Заключается она в следующем. Акустические и вибрационные датчики съема информации устанавливают на инженерно-технические конструкции, находящиеся за пределами охраняемого помещения, из которого необходимо принимать речевые сигналы. Выделяют следующие типовые конструкции инженерно-технических сооружений: несущие стены зданий, перегородки, перекрытия, окна, оконные рамы, двери и дверные коробки, вентиляционные воздуховоды, трубопроводы. При этом необязательно проникать в помещение, достаточно приблизиться к нему снаружи. Датчик устанавливается либо непосредственно, либо дистанционно. В последнем случае используются различные выстреливающие устройства, предназначенные для дистанционного снятия речевой информации через открытые окна, двери и т.п.

Видеооптический перехват заключается в действиях преступника, направленных на получение информации путем использования различной видеооптической техники. Этот способ осуществляется как физически, так и электронно. Физически перехват информации производится с помощью применения преступником различной бытовой видеооптической аппаратуры - например подзорной трубы, бинокля, прибора ночного видения, оптического прицела и т.п. При этом преступник проводит отдаленное наблюдение за объектом (жертвой) в целях получения необходимой информации, которую в отдельных случаях фиксирует на физический носитель. В рассматриваемом случае орудие преступления находится непосредственно в руках преступника.

Электронный процесс получения информации осуществляется с использованием преступником специальной техники. В данном случае передающее устройство находится непосредственно на объекте наблюдения, а приемное - в руках преступника Может использоваться следующая спецтехника: спецвидеомагнитофоны с длительной записью; оборудование для скрытой видеосъемки; цифровые электронные видеокамеры; приборы ночного видения и т. п.

Третью группу способов совершения анализируемого преступления составляют смешанные способы, которые могут осуществляться как путем непосредственного, так и опосредованного (удаленного) доступа. К числу таких способов относятся:

1. Тайное введение в чужую программу таких команд, которые помогают ей осуществить новые, незапланированные разработчиком функции при одновременном сохранении прежней ее работоспособности[1]. Данный способ может иметь две разновидности. В первом случае программные модули-фрагменты, которые создают так называемого троянского коня, то есть не запланированного разработчиком программного блока, самоликвидируются по окончании исполнения своей задачи. Найти после этого данные программные модули практически невозможно. Во втором случае в алгоритм программы, наряду с ее основными функциями, закладывается алгоритм действий, осуществляющих саморазмножение, автоматическое самовоспроизводство указанного «троянского коня». В результате подобные «программы-черви» автоматически копируют себя в памяти одного или нескольких компьютеров (при наличии компьютерной сети)[1]. Из зарубежной следственной практики интересен факт использования «троянского коня» одним американским программистом. Он вставил в программное обеспечение персонального компьютера по месту своей работы команды, которые позволяли не отражать в итоговом отчете определенные поступления денежных средств. Эти суммы особым образом шифровались и циркулировали только в информационной среде компьютера. Похитив бланки выдачи денег, преступник заполнял их с указанием своего шифра, а затем проставлял в них определенные суммы денег. Поскольку соответствующие операции по их выдаче также не отражались в отчетности, то они не могли быть подвергнуты документальной ревизии[1].

Модификация программ путем тайного встраивания в программу набора команд, которые должны сработать при определенных условиях через определенное время[1]. Например, как только программа незаконно перечислит денежные средства на так называемый подставной счет, она самоуничтожится и при этом уничтожит всю информацию о проделанной операции.

Осуществление доступа к базам данных и файлам законного пользователя путем нахождения слабых мест в системах защиты. При их обнаружении появляется возможность читать и анализировать содержащуюся в системе информацию, копировать ее, возвращаться к ней по мере необходимости[1]. Таким образом, можно обращаться к базам данных конкурирующей фирмы с тем, чтобы не только иметь возможность анализировать ее финансовое положение, но и получать упреждающую информацию о перспективах ее развития. Получение такой информации дает несомненное преимущество в конкурентной борьбе.

Использование ошибок в логике построения программы и обнаружение «брешей»[1]. При этом программа «разрывается» и в нее вводится необходимое число определенных команд, которые помогают ей осуществлять новые, незапланированные функции при одновременном сохранении прежней ее работоспособности. Именно таким образом можно переводить деньги на подставные счета, получать информацию о недвижимости, о персональных данных личности и пр.

Если первая и вторая группа способов более характерна исключительно для неправомерного доступа к компьютерной информации, то третья группа способов может быть характерна и для создания, использования и распространения вредоносных программ для ЭВМ.

Преступники могут получить пароли, коды и идентифицирующие шифры законных пользователей (путем получения списка пользователей со всей необходимой информацией, обнаружение документа в организациях, где не налажен контроль за их хранением, прослушивание телефонных переговоров) и проникнуть в компьютерную систему, выдавая себя за законного пользователя. Особенно уязвимы в этом отношении системы, которые не обладают средствами аутентичной идентификации (например, по физиологическим характеристикам: по отпечаткам пальцев, по рисунку сетчатки глаза, голосу и т.п.).

Также следует отметить, что неправомерный доступ к компьютерной информации может быть связан и с насилием над личностью либо угрозой его применения[1] в целях получения преступниками сведений о способах преодоления средств защиты компьютерной информации и иных данных.

Проиллюстрируем способ и механизм[1] совершения неправомерного доступа к компьютерной информации случаем, описанным в литературе[1]: преступники подбирали лиц (вербовали путем подкупа или шантажа) из числа сотрудников определенного банка. Один из них впоследствии и стал потерпевшей стороной, другие - получателями похищенной суммы, а третьи - сотрудниками банков, в которых похищенные суммы были обналичены и сняты со счетов. Для подстраховки преступники завербовали специалиста телефонной станции того населенного пункта, из которого осуществлялось общее управление криминальной операцией. В этом населенном пункте на подставное лицо была снята квартира, в которой преступники установили необходимое оборудование, включающее в себя сам компьютер, средства связи и источники бесперебойного питания. В данной квартире работал главный исполнитель. Помимо него, в разных районах населенного пункта было задействовано еще примерно 10-12 компьютеров с операторами, так как один компьютер не обеспечит эффективного проведения операции. Таким образом, общее число участников преступления составило 30 человек. Однако об ее истинной цели знали не более 5 человек - главный исполнитель и его непосредственные помощники. Остальные участники использовались «втемную» - каждый из них знал лишь о своей конкретной задаче.

Проникновение в компьютерную сеть банка осуществлялось путем опосредованного доступа, рассмотренного нами выше.

При осуществлении преступной деятельности главный исполнитель в период прохождения фиктивных платежных поручений ввел через свой компьютер основное платежное поручение и поставил его первоочередным на обработку и отправку по указанным адресам. После этого он ввел фиктивные поручения в целях сокрытия основной проводки. Сразу же после оплаты основного платежного поручения, была дезорганизована система взаиморасчетов банка со своими клиентами, что на некоторое время полностью парализовало ее.

В целях более глубокого понимания механизма совершения преступления в сети Интернет, рассмотрим его на примере входа в сеть с использованием сетевых реквизитов (имени и пароля), принадлежащих другим лицам. Преступление совершается следующим образом. Прежде всего, преступнику необходимо завладеть чужими сетевыми реквизитами. Обычно это происходит по одной из следующих схем.

Путем распространения либо предоставления доступа к вредоносной программе типа «троянский конь», замаскированной под другую программу либо документ. Пользователь, переписавший и запустивший данный файл, активизирует «вирус», который самостоятельно собирает информацию о реквизитах данного пользователя и пересылает на компьютер злоумышленника.

Злоумышленник сам, либо используя одну из программ (например, Legion), находит компьютер, работающий в сети, подключается к нему и копирует к себе на диск файл с расширением pwl, содержащий все используемые данным компьютером коды доступа в зашифрованном виде, после чего дешифрует их (например, с помощью программы pwlview.exe).

Приобретает у третьих лиц полученные одним из перечисленных ранее способов нужные сетевые реквизиты.

Наши рекомендации