Лекция 38. Методика расследования преступлений в сфере компьютерной информации
Одним из следствий массовой компьютеризации в России явились преступления в сфере компьютерной информации. Интеграция современных информационных технологий практически во все области человеческой деятельности привела к тому, что с помощью компьютерных средств и систем совершаются «традиционные» преступления (например, присвоение, кража, мошенничество, фальшивомонетничество, лжепредпринимательство и др.).
Компьютерные технологии используются с целью: фальсификации платежных документов; хищения наличных и безналичных денежных средств путем перечисления на фиктивные счета; отмывания денег; вторичного получения уже произведенных выплат; совершения покупок с использованием фальсифицированных или похищенных электронных платежных средств; продажи секретной информации и проч.
Преступления, сопряженные с использованием компьютерных технологий, представляют серьезную угрозу для любой располагающей компьютерной техникой организации. При этом наряду с высокой степенью риска ей наносится и значительный материальный ущерб: вывод из строя электронно-вычислительной системы в результате возникновения нештатной технической ситуации или преступления может привести даже самый крупный банк к полному разорению за четверо суток, а более мелкое учреждение — за сутки.
Преступления, совершаемые с использованием компьютерных средств и систем, принято называтькомпьютерными преступлениями. Эта дефиниция должна употребляться не в уголовно-правовом аспекте, где это только затрудняет квалификацию деяния, а в криминалистическом, поскольку связана не с квалификацией, а именно со способом совершения и сокрытия преступления и, соответственно, с методикой его раскрытия и расследования.
Компьютерная информация применительно к процессу доказывания может быть определена как фактические данные, обработанные компьютерной системой и (или) передающиеся по телекоммуникационным каналам, а также доступные для восприятия, на основе которых в определенном законом порядке устанавливаются обстоятельства, имеющие значение для правильного разрешения уголовного или гражданского дела. Источниками компьютерной информации служат:
- машинная распечатка;
- накопители на магнитных, оптических и иных носителях;
- база данных (фонд) оперативной памяти ЭВМ или постоянного запоминающего устройства.
Для совершения компьютерных преступлений злоумышленники используют:
- подбор паролей, ключей и другой идентификационной или аутентификационной информации;
- подмену IP-адресов пакетов, передаваемых по Интернету или другой глобальной сети, так, что они выглядят поступившими изнутри сети, где каждый узел доверяет адресной информации другого;
- инициирование отказа в обслуживании — воздействие на сеть или отдельные ее части с целью нарушения порядка штатного функционирования;
- прослушивание и расшифровку трафика с целыо сбора передаваемых паролей, ключей и другой идентификационной или аутентификационной информации;
- сканирование с использованием программ, последовательно перебирающих возможные точки входа в систему (например, номера TCP-портов или телефонные номера) с целью установления путей и возможностей проникновения;
- подмену, навязывание, уничтожение, переупорядочивание или изменение содержимого данных (сообщений), передаваемых по сети, и др.
Известны следующиеспособы совершения компьютерных преступлений:
а) методы перехвата: подключение к компьютерным сетям; поиск данных, оставленных пользователем после работы с компьютером, для обнаружения паролей, имен пользователей и др.;
б) методы несанкционированного доступа: подключение к линии законного пользователя через Интернет, через слабые места в защите системы, при системной поломке либо под видом законного пользователя (физический вариант - пользователь выходит ненадолго, оставляя терминал в активном режиме). Системы, не обладающие средствами аутентичной идентификации (по отпечаткам пальцев, голосу и т. п.), оказываются без защиты против этого приема. Простейший путь - получение идентифицирующих шифров законных пользователей либо использование особой программы, применяемой в компьютерных центрах при сбоях в работе ЭВМ;
в) методы манипуляции:
- подмена данных - изменение или введение новых данных осуществляется, как правило, при вводе или выводе информации с ЭВМ;
- манипуляции с пультом управления компьютера - механическое воздействие на технические средства машины, что создает возможность манипулирования данными;
- «троянский конь» - тайный ввод в чужую программу команд, позволяющих, не изменяя работоспособность программы, осуществить определенные функции. Этим способом преступники обычно отчисляют на свой счет определенную сумму с каждой операции. Вариантом является «салями», когда отчисляемые суммы малы и их потери практически незаметны (например, по 10 центов с операции), а накопление осуществляется за счет большого количества операций;
- «бомба» - тайное встраивание в программу набора команд, которые должны сработать (или срабатывать каждый раз) при определенных условиях либо в определенные моменты времени (например, вирус «Чернобыль», который активизируется 26 апреля - в день аварии на Чернобыльской АЭС);
- моделирование процессов, в которые преступники хотят вмешаться, и планируемые методы совершения и сокрытия посягательства для оптимизации способа преступления. Одним из вариантов является реверсивная модель, когда создается модель конкретной системы, в которую вводятся реальные исходные данные и учитываются планируемые действия. Из полученных правильных результатов подбираются правдоподобные желательные. Затем путем прогона модели назад, к началу, выясняют результаты и устанавливают, какие манипуляции с исходными данными нужно проводить. Таких операций может быть несколько. После этого остается только осуществить задуманное.
Как правило, компьютерные преступления совершаются с помощью того или иного сочетания приемов.
Личность преступника отличается целым рядом особенностей:
- четко формулирует любую профессиональную задачу, но часто характеризуется хаотическим поведением в быту;
- обладает развитым формально-логическим мышлением, которое зачастую подводит в реальной жизни;
- стремится к точности, четкости и однозначности в языке, постоянно задает уточняющие вопросы и переспрашивает, что вызывает раздражение собеседника;
- постоянно использует компьютерный жаргон, малопонятный непосвященным.
Отечественные правонарушители в сфере компьютерной информации могут быть разделены на две возрастные группы: первая - 14-20 лет, вторая - с 21 года и старше. Представители первой возрастной группы - это старшие школьники или студенты младших курсов высших или средних специальных учебных заведений, которые активно ищут пути самовыражения и находят их, погружаясь в виртуальный мир компьютерных сетей. При этом чаще всего ими движет скорее любопытство и желание проверить свои силы, нежели корыстные мотивы.
К числу особенностей, указывающих на совершение компьютерного преступления лицами рассматриваемой категории, можно отнести: отсутствие целеустремленной, продуманной подготовки к преступлению; оригинальность способа; непринятие мер к сокрытию преступления; факты немотивированного озорства.
Компьютерные преступники, входящие во вторую возрастную группу, - это уже вполне сформировавшиеся личности, обладающие высокими профессиональными и устойчивыми преступными навыками, а также определенным жизненным опытом. Совершаемые ими деяния носят осознанный корыстный характер, при этом, как правило, предпринимаются меры по противодействию раскрытию преступления. Преступления, которые носят серийный, многоэпизодный характер, обязательно сопровождаются действиями по сокрытию. Это обычно высококвалифицированные специалисты с высшим математическим, инженерно-техническим или экономическим образованием, входящие в организованные преступные группы и сообщества, прекрасно оснащенные технически (нередко специальной оперативной техникой). Особую опасность с точки зрения совершения преступлений в сфере компьютерной информации представляют профессионалы в области новых информационных технологий. На долю этой группы приходится большинство особо опасных должностных преступлений, совершаемых с использованием средств компьютерной техники, присвоений денежных средств в особо крупных размерах, мошенничества и проч.
Среди мотивов и целей совершения посягательств можно выделить:
- корыстные (присвоение денежных средств и имущества);
- политические (шпионаж, деяния, направленные на подрыв финансовой и денежно-кредитной политики, валютной системы страны);
- исследовательский интерес;
- хулиганские побуждения и озорство;
- месть и иные побуждения.
Сведения о потерпевшей стороне. Потерпевших можно подразделить на три основные группы: собственники компьютерной системы; клиенты, пользующиеся их услугами; иные лица.
Потерпевший, особенно относящийся к первой группе, часто неохотно сообщает (или вовсе не сообщает) правоохранительным органам о преступных фактах в сфере движения компьютерной информации по следующим причинам:
- из-за некомпетентности сотрудников правоохранительных органов в данном вопросе;
- боязни, что убытки от расследования превысят размер причиненного ущерба и к тому же будет подорван авторитет фирмы;
- боязни раскрытия в ходе судебного разбирательства системы безопасности организации;
- боязни выявления собственных незаконных действий; боязни должностных лиц, что одним из итогов расследования станут выводы об их профессиональной непригодности (некомпетентности);
- из-за правовой неграмотности;
- из-за непонимания истинной ценности имеющейся информации.
Можно выделить следующиетипичные следственные ситуации. Компьютерное преступление произошло:
- в условиях очевидности — характер и его обстоятельства известны (например, какой вирус и каким способом введен в компьютерную сеть) и выявлены потерпевшим собственными силами, преступник известен и задержан (явился с повинной);
- известен способ совершения, но механизм преступления в полном объеме неясен (например, произошел несанкционированный доступ к файлам законного пользователя через Интернет, через слабые места в защите компьютерной системы), преступник известен, но скрылся;
- налицо только преступный результат (например, дезорганизация компьютерной сети банка), механизм преступления и преступник неизвестны.
В первом случае необходимо установить, имелась ли причинно-следственная связь между несанкционированным проникновением в компьютерную систему и наступившими последствиями (сбоями в работе, занесением компьютерного вируса и проч.), определить размеры ущерба.
Во втором случае первоочередной задачей наряду с указанными выше,
являются розыск и задержание преступника.
В наименее благоприятной третьей ситуации необходимо установить механизм преступления.