Криміналістична характеристика комп’ютерних злочинів
До числа елементів криміналістичної характеристики комп’ютерних злочинів можливо віднести:
— способи вчинення і приховування комп’ютерних злочинів;
— знаряддя (засоби) вчинення злочину;
— типова «слідова картина»;
— предмет злочинного посягання;
— особа злочинця;
— особа потерпілого.
Способи вчинення комп’ютерної злочинів поділяються на три групи. Перша група — це способи безпосереднього доступу. При їх реалізації інформація знищується, блокується, модифікується, копіюється, а також може порушуватися робота ЕОМ, системи ЕОМ або їх мережі шляхом видачі відповідних команд з комп’ютера, на якому інформація знаходиться. Безпосередній доступ може здійснюватися як особами, які працюють з інформацією, так і особами, які спеціально проникають до закритих зон та приміщень, де проводиться опрацювання інформації. Іноді злочинець з метою вилучення інформації, залишеної користувачами після роботи ЕОМ, обстежує робочі місця програмістів у пошуках чорнових записів, роздруківок, ділового листування (так зване «прибирання сміття») або здійснює перегляд і відновлення стертих програм. При цьому необхідно відзначити, що такий спосіб у даний час менш поширений у зв’язку з тим, що комп’ютерну інформацію легше перехопити при її передачі телекомунікаційними каналами і комп’ютерними мережами, ніж при безпосередньому проникненні до приміщення.
Друга група включає способи опосередкованого (віддаленого) доступу до комп’ютерної інформації. До них можна віднести:
1) підключення до лінії зв’язку законного користувача (наприклад, до телефонної лінії) і одержання тим самим доступу до його системи;
2) проникнення до чужої інформаційної мережі шляхом автоматичного перебору абонентських номерів із наступним з’єднанням з тим або іншим комп’ютером. Перебір здійснюється доти, поки на іншому кінці лінії не «озветься» чужий комп’ютер (комп’ютерний «абордаж»);
3) проникнення до комп’ютерної системи з використанням чужих паролів, коли незаконний користувач видає себе за законного користувача.
При подібному способі, який одержав назву «повільний вибір», незаконний користувач здійснює підбір пароля для доступу до чужого комп’ютера, використовуючи для цього спеціально розроблені програми. Підібравши необхідний пароль (на думку спеціалістів, для підбору восьмизначного пароля потрібно не більше доби), незаконний користувач одержує доступ до комп’ютерної інформації і може проводити з нею будь-які дії під виглядом законного користувача: копіювати, модифікувати, видаляти, змушувати програми виконувати необхідні операції, наприклад, перераховувати кошти на свої рахунки, фальсифікувати платіжні документи, викрадати конфіденційну інформацію та ін.Третю групу складають змішані способи, що можуть здійснюватися як шляхом безпосереднього, так і опосередкованого (віддаленого) доступу. До числа таких способів відносяться:
1) підміна даних — заміна або введення нових даних, що здійснюються, як правило, коли інформація вводиться або виводиться з ЕОМ;
2) таємне введення до чужої програми таких команд, що допомагають їй здійснити нові, незаплановані функції при одночасному зберіганні її працездатності («троянський кінь»). Наприклад, впроваджена програма може виконувати копіювання файлів, але одночасно знищувати дані про фінансову діяльність підприємства;
3) модифікація програм шляхом таємного впровадження до програми набору команд, що повинні спрацювати за певних умов через деякий час («логічна бомба»). Наприклад, як тільки програма перерахує кошти на підставний рахунок, вона самознищиться і при цьому знищить всю інформацію про здійснену операцію;
4) здійснення доступу до баз даних і файлів законного користувача за рахунок знаходження слабких місць у системах захисту («маскарад» або «самозванство» — хтось проникає до комп’ютерної системи, видаючи себе за законного користувача). Системи, що не мають засобів автентичної ідентифікації (наприклад, за фізіологічними характеристиками: за відбитками пальців, сітківкою ока, голосом тощо), залишаються без захисту проти цього прийому.
Найпростіший шлях його здійснення — одержати ідентифікаційні коди законних користувачів. Виявивши їх, з’являється можливість читати й аналізувати наявну в системі інформацію, копіювати її, повертатися до неї по мірі необхідності;5) використання помилок у логіці побудови програми і виявлення «прогалин». У літературі подібного роду способи одержали найменування «аварійний» і «склад без стін». Перший дозволяє здійснити несанкціонований доступ до інформації в момент спрацьовування спеціальних програм, які застосовуються на випадок виникнення збоїв або
213
інших відхилень у роботі ЕОМ. Другий — у результаті системної поломки, коли деякі файли користувача залишаються відкритими і злочинець одержує можливість несанкціонованого доступу до цієї бази даних;
6) поширення по комп’ютерним мережам або шляхом продажу програм, що призводять до знищення або блокування інформації, порушення працездатності ЕОМ, системи ЕОМ або їх мережі, включаючи переважну більшість комп’ютерних вірусів (на даний час спеціалістам відомо близько 15 тисяч видів вірусів).
Способи приховування аналізованої категорії злочинів значною мірою обумовлені способами їх вчинення.
При безпосередньому доступі до комп’ютерної інформації приховування слідів злочину зводиться до відтворення обстановки, що передує вчиненню злочину, тобто знищенню залишених слідів (наприклад, слідів пальців рук на клавіатурі, кнопках дисководів та інших поверхнях, яких торкався злочинець; слідів взуття; мікрочастинок та ін.).
При опосередкованому (віддаленому) доступі приховування полягає в самому способі вчинення злочину, що ускладнює виявлення неправомірного доступу. Так, використання універсальних програм, призначених для застосування в аварійних ситуаціях дозволяє не тільки здійснити несанкціонований доступ до комп’ютера, минаючи всі засоби захисту і контролю, а й довільно змінювати будь-які атрибути файлів, не залишаючи при цьому ніяких слідів (робота цих програм не протоколюється).
Знаряддями вчинення комп’ютерних злочинів виступають засоби комп’ютерної техніки, у тому числі і спеціальне програмне забезпечення.
До знарядь безпосереднього доступу можна віднести носії комп’ютерної інформації (лазерні диски, зовнішні жорсткі диски, flech-накопичувачі), різноманітне периферійне устаткування (наприклад, dvd-rom-накопичувачі), а також електронні ключі, особисті ідентифікаційні коди та ін. До знарядь опосередкованого (віддаленого) доступу відноситься насамперед мережеве устаткування, а також засоби доступу до віддалених мереж (засоби телефонного і супутникового зв’язку, модем).Типова «слідова картина». Типові сліди, що залишаються злочинцями, доцільно об’єднати у дві групи: речові та інтелектуальні.
До першої групи входять:
а) сліди, що залишаються на засобах комп’ютерної техніки (сліди пальців рук, мікрооб’єкти на клавіатурі, дисководах, принтері, а також на магнітних носіях і CD та DVD дисках);
б) сліди, що залишаються на «робочому» місці злочинця, так звані сліди засобів для налагодження програм проникнення (наприклад, які- небудь рукописні записи — списки паролів, коди, таблиці шифрування, чернетки тощо);
в) сліди, що залишаються на засобах захисту інформації (спеціальних електронних картках, електронних ключах доступу до персонального комп’ютера, пристроях упізнання користувача за голосом тощо).
Другу групу складають:
а) сліди, що вказують на зміни в заданій файловій структурі (перейменування каталогів і файлів, зміна розмірів і змісту файлів, зміна стандартних реквізитів файлів, поява нових каталогів і файлів, видалення з каталогів імен файлів, стирання або додавання окремих записів, фізичне знищення або розмагнічування носіїв та ін.);
б) сліди, що є результатом роботи антивірусних і тестових програм;
в) сліди, що відбивають зміни в заданій конфігурації комп’ютера (зміна файлів, поява нових і видалення старих мережевих пристроїв, зміна порядку взаємодії з периферійним устаткуванням (принтером, модемом тощо);
г) сліди, що характеризують незвичні прояви в роботі ЕОМ (уповільнене або неправильне завантаження операційної системи, уповільнена реакція машини на введення з клавіатури, уповільнена робота машини з накопичувачами при записі і зчитуванні інформації, неадекватні реакції ЕОМ на команди користувача, поява на екрані нестандартних символів, знаків та ін.);
ґ) сліди руху пакетів інформації з мережі Інтернет, де кожний забезпечується адресою комп’ютера-одержувача і по шляху проходження проходить декілька вузлових комп’ютерів (серверів), на яких залишаються сліди реєстрації проходження пакетів і сліди, залишені в результаті неправомірних дій злочинця.
Особа злочинця. Суб’єктами вчинення комп’ютерних злочинів є наступні категорії громадян:
1) особи, які знаходяться в трудових відносинах з підприємством (організацією, установою, фірмою або компанією), на якому вчинений злочин (так звані внутрішні користувачі):
— оператори запровадження даних; програмісти; працівники служби захисту інформації; адміністратори баз даних; спеціалісти периферійного устаткування і засобів зв’язку; працівники, які забезпечують збереження дисків і дискет із записом інформації з обмеженим доступом; інженери; персонал, що проводить технічне обслуговування і ремонт ЕОМ, комп’ютерних систем або мереж;
— користувачі ЕОМ, які мають відповідну підготовку і вільний доступ до комп’ютерної системи або мережі;
— адміністративно-управлінський персонал — керівники, бухгалтери, економісти;
2) особи, які не знаходяться в трудових відносинах з підприємством (організацією, установою, фірмою або компанією), на якому вчинений злочин (зовнішні користувачі):
215
— особи, які займаються перевіркою фінансово-господарської діяльності підприємства та ін.;
— користувачі та обслуговуючий персонал ЕОМ інших підприємств, які пов’язані комп’ютерними мережами з підприємством, на якому вчинено злочин;
— особи, які мають у своєму розпорядженні комп’ютерну техніку і доступ до телекомунікаційних мереж (студенти вищих навчальних закладів, члени комп’ютерних клубів, курсів, шкіл, елітних приватних клубів програмістів);
— представники організацій і фірм, що займаються сервісним обслуговуванням, ремонтом, контролем і розробкою технічних і програмних засобів комп’ютерної техніки та ін.
За даними узагальнення судово-слідчої практики внутрішніми користувачами вчиняється 94% злочинів, тоді як зовнішніми користувачами — лише 6%, при цьому 70% — користувачі комп’ютерної системи, а 24% — обслуговуючий персонал. 52% осіб мали спеціальну підготовку в сфері роботи з комп’ютерною інформацією, 33% — вік до 20 років.
Активний розвиток комп’ютерних технологій призвів до формування такого узагальненого поняття комп’ютерних злочинців як «хакер».
їх визначають як особливу категорію спеціалістів у сфері обчислювальної техніки, які займаються пошуком методів і шляхів несанкціонованого доступу до комп’ютерної інформації з метою її заміни або розкрадання, а також блокування роботи мережі і виведення з ладу програмного забезпечення.Залежно від мети вчинення злочину, сфери застосування фахових навичок, хакери умовно поділяються на чотири групи:
До першої групи входять підлітки та студенти, що «зламують» коди і паролі більше через допитливість і самоствердження, прагнучи з’ясувати, що за це буде. Своїми діями вони створюють серйозні перешкоди для нормальної роботи мереж і комп’ютерів.
Другу групу хакерів складають «пірати» — особи, які займаються цілеспрямованим розкраданням нового програмного забезпечення, яке поширюється за плату. Характерним для даної категорії є формування стійких груп з чітким розподілом обов’язків між їх членами: одні «зламують» захисні коди і паролі програм, треті займаються їх реалізацією.
Третя група — це комп’ютерні хулігани, які поширюють комп’ютерні віруси, що знищують програмне забезпечення.
Злочинці четвертої групи полюють за конфіденційною інформацією, часом на замовлення, одержуючи за це матеріальну винагороду.
Особа потерпілого. Потерпілих від комп’ютерних злочинів можна поділити на три групи:
— власники комп’ютерних систем (79%);
— клієнти, які користуються їх послугами (13%);
— інші особи (8%).
При цьому слід зазначити, що потерпілі, особливо ті, що відносяться до першої групи, досить часто неохоче повідомляють (або не повідомляють зовсім) правоохоронним органам про злочинні факти у сфері комп’ютерної інформації з причин побоювання розкриття в ході досудового слідства системи безпеки та виявлення власних незаконних дій та ін. Подібна ситуація і створює високий рівень латентності даної категорії злочинів та істотно ускладнює процес їх розслідування та профілактики.
15.2.