Глава 3 Способы совершения компьютерных преступлений
Важнейшим и определяющим элементом криминалистической характеристики любого, в том числе и компьютерного, преступления является совокупность данных, характеризующих способ его совершения.
Изучением этой проблемы в отечественной криминалистической науке занимались многие исследователи, например Н.П. Яблоков, И.Ф. Герасимов, Г.Г. Зуйков, И.Ф. Пантелеев, А.Ф. Савкин и др. Среди научных работ нами особо выделяется диссертационное исследование на соискание ученой степени доктора юридических наук профессора Г.Г. Зуйкова по теме: “Криминалистическое учение о способе совершения преступления” [35]. Лежащие в основе этого учения утверждения автора о детерминированности (совпадении детерминирующих факторов) и повторяемости способов совершения преступления, выраженные в высказывании о том, что “повторяемость способов как объективное явление действительности представляет собой проявление закономерной связи и взаимозависимости явлений”, а также ряд других утверждений послужили прочным научным базисом для нашего исследования в вопросе изучения способов совершения компьютерных преступлений.
Под способом совершения преступления в криминалистическом смысле обычно понимают объективно и субъективно обусловленную систему поведения субъекта до, в момент и после совершения преступления, оставляющего различного рода характерные следы, позволяющие с помощью криминалистических приемов и средств получить представление о сути происшедшего, своеобразии преступного поведения правонарушителя, его отдельных личностных данных и соответственно определить наиболее оптимальные методы решения задач раскрытия преступления [106, с. 327]. Иными словами, способ совершения преступления слагается из комплекса специфических действий правонарушителя по подготовке, совершению и маскировке преступления. Во многих случаях эти действия представляют собой целую систему со многими ее элементами и оставляют во внешней обстановке соответствующие отражения, представляющие в информационном плане своеобразную модель преступления.
Как всякий акт человеческого поведения, преступление в целом и способы его осуществления определяются взаимодействием многих причин и условий, оказывающих влияние как прямо, так и опосредованно. Поэтому способ совершения преступления всегда является результатом совокупного действия значительного числа факторов. И чем больше будут они проявляться в действиях, тем больше следов будет оставлять преступник, тем большей информацией будет располагать следователь для выдвижения следственных и розыскных версий. Применительно к рассматриваемой нами проблеме наибольшую ценность будут представлять следы, указывающие на то, каким образом преступник осуществил следующее: попал на место преступления, ушел с него, преодолел различного рода преграды, использовал свое служебное положение, выполнил намеченную преступную цель, какие навыки, знания и физические усилия применил, пытался (или не пытался) скрыть следы совершенного деяния. Не менее существенны следы, свидетельствующие о характере связи преступника с предметом преступного посягательства, и др.
Именно такого рода признаки, проявляющиеся вовне, и позволяют создать основу для наиболее быстрого распознавания в процессе первоначальных следственных действий по делу того или иного характерного способа совершения расследуемого преступления даже по его отдельным признакам. Это соответственно дает возможность точнее определить направление и методы выявления остальных недостающих данных о предполагаемом способе совершения преступления и преступнике в целях быстрого раскрытия расследуемого преступления. При этом, с криминалистической точки зрения, важно не только выявить все внешние проявления, но и установить, что в нем было заранее заготовлено правонарушителем, а что явилось результатом приспособления к сложившейся на момент преступления внутренней и внешней обстановке (7, с. 243]. Это связано с тем, что сам факт и характер вносимых в заранее продуманный способ совершения преступления корректив также содержит существенную информацию о степени осведомленности преступника в той обстановке, которая сложилась к моменту преступного деяния, о привычках, навыках, наличии преступного опыта, некоторых физических, интеллектуальных, профессиональных и иных особенностях субъекта этого деяния.
Как известно, способ совершения преступления является в ряде составов необходимым элементом объективной стороны преступления и входит в его уголовно-правовую характеристику, а иногда служит и квалифицирующим обстоятельством. Некоторые способы совершения преступления, хотя и не предусмотренные в качестве квалифицирующих обстоятельств, всегда играют роль обстоятельств, отягчающих или смягчающих ответственность виновного. Во многих случаях способ совершения преступления, не указанный в тексте той или иной статьи Уголовного кодекса Российской Федерации, учитывается судом при избрании конкретной меры наказания и, следовательно, имеет уже уголовно-правовое значение и является элементом уголовно-правовой характеристики преступления. Отсюда видно, что характеристика способа совершения преступления не исчерпывается его уголовно-правовым значением, так как в уголовно-правовой характеристике способ совершения преступления представлен в общем виде, например способ открытого или тайного похищения, проникновение в помещение и т. д., и для нее безразличны приемы тайного похищения, конкретные способы проникновения в помещение, используемые при этом технические средства, источник их получения и т. д. В этом случае мы имеем дело уже с криминалистической характеристикой способа совершения преступления.
Структура способа совершения преступления как в криминалистическом, так и в уголовно-правовом смысле — категория непостоянная. В зависимости от своеобразия поведения преступника, ситуаций, возникающих до и после совершения преступления, и иных обстоятельств, она может быть трех видов:
1) трехзвенной (включающей поведение субъекта до, во время и после совершения преступления);
2) двухзвенной (в различных комбинациях);
3) однозвенной (характеризовать поведение субъекта лишь во время самого преступного акта) [106, с. 328].
Помимо этого, с криминалистической точки зрения, способ совершения преступления всегда конкретен и у него имеется немало таких граней, которые имеют важное следственно-оперативное значение.
Среди них можно выделить следующие: распространенность данного способа, конкретные приемы его применения, используемые при этом технические и иные средства, их конструктивные особенности, методы использования при подготовке и исполнении преступления, а также сведения о том, как подготавливается преступление, каким образом проводятся тренировки, как и где изготавливаются или приспосабливаются необходимые орудия и другие технические средства совершения преступления, каковы источники их получения, какие недостатки в их учете и хранении облегчили доступ к ним преступных элементов, какие технологические процессы, оборудование, материалы использовались для их изготовления, каким образом они применялись при совершении преступления, и т. д. — все это входит в понятие криминалистической характеристики способов совершения преступления [67, с. 33].В настоящее время в отечественной и зарубежной криминалистической науке не существует сколько-нибудь определенных понятий в вопросах характеристики способов совершения компьютерных преступлений, их конкретных названий и классификации. Эта проблема настолько нова для науки, что находится пока лишь в стадии осмысления и теоретических разработок. Особенно это касается отечественной криминалистической науки, которая всерьез стала заниматься этими вопросами лишь с начала 90-х гг., тогда как зарубежные исследователи — с конца 70-х гг. [86 и 32, с. 36]. У наших зарубежных коллег в . этом плане уже имеется ряд ценных, с научной и практической точек зрения, разработок, которые, по нашему мнению, необходимо использовать при изучении и решении аналогичных вопросов в отечественной криминалистической науке с учетом определенных объективных и субъективных поправок и приближений, диктуемых реальностью функционирования и развития нашего общества, его политическими, правовыми, социальными и экономическими составляющими.
Такое почти двадцатилетнее отставание отечественной криминалистической науки от зарубежной в вопросах исследования компьютерных преступлений обусловлено, на наш взгляд, рядом объективных причин, одной из которых является сам факт появления компьютерных преступлений, целиком и полностью зависящий от уровня информатизации общества.
Например, первое компьютерное преступление было зарегистрировано в США уже в 1966 г., тогда как у нас — только в 1979 г. [2, с. 126]. Здесь отмечается тот же 20-летний временной интервал отечественного “отставания”, который совпадает в этом плане и с временными рубежами начала процесса бурной компьютеризации.В настоящее время, как это отмечалось нами выше, в юридической литературе существуют различные точки зрения в вопросах выделения, классификации и названия способов совершения компьютерных преступлений. Например, в июне 1983 г. Министерством здравоохранения США для Комитета по науке и технике конгресса был подготовлен доклад на тему: “Компьютерные преступления и правонарушения в правительственных учреждениях”, в котором исследователями было выделено 17 основных способов совершения компьютерных правонарушений [71, с. 251].
В основу доклада был положен опрос респондентов о всех случаях компьютерных мошенничеств и злоупотреблений, совершенных в период времени с 1 января 1978 г. по 31 марта 1982 г. Под компьютерным мошенничеством авторами доклада понималось любое незаконное умышленное действие (или ряд действий) с целью искажения данных для получения выгоды, если оно совершалось посредством манипулирования процессами ввода и передачи данных, коммуникациями, операционной системой и оборудованием. Компьютерным злоупотреблением авторы доклада считали правонарушение, включающее в себя неправомерное использование, уничтожение, изменение обрабатываемых информационных ресурсов. Респондентами опроса являлись 12 федеральных учреждений США, среди которых, в частности, были министерства обороны, энергетики, финансов, юстиции. Из 215 актов опроса 43 были исключены, т. к. они не содержали в себе компьютерных правонарушений, а остальные 172 составляли 69 мошенничеств и 103 злоупотребления, исходя из их определений, приведенных нами выше [71, с. 250].
Как видно из вышеизложенного, подавляющее большинство хищений совершается путем манипулирования входными и выходными данными, а также созданием несанкционированных файлов.
В 70% случаев хищений установлено использование нескольких способов одновременно.При злоупотреблениях наиболее часто правонарушителями использовались следующие способы: введение несанкционированных данных, создание несанкционированных файлов, программирование для личных целей. Наиболее распространенной формой является кража машинного времени. Как и при хищениях, в большинстве случаев злоупотреблений (в 78% случаев) применялось сочетание различных способов [71, с. 250].
В связи с отсутствием аналогичных отечественных статистических данных по рассматриваемому кругу вопросов мы считаем возможным с определенной степенью условности оперировать приведенными выше данными зарубежных исследований применительно к отечественной практике. Тем более, что материалы конкретных уголовных дел подтверждают правоту зарубежных коллег.
На основе анализа конкретных уголовных дел по преступлениям, совершенным с использованием средств компьютерной техники, а также всестороннего изучения специальной литературы нами выделяется свыше 20 основных способов совершения компьютерных преступлений и около 40 их разновидностей, число которых постоянно увеличивается по причине использования преступниками различных их комбинаций и логической модификации алгоритмов. Данное явление обусловлено как сложностью самих средств компьютерной техники, так и разнообразием и постоянным наращиванием выполняемых информационных операций, многие из которых отражают движение материальных ценностей, финансовых и денежных средств, научно-технических разработок и т. д., предопределяющих объект, предмет и орудие преступления. Немаловажным здесь является и факт специфичности самих средств вычислительной техники, участвующих в информационных процессах, выраженный в их двойственности: и как предмет, и как средства совершения преступного посягательства.
В то же время следует подчеркнуть, что практически все способы совершения компьютерных преступлений имеют свои индивидуальные, присущие только им признаки, по которым их 1 можно распознать и классифицировать в отдельные общие группы. Как правило, их основой являются действия преступника, направленные на получение различной степени доступа к средствам компьютерной техники. В большинстве своем, все эти действия сопровождаются весьма квалифицированными и хитроумными способами маскировки, что само по себе затрудняет процесс выявления, раскрытия и расследования преступления. Исследование показало, что в большинстве случаев преступниками используются различные количественные и качественные комбинации нескольких основных способов, имеющих достаточно простой алгоритм исполнения и хорошо известных отечественной юридической практике по традиционным видам преступлений. По мере их модификации и постоянного усложнения логических связей появляются все новые и новые способы, отличительной особенностью которых является уже наличие сложных алгоритмов действий преступника, которые из преступления в преступление все более совершенствуются и модернизируются. Происходит как бы их “естественный отбор”. Именно по этому принципу и будет построено наше дальнейшее исследование.
Все способы совершения компьютерных преступлений нами классифицируются в пять основных групп. При этом в качестве основного классифицирующего признака выступает метод использования преступником тех или иных действий, направленных на получение доступа к средствам компьютерной техники с различными намерениями. Руководствуясь этим признаком, мы выделили следующие общие группы (здесь и далее по тексту нами используется методологический подход Ю.М. Батурина в части, во-первых, некоторых терминологических выражений и, во-вторых, ряда предложенных им классификаций — см.: 2, с. 138—159):
1) изъятие средств компьютерной техники (СКТ);
2) перехват информации;
3) несанкционированный доступ к СКТ;
4) манипуляция данными и управляющими командами;
5) комплексные методы.
Рассмотрим их более подробно. ” К первой группе нами относятся традиционные способы совершения обычных видов (“некомпьютерных”) преступлений, в которых действия преступника направлены на изъятие чужого имущества. Под чужим имуществом в данном случае понимаются средства компьютерной техники, подробно классифицированные нами в первой главе работы. С уголовно-правовой точки зрения подобные преступные деяния будут квалифицироваться соответствующими статьями Уголовного законодательства, например шпионаж, хищение, разбой, вымогательство, присвоение найденного или случайно оказавшегося у виновного чужого имущества, мошенничество и т. п. Характерной отличительной чертой данной группы способов совершения компьютерных преступлений будет тот факт, что в них средства компьютерной техники будут всегда выступать только в качестве предмета преступного посягательства, а в качестве орудия совершения преступления будут использоваться иные инструменты, технические устройства и приспособления (или без их использования), не являющиеся средствами компьютерной техники. Например, по материалам уголовного дела, расследованного следственным отделом ГУВД г. В. Волгоградской области, возбужденного по факту кражи чужого имущества, было установлено, что 3 мая 1994 г. в 3.00 неизвестные лица, перепилив с помощью ножовки по металлу прутья оконных металлических решеток, проникли в необорудованный охранной сигнализацией операционный зал государственного Сбербанка, откуда похитили два системных блока персональных компьютеров стандартной модификации типа IBM PC/AT-386 и РС/АТ-286, содержащих в своей постоянной памяти банк данных на всех вкладчиков Сбербанка, физических и юридических лиц, кредиторов с полными установочными данными, зафиксированными электромагнитным способом на жестком магнитном диске (винчестере). Как видно из приведенного примера, способ совершения компьютерного преступления достаточно прост и традиционен. Именно подобные ему способы совершения компьютерных преступлений и относятся нами к рассматриваемой группе. К ней, в частности, мы относим и различные способы совершения преступлений, связанных с противоправным изъятием различных физических носителей ценной информации: магнитных лент и дисков, оптических и магнитооптических дисков, электронных кредитных карточек, электронных акций, услуг и т. п. Например, 5 декабря 1994 г. в г. Красноярске из НИИ “Биофизика” преступниками был похищен магнитный диск (дискета), на котором находилась медицинская программа по иммунологии, оцениваемая специалистами в 720 тыс. долл. США [60, с. I].
Данные способы совершения преступлений достаточно полно изучены отечественной криминалистической наукой и мы считаем нецелесообразным их подробное рассмотрение в работе, т. к. это будет выходить за рамки выделенной нами темы.
Рассмотрим более подробно остальные группы способов совершения компьютерных преступлений, являющие собой неисследованную область отечественной криминалистической науки. В связи с этим считаем необходимым подчеркнуть, что особую научную ценность, на наш взгляд, при исследовании данного вопроса представляют положения о структуре и содержании способов совершения компьютерных преступлений, предложенные Батуриным Ю.М. [см.: 2, с. 138-159; 4, с. 11-22]. Поэтому, мы считаем возможным далее по тексту настоящей работы использовать его лексический перевод оригиналов названий способов с английского языка, которые наиболее часто применяются в международной юридической практике, а также подвергнуть некоторой детализации и конкретизации содержание предложенных автором дефиниций, дополнив их по некоторым позициям с целью придания им криминалистического значения.
“ Ко второй группе нами относятся способы совершения компьютерных преступлений, основанные на действиях преступника, направленных на получение данных и машинной информации посредством использования методов аудиовизуального и электромагнитного перехвата, широко практикуемых в оперативно-розыскной деятельности правоохранительных органов. Отметим, что в этой и последующих рассматриваемых нами группах средства компьютерной техники будут выступать как в качестве предмета, так и в качестве орудия совершения преступного посягательства.
1. Непосредственный (активный) перехват. Осуществляется с помощью непосредственного подключения к телекоммуникационному оборудованию компьютера, компьютерной системы или сети, например линии принтера или телефонному проводу канала связи, используемого для передачи данных и управляющих сигналов компьютерной техники, либо непосредственно через соответствующий порт персонального компьютера. В связи с этим различают:
1) форсированный перехват (wilful intercept), представляющий собой перехват сообщений, направляемых рабочим станциям (ЭВМ), имеющим неполадки в оборудовании или каналах связи;
2) перехват символов (character seize) — выделение из текста, набираемого пользователем на клавиатуре терминала, знаков, не предусмотренных стандартным кодом данной ЭВМ;
3) перехват сообщений (message wiretapping) — несанкционированное подключение специального терминала к линии связи, прием и использование сообщений, циркулирующих между абонентскими пунктами и ЭВМ [68, с. 267].
Подключение осуществляется с помощью использования бытовых средств и оборудования: телефона, отрезка провода, составляющих телефонного кабеля, компьютерного полипроводного шлейфа, зажимов типа “крокодил”, специальных щупов-игл от контрольно-измерительной аппаратуры (в т. ч. и для прокалывания изоляционного слоя), набора радиомонтажных инструментов, кассетного портативного магнитофона, принтера, модема, либо персонального компьютера типа “Laptop” в блокнотном и субблокнотном исполнении.
После подключения к каналу связи, вся информация записывается на физический носитель или переводится в человеко-читаемую форму посредством бытовой или специальной радиоэлектронной аппаратуры [89, с. 13].
В качестве специальной аппаратуры преступниками могут использоваться:
а) компьютеризированные анализаторы проводных линий связи типа РК-1155, обеспечивающие программируемую последовательность записи перехватываемой информации, совместимые с любой проводной телефонной системой и позволяющие одновременно прослушивать до 256 линий связи [40, с. 52];
б) многофункциональный цифровой регистратор сигналов типа MSR (Multi Signal Regustrator), представляющий собой современную систему сбора и обработки телефонных и радиопереговоров, построенную на основе новейших информационных технологий — обычный персональный компьютер, реализованный на базе платформы Intel с использованием платы обработки сигналов на основе процессора ADSP с 16-канальным автоматическим цифровым преобразователем и выполненный в мультимедийном конструктиве LV-8000 со встроенными колонками Sound Blaster. Интересны следующие тактико-технические данные спецкомпьютера:
— программное обеспечение работает в режиме реального времени под управлением стандартной операционной системы MS-DOS;
— обеспечивается длительный непрерывный перехват речевой, факсимильной и цифровой информации по 4-8-16-32 каналам проводной и радиосвязи (“на выбор”) с последующей ее автоматической фильтрацией (удалением шумов и фона), распознаванием (идентификацией голоса), обработкой и архивированием [87,с. 771.
2. Электромагнитный (пассивный) перехват. Не все перехватывающие устройства требуют непосредственного подключения к системе. Данные и информация могут быть перехвачены не только в канале связи, но и в помещениях, в которых находятся средства коммуникации, а также на значительном удалении от них. Так, без прямого контакта можно зафиксировать и закрепить на физический носитель электромагнитное излучение, возникающее при функционировании многих средств компьютерной техники, включая и средства коммуникации [50, с. 4]. Это физическое явление привлекает особо пристальное внимание специалистов различных профессий из-за все более широкого применения компьютерных систем обработки данных. Ведь работа всех без исключения электронных устройств сопровождается электромагнитным излучением, в результате чего в различных электронных приемных устройствах возникают нежелательные помехи.
Электронно-лучевая трубка, являющаяся центральным элементом компьютерного устройства для видеоотображения информации на экране (дисплее) излучает в окружающее пространство электромагнитные волны, несущие в себе определенную информацию, данные (“электронный смог”) [23, с. 5]. Волны, излучаемые этим прибором, примерно так же, как при телевизионном вещании, проникают сквозь различные физические преграды с некоторым коэффициентом ослабления, например через стекло оконных проемов и стены строений, а принимать их можно, как показывают данные многочисленных экспериментов, на расстоянии до 1000 м. Как только эти сигналы приняты соответствующей аппаратурой и переданы на другой компьютер (преступника), можно получить изображение, идентичное изображению, возникающему на мониторе “передающего” компьютера, для чего достаточно настроиться на его конкретную индивидуальную частоту. Каждый компьютер возможно идентифицировать по конкретным параметрам: рабочей частоте, интенсивности электромагнитного излучения и т. д. Так, благодаря излучению дисплейных терминалов, можно считывать с них данные при помощи различных технических средств, приобретаемых преступником как легальным путем, так и с использованием различных способов совершения преступлений, в том числе и выделенных нами в первой группе. Например, для осуществления преступных целей иногда достаточно смонтировать приемную антенну по типу волнового канала и имеющую более острую, чем у обычной дипольной антенны, несимметричную диаграмму направленности. После чего разработать (или использовать готовую) программу расшифровки “снятых” данных. Изготовление и подбор указанных орудий подготовки преступления могут быть осуществлены любыми лицами, имеющими средний профессиональный уровень подготовки по соответствующим специальностям.
Впервые дистанционный перехват информации с дисплея компьютера открыто был продемонстрирован в марте 1985 г. в Каннах на Международном конгрессе по вопросам безопасности ЭВМ. Сотрудник голландской телекоммуникационной компании РТТ Вим-Ван-Эк шокировал специалистов тем, что с помощью разработанного им устройства из своего автомобиля, находящегося на улице, “снял” данные с экрана дисплея персонального компьютера, установленного на восьмом этаже здания, расположенного в ста метрах от автомобиля [88, с. 37].
При совершении компьютерного преступления указанным способом преступниками в ходе осуществления криминальной “операции” используются приемы и методы оперативно-розыскной деятельности, в том числе и специальная техника. Например, различные сканирующие устройства, функционирующие на базе приемников электромагнитных сигналов типа AR-3000A, ICOM 7100/9000 и STABO XR-100 зарубежного производства, позволяющие принимать и демодулировать радиосигнал в широком диапазоне частот (стоимостью около 400 долл. США) [40, с. 54].
С исследовательской точки зрения интересен тот факт, что специалистам во время практических экспериментов удавалось принимать информацию одновременно с 25 дисплейных терминалов, расположенных в непосредственной близости друг от друга и разделять (сортировать) данные, выведенные на каждый экран из общего “электронного шума”. По мнению экспертов, теоретически возможно извлекать данные одновременно даже с 50 терминалов [3, с. 35]. Иногда преступники подключают к своему телевизионному приемнику видеомагнитофон (в обычном бытовом или портативном варианте исполнения), который позволяет им зафиксировать и накопить необходимую информацию на физическом носителе с целью ее дальнейшего анализа в стационарных условиях.
3. Аудиоперехват или снятие информации по виброакустическому каналу. Данный способ совершения преступления является наиболее опасным и достаточно распространенным. Защита от утечки информации по этому каналу очень сложна. Поэтому рассмотрим его более детально.
Этот способ съема информации имеет две разновидности: заходовую (заносную) и беззаходовую. Первая заключается в установке инфинитивного телефона (подслушивающего устройства — “таблетки”, “клопа”, “жучка” и т. п.) в аппаратуру средств обработки информации, в различные технические устройства, на проводные коммуникационные линии (радио, телефон, телевизионный кабель, охранно-пожарной сигнализации, электросеть и т. п.), а также в различные конструкции инженерно-технических сооружений и бытовых предметов, находящихся на объекте с целью перехвата разговоров работающего персонала и звуковых сигналов технических устройств (определение номера вызываемого абонента АТС и т. п.). Установка “клопа” или иной разведывательной аппаратуры на объект возможна тремя способами. В первом — необходимо скрытное или легендиро-ванное проникновение в помещение; во втором случае — ра-диопередающая и звукозаписывающая аппаратура устанавливается во время постройки или ремонта помещения; в третьем — приобретается или заносится самой потерпевшей стороной (монтируется в приобретаемую аппаратуру или предметы). Например, только в 1993 г. по данным отечественной фирмы “Анкорт”, специализирующейся в области защиты информации, на территории России было продано свыше 70000 специальных устройств перехвата информации зарубежного производства стоимостью от 500 до 2000 долл. США. Наиболее часто закупалась следующая специальная техника:
— спецмикрофоны с рабочим диапазоном свыше 400 МГц (заносные и закладные, с прикрытием сигнала и без, с возможным дистанционным управлением);
— диктофоны с длительной записью различных модификаций;
— цифровые адаптивные фильтры типа АФ-512, DAC-256 и DAC-1024, позволяющие проводить обработку зашумленных речевых сигналов в реальном масштабе времени с эффективным подавлением помех [40, с. 55].
Обнаружить аппаратуру съема информации крайне трудно и технически сложновыполнимо, так как она, обычно, очень хорошо камуфлируется преступником (под микросхему, зажигалку, булавочную головку и т. д.) и может устанавливаться как внутри зоны контролируемого помещения, так и за ее пределами, а в ряде случаев — на значительном расстоянии.
Вторая — беззаходовая разновидность — наиболее опасна. Заключается она в следующем. Акустические и вибрационные датчики съема информации устанавливают на инженерно-технические конструкции, находящиеся за пределами охраняемого помещения, из которого необходимо принимать речевые сигналы. Выделяют следующие типовые конструкции инженерно-технических сооружений, по которым передаются речевые сигналы: несущие стены зданий, перегородки, перекрытия, окна, оконные рамы, двери и дверные коробки, вентиляционные воздуховоды, короба коммуникационных систем, трубопроводы. При этом необязательно проникать внутрь помещения — достаточно приблизиться к нему снаружи. Датчик устанавливается либо непосредственно, либо дистанционно. В последнем, используются различные выстреливающие устройства и специальное автоматическое крепление (захват) для удержания датчика на конструкции.
Иногда на более высокопрофессиональном уровне преступником могут использоваться направленные спецмикрофоны и дорогостоящие лазерные устройства, предназначенные для дистанционного снятия речевой информации через открытые сквозные проемы (двери, окна, форточки, мусоро- и воздухопроводы и т. п.) и оконные (автомобильные) стекла. Естественно, что при использовании подобной аппаратуры, которая помещается в маленьком дипломате, чемодане, коробке, установка датчика на объект не требуется [84, с. 316-317].
4. Видеоперехват. Данный способ совершения преступления заключается в действиях преступника, направленных на получение
С исследовательской точки зрения интересен тот факт, что специалистам во время практических экспериментов удавалось принимать информацию одновременно с 25 дисплейных терминалов, расположенных в непосредственной близости друг от друга и разделять (сортировать) данные, выведенные на каждый экран из общего “электронного шума”. По мнению экспертов, теоретически возможно извлекать данные одновременно даже с 50 терминалов [3, с. 35]. Иногда преступники подключают к своему телевизионному приемнику видеомагнитофон (в обычном бытовом или портативном варианте исполнения), который позволяет им зафиксировать и накопить необходимую информацию на физическом носителе с целью ее дальнейшего анализа в стационарных условиях.
3. Аудиоперехват или снятие информации по виброакустическому каналу. Данный способ совершения преступления является наиболее опасным и достаточно распространенным. Защита от утечки информации по этому каналу очень сложна. Поэтому рассмотрим его более детально.
Этот способ съема информации имеет две разновидности: заход овую (заносную) и беззаходовую. Первая заключается в установке инфинитивного телефона (подслушивающего устройства — “таблетки”, “клопа”, “жучка” и т. п.) в аппаратуру средств обработки информации, в различные технические устройства, на проводные коммуникационные линии (радио, телефон, телевизионный кабель, охранно-пожарной сигнализации, электросеть и т. п.), а также в различные конструкции инженерно-технических сооружений и бытовых предметов, находящихся на объекте с целью перехвата разговоров работающего персонала и звуковых сигналов технических устройств (определение номера вызываемого абонента АТС и т. п.). Установка “клопа” или иной разведывательной аппаратуры на объект возможна тремя способами. В первом — необходимо скрытное или легендиро-ванное проникновение в помещение; во втором случае — ра-диопередающая и звукозаписывающая аппаратура устанавливается во время постройки или ремонта помещения; в третьем — приобретается или заносится самой потерпевшей стороной (монтируется в приобретаемую аппаратуру или предметы). Например, только в 1993 г. по данным отечественной фирмы “Анкорт”, специализирующейся в области защиты информации, на территории России было продано свыше 70000 специальных устройств перехвата информации зарубежного производства стоимостью от 500 до 2000 долл. США. Наиболее часто закупалась следующая специальная техника:
— спецмикрофоны с рабочим диапазоном свыше 400 МГц (заносные и закладные, с прикрытием сигнала и без, с возможным дистанционным управлением);
— диктофоны с длительной записью различных модификаций;
— цифровые адаптивные фильтры типа АФ-512, DAC-256 и DAC-1024, позволяющие проводить обработку зашумленных речевых сигналов в реальном масштабе времени с эффективным подавлением помех [40, с. 55].
Обнаружить аппаратуру съема информации крайне трудно и технически сложновыполнимо, так как она, обычно, очень хорошо камуфлируется преступником (под микросхему, зажигалку, .булавочную головку и т. д.) и может устанавливаться как внутри зоны контролируемого помещения, так и за ее пределами, а в ряде случаев — на значительном расстоянии.
Вторая — беззаходовая разновидность — наиболее опасна. Заключается она в следующем. Акустические и вибрационные датчики съема информации устанавливают на инженерно-технические конструкции, находящиеся за пределами охраняемого помещения, из которого необходимо принимать речевые сигналы. Выделяют следующие типовые конструкции инженерно-технических сооружений, по которым передаются речевые сигналы: несущие стены зданий, перегородки, перекрытия, окна, оконные рамы, двери и дверные коробки, вентиляционные воздуховоды, короба коммуникационных систем, трубопроводы. При этом необязательно проникать внутрь помещения — достаточно приблизиться к нему снаружи. Датчик устанавливается либо непосредственно, либо дистанционно. В последнем, используются различные выстреливающие устройства и специальное автоматическое крепление (захват) для удержания датчика на конструкции.
Иногда на более высокопрофессиональном уровне преступником могут использоваться направленные спецмикрофоны и дорогостоящие лазерные устройства, предназначенные для дистанционного снятия речевой информации через открытые сквозные проемы (двери, окна, форточки, мусоро- и воздухопроводы и т. п.) и оконные (автомобильные) стекла. Естественно, что при использовании подобной аппаратуры, которая помещается в маленьком дипломате, чемодане, коробке, установка датчика на объект не требуется [84, с. 316-317].
4. Видеоперехват. Данный способ совершения преступления заключается в действиях преступника, направленных на получение требуемых данных и информации путем использования различной видеооптической техники (в том числе и специальной). С ее помощью преступник получает, а в некоторых случаях и фиксирует требуемую информацию и данные, которые “снимаются” дистанционно с устройств видеоотображения, бумажных носителей информации (листинги, распечатки и т. д.), с нажимаемых клавиатурных клавиш при работе оператора (пользователя), а также с окружающих предметов и строительных конструкций.
Этот способ имеет две разновидности: физическую и электронную. В первом случае перехват информации производится с помощью применения преступником различной бытовой видеооптической аппаратуры, например подзорной трубы, бинокля, охотничьего прибора ночного видения, оптического прицела, видеофотоаппаратуры с соответствующими оптическими насадками (объективами) и т. п. Преступником проводится наблюдение за объектом-жертвой с некоторого расстояния с целью получения необходимой информации, которая в отдельных случаях фиксируется на физический носитель. При этом орудие преступления находится непосредственно в руках преступника.
Во-втором случае процесс получения информации преступником осуществляется с использованием специальной техники, предполагающей наличие различных каналов связи как постоянных, так и временно устанавливаемых. В данном случае передающее устройство находится непосредственно на объекте наблюдения, а приемное — в руках преступника. Может использоваться следующая спецтехника: спецвидеомагнитофоны, в т. ч. с длительной записью; оборудование для скрытой видеосъемки, включая цифровые электронные видеокамеры зарубежного производства, имеющие полную адаптацию с компьютерными системами и различными линиями связи; телекоммуникационное оборудование с радиопередающей аппаратурой; приборы ночного видения [40, с. 60].
Как и предыдущий, этот способ также носит вспомогательный характер и служит для сбора информации, требующейся для получения основных данных. Часто при этом исследуется не сама информация, а схемы, по которым происходит ее движение [32,с. 44].
5. “Уборка мусора”. Этот способ совершения преступления заключается в неправомочном использовании преступником технологических отходов информационного процесса, оставленных пользователем после работы с компьютерной техникой (48, с. 8]. Он осуществляется в двух формах: физической и электронной.
В первом случае поиск отходов сводится к внимательному осмотру содержимого мусорных корзин, баков, емкостей для технологических отходов и сбору оставленных или выброшенных физических носителей информации.
Электронный вариант требует просмотра, а иногда и последующего исследования данных, находящихся в памяти компьютера [32, с. 45]. Он основан на некоторых технологических особенностях функционирования СКТ. Например, последние записанные данные не всегда стираются в оперативной памяти компьютерной системы после завершения работы или же преступник записывает только небольшую часть своей информации при законном доступе, а затем считывает предыдущие записи, выбирая нужные ему сведения. Последнее возможно только в тех системах, в которых не обеспечивается необходимый в таких случаях иерархический принцип защиты доступа к данным. Примечателен здесь случай из зарубежной практики, когда сотрудник службы безопасности коммерческого вычислительного центра, обслуживающего несколько крупных нефтяных компаний, находясь на своем посту в зале работы клиентов, обратил внимание на то, что у одного из клиентов, работавших 1 на компьютере, перед тем, как загорится световой индикатор записи его информации на магнитный диск, всегда сравнительно продолжительное время горит индикатор считывания информации. Проведенной по данному факту доследственной проверкой было установлено, что клиент занимался промышленным шпионажем [2, с. 141].
В некоторых случаях преступником могут осуществляться действия, направленные на восстановление и последующий анализ данных, содержащихся в стертых файлах. Достижение этих целей предполагает обязательное использование в качестве орудия преступления различных программных средств специального назначения, относящихся к инструментальным программным средствам. Одним из них является программный комплекс PC Tools Deluxe, содержащиий универсальную программу pct.exe, позволяющую восстанавливать ранее стертые (“уничтоженные” с точки зрения пользователя) программы и файлы, и имеющий широкое распространение в пользовательской среде. Экспериментально было установлено, что на эту операцию преступником обычно затрачивается всего несколько минут (94, с. 45].
Отметим, что чтение информации посредством данного способа возможно в том случае, когда пользователь выключает компьютер без соответствующих действий, направленных на полное уничтожение остаточных данных.
* К третьей группе способов совершения компьютерных преступлений нами относятся действия преступника, направленные на получение несанкционированного доступа к средствам компьютерной техники. К ним относятся нижеследующие.
1. “За дураком”. Этот способ часто используется преступниками для проникновения в запретные зоны — как производственные помещения, так и электронные системы.
Типичный прием физического проникновения хорошо известен специалистам, занимающимся вопросами совершенствования оперативно-розыскной деятельности. Он заключается в следующем: держа в руках предметы, связанные с работой на компьютерной технике (элементы маскировки), нужно ожидать кого-либо, имеющего санкционированный доступ, возле запертой двери, за которой находится предмет посягательства. Когда появляется законный пользователь, остается только войти внутрь вместе с ним или попросить его помочь донести якобы необходимые для работы на компьютере предметы. Этот вариант способа рассчитан на низкую бдительность сотрудников организации и лиц, ее охраняющих. При этом преступниками может быть использован прием легендирования [75, с. 16].
На таком же принципе основан и электронный вариант несанкционированного доступа. В этом случае он используется преступником из числа внутренних пользователей путем подключения компьютерного терминала к каналу связи через коммуникационную аппаратуру (обычно используются так называемые “шнурки” — шлейф, изготовленные кустарным способом, либо внутренняя телефонная проводка) в тот момент времени, когда сотрудник, отвечающий за работу средства компьютерной техники, выбранной в качестве предмета посягательства, кратковременно покидает свое рабочее место, оставляя терминал или персональный компьютер в активном режиме.
2. “За хвост”. Этот способ съема информации заключается в следующем. Преступник подключается к линии связи законного пользователя (с использованием средств компьютерной связи) и терпеливо дожидается сигнала, обозначающего конец работы, перехватывает его “на себя”, а потом, когда законный пользователь заканчивает активный режим, осуществляет доступ к системе. Этот способ технологически можно сравнить с работой двух и более неблокированных телефонных аппаратов, соединенных параллельно и работающих на одном абонентном номере: когда телефон “А” находится в активном режиме, на другом телефоне “Б” поднимается трубка, когда разговор по телефону “А” закончен и трубка положена — продолжается разговор с телефона “Б” [55, с. 4]. Подобными свойствами обладают телефонные аппараты с функцией удержания номера вызываемого абонента. Поэтому нет особого различия в том, что подключается к линии связи — телефон или персональный компьютер.
3. “Компьютерный абордаж”. Данный способ совершения компьютерного преступления осуществляется преступником путем случайного подбора (или заранее добытого) абонентного номера компьютерной системы потерпевшей стороны с использованием, например, обычного телефонного аппарата. После успешного соединения с вызываемым абонентом и появления в головном телефоне преступника специфического позывного сигнала, свидетельствующего о наличие модемного входа/выхода на вызываемом абонентном номере, преступником осуществляется механическое подключение собственного модема и персонального компьютера, используемых в качестве орудия совершения преступления, к каналу телефонной связи. После чего преступником производится подбор кода доступа к компьютерной системе жертвы (если таковой вообще имеется) или используется заранее добытый код. Иногда для этих целей преступником используется специально созданная самодельная, либо заводская (в основном, зарубежного производства) программа автоматического поиска пароля, добываемая преступником различными путями. Алгоритм ее работы заключался в том, чтобы, используя быстродействие современных компьютерных устройств, перебирать все возможные варианты комбинаций букв, цифр и специальных символов, имеющихся на стандартной клавиатуре персонального компьютера, и в случае совпадения комбинации символов с оригиналом производить автоматическое соединение указанных абонентов. Самодельная программа автоматического поиска пароля достаточно проста в плане ее математической и программной реализации. Иногда преступниками специально похищается носитель машинной информации с уже имеющимся паролем доступа, как это видно из примера, приведенного нами при рассмотрении первой группы способов совершения преступления. После удачной идентификации парольного слова преступник получает доступ к интересующей его компьютерной системе.
Стоит обратить внимание на то, что существует множество программ-“взломщиков”, называемых на профессиональном языке HACKTOOLS (инструмент взлома). Эти программы работают 3-127 65 по принципу простого торебора символов, которые возможно ввести через клавиатуру п(рсонального компьютера. Но они становятся малоэффективным! в компьютерных системах, обладающих программой-“сторожем” компьютерных портов (данные средства будут подробно расскотрены нами в четвертой главе работы), ведущей автоматический протокол обращений к компьютерной системе и огключадщей абонентов в случае многократного некорректного доступа (ia6op ложного пароля). Поэтому в последнее время преступниками стал активно использоваться метод “интеллектуального перебора”, основанный на подборе предполагаемого пароля, исходя из заранее определенных тематических групп его принадлежности. В этом случае программе-“взломщику” передаотся некоторые исходные данные о личности автора пароля добытые преступником с помощью других способов совершздия компьютерного преступления. По оценкам специалистов, эю позволяет более чем на десять порядков сократить количство возможных вариантов перебора символов и на столысо Ж( — время на подбор пароля. Как показывают многочисленны! эксперименты, вручную с использованием метода “интеллектуального перебора” вскрывается 42% от общего числа паролей, состоленных из 8 символов (стандартная величина названия файла)
В ходе проникновения в информационные сети преступники иногда оставляют различные следы, заметив которые подвергшиеся нападению субъекты нападения меняют систему защиты информации. В ответ на это некоторые преступники намеренно сохраняют следы в первом персональном компьютере информационной сети, вводя таким способом в заблуждение сотрудников служб компьютерной безопасности, которые начинают считать, что имеют дело с неопытным любителем-дилетантом. Тем самым теряется бдительность при контроле за другими системами, к которым преступники получают последующий доступ с помощью применения другого способа.
По существу, “компьютерный абордаж” является подготовительной стадией компьютерного преступления.
4. Неспешный выбор. Отличительной особенностью данного способа совершения преступления является то, что преступник осуществляет несанкционированный доступ к компьютерной системе путем нахождения слабых мест в ее защите. Однажды обнаружив их, он может не спеша исследовать содержащуюся в системе информацию, скопировать ее на свой физический носитель и, возвращаясь к ней много раз, выбрать наиболее оптимальный предмет посягательства. Обычно такой способ используется преступником в отношении тех, кто не уделяют должного внимания регламенту проверки своей системы, предусмотренному методикой защиты компьютерной системы.
5. “Брешь”. В отличие от “неспешного выбора”, когда производится поиск уязвимых мест в защите компьютерной системы, при данном способе преступником осуществляется их конкретизация: определяются участки, имеющие ошибку (ошибки) или неудачную логику программного строения. Выявленные таким образом “бреши” могут использоваться преступником многократно, пока не будут обнаружены. Последнее возможно лишь высококвалифицированным программистом или лицом, непосредственно разработавшим данную программу.
Появление этого способа обусловлено тем, что программисты иногда допускают ошибки при разработке программных средств, которые не всегда удается обнаружить в процессе отладки программного продукта. Например, методика качественного программирования предполагает: когда программа Х требует использования программы Y — должна выдаваться только информация, необходимая для вызова Y, а не она сама. Для этих целей применяются программы группировки данных. Составление последних является делом довольно скучным и утомительным, поэтому программисты иногда сознательно нарушают методику программирования и делают различные упрощения, указывая, например, индекс места нахождения нужных данных, в рамках более общего списка команд программы. Именно это и создает возможности для последующего нахождения подобных “брешей” [2, с. 143].
Уязвимые места иногда могут быть обнаружены преступником не только в программно-логических, но и в электронных цепях. Например, не все комбинации букв используются для команд, указанных в руководстве по эксплуатации компьютера [2, с. 144]. Некоторые такие сочетания могут приводить и к появлению электронных “брешей” по аналогии с “нулевым” абонентом телефонной сети: случайный незарегистрированный абонентный номер, созданный посредством нарушения логики связи в электрических цепях коммутирующих устройств автоматической телефонной станции (АТС).
Все эти небрежности, ошибки, слабости в логике приводят к появлению “брешей”. Иногда программисты намеренно делают их для последующего использования в различных целях, в том числе и с целью подготовки совершения преступления.
5.1 “Люк”. Данный способ является логическим продолжением предыдущего. В этом случае в найденной “бреши” программа “разрывается” и туда дополнительно преступник вводит одну или несколько команд. Такой “люк” “открывается” по мере необходимости, а включенные команды автоматически выполняются. Данный прием очень часто используется проектантами программных средств и работниками организаций, занимающихся профилактикой и ремонтом компьютерных систем с целью автоматизации рутинной работы. Реже — лицами, самостоятельно обнаружившими “бреши”.
При совершении компьютерного преступления данным способом, следует обратить внимание на то, что при этом всегда преступником осуществляется преднамеренная модификация (изменение) определенных средств компьютерной техники.
6. “Маскарад”. Данный способ состоит в том, что преступник проникает в компьютерную систему, выдавая себя за законного пользователя. Системы защиты средств компьютерной техники, которые не обладают функциями аутентичной идентификации пользователя (например, по биометрическим параметрам: отпечаткам пальцев, рисунку сетчатки глаза, голосу и т. п.), оказываются незащищенными от этого способа. Самый простейший путь к проникновению в такие системы — получить коды и другие идентифицирующие шифры законных пользователей. Это можно сделать посредством приобретения списка пользователей со всей необходимой информацией путем подкупа, коррумпирования, вымогательства или иных противоправных деяний в отношении лиц, имеющих доступ к указанному документу; обнаружения такого документа в организациях, где не налажен должный контроль за их хранением; отбора информации из канала связи и т. д. Так, например, задержанный в декабре 1995 г. сотрудниками московского РУОПа преступник похищал наличные денежные средства из банкоматов банка “Столичный” с использованием обычной электронной кредитной карточки путем подбора цифровой комбинации кода доступа в компьютерную систему управления счетами клиентов банка. Общая сумма хищения составила 400 млн. руб. [83, с. 2].
Интересен пример и из зарубежной практики: преступник, являющийся законным пользователем компьютерной сети с рабочей станции передал сообщение всем пользователям сервера о том, что его телефонный номер якобы изменен. В качестве нового номера был назван номер собственного персонального компьютера преступника, запрограммированный таким образом, чтобы отвечать аналогично серверу. Пользователи, посылавшие вызов, набирали при этом свой личный код, что предусмотрено правилами электронного обмена информацией, Это обстоятельство и было использовано преступником в корыстных целях. Им был получен исчерпывающий список личных кодов пользователей. Затем, с целью сокрытия своих действий, им было послано сообщение о том, что прежний номер сервера восстановлен [2, с. 145].
В компьютерных преступлениях способ “маскарад”, так же как и способ “за дураком”, может выступать не только в электронной, но и в самой обычной физической форме. Чаще всего в этом случае преступники представляются корреспондентами, сотрудниками различных обслуживающих и вышестоящих организаций и получают необходимый им доступ к средствам компьютерной техники (используют метод легендирования).
7. Мистификация. Иногда по аналогии с ошибочными телефонными звонками случается так, что пользователь с терминала или персонального компьютера подключается к чьей-либо системе, будучи абсолютно уверенным в том, что он работает с нужным ему абонентом. Этим фактом и пользуется преступник, формируя правдоподобные ответы на запросы владельца информационной системы, к которой произошло фактическое подключение, и поддерживая это заблуждение в течение некоторого периода времени, получая при этом требуемую информацию, например коды доступа или отклик на пароль.
8. “Аварийный”. В этом способе преступником используется тот факт, что в любом компьютерном центре имеется особая программа, применяемая как системный инструмент в случае возникновения сбоев или других отклонений в работе ЭВМ (аварийный или контрольный отладчик). Принцип работы данной программы заключается в том, что она позволяет достаточно быстро обойти все имеющиеся средства защиты информации и компьютерной системы с целью получения аварийного доступа к наиболее ценным данным. Такие программы являются универсальным “ключом” в руках преступника.
9. “Склад без стен”. Несанкционированный доступ к компьютерной системе в этом случае осуществляется преступником путем использования системной поломки, в результате которой возникает частичное или полное нарушение нормального режима функционирования систем защиты данных. Например, если нарушается система иерархичного либо категорийного доступа к информации, у преступника появляется возможность получить доступ к той категории информации, в получении которой ему ранее было отказано.
К четвертой группе способов совершения компьютерных преступлений нами относятся действия преступников, связанные с использованием методов манипуляции данными и управляющими командами средств компьютерной техники. Эти методы наиболее часто используются преступниками для совершения различного рода противоправных деяний и достаточно хорошо известны сотрудникам подразделений правоохранительных органов, специализирующихся по борьбе с экономическими преступлениями. Примечателен здесь факт, что одно из первых отечественных компьютерных преступлений было совершено именно посредством использования метода манипуляции ценными данными при совершении хищения денежных средств в 1979 г. в г. Вильнюсе [2, с. 126]. А второе подобное преступление было совершено уже в 1982 г. в г. Горьком (нынешний Н. Новгород). Совершению серии подобных преступлений с использованием ' одинаковых методик, по мнению специалистов, способствовало то обстоятельство, что в этот период времени все отделения связи бывшего СССР переводились на новую централизованную автоматическую систему обработки (получения и отправки) денежных переводов клиентов, функционирующую на базе компьютерного комплекса “Онега”. Вместе с этой системой на переходном этапе компьютеризации отделений связи применялся и обычный ручной способ приема и отправления платежей. Совпадение этих двух обстоятельств (наличие автоматизированных и неавтоматизированных операций с денежными средствами) и позволило преступным группам лиц из числа работников связи совершать хищения денежных средств с использованием методов манипуляции данными [2, с. 126].
Далее, отечественная история развития этих методов такова, что уже к 1988 г. они приобрели социально опасный многочисленный характер. В настоящее время мы уже имеем более высокий их качественный и технологический уровень.
Как показывает проведенное нами исследование в отечественной практике наиболее часто преступниками стали использоваться методы манипуляции входными и выходными данными, с помощью которых совершаются хищения денежных средств в крупных и особо крупных размерах в учреждениях, организациях, на промышленных и торговых предприятиях, использующих автоматизированные компьютерные системы для обработки первичных бухгалтерских документов, отражающих кассовые операции, движение материальных ценностей и другие разделы учета. Здесь нами особо выделяется тот факт, что перевод на машинные носители учетно-экономической и финансовой информации крайне затрудняет проведение бухгалтерского и ревизионного контроля, до сих пор ориентировавшихся преимущественно на визуальную проверку, которая в условиях применения новых компьютерных технологий становится все менее эффективной.
Недооценка важности надлежащего контроля за деятельностью должностных лиц, а в некоторых местах и полное его отсутствие, а также несовершенство законодательных и организационно-технических мер защиты информационных ресурсов позволяют преступникам с помощью указанных выше методов вносить изменения в отчетность и результаты финансово-бухгалтерских операций.
“ Рассмотрим наиболее широко используемые преступниками способы совершения компьютерных преступлений, относящиеся к группе методов манипуляции данными и управляющими командами средств компьютерной техники.
1. Подмена данных — наиболее простой и поэтому очень часто применяемый способ совершения преступления. Действия преступников в этом случае направлены на изменение или введение новых данных, которое осуществляется, как правило, при вводе-выводе информации. В частности, данный способ совершения преступления применяется для приписывания счету “чужой” истории, т. е. модификации данных в автоматизированной системе банковских операций, приводящей к появлению в системе сумм, которые реально на данный счет не зачислялись. Например, таким способом экономистом Брестского областного производственного объединения К. были совершены хищения денежных средств. Как свидетельствуют материалы уголовного дела, будучи экономистом по учету заработной платы и отвечая за достоверность документов и сдачу их в ОАСУ, К. на протяжении ряда лет (начиная с 1981 г.) вносила в документы на начисление заработной платы подложные документы. В результате чего заработная плата начислялась на счета вымышленных лиц и переводилась в сберкассы г. Бреста на специально открытые ею счета: на имя матери К. (7115 руб. 63 коп.), сестры (4954 руб. 30 коп.), знакомого (5379 руб.). Всего таким образом К. похитила 22960 руб. и в 1988 г. была осуждена Брестским областным судом по ч. 1 ст. 91 УК БССР [99, с. 19].
Этот способ применялся преступниками и при хищении материальных ценностей и чужого имущества. Например, при хищениях бензина на автозаправочных станциях, применяющих автоматизированные компьютерные системы отпуска горюче-смазочных материалов (ГСМ). В этом случае преступниками производилось изменение (фальсификация) учетных данных, в частности путем частичного повреждения физических носителей машинной информации, в результате чего практически было невозможно определить количество отпущенного потребителям бензина [2, с. 126]. Этим же способом могут совершаться и преступления, связанные с оформлением фиктивных операций купли-продажи, например покупки железнодорожных и авиационных билетов, предполагающих собой использование компьютерных автоматизированных систем заказов и оформлений билетов и других проездных документов (например, система “Экспресс-2”). Так, по данным зарубежной печати, одно туристическое агентство в Великобритании было разорено конкурентами. Преступники, использовав несанкционированный доступ в автоматизированную компьютерную систему продажи авиабилетов, совершили финансовую сделку — путем подмены данных они произвели закупку билетов на самолеты на всю сумму денежных средств, находившихся на счетах туристического агентства [45, с. 14]. С научной точки зрения интересен еще один пример из зарубежной практики. Он заключается в том, что преступнику путем изменения данных в компьютерной системе управления движением грузов по нью-йоркской железной дороге “Пенн-сентрал” удалось похитить 352 железнодорожных вагона с грузами на общую сумму более 1 млн. долл. США. Следствием было установлено, что неизвестным лицом тайно были подменены данные о пунктах назначения грузов, в результате чего они были отправлены по другим адресам и похищены [2, с. 146]. По данным российских спецслужб, имеются сведения о фактах несанкционированного доступа к ЭВМ вычислительного центра железных дорог России (раздел “движение грузов и грузоперевозки”), а также к электронной информации систем учета жилых и нежилых помещений местных органов управления во многих городах [21, с. 143]. Рассмотрим данную ситуацию подробнее на смоделированном отечественном примере.
На Новокуйбышевском нефтеперерабатывающем заводе Самарской области на базе персональных компьютеров действует автоматизированная система “Сбыт”. В соответствии с работой программы, обеспечивающей функционирование этой системы, в нее закладывается вся информация о договорах и контрагентах по поставкам нефтепродуктов. При запросе оператора ЭВМ выдает данные о наличии договора поставки, а в случае необходимости — соответствующие бухгалтерские документы (товарно-транспортные накладные, пропуска, путевые листы и т. д.). Использование подобной программы позволяет оптимизировать процесс оформления договора поставки нефтепродуктов. Однако здесь возможен вариант, когда оператор может ввести в ЭВМ ложные сведения о несуществующем получателе продукции и когда на складе запросят в банке данных подтверждающую информацию об этом, то ЭВМ выдаст ее вместе с набором соответствующей необходимой документации. Впоследствии, после получения продукции фиктивным получателем, оператор удаляет из памяти ЭВМ все сведения о получателе и таким образом ликвидирует следы ввода ложных данных и сам факт осуществления операции. Все эти операции, как показывает эксперимент, производятся оператором в считанные минуты [94, с. 45-46].
1.1 Подмена кода. Это частный вариант способа подмены данных. Он заключается в изменение кода данных, например бухгалтерского учета. Рассмотрим его более подробно на одном примере.
Анализ материалов уголовного дела, возбужденного по факту хищения денежных средств в особо крупных размерах в Волгоградском промторге, свидетельствует о том, что начальником финансово-расчетного отдела централизованной бухгалтерии указанной организации К. в период с января 1982 по декабрь 1984 г. было совершено хищение выручки от реализации талонов ГСМ в размере 17033 руб. 97 коп. путем злоупотребления служебным положением. При этом К. с целью сокрытия недостачи похищенной выручки от реализации талонов ГСМ при расчете с объединением “В.”, была создана искусственная кредиторская задолженность в том же размере (17033-97) путем заведомо неправильной кодировки переноса различных сумм в исправительных справках, платежных требованиях, поручениях и других документах. Следствием было установлено, что при кодировании таких документов К. карандашом ставила шифр “286”, предусмотренный для расчетов с “В.”. В результате чего поступавшие промторгу от различных организаций суммы по машинограммам переносились на указанный шифр. При возвращении документов после их обработки в информационно-вычислительном центре (ИВЦ) К. стирала карандашную запись кода “286”, а впоследствии уничтожала часть документов с неправильной кодировкой. Так, например, в исправительной справке пачки документов № 67 (услуги) К. сделала кодировку 0-249-0-286-0-1856=25-764-764, где шифр “286” записала карандашом. В результате этого 1856 руб. 25 коп. по машинограмме были перенесены на расчеты с “В.”. При возвращении этого документа с ИВЦ К. стерла карандашную запись и вписала шифр “290”, за которым не числится никакой организации или предприятия. Иногда преступницей вписывался шифр других организаций и предприятий, шифр “262” — ошибка Госбанка — либо не вписывался вообще в зависимости от сложившейся ситуации. Таким образом покрывалась недостача похищенных денежных сумм. В январе 1987 г. К. была осуждена Волгоградским областным судом.
Аналогичным способом преступниками осуществляется и прямое хищение денежных средств, товаров и услуг.
2. “Троянский конь”. Данный способ заключается в тайном введении в чужое программное обеспечение специально созданных программ, которые, попадая в информационно-вычислительные системы (обычно выдавая себя за известные сервисные программы), начинают выполнять новые, не планировавшиеся законным владельцем принимающей “троянского коня” программы, с одновременным сохранением прежней ее работоспособности [79, с. 8]. В соответствии со ст. 273 Уголовного кодекса Российской Федерации под такой программой понимается “программа для ЭВМ, приводящая к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети” [92, ст. 273J. По существу, “троянский конь” — это модернизация уже рассмотренного нами способа “люк” с той лишь разницей, что он “открывается” не при помощи непосредственных действий самого преступника (“вручную”), а автоматически — с использованием специально подготовленной для этих целей программы без дальнейшего непосредственного участия самого преступника.
С помощью данного способа преступники обычно отчисляют на заранее открытый счет определенную сумму с каждой операции. Возможен здесь и вариант увеличения преступниками избыточных сумм на счетах при автоматическом пересчете рублевых остатков, связанных с переходом к коммерческому курсу соответствующей валюты.
Данный способ основан на том, что компьютерные программы представляют собой сложную комбинацию алгоритмов, состоящих из набора порядка от нескольких сотен до миллионов команд, которые в свою очередь состоят еще из порядка 6-8 математических знаков кода (“О” и “I”), чтобы процессор мог , оперировать с ними (так называемый “машинный язык”). Поэтому программа “троянского коня”, состоящая из нескольких десятков команд, обнаруживается с большими сложностями только квалифицированными экспертами-программистами. На ее поиск необходимо потратить значительное время, иногда до одного года. Проще заново воссоздать оригинал исследуемой программы, чем искать в ней “троянского коня”, что категорически недопустимо в процессе расследования преступления.
Из зарубежной следственной практике интересен факт использования “троянского коня” одним американским программистом. Он вставил в программное обеспечение персонального компьютера по месту своей работы команды, которые не выводили на печать для отчета определенные поступления денежных средств. Эти суммы особым образом шифровались и циркулировали только в информационной среде компьютера. Похитив бланки выдачи денег, преступник заполнял их с указанием своего шифра, а затем проставлял в них определенные суммы денег. Соответствующие операции по их выдаче также не выводились на печать и, следовательно, не могли подвергнуться документальной ревизии [2, с. 148].
2.1 “Троянская матрешка”. Является разновидностью “троянского коня”. Особенность этого способа заключается в том, что во фрагмент программы потерпевшей стороны вставляются не команды, собственно выполняющие незаконные операции, а команды, формирующие эти команды и после выполнения своей функции, т. е. когда уже будет автоматически на программном уровне создан “троянский конь”, самоуничтожающиеся. Иначе говоря, это программные модули-фрагменты, которые создают “троянского коня” и самоликвидируются на программном уровне по окончании исполнения своей задачи.
В данном случае эксперту-программисту, производящему технико-технологическую экспертизу на предмет обнаружения в алгоритме законного программного продукта фрагментарного вкрапления в алгоритма программы “троянского коня”, необходимо искать не его самого, а команды-модули, его создающие. Сделать это практически невозможно, т. к. коэффициент репродукций модулей может быть любого численного порядка по принципу функционирования обычной игрушки “Матрешка”.
2.2 “Троянский червь”. Еще одна разновидность способа “троянский конь”. Данный способ совершения преступления характеризуется тем, что в алгоритм работы программы, используемой в качестве орудия совершения преступления, наряду с ее основными функциями, уже рассмотренными нами выше, закладывается алгоритм действий, осуществляющих саморазмножение, программное автоматическое воспроизводство “троянского коня”. “Программы-черви” автоматически копируют себя в памяти одного или нескольких компьютеров (при наличии компьютерной сети) независимо от других программ. При этом используется тактика компьютерных вирусов, которые будут рассмотрены нами далее по тексту настоящей работы.
2.3 “Салями”. Такой способ совершения преступления стал возможным лишь благодаря использованию компьютерной технологии в бухгалтерских операциях. Раньше он не использовался преступниками по причине его “невыгодности”. Данный способ основан на методике проведения операций перебрасывания на подставной счет мелочи — результата округления, которая на профессиональном бухгалтерском языке называется “салями”. Мелочной преступный расчет в этом случае построен на том, что ЭВМ в секунду совершает миллионы операций, в то время как высококвалифицированный бухгалтер за целый рабочий день может выполнить лишь до двух тысяч таких операций [8, с. 181-182]. На этом строится и тактика использования “троянского коня”, основанная на том, что отчисляемые суммы столь малы, что их потери практически незаметны (например, 1 руб. или 1 цент с бухгалтерской операции), а незаконное накопление суммы осуществляется за счет совершения большого количества операций. С точки зрения преступников; это один из простейших и безопасных способов совершения преступления. Он используется, как правило, при хищении денежных средств в тех бухгалтерских операциях, в которых отчисляются дробные (меньше чем одна минимальная денежная единица) суммы денег с каждой операции, т. к. в этих случаях всегда делается округление сумм до установленных целых значений. Ставка преступников делается на том, что при каждой ревизионной проверке потерпевший теряет так мало, что это практически не фиксируется документально. Между тем, учитывая скорость компьютерной обработки данных и количество осуществляемых в секунду операций, можно сделать вывод о размерах преступно накапливаемых и никем не регистрируемых сумм. Когда “салями” начинают понимать не в абсолютном, а в процентном смысле, вероятность раскрытия преступления значительно увеличивается.
2.4 “Логическая бомба”. Иногда из тактических соображений хищения удобнее всего совершать при стечении каких-либо обстоятельств, которые обязательно должны наступить. В этих случаях преступниками используется рассматриваемый способ совершения преступления, основанный на тайном внесении изменений в программу потерпевшей стороны набора команд, которые должны сработать (или срабатывать каждый раз) при наступлении определенных обстоятельств через какое-либо время [79, с. 8; 94, с. 45]. Далее включается алгоритм программы “троянского коня”. На практике заготовками данных программ пользуются системные программисты для законного тестирования компьютерных систем на их нормальную работоспособность, а также для исследовательских целей.
2.4.1 “Временная бомба”. Является разновидностью “логической бомбы”, которая срабатывает по достижении определенного момента времени. Например, в США получили широкое распространение преступления, в которых преступником используется способ “временной бомбы” для хищения денежных средств. Механизм применения этого способа заключается в следующем. Преступником, находящимся в стране “А”, посредством заранее введенной в банк данных автоматизированной системы межбанковских электронных операций программы “временной бомбы” в стране “Б”, похищаются деньги в определенный заданный момент времени при стечении благоприятных обстоятельств. Все манипуляции с ценными данными, а также начало осуществления бухгалтерских операций с ними производятся и контролируются программой. Преступнику лишь остается в определенный момент времени снять деньги, поступившие на заранее открытый счет. Аналогично происходят и преступления, направленные на разрушение определенных данных и информации в компьютерной системе для различных преступных целей [79, с. 7].
2.5 “Троянский конь” в электронных цепях. В отличие от “троянских коней” программных, которые представляют собой совокупность команд, внедряемых в программные средства, этот способ 'предполагает создание определенных логических связей в электронных цепях аппаратных средств компьютерной техники для автоматического выполнения незаконных манипуляций по аналогии с программным способом. “Троянский конь” в электронных цепях компьютеров — очень редкий способ совершения компьютерного преступления, который был впервые зарегистрирован в 1981 г. в Швеции [2, с. 148]. Осо-1 бенность его заключается в том, что если в компьютерных системах I-IV поколений электронный “троянский конь” создавался преступником кустарным способом посредством нарушения логики токонесущих проводников печатных плат и внесения конструкционных элементных изменений в электронную схему архитектуры строения компьютерной техники, то при эксплуатации компьютерных систем соответственно V и VI поколений, подобные преступные действия возможны лишь путем внесения конструкционных изменений в топологию интегральных микросхем при их заводском изготовлении [79, с. З].
2.6 Компьютерные вирусы. С программно-технической точки зрения под компьютерным вирусом понимается специальная программа, способная самопроизвольно присоединяться к другим программам (“заражать” их) и при запуске последних выполнять различные нежелательные действия: порчу файлов и каталогов (при файловой организации программной среды), искажение и стирание (уничтожение) данных и информации, переполнение машинной памяти и создание помех в работе ЭВМ. Такие программы обычно составляются (исполняются, пишутся) преступниками на языке программирования “ассемблер” и не выдают при своей работе никаких аудиовизуальных отображений в компьютерной системе. Переносятся при копировании информации и ценных данных с одного материального носителя на другой, либо по компьютерной сети с использованием средств телекоммуникации [68, с. 52-53]. С уголовно-правовой точки зрения, согласно ст. 273 Уголовного кодекса Российской Федерации, под компьютерным вирусом следует понимать вредоносную программу для ЭВМ, определение которой было приведено нами выше.
В самом общем виде этот способ совершения компьютерных преступлений является ничем иным, как логической модернизацией способа “троянский конь”, выполняющего алгоритм, например типа “сотри все данные этой программы, перейди в следующую и сделай то же самое”. Этот способ широко распространен по своему применению. Например, как свидетельствуют материалы одного уголовного дела, сотрудник Игналин-ской АЭС из корыстных побуждений разработал и использовал в информационно-вычислительных системах первого и второго блоков атомной электростанции несанкционированные программные модули, что привело к искажению информации, поступающей на средства отображения рабочего места управления атомным реактором, повлекшему за собой возникновение аварийной (нештатной) ситуации, последствия которой не нуждаются в пояснении. Рассмотрим данный способ более подробно.
В настоящее время в мире существует уже более 2000 вирусов, и это только для одной, наиболее популярной и широко используемой на практике операционной системы MS-DOS. Количество вирусов постоянно увеличивается. Однако для понимания способа совершения преступления все вирусы можно подробно классифицировать по определенным основаниям и разбить на несколько обобщенных групп. Нами выделяются:
1) загрузочные (системные) вирусы (поражающие загрузочные секторы машинной памяти);
2) файловые вирусы (поражающие исполняемые файлы, в том числе СОМ, EXE, SYS, ВАТ-файлы и некоторые другие);
3) комбинированные вирусы.
Заражение загрузочными вирусами происходит при загрузке компьютера с носителя машинной информации, содержащего вирус. Заражение может произойти как случайно,/например, если потерпевший сам, не подозревая о наличии вируса на носителе, запустил с него компьютерную систему, так и преднамеренно, если преступник знал о его существовании и последствиях, которые наступят после запуска системы с вирусоносителя. Причем носитель машинной информации может и не быть системным, т. е. не содержать файлов операционной системы. Заразить носитель достаточно просто. На него вирус может попасть, если пользователь просто вставил его в приемное устройство (дисковод) зараженного компьютера и, например, прочитал его оглавление. При этом вирус автоматически внедряется в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий системный загрузчик винчестера (Master Boot Record — MBR), т. е. первый сектор логического диска (на флоппи-дисках он совпадает с первым физическим сектором), который содержит программу-загрузчик, отвечающую за запуск операционной системы, необходимой для поддержания дружественного интерфейса пользователя с ЭВМ [39, с. 7, 162]. Сектором магнитного диска (минимальной единицей его разбиения) называется участок дорожки, образующийся при форматировании диска и являющийся минимальной физически адресуемой единицей памяти [68, с. 345].
Файловые вирусы заражают компьютер, если пользователь запустил на своей ЭВМ программу, уже содержащую вирус. В этом случае возможно заражение других исполняемых файлов. Рассмотрим этот процесс более детально.
Многие вирусы обладают свойством переходить через коммуникационные сети из одной системы в другую, с одного компьютера на другой, распространяясь, как вирусное заболевание (сетевые вирусы) [24, с. 237]. Выявляется вирус не сразу: первое время компьютер “вынашивает инфекцию”, поскольку для маскировки этот способ нередко используется преступником в комбинации с приемами “логической” или “временной бомбы”, рассмотренных нами выше. “Вирус” как бы наблюдает за всей обрабатываемой в системе потерпевшего информацией и может перемещаться вместе с ней, благодаря ее постоянному движению. Начиная действовать (перехватывая управление средствами компьютерной техники “на себя”), вирус дает команду компьютеру, чтобы тот записал зараженную версию программы. После этого он возвращает программе управление. Потерпевший ничего не заметит, т. к. его компьютерная система находится в состоянии “здорового носителя вируса”. Обнаружить последнее может только специалист, обладающий чрезвычайно развитой программистской интуицией, поскольку никакие нарушения в работе средств компьютерной техники в данный момент активно не проявляют себя [2, с. 148-149]. Далее, через некоторое время происходит нарушение нормального режима функционирования СКТ: компьютер отказывается нормально загружаться или не загружается совсем, по неизвестным причинам исчезают из памяти файлы, некоторые программные средства самопроизвольно стираются, на экране дисплея, например, начинают опадать или геометрически перемешиваться буквы и символы (вирус “листопад”, “змейка”, “червячок”, “мозаика”), исчезают системные файлы или файлы с каким-либо определенным расширением (например, .corn, .bat, .exe, .dbf, .txt и т. д.), либо резко на 180 градусов переворачивается изображение, периферийные устройства отказывают в работе, неожиданно на экране дисплея появляется реклама чего-либо или светящаяся точка (“итальянский попрыгунчик”) и т. д. и т. п.
Вопросами научного изучения компьютерных вирусов в настоящее время занимается специально созданная новая наука — компьютерная вирусология [5]. С точки зрения этой науки все программы-вирусы подразделяются на две группы, имеющие подгрупповое деление, а именно:
1) по способу заражения средств компьютерной техники вирусы подразделяются на резидентные и нерезидентные;
2) по алгоритму их строения и обнаружения на “вульгарный вирус” и “раздробленный вирус”.
Все запускаемые на выполнение программные средства делятся на резидентные — TSR (Terminate and Stay Resident) и на нерезидентные — NTSR (Not Terminate and Stay Resident). Резидентной называется программа, которая по окончании работы оставляет свой код или часть кода в оперативной памяти: программно адресуемая память, быстродействие которой соизмеримо с быстродействием центрального процессора и предназначенная для хранения исполняемых в данный момент программ и оперативно необходимых для этого данных [68, с. 256]. Одновременно с этим операционная система резервирует необходимый для работы этой программы участок памяти. После этого резидентная программа работает параллельно другим программам. Доступ к резидентной программе осуществляется либо через подмену прерываний, либо непосредственной адресацией. Нерезидентной называется программа, которая при завершении работы не оставляет своего кода или его части в оперативной памяти. При этом, занимаемая ею память освобождается [39, с. 161]. Так как вирус представляет собой программное средство, то он обладает этими свойствами.
Резидентный вирус при “инфицировании” программных средств оставляет в оперативной памяти компьютерной системы потерпевшей стороны свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них. Резидентный вирус находится в памяти и является активным вплоть до выключения или перезагрузки компьютерной системы. В свою очередь, нерезидентный вирус не заражает оперативную память и является активным ограниченное время, а затем “погибает”, в то время как резидентный активируется после каждого включения компьютерной системы. Заметим, что некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не имеют алгоритма распространения вируса. Такие вирусы являются нерезидентными.
Программа “вульгарного вируса” написана единым блоком и достаточно легко обнаруживается специалистами в самом начале ее активных проявлений с помощью набора стандартных антивирусных программных средств, которые будут подробно рассмотрены нами в четвертой главе настоящей работы. В случае же проведения программно-технической экспертизы эта операция требует, в частности, очень тщательного анализа всей компьютерной системы на предмет обнаружения в ней посторонних программных продуктов или их компонентов.
Программа “раздробленного вируса” разделена на части, на первый взгляд не имеющие между собой логической связи. Эти части содержат инструкции, которые указывают компьютеру, как собрать их воедино, в какой последовательности и в каком случае или в какое время воссоздать “вирус” и когда размножить его (принцип “троянского коня”). Таким образом, вирус почти все время находится в “распределенном” состоянии, лишь на короткое время своей работы собираясь в единое целое. Как правило, создатели “вируса” указывают ему число репродукций, после достижения которого он либо вымирает, либо становится агрессивным и совершает заранее заданные незаконные манипуляции [2, с. 149].
Наиболее часто встречаются следующие вирусные модификации.
2.6.1 Вирусы-“спутники” (companion) — это вирусы, не изменяющие программные файлы. Алгоритм работы этих вирусов состоит в том, что они создают для запускающих командных файлов файлы-спутники, имеющие то же самое имя, но с расширением более высокого командного порядка. При запуске такого файла ЭВМ первым запускает файл, имеющий самый высокий уровень порядка, т. е. вирус, который затем запустит и командный файл.
2.6.2. Вирусы-“черви” (worm) — вирусы, которые распространяются в компьютерной сети и, так же как и вирусы-“спутники”, не изменяют “родительские” программы, файлы или секторы на дисках. Они проникают в память компьютера из компьютерной сети и, вычисляя адреса других компьютеров, рассылают по этим адресам свои копии. Такие вирусы иногда создают рабочие файлы на дисках операционной системы, но могут и вообще не обращаться к ресурсам вычислительной системы (за исключением оперативной памяти).
2.6.3 “Паразитические” — все вирусы, которые при распространении своих копий обязательно изменяют содержимое программ, файлов или дисковых секторов. В эту группу относятся все вирусы, которые не являются “червями” или “спутниками”.
2.6.4 “Студенческие” — крайне примитивные простые вирусы, содержащие большое число ошибок в алгоритме их строения (безграмотно написанные) и вызывающие локальные “эпидемии”. Как правило, такие вирусы не получают широкого распространения, быстро обнаруживаются и уничтожаются, однако, успев причинить вред в районе своего размножения.
2.6.5 “Stealth”-вирусы (вирусы-невидимки или маскирующиеся вирусы), представляющие собой весьма совершенные программы, которые при исправлении пораженных программ подставляют вместо себя здоровые программы или их части. Кроме того, эти вирусы при обращении к программам используют достаточно оригинальные алгоритмы, позволяющие “обманывать” антивирусные программы. Эти алгоритмы, скрывающие (маскирующие) присутствие вируса на зараженной машине, нельзя обнаружить, например, просто просматривая файлы на диске. Их создатели применяют весьма разнообразные способы маскировки, начиная от простейшего перехвата более 20 функций DOS (вирус “V-4096”) и кончая маскировкой на уровне дискового драйвера (семейство “Dir”), на уровне прерывания Int 13h (вирус “ЕХЕ-222”) или даже на уровне контроллера винчестера (вирус “Hmm”). Заметим, что первые вирусы не обладали такими возможностями и их легко можно было обнаружить при визуальном просмотре исполняемых файлов в зараженной компьютерной среде. Применение даже простейших антивирусных средств немедленно останавливало распространение таких вирусов, и они в последующем перестали использоваться преступниками. Появление антивирусных программ привело к новому витку в развитии технологии написания вирусов, где появление вирусов-невидимок стало естественным шагом в таком развитии. Вирусы, использующие приемы маскировки, нельзя увидеть средствами операционной системы. Например, если просмотреть зараженный файл, нажав клавишу F3 в системе Norton Commander, то на экране будет показан файл, не содержащий вируса. Это происходит потому, что вирус, активно работающий вместе с операционной системой, при открытии файла на чтение немедленно удалил свое тело из зараженного файла, а при закрытии файла заразил его опять. Это только один из возможных приемов маскировки, существуют и другие. Таким же способом маскируются и загрузочные вирусы. При попытке прочитать зараженный BOOT сектор они подсовывают оригинальный, незараженный.
Способность к маскировке оказалась слабым местом Stealth-вирусов, позволяющим легко обнаружить их наличие в программной среде компьютера. Достаточно сравнить информацию о файлах, выдаваемую DOS, с фактической, содержащейся на диске: несовпадение данных однозначнр говорит о наличии вируса, т. е. способность к маскировке демаскирует эти вирусы [39,с. 8-9].
2.6.6 Вирусы-“призраки” (мутанты) — достаточно трудно обнаруживаемые самокодирующиеся вирусы, не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же вируса-“призрака” не будут иметь ни одного совпадения. Это достигается не только шифрованием основного тела вируса, но и модификациями кода программы-расшифровщика. Иными словами, вирусы-мутанты содержат в себе алгоритмы шифровки-расшифровки, обеспечивающие то, что два экземпляра одного и того же вируса, заразившие два файла, не имеют ни одной повторяющейся цепочки байт (ни одного совпадения)! Проблема поиска и удаления этого и предыдущего классов вирусов заставляют вирусологов отходить от классических антивирусных программных средств, анализирующих сигнатуры известных вирусов, и искать новые методы борьбы с ними [39, с. 9].
2.6.7 Комбинированные вирусы. Вирусы, имеющие отдельные признаки вирусов, рассмотренных нами выше, в определенной алгоритмической совокупности. Например, к этой группе специалистами относятся вирусы, обнаруженные в ноябре 1994 г. в российских компьютерных системах, — вирус OneHalf (“половинка”) и его разновидности OneHalf.3544 и OneHalf.3577, которые представляют собой категорию очень опасных полиморфных файлово-загрузочных стелс-вирусов [41, с. 2].
Специалисты приходят к единому мнению о том, что, по-видимому, в перспективе будут появляться принципиально новые виды “вирусов”. Например, такие, как “троянский конь” в электронных цепях вирусного типа. В данном случае будет иметь место уже не вирусное программное средство, а вирусное микроэлектронное изделие, которым является интегральная микросхема (“чип”), которая является неотъемлемой частью любого компьютерного устройства. Конечно, ничто не может непосредственно “заразить” микросхему, но ведь можно “заразить” компьютерную систему, используемую для программирования и серийного производства микросхем [2, с. 149; 77,с. 35;79,с. З].
Рассмотрим более детально пути распространения компьютерного “вируса”. Они основываются на способности “вируса” использовать любой носитель передаваемых данных в качестве “средства передвижения”, т. е. с начала заражения имеется опасность, что ЭВМ может создать большое число средств передвижения и в последующие часы вся совокупность файлов и программных средств окажется зараженной. Таким образом, дискета или магнитная лента, перенесенная на другие ЭВМ, способны “заразить” их И наоборот, “заражение” происходит, когда “здоровая” дискета или магнитная лента вводится в “зараженный” компьютер. Удобными для распространения обширных “эпидемий” оказываются телекоммуникационные сети. Достаточно одного контакта, чтобы персональный компьютер был “заражен” или “заразил” тот, с которым контактировал. Однако самый частый способ “заражения” — это копирование программ, что является обычной практикой у пользователей персональных компьютеров. Скопированными оказываются и “зараженные” программы.
Как правило, с первой компьютерной “эпидемией” многие авторы научно-популярной литературы связывают имя Роберта Морриса, студента Корнеллского университета США, в результате действий которого “зараженными” оказались важнейшие компьютерные сети восточного и западного побережий США. “Эпидемия” охватила более 6 тыс. компьютеров и 70 компьютерных систем. Пострадавшими оказались, в частности, компьютерные центры НАСА, Ливерморской лаборатории ядерных исследований, Гарвардского, Питсбургского, Мэрилендского, Висконсинского, Калифорнийского, Стэнфордского университетов [2, с. 294]. Однако изобретателем “вируса” является другой человек. В августе 1984 г. сотрудник Лехайского университета (США) Фред Коуэн, выступая на VII конференции по безопасности информации, рассказал про свои опыты с тем, что один его друг назвал “компьютерным вирусом” [39, с. З]. Когда началось практическое применение “вирусов”, неизвестно, поскольку банки, страховые компании, предприятия, учреждения, организации, обнаружив, что их компьютеры “заражены вирусом” и опасаясь потери клиентов, не допускали при этом утечки информации и не обращались в правоохранительные органы.
В заключение отметим, что способ совершения преступлений посредством компьютерного вируса может применяться преступником как самостоятельно, так и в составе комплексных способов, которые будут рассмотрены нами далее по тексту. В последнем случае при сочетании этого способа с другими он всегда будет выполнять роль маскирующего фактора в преступлении с целью его сокрытия (как, например, поджог хранилища материальных ценностей после их частичного или полного похищения).
3. “Асинхронная атака”. Такой способ совершения преступления очень сложен и требует хорошего знания операционной системы. Операционная (мониторная) система (operating system (OS)) — это комплекс программных средств, обеспечивающих управление информационными процессами при функционировании компьютерной системы [68, с. 361]. Основная задача операционной системы состоит в обеспечении максимальной производительности компьютерной системы путем реализации различных кибернетических функций: планирования, управления, коммуникации и т. д.
В зависимости от модели и специфики компьютера используют те или иные операционные системы. Организация последних настолько сложна, что они не могут быть созданы одним, даже весьма квалифицированным программистом. Их разработкой занимаются авторские коллективы профессиональных программистов — иногда в течение нескольких лет. Поэтому столь сложные программные продукты практически ни при каких условиях невозможно проверить на предмет достоверности их работы и логической завершенности. Иначе говоря, особенности функционирования операционной системы при всех условиях остаются неизвестными. Этим и пользуются преступники при организации “асинхронных атак”.
Используя асинхронную природу функционирования операционной системы, преступник заставляет последнюю работать при ложных условиях, из-за чего управление обработкой информации частично или полностью нарушается. Если преступник, совершающий “асинхронную атаку”, достаточно искусен, то он может использовать данную ситуацию, чтобы внести изменение в операционную систему или направить ее функционирование на выполнение своих корыстных целей, причем вне операционной системы эти изменения не будут заметны.
Один из простейших способов “асинхронной атаки” основан на том, что при обработке любого шага задания возможно обнаружение ошибок, допущенных при программировании. В этом случае выполнение задачи заканчивается, и на печатающее устройство или дисплей выводится сообщение об ошибке: происходит процесс автоматического прерывания (interrupt), представляющий собой совершение операции процессором, при которой регистрируется его состояние, предшествующее прерыванию, и устанавливается новое его состояние [68, с. 290]. То есть в компьютерной системе активируется сигнал, по которому процессор прерывает выполнение текущей последовательности команд и передает управление на программу-обработчик прерывания. После устранения ошибки вся процедура прохождения задачи повторяется. Различают 23 основных прерывания в работе средств компьютерной техники. Например:
1) аппаратное прерывание (hardware interrupt) — заключается в прерывании по ошибке при выполнении команды или в прерывании от внешнего устройства;
2) асинхронное прерывание (asynchronous system trap) — прерывание, возникновение которого не привязано к определенной точке программы: внешнее прерывание и прерывание, связанное с работой другого процесса;
3) программное прерывание (software interrupt) — прерывание, вызванное управляющей машинной командой: причинами прерывания могут быть ошибки в программе (например, деление на нуль, переполнение, нарушение защиты);
4) внешнее прерывание (external interrupt) — прерывание, инициируемое внешним устройством, не входящим в состав центрального процессора; прерывание от внешнего устройства [68,с. 290-291].
Объемные, хорошо спроектированные программы обычно устроены так, что через определенное время обработки задачи соответствующий этап ее прохождения со всей вспомогательной информацией записывается на физический носитель. Тогда в случае ошибки нет необходимости задачу “прогонять” сначала; это делается лишь с последнего безошибочного этапа. “Асинхронная атака” здесь состоит в обеспечении доступа (санкционированного и несанкционированного) к таким промежуточным записям и внесении в них различных изменений, а также в намеренном создании ошибки (чтобы решение вернулось к прежнему этапу и включало в себя произведенные изменения). Это лишь простейшие варианты использования “асинхронной атаки”. Для квалифицированного специалиста-преступника выбор здесь достаточно широк.
Иногда, чтобы внести изменения в операционную систему, преступникам приходится похищать физические носители машинной информации и работать с ними на другом персональном компьютере, а затем тайно возвращать их на место. Иными словами, этот способ совершения преступления основан на совмещении команд двух и более пользователей, чьи программы ЭВМ выполняет одновременно (параллельно) и одной из которых является программа преступника [94, с, 45].
4. Моделирование. Для совершения компьютерных преступлений все более характерным становится использование преступником способа компьютерного моделирования: моделирования поведения устройства или системы с помощью программного обеспечения [68, с. 203]. Моделируются как те процессы, в которые преступники хотят вмешаться, так и планируемые способы совершения преступления. Например, в последнее время преступниками с целью ухода от налогообложения все чаще начинает использоваться так называемая “черная” или “двойная” бухгалтерия, основанная на существовании двух одновременно работающих программ автоматизированного бухгалтерского учета с взаимоперетекающими контрольными данными. В данном случае одна из них функционирует в легальном (законном) режиме, а другая — в нелегальном для проведения незаконных (теневых) бухгалтерских операций. Иногда одновременно с этими программами существует и третья, которая используется только одним лицом, входящим в состав преступных групп и сообществ, выполняющим роль бухгалтера по ведению общественной кассы преступной группировки (“общака”).
Ярким примером этому могут служить материалы одного из уголовных дел, расследование которого было завершено в 1995 г. московскими правоохранительными органами. Рассмотрим его подробнее.
В июне 1994 г. была задержана организованная преступная группа из числа руководителей Московского Т. банка (включая председателя правления банка), которая с ноября 1993 г. осуществляла хищения денежных средств путем заключения фиктивных кредитных договоров со Сбербанком РФ, его отделениями и другими коммерческими банками. При этом использовались нелегальные корреспондентские счета, открытые Московским Т. банком в ряде банков г. Москвы. Таким образом было похищено 18 млрд. руб., которые были проконвертированы и зачислены на счета иностранных фирм в зарубежных банках. Из указанной суммы 22 млн. руб. руководство Московского Т. банка по расходным ордерам обналичило и присвоило.
В данном случае механизм преступной операции достаточно сложен. Преступниками был организован банк с двойной структурой: официальной, легально зарегистрированной в Центральном банке России и имеющей правление со всеми необходимыми службами, но являющейся лишь крышей для теневой, реальной структуры банка, распоряжающейся денежными средствами. Корреспондентский счет в ЦБР официальной структуры банка фактически находился без движения, в то время как теневая структура активно функционировала — было организовано движение денежных средств по открытым ее нелегальным корреспондентским счетам в коммерческих банках Москвы. Теневая структура вложила в уставный капитал банка большую сумму денег, фактически купив его. Она имела свое собрание пайщиков и собственного председателя правления банка. Единственная ее преступная цель была — набрать как можно больше кредитов юридических лиц за минимальный период времени. Все похищенные таким образом денежные средства переводились на счета подставных коммерческих фирм в Р. банке, конвертировались и переводились за рубеж по фиктивным импортным контрактам [12, с. 7-8].
Моделирование в криминальных целях, по нашему мнению, будет шириться по мере снижения стоимости персональных компьютеров и увеличения количества предлагаемых моделирующих программ. Так, в настоящее время уже эксплуатируются специальные языки моделирования, одним из которых является GPSS, позволяющий создавать полноценные пользовательские программные продукты, в том числе и для криминальных целей.
В данном случае особое внимание следует обратить на появившиеся в последнее время в свободной продаже прогрессивные регенерируемые программы игровых моделей защиты, т. е. модели, в которых имеется минимум две стороны. Первая из которых строит систему защиты информации, а вторая — систему ее преодоления (моделируются как возможные действия, так и конкретные прогнозируемые ситуации). Игра начинается с построения первой стороной (потерпевшей) некоторой системы защиты. После чего вторая сторона (преступник) начинает ее преодолевать, а первая — строить новую, более совершенную. Если вторая сторона преодолела защиту, построенную первой стороной, раньше того момента, как построена новая, то первая сторона считается проигравшей. Если к моменту преодоления защиты у первой стороны имеется новая система защиты, то она выиграла. Независимо от исхода первого раунда игра продолжается. Критерием эффективности системы защиты при данном подходе является функция двух аргументов — времени, затрачиваемого первой стороной на построение системы защиты, и времени, затрачиваемого второй стороной на ее преодоление. Можно рассмотреть и более сложные игровые модели, учитывающие не только время, но и стоимость защищаемой информации, затраты на разработку/преодоление системы защиты и т. д. В подобных моделях стоимость информации, защищаемой первой стороной, уменьшается со временем, а одним из аргументов критерия эффективности этой защиты является остаточная стоимость информации после ее “вскрытия” (уничтожения, обхода) второй стороной [22, с. 127-128]. Таким образом происходят тренировки преступников, готовящихся совершить преступление.
4.1 Реверсивная модель. Разновидность способа моделирования. Заключается в следующем. Создается модель конкретной системы, на которую планируется совершить нападение. В нее вводятся реальные исходные данные и учитываются планируемые действия. Затем, исходя из полученных данных, подбираются максимально приближенные к действительности желаемые результаты. После чего модель совершения преступных действий “прогоняется” назад, к исходной точке, и преступнику становится ясно, какие манипуляции с входными-выходными данными нужно совершить, чтобы достичь желаемого корыстного результата. Обычно, “прокручивание” модели вперед-назад осуществляется преступником многократно, чтобы выявить возникающие ошибки и просчеты в механизме планируемых преступных действий. Таким образом осуществляется оптимизации действий при проведении криминальных “операций” и минимизируется возможный при этом риск их “провала”.
Классическим примером из зарубежной практики является дело собственника компьютерной службы, бухгалтера по профессии, служившего одновременно бухгалтером теплоходной компании в Калифорнии, США, специализировавшейся на перевозке овощей и фруктов. Он обнаружил пробелы в деятельности ревизионной службы компании и решил использовать этот факт. На компьютере своей службы он смоделировал всю бухгалтерскую систему компании. Прогнав модель вперед и обратно, он установил, сколько фальшивых счетов ему необходимо открыть и какие бухгалтерские операции следует осуществить.
Этот человек организовал 17 подставных компаний и, чтобы создать видимость реальности ситуации, обеспечил каждую из них своим расчетным счетом, начав затем финансовые операции. Модель бухгалтерского баланса подсказала ему, что при имеющихся пробелах в ревизионной службе 5%-ное искажение данных учета не будет заметно. Его действия оказались настолько успешными, что в первый год он похитил 250 тыс. долл. США без какого-либо нарушения финансовой деятельности компании. К тому времени, когда увеличенные выплаты вызвали подозрение у руководства банка, осуществлявшего обслуживание компании, сумма хищения составила миллион долларов [2,с. 154].
4.2 “Воздушный змей”. Данный способ используется преступником для начисления и получения незаконных избыточных денежных сумм на счетах при автоматическом пересчете рублевых остатков за счет предварительного увеличения остаточных сумм, что достигается посредством временного переноса средств со счетов с другим кодом и их последующего возвращения на исходные счета.
Механизм совершения хищения денежных средств заключается в следующем. В двух или нескольких банках открываются счета на некоторые несущественные суммы. Далее деньги переводятся из одного банка в другой и обратно с постепенным увеличением сумм. До того как в банке обнаружится, что поручение о переводе не обеспечено необходимой суммой, приходит извещение в данный банк о том, что общая сумма покрывает требование о первом переводе. Этот цикл многократно повторяется (“воздушный змей” поднимается все выше и выше) до тех пор, пока на нужном счете не оказывается достаточная сумма денег (фактически она постоянно “перескакивает” с одного счета на другой, как бы “парит в воздухе”, постоянно увеличиваясь в размерах). При достижении определенной величины деньги оперативно снимаются с закрытием счетов и впоследствии — отмываются (легализуются). Обычно, как показывает практика, в подобные преступные операции преступниками включается большое число банков. Это обусловлено следующими причинами:
1) скорость и величина накопления похищаемой суммы прямо пропорциональны количеству счетов и банков;
2) число платежных поручений не достигает подозрительной частоты.
По мнению специалистов, управлять подобным процессом можно только с помощью компьютерной системы, используя элементы моделирования преступной ситуации [761. Данный способ требует очень точного расчета, но для двух банков его можно осуществить и без использования средств компьютерной техники.
Отметим, что прототипом для возникновения и развития рассматриваемого способа совершения компьютерного преступления, на наш взгляд, послужили хорошо отработанные на практике преступные махинации с поддельными кредитовыми авизо, используемые для хищения денежных средств и основанные на некоторых особенностях безналичных банковских расчетов. Специфика последних заключается в том, что в отличие от наличных платежей при безналичных расчетах и, в частности, банковском переводе средств от плательщика к получателю, момент выхода денег из владения плательщика не совпадает ни по времени, ни в пространстве с моментом получения их адресатом платежа. В этом случае передача денег состоит как бы из двух взаимосвязанных необходимых элементов: с одной стороны, деньги должны быть списаны со счета отправителя, с другой — зачислены на счет получателя. Только при одновременном наличии этих двух условий перевод считается осуществленным. Этим и пользуются преступники. Так, в случае использования ими поддельного кредитового авизо деньги не списываются со счета плательщика в коммерческом банке, осуществляющем финансовую операцию, и не отражаются на балансе расчетно-кассового центра (РКЦ), в котором находится корреспондентский счет плательщика. Таким образом, перевод денег отсутствует, несмотря на то, что данная сумма зачисляется РКЦ на корреспондентский счет коммерческого банка — получателя платежа. Именно эта операция и создает неверное представление о возникновении денег “из ничего”, “из воздуха”. В действительности же РКЦ, зачисляя деньги на корсчет банка-получателя, фактически незаконно финансирует его и фирму-получателя, одновременно являясь потерпевшим.
4.3 “Ловушка на живца” (“подсадная утка”). Еще одна разновидность способа моделирования. Заключается в том, что преступником создается специальная программа, которая затем записывается на физический носитель и под любым предлогом вручается или подкидывается потерпевшей стороне с расчетом на то, что ее по каким-либо причинам заинтересует данная программа и она постарается ознакомиться с ней. Алгоритм программы построен таким образом, что при ее работе в определенный момент времени автоматически моделируется системная поломка компьютерной системы, на которой был запущен данный программный продукт с целью проверки его качества и работоспособности. После чего указанная программа записывает данные и информацию, которые могут заинтересовать преступника. После того как программа выполнила заданные ей функции, она изымается у потерпевшей стороны с использованием различных способов. Обычно, по причине высокой стоимости программного обеспечения, организации легко соглашаются на приобретение данной программы, которая иногда предоставляется преступником, якобы с целью ее рекламы, бесплатно или за незначительное вознаграждение.
5. Копирование (тиражирование). Этот способ совершения преступления заключается в действиях преступника, направленных на незаконное копирование (тиражирование) программных средств компьютерной техники, а также топологий интегральных микросхем. Под топологией интегральной микросхемы с уго-ловно-правовой точки зрения понимается зафиксированное на материальном носителе пространственно-геометрическое расположение совокупности элементов интегральной микросхемы (ИМС) и связей между ними, а под самой ИМС понимается микроэлектронное изделие окончательной или промежуточной формы, предназначенное для выполнения функций электронной схемы, элементы и связи которой неразрывно сформированы в объеме и (или) на поверхности материала, на основе которого изготовлено изделие [28, ст. I]. Копирование осуществляется преступником посредством воспроизведения данных с сохранением исходной информации на любом материальном носителе. Например, процесс копирования файлов, осуществляется преступником посредством обмена наборами данных между внешними (периферийными) устройствами компьютерной системы с использованием стандартных программных средств операционной системы компьютера (либо иных), в частности в СМ ЭВМ — программой PIP, а в MS-DOS ПЭВМ — программой COPY [68, с. 170].
В данном случае под файлом понимается идентифицированная совокупность экземпляров описанного в программе типа данных, находящихся во внешней памяти и доступных программе посредством специальных операций [68, с. 422].
По мнению специалистов, с криминалистической точки зрения повышенная социальная опасность компьютерных преступлений, совершаемых с использованием способа копирования, обусловлена следующими обстоятельствами:
1) высокой плотностью данных и информации, записанных на материальном носителе либо находящихся в оперативной памяти компьютерной системы;
2) быстротой и простотой процесса совершения Преступных действий;
3) достаточно широкими возможностями дублирования любых массивов данных без оставления следов на месте происшествия [82, с. 11J.
Существуют две разновидности применения преступником указанного способа. В первом случае копирование осуществляется посредством законного (санкционированного) доступа к средствам компьютерной техники, во втором — посредством несанкционированного доступа с использованием способов, рассмотренных нами выше. В последнем случае будет иметь место применение комплексного метода совершения преступления (совокупность двух и более способов совершения преступления), которые будут рассмотрены нами в следующей, пятой группе.
Используя способ копирования данных и информации, преступникам, в частности, удается получать законные денежные вознаграждения за фиктивное выполнение заранее указанных в договоре услуг, например по разработке программного обеспечения. Обычно в таких случаях между преступником (исполнителем) и потерпевшей стороной (заказчиком) заключается законный договор на разработку компьютерных программ, которые фактически преступником не разрабатываются, а незаконно копируются (присваиваются) посредством различного рода манипуляций. Приведем один из примеров и рассмотрим механизм подобных сделок.
Как свидетельствуют материалы уголовного дела, возбужденного по факту хищения денежных средств в особо крупных размерах в отношении ряда работников кооператива “Р.” и коммерческой фирмы “О.”, в июне 1989 г. генеральный директор данной фирмы Л. через посредническую государственную организацию, в полном соответствии с Положением о фирме, заключил контракт с австрийской фирм”й “Ф.” об импортной поставке 10 тыс. компьютеров на общую сумму 523 млн. руб., с целью их последующей реализации на внутреннем рынке по существующим ценам, намереваясь в конечном итоге получить с учетом всякого рода накладных расходов чистую прибыль в размере не менее 40 млн. руб. (10% от инвестируемой в сделку суммы). Одновременно с этим он заключи! ряд договоров с различными кооперативами г. Москвы о разработке и поставке “О.” оригинального программного обеспечении для оснащения им ожидаемой партии персональных компьютеров, чтобы сбыть покупателям компьютеры с программны” обеспечением с целью получения дополнительной прибыли. Одним из таких кооперативов явился кооператив “Р.”.
Не имея фактической возможности ос^ествить разработку программного обеспечения, члены указанного кооператива совместно с неработающими в кооперативе лицами получили в банке перечисленные “0-м” на расчетный счет “Р.” согласно договору 4 млн. руб., которые присвоили В дальнейшем через работников НПО “П-ка” они произвели тиражирование известной сервисной программы “Norton Commander” (производства США) на 1,5 тыс. дискет и поставили их “О.”. Таким образом, формально условия договора были выполнены, т. е. (рирма-заказчик получила необходимое количество дискет с программным обеспечением. Связанные с этой операцией затраты ссставили 60 тыс. руб., кроме того, 100 тыс. руб. было передано Л и 400 тыс. руб. — его заместителю, а остальные деньги поделены. Сам Л. пояснил на следствии, что ему было безразлично, каюе программное обеспечение будет поставлено по договору, т.к. затраты окупились бы в результате продажи персональных юмпьютеров, оснащенных программным обеспечением, а заказчики, учитывая дефицит на компьютерную технику подобного класса, приобрели бы ее с любым программным обеспечением. Поэтому договаривающиеся стороны каких-либо финансовых претензий друг к другу не имели.
В ноябре того же 1989 г. Л. заключил с тем же кооперативом “Р.” повторный договор аналогичного типа. В нем, как и в первом случае, рассмотренном нами выше, не производя разработку программного обеспечения, работники косператива уже с ведома Л. растиражировали программу “Autocad” (производства США) и поставили “О.” еще 1,5 тыс. дисиет, присвоив из перечисленных согласно договору 4 млн. руб.
6. Преодоление программных средств защиты. Этот способ является вспомогательным и предназначен для подготовки совершения компьютерного преступления способами, рассмотренными нами выше. Он заключается в действиях преступника, направленных на умышленное преодоление программных средств защиты компьютерной техники и имеет несколько разновидностей.
6.1 Незаконное создание копии ключевой дискеты. Является одним из способов преодоления средств защиты компьютерной техники. Осуществляется преступником путем электромагнитного переноса всей структуры и информации, расположенных на ключевой дискете-оригинале, защищенной от копирования программными средствами, на дискету-копию, в результате чего аутентификационная часть системы защиты воспринимает копию ключевой дискеты как оригинал. Для получения работоспособной дискеты-копии достаточным условием является полное повторение дискеты-оригинала со всеми находящимися на ней характеристиками, проверяемыми аутентификационной частью системы защиты. Установление этих характеристик и выбор правильного метода их копирования являются главными задачами, которые решаются преступником в данном случае. Заметим, что решение указанных задач для каждой системы защиты требует определенного профессионального опыта и непосильно лицам, впервые столкнувшимся с ними. Эти задачи могут быть решены только двумя способами: программным и программно-аппаратным.
При программном — копии дискет изготавливаются с помощью специальных программных средств типа DISKCOPY или COPYIIPC (89, с. 80-83]. В некоторых случаях для обеспечения качественной работоспособности дискеты-копии, полученной с использованием вышеперечисленных программ, для ее дальнейшей отладки используется программное средство DISK EXPLORER [89, с. 72-80].
При программно-аппаратном способе реализации дискеты копируются с помощью специальных программно-аппаратных устройств типа платы COPYIIPC OPTION BOARD DELUXE. Этот способ является достаточно простым по сравнению с первым и позволяет (при хорошей квалификации преступника) для большинства известных систем защиты создавать копии ключевых дискет за 5-7 минут [89, с. 106].
6.2 Модификация кода системы защиты. Заключается в модификации (изменении) кода модуля системы защиты, выполняющего следующие функции:
1) проверку ключевой дискеты;
2) корректировку счетчика установок на жесткий магнитный диск (винчестер), защищенного от копирования программного средства с ключевой дискеты;
3) проверку санкционированности запуска защищенного информационного ресурса.
Обычно модификация сводится к простому обходу кода модуля, выполняющего перечисленные выше функции. В некоторых случаях модуль подвергается существенным изменениям, позволяющим обойти проверки систем защиты. Основная задача заключается в определении логики работы модуля. Последующее же внесение изменений в него остается “делом техники” и не представляет особого труда для преступника, разгадавшего логику построения защиты. Чтобы выполнить указанные действия, необходимо провести трассировку (распечатку выполняемых программой команд и изменений переменных или информации о других событиях, связанных с выполнением программы, — см.: 68, с. 406) или дисассемблирование (программный перевод объективного программного модуля в эквивалентную программу, созданную на языке программирования Ассемблер, — см.:
68, с. 85) этого модуля с целью определения и дезактивации той его части, которая выполняет защитные функции. Эти действия достаточно трудоемкие и могут быть выполнены только лицом, имеющим достаточный опыт и квалификацию по специальности системного программиста или аналитика. Время преодоления системы защиты в данном случае будет определяться неделями [89, с. 108].
6.3 Моделирование обращений к ключевой дискете. Многие программные средства защиты информации логически используют не прямую, как это принято, работу с контроллером (специализированным процессором, предназначенным для управления внешними (периферийными) устройствами и позволяющим освободить центральный процессор от выполнения этих функций, — см.: 68, с. 166), а средства системы BIOS (Basic Input-Output System — базовой системы ввода-вывода информации, представляющей собой часть программного обеспечения, входящего в состав компьютерной системы, отвечающей за тестирование и начальную загрузку, поддержание стандартного интерфейса ЭВМ с периферийными устройствами и аппаратно воплощенную в постоянном запоминающем устройстве (ПЗУ), — см.: 39, с. 162) — прерывание 13h. Этим и пользуются преступники, программно моделируя результат обращения ЭВМ к ключевой дискете путем перехвата прерывания 13h. Время преодоления защиты составляет при этом от одного дня до одной недели [89,с. 109].
6.4 Использование механизма установки/снятия программных средств защиты информации. Некоторые программные средства защиты используют при их установке на винчестер привязку к физическому расположению файла на диске. Одновременно с этим в алгоритм работы этих средств включаются функции, обеспечивающие их снятие с винчестера с одновременным восстановлением исходного состояния счетчика установок, т. к. защищенные программные средства нельзя перемещать путем использования стандартных средств сохранения/восстановления файлов. Использовав же функцию снятия защищенной программы с винчестера, можно тем самым получить возможность незаконного тиражирования защищенных программных продуктов в корыстных целях. Для этого преступником осуществляется следующий алгоритм действий:
1) получается санкционированный или несанкционированный доступ к защищенному программному средству, расположенному на винчестере;
2) анализируется структура размещения и содержание всех файлов (в том числе скрытых), созданных на винчестере программой установки;
3) выполняется копирование защищенной программы с винчестера (при этом восстанавливается исходный счетчик установок);
4) восстанавливаются сохраненное состояние системы и ее содержимое.
В результате всех этих действий получается ключевая дискета с исходным счетчиком установок и нелегальная копия программного продукта на винчестере. Отметим, что данный процесс сохранения/восстановления информации требует от преступника знаний структуры файловой системы DOS (дисковой операционной системы), умений использования программных средств из комплекта Norton Utilities Advanced Edidtion и аппаратного устройства записи информации на магнитную ленту — стриммера, позволяющего сохранить/восстановить все содержимое диска и прежнюю структуру размещения на нем всей информации. Время преодоления защиты в этом случае составляет порядка нескольких часов [89, с. НО].
6.5 Снятие системы защиты из памяти ЭВМ. Данный способ заключается в следующем. Система защиты через определенное время автоматически загружает в память ЭВМ защищаемое программное средство, расшифровывает его и передает управление расшифрованному коду. В этот момент в оперативной памяти компьютерной системы находится полностью расшифрованная программа и для получения несанкционированной копии остается только сохранить ее в каком-либо файле. Этим и пользуются преступники. Например, получение несанк-ционированной копии командно-управляющего СОМ-файла осуществляется путем перехвата первого прерывания (например, INT 21H), возникающего в ходе выполнения защищаемой программы. А для получения несанкциотарованной копии ЕХЕ-файла — осуществляются следующие действия:
1) активизируется защищенная программа, начиная с ее различных адресов с: сохранением образа памяти в двух файлах;
2) путем сравнения последних в п. 1, определяются смещения перемещаемых адресов с одновременным их вычислением;
3) формируется таблица перемещений по п. 2 и заголовок ЕХЕ-файла.
Для этих целей преступниками используется специальное инструментальное программное средство CERBERUS KIT. Время преодоления защиты при этом составляет несколько часов [89,с. 111].
Считаем необходимым отметить следующее. Посредством использования способов копирования при совершении компьютерного преступления, преступникам удается получать несанкционированные копии данных и информации с последующим их использованием в корыстных целях. Например, по данным зарубежной печати, рост популярности среди населения ФРГ кредитных электронных карточек привел к тому, что уже в 1990 г. было зарегистрировано 4601 преступление, связанное с их подделкой путем незаконного копирования оригиналов с использованием средств компьютерной техники; в США — был изобличен преступник, который самостоятельно изготовил и использовал в корыстных целях 7 тыс. персональных кредитных карточек. В результате чего преступниками без особого труда похищались крупные наличные суммы денег из уличных банкоматов. При этом, по данным уголовной полиции ФРГ, лишь 31% преступников были обнаружены и уличены правоохранительными органами в содеянном [46, с. 5; 76, с. 8-9]. По нашему мнению, аналогичная ситуация складывается и в России. Об этом, в частности, свидетельствуют и данные оперативно-розыскной деятельности по отдельным регионам страны, в которых начали активно применяться безналичные расчеты с использованием “электронных денежных средств”.
Рассмотренные нами выше способы совершения компьютерных преступлений, относящиеся к подгруппе преодоления программных средств защиты представляют собой переходную категорию между первыми четырьмя группами способов и пятой группой. - К пятой и последней группе способов совершения компьютерных преступлений мы относим комплексные методы, под которыми понимаются использование преступником двух и более способов, а также их различных комбинаций при совершении преступления. Эти способы были подробно рассмотрены нами в первых четырех группах. Некоторые из них оказываются вспомогательными, работающими на основной способ, выбранный преступником в качестве центрального, исходя из конкретной преступной цели и ситуации. Проиллюстрируем это на конкретных примерах по материалам уголовных дел.
Например, с использованием способов несанкционированного доступа и манипуляций ценными данными в конце сентября 1993 г. в г. Москве было совершено покушение на хищение в особо крупных размерах 68 млрд. 309 млн. 768 тыс. руб. из Главного расчетно-кассового центра (ГРКЦ) Центрального банка России (ЦБР), расследованное Следственным управлением ГУВД г. Москвы Криминальная операция была организована следующим образом. В правоохранительные органы поступила информация о незаконном зачислении на корреспондентский счет коммерческого банка (КБ) “С-вест” денежных средств в размере 10 млрд. 70 млн. 100 тыс. рублей. Предварительной проверкой было установлено, что указанная сумма денег поступила 15 сентября 1993 г. с одного из счетов РКЦ г. Москвы. С этого же счета в тот же день незаконно были списаны и сразу же зачислены на корреспондентские счета восьми московских коммерческих банков денежные средства на общую сумму 58 млрд. 239 млн. 668 тыс. руб.
В ходе дальнейшей проверки было установлено, что зачисление средств произошло из-за умышленного добавления к массиву входных данных программного комплекса “Операционный день РКЦ” дополнительных записей электронных банковскиу документов. Эти документы впоследствии были обработаны компьютером Межрегионального центра информатизации при ЦБР и сделаны проводки по начислению средств. Фальшивые записи были введены под номером участника, обслуживаемого ГРКЦ ЦБР по Москве, по выписке, которая формируется после передачи электронных документов из ГРКЦ в МЦИ ЦБР.
На умышленность проведенной операции прямо указывает факт несохранения электронных банковских документов за 16 сентября 1993 г., вопреки установленным правилам [12, с. 6-7].
В ходе проведенного следствия выяснилось следующее. Указанные электронные операции преступниками были осуществлены с использованием широко распространенных средств компьютерной техники: персональных компьютеров моделей IBM РС/АТ-286 и IJF SUPER286, печатающих устройств (принтеров) моделей Citizen и HP Desk Jet-500C, дискет (магнитных носителей машинной информации) и листингов (распечаток). Один из компьютеров был подключен через модемный модуль (модем) к городской телефонной сети и имел зарегистрированный пользовательский номер абонента в лице коммерческой фирмы “П.-Т.”. Используя в качестве маскировки способ манипуляции данными, преступниками было произведено дробление указанной выше суммы на неравные долевые части с зачислением на соответствующие корреспондентские счета КБ. При этом коммерческие банки преступниками подбирались с таким расчетом, чтобы без существенных препятствий в кратчайший срок можно было бы снять переведенную на счет сумму наличными. Таким правом обладают только крупные коммерческие банки, оперативно работающие со своими клиентами. Заметим, что для дальнейшего сокрытия преступления, преступниками был применен следующий прием — они не сразу перевели раздробленные суммы на заранее подготовленные счета, а в течение нескольких часов перекидывали данные суммы по разным счетам клиентов, обслуживаемых ГРКЦ Центрального банка России по г. Москве, прогоняли их по цепочкам счетов.
В результате принятых правоохранительными органами мер, 15 октября 1993 г. в КБ “С-вест” была предотвращена попытка незаконного получения 10 млрд. 70 млн. 100 тыс. руб. по двум фиктивным платежным документам, подготовленным с использованием компьютерной техники, представленным директором дочернего предприятия “А. Брок.”. На следующий день все незаконно начисленные на корреспондентские счета коммерческих банков денежные средства были стонированы [12, с. 6-7].
В качестве примера можно привести и классическую схему “взлома” компьютерной сети австрийского банка отечественными преступниками по заказу московской коммерческой структуры в целях блокирования работы данного банка в течение суток.
Как правило, подобная криминальная операция готовится в течение нескольких месяцев и обходится “заказчику” в 25 тыс. долл. На первоначальном этапе вербуются лица (путем подкупа или вымогательства) из числа сотрудников банков: один из которых впоследствии будет потерпевшей стороной, вторые — получатели слагаемых похищенной суммы, а третьи — банки, в которых похищенные суммы будут обналичены и сняты со счетов (иногда с одновременной конвертацией в ту или иную валюту).
Далее, для подстраховки вербуется специалист телфонной станции населенного пункта, из которого будет осущестляться общее управление криминальной операцией. В данном пункте на подставное лицо снимается квартира, в которой устнавли-вается необходимое оборудование, включающее в себя компьютеры, средства связи и автономные источники электропитания на случай внезапного обесточивания бытовой элек^осети. В данной квартире будет работать главный исполнитеь. Помимо него, в разных районах населенного пункта задейсвуются еще порядка 10-12 персональных компьютеров с операюрами, т. к. одна ЭВМ не обеспечит успешное проведение опрации. Таким образом, количество участников “операции” можг достигать 30 человек. Однако об истинной цели знают лиш 5 человек — главный исполнитель и его непосредственные юмощ-ники, тогда как остальные используются “втемную” — иждый из них знает лишь о своей конкретной задаче.
Криминальная операция электронного взлома назыается “бухингом” и осуществляется не через компьютерную сеть, где легко быть обнаруженным, а напрямую — по серийном; телефонному номеру типа “09” (многоканальному), по котором] могут одновременно работать несколько абонентов. В заданный чс “X” 11-13 компьютеров одновременно предпринимают попьгау несанкционированного доступа в банковскую сеть потерявшей стороны. При таком количестве одновременно “атакующих'даже самые надежные системы защиты от несанкционироинного доступа не успевают адекватно отреагировать на созданную нештатную (аварийную) ситуацию. Это приводит к тому, что только несколько компьютеров отсекаются системой зациты, тогда как остальные получают требуемый доступ. Далее ситуация развивается следующим образом. Один из “прорвавшхся” компьютеров блокирует систему статистики сети, которая фиксирует все попытки доступа. После чего другие “прорвавшеся” компьютеры не могут быть обнаружены и зафиксирваны. Часть из них приступает к непосредственному “взлому” ауж-ного сектора банковской сети, а остальные занимаются фиктивными бухгалтерскими операциями с целью дезорганиации работы банка и сокрытия преступления.
Если в момент “взлома” сети несанкционированный дотуп был обнаружен, то, как правило, события начинают развиться по следующему сценарию, также предусмотренному преступниками, а именно: сотрудник службы безопасности потерпевшего учреждения с помощью специальной аппаратуры связи немедленно посылает запрос на АТС, через которую идет сигнал, с просьбой идентифицировать телефонный номер абонента главного исполнителя. В этом случае начинает действовать сообщник из числа работников АТС, который называет другой абонентский номер, например, ближайшего отделения милиции, в то время как исполнитель — сразу же “выходит” из операции.
Если же “бухинг” проходит успешно, то главный исполнитель в период прохода фиктивных платежных поручений вводит через свой компьютер основное платежное поручение в соответствующий “взломанный” сектор сети банка и ставит его первоочередным на обработку и отправку по указанным адресам. После него регистрируют фиктивные поручения с целью сокрытия основной “проводки”. Сразу после оплаты основного платежного поручения фиктивные дезорганизуют систему взаиморасчетов банка со своими клиентами и на некоторое время полностью парализуют ее. Условно это выглядит следующим образом. В банк “А” (потерпевшая сторона) приходит платежное поручение из банка “В”, у которого с “А” имеются корреспондентские отношения. Операция перевода денежных средств занимает несколько минут. Затем сумма немедленно делится на неравные долевые слагаемые и переводится в банки “С”, имеющие корреспондентские отношения с банком (банками) “В”, но не имеющие таковых с “А”. Данный алгоритм переброса денег повторяется несколько раз с целью последующего сокрытия преступления, после чего суммы переводятся в зарубежные банки, конвертируются в соответствующую валюту, снимаются со счетов и легализовываются. В течение месяца со дня совершения преступления уже “чистые” деньги законным путем переводятся в требуемую страну на счет “заказчика” [36, с. 5].
В последнее время, как свидетельствует анализ уголовных дел, в криминальной среде активизировался процесс легализации преступно нажитых капиталов, мошеннических манипуляций с банковскими чеками, персональными кредитными карточками на основе магнитного носителя и микропроцессорного устройства, а также другими документами перевода безналичных денежных средств в наличные и обратно. 6 связи с чем преступниками стали использоваться следующие новые комплексные способы, предполагающие собой проведение различных манипуляций с электронными кредитными карточками, которые представляют собой не что иное, как средство компьютерной техники, которое выдается банками всего мира своим клиентам для проведения безналичных расчетно-кассовых операций, например оплаты товаров и услуг. Значительная распространенность и повышенная общественная опасность указанных преступных посягательств убедительно подтверждаются следующими данными: например, в 1991 г. только через систему “Интуркредит” с использованием кредитных карточек было осуществлено более * 1,2 млн. сделок на общую сумму свыше 200 млн. долл. США, при этом около 120 тыс. сделок были признаны по различным причинам недействительными, ущерб составил — свыше 2 млн. долл. В данных случаях преступниками обычно используются комбинации различных способов для осуществления своих корыстных целей. На практике ими активно применяется сочетание многих способов, например “за дураком” и манипуляция данными, выраженные в том, что преступник, обычно работник торговых предприятий и сферы обслуживания, пользуясь невнимательностью клиента (или умышленно отвлекая его — “за дураком”), производит несколько дополнительных несанкционированных оттисков на приемном компьютерном устройстве оплаты услуг или товаров, которые впоследствии используются им для оплаты присвоенных материальных ценностей или услуг.
Иногда преступником используется и метод подделки кредитных карточек путем изготовления их фальшивых копий, посредством дублирования законного оригинала на том компьютерном устройстве, на котором был изготовлен оригинал (что и было рассмотрено нами выше). Здесь мы имеем дело с одновременным использованием способов копирования и “маскарад”, иногда к ним добавляется какой-либо из способов несанкционированного доступа.
В заключение мы хотели бы особо подчеркнуть, что по данным проведенного нами опроса, всего 8% респондентов осведомлено о существовании тех или иных способов совершения компьютерных преступлений, что еще раз подчеркивает актуальность проведенного нами исследования.
Еще по теме Глава 3 Способы совершения компьютерных преступлений:
- § 2. СОСТАВ ПРЕСТУПЛЕНИЯ И ОБРАТНАЯ СИЛА УГОЛОВНОГО ЗАКОНА
- Глава IV. СООТНОШЕНИЕ ФЕДЕРАЛЬНЫХ И РЕГИОНАЛЬНЫХ НАЧАЛ В СИСТЕМЕ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ
- 3. Квалификация сложных составов преступлений
- 1. Понятие, общая характеристика и система преступлений против общественной безопасности и общественного порядка
- 4. Преступления, нарушающие общие правила безопасности. Характеристика отдельных видов преступлений против общественной безопасности
- 1. Понятие и общая характеристика преступлений в сфере компьютерной информации
- 2. Конкретные виды преступлений в сфере компьютерной информации
- 1. Понятие и общая характеристика преступлений против мира и безопасности человечества
- 7.1.2. Виды компьютерных преступлений
- 4. Основные задачи анализа данных, позволяющих сделать вывод о совершении убийств одними и теми же лицами
- §1. Уголовно-правовая характеристика преступлений в сфере компьютерной информации
- Понятие компьютерных преступлений
- Глава 2 Криминалистическая характеристика компьютерных преступлений
- Глава 3 Способы совершения компьютерных преступлений
- Глава 4 Предупреждение компьютерных преступлений
- Глава 5 Практика раскрытия и расследования компьютерных преступлений
- § 1. Родовая криминалистическая характеристика преступлений
- Информационная война, информационный терроризм, информационные преступления, информационное оружие. Определение понятий,
- Криминалистическая классификация банковских преступлений и способы совершения хищений