Глава 3.

КРИМИНАЛИСТИЧЕСКАЯ

ХАРАКТЕРИСТИКА

НЕПРАВОМЕРНОГО ДОСТУПА

К компьютерной информации

Под криминалистической характеристикой не­правомерного доступа к компьютерной информации подра­зумевается система обобщенных данных о типичных следах, способе совершения и механизме преступления, личности преступника и других существенных чертах, свойствах и осо­бенностях преступления и сопутствующих ему обстоятель­ствах, способствующая оптимизации расследования и прак­тическому применению средств, приемов и методов крими­налистики в раскрытии и расследовании преступлений⁶⁴.

Криминалистическую характеристику неправомерного доступа к компьютерной информации составляют следую­щие основные данные о:

способах совершения преступления и механизме проти­воправного деяния;

способах сокрытия неправомерного доступа к компью­терной информации;

орудиях (средствах) совершения противоправного дея­ния;

обстановке и месте совершения преступления;

следах преступления;

предмете преступного посягательства;

лицах, совершающих неправомерный доступ к компью­терной информации и др. (см. приложение 5).

Рассмотрим перечисленные данные более подробно.

§ 1. Данные о способах

совершения преступления

И механизме противоправного деяния

Все способы неправомерного доступа к компью­терной информации можно объединить в три основные группы (см. приложение 6).

64 О содержании криминалистической характеристики см.:

Криминалистика: актуальные проблемы. / Под ред. Е. И. Зуева,— и М., 1988.- С. 120.

103

Первая группа — это способы непосредственного до­ступа. При их реализации информация уничтожается, блокируется, модифицируется, копируется, а также мо­жет нарушаться работа ЭВМ, системы ЭВМ или их сети путем выдачи соответствующих команд с компьютера, на котором информация находится. Непосредственный до­ступ может осуществляться как лицами, работающими.с информацией (имеющими отношение к этой работе), так и лицами, специально проникающими в закрытые зоны и помещения, где производится обработка информации. Это может осуществляться, например, следующим обра­зом: человек, имеющий умысел на противоправный дос­туп к компьютерной информации, держа в руках опреде­ленные предметы, указывающие на его «принадлеж­ность» к работе на компьютере (дискеты, распечатки и пр.), прохаживается около запертой двери помещения, где расположен терминал. Дождавшись, когда в назван­ное помещение входит работающий в нем сотрудник, на­правляется туда вслед за ним⁶⁵, а потом совершает непра­вомерный доступ к компьютерной информации.

Необходимо отметить, что вышеописанный способ в настоящее время менее распространен по причине де­централизации обработки информации. Иными словами, компьютерную информацию легче перехватить при ее передаче по телекоммуникационным каналам и компью­терным сетям, чем при непосредственном проникнове­нии в помещение.

Иногда преступник в целях изъятия информации, ос­тавленной пользователями после работы ЭВМ, обследует рабочие места программистов⁶⁶ в поисках черновых записей. В названных целях могут просматриваться и восстанавли­ваться стертые программы"⁷.

⁶⁵ В литературе этот способ иногда именуется «за дураком» (см.: Батурин Ю.М., Жодзишский А. М. Компьютерная пре­ступность и компьютерная безопасность.— М.: Юрид. лит., 1991.- С. 28).

" Способ «уборка мусора» (см. там же).

⁶⁷ Специалисты считают, что для восстановления програм­мы, «стертой» из памяти компьютера потребуется не более 40 мин (см. Федоров В. Компьютерные преступления: выяв­ление, расследование и профилактика//Законность, 1994, №6-С. 45).

Вторая группа включает способы опосредованного (уда­ленного) доступа к компьютерной информации. К ним можно отнести:

1) подключение к линии связи законного пользовате­ля (например, к телефонной линии) и получение тем са­мым доступа к его системе;

2) проникновение в чужие информационные сети путем автоматического перебора абонентских номеров с последу­ющим соединением с тем или иным компьютером. Пере­бор осуществляется до тех пор, пока на другом конце ли­нии не «отзовется» чужой компьютер.

Электронный взлом осуществляется, как правило, че­рез компьютерную сеть. При попытке неправомерного до­ступа один несанкционированный пользователь может быть легко обнаружен. Поэтому взлом осуществляется од­новременно с нескольких рабочих мест. В заданное время несколько (более десяти) персональных компьютеров од­новременно предпринимают попытку несанкционирован­ного доступа⁶⁸ Это может привести к тому, что несколько «атакующих» компьютеров отсекаются системой защиты, а остальные получают требуемый доступ. Один из «про­рвавшихся» компьютеров блокирует систему статистики сети, которая фиксирует все попытки доступа. В результа­те этого другие «прорвавшиеся» компьютеры не могут быть обнаружены и зафиксированы. Часть из них приступает к «взлому» нужного сектора сети, а остальные занимаются фиктивными операциями с целью дезорганизации работы предприятия, организации, учреждения и сокрытия пре­ступления⁶⁹;

3) проникновение в компьютерную систему с использо­ванием чужих паролей и пр.⁷⁰, когда незаконный пользова­тель выдает себя за законного пользователя. При подобном способе незаконный пользователь осуществляет подбор па­роля для доступа к чужому компьютеру. Для реализации та-

⁶⁸ При таком числе одновременно атакующих компьютеров даже самые надежные системы защиты от несанкционирован­ного доступа не успевают адекватно отреагировать на созданную нештатную ситуацию.

⁶⁹ См.: Сергеев В. В. Компьютерные преступления в бан­ковской сфере // Банковское дело, 1997, № 2.— С. 27—28.

⁷⁰ Некоторые авторы называют данный способ «неспешный выбор» (см.: Батурин Ю. М., Жодзишский А. М. Указ. соч.— С. 29).

кого подбора существуют уже специально разработанные программы, которые можно приобрести на «черном» компь­ютерном рынке. Подобрав необходимый пароль (для подбо­ра восьмизначного пароля требуется не более суток), неза­конный пользователь получает доступ к компьютерной ин­формации и может проводить с ней любые действия под видом законного пользователя: копировать ее, модифициро­вать, удалять, заставлять программы производить требуемые операции, например, по переводу денежных средств на свои счета, фальсификации платежных документов и пр.

К числу способов опосредованного (удаленного) дос­тупа к компьютерной информации относятся способы не­посредственного и электромагнитного перехвата⁷¹.

Непосредственный перехват — простейший способ не­правомерного доступа. Перехват осуществляется либо пря­мо через внешние коммуникационные каналы системы, либо путем непосредственного подключения к линиям пе­риферийных устройств. При этом объектами непосред­ственного подслушивания являются кабельные и проводные системы, наземные микроволновые системы, системы спут­никовой связи, а также специальные системы правитель­ственной связи.

Электромагаитный перехват. Современные технические средства позволяют получить информацию без непосред­ственного подключения к компьютерной системе: за счет перехвата излучений центрального процессора, дисплея, коммуникационных каналов, принтера и т. д. Все это мож­но осуществить, находясь на достаточном удалении от объек­та перехвата. Например, используя специальную аппарату­ру можно «снимать» информацию с компьютера, располо­женного в соседнем помещении, здании⁷².

Распространенным видом электромагнитного перехвата является установка в компьютерном оборудовании «жуч­ков» — чувствительных микрофонов с целью перехвата раз­говоров обслуживающего персонала.

Третью группу составляют смешанные способы, кото­рые могут осуществляться как путем непосредственного,

⁷¹ См.: Компьютерные преступления.— М., 1995.— С. 13.

⁷² Современные технические средства позволяют снимать и расшифровывать излучения работающего принтера на расстоя­нии до 150 м, излучения мониторов и соединительных кабелей — до 500м.

так и опосредованного (удаленного) доступа. К числу этих способов относятся:

1) тайное введение в чужую программу таких команд, ко­торые помогают ей осуществить новые, незапланированные функции при одновременном сохранении прежней ее рабо­тоспособности⁷³ (программа выполняет копирование фай­лов, но одновременно уничтожает данные о финансовой де­ятельности предприятия);

2) модификация программ путем тайного встраивания в программу набора команд, которые должны сработать при определенных условиях через какое-либо время⁷⁴. Напри­мер, как только программа незаконно перечислит денежные средства на так называемый подставной счет, она самоунич­тожится и при этом уничтожит всю информацию о проде­ланной операции;

3) осуществление доступа к базам данных и файлам за­конного пользователя путем нахождения слабых мест в сис­темах защиты. Обнаружив их, появляется возможность чи­тать и анализировать содержащуюся в системе информацию, копировать ее, возвращаться к ней по мере необходимос­ти⁷⁵. Таким образом, можно обращаться к базам данных конкурирующей фирмы с тем, чтобы не только иметь воз­можность анализировать ее финансовое положение, но и получить упреждающую информацию о перспективах ее раз­вития. Получение такой информации дает несомненное преимущество в конкурентной борьбе;

4) использование ошибок в логике построения програм­мы и обнаружение «брешей»⁷⁶. При этом программа «раз­рывается» и в нее вводится необходимое число определен­ных команд, которые помогают ей осуществлять новые, не запланированные функции при одновременном сохранении прежней ее работоспособности. Именно таким образом можно переводить деньги на подставные счета, получать ин­формацию о недвижимости, о персональных данных лично­сти и пр.

⁷³ Способ «Троянский конь» (см.: Батурин Ю.М.,Жод-зишский А. М. Указ. соч.— С. 30).

⁷⁴ Способ «Мистификация» (см.: Батурин Ю.М., Жод-зишский А. М. Указ. соч.— С. 31).

⁷⁵ Способ «Маскарад». Там ж е. С. 32.

⁷⁶ Обнаруженные бреши могут эксплуатироваться неодно­кратно.

Преступники могут получить пароли, коды и иденти­фицирующие шифры законных пользователей (путем по­лучения списка пользователей со всей необходимой ин­формацией, обнаружения документа в организациях, где не налажен контроль за их хранением, прослушивания те­лефонных переговоров) и проникнуть в компьютерную систему, тилдямя себя за законного пользователя. Особен­но уязвимы в этом отношении системы, которые не обла­дают средствами аутентичной идентификации (например, по физиологическим характеристикам: отпечаткам паль­цев, рисунку сетчатки глаза, голосу и т. п.).

Как отмечалось ранее, неправомерный доступ к компь­ютерной информации может быть связан и с насилием над личностью либо угрозой его применения. Уголовно-право-вую характеристику обозначеного способа мы уже рассмат­ривали. Что касается криминалистических аспектов, то необходимо констатировать: насилие над личностью или уг­роза его применения могут иметь место при непосредствен­ном, опосредованном и при смешанном способах соверше­ния рассматриваемого преступления. При этом подвергать­ся насилию или угрозе его применения может как сам законный пользователь компьютерной системы, так и иное лицо, сведущее в компьютерной технике.

Непосредственный доступ к компьютерной информа­ции, сопряженный с насилием над личностью или угро­зой его применения, будет иметь место в том случае, ког­да законный пользователь или иное лицо, сведущее в ком­пьютерной технике и данной информационной системе, после применения насилия или под его угрозой осуще­ствит неправомерный доступ к компьютерной информа­ции и при этом произведет уничтожение, копирование, модификацию или блокирование информации непосред­ственно на том компьютере, где данная информация хра­нится.

Опосредованный доступ к компьютерной информации, связанный с насилием над личностью или угрозой его при­менения, будет иметь место в том случае, когда непосред­ственный или электромагнитный перехват информации с компьютера, где она хранится (с последующим ее уничто­жением, копированием, модификацией или блокировани­ем), осуществляется лицом, подвергнутым насилию. При этом не обязательно, чтобы эти действия полностью выпол­нялись лицом, подвергнутым насилию, достаточно получе­

ния от него паролей, идентификационных номеров, элект­ронных карточек и пр.

Подобным образом могут осуществляться и смешанные способы неправомерного доступа к компьютерной инфор­мации, к примеру, когда осуществляется физическое воздей­ствие (или его угроза) на программистов (операторов) с це­лью тайного введения в программу незапланированных ко­манд или ее модификации; применение насилия для получения информации о слабых местах в системе защиты программной или вычислительной среды (системы ЭВМ или сети), а также разного рода ошибках в логике построе­ния программы в целях их дальнейшего противоправного использования.

Способ и механизм совершения неправомерного досту­па к компьютерной информации могут выглядеть следую­щим образом.

На первоначальном этапе вербуются лица (путем под­купа или шантажа) из числа сотрудников банка. Один из них будет впоследствии потерпевшей стороной, другие — полу­чателями похищенной суммы, а третьи — сотрудниками бан­ков, в которых похищенные суммы будут обналичены и сняты со счетов.

Далее для подстраховки вербуется специалист телефон­ной станции того населенного пункта, из которого будет осу­ществляться общее управление криминальной операцией. В этом населенном пункте на подставное лицо снимается квартира, в которой устанавливается необходимое оборудова­ние, включающее в себя сам компьютер, средства связи и ис­точники бесперебойного питания. В данной квартире будет работать главный исполнитель. Помимо него в разных райо­нах населенного пункта задействуется еще примерно 10— 12 компьютеров с операторами, так как один компьютер не обеспечит эффективного проведения операции. Таким обра­зом, общее число участников операции может достигать 30 человек. Однако об ее истинной цели знают не более 5 че­ловек — главный исполнитель и его непосредственные по­мощники. Остальные участники используются «втемную» — каждый из них знает лишь о своей конкретной задаче.

Проникновение в компьютерную сеть банка осуществ­ляется путем опосредованного доступа, рассмотренного выше.

При успешном осуществлении операции главный исполнитель в период прохождения фиктивных платеж-

ных поручений вводит через свой компьютер основное платежное поручение и ставит его первоочередным на обработку и отправку по указанным адресам. После это­го главный исполнитель вводит фиктивные поручения с целью сокрытия основной проводки. Сразу же после оплаты основного платежного поручения фиктивные платежные поручения дезорганизуют систему взаимо­расчетов банка со своими клиентами и на некоторое вре­мя полностью парализуют ее⁷⁷.