3. Способи вчинення комп’ютерних злочинів

За способами реалізації зловмисний шкідливий вплив на комп’ютерну систему може здійснюватися:

1) через технічні канали, включаючи канали побічних електромагніт­них випромінювань і наведень, акустичні, оптичні, радіо-, радіотехнічні та інші канали просочування інформації;

2) через канали спеціальної дії за рахунок формування спеціальних полів і сигналів з метою руйнування системи захисту або порушення цілісності інформації;

3) шляхом несанкціонованого доступу в результаті підключення до апаратури і ліній зв’язку, маскування під зареєстрованих (законних) користувачів, подолання заходів захисту для отримання (використання) інформації або нав’язування помилкової інформації, вживання закладних пристроїв і впровадження шкідливих програм.

Останній спосіб є найскладнішим у реалізації, тому на ньому ми зупинимось докладніше.

Під несанкціонованим доступом (далі – НСД) розуміють доступ до інформації, який порушує правила розмежування доступу з використанням штатних засобів, що надаються засобами обчислювальної техніки чи автоматизованими системами. Під несанкціонованим доступом необхідно розуміти не тільки саме проникнення до системи, але й дії з використання, внесення змін та знищення комп’ютерної інформації особою, яка не мала права на такі дії.

Типова послідовність дій злочинця при НСД складається з таких етапів:

1. підготовчий, який включає збір необхідної інформації та отримання доступу (прямого чи віддаленого) до носіїв інформації і до самої інформації;

2. основний, у ході якого вчиняється шкідливий вплив на оброблювану в системі інформацію або впровадження шкідливих програм;

3. заключний, на якому відбувається приховання слідів злочину.

Комп’ютерні технології, що використовуються на підготовчому етапі вчинення злочину з метою отримання доступу до носіїв та до самої комп’ютерної інформації.

1. Комп’ютерні технології прямого (безпосереднього) доступу до комп’ютерної інформації.

1.1. Технічні засоби – ЕОМ, комп’ютерні носії інформації, периферійне обладнання тощо.

1.2. Програмні засоби – це будь-яке програмне забезпечення, за допо­могою якого злочинець учиняє дії з управління технічними засобами, що безпосередньо взаємодіють з комп’ютерною інформацією на носіях.

2. Комп’ютерні технології віддаленого доступу до комп’ютерної інформації.

2.1. Технічні засоби – мережне устаткування (при доступі з локальної мережі), а також засоби телефонного зв’язку, модем (при доступі з глобальної мережі).

2.2. Програмні засоби можуть збігатися з програмними засобами, що використовуються при безпосередньому доступі до комп’ютерної інформації, проте в цьому випадку велике значення мають комунікаційні програми, що використовуються злочинцем і забезпечують зв’язок ЕОМ злочинця з комп’ютерною системою-жертвою.

Після отримання доступу до комп’ютерної системи, переходячи до основного етапу, зловмисник учиняє певні дії, направлені на досягнення злочинної мети:

- перекручення, знищення інформації шляхом внесення змін до файлів, їх видалення тощо, спрямовуючи відповідні команди зі свого комп’ютера в реальному часі;

- упровадження шкідливих програм.

Шкідлива програма для ЕОМ — це програма, у яку закладені функції, виконання яких може спричинити неправомірну дію на: а) засоби комп’ютерної техніки, що призводить до їх знищення, блокування або іншого порушення їх роботи; б) комп’ютерну інформацію, що призводить до її знищення, блокування, модифікації або копіювання.

Існує кілька класифікацій шкідливих програм:

1. За функцією саморозповсюдження:

а) програми, що саморозповсюджуються, тобто такі, які мають в алгоритмі функцію, що дозволяє їм, незалежно від дій користувача, створювати свої копії (розмножуватися) й розповсюджуватися, тобто упроваджувати свої копії у файли, системні області машинних носіїв інформації, зокрема в оперативну пам’ять тощо. До таких програм слід віднести:

- комп’ютерний вірус – шкідливу програму, що саморозповсюджується шляхом включення свого програмного коду або деякої його частини в програмний код файлів, системні області або інший робочий простір машинних носіїв інформації;

- комп’ютерний черв’як – шкідливу програму, що саморозповсюджується шляхом перенесення свого програмного коду або деякої його частини мережею. Основна відмінність комп’ютерного черв’яка від вірусу полягає в механізмі його саморозповсюдження;

б) програмні закладки – це програми, що не здатні до саморозповсюдження. Відсутність механізму саморозповсюдження – основна їх відмінна ознака. У решті вони можуть бути наділені аналогічними функціями програм, що саморозповсюджуються. Їх можна умовно поділити на п’ять груп:

- програмні закладки, що здійснюють збір інформації про інформаційні процеси, що протікають у комп’ютерній системі;

- програмні закладки, що забезпечують неправомірний доступ;

- програмні закладки, що наділені деструктивними функціями;

- програмні закладки, що блокують роботу засобів комп’ютерної техніки;

- комбіновані програмні закладки.

2. За наявністю недекларованих функцій виділяють:

а) троянські програми – шкідливі програми, які, крім прихованих шкідливих функцій, закладених у їх алгоритм і здійснюваних відповідно до наперед визначених умов, мають і відкрито декларовані функції, не пов’язані зі шкідливою дією;

б) приховані шкідливі програми. Вони відрізняються від троянських програм відсутністю відкрито декларованих функцій. Як правило, про наявність, запуск і функціонування прихованої шкідливої програми користувачеві невідомо.

3. За видом шкідливого впливу виділяють шкідливі програми, що впливають:

а) на загальну працездатність комп’ютерної системи;

б) на системну область машинних носіїв інформації і файлову струк­туру;

в) на конфіденційність, цілісність та доступність інформації;

г) на технічні засоби комп’ютерних технологій.

Виділяють такі способи отримання несанкціонованого доступу до комп’ютерної системи:

1. Перехоплення комп’ютерної інформації.

а) активне перехоплення. Здійснюється шляхом безпосереднього підключення до телекомунікаційного обладнання, комп’ютерної системи, каналів зв’язку;

б) пасивне перехоплення. Цей спосіб полягає у відновленні інформації, що розповсюджується за рахунок фізичних явищ, які виникають при функціонуванні технічних засобів обробки інформації. До таких явищ належать:

- побічні електромагнітні випромінювання;

- паразитні наведення;

- сигнали, що створюються електроакустичними елементами пристроїв слабкострумової техніки.

Відновлення й фіксація інформації при пасивному перехопленні здійснюється технічними засобами, як правило, спеціального призначення.

2. Способи отримання несанкціонованого доступу без подолання програмних засобів захисту системи.

а) використання несумлінності користувачів системи щодо безпеки;

б) підключення до лінії зв’язку законного користувача;

в) використання для входження в систему ідентифікаційних імен, паролів та інших необхідних даних, одержаних шляхом підслуховування, підкупу, яким-небудь іншим нетехнічним або технічним способом;

г) створення законної системи або аналогу системи, якій довіряє користувач.

3. Способи отримання несанкціонованого доступу з подоланням програмних засобів захисту:

а) підбір необхідних даних для входу в систему;

б) знаходження і використання слабких місць у захисті системи;

в) використання аварійної ситуації в системі.

Способи приховання слідів неправомірного доступу до комп’ютерної інформації можуть обумовлюватися безпосередньо способом учинення злочину, а також бути універсальними.

За моментом застосування способи приховання слідів можна поділити на три групи.

1. Способи маскування, що застосовуються на основному етапі вчинення злочину:

а) способи відволікання уваги від основної злочинної дії:

- «бухінг» (електронне блокування), коли комп’ютерна система блокується одночасною атакою великої кількості зловмисних користувачів із різних місць;

- паралельне впровадження шкідливої програми, боротьба з наслідками дії якої відволікає увагу;

б) способи приховання процесів або комп’ютерної інформації:

- використання ремейлерів (remailers) – комп’ютерів, що отримують електронне повідомлення і переправляють його за адресою, вказаною відправником;

- використання анонімізаторів та спеціальних проксі-серверів – служб, що дозволяють змінювати початкову IP-адресу комп’ютера користувача даної інформаційної послуги;

- дотримання значних часових затримок між моментом упровадження програмної закладки та моментом учинення злочинних дій або налаштування таких засобів на активацію тільки за певних умов;

в) способи відключення засобів активного захисту (аудиту):

- використання штатних засобів налаштування системи захисту ОС Windows;

- використання спеціальних програм.

2. Способи зачищення, які використовуються на заключному етапі.

а) способи видалення змін у системі:

- використання програм віддаленого адміністрування комп’ютерної системи;

- використання виявлених під час підготовки та вчинення злочину «потайних ходів» у системі для доступу до необхідних ресурсів;

б) способи руйнації комп’ютерної інформації:

- використання руйнівних програмних вірусів;

- використання програм форматування носіїв інформації.

3. Універсальні способи. Такі способи засновані, перш за все, на відновленні первинного стану інформаційного середовища вчинення злочину, що дозволяє практично повністю видалити його сліди, але в той же час вимагає наявності дуже глибоких професіональних знань у зловмисників. Ці способи знаходять своє втілення в так званих «руткітах» (rootkit) – наборах, які включають усі необхідні програми, застосовуються на будь-якому етапі вчинення злочину.

Розглянемо деякі окремі способи вчинення групи злочинів, що передбачені статтями розділу XVI КК України.

Під створенням шкідливої програми (ст. 361¹ КК України) слід розуміти творчу діяльність, спрямовану на створення якісно нової програми, що явно наділяється функціями, виконання яких може чинити неправомірну дію на комп’ютерну інформацію і засоби комп’ютерної техніки. Як уже було вказано, деякі шкідливі програми мають здатність саморозповсюджуватися, і ця функція до них додається на останньому етапі створення. Такі способи використовуються зловмисниками і для розповсюдження іншої комп’ютерної інформації: інформації з обмеженим доступом, повідомлень електрозв’язку.

Отже, способи вчинення комп’ютерних злочинів цієї групи мають таки різновиди:

1) неправомірний доступ: а) несанкціонований доступ; б) санкціоно­ваний доступ, але несанкціоновані дії; в) санкціонований доступ, санкціоновані, але неправомірні дії;

2) створення, використання комп’ютерних технологій – засобів учинення злочину;

3) розповсюдження або збут комп’ютерної інформації: шкідливих програмних засобів, комп’ютерної інформації з обмеженим доступом, повідомлень електрозв’язку;

4) порушення правил експлуатації комп’ютерної системи або порядку чи правил захисту комп’ютерної інформації в них.

Способи вчинення комп’ютерних злочинів, у яких об’єктом є інші суспільні відносини, ніж у складах злочинів розділу XVI КК України (група 1 а) наведеної вище класифікації), утворюють дії злочинця з маніпуляції комп’ютерною інформацією – її зміни, спотворення, знищення, блокування, використання, також упровадження в систему шкідливих програм, що спрямовані на завдання збитку (фізичного, матеріального, морального) іншій особі, досягнення незаконної вигоди та інших злочинних цілей. Віртуальне середовище відіграє роль посередника між злочинцем та потерпілою стороною.

Вказані способи можуть бути класифіковані таким чином.

1. Підміна даних. Зміна або введення нових даних здійснюється, як правило, при вводі-виводі даних.

2. Зміна коду. Сутність цього способу полягає у внесенні змін до коду даних, наприклад бухгалтерського обліку. В основі цього способу – використання принципу роботи комп’ютерних технологій із закодованою (оцифрованою) інформацією.

Способи вчинення злочинів, у яких комп’ютерні технології є допоміжним засобом вчинення злочину (група 2 класифікації), насамперед включають різноманітні способи підробок або виготовлення та розповсюдження матеріалів, заборонених в обігу чи охоронюваних правом інтелектуальної власності. Їх можна бути згрупувати таким чином.

1. Способи використання комп’ютерних технологій для підробки предметів, що самі становлять цінність або є засобом вчинення злочину:

- грошей, документів, печаток, штампів, бланків, цінних паперів, знаків поштової оплати і проїзних квитків, марок акцизного збору або контрольних марок;

- платіжних карток для доступу до банківських рахунків.

2. Використання комп’ютерних технологій при виготовленні та розповсюдженні порнографічних матеріалів та матеріалів, що пропагандують культ насилля та жорстокості.

3. Вчинення «піратства», тобто незаконного виготовлення та розповсюдження копій матеріалів, які є об’єктами інтелектуальної власності, в тому числі комп’ютерних програм та баз даних.

Підсумовуючи викладене, можна констатувати, що застосування при вчиненні злочину певного способу зумовлює появу відповідних слідів. Навпаки, виявлення в процесі розслідування слідів комп’ютер­ного злочину дає можливість встановити спосіб його вчинення.