Криминалистика учебник (Под общ. ред. засл. юриста РФ, д-ра юрид. наук etc
.).pdf
Глава 36
МЕТОДИКА РАССЛЕДОВАНИЯ ПРЕСТУПЛЕНИЙ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ
36.1.Криминалистическая характеристика преступлений в сфере компьютерной информации
Действующим УК РФ предусмотрена ответственность за неправомерный доступ к компьютерной информации (ст. 272), создание, использование и распространение вредоносных программ для ЭВМ (ст. 273), нарушение правил эксплуатации компьютерной техники (ст. 274).
Наблюдаемое в последние годы увеличение количества преступлений в сфере компьютерной информации объясняется непосредственным влиянием следующих факторов:
1)рост числа ЭВМ, используемых в России, и, как следствие этого, расширение круга их пользователей, увеличение объема информации, хранимой в ЭВМ (этому способствует снижение цен на компьютеры, а также то обстоятельство, что отечественными фирмами налажена самостоятельная сборка компьютеров, делают это и отдельные граждане самостоятельно);
2)прибыльность компьютерной информации как предмета преступного посягательства;
3)недостаточность мер по защите ЭВМ и их систем, а также не всегда серьезное отношение руководителей предприятий и фирм к вопросу обеспечения информационной безопасности и защите информации;
4)использованием в преступной деятельности современных технических средств, в том числе и ЭВМ;
461 
5) низкий уровень специальной подготовки лиц, управомоченных предупреждать, раскрывать и расследовать преступления в сфере компьютерной информации.
Криминалистическую характеристику преступлений в сфере компьютерной информации составляют следующие основные данные: о способах совершения преступления и механизме противоправного деяния; способах сокрытияпреступления; орудиях (средствах) совершения противоправного деяния; обстановке и месте совершения преступления; следах преступления; предмете преступного посягательства; лицах, совершающих преступления в сфере компьютерной информации.
Данныеоспособахсовершенияпреступления.Способыпреступныхдей-
ствий в сфере компьютерной информации дифференцируются в зависимости от состава совершаемого преступления. Исходя из того, что самым распространенным из предусмотренных гл. 28 УК РФ преступлений является неправомерный доступ к компьютерной информации, рассмотрим способы его совершения.
Способысовершения названногопреступления в зависимости отформы контакта с компьютерной техникой можно разделить на непосредственные, опосредованные и смешанные.
При использовании способов непосредственного доступа к информации происходит отдача соответствующих команд непосредственно с того компьютера, на котором находится информация. Разновидностями таких способов являются:
1)проникновение в закрытые зоны и помещения, где производится обработка информации, для совершения неправомерного доступа к ней;
2)обследование рабочих мест программистов с целью поиска черновых записей;
3)восстановление и просмотр стертых программ.
Способы опосредованного (удаленного) доступа к компьютерной информации основаны на неправомерном доступе к определенному компьютеру и находящейся в нем информации с другого компьютера, находящегося на определенном расстоянии, через компьютерные сети. Способы опосредованного доступа к компьютерной информации, в свою очередь, можно разделить на две подгруппы:
1)способы преодоления парольной, а также иной программной или технической защиты и последующего подключения к чужой системе;
2)способы перехвата информации.
462 
К способам первой подгруппы относятся:
–проникновение в чужие информационные сети путем автоматического перебора абонентских номеров с последующим соединением с тем или иным компьютером;
–проникновение в компьютерную систему с использованием чужих паролей. Подбор паролей может осуществляться двумя методами: 1) подбор паролей путем простого перебора всех возможных сочетаний символов до тех пор, пока не будет установлена нужная комбинация; 2) «интеллектуальный» подбор паролей на основе имеющихся «словарей» наиболее распространенных паролей, систематизированных по определенным тематическим группам. Практика показывает, что данным методом вручную вскрываются более 40% паролей. При этом наиболее распространенными тематическими группами паролей являются следующие: имена, фамилии и производные от них(22%);последовательностьклавишкомпьютера,повторсимволов(14%); даты рождения пользователя и его близких, а также их комбинации (12%); интересы, хобби (9,5%); адрес, место рождения (5%); номера телефонов или документов: паспортов, удостоверений личности и т.п. (3,5%).
–«социальный инжиниринг», который является разновидностью способа получения пароля для последующего незаконного вхождения в компьютерную систему. При этом информация получается в процессе беседы (телефонной, посредством обмена электронными сообщениями) с пользователями системы. Данный способ широко применяется для получения данных (имя, пароль) с целью подключения к компьютерной сети Интернет за счет законных пользователей.
Ко второй подгруппе способов опосредованного доступа к компьютернойинформацииотносятсяспособыеенепосредственного,электромагнитного и других видов перехвата. Непосредственный перехват происходит путем непосредственного подключения к линиям связи законного пользователя и получения тем самым доступа к его системе.
Электромагнитный перехват осуществляется за счет перехвата излучений центрального процессора, дисплея, коммуникационных каналов, принтера и т.д. Его можно осуществить, находясь на достаточном удалении от объекта перехвата. К методам перехвата информации относятся также аудиоперехват и видеооптический перехват.
Смешанные способы могут осуществляться путем как непосредственного, так и опосредованного (удаленного) доступа. К этим способам относятся:
463 
1)тайноевведениевчужуюпрограммутакихкоманд,которыепомогаютей осуществить новые, незапланированные функции, либо таких, которые должны сработать при определенных условиях через какое-либо время при одновременном сохранении прежней ее работоспособности («троянский конь»);
2)осуществление доступа к базам данных и файлам законного пользователя путем нахождения слабых мест в системах защиты.
Способы и механизм создания, использования и распространения вредоносных программ для ЭВМ имеют определенную специфику, которая обусловлена прежде всего особенностями вредоносных программ. В зависимостиотспособностисамовоспроизводитьсявредоносныепрограммыподразделяются на самовоспроизводящиеся и несамовоспроизводящиеся. По способу действия вредоносные программы делятся на резидентные (при заражении (инфицировании) компьютера оставляют в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т.п.) и внедряется в них) и нерезидентные (не заражают память компьютера и являются активными только во время их непосредственной работы).
В зависимости от среды обитания вирусы подразделяются на сетевые (распространяются по различным компьютерным сетям); файловые (внедряются главным образом в исполняемые модули программ, т.е. в файлы, имеющие расширения соm и ехе); загрузочные (внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Record); файлово-загрузочные (заражают как файлы, так и загрузочные сектора дисков).
По степени воздействия вирусы можно разделить на следующие виды:
– неопасные (не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах);
– опасные (которые могут привести к различным нарушениям в работе компьютера);
– очень опасные (воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска).
По особенностям алгоритма вирусы можно классифицировать следующим образом:
– простейшие вирусы паразитического характера – изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены
иуничтожены;
464 
–вирусы-решикаторы, называемые червями, которые распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии;
–вирусы-невидимки, называемые стеле-вирусами, которые очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска.
Наиболее трудно обнаружить вирусы-мутанты, содержащие алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов.
Существуют и так называемые квазивирусные, или «троянские», программы, которые хотя и не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.
Следует особо выделить полиморфный вирус. Этот вид компьютерных вирусов представляется на сегодняшний день наиболее опасным. Полиморфные вирусы – вирусы, модифицирующие свой код в зараженных программах таким образом, что два экземпляра одного и того же вируса могут не совпадать ни в одном бите.
Основными путями проникновения вирусов в компьютер являются съемные диски (гибкие и лазерные), флэшки, а также компьютерные сети. Заражение жесткого диска вирусами может произойти при загрузке программы с диска или флэшки, содержащих вирус. Такое заражение может быть и случайным, например, если внешнее запоминающее устройство не извлекли из дисковода или USB-входа или вставили в зараженный компьютер и, например, прочитали его оглавление.
При непосредственном доступе сокрытие следов сводится к воссозданию обстановки, предшествующей совершению преступления, т.е. уничтожению оставленных следов (следов пальцев рук, следов обуви, микрочастиц и др.). При опосредованном доступе сокрытие заключается в самом способе совершения преступления, который затрудняет обнаружение неправомерного доступа. Это достигается применением чужих паролей, идентификационных средств доступа и т.д.
Сейчас широко распространено программное сокрытие следов, состоящее в указании ложных телефонных номеров, паролей и анкетных данных лица, совершающего неправомерный доступ. В то же время не теряет актуальности и сокрытие физических следов преступления (например, следов
465 
пальцев рук на клавиатуре, кнопках дисководов и других поверхностях, которых он касался).
Способыпрограммногосокрытияследовнеправомерногодоступаккомпьютерной информации в сети Интернет состоят в использовании:
1)ремейлеров – компьютеров, получающих сообщения и переправляющих их по адресу, указанному отправителем, в процессе переадресации информация об отправителе уничтожается, и конечный получатель лишен возможности выяснить, кто автор сообщения;
2)вымышленного электронного адреса отправителя в программах пересылки электронной почты;
3)программ-анонимизаторов, позволяющих изменять данные об обратном адресе и службе электронной почты отправителя. При этом остается возможность установить электронный адрес компьютера отправителя;
4)второго электронного почтового ящика. В сети Интернет существует множество сайтов, где свободно и бесплатно можно открыть свой почтовый ящик, откуда отправлять электронную почту под любыми вымышленными исходными данными.
Данные об орудиях и средствах совершения преступлений. Орудиями совершения преступлений в сфере компьютерной информации являются средства компьютерной техники, в том числе и специальное программное обеспечение. Следует различать средства непосредственного и опосредованного (удаленного) доступа.
К орудиям непосредственного доступа можно отнести прежде всего машинные носители информации, а также все средства преодоления защиты информации. Причем каждой категории средств защиты (организационнотактических, программно-технических) соответствует свой набор орудий неправомерного доступа к компьютерной информации.
К орудиям опосредованного (удаленного) доступа относится прежде всего сетевое оборудование (при неправомерном доступе из локальных сетей), а также средства доступа в удаленные сети (средства телефонной связи, модем). При этом «взломщикам» необходимы соответствующие пароли
иидентификационные номера законных пользователей.
Одним из орудий неправомерного доступа к компьютерной информации является сам компьютер. Этим в значительной степени объясняется и сложность расследования данного вида преступлений. Связано это с тем, что идентифицировать компьютер, с помощью которого был осуществлен неправомерный доступ, практически невозможно. Да и сам поиск такого
466 
компьютера может привести к разрушению ряда других программ и причинению крупного материального ущерба.
Другим распространенным средством совершения неправомерного доступа в последнее время стала глобальная мировая телекоммуникационная сеть Интернет. Необходимо отметить, что в современных условиях бурного развития средств вычислительной техники и периферийного оборудования орудия и средства совершения неправомерного доступа к компьютерной информации постоянно модернизируются и совершенствуются.
Кроме того, средствами совершения преступлений в сфере компьютерной информации являются: сетевое оборудование, телефонная сеть, машинные носители информации.
Данные о следах преступления. Следы неправомерного доступа к компьютерной информации в силу специфики рассматриваемого вида преступлений редко остаются в виде изменений внешней среды. Они
восновном не рассматриваются современной трасологией, поскольку
вбольшинстве случаев носят информационный характер, т.е. представляют собой те или иные изменения в компьютерной информации, име - ющие форму ее уничтожения, модификации, копирования, блокирования. Так, следы неправомерного доступа к компьютерной информации можно разделить на два вида: традиционные следы (следы-отображе- ния, следы-вещества и следы-предметы) и нетрадиционные – информационные следы.
Кпервому типу относятся материальные следы. Ими могут являться какие-либо рукописные записи, распечатки и т.п., свидетельствующие о приготовлении и совершении преступления. Они могут остаться и на самой вычислительной технике (следы пальцев рук, микрочастицы на клавиатуре, дисководах, принтере и т.д.), а также на магнитных носителях, CDROM, flash-картах.
Информационные следы образуются в результате воздействия на компьютерную информацию в форме уничтожения, модификации, копирования, блокирования. Они остаются на магнитных носителях информации и отражают изменения в хранящейся в них информации (по сравнению с исходным состоянием). Информационными следами являются также результаты работы антивирусных и тестовых программ. Данные следы могут быть выявлены при изучении компьютерного оборудования, рабочих записей программистов, протоколов работы антивирусных программ, программного обеспечения.
467 
Информационные следы могут оставаться и при совершении преступления с использованием сети Интернет. Они возникают в силу того, что система, через которую производится доступ, обладает некоторой информацией, которую она запрашивает у лица, пытающегося соединиться с другим компьютером. В частности, система определяет электронный адрес, используемое программное обеспечение и его версию, адрес электронной почты, реальное имя и другие данные. Эту информацию запрашивает системный администратор для контроля обращений на его сервер, что также позволяет идентифицировать личность проникающего в сеть.
Следами, указывающими на посторонний доступ к информации, могут являться: переименование каталогов и файлов; изменение размеров
исодержимого файлов; изменение стандартных реквизитов файлов, даты
ивремени их создания; появление новых каталогов, файлов и др.
На неправомерный доступ к компьютерной информации могут указывать и необычные проявления в работе ЭВМ, как то: замедленная или неправильная загрузка операционной системы; замедленная реакция машины на ввод с клавиатуры; замедленная работа машины с дисковыми накопителями при записи и считывании информации; неадекватная реакция ЭВМ на команды пользователя; появление на экране нестандартных символов, знаков и др.
Данные о предмете преступного посягательства. Предметом преступ-
ного посягательства является компьютерная информация: сведения, знания или набор команд, предназначенные для использования в ЭВМ или управления ею.
Компьютерная информация как разновидность криминалистической информации имеет специфику:
1)как правило, очень объемна и быстро обрабатываема. Например, компьютер с процессором Pentium с жестким диском емкостью 1 Гб может хранить информацию, равную тысяче 500-страничных томов (неформатированного текста). Вместе с тем современные компьютеры способны производить более 4 млрд. элементарных операций в секунду и оснащены жесткими дисками емкостью 500 Гб и более, что превышает 150 млн. страниц (неформатированного текста). Теоретическая скорость обмена компьютерной информацией между средствами компьютерной техники достигает 1 000 Мб (примерно 36 тыс. страниц неформатированного текста) в секунду;
2)очень легко и, как правило, бесследно уничтожаема. Для уничтожения компьютерной информации, равной 500 страницам текста, необходимы
468 
два нажатия клавиши клавиатуры – через секунду вся она будет стерта. В то время как для сжигания 500 страниц машинописного или рукописного текста необходимы специальные условия и значительный промежуток времени. Отметим, что при удалении отдельного файла физически он продолжает оставаться на носителе информации, удаляется только его имя из каталога. Физическое же удаление информации происходит при записи на его месте новой информации;
3)может находиться лишь на машинном носителе (лазерном диске, flash-карте, полупроводниковых схемах и др.), в самой ЭВМ (оперативной памяти), в их системе (оперативной памяти периферийных устройств) и их сети (буферная память устройств связи);
4)общедоступна при условии, что гражданин овладел основными навыками общения со средствами визуализации и отсутствуют особые ограничения на доступ. Следует иметь в виду, что компьютерная информация, как никакая другая, может быть выведена из разряда общедоступных путем обычных, но многократно усиленных вычислительной мощью компьютеров методов парольной защиты, аутентичной верификации и шифрования (криптографии). В таком случае доступ к ней лицам, не знающим пароля, шифра или алгоритма защиты, блокируется практически намертво;
5)инвизуальна – позволяет без специальных средств и приспособлений в естественном виде наблюдать и анализировать себя. Средством инвизуализации является собственно компьютер, инструмент, непростой
вобращении и требующий от человека, работающего с ним, определенных навыков;
6)обладает свойством, которое делает оригинал и копию одинаково ценными. Исходя из специфики компьютерной информации, ее содержание не зависит от типа используемого материального носителя. Так, при копировании информации с диска (flash-карты) на жесткий диск с точки зрения содержания файлы (оригинал и копия) будут тождественны. Идентичность копии и оригинала создает одинаковую ценность исходной информации и изготовленной с нее копии вне зависимости от носителя при условии использования одинакового конечного метода визуализации.
Исходя из того, что копия имеет ценность, эквивалентную ценности оригинала, необходимость в завладении собственно оригиналом отпадает. Достаточно лишь любым способом сделать копию. При этом факт копирования может быть никак не зафиксирован, поэтому и факт посягательства как бы отсутствует;
469 
7)создается, изменяется, копируется, применяется только с помощью ЭВМ при наличии соответствующих периферийных устройств чтения машинных носителей информации (дисководы, устройства чтения лазерных дисков (CD-ROM), стримеры, устройства чтения цифровых видеодисков
идр.). Компьютерная информация может быть перенесена на новый носитель с удалением на первоисточнике, а может быть скопирована и оставлена на первоисточнике. По содержанию полученная копия будет тождественна оригиналу. Число подобных копий может быть неограниченным;
8)легко передается по телекоммуникационным каналам связи компьютерных сетей. Можно передать большой объем информации практически на любое расстояние;
9)способна к сжатию и последующему восстановлению, т.е. уменьшению объема при сохранении содержания. Это способствует не только ее передаче, но и эффективному хранению. Специальные программы (архиваторы WinRar, WinZip, Arj и др.) позволяют сжимать данную информацию в несколько раз. При разархивировании происходит ее восстановление в первоначальном виде без изменения содержимого;
10)доступнанесколькимпользователямодновременно.Кодномуитому же файлу, содержащему информацию, могут иметь доступ одновременно несколько пользователей.
Данные о лицах, совершающих преступления в сфере компьютерной ин-
формации. Неправомерный доступ к компьютерной информации совершают следующие категории граждан:
а) состоящие в трудовых отношениях с предприятием, организацией, учреждением, фирмой или компанией, на которых совершено преступле-
ние (55%);
б) не состоящие в правоотношениях с предприятием, организацией, учреждением, фирмой или компанией, на которых совершено преступле-
ние (45%).
Особую категорию лиц, осуществляющих неправомерный доступ к компьютерной информации, составляют хакеры (от англ. to hack – рубить, кромсать) – специалисты в сфере вычислительной техники, осуществляющие негативные действия в области систем компьютерной связи, информационных технологий.
Выделяют три группы хакеров. К первой относят молодежь в возрасте 11– 15 лет. В основном они совершают кражи через кредитные карточки ителефонные номера, «взламывая» коды и пароли больше из-за любознательности
470 
