Семикаленова
.pdfи
Апробация и внедрение в праштику • учетный прощыж результатов дисс^шщионного исследования проводились на научно-пршстячвских кон ференциях и семинарах в Академии уп|кюления МВД России («X Междуна родная конференция по информатизации правоозфанительных систем» (г. Москва, 20О0г.); в Московском институте МВД Роесии «Состояние, про блемы применения и сов^>шенствования законодательсгаа о бс^ьбе с орташшжашюй пресгутшепю и торрувтЫ!» (2в@0 г.>; на 4-oi шт^ер^ащт
Консорциума ПрМ в МГУ им. Ломоносош1 (2001 г.) в рабочей группе «Влия ние ииформациошшх технологий на национальную 'беэо1Юсность»; ГУ ЭКЦ МВД России (2001 г.) «Криминалистика. XXI век», «Д^ировое со<]б!1№ство в бс^^бе с те1^х^»гшсш» (2001 г.).
Основные положения диссертации опубликованы в 9 научных стать ях, в отчетах по шучжмюслюдсяатслньскЫ! рвбспс «^юрабопа мето;^ческого обеспечения производства 1фиминалистических ЭКСП^УТКЗ И иссле дований прогршлмжьтехннческих ^>едств при расследовании преступле ний в сфере компьютерной информации» // Теш1 НИР № 42, Коллектив авторов. ЭКЦ МВД России и ЮИ МВД РФ. 2000., Отчет о иаучш)- исследо1Югеяьск<^ работе «Выбс^ кяаоси^к8а9кж1а1Х iqeiSHaxoi и обосHOBBHiK систюны структурных методов и средатв щюнжюдагта КТЭ» // Промежуточный отчет. Тема НИР №3.13. Коллектив автс^х». ЭКЦ МВД России и ЮИ МВД РФ.2001, Отчет о ш1учно иашедователвской работе «Методы и средства реоюния задач компьют^жо-техничаскс^ эмсп^рти»! // Заключительный отчет. Тема НИР >fe3.7. Коллектив автором. ЭЩЫВД России и ЮИ МВД РФ, 2002. и в методических рекомеццшцнх, шшщрсп- ных в учебные процессы МГТУ мим. Н.Э.Баумаш1 в i^^pce ^<К(жпыотернотехническая экспертиза» и МПОА, спецчзем1^1ф «Судебная эксп^тгаэа в уголовном и гражданском судопроизводс1яе, но лешм «б щ/ттис^рвтт- ных 1фавошфушениях».
12 Структура дисеертационного исслсдовлння 1фед<шредеяеш1 емис- лом и лопнсой иеследования. Работа состоит из введения, двух гшш, заклю
чения, списка литературы и приложения.
13
Глава 1: Теоретические и процессуальные acneidbi судебной программно-компьютерной экспертизы
§ 1.1. Способы; совершения и со1фытия преступлений, сопряженных с использованием про^рвммно-компьютертых средств.
Современшш щттжл f^tcKpbnwi и расследошшня преступлений хгфакте{жзуется ростом преступлений в сфере компьют^>н<Ш информшщи, п|>и ра боте с KOTt^oiMH остро встает во1фос об исследовании щхнршлмного 1фодукта. Помимо предусмотренных уголовным законодательством самостоятеды!ых составов преступлешШ (Глава 28 УК РФ), еще целый ряд уголовно иаказуе- MUX деяний 1ю своему coci^^ «плотную сстряжеяы с укгааят^ сфсрс^ ИШ1, ишик гов^м, так называемыми «компьютерными преступлениями». По мненшо цежнч> рада^ ученых, занимающихся этой пр0блеш>й, которое разоеляем и мы, термин «KOMi^rarqMioe 1феступленмю» должен употребляться 1к в )tx>- ловно-1фавовом асшжге, где это только затрудняет квалификацию даяния, а в •джминалистичесшеом, поскоямсу связан не с кваднфикащкй, а имешя> со спо собом совершения и со1фытия преступления и, еоответетвенно, с мггодикой <»ч) раскрытия и расжяедоваиия^. Способ «жртиения и coiqixuiwi ПЕреступл^шя
^ См., иет^тмер, Россияскш! Е.Р., Уеоа А.И. СуяНбшл номгаютерво-техгапеская
жспертзл. - М.: Щашо н зшсон, 2001.; Некоротс» А.Б., Комшлогкркие 1Ц)всту1шшшЕ: квалификация, расследовашк,этсспертяза.Часть 1/ Под ред. В.Н. Черкшоотл. - С|фат(ж: СЮИ МВД РОССИИ, 2003.; ЬЛещерюют А.А. Преступягаш! • сф^ж компыоте1»к^ miфо|»1ащи: 1фавс»(^ я 1фнмншишсшчсский аюш». - Ворорнок: ВорокясккШ recym^Kt- araraidl y^HMfKOtex, 2001. с. 114 - 1 It.
* Росс^юпм EJP., Yv» AM, Суде&цм тош&ю^е^т^жтаттш зтеявртш. - М.: Прюо н 38K0fi, ^Ю1.; Моофпх» АЛ. r^peciyiMC^ а ефе|к « ^ ^
правовед и крткшваяисгаческвй ашлнз. - Ъорараеж: ЬорстежааЛ гоеудв|)ССМ»яЫЙ yHHBcyuHiei, 2001. с. И4 -118.
14 ОТНОСИТСЯ к сбъекпшнЫ! стс^оне состава щзеступяешн и поэтому мсшо^»ется в его уголовно-правс^пю херактеристку. Огносито! он и к ^харакгфистшж предмета доказывания, то есть сбладает и 1фоцессуальным содержанием'. Именно поэтому разработка оснс» судебной программно-компьютерной экс пертизы требует рассмотр^шя способе» сов^>шения и со1фытия преступле ний, сопряженных с использованием программно-компыот^>ных средств, что является нео^юдаааш также и для того, чт оокювть шпуа^шкпъ нового предстшляемого рода судебной экспертизы.
Среди С1Юсобов преступлений, связанных с прог(м»1мными средствами, можно и1делить Ефеступдешм, в кот^[»ах программные средства могутбыть:
i.предметом 1фестуш1ения (напри»^: нарушение авторских
исмежных 1фвв);
2.^)едств(ш сстертекяя шш сокрытия 1фестуш1ения (нв1^и- Mq): распространение ]федоносных программ, 1фажи, машенничество);
3.источником iq^MHimAHcni4ecKH значимой инфо{»1ац1Ш (например: изготовление фальшивых денежных знаков и ценных бу1«г, клевета, тфупюиие авкфашх щя»}.
Все эти г|^пы прштически нащяшую связаш! с преступлениями, за ключающимися в осув^ствлении атак №Л инфс^мацнонно-компыотершде системы. Лишь небольоюя их часть представляет собой нещкюом^ное ис пользование программных средств, полученных легальным способом (нц>у- шение шторских и смежных пр£ш, изготовление и с^шт подделы1ых 1феднтных к^хг, ii^iHbix бумаг, денежных знаков и тл).
Атака на компьютерную систему - это дейспше, 1фед1финима»кюе злоумышленником, которое закшочается в поиске и исшмозованин той или
' Белк^ Р.С. К)фс |фимиши1нстшп: Учебаве поообпс для яунт. - Ус шза.,яоаоя-
неняое. - М.: КЖИТИ-ДАНА, завов в враво,200). е. 7Э5.
15 иной уязвимости компыотерной СИСФМСЫ^. Сущестауют сбышоые (локаль^ ныв) атаки, осуществляемые в предешк одной компыотерной сиожисы, и удаленные - обусловленные распределенностью ресурсов и информации в пространстве, характерных для глобальных вычислительных еетей (ВС). Они отличаются, BO-nq>BHx, тем, что злоумышленник может нпходитъся за тыся чи километров от атакуемого объекта, и, ао-шюрых, тем, что напвд^поо мо жет 1кздво?гаться ие ксанфсташьШ Km/mumtp^ а ю|ф^>ма^1я^ третиттяеш по сетевым соединениям. С развитием локальных и глобальных сетей именно удаленнью атаки становятся лидирующими как по количеству попыток, так и по успешжхгти их применения и, соответствешю, обеспечение ^кеэопасиости шичислительных сетей с точки зрения противостояния удаленным атакам приобретает первостепенное значение.
Под удаяенной отстой поинмаггся иифсфА1ацио1шое paspyumx^s^tt воздействие на распр^г^ленную ВС, программно осуществляемое по канал£м связи. Это определение охватывает обе особенности сетевых систем - рас пределенность компыотер(» и рас1феделенность инфсфмации. Всл^|ствие этого далее б у д ^ рассмотрены два подвида таких атак - удаленные атаки m шЦфаструктуру и 1фот(жояы сети и удалюшые атаки на телекоммг)апиюащонные слуз1^ы. Паяные исполь^ют уязвимости в ccrt«»ux npoTOKOj»ix и ин- ^MMCTj^rnype сети, а wtopat - уязвимости в теяпсоммуннющиощшх а^окбах. При утош под ин^»кпруктур(^ сети мы понишкяя сложишиуюся систему < ^ пшизащ1и отношений между объектшкш сети и используемые в -сети -сераяс- ные службы^.
Общая классификация атак была проведена еще в 1975 году. Одж>й из перпых публикаций, в которой эта классифи1шция была приведена, является
' Мсямяовсюй И ^ Семыгаоа ПЖ, Лл1№Ш]!А.ВЛтака чфе^ уч1юй редакцией проф. П. Д. Эяжан. - М: ШЮ "УЬяр я caa»-9S, 1997.
^ К1едведовс1с1Ёй ИД, Семынов П.В., 1]латош>|В.В. Атака чс))ез bitmi^ учной редакцией проф. П. Д. Ъеежтл. -М:ШЮ'^М^ кхяшл-$^, t997
16 работа л. Дж. Хофмана «Совре»№нные методы защиты инфорнящии». Мы, так же как и В.А. Мещеряков, приведенный в ней перечень считаем актуаль ным и на сегоднянший день. На наш взгляд, изменишсь форма исполнения атак, а суть и фунющональное исполнение остались прежними. Поэтому, проанализировю гфедложенную в этой роботе кдассифиющшо, мы сде1гади закшочение, что крнминалжггически З1шчимую инф(^м^1ащно на основании
изуч&ят щюгршшючкхашшяерта. ерсяств мсшмо я&яушл в ttm случал,
если преступления сов^>шались по средствам 1фоведения сдедукшщх атшс:
•Атежи на €>снове «тайного кода», ^^ный случай представляет собой д(^в^5&тку шяв^нных недостатков функцжширующего 1фогрШк1много обеспечения, п;ж котс^м кроме устранения основ1ЮЙ 1цжчины вносятся до полнительные фуни^, позволяюпше автору доработки проникать в автоматизцровшшую систему ше авто{шэован№1М способом.
Примером может слуяопъ (хюкрытое в 1991 году хищение 125 000 долларов во Внешэкономбанке СССЛ*. При расследовании было устшювл^ю, что путем модификации расчетного алгцятп из под учета ЭВМ были выведены и подпшхвлены к хищению еще 750 000 долла ров*.
•Атсаса на осноее «отказа ш ^ктупе». Вдащншсяу^мБ ислоль^' ется про1рамма, захватывающая права 1фивш1епф<яа1ШШ1> пользователя на пq>вooчepeднoe использование ресурсов вычислительной системы и прове дение плшмшерного оттж» в доступе законным польэоютеяям.
Примером здесь может служить Heiq)£UM>MqpHoe 1Юпользование каналовдоступав глобальную сеть Интернет путем выдачи ос^я за ле-
галыюго авторизованного пользователя. Так, нл те^^ритс^жи г. Беягс^да, в течении сентя^)я - нояб^ 199t г., граяздаикн А осуще ствляя выход в сеть Ингфжт, иепшо^ш дая ЗФОГО реквшн1ы ^^мы
' Ку|«ло А.И. О прсбзияию жяшяаащякА 1фест)^тоеп // НТИ оерш 1. Орпошмщн и методика 1шф^яю1Щ(^вЫ{ рЛботы-1991. - J(^—с.^
17 <4Самеяот», полученные им в результате использовмшх программы по лучения шфояя для входа в компью1е{»1ую ceib^.
•Атаки на основе «гшдуцирования ошибок». При такой атаке «из дается 1фограмма, производящая внутри себя ряд ошибок и сох|»аяюишя в общедоступных местах вычислительной системы информацию о 1юведении операционной системы (вектс^ состояния или дамп памяти) и системы защи ты инфс^йющо!. После ш&го ш^^гщяте!» ш»кет с иоюю^овшиим обычюЕх средств получить эту информацию и СОСТЕШИТЬ впечатление о зшцитных ме ханизмах атакуем<^ систеяо!.
•Атаки на основе «взаимодействующих синхронных щмщессов». В
дшиюм случае одноврем^1Ш> (с максимально возможной степеныо) звипускается два или более процесса, исполь^^ощих одни и те же ресурсы шь1Ч1юлителы^ сиютмш, прш этсм, болы^нспо &аерахтошахя. систо* О^ске рас считанных на мультизадачную работу) реалыю выпол1шет все операции только последователыю, ра^>ывая каждую операцию на отдельные порции (кв»1ты) и сохраняя их промежуточные результаты. Одноцременное с^раи^-
нис к одним и тем же ресурош может шзывать различные пчствщрпшя (не 1цсмщусмотрениые рвэ|юботчиком) ситуации, кото|»ими может воспользо ваться злоумышлюшшс.
Примером здесь может служить «юсто ужмганйемые как в сред ствах мжховой инфоркшции, так и в спещ1али»фованиой литературе, так называемые DoS ата1ж.
• Атаки тгта «NAK». Свое имя данный «яюсоб 1фоникновения в автоматиз1фованные информационные скютемы получил из-м клшоча теле тайпа "NAK**, используемого для выполнения операщш кратковременного прерывания какого-либо 1фоцесса. В ^кшьвпшстве ол^[1шщонных скстем еущеетц^ет вошожность 1ферываши ткхя^т^ щртт&т дяя випоянею»
' ^^sciKpTiiaa пршгтка ЭКУ УВД Бегахфодс1!сА«6^^
18 дфугой команды или 1фограммы с посяедуияцим возвращеня^я к мдюяменшо npq>BaHHoro щюцесжа. Как щкюило, проектирошцики уделяют сдишксииг мало внимания защите прерванного инф(^>шщионного 1фоцесац и злоумыш ленник (преступник) может скопировать или внести изменения в состояние прерванного процесса.
•Атаки на основе «перестановочного про^раммироваиуя». В дан-
шт. сяу«ше гшфштжттт водготавяиваст сппзраяыше вртрмпш, осуще ствляющие nqpe6(^ вмх возможных изма1«1ий в позшдиях шш шфядке входных информащюнных элементов для выявления несгандафтной ^не п|>е- дусмотренной ра:^[жботчиком) решении 1ютоматкя{ровши«:^ инфо1»1ационнойсистек^.
•Лгшхки на основе ^(поэлементной декомпозиции». При осуществ- л^1Ш1 атаки тахть рот щктсходят рвабшеишк к|жтичиой тформ^^ш (па ролей, идентификащюиных имен и т.п.) пл эле»юиты и по отдельным фраг ментам хфедъявляется системам защиты информации аташуемой автоматизи рованной инфо{шаци(жж^ систюо!. Аиализн|^я реахцшо системы защиты информащш (время peaxiv^ и ее 1»зно»цдностиХ злоумшпленник получает возмсиююсть изучить стромме защипгкш Mexai^»aioe и п|?есАОлеть их. ОднсА из разновидаюстей данного метода является noj^nieHiW тождаственной КОПИИ п|Ю1раммяшх> c^Secne^iraR, устажзяяошого в атакуемой ттоштхз»- рованной инф<^»1«ац1Юииой системе, диэасеем6я1фошнние его исполня^кюго кода или выполнение в с1ЮЩ1аяьно по;щ>товленной вычислтельнсмй среде (на компьютере «под отладчиком»).
•Лпиаси типа 4(Piggy back». В данном случае злоумышленник под ключается к линии информационного вэшиюдействия и генер1фует ложные сообщения об отказе в доступе, t&sapste соо^цешм как ошибочном и т.п.
Г^ этом регистрн|уую1»я де^тшш ttptmmepmnFO шшьаошшм, тощрШ п»- чюшет попытю! повторжнпо подкшочеиия к информацжяшсИ еагяеме т у гими различными СПОСО^АШ.
19
• Атаки иа осноше «п^янского коыя». Этот тершт озназдют уста новку злоумышленником-программистом в атакуемую щюграм!^ «точки входа» и ее дальнейшее использовшше для с1фытноп> проникновения. В на стоящее время данным термином также называется и создание специальных npoipaMM, котсфые наряду с известными полезными функциями выполняют вредоносные недо1^1к«ентированные функции. На1фимер, известны факты еоздаюм вредоносгасх вр(щ>ттл, штеющш о^^маиюое юа, разме{> и ;^>угие «внешние» парамет|»1, совпадающие с широко известными и роспространенными 1фОфаммшкш тшю Nrntoa Utility, Kar.exe, а также встроенные в элек тронные почтоше сообщения'".
Как было упомянуто ранее, в сс^рем»1ной практике уголошюго судо производства число преступлений, напртмую квалифищ11^емых по статьям, отиосж1^имея к иньш гяааам УК, во мм<мго рва 1^еяыоают преступления, по своему составу относящиеся только к главе 28 УК РФ. Эхо ярко иллюстриру ет исследовшше yrojroBHoro кодекса на предмет выявлет1я тех преступле ний, по кот(^[ялм на одной из стадий их совершения либо уже 'былм использо ваны, о чем свидетельствует следствешшя и »№сп^>тная п|>актнка, либо мснуг Слт нсштзованы 1Ц[юграмм110^ом1нькггфш1е срещтпт» м, следоватеяыю, пря расследоваи№1 КОТС^^АК несбходнмо шктк^етт 1ф(Ираммнокомпьюте1як^ эихаертзы. К ним OTHoanoi:
Глшю 17. Преступления против свободы, чести идосгоинстш! личности
ст. 129 - клевета;
ст. 130 - оскорбление.
Глава 19. Преступления против констипуционных прав и свобод чело века и п^оедшрви
щщтщтттщтя
** M«qcf»B» АЛ, Гфестушю!^ в сфере кеятштартЛ ивфсцщаяяв: щтттМ и К1яшн11алиствч«с»а§11 ашишз. - Во|хшеж: ВвроаежамЛгоеудцмявеннййушперсикт, 2001. с. 114-118.
20 ст. 137 - нарушение неприкосновенности частной жизни (к этому отно сится размещение в Интернете инфоришщш, содержащей Ш1чную или семей
к у тайну);
ст. 138 - нарушение тайны пфеписки, телефонных пюрегокфов, почтоBbDc, телеграфных или иных сообщений (можно отнести к этому просмотр чу жих электронных писем, SMS - сообщений, прослушивание разговсфов по со- Ttmotgy тежфеяг^, иесшпкщкмкирс^н^!^ 1фосмотр теяефс^ЮЕх контактиж);
ст. 142 - фальсифи1ШЩ1я избирательных документов, документов рефе рендума или не1ф1Ш1ЛЫ1ЫЙ подсчет голосов;
ст. 146 - Bai^meHHe авторских и смежных 1фав.
Глава 21. Преступления против собственности
ст. 15S — 1ф№ка;
ст. 159 - мошеш1ичество;
ст. 160 - П1Я1своение или растрата;
ст. 165 - щжчинйнк имуществ«ш<»т> уп|^зба путем обмана или зло употребят»! дав^яем.
Глава 22. Преступления в сфере экмюмической ж?ятельностн
ст. 171 - незаконное щхдпрнниматеяыпво;
ст. 173 - лжепред1финимателыггво;
ст. 174 - легализация (отмывание) денежных ч^едств или иного имуще ства, приобрет«1ных незаконным путем;
ст. 180 - незшсонное использован!^ тов^фного знаю;
ст. 182 - заведомо ложная реклам»;
ст. 183 - незамяшое шшуч^ме и pmtmaomasam-GaefftmM^ «осФешщвшцкх к(»1мерческую тв№у;
ст. 1186 - изготовление ншн^ыттщяшеяьньк д^1ег или яепных'бумм^