РАССЛЕДОВАНИЕ ФАКТОВ СОЗДАНИЯ, ИСПОЛЬЗОВАНИЯ И РАСПРОСТРАНЕНИЯ ВРЕДОНОСНЫХ КОМПЬЮТЕРНЫХ ПРОГРАММ

К вредоносным программам для ЭВМ прежде всего относятся так называемые компьютерные вирусы, т.е. программы, могущие внедряться в другие программы, размножаться и при определенных условиях повреждать компьютерные системы, хранящуюся в них информацию и программное обеспечение.

Непосредственный объект данного преступления — это общественные отношения по безопасному использованию ЭВМ, ее программного обеспечения и информационного содержания.

Основные задачи расследования решаются в такой последовательности:

  • • установление факта и способа создания, использования и распространения вредоносной программы для ЭВМ;
  • • установление лиц, виновных в названных деяниях, а также вреда, причиненного ими.

Установление факта и способа создания, использования и распространения вредоносной программы для ЭВМ. Такая программа обнаруживается, как правило, тогда, когда уже проявились вредные последствия ее действия. Однако она может быть выявлена и в процессе антивирусной проверки.

Разработка вредоносных компьютерных программ обычно осуществляется следующими способами:

  • • вредоносная программа разрабатывается прямо на одном из рабочих мест компьютерной системы, что, как правило, маскируется под правомерную повседневную работу. В силу своих служебных обязанностей разработчик имеет доступ к системе и обрабатываемой в ней информации, в том числе нередко к кодам и паролям. Сокрытие преступного характера своих действий разработчик осуществляет путем удаления компрометирующих данных или их хранения на собственных дискетах;
  • • программа создается вне сферы обслуживания компьютерной системы, для воздействия на которую она ориентирована. Злоумышленнику необходимы сведения о функционирующей в системе информации, способах доступа к ней, методах ее защиты. Для получения этих сведений он устанавливает связи с кем-либо из пользователей системы либо внедряется в нее посредством взлома.

На факт создания вредоносной программы могут косвенно указывать следующие обстоятельства:

  • • повышенная заинтересованность посторонних лиц алгоритмами функционирования программ, работой системы блокировки и защиты, входной и выходной информацией;
  • • внезапный интерес к программированию лиц, в круг обязанностей которых оно не входит.

Эти обстоятельства выявятся как в ходе оперативно-розыскных мероприятий, так и при производстве следственных действий, в частности, допросов пользователей компьютерной системы, в которой обнаружились признаки действия вредоносной программы.

О создании вредоносной программы свидетельствуют факты ее использования и распространения, особенно данные, позволяющие заподозрить конкретное лицо в такой противоправной деятельности. При этом необходимы своевременные и тщательно произведенные обыски в местах работы и жительства подозреваемого, а также там, откуда он мог наладить доступ к компьютерной системе. К обыску целесообразно привлечь специалиста-программиста, который поможет обнаружить все имеющее отношение к созданию вредоносной программы для ЭВМ.

Факты использования и распространения вредоносной программы нередко обнаруживаются с помощью антивирусных программ. В ходе расследования такие факты можно установить при осмотре следующих документов:

  • • журналов учета рабочего времени, доступа к вычислительной технике, ее сбоев и ремонта, регистрации пользователей компьютерной системы или сети, проведения регламентных работ;
  • • лицензионных соглашений и договоров на пользование программными продуктами и их разработку;
  • • книг паролей; приказов и других документов, регламентирующих работу учреждения и использование компьютерной информации.

Эти документы нередко ведутся в электронной форме, поэтому к ознакомлению с ними необходимо привлекать специалиста. При изучении журналов, книг, соглашений и другой документации следователь может выяснить законность использования того или иного программного обеспечения, систему организации работы учреждения и использования в нем информации, доступа к ней и компьютерной технике, круг лиц, имевших на это право.

Проводя допрос подозреваемого, нужно выяснить уровень его профессиональной подготовки программиста, опыт работы по созданию программ данного класса на конкретном языке программирования.

Допрос обвиняемого преследует цель выяснить обстоятельства подготовки и совершения преступления.

Проводя допросы свидетелей, необходимо выяснять, какая информация подвергалась вредоносному воздействию, ее назначение и содержание; как осуществляется доступ к ресурсам ЭВМ, их системе или сети, кодам, паролям и другим закрытым данным; как организованы противовирусная защита и учет пользователей компьютерной системы.

Доказыванию фактов использования и распространения вредоносных программ способствует своевременное производство информационно-технологической экспертизы, посредством которой можно определить, какие изменения и когда внесены в исследуемые программы, а также последствия использования и распространения вредоносных программ. Экспертиза может также установить примененный преступником способ преодоления программной и аппаратной защиты (подбор ключей и паролей, отключение блокировки, использование специальных программных средств).

При установлении лиц, виновных в создании, использовании и распространении вредоносных программ для ЭВМ, необходимо учитывать, что такую программу может создать человек, обладающий познаниями в написании программ. Легче всего создать вирус опытному программисту, который, как правило, не участвует в их распространении. Зачастую вредоносные программы создают и используют субъекты, хорошо освоившие машинный язык, движимые чувством самоутверждения, мотивами корысти или мести, а иногда и потребностью в компьютерном вандализме. Некоторые делают это как ответ на интеллектуальный вызов, стремясь «расколоть» систему защиты информации, официально считающуюся неуязвимой.

Выделяются следующие группы преступников: хакеры — лица, рассматривающие меры защиты информационных систем как личный вызов и взламывающие их с целью получения контроля за информацией независимо от ее ценности;

шпионы — лица, взламывающие защиту информационных систем для получения информации, которую можно использовать в целях политического влияния;

террористы — лица, взламывающие информационные системы для создания эффекта опасности, который можно использовать в целях политического влияния;

корпоративные налетчики — лица, служащие компании и взламывающие компьютеры конкурентов для экономического влияния;

профессиональные преступники — лица, вторгающиеся в информационные системы для получения личных финансовых благ;

вандалы — лица, взламывающие системы с целью их разрушения; нарушители правил пользования ЭВМ, совершающие противоправные действия из-за недостаточного знания техники и порядка пользования информационными ресурсами;

лица с психическими аномалиями, страдающие новым видом заболеваний — информационными болезнями или компьютерными фобиями.

Использовать и распространять вредоносные программы может любой пользователь персонального компьютера. Однако наибольшую потенциальную опасность представляют опытные компьютерные взломщики, получившие название хакеров, а также высококвалифицированные специалисты в области электронных технологий.

Поиск лица, причастного к использованию вредоносных программ для ЭВМ, сопряжен со значительными затратами времени, сил и средств. Органу дознания нужно поручить выявление и проверку лиц, ранее привлекавшихся к ответственности за аналогичные преступления. В некоторых случаях его можно идентифицировать по следам рук, оставленным на участках дисководов, клавишах, других частях компьютера.

Установив подозреваемого, его немедленно задерживают, чтобы предотвратить уничтожение компрометирующих материалов. Кроме того, если вредоносная программа является компьютерным вирусом, промедление с задержанием может расширить масштабы его распространения и причиненный ущерб.

Допрашивая подозреваемого, необходимо выяснить, где он живет, работает или учится, его профессию, взаимоотношения с коллегами, семейное положение, круг интересов, привычки и наклонности, навыки программирования, ремонта и эксплуатации компьютерной техники, какими ее средствами, машинными носителями, аппаратурой и приспособлениями он располагает, где и на какие средства их приобрел, где хранил и т.д.

Для проверки возможности создания вредоносной программы определенным лицом, признавшимся в этом, проводится следственный эксперимент с использованием соответствующих средств компьютерной техники.

При установлении вреда, причиненного преступлением, следует помнить, что вредоносная программа в виде вируса может практически мгновенно размножиться в большом количестве экземпляров и очень быстро заразить многие компьютерные системы. Это реально, ибо компьютерные вирусы могут:

  • • заполнить весь диск или всю свободную память ЭВМ своими копиями;
  • • поменять местами файлы, т.е. смешать их так, что отыскать их на диске будет практически невозможно;
  • • испортить таблицу размещения файлов;
  • • отформатировать диск или дискету, уничтожив все ранее записанное на соответствующем носителе;
  • • вывести на дисплей то или иное нежелательное сообщение;
  • • перезагрузить ЭВМ, т.е. осуществить произвольный перезапуск;
  • • замедлить ее работу;
  • • внести изменения в таблицу определения кодов, сделав невозможным пользование клавиатурой;
  • • изменить содержание программ и файлов, что повлечет ошибки в сложных расчетах;
  • • раскрыть информацию с ограниченным доступом;
  • • привести ПК в полную негодность.

Размер причиненного ущерба устанавливается экспертным путем в рамках судебно-бухгалтерской и судебно-экономической экспертиз, проводимых в комплексе с информационно-технологической и информационно -технической экспертизами.

15.3. РАССЛЕДОВАНИЕ НАРУШЕНИЯ ПРАВИЛ ЭКСПЛУАТАЦИИ СРЕДСТВ ХРАНЕНИЯ, ОБРАБОТКИ ИЛИ ПЕРЕДАЧИ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ И ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ СЕТЕЙ

При расследовании дел данной категории необходимо прежде всего доказать факт нарушения эксплуатационных правил, повлекший уничтожение, блокирование или модификацию компьютерной информации и причинение существенного вреда. Кроме того, следует установить и доказать:

  • • место и время (период времени) нарушения правил эксплуатации ЭВМ, их системы или сети;
  • • характер компьютерной информации, подвергшейся уничтожению, блокированию или модификации вследствие этого нарушения;
  • • способ и механизм нарушения правил;
  • • характер и размер причиненного ущерба;
  • • факт нарушения правил определенным лицом и виновность последнего.

Доказывая факт преступного нарушения правил эксплуатации ЭВМ, необходимо тщательно изучить документацию об эксплуатации данной компьютерной системы или сети, обеспечении их информационной безопасности. Правила должны определять порядок получения, обработки, накопления, хранения, поиска, распространения и представления потребителю компьютерной информации, а также ее защиту.

Статья 274 УК РФ охраняет информацию, имеющую ограниченный доступ, которая по условиям правового режима использования подразделяется на отнесенную к государственной тайне, коммерческой, налоговой, банковской и конфиденциальной. Именно эти две категории сведений, циркулирующих в компьютерных системах и сетях, нуждаются в особой защите от противоправных посягательств.

Порядок накопления, обработки, предоставления пользователю и защиты информации с ограниченным доступом определяется органами государственной власти либо собственником таких сведений. Соответствующие правила установлены в органах государственной исполнительной власти, в государственных архивах, информационных системах, обрабатывающих конфиденциальную информацию и ту, которая составляет государственную тайну. Для определения размера ущерба, причиненного преступным нарушением правил эксплуатации ЭВМ, их системы или сети, степень секретности и конфиденциальности информации имеет решающее значение.

Такие факты становятся известными в первую очередь владельцам и пользователям системы или сети ЭВМ, когда они обнаруживают отсутствие необходимой информации либо ее существенные изменения, негативно отразившиеся на деятельности предприятия, учреждения, организации.

Для конкретизации правила эксплуатации, нарушение которого привело к вредным последствиям, необходимо допросить всех лиц, работавших на ЭВМ и обслуживавших компьютерное оборудование в интересующий следствие период времени. К участию в допросе целесообразно привлечь специалиста. Подлежат выяснению следующие вопросы:

  • • круг обязанностей допрашиваемого при работе с ЭВМ либо ее оборудованием, какими правилами он установлен;
  • • какая конкретно работа на ЭВМ и в каком порядке выполнялась, когда произошло уничтожение, блокирование, изменение компьютерной информации или наступили иные вредные последствия;
  • • какие неполадки в компьютерной системе обнаружились при работе на ЭВМ, не было ли при этом каких-либо сбоев, чреватых причинением существенного вреда;
  • • какие правила работы с компьютером были в данной ситуации нарушены;
  • • каким образом должны фиксироваться факты уничтожения, блокирования или модификации компьютерной информации в случае нарушения определенных правил эксплуатации ЭВМ;
  • • связаны ли уничтожение, блокирование, модификация информации с нарушением правил эксплуатации ЭВМ и каких именно, либо они явились следствием непредвиденных обстоятельств.

Факт нарушения правил эксплуатации ЭВМ может быть установлен по материалам служебного расследования. Обычно оно проводится отделом информационной безопасности предприятия, на котором произошел уголовно-наказуемый инцидент. По материалам служебного расследования могут быть установлены также место и время преступного нарушения правил, другие обстоятельства, подлежащие доказыванию.

Конкретное место нарушения правил эксплуатации ЭВМ можно установить при осмотре автоматизированных рабочих мест пользователей компьютерной системы или сети. Осмотру подлежат все подключенные к ним ЭВМ. Осмотр должен проводиться с участием специалиста, помогающего выяснить дислокацию компьютера, работа на котором привела к вредным последствиям из-за преступного нарушения правил его эксплуатации.

Необходимо различать место нарушения правил и место наступления вредных последствий. Они не всегда совпадают, особенно когда нарушаются правила эксплуатации компьютерных сетей, в которых персональные ЭВМ подчас расположены на значительных расстояниях друг от друга.

При расследовании нарушения правил эксплуатации компьютерной сети очень важно установить, где расположена станция, эксплуатация которой велась с грубыми отступлениями от требований информационной безопасности. В первую очередь следует определить места, где по схеме развертывания сети дислоцированы рабочие станции, имеющие собственные дисководы, так как именно на них имеются потенциальные возможности для преступных нарушений правил эксплуатации компьютерной сети. Это, например, возможность для нарушителя скопировать данные с файлового сервера на свою дискету или использовать дискеты с различными программами, в том числе с компьютерными вирусами.

Такие действия, ставящие под угрозу целостность информации, содержащейся в центральных файловых серверах, на бездисковых рабочих станциях исключены. Рекомендуется производить следственный осмотр учетных данных, в которых могут быть отражены сведения о расположении конкретной рабочей станции, использующей файловый сервер. Кроме того, необходимо допросить в качестве свидетелей администратора сети и специалистов, обслуживающих файловый сервер, в котором произошло уничтожение, блокирование или модификация компьютерной информации.

Подлежат выяснению следующие вопросы:

  • • на какой рабочей станции могли быть нарушены правила эксплуатации компьютерной сети, где она расположена;
  • • могли ли быть нарушены правила эксплуатации данной локальной вычислительной сети на конкретной рабочей станции.

Если правила нарушены непосредственно на файловом сервере, то места нарушения и наступления вредных последствий совпадают.

Место нарушения правил может установить и информационнотехническая экспертиза, если перед ней поставлен вопрос: на какой конкретно рабочей станции локальной вычислительной сети были нарушены правила ее эксплуатации, что повлекло наступление вредных последствий.

При определении времени нарушения правил эксплуатации ЭВМ необходимо установить и зафиксировать еще и время наступления вредных последствий.

Время нарушения правил обычно конкретизируется по учетным данным, которые фиксируются в процессе эксплуатации ЭВМ. К ним относятся сведения о результатах применения средств автоматического контроля компьютерной системы, регистрирующих ее пользователей и моменты подключения к ней абонентов, содержание журналов учета сбойных ситуаций, передачи смен операторами ЭВМ, распечатки выходной информации, где, как правило, фиксируется время ее обработки.

Указанные данные могут быть получены благодаря осмотру места происшествия, выемке и осмотру необходимых документов. Осмотр места происшествия и документов проводится с участием специалиста. Время нарушения правил можно установить также путем допросов свидетелей из числа лиц, участвующих в эксплуатации ЭВМ. Допрашиваемым целесообразно задать следующие вопросы:

  • • каким образом в данной компьютерной системе фиксируются факты и время отклонения от установленных правил эксплуатации ЭВМ;
  • • когда могло быть нарушено определенное правило эксплуатации ЭВМ, повлекшее вредные последствия.

При необходимости может быть назначена судебная информационно-техническая экспертиза, перед которой для установления времени преступного нарушения правил можно сформулировать следующие вопросы:

  • • как технически осуществляется автоматическая фиксация времени обращения пользователей к данной компьютерной системе или сети и всех изменений, происходящих в их информационных массивах;
  • • можно ли по представленным машинным носителям информации установить время нарушения определенных правил эксплуатации ЭВМ, если да, то когда нарушение произошло.

Время наступления вредных последствий устанавливается по материалам служебного расследования и результатам осмотра места происшествия, а также путем допроса свидетелей и производства судебных экспертиз.

При осмотре места происшествия могут быть обнаружены машинные носители информации, на которых ранее хранились важные, охраняемые законом данные. Последние вследствие нарушения правил эксплуатации ЭВМ оказались уничтоженными или существенно измененными либо заблокированными. На носителях может быть зафиксировано время наступления таких последствий, которое выясняется при следственном осмотре, с помощью специалиста.

Время наступления вредных последствий можно установить и в результате производства информационно-технической экспертизы, на разрешение которой ставятся следующие вопросы:

  • • как технически осуществляется автоматическая фиксация времени уничтожения или изменения базы данных либо блокирования отдельных файлов;
  • • можно ли по стертым или измененным вследствие нарушения правил эксплуатации ЭВМ базам данных установить время наступления вредных последствий и если да, то когда они наступили.

Способ нарушения правил эксплуатации ЭВМ может быть как активным, так и пассивным. Первый выражается в самовольном выполнении непредусмотренных операций при компьютерной обработке информации, а второй — в невыполнении предписанных действий.

Механизм нарушения таких правил связан с технологией обработки информации на ЭВМ. Это, например, неправильное включение и выключение ЭВМ, использование посторонних дискет без предварительной проверки на наличие компьютерного вируса, невыполнение требования об обязательном копировании информации для ее сохранения на случай уничтожения оригинала.

Способ и механизм нарушения правил выясняется путем допросов свидетелей, подозреваемых и обвиняемых, проводимых с участием специалистов, проведения следственного эксперимента, производства судебной информационно-технической экспертизы. При ее назначении может быть поставлен вопрос: «Каков механизм нарушения правил эксплуатации ЭВМ?»

При допросах выясняется последовательность той или иной операции на ЭВМ, которая привела к нарушению правил. В ходе следственного эксперимента проверяется возможность наступления вредных последствий при нарушении определенных правил. Он проводится с использованием копий исследуемой информации и по возможности на той же ЭВМ, при работе на которой правила эксплуатации были нарушены.

Характер ущерба, причиненного преступным нарушением правил эксплуатации ЭВМ, может заключаться в уничтожении, блокировании или модификации охраняемой законом информации. Ущерб носит либо чисто экономический характер, либо вредит интересам государства вследствие утечки сведений, составляющих государственную тайну. Разглашение или утрата такой информации может создать серьезную угрозу внешней безопасности Российской Федерации, что влечет еще и уголовную ответственность по ст. 283 и 284 УК РФ.

Размер ущерба устанавливается посредством информационноэкономической экспертизы, разрешающей вопрос: «Какова стоимость информации, уничтоженной (или измененной) вследствие нарушения правил эксплуатации ЭВМ?»

Виновность лица, совершившего преступное нарушение правил эксплуатации ЭВМ, устанавливается по результатам всех проведенных следственных действий. Соответствующие правила могут быть нарушены как умышленно, так и по неосторожности, в то время как относительно последствий вина может быть только неосторожной. При умышленном нарушении рассматриваемых правил и наличии умысла на наступление вредных последствий должна наступать ответственность за совокупность совершенных преступлений.

Обстоятельства, способствовавшие совершению данного преступления, выявляются путем изучения как общего состояния охраны информационной безопасности в определенной системе или сети, так и факторов, непосредственно обусловивших расследуемое событие.

Вопросы и задания для самоконтроля

  • 1. Что понимается под компьютерной информацией?
  • 2. Назовите типичные следственные ситуации при расследовании компьютерных преступлений.
  • 3. Назовите способы преступной деятельности в среде компьютерной информации.
  • 4. Каковы особенности тактики таких следственных действий, как осмотр, обыск, выемка, направленных на обнаружение и изъятие компьютерной информации?
  • 5. Каковы задачи судебно-компьютерно-технических экспертиз, криминалистических экспертиз и др.?
 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >