Особенности преступной деятельности в сфере компьютерной информации

Способы преступных действий в сфере компьютерной информации могут быть разделены на две больших группы.

Первая группа преступных действий осуществляется без использования компьютерных устройств в качестве инструмента для проникновения извне в информационные системы или воздействия на них. Это могут быть, например, хищение машинных носителей информации в виде блоков и элементов ЭВМ (например, флоппи-дисков); использование визуальных, оптических и акустических средств наблюдения за ЭВМ; считывание и расшифровка различных электромагнитных излучений и "паразитных наводок" в ЭВМ и в обеспечивающих системах; фотографирование, в том числе издалека, информации в процессе ее обработки; изготовление бумажных дубликатов входных и выходных документов, копирование распечаток; использование визуальных, оптических и акустических средств наблюдения за лицами, имеющими отношение к необходимой злоумышленнику информации и подслушивание их разговоров; осмотр и изучение не полностью утилизированных отходов деятельности вычислительных центров; вступление в прямой контакт с лицами, имеющими отношение к необходимой злоумышленнику информации и получение от них под выдуманными предлогами необходимых сведений и др. Для таких действий, как правило, характерны достаточно локальная следовая картина, определяющаяся стандартным пониманием места происшествия (место совершения преступных действий и местонахождение объекта преступного посягательства находятся вблизи друг от друга или совпадают), и традиционные приемы по их исследованию.

Вторая группа преступных действий осуществляется с использованием компьютерных и коммуникационных устройств в качестве инструмента для проникновения в информационные системы или воздействия на них. Характерной особенностью данного вида преступной деятельности является то обстоятельство, что место совершения непосредственно преступных действий и место, где наблюдаются и материализуются их результаты, могут находиться на значительном удалении друг от друга (например, в разных точках земного шара). В этих случаях при неправомерном доступе и распространении вредоносных программ, а также при нарушении правил эксплуатации ЭВМ, системы ЭВМ или их сети, следовая картина включает в себя:

а) следы на машинных носителях, посредством которых действовал преступник на своем рабочем месте (См. Рис. 3) и возле машинных носителей, принадлежащих преступнику (См. Рис. 4);

б) следы на «транзитных» (коммуникационных) машинных носителях, посредством которых преступник осуществлял связь с информационными ресурсами, подвергавшимися нападению (См. Рис. 5);

в) следы на машинных носителях информационной системы, в которую осуществлен неправомерный доступ (См. Рис. 6).

Именно с обнаружения и фиксации следов последней группы обычно начинаются подобные расследования. При исследовании таких следов целесообразно выяснять:

1.1. Характеристику объекта, где совершено преступление:

- технические и конструктивные особенности помещений, связанные с установкой и эксплуатацией вычислительной техники (специальное оборудование полов, потолков и окон, каналы кабельных и вентиляционных шахт, установка и фактическое состояние устройств кондиционирования воздуха, система электропитания и иные особенности);

- особенности установки средств комплекса вычислительной техники (сосредоточены в одном месте или расположены в различных помещениях);

- способы связи компьютеров между собой посредством локально-вычислительной сети (ЛВС), устройств телекоммуникации и состояние линий связи;

- структура, конфигурация сети ЭВМ и внешних информационных связей;

- режим работы.

Рис. 3. Виды следов преступной деятельности в ЭВМ и на машинных носителях, принадлежащих преступнику.

Рис. 4. Виды следов преступной деятельности возле ЭВМ и на машинных носителях, принадлежащих преступнику.

1.2. Состав вычислительного комплекса:

- тип, модель, тип и размер энергонезависимых носителей информации и другие характеристики компьютеров;

- наличие и типы периферийных устройств;

- состав и аппаратура организации локальной вычислительной сети;

- наличие, модель и характеристики устройств телекоммуникации;

- используемое программное обеспечение;

- использование программно-аппаратных средств защиты;

1.3. Организацию работы со средствами вычислительной техники

1.4. Способы преодоления программной и аппаратной защиты:

- подбор ключей и паролей;

- предварительное хищение ключей и паролей;

- отключение средств защиты;

- использование несовершенства средств защиты;

- разрушение средств защиты;

- использование специальных программных средств.

1.5. Содержание и назначение информации, подвергшейся воздействию.

1.6. Количественные и качественные характеристики информации (объем, включая примерный объем архивной информации, возможность использовать без инсталляции (установки), ключевых дискет и аппа­ратных ключей-паролей, способ шифрования).

Кроме того, подлежат выяснению иные обстоятельства, существенные для расследования дел данной категории:

- режим и фактическое состояние охраны;

- наличие и техническая характеристика охранной сигнализации, вид охранной техники;

- технические средства, использованные при совершении преступления;

- режим доступа к средствам вычислительной техники;

- разграничение доступа к средствам вычислительной техники и машинным носителям;

- организация доступа к ресурсам ЭВМ, сети ЭВМ (в т.ч. по устройствам телекоммуникации), к кодам, паролям и другой идентифицирующей информации;

- организация противовирусной защиты;

- наличие разработанных правил эксплуатации ЭВМ и документации об ознакомлении с ними.

Следы преступной деятельности на машинных носителях, находящихся у преступника и вокруг его ЭВМ могут быть зафиксированы в ходе расследования. Поясним значение и содержание некоторых из них.

Рис. 5. Виды следов преступной деятельности на «транзитных» машинных носителях.

Рис. 6.Виды следов преступной деятельности на машинных носителях, принадлежащих потерпевшему.

Изменения в оперативном запоминающем устройстве (ОЗУ) ЭВМ возможно зафиксировать лишь в ходе следственного осмотра технических устройств в случаях, когда они на момент осмотра включены, т.е. фактически преступник пойман на месте и осмотр устройств является действием, сопутствующим задержанию. В иных случаях информация в ОЗУ достаточно быстро изменяется в ходе исполнения программ и о результатах ее изменения можно судить лишь по показаниям очевидцев. Специальным случаем фиксации изменений в ОЗУ являются оперативные или следственные мероприятия, обеспечивающие наблюдение за криминальными действиями и вывод данных из ОЗУ на какой-либо долговременный носитель информации.

Следы изменений в файловой системе могут наблюдаться как в ходе изменений непосредственно пользователем или администратором системы, а в случае следственно-оперативных мероприятий и следственными работниками, с помощью соответствующих программных средств. Результаты изменений могут быть зафиксированы на долговременный носитель специальными программно-техническими средствами контроля доступа, а так же установлены в результате сравнения копий, сохраненных в результате резервного копирования файлов и их структуры. Явными следами криминальных действий являются обнаруженные на конкретном машинном носителе копии скопированных «чужих» файлов, специализированное программное обеспечение, предназначенное для «взлома» систем и файлов и др. Сходные следы могут быть обнаружены и на машинных носителях, в которые проник преступник

Особую группу следов, которые могут стать важными доказательствами по делу, образуют материалы и устройства, которые могут быть обнаружены возле ЭВМ, использующейся для преступной деятельности. Из приведенного перечня многие материалы могут стать как прямыми, так и косвенными данными, устанавливающими факты неправомерного доступа, изготовления и распространения вредоносных программ и др.

Для указанных разновидностей криминальных действий существенными являются следы криминальной активности на «транзитных» машинных носителях - в линиях электросвязи.

Воздействия злоумышленников, направленные на проникновение в информационные системы, осуществляются, прежде всего, на программно-технические устройства: управления связью с другими пользователями; управления устройствами ЭВМ; управления файлами (копирование, удаление, модификация). Именно устройства управления связью с другими пользователями являются "воротами", открыв которые можно получить доступ к компьютерной информации. Распространены попытки несанкционированного входа в систему путем проверки всех телефонных номеров организации для определения места присоединения модема или создание специальной программы, автоматически подбирающую код входа в систему. Такая программа, перебирая возможные варианты, "дозванивается" до входа в систему. Иначе и проще поступал известный "хакер" Кевин Митник. Он дозванивался до интересующей его организации и, представляясь вымышленным именем и должностью, уточнял номер телефонного канала по которому осуществлялся вход в систему.

Первичное обнаружение признаков неправомерных действий с компьютерами и информацией посторонними лицами осуществляется, как правило, специалистами и пользователями, работающими с конкретными ЭВМ.

Косвенными признаками постороннего вмешательства в работу ЭВМ и доступа к информации, вызывающие подозрения, являются:

а) изменения заданной в предпоследнем сеансе работы с ЭВМ структуры файловой системы, в том числе: переименование каталогов и файлов; изменения размеров и содержимого файлов; изменения стандартных реквизитов файлов; появление новых каталогов и файлов и т.п.

б) изменения в заданной ранее конфигурации компьютера, в том числе: изменение картинки и цвета экрана при включении; изменение порядка взаимодействия с периферийными устройствами (например, принтером, модемом и т.п.); появление новых и удаление прежних сетевых устройств и др.

в) необычные проявления в работе ЭВМ: замедленная или неправильная загрузка операционной системы; замедление реакции машины на ввод с клавиатуры; замедление работы машины с дисковыми устройствами (загрузка и запись информации); неадекватные реакции ЭВМ на команды пользователя; отказ компьютера от выполнения стандартной функции; появление на экране нестандартных символов; выдача ложных, раздражающих, неприличных или отвлекающих сообщений; создание посторонних звуковых и визуальных эффектов и т.п.

Признаки групп а) - б) могут свидетельствовать об имевших место фактах неправомерного доступа к ЭВМ или о нарушении правил ее эксплуатации. Признаки группы в) кроме того, могут являться свидетельством о появлении в ЭВМ вредоносных программ.

Для выдвижения версий, базирующихся на основе изучения обнаруженных следов, необходимы также данные и о типах преступников, совершающих подобные преступления. Обобщение отечественного и зарубежного опыта показывает, что преступления в сфере компьютерной информации, относятся к числу преступлений в области профессиональной деятельности. Из этого следует, что лица их совершающие, как правило, обладают набором профессиональных навыков по обработке информации с помощью информационных технологий. Различаются следующие типы преступников:

а) «хакеры» - лица, рассматривающие защиту компьютерных систем как личный вызов и взламывающие их для получения полного доступа к системе и удовлетворения собственных амбиций;

б) «шпионы» - лица, взламывающие компьютеры для получения информации, которую можно использовать в политических, военных и экономических целях;

в) «террористы» - лица, взламывающие информационные системы для создания эффекта опасности, который можно использовать в целях политического воздействия;

г) «корыстные преступники» - лица, вторгающиеся в информационные системы для получения личных имущественных или неимущественных выгод;

д) «вандалы» - лица, взламывающие информационные системы для их разрушения;

е) психически больные лица, страдающих новым видом психических заболеваний - информационными болезнями или компьютерными фобиями.

Исследования, позволяющие соотнести способы вторжения в информационные системы с тем или иные типом преступника продолжаются.