Способи вчинення злочину у сфері комп'ютерної інформації
Під способом вчинення злочину розуміється система об'єднаних єдиним задумом дій злочинця (і пов'язаних з ними осіб) з підготовки, вчинення та приховування злочину, детермінованих об'єктивними і суб'єктивними факторами і зв'язаних з використанням відповідних знарядь і засобів.
На сьогоднішній день в криміналістиці немає єдиної класифікації способів скоєння злочинів у сфері комп'ютерної інформації. Одна з класифікацій запропонована О.М. Родіоновим і А.В. Кузнєцовим. Відповідно до неї, способи вчинення комп'ютерних злочинів можна підрозділити:
1) на «вилучення засобів комп'ютерної техніки;
2) неправомірний доступ до комп'ютерної інформації: злочини, скоєні по відношенню до комп'ютерної інформації, що у глобальних комп'ютерних мережах; злочини, скоєні по відношенню до комп'ютерної інформації, що знаходиться в ЕОМ, які не є комп'ютером у класичному розумінні цього слова (пейджер, стільниковий телефон, касовий апарат і т.п.);
3) виготовлення або розповсюдження шкідливих програм (віруси, програми - зломщики і т.п.);
4) перехоплення інформації: електромагнітний; безпосередній;
5) порушення авторських прав (комп'ютерне піратство);
6) комплексні методи.
Дана класифікація не позбавлена недоліків.
По-перше, фактично авторами за основу класифікації взято безпосередній об'єкт злочинного посягання, а не спосіб вчинення злочину.
По-друге, неправомірний доступ до комп'ютерної інформації, як показано нами вище, відбувається набагато більшою кількістю способів, ніж відзначили автори (зокрема, ними не відзначені безпосередні способи).
По-третє, способи перехоплення інформації відносяться до способів неправомірного доступу до неї, і виділення їх в якості самостійної групи необгрунтовано.
І по-четверте, вилучення засобів комп'ютерної техніки представляє собою злочин проти власності, а не у сфері комп'ютерної інформації.
Способи вчинення неправомірного доступу комп'ютерної інформації можна об'єднати в три основні групи.
Перша група - це способи безпосереднього доступу. При їх реалізації інформація знищується, блокується, модифікується, копіюється, а також може порушуватися робота ЕОМ, системи ЕОМ чи їхньої мережі шляхом віддачі відповідних команд з комп'ютера, на якому інформація знаходиться.
Безпосередній доступ може здійснюватися як особами, які працюють з інформацією (що мають відношення до цієї роботи), так і особами, спеціально проникаючими в закриті зони та приміщення, де проводиться обробка інформації. Наприклад, людина, що має намір на протиправний доступ до комп'ютерної інформації, тримаючи в руках певні предмети, що вказують на його «належність» до роботи на комп'ютері (дискети, роздруківки тощо), походжає близько замкнених дверей приміщення, де розташований термінал. Дочекавшись, коли в назване приміщення увійде працює в ньому працівник, він входить туди слідом за ним, а потім через певний проміжок часу за сприятливої для цього обстановці здійснює неправомірний доступ до комп'ютерної інформації.
Необхідно зазначити, що описаний спосіб у даний час менш розповсюджений через децентралізації обробки інформації. Практика показує, що злочинці комп'ютерну інформацію частіше перехоплюють при її передачі по телекомунікаційних каналах і комп'ютерним мережам. Зробити це їм і простіше, і безпечніше, ніж при безпосередньому проникненні в приміщення. Прикладом вчинення неправомірного доступу до комп'ютерної інформації може бути справу за обвинуваченням К. за ч. 1 ст. 272 КК РФ. У ході розслідування було встановлено, що він, перебуваючи на роботі в якості електромеханіка Переяславського районного вузла електричного зв'язку, на принесену з собою дискету скопіював з комп'ютера готується до видання телефонний довідник району ім. Лазо. Цю дискету він приніс додому і скопіював отриману інформацію на жорсткий диск свого комп'ютера, а потім на принтері надрукував 4 примірники названого довідника. Таким чином, К. навмисне, незаконно скопіював інформацію, що зберігалася в електронно-обчислювальної машини.
Інший спосіб безпосереднього доступу до комп'ютерної інформації полягає в неправомочному використанні злочинцем технічних відходів інформаційного процесу, залишених користувачем після роботи з комп'ютерною технікою. Він здійснюється у двох формах: фізичної та електронної.
Фізичний пошук відходів зводиться до обстеження робочих місць програмістів, вмісту сміттєвих баків, ємностей для технологічних відходів для збору надісланих або викинутих фізичних носіїв інформації, а також обстеженню різної документації, залишеної на робочому місці: щоденників, книг робочих записів, перекидних календарів і т.п . з метою пошуку чорнових записів, паролів доступу до системи і пр.
Електронний варіант вимагає перегляду і подальшого дослідження даних, що знаходяться в пам'яті комп'ютера. Він заснований на деяких технологічних особливостях функціонування засобів комп'ютерної техніки. Наприклад, дані, записані в останній момент роботи, не завжди стираються з оперативної пам'яті комп'ютерної системи.
У названих цілях можуть проглядатися і відновлюватися стерті файли. У даному випадку передбачається обов'язкове використання в якості знаряддя злочину різних програмних засобів спеціального призначення. Одним з них є програмний комплекс PC Tools Deluxe, що містить універсальну програму відновлення стертих файлів.
Друга група способів вчинення даного злочину включає способи опосередкованого (віддаленого) доступу до комп'ютерної інформації. При цьому неправомірний доступ до певного комп'ютера і, що знаходиться на ньому інформації здійснюється з іншого комп'ютера, що знаходиться на певній відстані, через комп'ютерні мережі. Способи опосередкованого доступу до комп'ютерної інформації, у свою чергу, можна розділити на дві підгрупи: способи подолання парольного а також іншої програмної або технічного захисту та подальшого підключення до чужої системі; способи перехоплення інформації.
До способів першої підгрупи належать:
1. Підключення до лінії зв'язку законного користувача (наприклад, до телефонної лінії) і отримання тим самим доступу до його системі. Підключившись, злочинець чекає сигналу, що означає закінчення роботи, перехоплює його «на себе», а потім, коли законний користувач закінчив сеанс роботи, здійснює доступ до його системі. Даний спосіб можна порівняти з роботою двох паралельних телефонних апаратів, підключених до одного абонентського номеру: якщо один телефон знаходиться в активному режимі (ведеться розмова з абонентом) і на іншому апараті піднімається трубка, то коли розмова по першому телефону закінчений і трубка покладена, він може бути продовжений за другим.
2. Проникнення в чужі інформаційні мережі шляхом автоматичного перебору абонентських номерів з подальшим з'єднанням з тим чи іншим комп'ютером (перебір здійснюється до тих пір, поки на іншому кінці лінії не «відгукнеться чужий» комп'ютер). Оскільки в подібному випадку один несанкціонований користувач може бути легко виявлено, подібний «електронний злом» здійснюється одночасно з декількох робочих місць: в заданий час кілька (більше десяти) персональних комп'ютерів одночасно роблять спробу несанкціонованого доступу. Це може призвести до того, що кілька «атакуючих» комп'ютерів відсікаються системою захисту, а інші отримують необхідний доступ. Один з «прорвалися» комп'ютерів блокує систему статистики мережі, яка фіксує всі спроби доступу. У результаті цього інші «прорвалися» комп'ютери не можуть бути виявлені і зафіксовані. Частина з них приступає до «злому» потрібного сектору мережі, а решта займаються фіктивними операціями з метою дезорганізації роботи підприємства, організації, установи та приховування злочину.
3. Проникнення в комп'ютерну систему з використанням чужих паролів, видаючи себе за законного користувача. При подібному способі незаконний користувач здійснює підбір пароля для доступу до чужого комп'ютера. Підбір паролів може здійснюватися двома методами.
Перший: підбір паролів шляхом простого перебору всіх можливих поєднань символів до тих пір, поки не буде встановлена потрібна комбінація. Для реалізації такого підбору існують вже спеціально розроблені програми, які можна придбати на «чорному» комп'ютерному ринку. Алгоритм їх дії заснований на використанні швидкодії сучасних комп'ютерів при переборі всіх можливих комбінацій літер, цифр і автоматичного з'єднання спеціальних символів, наявних на стандартній клавіатурі персонального комп'ютера, і в разі збігу комбінації символів з оригіналом твору.
Другий: «інтелектуальний» підбір паролів на основі наявних «словників» найбільш поширених паролів, систематизованих за певними тематичними групами. Практика показує, що даним методом вручну розкриваються більше 40% паролів. При цьому найбільш поширеними тематичними групами паролів є наступні: імена, прізвища та похідні від них (22%); послідовність клавіш комп'ютера, повтор символів (14%); дати народження користувача і його близьких, а також їх комбінації (12%); інтереси , хобі (9,5%); адреса, місце народження (5%); номери телефонів або документів: паспортів, посвідчень особи і ін (3,5%).
Підібравши необхідну пароль (для підбору восьмизначного пароля потрібно кілька годин), незаконний користувач отримує доступ до комп'ютерної інформації і може проводити з нею будь-які дії під виглядом законного користувача: копіювати її, модифікувати, видаляти, змушувати програми виробляти необхідні операції, наприклад, з переказу грошових коштів на свої рахунки, фальсифікації платіжних документів та ін
4. Різновидом способу отримання пароля для подальшого незаконного входження в комп'ютерну систему є так званий соціальний інжиніринг («зворотний соціальний інжиніринг»). Це метод заснований на недостатній пильності користувачів, коли інформація виходить у процесі бесіди (телефонної, за допомогою обміну електронними повідомленнями) правопорушниками з користувачами системи. При цьому способі правопорушник представляється або системним адміністратором, або співробітником обслуговуючої комп'ютерної фірми, або співробітником, знову надійшли на роботу, і запитує у співрозмовника дані про паролі доступу до системи. Даний спосіб широко застосовується для отримання даних (ім'я, пароль) в цілях підключення до комп'ютерної мережі Інтернет за рахунок законних користувачів.
Цікавий приклад із зарубіжної практики: злочинець, що є законним користувачем комп'ютерної мережі, з робочої станції передав повідомлення всім користувачам на про те, що його номер нібито змінений. В якості нового номера був названий номер власного персонального комп'ютера злочинця, запрограмований таким чином, щоб відповісти аналогічно сервера. Користувачі, що посилали виклик, набирали при цьому свій особистий код, що дозволило злочинцеві отримати вичерпний список особистих кодів користувачів.
До другої підгрупи способів опосередкованого (віддаленого) доступу до комп'ютерної інформації належать способи її безпосереднього, електромагнітного та інших видів перехоплення.
Безпосередній перехоплення здійснюється або прямо через зовнішні комунікаційні канали системи, або шляхом безпосереднього підключення до ліній периферійних пристроїв. При цьому об'єктами безпосереднього «підслуховування» є кабельні і дротяні системи, наземні мікрохвильові системи, системи супутникового зв'язку, а також спеціальні системи урядового зв'язку.
Сучасні технічні засоби дозволяють отримати інформацію без безпосереднього підключення до комп'ютерної системи: за рахунок перехоплення випромінювань центрального процесора, дисплея, комунікаційних каналів, принтера і т.д. Все це можна здійснити, перебуваючи на достатньому видаленні від об'єкта перехоплення. Наприклад, використовуючи спеціальну апаратуру, можна «знімати» інформацію з комп'ютера, розташованого в сусідньому приміщенні, будівлі.
Вперше дистанційний перехоплення інформації з монітора комп'ютера був відкрито продемонстрований у березні 1995 р. в Каннах на міжнародному конгресі з питань безпеки ЕОМ. Співробітник голландської телекомунікаційної РТТ Вім Ван Ек шокував фахівців тим, що за допомогою розробленого ним пристрою зі свого автомобіля, що знаходиться на вулиці, «зняв» дані з екрану монітора персонального комп'ютера, встановленого на 8-му поверсі будівлі, розташованої в 100 м. від автомобіля .
Вітчизняним прикладом здійснення неправомірного доступу до комп'ютерної інформації подібним способом є справа за обвинуваченням Л. і М. за п. «а» ч. 2 ст. 272 КК РФ. У ході розслідування було встановлено, що М. власноруч у себе вдома справив демонтаж і переобладнав заздалегідь придбані ним стільникові телефони фірми «Моторолла» під мікропроцесори зі спеціальною програмою. Виготовивши таким чином два апарати з режимом автосканування і шість апаратів з можливостями введення з клавіатури скопійованих номерів в електронні записні книжки, він здійснював неправомірний доступ до мережі ЕОМ компанії стільникового телефонного зв'язку «Вотек-Мобайл». Шляхом модернізації телефонного апарата «Моторолла» гр. М. була отримана можливість фіксації в радіусі до 200 м. абонентського і серійного номера апарату законного користувача стільникового телефонної мережі з подальшим занесенням його в пам'ять електронної записної книжки. Це дозволяло проводити телефонні дзвінки з перероблених таким чином стільникових телефонних апаратів безкоштовно, за рахунок законних клієнтів мережі.
До методів перехоплення інформації відноситься також Аудиоперехват і видеооптической перехоплення.
Аудиоперехват, чи зняття інформації з вібро-акустичним каналу, має два різновиди: заходовую (занесення) і беззаходовую.
Перша полягає в установці інфінітивного телефону (підслуховуючого пристрою - «таблетки», «клопа», «жучка» і т.п.) в апаратуру засобів обробки інформації: у різні технічні пристрої, на дротові комунікаційні лінії (радіо, телефон, телевізійний кабель, кабель охоронно-пожежної сигналізації або електромережу і т.п.), а також у різні конструкції інженерно-технічних споруд та побутових приладів, що знаходяться на об'єкті. Робиться все це з метою перехоплення розмов працюючого персоналу і звукових сигналів технічних пристроїв (визначення номера абонента, що викликається АТС тощо).
Установка «клопа» або іншої розвідувальної апаратури на об'єкт можлива трьома способами.
При першому необхідно потайливе або легендованої проникнення в приміщення, при другому потрібні Радіопередавачі і звукозаписна апаратура, яка встановлюється під час будівлі або ремонту приміщення, при третьому - спеціальна техніка придбавається або заноситься самої потерпілою стороною, навіть не підозрюючи про це, наприклад монтується в придбані предмети .
До спеціальної техніки, що використовується для цього, відносяться: спецмикрофона з можливим дистанційним управлінням, диктофони з тривалою записом, цифрові адаптивні фільтри типу АТ-512, ОАС-256 і ОАС-1024, що дозволяють проводити обробку зашумлених мовних сигналів.
Виявити апаратуру знімання інформації вкрай важко, так як вона зазвичай дуже добре камуфлюється злочинцем (під мікросхему, запальничку, шпилькову головку і т.д.).
Другий різновид Аудиоперехват - беззаходовая - найбільш небезпечна. Полягає вона в наступному. Акустичні та вібраційні датчики знімання інформації встановлюють на інженерно-технічні конструкції, що знаходяться за межами приміщення, що охороняється, з якого необхідно приймати мовні сигнали. Виділяють такі типові конструкції інженерно-технічних споруд: несучі стіни будівель, перегородки, перекриття, вікна, віконні рами, двері та дверні коробки, вентиляційні повітроводи, трубопроводи. При цьому необов'язково проникати в приміщення, досить наблизитися до нього зовні. Датчик встановлюється або безпосередньо, або дистанційно. У останньому випадку використовуються різні вистрілюючі пристрої, призначені для дистанційного зняття мовної інформації через відкриті вікна, двері і т.п.
Видеооптической перехоплення полягає в діях злочинця, спрямованих на отримання інформації шляхом використання різної видеооптической техніки. Цей спосіб здійснюється як фізично, так і електронно. Фізично перехоплення інформації здійснюється за допомогою застосування злочинцем різної побутової видеооптической апаратури - наприклад підзорної труби, біноклі, прилади нічного бачення, оптичного прицілу і т.п. При цьому злочинець проводить віддалене спостереження за об'єктом (жертвою) з метою отримання необхідної інформації, яку в окремих випадках фіксує на фізичний носій. У даному випадку знаряддя злочину знаходиться безпосередньо в руках злочинця.
Електронний процес отримання інформації здійснюється з використанням злочинцем спеціальної техніки. У даному випадку передавальний пристрій знаходиться безпосередньо на об'єкті спостереження, а приймальне - в руках злочинця Може використовуватися наступна спецтехніка: Спецвідеомагнітофон з тривалою записом; обладнання для прихованої відеозйомки; цифрові електронні відеокамери; прилади нічного бачення і т.п.
Третю групу способів скоєння аналізованого злочину складають змішані способи, які можуть здійснюватися як шляхом безпосереднього, так і опосередкованого (віддаленого) доступу. До числа таких засобів належать:
1. Таємне введення в чужу програму таких команд, які допомагають їй здійснити нові, незаплановані розробником функції при одночасному збереженні колишньої її працездатності. Даний спосіб може мати два різновиди. У першому випадку програмні модулі-фрагменти, які створюють так званого троянського коня, тобто не запланованого розробником програмного блоку, самоліквідуються після закінчення виконання свого завдання. Знайти після цього дані програмні модулі практично неможливо. У другому випадку в алгоритм програми, поряд з її основними функціями, закладається алгоритм дій, які здійснюють саморозмноження, автоматичне самовідтворення зазначеного «троянського коня». У результаті подібні «програми-черв'яки» автоматично копіюють себе в пам'яті одного або декількох комп'ютерів (при наявності комп'ютерної мережі). З зарубіжної слідчої практики цікавий факт використання «троянського коня» одним американським програмістом. Він вставив в програмне забезпечення персонального комп'ютера за місцем своєї роботи команди, які дозволяли не відображати в підсумковому звіті певні надходження грошових коштів. Ці суми особливим чином шифрувалися і циркулювали лише в інформаційному середовищі комп'ютера. Викравши бланки видачі грошей, злочинець заповнював їх із зазначенням свого шифру, а потім проставляв в них певні суми грошей. Оскільки відповідні операції з їх видачі також не відбивалися у звітності, то вони не могли бути піддані документальної ревізії.
Модифікація програм шляхом таємного вбудовування в програму набору команд, які повинні спрацювати за певних умов через певний час. Наприклад, як тільки програма незаконно перерахує грошові кошти на так званий підставний рахунок, вона самознищиться і при цьому знищить всю інформацію про виконану операції.
Здійснення доступу до баз даних і файлів законного користувача шляхом знаходження слабких місць в системах захисту. При їх виявленні з'являється можливість читати і аналізувати міститься в системі інформацію, копіювати її, повертатися до неї в міру необхідності. Таким чином, можна звертатися до баз даних конкуруючої фірми з тим, щоб не тільки мати можливість аналізувати її фінансове становище, а й отримувати запобіжну інформацію про перспективи її розвитку. Отримання такої інформації дає незаперечну перевагу в конкурентній боротьбі.
Використання помилок у логіці побудови програми і виявлення «дірок». При цьому програма «розривається» і в неї вводиться необхідну кількість певних команд, які допомагають їй здійснювати нові, незаплановані функції при одночасному збереженні колишньої її працездатності. Саме таким чином можна переводити гроші на підставні рахунки, отримувати інформацію про нерухомість, про персональні дані особи і ін
Якщо перша і друга група способів більш характерна виключно для неправомірного доступу до комп'ютерної інформації, то третя група способів може бути характерна і для створення, використання і поширення шкідливих програм для ЕОМ.
Злочинці можуть отримати паролі, коди і ідентифікують шифри законних користувачів (шляхом отримання списку користувачів із усією необхідною інформацією, виявлення документа в організаціях, де не налагоджено контроль за їх зберіганням, прослуховування телефонних переговорів) і проникнути в комп'ютерну систему, видаючи себе за законного користувача. Особливо вразливі щодо цього системи, які не мають засобів автентичної ідентифікації (наприклад, за фізіологічними характеристиками: за відбитками пальців, по малюнку сітківки ока, голосу і т.п.).
Також слід зазначити, що неправомірний доступ до комп'ютерної інформації може бути пов'язаний і з насильством над особистістю чи погрозою його застосування з метою отримання злочинцями відомостей про способи подолання засобів захисту комп'ютерної інформації та інших даних.