Расследование создания, использования и распространения вредоносных программ для

ЭВМ

К вредоносным программам для ЭВМ прежде всего относят­ся так называемые компьютерные вирусы, т.е. программы, могущие внедряться в чужие информационные ресурсы, раз­множаться и при определенных условиях повреждать компью­терные системы, хранящуюся в них информацию и программное обеспечение. Свое название они получили потому, что многие их свойства аналогичны свойствам природных вирусов. Компь­ютерный вирус может самовоспроизводиться во всех системах определенного типа. Некоторые из них сравнительно безопас­ны, поскольку не уничтожают информацию, однако большинство приносит существенный вред.

Имеются также иные вредоносные программы, облегчающие доступ к информационным ресурсам, используемые обычно для хищений денежных средств в компьютерных банковских системах и совершения других злоупотреблений в сфере компьютерной информации.

Непосредственный объект данного преступления — это об­щественные отношения по безопасному использованию ЭВМ, ее программного обеспечения и информационного содержания. Часть 1 ст. 273 УК РФ предусматривает совершение одного из следующих действий:

720 Глава 3 8. Методика расследования

преступлений в сфере компьютерной информации

а) создание программы или внесение в нее изменений, заве­
домо влекущих несанкционированное уничтожение, блокирова­
ние, модификацию либо копирование информации, нарушение
работы ЭВМ, их системы или сети;

б) использование или распространение подобных программ
либо машинных носителей с ними. Изменением программы явля­
ется преобразование алгоритма, описанного в ней на специаль­
ном языке, а распространением — расширение сферы ее приме­
нения.

Часть 2 этой статьи предусматривает более опасное преступ­ление — любое из вышеуказанных действий, повлекшее тяжкие последствия. Причем возможны две формы вины: умысел по от­ношению к действиям и неосторожность относительно общест­венно опасных последствий. Этим преступлениям свойственна высокая латентность; особенно трудно выявлять создателей вредоносных программ.

Основные задачи расследования решаются в такой последо­вательности:

1) установление факта и способа создания, использования и
распространения вредоносной программы для ЭВМ;

2) установление лиц, виновных в названных деяниях, а также
вреда, причиненного ими.

Установление факта и способа создания, использования и распространения вредоносной программы для ЭВМ. Такая про­грамма обнаруживается, как правило, когда уже проявились вредные последствия ее действия. Однако она может быть выяв­лена и в процессе антивирусной проверки, производимой при начале работы на компьютере, особенно если предстоит исполь­зование чужих дискет или дисков.

Разработка вредоносных программ для ЭВМ обычно осуще­ствляется одним из двух способов.

1. Вредоносная программа разрабатывается прямо на одном
из рабочих мест компьютерной системы, что обычно маскирует­
ся под правомерную повседневную работу. В силу своих слу­
жебных обязанностей разработчик имеет доступ к системе и
обрабатываемой в ней информации, в том числе нередко к ко­
дам и паролям. Сокрытие преступного характера своих дейст­
вий разработчик осуществляет путем удаления компромети­
рующих данных или хранения их на собственных дискетах.

2. Программа создается вне сферы обслуживания компью­
терной системы, для воздействия на которую она ориентирована.

§ 2. Расследование создания, использования 721

и распространения вредоносных программ для ЭВМ

Злоумышленнику необходимы сведения о функционирующей в системе информации, способах доступа к ней, методах ее защи­ты. Для получения этих данных он устанавливает связи с кем-либо из пользователей системы либо внедряется в нее посредст­вом взлома.

Иногда вредоносная программа создается путем изменения действующей программы. Например, на Волжском автозаводе оказалась умышленно расстроенной работа трех линий главного сборочного конвейера, управляемого компьютером. Произошло это по вине инженера-программиста, который из низменных по­буждений за пять месяцев до этого ввел в одну из взаимодейст­вующих программ управления накопителем механических узлов заведомо неправильную последовательность команд счета под­весок и подачи шасси на главный конвейер. Тем самым предпри­ятию был причинен крупный материальный ущерб, а кроме того, вследствие сверхнормативного простоя главного сборочного кон­вейера не было собрано около 500 автомобилей «Жигули».

На факт создания вредоносной программы могут косвенно указывать следующие обстоятельства:

а) повышенный интерес посторонних лиц к алгоритмам функ­
ционирования программ, работе системы блокировки и защиты,
входной и выходной информации;

б) внезапный интерес к программированию лиц, в круг обя­
занностей которых оно не входит. Эти обстоятельства выявляют­
ся как в ходе оперативно-розыскных мероприятий, так и при про­
изводстве следственных действий, в частности допросов пользо­
вателей компьютерной системы, в которой обнаружились призна­
ки действия вредоносной программы.

О создании вредоносной программы свидетельствуют факты ее использования и распространения, особенно данные, позво­ляющие заподозрить конкретное лицо в такой противоправной деятельности. При этом необходимы своевременные и тща­тельно произведенные обыски в местах работы и жительства подозреваемого, а также там, откуда он мог наладить доступ к компьютерной системе. К обыску целесообразно привлечь спе­циалиста-программиста, который поможет обнаружить все от­носящееся к созданию вредоносной программы для ЭВМ.

Факты использования и распространения вредоносной про­граммы нередко обнаруживаются с помощью антивирусных про­грамм. В ходе расследования такие факты можно установить при осмотре следующих документов:

722 Глава 3 8. Методика расследования

преступлений в сфере компьютерной информации

а) журналов учета рабочего времени, доступа к вычислитель­
ной технике, ее сбоев и ремонта, регистрации пользователей
компьютерной системы или сети, проведения регламентных ра­
бот;

б) лицензионных соглашений и договоров на пользование
программными продуктами и их разработку;

в) книг паролей; приказов и других документов, регламенти­
рующих работу учреждения и использование компьютерной ин­
формации. Эти документы нередко ведутся в электронной фор­
ме, поэтому к ознакомлению с ними необходимо привлекать спе­
циалиста. При изучении журналов, книг, соглашений и другой
документации следователь может выяснить законность исполь­
зования того или иного программного обеспечения, систему орга­
низации работы учреждения и обработки в нем информации, дос­
тупа к ней и компьютерной технике, круг лиц, имевших на это
право.

Проводя допросы свидетелей, необходимо выяснять, какая информация подвергалась вредоносному воздействию, ее назна­чение и содержание; как осуществляется доступ к ресурсам ЭВМ, их системе или сети, кодам, паролям и другим закрытым данным; как организованы противовирусная защита и учет пользователей компьютерной системы.

В ходе допросов свидетелей нужно иметь в виду, что практи­куется множество способов использования и распространения вредоносных программ. Так, нередки случаи запуска программы с другого компьютера или с дискеты, купленной, одолженной, полу­ченной в порядке обмена, либо с электронной «доски объявле­ний». Распространение вируса, вызывающего уничтожение и блокирование информации, сбои в работе ЭВМ или их системы, может происходить по компьютерной сети вследствие использо­вания нелицензионной и несертифицированной программы (чаще игровой), купленной у случайного лица, а также скопированной у кого-либо.

Доказыванию фактов использования и распространения вре­доносных программ способствует своевременное производство информационно-технологической экспертизы, посредством кото­рой можно определить, какие изменения и когда внесены в ис­следуемые программы, а также последствия использования и распространения вредоносных программ. Экспертиза может так­же установить примененный преступником способ преодоления программной и аппаратной защиты (подбор ключей и паролей,

§ 2. Расследование создания, использования 723

и распространения вредоносных программ для ЭВМ

отключение блокировки, использование специальных программ­ных средств).

При установлении лиц, виновных в создании, использова­нии и распространении вредоносных программ для ЭВМ, необ­ходимо учитывать, что такую программу может создать человек, обладающий специальными познаниями. Легче всего создать вирус опытному программисту, который, как правило, не участ­вует в их распространении. Зачастую вредоносные программы создают и используют субъекты, хорошо освоившие машинный язык, движимые чувством самоутверждения, мотивами корысти или мести, а иногда и потребностью в компьютерном вандализ­ме. Некоторые делают это, стремясь «расколоть» систему за­щиты информации, официально считающуюся неуязвимой.

Выделяются следующие группы преступников:

а) хакеры — лица, рассматривающие меры защиты информа­
ционных систем как личный вызов и взламывающие их с целью
получения контроля за информацией независимо от ее ценности;

б) шпионы — лица, взламывающие защиту информационных
систем для получения информации, которую можно использовать
в целях политического влияния;

в) террористы — лица, взламывающие информационные
системы для создания эффекта опасности, который можно ис­
пользовать и в целях политического влияния;

г) корпоративные налетчики — служащие компании, взла­
мывающие компьютеры конкурентов для экономического влия­
ния;

д) воры, вторгающиеся в информационные системы для полу­
чения личной выгоды;

е) вандалы — лица, взламывающие системы с целью их раз­
рушения;

ж) нарушители правил пользования ЭВМ, совершающие про­
тивоправные действия из-за недостаточного знания техники и
порядка пользования информационными ресурсами;

з) лица с психическими аномалиями, страдающие новым видом
заболеваний — информационными болезнями или компьютерными
фобиями.

Использовать и распространять вредоносные программы в принципе может любой пользователь персонального компьютера. Однако наибольшую потенциальную опасность представляют опытные компьютерные взломщики, получившие название хаке-

724 Глава 3 8. Методика расследования

преступлений в сфере компьютерной информации

ров, а также высококвалифицированные специалисты в области электронных технологий.

Преступления этой категории иногда бывают групповыми: ха­кер-профессионал создает вредоносные программы, а его со­общники помогают ему в материально-техническом и информа­ционном отношениях. Мировой практике борьбы с компьютерны­ми преступлениями известны случаи связей между хакерами и организованными преступными сообществами. Последние высту­пают в роли заказчиков компьютерных махинаций, обеспечивают хакеров необходимой техникой, а те организуют хищения денеж­ных средств из банковских компьютерных систем.

Поиск лица, причастного к использованию вредоносных про­грамм для ЭВМ, сопряжен со значительными затратами времени, сил и средств. Органу дознания нужно поручить выявление и проверку лиц, ранее привлекавшихся к ответственности за анало­гичные преступления. В некоторых случаях злоумышленника можно идентифицировать по следам рук, оставленным на участ­ках дисководов, клавишах, других частях компьютера.

Установив подозреваемого, его немедленно задерживают, чтобы предотвратить уничтожение компрометирующих материа­лов. Кроме того, если вредоносная программа является компью­терным вирусом, промедление может расширить масштабы его распространенности и причиненный ущерб.

Проводя допрос подозреваемого, нужно выяснить уровень его профессиональной подготовки, опыт работы по созданию про­грамм данного класса на конкретном языке программирования, знание алгоритмов их работы, но особенно тех, которые подверг­лись неправомерному воздействию.

Допрашивая подозреваемого, необходимо выяснить, где он живет, работает или учится, его профессию, взаимоотношения с коллегами, семейное положение, круг интересов, привычки и наклонности, навыки программирования, ремонта и эксплуата­ции компьютерной техники, какими ее средствами, машинными носителями, аппаратурой и приспособлениями он располагает, где и на какие средства их приобрел, где хранил и т.д.

Допрос обвиняемого преследует цель выяснить обстоятель­ства подготовки и совершения преступления, алгоритм функцио­нирования вредоносной программы и то, на какую информацию и как она воздействует.

Для проверки возможности создания вредоносной программы определенным лицом, признавшимся в этом, проводится следст-

§ 2. Расследование создания, использования 725

и распространения вредоносных программ для ЭВМ

венный эксперимент с использованием соответствующих средств компьютерной техники.

При установлении вреда, причиненного преступлением, следует помнить, что вредоносная программа в виде вируса может практически мгновенно размножиться в большом количе­стве экземпляров и очень быстро заразить многие компьютер­ные системы и сети. Это реально, ибо компьютерные вирусы могут:

а) заполнить весь диск или всю свободную память ЭВМ свои­
ми копиями;

б) поменять местами файлы, т.е. смешать их так, что отыскать
их в компьютере будет практически невозможно;

в) испортить таблицу размещения файлов;

г) отформатировать диск или дискету, уничтожив все ранее
записанное на соответствующем носителе;

д) вывести на дисплей то или иное нежелательное сообще­
ние;

е) перезагрузить ЭВМ, т.е. осуществить произвольный пере­
запуск;

ж) замедлить ее работу;

з) изменить таблицу определения кодов, сделав невозможным
пользование клавиатурой;

и) изменить содержание программ и файлов, что повлечет ошибки в сложных расчетах;

к) раскрыть информацию с ограниченным доступом;

л) привести компьютер в полную негодность.

Размер причиненного ущерба устанавливается экспертным путем в рамках судебно-бухгалтерской и судебно-экономической экспертиз, проводимых в комплексе с информационно-технологической и информационно-технической экспертизами.

Полную безопасность компьютерных систем обеспечить чрез­вычайно трудно, однако снизить вредные последствия вирусов до определенного уровня можно. Для этого необходимо:

а) применять антивирусные средства;

б) не использовать случайное несертифицированное про­
граммное обеспечение, а также нелегальные копии программ для
ЭВМ;

в) делать резервные копии программ и системных файлов, а
также контролировать доступ к компьютерным системам;

г) проверять каждую приобретенную программу (дискету) на
возможную зараженность компьютерным вирусом;

726 Глава 3 8. Методика расследования

преступлений в сфере компьютерной информации

е) регулярно записывать программы, устанавливаемые в ком­пьютерную систему, и др.