Криміналістична характеристика злочинів у сфері комп’ютерної інформації

Одним з негативних соціальних і економічних наслідків науково-технічного прогресу варто визнати криміналізацію сфери комп’ютерної інформації, тобто інформації, що передається, опрацьовується і зберігається з використанням електронно-обчислювальної техніки.

Комп’ютерна інформація відповідно до процесу доказування може бути визначена як фактичні дані, оброблені комп’ютером і отримані на його виході у формі доступній сприйняттю електронно-обчислювальною машиною (ЕОМ) або людиною, чи такі, що передаються по телекомунікаційних каналах, на основі яких у визначеному законом порядку встановлюються обставини, що мають значення для правильного вирішення справи.

У числі елементів криміналістичної характеристики злочинів у сфері комп’ютерної інформації варто виділити: спосіб вчинення і приховування протиправного діяння; знаряддя (засоби), обстановку і місце вчинення злочину; типові сліди злочинних дій; предмет злочинного посягання; особу, що вчиняє протиправні дії у сфері комп’ютерної інформації; потерпілі від даних злочинів.

Способи вчинення злочинів у сфері комп’ютерної інформації можна поділити таким чином.

Перша група ¾ це способи безпосереднього доступу. При їх реалізації інформація знищується, блокується, модифікується, копіюється, а також може порушуватися робота ЕОМ, системи ЕОМ або їхньої мережі шляхом видачі відповідних команд з комп’ютера, на якому інформація знаходиться. Безпосередній доступ може здійснюватися як особами, що працюють з інформацією, так і особами, що спеціально проникають у закриті зони та приміщення, де провадиться опрацювання інформації. Іноді злочинець з метою вилучення інформації, залишеної користувачами після роботи ЕОМ, обстежує робочі місця програмістів у пошуках чорнових записів, роздруківок, ділового листування (так зване «прибирання сміття») або здійснює перегляд і відновлення стертих програм. При цьому необхідно відзначити, що такий спосіб у даний час менш поширений у зв’язку з тим, що комп’ютерну інформацію легше перехопити при її передачі по телекомунікаційних каналах і комп’ютерних мережах, ніж при безпосередньому проникненні в приміщення.

Друга група включає способи опосередкованого (віддаленого) доступу до комп’ютерної інформації. До них можна віднести:

1) підключення до лінії зв’язку законного користувача (наприклад, до телефонної лінії) і одержання тим самим доступу до його системи;

2) проникнення в чужі інформаційні мережі шляхом автоматичного перебору абонентських номерів із наступним з’єднанням із тим або іншим комп’ютером. Перебір здійснюється доти, поки на іншому кінці лінії не «озветься» чужий комп’ютер (комп’ютерний «абордаж»).

Електронний злом здійснюється, як правило, через комп’ютерну мережу. При спробі неправомірного доступу один несанкціонований користувач може бути легко виявлений, тому злом здійснюється одночасно з декількох робочих місць. У заданий час декілька (більше десяти) персональних комп’ютерів одночасно починають спробу несанкціонованого доступу. При такій кількості комп’ютерів, що одночасно «атакують», навіть найнадійніші системи захисту від несанкціонованого доступу не встигають адекватно відреагувати на створену позаштатну ситуацію. Це може призвести до того, що декілька комп’ютерів, які «атакують», відсікаються системою захисту, а інші одержують необхідний доступ. Один із комп’ютерів, що «прорвався», блокує систему статистики мережі, яка фіксує всі спроби доступу. У результаті цього інші комп’ютери, що «прорвалися», не можуть бути виявлені і зафіксовані. Частина з них приступає до «злому» потрібного сектора мережі, а інші займаються фіктивними операціями з метою дезорганізації роботи підприємства, організації, установи та приховування злочину;

3) проникнення в комп’ютерну систему з використанням чужих паролів, коли незаконний користувач видає себе за законного користувача. При подібному способі, який одержав назву «повільний вибір», незаконний користувач здійснює добір пароля для доступу до чужого комп’ютера, використовуючи для цього спеціально розроблені програми, придбані на «чорному» комп’ютерному ринку. Підібравши необхідний пароль (на думку спеціалістів для добору восьмизначного пароля потрібно не більше доби), незаконний користувач одержує доступ до комп’ютерної інформації і може проводити з нею будь-які дії під виглядом законного користувача: копіювати, модифікувати, видаляти, змушувати програми робити необхідні операції, наприклад, перераховувати кошти на свої рахунки, фальсифікувати платіжні документи, викрадати конфіденційну інформацію та ін.

До числа способів опосередкованого (віддаленого) доступу до комп’ютерної інформації відносять і способи безпосереднього та електромагнітного перехоплення.

Безпосереднє перехоплення – найпростіший спосіб неправомірного доступу. Перехоплення здійснюється або прямо через телефонний канал системи, або шляхом підключення до комп’ютерних мереж. При цьому об’єктами безпосереднього підслуховування є різноманітні системи – кабельні і провідні, наземні мікрохвильові, супутникові та спеціальні.

Електромагнітне перехоплення – спосіб, що дає можливість доступу до інформації без безпосереднього підключення до комп’ютерної системи: за рахунок перехоплення випромінювань центрального процесора, дисплея, комунікаційних каналів, принтера тощо. Все це можна здійснити, знаходячись на достатньому видаленні від об’єкта перехоплення, наприклад, у сусідньому приміщенні або навіть будинку, оскільки сучасні технічні засоби дозволяють «знімати» і розшифровувати випромінювання працюючого принтера на відстані до 150 м, а випромінювання моніторів і сполучних кабелів – до 500 м. Допоміжним засобом електромагнітного перехоплення є установка в комп’ютерному устаткуванні «жучків» – чутливих мікрофонів із метою прослуховування розмов обслуговуючого персоналу про роботу комп’ютерної мережі, коди доступу до неї, заходи безпеки тощо.

Третю групу складають змішані способи, що можуть здійснюватися як шляхом безпосереднього, так і опосередкованого (віддаленого) доступу. До числа таких способів відносяться:

1) підміна даних – заміна або введення нових даних, що здійснюються, як правило, коли інформація вводиться або виводиться з ЕОМ;

2) таємне введення в чужу програму таких команд, що допомагають їй здійснити нові, незаплановані функції при одночасному зберіганні старої її працездатності («троянський кінь»). Наприклад, впроваджена програма може виконувати копіювання файлів, але одночасно знищувати дані про фінансову діяльність підприємства;

3) модифікація програм шляхом таємного впровадження в програму набору команд, що повинні спрацювати за певних умов через деякий час («логічна бомба»). Наприклад, як тільки програма незаконно перерахує кошти на підставний рахунок, вона самознищиться і при цьому знищить всю інформацію про здійснену операцію;

4) здійснення доступу до баз даних і файлів законного користувача за рахунок знаходження слабких місць у системах захисту («маскарад» або «самозванство» – хтось проникає в комп’ютерну систему, видаючи себе за законного користувача). Системи, що не мають засобів автентичної ідентифікації (наприклад, за фізіологічними характеристиками: за відбитками пальців, малюнком сітківки ока, голосом тощо), залишаються без захисту проти цього прийому. Найпростіший шлях його здійснення – одержати коди та інші ідентифікаційні шифри законних користувачів. Виявивши їх, з’являється можливість читати й аналізувати наявну інформацію, копіювати її, повертатися до неї в міру необхідності. Таким чином, можна звертатися до баз даних конкуруючої фірми з тим, щоб не тільки мати можливість аналізувати її фінансовий стан, але й одержувати інформацію щодо перспектив її розвитку. Одержання такої інформації дає безсумнівну перевагу в конкурентній боротьбі;

5) використання помилок у логіці побудови програми і виявлення «прогалин». У літературі подібного роду способи одержали найменування «аварійний» і «склад без стін». Перший дозволяє здійснити несанкціонований доступ до інформації в момент спрацьовування спеціальних програм, які застосовуються на випадок виникнення збоїв або інших відхилень у роботі ЕОМ. Другий – у результаті системної поломки, коли деякі файли користувача залишаються відкритими і злочинець одержує можливість несанкціонованого доступу до цієї бази даних. Більш того, для «популяризації» і тиражування сучасних способів незаконного проникнення до комп’ютерної інформації, «виламування» складних паролів і логічних систем захисту у мережі Інтернет є спеціальні WWW-сервери, що збирають і пропонують прийоми і засоби для «злому» програмних продуктів різноманітних фірм, які пропонуються безплатно всім бажаючим;

6) поширення по комп’ютерних мережах або шляхом продажу неліцензійних програм, що призводить до знищення або блокування інформації, порушенню працездатності ЕОМ, системи ЕОМ або їхньої мережі, включаючи переважну більшість комп’ютерних вірусів (на даний час спеціалістам відомо біля 15 тисяч видів вірусів, у числі яких найпоширенішими є такі: WM 97/Market – 13,4%; WM 97/Market O – 12,9%; Troj/Mine – 6,4%; XM 97/Laroux – 6,4%; WM 97/Ethan – 5,9%; WM 97/Thursday – 5,4%; W 32/Pretty – 5%; W 32/Ska-Happy 99 – 3,5%; WM 97/Broken ­­– 2%; WM 97/Melissa – 2% та ін.).

Особливо варто підкреслити, що реалізація багатьох із вищезазначених способів вчинення аналізованого виду злочину може бути пов’язана і з насильством над особою або погрозою його застосування. При цьому піддаватися насильству або погрозам його застосування може як сам законний користувач комп’ютерної системи, так і інша особа, яка знайома з роботою комп’ютерної техніки, наприклад, оператори, програмісти, ремонтники з метою таємного введення до програми незапланованих команд, одержання інформації про помилки в логіці побудови програми або про слабкі місця в системі її захисту, а також для одержання різноманітних паролів, ідентифікаційних номерів, електронних карток та ін.

Способи приховування аналізованої категорії злочинів значною мірою обумовлені способами їх вчинення. При безпосередньому доступі до комп’ютерної інформації приховування слідів злочину зводиться до відтворення обстановки, що передує вчиненню злочину, тобто знищенню залишених слідів (наприклад, слідів пальців рук на клавіатурі, кнопках дисководів та інших поверхнях, який торкався злочинець; слідів взуття; мікрочастинок та ін.). При опосередкованому (віддаленому) доступі приховування полягає в самому способі вчинення злочину, що утруднює виявлення неправомірного доступу. Так, використання універсальних програм, призначених для застосовування в аварійних ситуаціях («Супер-зеп», «Corall») дозволяє не тільки здійснити несанкціонований доступ до комп’ютера, минаючи всі засоби захисту і контролю, а й довільно змінювати будь-які атрибути файлів не залишаючи при цьому ніяких слідів (робота цих програм не протоколюється).

Приховування злочинів, вчинених у сфері комп’ютерної інформації має ще один аспект. У зв’язку з тим, що до вчинення даної категорії злочинів причетне значне коло осіб – працівники підприємства (установи, організації), у якому відбувається злочин; робітники АТС; особи, на квартирах яких установлюються комп’ютери, засоби зв’язку та джерела безперебійного забезпечення струму; оператори ЕОМ та ін. – організатори планованої кримінальної операції звертаються до таких прийомів приховування: а) мінімізують поінформованість учасників акції відносно її справжньої мети (більшість учасників використовується «втемну» – кожний із них знає лише про своє конкретне завдання); б) інструктують учасників про характер їхніх дій у випадку виявлення неправомірного доступу до комп’ютерної інформації (наприклад, працівника АТС про необхідність повідомлення неправильного телефонного номера головного виконавця несанкціонованого проникнення у випадку надходження сигналу від служб безпеки про його ідентифікацію).

Знаряддями вчинення злочинів у сфері комп’ютерної інформації виступають засоби комп’ютерної техніки, у тому числі і спеціальне програмне забезпечення. До знарядь безпосереднього доступу можна віднести носії комп’ютерної інформації (дискети, лазерні диски, касети з магнітною стрічкою для стримера), різноманітне периферійне устаткування (принтер, CD-ROM-накопичувач, стример, дисководи), а також електронні ключі, особисті ідентифікаційні коди й ін. До знарядь опосередкованого (віддаленого) доступу відноситься насамперед мережне устаткування, а також засоби доступу до віддалених мереж (засоби телефонного і супутникового зв’язку, модем).

Своєрідність комп’ютерної інформації, а також засобів комп’ютерної техніки, дозволяє виділити декілька місць вчинення одного злочину, як-от: а) місце безпосереднього опрацювання і постійного зберігання інформації, що стала предметом злочинного посягання; б) місце безпосереднього використання технічних засобів для неправомірного доступу до комп’ютерної інформації, що знаходиться в іншому віддаленому місці (заздалегідь орендовані приміщення, спеціально обладнані автомобілі тощо); в) місце зберігання інформації на машинних носіях, добутої в результаті неправомірного доступу до комп’ютерної системи або мережі, що знаходяться в інших місцях; г) місце безпосереднього використання результатів неправомірного доступу до комп’ютерної інформації.

Для обстановки, у якій відбуваються злочини, що розглядаються найбільше характерними є такі ознаки: невисокий техніко-організаційний рівень господарської діяльності; неналежний контроль за інформаційною безпекою; недосконала система захисту інформації та бездіяльність з боку керівників щодо її модернізації; атмосфера байдужності до випадків порушення вимог інформаційної безпеки та ін.

У криміналістичній характеристиці злочинів, що вчиняються у сфері комп’ютерної інформації, особливе місце займає інформація про типові сліди, що залишаються злочинцями, які доцільно об’єднати у дві групи: речові й інтелектуальні.

До першої групи входять: а) сліди, що залишаються на засобах комп’ютерної техніки (сліди пальців рук, мікрочастинки на клавіатурі, дисководах, принтері, а також на магнітних носіях і CD-ROM дисках); б) сліди, що залишаються на «робочому» місці злочинця, так звані сліди засобів для налагодження програм проникнення (наприклад, які-небудь рукописні записи ¾ списки паролів, коди, таблиці шифрування, чернетки, роздруківки тощо); в) сліди, що залишаються на засобах захисту інформації (спеціальних електронних картках, електронних ключах доступу до персонального комп’ютера, пристроях упізнання користувача по геометричних ознаках руки, почерку, голосу).

Другу групу складають: а) сліди, що вказують на зміни в заданій файловій структурі (перейменування каталогів і файлів, зміна розмірів і змісту файлів, зміна стандартних реквізитів файлів, поява нових каталогів і файлів, видалення з каталогів імен файлів, стирання або додавання окремих записів, фізичне знищення або розмагнічування носіїв і ін.); б) сліди, що є результатом роботи антивірусних і тестових програм (наприклад, результати роботи програми «DrWeb» відбиваються у файлі «report.web», зміст якого можна легко переглянути); в) сліди, що відбивають зміни в заданій конфігурації комп’ютера (зміна кольору і файлів, поява нових і видалення старих мережних пристроїв, зміна порядку взаємодії з периферійним устаткуванням (принтером, модемом тощо); г) сліди, що характеризують незвичні прояви в роботі ЕОМ (уповільнене або неправильне завантаження операційної системи, уповільнена реакція машини на введення з клавіатури, уповільнена робота машини з накопичувачами при записі і зчитуванні інформації, неадекватні реакції ЕОМ на команди користувача, поява на екрані нестандартних символів, знаків та ін.); ґ) сліди руху пакетів інформації з мережі Інтернет, де кожний забезпечується адресою комп’ютера-одержувача і по шляху проходження проходить декілька вузлових комп’ютерів (серверів), на яких залишаються сліди реєстрації проходження пакетів і сліди, залишені в результаті неправомірних дій злочинця. Крім того при відвідуванні Web-вузла браузер (програма) пише електронну адресу цієї сторінки в безліч файлів, що знаходяться на жорсткому диску. Це кеш-файли, файли-сценарії, файли-історії та файли Windows Registry (наприклад, файли-сценарії при перегляді Web-вузла реєструють кожний натиск на мишу і файл, що був використаний у якості буфера адреси вузлів, які висилали код і зберігають інформацію про це в папці Windows/Cookies; при роботі з Internet Explorer URL файли-історії зберігають послідовність дій оператора в папці Windows/History). На описані сліди слідчий повинний звернути особливу увагу при огляді комп’ютерної техніки.

Суб'єктами вчинення злочинів у сфері комп’ютерної інформації є такі категорії громадян:

1) особи, що знаходяться у трудових відносинах із підприємством (організацією, установою, фірмою або компанією), на якому вчинений злочин (так звані внутрішні користувачі):

оператори запровадження даних, програмісти, робітники служби захисту інформації, адміністратори баз даних, спеціалісти периферійного устаткування і засобів зв’язку, робітки, що забезпечують збереження магнітних стрічок, дисків і дискет із записом інформації з обмеженим доступом, інженери, персонал, що проводить технічне обслуговування і ремонт ЕОМ, комп’ютерних систем або мереж;

користувачі ЕОМ, що мають відповідну підготовку і вільний доступ до комп’ютерної системи або мережі;

адміністративно-управлінський персонал – керівники, бухгалтери, економісти;

2) особи, що не знаходяться в трудових відношеннях із підприємством (організацією, установою, фірмою або компанією), на якому вчинений злочин (зовнішні користувачі):

особи, що займаються перевіркою фінансово-господарської діяльності підприємства та ін.;

користувачі та обслуговуючий персонал ЕОМ інших підприємств, котрі пов’язані комп’ютерними мережами з підприємством, на якому вчинений злочин;

особи, що мають у своєму розпорядженні комп’ютерну техніку і доступ до телекомунікаційних мереж (студенти вищих навчальних закладів, члени комп’ютерних клубів, курсів, шкіл, елітних приватних клубів програмістів);

представники організацій і фірм, що займаються сервісним обслуговуванням, ремонтом, контролем і розробкою технічних і програмних засобів комп'ютерної техніки та ін.

За даними узагальнення судово-слідчої практики найбільша небезпека в плані вчинення злочинів у сфері комп’ютерної інформації виходить від внутрішніх користувачів, тобто своїх і саме ними вчиняється 94% злочинів, тоді як зовнішніми користувачами – лише 6%, при цьому 70% – це клієнти-користувачі комп’ютерної системи, а 24% – обслуговуючий персонал.

Активний розвиток комп’ютерних технологій призвів до формування такого узагальненого поняття комп’ютерних злочинців як хакер (слово «хакер» походить від англійського to hack ¾ рубити, батувати). Їх визначають як особливу категорію спеціалістів у сфері обчислювальної техніки, що займаються пошуком методів і шляхів несанкціонованого доступу до комп’ютерної інформації з метою її заміни або розкрадання, а також модифікації файлів, блокування роботи мережі і виведення з ладу програмного забезпечення.

Залежно від мети вчинення злочину, сфери застосування фахових навичок і наявності стійких угруповань хакери умовно підрозділяються на чотири категорії.

Перша категорія має назву «допитлива молодь» і до неї входять підлітки та студенти, що навмисно «зламують» коди і паролі більше через допитливість і самоствердження, прагнучи з’ясувати, що за це буде. Своїми діями вони створюють серйозні перешкоди для нормальної роботи мереж і комп’ютерів.

Другу категорію хакерів складають «пірати» – особи, що займаються цілеспрямованим розкраданням нового програмного забезпечення, яке поширюється на правах «shareware», тобто за плату. Характерним для даної категорії є формування стійких груп із чітким розподілом обов’язків між їхніми членами: одні «зламують» захисні коди і паролі доступу, інші здійснюють вилучення програм, треті займаються їхньою реалізацією.

Третя група – це комп’ютерні хулігани, що поширюють комп’ютерні віруси, які знищують програмне забезпечення, так звані «шкідники» або «вандали».

Четверта група – «шпигуни». Злочинці даної категорії полюють за конфіденційною інформацією, чинять злочинні дії свідомо, часом на замовлення, одержуючи за це матеріальну винагороду.

Потерпілих від злочиніву сфері комп’ютерної інформації можна поділити на три групи: власники комп’ютерних систем (79%); клієнти, що користуються їхніми послугами (13%); інші особи (8%). При цьому слід зазначити, що потерпіла сторона, особливо та, що відноситься до першої групи, досить часто неохоче повідомляє (або не повідомляє зовсім) правоохоронним органам про злочинні факти у сфері комп’ютерної інформації з таких причин: через недостатню компетенцію правоохоронних органів у розслідуванні даної категорії злочинів; остраху розкриття в ході попереднього слідства системи безпеки фірми; остраху виявлення власних незаконних дій та ін. Подібного роду дії і створюють високий рівень латентності даної категорії злочинів та істотно утрудняють процес їх розкриття і профілактики.