1.2 Способы совершения компьютерных преступлений
Томчак Е.В. определяет киберпреступность «как любое преступление, которое может совершаться с помощью компьютерной системы или сети, т.е. которое может быть совершено в электронной среде [3]».
Зарубежными специалистами разработаны различные классификации способов совершения компьютерных преступлений. Согласно классификации Ю.М. Батурина и В. Б. Вехова, основанной на переведенной с английского американской классификации существуют следующие способы совершения данного рода преступлений:
1. Методы перехвата, которые можно подразделить:
1.1 Непосредственный перехват.
Старейший из используемых способов. Требующееся оборудование можно приобрести в магазинах: микрофон, радиоприемник, кассетный диктофон, модем, принтер. Перехват данных осуществляется либо непосредственно через телефонный канал системы, либо подключением к компьютерным сетям. Вся информация записывается. Объектами подслушивания являются различные системы - кабельные и проводные, наземные микроволновые, спутниковой и правительственной связи.
1.2 Электромагнитный перехват
Используются перехватывающие устройства, работающие без прямого контакта. Можно уловить излучение, центральным процессором, дисплеем, телефоном, принтером, линиями микроволновой связи, считывать данные с дисплейных терминалов при помощи доступных каждому простейших технических средств. Преступники, находясь в легковой или грузовой автомашине, или просто имея приемник в портфеле, на некотором расстоянии от здания, могут, не привлекая к себе внимания, легко узнавать данные, хранящиеся в памяти ЭВМ или используемые в процессе работы.
1.3 Использование «жучков» («клопов»)
Заключается в установке микрофона в компьютере с целью прослушивания разговоров персонала. Простой прием, обычно используемый как вспомогательный для получения информации о работе компьютерной системы, о персонале, о мерах безопасности и т.д.
1.4 «Уборка мусора»
Это поиск данных, оставленных пользователем после работы с компьютером. Включает физический вариант - осмотр содержимого мусорных корзин и сбор оставленных за ненадобностью распечаток, ненужной деловой переписки и т.п. Электронный вариант - исследование данных, оставленных в памяти компьютера. Последние из сохраненных данных обычно не стираются после завершения работы. Другой пользователь записывает только небольшую часть своей информации, а затем спокойно считывает предыдущие записи, выбирая нужную ему информацию. Таким способом могут быть обнаружены пароли, имена пользователей и т.п.
2.Методы несанкционированного доступа:
Несанкционированный доступ может осуществляться в результате системной поломки. Например, если некоторые файлы пользователя остаются открытыми, он может получить доступ к непринадлежащим ему частям банка данных. Все происходит так словно клиент банка, войдя в выделенную ему в хранилище комнату, замечает, что у хранилища нет одной стены. В таком случае он может проникнуть в чужие сейфы и похитить все, что в них хранится.
2.1 «За дураком»
Используется для проникновения в закрытые для доступа помещения или терминалы. Физический вариант состоит в том, чтобы взяв в руки как можно больше предметов, связанных с работой на компьютере, прохаживаться с деловым видом возле запертой двери, за которой находится терминал, и когда появится законный пользователь уверенно пройти в дверь вместе с ним. Электронный вариант проходит, когда компьютерный терминал незаконного пользователя подключается к линии законного пользователя через телефонные каналы (Интернет) или когда пользователь выходит ненадолго, оставляя терминал в активном режиме.
2.2 Компьютерный «абордаж»
Хакеры набирая на удачу один номер за другим, дожидаются, пока на другом конце провода не отзовется чужой компьютер. После этого телефон подключается к приемнику сигналов в собственной ПЭВМ, и связь установлена. Остается угадать код (а слова, которые служат паролем часто банальны и обычно берутся из руководства по использованию компьютера) и можно внедриться в чужую компьютерную систему.
2.3 Неспешный выбор.
Несанкционированный доступ к файлам законного пользователя осуществляется нахождением слабых мест в защите системы. Однажды обнаружив их, нарушитель может не спеша исследовать содержащуюся в системе информацию, копировать ее, возвращаться к ней много раз.
2.4 «Маскарад» или «самозванство»
Некто проникает в компьютерную систему, выдавая себя за законного пользователя. Системы, которые не обладают средствами аутентичной идентификации, оказываются без защиты против этого приема. Самый простейший путь его осуществления - получить коды и другие идентифицирующие шифры законных пользователей.
2.5 «Мистификация»
Пользователь с удаленного терминала случайно подключается к чьей-то системе, будучи абсолютно уверенным, что он работает с той системой, с какой и намеревался. Владелец системы, к которой произошло фактическое подключение, формируя правдоподобные отклики, может поддерживать это заблуждение в течение определенного времени, получая одновременно некоторую информацию, в частности коды.
2.6 «Аварийный метод»
Использует тот факт, что в любом компьютерном центре имеется особая программа, применяемая в случае возникновения сбоев или других отклонений в работе ЭВМ. Такая программа - мощный и опасный инструмент в руках злоумышленника.
2.7 «Склад без стен»
Несанкционированный доступ осуществляется в результате системной поломки. Например, если некоторые файлы пользователя остаются открытыми, он может получить доступ к не принадлежащим ему частям банка данных.
3. Методы манипуляции:
3.1 Подмена данных
Изменение или введение новых данных осуществляется, как правило, при вводе или выводе данных с ЭВМ. Например, служащий одного нью-йоркского банка, изменяя входные данные, похитил за 3 года 1,5 млн долл.
3.2 «Троянский конь»
Это тайное введение в чужую программу таких команд, позволяющих не изменяя работоспособность программы, осуществить, не планировавшиеся ее владельцем функции. Этим способом преступники обычно отчисляют на свой счет определенную сумму с каждой операции. Успех метода основывается на том, что при каждой проверке счета клиент теряет так мало, что это практически не замечается, а если и замечается, то, вряд ли повлечет какие-либо последствия.
3.4 «Временная бомба»
Тайное встраивание в программу набора команд, которые должны сработать (или каждый раз срабатывать) при определенных условиях или в определенный момент времени.
3.5 «Воздушный змей»
Это способ, который весьма часто используется в России, Украине и других странах СНГ. В двух банках (но можно и в нескольких) открывают по небольшому счету и переводятся деньги из одного банка в другой и обратно с постепенно повышающимися суммами. Хитрость заключается в том, чтобы до того как в банке обнаружится, что поручение о переводе не обеспечено необходимой суммой, приходило бы извещение о переводе в этот банк, так, чтобы общая сумма покрывала требование о первом переводе. Цикл повторяется много раз до тех пор, пока на счете не оказывается приличная сумма (фактически, она постоянно переходит с одного счета на другой, увеличивая свои размеры). Тогда деньги быстро снимаются и владелец счетов исчезает
Как правило, компьютерные преступления совершаются с помощью того или иного сочетания приемов.
2. РАССЛЕДОВАНИЕ КОМПЬЮТЕРНЫХ ПРЕСТУПЛЕНИЙ
2.1 Основные следственные задачи при расследовании компьютерных преступлений
При расследовании компьютерных преступлений существует некоторая общая схема.
Если преступление связано с неправомерным доступом к компьютерной информации, то в ходе расследования основные следственные задачи целесообразно решать в такой последовательности:
1. Установление факта неправомерного доступа к информации в компьютерной системе или сети.Кому-то покажется странным, но одной из самых больших сложностей может оказаться установление факта совершения преступления. Это связано с тем, что внешние проявления компьютерного преступления обычно несколько скромнее, чем при ограблении продуктовой лавки[4].
2. Установление места несанкционированного проникновения в компьютерную систему или сеть.
Определить место и время непосредственного применения технических средств удаленного несанкционированного доступа, не входящих в данную информационную систему или сеть, на практике бывает достаточно трудно. Для установления этих данных необходимо привлекать специалистов
3. Установление времени совершения преступления.
4. Установление надежности средств защиты компьютерной информации.
5. Установление способа несанкционированного доступа.
Способ несанкционированного доступа может быть установлен путем производства информационно-технической судебной экспертизы. Перед экспертом следует поставить вопрос: «Каким способом мог быть совершен несанкционированный доступ в данную компьютерную систему?».
6. Установление лиц, совершивших неправомерный доступ, их виновности и мотивов преступления.
Следственная практика показывает, что чем сложнее в техническом отношении способ проникновения в компьютерную систему или сеть, тем легче выделить подозреваемого, поскольку круг специалистов, обладающих соответствующими способностями, обычно весьма ограничен.
7. Установление вредных последствий преступления.
8. Выявление обстоятельств, способствовавших преступлению.
При расследовании компьютерных преступлений, связанных с созданием, использованием и распространением вредоносных программ для ЭВМ, целесообразно применять следующую последовательность действий: