Способы совершения преступления в сфере компьютерной информации
Под способом совершения преступления понимается система объединенных единым замыслом действий преступника (и связанных с ними лиц) по подготовке, совершению и сокрытию преступления, детерминированных объективными и субъективными факторами и сопряженных с использованием соответствующих орудий и средств.
На сегодняшний день в криминалистике нет единой классификации способов совершения преступлений в сфере компьютерной информации. Одна из классификаций предложена А.Н. Родионовым и А.В. Кузнецовым. Согласно ей, способы совершения компьютерных преступлений можно подразделить:
1) на «изъятие средств компьютерной техники;
2) неправомерный доступ к компьютерной информации: преступления, совершенные в отношении компьютерной информации, находящейся в глобальных компьютерных сетях; преступления, совершенные в отношении компьютерной информации, находящейся в ЭВМ, не являющихся компьютером в классическом понимании этого слова (пейджер, сотовый телефон, кассовый аппарат и т.п.);
3) изготовление или распространение вредоносных программ (вирусы, программы – взломщики и т.п.);
4) перехват информации: электромагнитный; непосредственный;
5) нарушение авторских прав (компьютерное пиратство);
6) комплексные методы.
Данная классификация не лишена недостатков.
Во-первых, фактически авторами за основу классификации взят непосредственный объект преступного посягательства, а не способ совершения преступления.
Во-вторых, неправомерный доступ к компьютерной информации, как показано нами выше, совершается гораздо большим количеством способов, чем отметили авторы (в частности, ими не отмечены непосредственные способы).
В-третьих, способы перехвата информации относятся к способам неправомерного доступа к ней, и выделение их в качестве самостоятельной группы необоснованно.
И в-четвертых, изъятие средств компьютерной техники представляет собой преступление против собственности, а не в сфере компьютерной информации.
Способы совершения неправомерного доступа компьютерной информации можно объединить в три основные группы.
Первая группа – это способы непосредственного доступа. При их реализации информация уничтожается, блокируется, модифицируется, копируется, а также может нарушаться работа ЭВМ, системы ЭВМ или их сети путем отдачи соответствующих команд с компьютера, на котором информация находится.
Непосредственный доступ может осуществляться как лицами, работающими с информацией (имеющими отношение к этой работе), так и лицами, специально проникающими в закрытые зоны и помещения, где производится обработка информации. Например, человек, имеющий умысел на противоправный доступ к компьютерной информации, держа в руках определенные предметы, указывающие на его «принадлежность» к работе на компьютере (дискеты, распечатки и пр.), прохаживается около запертой двери помещения, где расположен терминал. Дождавшись, когда в названное помещение войдет работающий в нем сотрудник, он входит туда вслед за ним, а потом через определенный промежуток времени при благоприятной для этого обстановке совершает неправомерный доступ к компьютерной информации.
Необходимо отметить, что описанный способ в настоящее время менее распространен по причине децентрализации обработки информации. Практика показывает, что преступники компьютерную информацию чаще перехватывают при ее передаче по телекоммуникационным каналам и компьютерным сетям. Сделать это им и проще, и безопаснее, чем при непосредственном проникновении в помещение. Примером совершения неправомерного доступа к компьютерной информации может являться дело по обвинению К. по ч. 1 ст. 272 УК РФ. В ходе расследования было установлено, что он, находясь на работе в качестве электромеханика Переяславского районного узла электрической связи, на принесенную с собой дискету скопировал с компьютера готовящийся к изданию телефонный справочник района им. Лазо. Эту дискету он принес домой и скопировал полученную информацию на жесткий диск своего компьютера, а затем на принтере отпечатал 4 экземпляра названного справочника. Таким образом, К. умышленно, незаконно скопировал информацию, хранившуюся в электронно-вычислительной машине.
Другой способ непосредственного доступа к компьютерной информации заключается в неправомочном использовании преступником технических отходов информационного процесса, оставленных пользователем после работы с компьютерной техникой. Он осуществляется в двух формах: физической и электронной.
Физический поиск отходов сводится к обследованию рабочих мест программистов, содержимого мусорных баков, емкостей для технологических отходов для сбора оставленных или выброшенных физических носителей информации, а также обследованию различной документации, оставленной на рабочем месте: ежедневников, книг рабочих записей, перекидных календарей и т.п. в целях поиска черновых записей, паролей доступа в систему и пр.
Электронный вариант требует просмотра и последующего исследования данных, находящихся в памяти компьютера. Он основан на некоторых технологических особенностях функционирования средств компьютерной техники. Например, данные, записанные в последний момент работы, не всегда стираются из оперативной памяти компьютерной системы.
В названных целях могут просматриваться и восстанавливаться стертые файлы. В данном случае предполагается обязательное использование в качестве орудия преступления различных программных средств специального назначения. Одним из них является программный комплекс PC Tools Deluxe, содержащий универсальную программу восстановления стертых файлов.
Вторая группа способов совершения рассматриваемого преступления включает способы опосредованного (удаленного) доступа к компьютерной информации. При этом неправомерный доступ к определенному компьютеру и находящейся на нем информации осуществляется с другого компьютера, находящегося на определенном расстоянии, через компьютерные сети. Способы опосредованного доступа к компьютерной информации, в свою очередь, можно разделить на две подгруппы: способы преодоления парольной а также иной программной или технической защиты и последующего подключения к чужой системе; способы перехвата информации.
К способам первой подгруппы относятся:
1. Подключение к линии связи законного пользователя (например, к телефонной линии) и получение тем самым доступа к его системе. Подключившись, преступник дожидается сигнала, означающего окончание работы, перехватывает его «на себя», а потом, когда законный пользователь закончил сеанс работы, осуществляет доступ к его системе. Данный способ сравним с работой двух параллельных телефонных аппаратов, подключенных к одному абонентскому номеру: если один телефон находится в активном режиме (ведется разговор с абонентом) и на другом аппарате поднимается трубка, то когда разговор по первому телефону закончен и трубка положена, он может быть продолжен по второму.
2. Проникновение в чужие информационные сети путем автоматического перебора абонентских номеров с последующим соединением с тем или иным компьютером (перебор осуществляется до тех пор, пока на другом конце линии не «отзовется чужой» компьютер). Поскольку в подобном случае один несанкционированный пользователь может быть легко обнаружен, подобный «электронный взлом» осуществляется одновременно с нескольких рабочих мест: в заданное время несколько (более десяти) персональных компьютеров одновременно предпринимают попытку несанкционированного доступа. Это может привести к тому, что несколько «атакующих» компьютеров отсекаются системой защиты, а остальные получают требуемый доступ. Один из «прорвавшихся» компьютеров блокирует систему статистики сети, которая фиксирует все попытки доступа. В результате этого другие «прорвавшиеся» компьютеры не могут быть обнаружены и зафиксированы. Часть из них приступает к «взлому» нужного сектора сети, а остальные занимаются фиктивными операциями в целях дезорганизации работы предприятия, организации, учреждения и сокрытия преступления.
3. Проникновение в компьютерную систему с использованием чужих паролей, выдавая себя за законного пользователя. При подобном способе незаконный пользователь осуществляет подбор пароля для доступа к чужому компьютеру. Подбор паролей может осуществляться двумя методами.
Первый: подбор паролей путем простого перебора всех возможных сочетаний символов до тех пор, пока не будет установлена нужная комбинация. Для реализации такого подбора существуют уже специально разработанные программы, которые можно приобрести на «черном» компьютерном рынке. Алгоритм их действия основан на использовании быстродействия современных компьютеров при переборе всех возможных комбинаций букв, цифр и автоматического соединения специальных символов, имеющихся на стандартной клавиатуре персонального компьютера, и в случае совпадения комбинации символов с оригиналом произведения.
Второй: «интеллектуальный» подбор паролей на основе имеющихся «словарей» наиболее распространенных паролей, систематизированных по определенным тематическим группам. Практика показывает, что данным методом вручную вскрываются более 40% паролей. При этом наиболее распространенными тематическими группами паролей являются следующие: имена, фамилии и производные от них (22%); последовательность клавиш компьютера, повтор символов (14%); даты рождения пользователя и его близких, а также их комбинации (12%); интересы, хобби (9,5%); адрес, место рождения (5%); номера телефонов или документов: паспортов, удостоверений личности и пр. (3,5%).
Подобрав необходимый пароль (для подбора восьмизначного пароля требуется несколько часов), незаконный пользователь получает доступ к компьютерной информации и может проводить с ней любые действия под видом законного пользователя: копировать ее, модифицировать, удалять, заставлять программы производить требуемые операции, например, по переводу денежных средств на свои счета, фальсификации платежных документов и пр.