CC BY
116
К ВОПРОСУ О СПОСОБАХ СОВЕРШЕНИЯ ПРЕСТУПЛЕНИЙ В СФЕРЕ КОМПЬЮТЕРНОЙ
ИНФОРМАЦИИ
Шахрай С.С.
In article ways offulfilment of crimes in sphere of the computer information are considered.
o> о о
OJ
о о о
CL
e
CQ s
H
о
0
1
о я с о
m ф
VO >5
о *
о ф
У
s
s
0
1
о *
о
s
ф
ч
я *
< s
I H
о ф
со
Способ совершения преступления имеет наибольшее юридическое значение среди всех других факультативных признаков объективной стороны преступления поскольку именно в нем выражаются общественно опасные поступки, приемы и методы, которые использовал преступник для совершения противоправного деяния.
Между тем в действующем уголовном законодательстве отсутствует определение понятия способа совершения преступления, хотя понятие «способ» в рамках объективной стороны состава преступления приобрело значение относительно самостоятельной уголовно-правовой категории2. В этой связи закрепление в ст.ст. 272-274 УК РФ обобщенной характеристики или отдельных характерных черт (признаков) способа совершения преступлений в сфере компьютерной информации обусловливает необходимость оценочной деятельности правоприменителя, уяснение смысла и содержания закона применительно к конкретным проявлениям вовне преступного посягательства. В этом процессе, как представляется, важное значение приобретает доктри-нальное толкование.
Как свидетельствует анализ юридической литературы, современная доктрина уголовного права выделяет следующие виды способов совершения преступлений в сфере компьютерной информации, которые с учетом метода использования преступником тех или иных действий и технических средств могут быть классифицированы на три группы, а именно:
1. Перехват информации.
2. Несанкционированный доступ к средствам компьютерной техники (СКТ).
3. Манипуляция данными и управляющими командами.
К первой группе относятся способы совершения компьютерных преступлений, основанные на действиях преступника,
направленных на получение информации посредством использования методов аудиовизуального и электромагнитного перехвата, широко практикуемых в оперативно-розыскной деятельности правоохранительных органов, а также преступными сообществами. Средства компьютерной техники будут выступать как в качестве предмета, так и в качестве орудия совершения преступного посягательства. Следует заметить, что различают пять разновидностей перехвата.
1. Непосредственный (активный) перехват. Осуществляется с помощью непосредственного подключения к компьютеру или компьютерной сети, например, телефонному или сетевому проводу канала связи, используемого для передачи данных и управляющих сигналов компьютерной техники либо непосредственно через соответствующий порт персонального компьютера (USB, IDE, SATA, FireWire, SCSI и др.)
После подключения к каналу связи вся информация записывается на физический носитель. Могут использоваться как специальные средства, — профессиональные дешифраторы компьютерного кода устройств — так и персональный компьютер (как правило ноутбук) со специализированным программным обеспечением.
2. Электромагнитный (пассивный) перехват. Не все перехватывающие устройства требуют непосредственного подключения к системе. Данные и информация могут быть перехвачены не только в канале связи, но и в помещениях, в которых находятся средства коммуникации, а также на значительном удалении от них. Так, без прямого контакта можно зафиксировать и закрепить на физический носитель электромагнитное излучение, возникающее при функционировании многих средств компьютерной техники, включая и средства коммуникации. Все без исклю-
Соискатель АЭБ МВД России.
чения электронные устройства сопровождаются электромагнитным излучением, в результате чего в различных электронных приемных устройствах возникают нежелательные помехи.
Электронно-лучевая трубка, являющаяся центральным элементом компьютерного устройства для видеоотображения информации на экране (дисплее) излучает в окружающее пространство электромагнитные волны, несущие в себе определенную информацию. Волны, излучаемые этим прибором, примерно также, как при телевизионном вещании, проникают сквозь различные физические преграды с некоторым коэффициентом ослабления, например через стекла оконных проемов и стены строений, а принимать их можно, как показывают данные многочисленных экспериментов, на расстоянии до 1000 метров. Как только эти сигналы приняты соответствующей аппаратурой и переданы на другой компьютер (преступника) можно получить изображение идентичное изображению, возникающему на мониторе «передающего» компьютера, для чего достаточно настроиться на его конкретную индивидуальную частоту. Каждый компьютер возможно идентифицировать по конкретным параметрам: рабочей частоте, интенсивности электромагнитного излучения и т. д.
Например, для осуществления преступных целей иногда достаточно смонтировать приемную антенну по типу волнового канала и имеющую более острую, чем у обычной дипольной антенны, несимметричную диаграмму направленности. После чего разработать (или использовать готовую) программу расшифровки «снятых» данных. Изготовление и подбор указанных орудий подготовки преступления могут быть осуществлены любыми лицами, имеющими средний профессиональный уровень подготовки по соответствующим специальностям. Однако в случае использования жидко-кристаллических мониторов, вместо мониторов на электронно-лучевой трубке (ЭЛТ) и новых блоков питания компьютера, которые в автоматическом режиме гасят специфические помехи вносимые компьютером в электросеть, считывание информации подобным способом стало значительно сложнее.
3. Аудиоперехват или снятие информации по виброакустическому каналу. Данный способ совершения преступления является наиболее опасным и доста-
точно распространенным. Защита от утечки информации по этому каналу очень сложна. Этот способ съема информации имеет две разновидности.
Первая заключается в установке подслушивающего устройства в аппаратуру средств обработки информации в различные технические устройства на проводные коммуникационные линии (радио, телефон, телевизионный кабель, охранно-пожарной сигнализации, электросеть и т. п.), а также в различные конструкции инженерно-технических сооружений и бытовых предметов, находящихся на объекте с целью перехвата разговоров работающего персонала и звуковых сигналов технических.
Вторая — заключается в следующем. Акустические и вибрационные датчики съема информации устанавливают на инженерно-технические конструкции, находящиеся за пределами охраняемого помещения, из которого необходимо принимать речевые сигналы. Выделяют следующие типовые конструкции инженерно-технических сооружений по которым передаются речевые сигналы: несущие стены зданий, перегородки, перекрытия, окна, оконные рамы и т.п. При этом необязательно проникать внутрь помещения — достаточно приблизиться к нему снаружи. Датчик устанавливается либо непосредственно, либо дистанционно. Иногда на более высокопрофессиональном уровне преступником могут использоваться направленные спецмикрофоны и дорогостоящие лазерные устройства, предназначенные для дистанционного снятия речевой информации через открытые сквозные проемы (двери, окна, форточки, мусоро- и воздухопроводы и т.п.) и оконные (автомобильные) стекла3.
4. Видеоперехват. Используя данный способ, преступник получает, а в некоторых случаях и фиксирует, требуемую информацию и данные, которые «снимаются» дистанционно с устройств видеоотображения, бумажных носителей информации (листинги, распечатки и т.д.), с нажимаемых клавиатурных клавиш при работе оператора (пользователя), а также с окружающих предметов и строительных конструкций.
Этот способ имеет две разновидности: физическую и электронную. В первом случае перехват информации производится с помощью применения преступником различной бытовой видеооптической аппаратуры, например, подзорной
О)
о о
сч •
о о о о.
с[ со
I-
О
0
1
о я с о т ф ю
О *
О ф
У
2
0
1
о *
о
2
ф
■а
я <
I I-
О ф
со
О) О
о
CJ
о о о
Q.
со s
H
о
0
1
о я с о m ф VO >5
о *
о ф
у s
s
0
1
о *
о
s
ф
ч
я <
s
I H
о ф
со
трубы, бинокля, охотничьего прибора ночного видения, оптического прицела, видеофотоаппаратуры с соответствующими оптическими насадками (объективами) и т.п. Преступником проводится наблюдение за объектом-жертвой с некоторого расстояния с целью получения необходимой информации, которая, в отдельных случаях, фиксируется на физический носитель. При этом орудие преступления находится непосредственно в руках преступника.
Во втором случае получение информации преступником осуществляется с использованием специальной техники, предполагающей наличие различных каналов связи, как постоянных, так и временно устанавливаемых. В данном случае передающее устройство находится непосредственно на объекте наблюдения, а приемное — в руках преступника.
5. «Уборка мусора».
Этот способ совершения преступления заключается в неправомочном использовании преступником технологических отходов информационного процесса, оставленных пользователем после работы с компьютерной техникой. Он осуществляется в двух формах: физической и электронной.
В первом случае поиск отходов сводится к внимательному осмотру содержимого мусорных корзин, баков, емкостей для технологических отходов и сбору оставленных или выброшенных физических носителей информации.
Электронный вариант требует просмотра, а иногда и последующего исследования данных, находящихся в памяти компьютера. Он основан на некоторых технологических особенностях функционирования СКТ. Например, последние записанные данные не всегда стираются в оперативной памяти компьютерной системы после завершения работы или же преступник записывает только небольшую часть своей информации при законном доступе, а затем считывает предыдущие записи, выбирая нужные ему сведения (если нет иерархического принципа защиты доступа к данным).
В некоторых случаях преступником могут осуществляться действия, направленные на восстановление и последующий анализ данных, содержащихся на отформатированных (полное удаление информации) жёстких дисках, при помощи специальных программ4.
Ко второй группе способов совершения преступлений в сфере компьютерной информации (несанкционированный доступ к средствам компьютерной техники (СКТ) относятся следующие способы совершения рассматриваемых деяний.
1. Через сервис удалённого доступа Microsoft Windows. Этот способ даёт возможность пользователю или администратору управлять компьютером или сетью находясь в удалении от рабочего места (в т.ч. из другого города, страны). Данный способ позволяет злоумышленнику получить полный доступ к управлению компьютеру, а в случае подключения к компьютеру администратора сети получает доступ ко всем компьютерам составляющим данную сеть. Для получения доступа необходимо ввести имя пользователя и пароль, которые в случае использования программы удаленного доступа windows не зашифрованы и не обременены дополнительными средствами защиты, что позволяет злоумышленнику использовать заранее полученные данные пользователя или простейшие программы автоматического подбора пароля.
2. С помощью использования так называемых «брешей» (ошибки программистов в создании программного обеспечения) в программном обеспечении в — операционной системе или прикладного программного обеспечения. Для использования данного способа, преступник должен обладать достаточно глубокими знаниями программирования и непосредственно программного обеспечения, однако в последнее время данным методом стали пользоваться и не профессионалы, что обусловлено наличием многочисленных общедоступных интернет конференций, где обсуждаются ошибки программного обеспечения и способы их использования в преступных целях5.
3. С помощью замаскированных интернет страниц и форм заполнения документов. Данный способ, как правило, осуществляется следующим образом — на почту к жертве приходит письмо от автоматической системы или от администратора (как думает жертва) с просьбой перейти по ссылке на сайт, где зарегистрирован пользователь (это может быть как информационный ресурс, так и некоторые варианты платёжных систем и т.п.). В данном сообщение говориться о необходимости связаться с администрацией для решения срочного вопроса (предупреждение о блокировании пользователя
или о пропаже денежных средств). Жертва, которая обеспокоена данным сообщением переходит по этой ссылке и попадает, как она думает на тот веб-сайт, на котором она зарегистрирована (он выглядит точно также и даже адрес в строке обозревателя интернет будет совпадать). Здесь же жертве в обычном режиме предлагается ввести свои регистрационные данные для авторизации, но после ввода этих данных ничего не происходит (для пользователя), однако злоумышленник получает точные данные пользователя и может использовать их в корыстных целях. Для пользователя такая кража данных может быть незаметна, т.к. он может просто подумать, что произошла какая-то ошибка и попробует ввести нужный ему адрес вручную, после чего попадёт на настоящую страницу, где спокойно пройдёт авторизацию и узнает, что с его данными всё в порядке.
4. Использование аварийных средств восстановления системы при возникновении сбоев и ошибок, позволяющих быстро обойти все имеющиеся средства защиты с целью получения доступа к наиболее ценным данным. Таким злоумышленником может быть системный администратор, данные пользователей которого закрыты для него в процессе стабильной работы системы.
К третьей группе способов совершения преступлений в сфере компьютерной информации (манипуляция данными и управляющими командами) относятся:
1. Подмена злоумышленником данных в автоматизированных компью терных системах бухгалтерского учета, проведения банковских операций или распределения материальных ресурсов. В данном случае лицом, совершающим данное противоправное деяние, как правило, является сотрудник фирмы, знающий все нюансы работы данной компьютерной системы. Т.е. человек, имеющий доступ с определёнными привилегиями к данной системе, вносит изменения или вводит новые данные для того, чтобы компьютерная система в автоматическом режиме выполняла операции необходимые злоумышленнику для доступа к определённой информации или непосредственному хищению денежных средств, или материальных ценностей.
2. Создание и использование специализированных вредоносных программ. Приведём несколько примеров:
а) «Троянский конь». Данный способ заключается в тайном введении в
чужое программное обеспечение специально созданных программ, которые попадая в компьютер (обычно выдавая себя за известные сервисные программы), начинают выполнять новые не запланированные законным владельцем операции, с одновременным сохранением работоспособности;
б) «Троянская матрёшка». Это программные модули-фрагменты, введённые в программное обеспечение жертвы, которые создают «троянского коня» и самоуничтожаются на программном уровне по окончании исполнения своей задачи;
в) «Троянский червь». Разновидность «троянского коня» с внесением изменений в алгоритм работы программы, осуществляющего автоматическое размножение при наличии компьютерной сети;
г) «Логическая бомба». Тайное внесение в программу потерпевшей стороны набора команд, которые должны сработать (или срабатывать каждый раз) при наступлении определённых обстоятельств через какое-либо время.
Далее включается алгоритм программы «троянского коня».
д) Вирус «призрак». Достаточно трудно обнаруживаемые самоликвидирующиеся вирусы, не содержащие ни одного постоянного участка кода. В большинстве случаев два образца вируса данного типа не будут иметь ни одного совпадения (ни одной повторяющейся цепочки байт), что достигается путём шифрования основного тела вируса и модификации кода программы расшифровщика6.
3. Моделирование. Осуществляется путём моделирования поведения устройства или системы с помощью программного обеспечения7. Например, с целью ухода от налогообложения используется двойная бухгалтерия, основанная на существовании двух, работающих одновременно, программах автоматизированного бухгалтерского учёта с взаимоперетекаю-щимися контрольными данными.
4. Копирование и тиражирование программного обеспечения в целях получения выгоды — наиболее распространённый способ совершения преступлений, т.к. копирование информации, видео и аудио
О)
о о
сч •
о о о о.
с[ со
I-
О
0
1
о я с о т ф ю
О *
О ф
У
2
0
1
о *
о
2
ф
■а
я <
I I-
О ф
со
О) О
о
CJ
о о о
Q.
со
S
н о
0
1
о я с о т ф VO >s о
о ф
У S
2
0
1
о *
о
файлов, как правило, не составляет большого труда: достаточно использовать простейшие программы для копирования и обхода защиты (Alcohol 120 % — программа способна создать точную копию лицензионного диска, скопировав не только информацию, но и средства защиты содержащиеся на диске). После копирования преступник может без особого труда создать достаточно крупный для продажи данной и — нформации тираж с помощью простейшего записывающего оптического компьютерного привода лазерных дисков (CD/DVD/HDDVD/Blu-Ray). Однако правонарушителями в данной области могут быть официальные дистрибьюторы данной продукции (как правило, иностранного производства) на территории России, т.е. дистрибьютор покупает право на выпуск определённого количества копий данного программного продукта, но выпускают данную продукцию значительно большим тиражом. Выявить такое правонарушение достаточно сложно.
Также зачастую копируемая информация распространяется без цели непосредственного извлечения прибыли, т.е. лица, скопировавшие данную информацию, распространяют её в своих локальных или так называемых torrent сетях (сети peer to peer, за содержанием которых очень сложно проследить, т.к. данные которые передаются по этим сетям иногда шифруются и находятся непосредственно на компьютерах единичных пользователей, а не на зарегистрированных крупных серверах, над которыми есть возможность
установить контроль содержимого). Эти сети функционируют с помощью специально созданных сайтов, которые помогают осуществлять поиск необходимого файла у определённого пользователя. Администраторов сайтов крайне сложно привлечь к уголовной ответственности за незаконное копирование компьютерной информации (как показывает отечественная и зарубежная практика — один из крупнейших сайтов такого направления http://thepiratebay.org/ не только смог опровергнуть предъявленные ему обвинения в суде, но и сам подал в суд на некоторые компании владельцы авторских прав на программные продукты, которые пытались помешать его нормальному функционированию), т.к. данные сайты позиционируют себя просто как поисковые системы и не могут отвечать за информацию, которая хранится у единичных пользователей на их компьютерах. Такие сети создаются в связи с тем, что на некоторые программные продукты его собственником устанавливаются завышенные (с точки зрения правонарушителей) цены или данный продукт доступен для продажи не во всех регионах.
Таковы, на наш взгляд, основные способы совершения преступлений в сфере компьютерной информации, которые, с одной стороны, должны учитываться правоприменителем в процессе квалификации соответствующих деяний, с другой — как представляется, могут быть использованы государственными органами в предупредительной деятельности.
Литература и примечания
1. Малинин В.Б., Парфенов А.Ф. Объективная сторона преступления. СПб., 2004. С. 198.
2. Бойко А.И. Преступное бездействие. СПб., 2005. С. 45.
3. Рыжков А.А. Вопросы защиты информации от её негласного снятия по виброакустическому каналу // Информатизация правоохранительных систем (сборник). М.: Академия МВД России. 1996. С. 315.
4. Батурин Ю.М. Проблемы компьютерного права. М.: Юрид. лит.1991. С.141.
5. Там же. С. 143.
6. Касперский Е. Компьютерные вирусы в MS-DOS. М.: «Эдэль» — «Ренессанс», 1992. С.174.
7. Першиков В.И., Савинков В.М. Толковый словарь по информатике. М.: Финн. и стат., 1991. С.203.
2 Ф d
я *
<
*
S I
н
о ф
со
