5.3. О НЕКОТОРЫХ ОСОБЕННОСТЯХ РАСКРЫТИЯ
ПРЕСТУПЛЕНИЙ В СФЕРЕ ВЫСОКИХ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
Решняк Мария Генриховна, кандидат юридических наук, доцент, профессор кафедры уголовно-правовых дисциплин
Место работы: Международный юридический институт
[email protected] Павлова Дарья Алексеевна, студентка Место учебы: Международный юридический институт
Аннотация: В данной статье предпринята попытка выделить и проанализировать некоторые особенности раскрытия преступлений в сфере компьютерной информации
Ключевые слова: киберпреступление, киберпростран-ство, противодействие киберпреступности
SOME FEATURES OF THE DISCLOSURE OF CRIMES IN SPHERE OF HIGH INFORMATION TECHNOLOGIES
Reshnyak Maria G., Candidate of Legal Sciences, Associate professor, Criminal Law Subdepartment professor
Work place: International Law Institute
Pavlova Daria A., student
Study place: International Law Institute
Annotation: This article will attempt to identify and analyze some peculiarities of investigation of crimes in sphere of computer information
Keywords: cybercrime, cyberspace, combating cybercrime
Процессы глобализации выводят экономические отношения на принципиально новый информационный уровень взаимодействия. С расширением влияния транснациональных корпораций развивается и транснациональная преступность, объектом и предметом которой становятся средства компьютерных технологий. От своевременности и правильности выявления их особенностей напрямую зависит эффективность проведения следственных и оперативно-розыскных мероприятий, направленных на раскрытие данного вида преступлений, а в целом, исходя из масштабов совершаемых преступлений, национальная безопасность Российской Федерации.
Согласно статистическим данным МВД России количество зарегистрированных преступлений в сфере компьютерной информации неуклонно уменьшается [8]. Однако, следует отметить, что непрекращающееся развитие компьютерных технологий, позволяющих совершенствовать способы совершения киберпре-ступлений, дает основание сомневаться в объективности этих данных.
Некоторые авторы причину такого резкого сокращения зарегистрированных преступлений объясняют их высокой латентностью [2. С.3]. Как показывает анализ открытых источников, сотрудники российских и иностранных правоохранительных органов, занимающиеся раскрытием и расследованием подобного рода преступлений, отмечают, что более 85% компьютерных атак остаются незамеченными [1. С.18]. Об этом же свидетельствуют данные различных антивирусных лабораторий.
Следует констатировать, что проблеме противодействия преступлениям в сфере компьютерных технологий и информации уделяется внимание, однако, по нашему мнению, оно явно не соотносимо со степенью опасности, которую представляют указанные преступления. Можно отметить, что в 90-е годы XX века в научных трудах Вехова В.Б., Рогозина В.Ю., Смирновой Т.Г. было положено начало исследованию различных аспектов борьбы с данного рода преступлениями. Следует сказать, что за последнее десятилетие уголовно-правовым, уголовно-процессуальным и криминалистическим аспектам этой деятельности было посвящено немало научных работ, в том числе: Добровольского Д. В., Зининой У. В., Ивановой И. Г., Копы-рюлина А. Н., Костомарова К. В., Косынкина А. А., Ло-патиной Т. М., Менжеги М. М., Нарижного А. В., Полякова В. В., Старичкова М. В., Челнокова В. В., Шахрая С. С. В проведенных исследованиях рассматривается ряд проблемных вопросов, предлагаются различные меры, но нельзя не отметить, что изучение проблем раскрытия и расследования преступлений в сфере компьютерных технологий по-прежнему выступает одной из актуальных задач современной криминалистической науки. Несмотря на то, что в последние годы в криминалистической литературе уделяется повышенное внимание методике раскрытия и расследования компьютерных преступлений, по нашему мнению, в этой области еще остается немало нерешенных и дискуссионных вопросов.
Чем же отличается киберпреступность от традиционной преступности? Рассмотрим по аналогии на примере банды «Черная Кошка» (рис.1).
Рис.1
Как правило, традиционные преступные группы характеризуются рядом признаков, среди которых присутствуют такие, как специализация и распределение ролей. Если рассматривать киберпреступность, то можно увидеть, что структура киберпреступной группы
в определенной степени идентична структуре традиционной преступной группы. Однако, имеются некоторые отличия, связанные со спецификой деятельности, в частности, с хищением денежных средств из финансово-кредитных учреждений (рис.2).
Рис.2
Так же, как и традиционная преступная группа, ки-берпреступная группа, занимающаяся хищением денежных средств в кредитно-финансовых учреждениях, в своем составе имеет:
- организатора, являющегося окончательным бенефициаром, который распределяет добытые преступным путем средства между членами группы;
- разработчиков вредоносного программного обеспечения;
- держателей абьюзоустойчивых хостингов, где, по сути, размещается командный центр с управляющими серверами;
- распространителей;
- группу обеспечения: руководитель дроп-сервиса, дроповод, дропы;
- заливщиков, являющихся специалистами в области денежных потоков, которые управляют денежными траншами со счетов жертвы так, чтобы они макси-
мально быстро поступили на счета киберпреступников, и максимально быстро были сняты. Как показывает практика, в ряде случаев ими выступают бывшие банковские сотрудники, либо просто опытные заливщики, и они выделены в отдельную специализацию.
Некоторым отличием является наличие криптосер-виса, который позволяет модифицировать исходный код с целью затруднения обнаружения вредоносного программного обеспечения (ВПО).
Приведенное сравнение показывает, что в целом, структура киберпреступной группы ненамного отличается от структуры традиционной преступной группы.
Каким образом можно обнаружить и идентифицировать участников преступной группы, совершающей киберпреступления? Рассмотрим идентификационные элементы, используемые при раскрытии преступлений традиционных и преступлений в киберпространстве.
Рис.3
Как видно из сравнительной таблицы (рис.3), преступники в киберпространстве имеют аналогичные традиционным атрибуты (идентифицирующие признаки):
- фото из социальных сетей;
- IP-адрес, e-mail, аккаунты в сервисах обмена сообщениями, мессенджерах, на тематических форумах, артефакты, оставленные после атак;
- Username, имя пользователя.
Таким образом, для проведения розыскных мероприятий и раскрытия киберпреступлений можно использовать те же сведения, которые характеризуют и традиционных преступников, но с учетом специфики киберсреды.
Практика показывает, что многие заблуждаются, считая инструментом совершения преступлений в киберпространстве персональный компьютер (ПК). Это представление не вполне верно. Инструментом совершения киберпреступлений является компьютерная информация, т.е. программная, а не аппаратная часть компьютерной техники. Традиционно основным способом совершения преступления в кредитно-банковской сфере является тайное хищение, но нередко возможен и шантаж, когда, к примеру, злоумышленники взламывают корпоративный ресурс, после чего его владельцу демонстрируются доказательства авторства взлома и предлагается сделка, в результате которой владелец ресурса платит определенную денежную сумму, а атакующий указывает (реже ремонтирует) найденные уязвимости системы.
Следует отметить, что существует принципиальная разница между представлением о киберпреступности и реальной киберпреступностью.
Во-первых, бытует мнение, что киберпреступник -это хакер. Практика показывает, что данное мнение ошибочно, так как хакеры решают узкоспециальные задачи технического характера, и находятся в нижних рядах иерархии киберпреступности, то есть, они являются обеспечивающим звеном (сервисом).
Во-вторых, что те, кто ворует и есть хакер и взломщик. Это также неверно. Взломщики - не хакеры, они не погружены в технические особенности и не ищут уязвимости систем. Чаще всего это люди, которые посещают тематические форумы, читают научно-популярную и специальную литературу, ищут и находят информацию о том, каким способом можно осуществить взлом системы. Освоив теоретическую часть,
переходят к практической и начинают совершать хищения. Необходимо отметить, что отличительной чертой взломщиков являются не столько глубокие технические познания, сколько склонность к криминальной деятельности, в первую очередь, к легкой наживе.
Согласно статистике, чаще всего организаторами подобных киберпреступных групп являются офисные или банковские работники с соответствующим уровнем образования и организаторскими способностями.
Следует отметить, что у киберпреступности имеется одна отличительная черта - место совершения преступления. Преступления киберпреступников происходят в киберпространстве, то есть, в виртуальном пространстве, которое не имеет географических (государственных) границ, куда все могут попасть посредством сети интернет.
Современные преступники достаточно быстро научились пользоваться киберпространством. Впервые определение киберпространства было дано военными экспертами США в наставлении Объединенного штаба Комитета начальников штабов (ОШ КНШ) иР 3-13 2006 года «Информационные операции». В нем киберпространство было определено как «сфера, в которой применяются различные радиоэлектронные средства (связи, радиолокации, разведки, навигации, автоматизации, управления и наведения), использующие широкий диапазон электромагнитного спектра частот для приема, передачи, обработки, хранения, преобразования и обмена информации, и связанная с ними информационная инфраструктура ВС США»[3. С.24-30].
Впоследствии эта формулировка была уточнена в «Национальной военной стратегии ведения операций в киберпространстве», в которой под киберпространством понимается «сфера, в которой радиоэлектронные средства и электромагнитный спектр используются для хранения и преобразования данных, а также их обмена посредством компьютерных сетей и соответствующих инфраструктур» [3. С.24-30].
Как мы видим, киберпространство не является собственно сетью интернет, и это дает основания сделать следующий вывод: преступники не воспринимают эту среду как привязанную к реально существующим границам тех или иных государств. Из этого следует, что они могут осуществлять свои действия в киберпро-странстве независимо от того, где находится сервер (аппаратный узел, являющийся физическим носите-
лем ВПО) и сам преступник. Например, сервер физически находится в России. Но фактически все данные и совершающиеся с него операции происходят в ки-берпространстве. Как определить - где совершено преступление, под юрисдикцию какого государства подпадают лица, его совершившие? Частично этому вопросу уже уделялось внимание [5.С.20-22; 6.], однако, нельзя не отметить, что в полном объеме он до настоящего времени законодательно не урегулирован.
Следует отметить, киберпреступность использует основные уязвимости нынешнего подхода к рассмотрению компьютерной криминалистикой (форензикой) компьютерной преступности.
Во-первых, трансграничность. Входящий сервер ки-берпреступника может находиться, к примеру, в США, а выходящий - в Нидерландах. Соединение между ними может быть организовано по протоколу ЯОР либо технологии ОрепУРЫ. При этом киберпреступник физически может находиться в любой стране, к примеру, на Украине, и в любой момент может переехать в Россию, или в Казахстан, и т.д.
Для киберпреступности, в отличие от правоохранительных органов, которые могут действовать только в границах своей юрисдикции, не существует границ. В соответствии с действующим порядком взаимодействия между правоохранительными органами разных государств, они не имеют возможности договориться в режиме реального времени (то есть, без соблюдения соответствующих процессуальных процедур) о безотлагательном проведении оперативно-розыскных мероприятиях. Такой временной разрыв, связанный с соблюдением процедур рассмотрения обращения в установленном законом порядке, снижает эффективность международного сотрудничества в деле раскрытия киберпреступлений.
В-вторых, виртуальность доказательств. Киберпре-ступники используют тот фактор, что срок актуальности информации короток. Срок хранения логов (протоколов, журналов событий) устанавливается по усмотрению компаний, предоставляющей услуги сети интернет (провайдера). В некоторых странах эти сроки регламентированы нормативно, в некоторых - нет. Подобное положение зачастую создает трудности в получении необходимой информации. Таким образом, фактически возникает ситуация, когда несовершенство национального законодательства в сфере киберпространства не позволяет эффективно бороться с киберпреступниками. К этому можно добавить, что при изъятии компьютерной информации невозможно обеспечить ее сохранность в том виде, в каком она обнаружена. Можно провести лишь копирование этой информации, в результате чего в файле произойдут изменения, связанные с датой и временем самого копирования, что повлечет утрату информации о фактической дате и времени создания копируемого файла. Неурегулированность данного обстоятельства в нормах УПК РФ и иных нормативно-правовых актах препятствует признанию судами копируемой информации в качестве доказательства по уголовному делу. В этой связи в следственной практике зачастую проводится не копирование информации, а изъятие самих средств компьютерной техники для экспертных исследований, заключение которых и признается доказательством. [4. С. 66].
Следует отметить, что в РФ крайне мало специалистов в области борьбы с киберпреступностью. Кроме того, определенные затруднения для раскрытия подобных преступлений создают сами компании, в отно-
шении которых были совершены противоправные деяния. Как показывает практика, фактически ни одна потерпевшая компания не предоставляет в полном объеме сведений о совершенных кибер-атаках, скрывая информацию об объемах и содержании похищенного. Вследствие этого сотрудникам правоохранительных органов зачастую не хватает данных, необходимых для успешного раскрытия преступления [7].
Можно утверждать, что при раскрытии и расследовании уголовных дел о киберпреступлениях, их результативность будет зависеть от эффективности взаимодействия следователя с сотрудниками соответствующих оперативных подразделений и аналитиками компаний, специализирующихся на предотвращении и расследовании киберпреступлений и мошенничеств с использованием высоких технологий. При этом следователи выступают связующим звеном, координирующим работу оперативников и аналитиков указанных компаний.
Содержание раскрытия киберпреступлений включает в себя деятельность по трем основным направлениям:
Во-первых, персональный поиск, включающий в себя отработку никнейма, электронной почты, мессенжеров, учетных данных форумов, социальных сетей, блогов и т.п.
Во-вторых, технический анализ, включающий в себя поиск по домену, по IP-адресу, по ASN, а также анализ сервера.
В-третьих, финансовый анализ, включающий в себя анализ регистрационных данных, журнала доступа, транзакций, кросс-анализ данных.
При организации раскрытия и расследования кибер-преступлений, необходимо помнить об основных принципах работы, которые можно сформулировать таким образом:
1. «Интернет помнит всё». В силу специфики, компьютерная информация безостановочно регистрируется поисковыми сервисами и временными хранилищами, при отслеживании которых становится возможным поиск информации и сбор артефактов.
2. Избыточный анализ всегда результативен.
Алгоритм первоначальных действий по раскрытию киберпреступлений можно представить таким образом.
1.Выездные мероприятия, которые предполагают сбор фактов, фиксацию следов пребывания злоумышленников, снятие компьютерной информации, их сохранение и оформление в соответствии с действующим законодательством. Для этого используется специальная техника, сертифицированная для сбора такого рода доказательств в международной практике (например комплекс PC-3000 Express).
2. Исследование malware (т.е. вредоносной программы). Как показывает анализ практики, почти все инциденты информационной безопасности связаны с использованием вредоносных программных кодов. Следует отметить, что в настоящее время частными расследованиями подобных инцидентов занимаются специальные компании, в частности, компания Group-IB. Расследование облегчает тот факт, что malware всегда имеет следы, с выходом на серверы распространения и источники заражения, а так же следы, оставленные в системе потерпевшего.
3. На этапе сбора информации происходит анализ и систематизация собранного из открытых источников информационного материала. Первичный анализ осуществляется во время подробной беседы с потерпевшим, в процессе которой его ответы на вопросы могут конкретизировать направление поиска. К примеру,
может быть задан вопрос: «Во время пропажи денег, пока Вы этого не знали, не возникало ли у вас ощущения чего-то необычного?». Как правило, потерпевшие отмечают, что их компьютеры в момент предполагаемого хищения начинают работать медленнее, происходят незначительные сбои, и так далее. Подобные обстоятельства могут дать полезные для технических специалистов сведения, прямые указания на поиск улик в параллельном сеансе, и обнаружить факт удаленного управления системой.
В результате выездных мероприятий может быть добыта информация, дающая основание для возбуждения уголовного дела.
Следует констатировать, что в настоящее время для раскрытия растущего количества киберпреступлений специалистов, действительно понимающих специфику этой деятельности и имеющих необходимый опыт в данной сфере, явно недостаточно. Учитывая сложившуюся ситуацию, специалисты компаний по предотвращению и расследованию киберпреступлений и мошенничеств с использованием высоких технологий, в частности, компания Group-IB, оказывают содействие правоохранительным органам, в том числе принимают участие при проведении оперативно-розыскных мероприятий, осуществляют сбор доказательств в форме компьютерной информации, выступают в суде, проводят криминалистические исследования и компьютерно-технические экспертизы.
Подводя итог сказанному, можно сделать неутешительный вывод о том, что в настоящий момент эффективно противодействовать киберпреступлениям могут только частные специалисты транснациональных компаний наподобие Group-IB, имеющие технические возможности и умеющие использовать те же преимущества киберпространства, что и киберпреступники, понимающие структуру киберпреступности, способы использования ею «слепых зон» законодательства, топологии мировой сети интернет, а также реальные возможности правоохранительных органов, связанных границами юрисдикции.
Для повышения эффективности борьбы с киберпре-ступностью, по нашему мнению, необходимо активнее развивать отечественную форензику, как прикладную отрасль криминалистики, создавать отечественные методики раскрытия и расследования преступлений в сфере высоких информационных технологий, не ограничиваясь преступлениями, предусмотренными главой 28 УК РФ; а также осуществлять в правоохранительных органах целенаправленную подготовку специалистов в области противодействия киберпреступности.
Список литературы:
1. Айков Д., Сейгер К., Фонсторх У. Компьютерные преступления. Руководство по борьбе с компьютерными преступлениями / пер. с англ. - М.: Мир, 1999.
2. Косынкин А.Л. Преодоление противодействия расследованию преступлений в сфере компьютерной информации: автореф. дис. ... канд. юрид. наук. Саратов: ФГБОУ ВПО «Саратовская государственная юридическая академия», 2012.
3. Маринин С. Подходы военных экспертов США к разработке понятийного аппарата в сфере борьбы в киберпро-странстве. // Зарубежное военное обозрение. 2011. № 10.
4. Пешко Л.И. Особенности получения доказательственной информации при исследовании компьютерных баз данных. // Судебная экспертиза. 2007. № 1.
5. Решняк М.Г. Некоторые проблемы действия уголовного закона в пространстве // Российский следователь. 2013. № 1.
6. Решняк М.Г. Современные проблемы действия уголовного закона в пространстве: монография. - М.: Юрлитинформ, 2013.
7. Федотов Н.Н. Форензика - компьютерная криминалистика. - М.: Юридический мир, 2007.
8. Статистика преступлений // Министерство внутренних дел Российской Федерации. Официальный сайт: URL: https://mvd.ru/folder/101762/? Noredirect =1 (дата обращения 25.09.15).
РЕЦЕНЗИЯ
на статью М. Г. Решняк и Д. А. Павловой «О некоторых особенностях раскрытия преступлений в сфере высоких информационных технологий» Актуальность статьи не вызывает сомнений. В данной статье рассматриваются существенные проблемы, возникающие при расследовании преступлений в сфере высоких технологий. Рассмотрение проблематики проводится на примере преступной группы, осуществляющей хищение денежных средств посредством сети Интернет. Отдельно описываются основные этапы расследования и связанные с этим трудности, затрагиваются проблемные вопросы, касающиеся определения места совершения преступления с использованием сети Интернет, предлагается алгоритм действий сотрудников правоохранительных органов на первоначальном этапе раскрытия данного рода преступлений.
В статье проводится анализ сетевых сведений, которые могут быть получены в рамках проведения расследования и позволяют выйти на конкретных исполнителей. Сведения, как правило, извлекаются из цифровых доказательств, собранных в рамках первичного реагирования с компьютера жертвы и его сетевого оборудования, а также в результате проведения оперативно-розыскных мероприятий.
Авторы подробно рассматривают основные проблемы, с которыми сталкиваются правоохранительные органы при раскрытии и расследовании преступлений в сфере высоких технологий. Одной из актуальных проблем является дефицит квалифицированных кадров, который нередко приводит к тому, что сотрудники правоохранительных органов, занимающиеся раскрытием и расследованием подобного рода преступлений, осуществляют анализ получаемой информации с ошибками или не в полном объеме, допускают ошибки при изъятии цифровой информации, а это ухудшает результативность проводимого расследования.
Преступления в сфере компьютерной информации на сегодняшний день являются высокотехнологичными, использующими последние программные и программно-аппаратные средства. Для проведения расследований в данной сфере требуется постоянное обучение, повышение квалификации и практика. В этой связи авторы рекомендуют привлекать к расследованию таких преступлений специалистов специализированных компаний, которые, как правило, имеют соответствующее образование и регулярно принимают участие в проведении судебных компьютерных экспертиз по делам с актуальными схемами мошенничества.
Подводя итог, авторы высказывают предложения о необходимости разработки отечественных методик, подготовки соответствующих специалистов правоохранительных органов и развития области компьютерной криминалистики в России.
Вывод: в статье освещена актуальная на данный момент информация, имеющая практическое значение. Статья рекомендуется к публикации в журнале «Бизнес в законе».
Ведущий специалист по компьютерной криминалистике компании Group-IB
Матвеева В. С.