книги / Теория и практика борьбы с компьютерной преступностью
..pdfПоказа
тель
Особен
ности
соедине
ния
Особен
ности
защи
щенности
инфор
мации
Локальные сети |
|
|
|
10 Base 5 |
10 Base 2 |
10 BaseТ |
10 Base F |
(«Толстая |
(«Тонкая |
(«Неэкраниро- |
(«Оптоволок |
Ethernet») |
Ethernet») |
ванная витая па |
но») |
К несущему кабе |
|
ра») |
|
Компьютеры |
Компьютеры со |
Для каждого |
|
лю подключается |
связаны с шиной |
единены много |
соединения |
переходник, кото |
Т-образными |
жильными кабе |
требуется оп |
рый связан с мно |
соединениями |
лями через кон |
тический пере |
гожильным кабе |
со штыковыми |
центратор |
ходник |
лем, последний в |
наконечниками |
|
|
свою очередь со |
(Т-коннекто- |
|
|
единяется с ком |
рами) |
|
|
пьютером |
Компьютер на |
|
|
В офисных поме |
|
Данный стан |
|
щениях несущий |
ходится в непо |
|
дарт является |
кабель может мас |
средственной |
|
наиболее по- |
кироваться, что |
близости к не |
|
мехо- и взло |
уменьшает риск |
сущей шине, что |
|
моустойчивым, |
перехвата |
приводит к воз |
|
однако явля |
информации |
никновению уг |
|
ется самым |
|
розы безопасно |
|
дорогостоя |
|
сти информации |
|
щим |
Каждая из ЭВМ, объединенных в сеть, способна принимать участие в обработке информации. ЛВС могут иметь архитектуру как с невыделенным сервером (сети равноправных узлов), так и с выделенным. В сетях масштаба предприятия, организации сети с невыделенным сервером распространения не получили вследствие сложности администрирования.
Типы серверов могут быть систематизированы в виде таблицы (табл. 2.2.2).
|
Таблица 2.2.2 |
Тип сервера |
Распределяемые ресурсы |
Файл-сервер |
Внешняя память и хранимая в ней информация |
Сервер приложе |
Программное обеспечение и обрабатываемая с его помощью ин |
ний |
формация, например база данных |
Коммуникацион |
Программное обеспечение для связи с глобальными сетями и уда |
ный сервер |
ленными пользователями |
Сервер печати |
Устройства вывода на печать - принтеры, графопостроители и т. д. |
В отличие от ЛВС многопользовательская система представляет собой мощную ЭВМ (несколько ЭВМ), именуемую хост-ЭВМ, и несколько пас
сивных терминалов, способных вводить и отображать информацию. Вся об работка информации в многопользовательской системе осуществляется на хост-ЭВМ.
Как непосредственный предмет преступного посягательства, обладающий указанными выше техническими и технологическими характеристиками, ком пьютерные системы и сети имеют с точки зрения методики расследования две существенные криминалистически значимые особенности:
■они в определенной степени могут быть защищены от преступных воздействий (см. разд. 1);
■целостность информации в них может быть нарушена без непосредст венного участия человека (рис. 2.2.3).
Рис. 2.2.3
Поскольку реализовать все рассмотренные возможности по защите ком пьютерных систем в реальной ситуации затруднительно, а зачастую невоз можно, компьютерные системы и сети остаются уязвимыми как к воздейст виям преступников, так и к негативным воздействиям внешней среды.
Важнейшим компонентом локальной сети является сетевая операцион ная система. Ее основными задачами с точки зрения безопасности инфор мации являются:
■ определение полномочий пользователей; " распознавание пользователей и подтверждение их полномочий;
“ контроль за доступом к разделяемым ресурсам сети;
■связь с другими локальными сетями;
■связь между узлами сети.
Среди сетевых операционных систем для сетей с выделенным сервером наибольшее распространение получили DEC VAX/Open VMS, Novell
NetWare (версии 3.11, 3.12, 4.1), различные версии UNIX, и Windows. По данным International Dana Согр., в 1999 г. было продано 5,4 млн. серверных операционных систем. Из них Windows NT1 - 38 %, Linux - 25 %, Net Ware - 19 %, Unix - 15 %, других - 3 % [113, c. 46].
Данные о лидерстве Windows NT не противоречат результатам опроса экспертов в области безопасности информации, проведенного нами во вре мя работы III Международной конференции «Комплексная защита инфор мации» в 1999 г. (мнение 28 из 42 опрошенных).
Системы управления базами данных (СУБД) как один из видов приклад ного программного обеспечения также предлагают определенный уровень защиты, позволяя разграничить доступ к данным для разных категорий пользователей:
■информацию, доступную разным классам пользователей, можно хранить в разных таблицах;
■содержащуюся в таблице информацию пользователь может получить че рез некоторое промежуточное представление или вид, охватывающий лишь определенную часть таблицы;
■можно ограничить права на выполнение определенных модулей, время использования центрального процессора, число физических считываний с диска за определенный промежуток времени.
Эти, а также множество дополнительных функций по защите информа ции реализованы в СУБД Oracle7, Microsoft SQL Server 7.0.
Таким образом, совершая преступное посягательство на компьютерные системы и сети, преступник вынужден с целью воздействия на обрабаты ваемую в них информацию преодолевать противодействие как ряда уст ройств ЭВМ, так и ее программного обеспечения, оставляя следы на узлах и устройствах ЭВМ, периферийных и сетевых устройствах (рис. 2.2.4).
С учетом вышеизложенного, возможно установление криминалистиче ски значимых связей между способом (см. гл. 3 разд. 2) совершения компь ютерного преступления и оказываемым им воздействием на непосредствен ный предмет преступного посягательства: узлы и устройства компьютерных систем, периферийные устройства, их сети. Для несанкционированного дос тупа данные связи показаны на рис. 2.2.5, для злонамеренной вирусной мо дификации - на рис. 2.2.6, для перехвата - на рис. 2.2.7.
' Операционная система Windows-2000 по своей архитектуре близка к Windows NT Workstation 4.0, например по сравнению с имевшимися в Windows N T4.0 возмож ностями аудита добавлен лишь аудит двух категорий событий: связанных с досту пом к службе каталогов Active Directory; относящихся к аутентификации Kerbsros.
Рис. 2.2.4
Рис. 2.2.5
Рис. 2.2.6
Рис. 2.2.7
Следует отметить, что вероятность несанкционированного доступа к системе возрастает при ее перегрузках, которые возникают, например, при массовом подключении к ней пользователей (в начале рабочего дня). Хаке ры1способны создать сходную ситуацию, направляя в систему поток сооб щений, которые она не в состоянии корректно обработать. В результате соз дается открытый канал передачи данных2, через который возможен несанк ционированный доступ.
ГЛАВА 3. СПОСОБЫ СОВЕРШЕНИЯ КОМПЬЮТЕРНЫХ ПРЕСТУПЛЕНИЙ
§ 3.1. Понятие способа совершения компьютерного преступления
Способы совершения преступлений исследуются уголовным, уголовно процессуальным правом, криминалистикой, криминологией и другими нау ками, каждая из которых изучает их в своем аспекте. Так, например, спосо бы совершения имеют уголовно-правовое значение, потому что относятся к объективной стороне преступления, а также процессуальное значение, так как характеризуют предмет доказывания. Особое значение для практики имеет криминалистический аспект изучения способа совершения преступ ления в связи с тем, что он служит источником сведений, необходимых для разработки средств, приемов и методов раскрытия, расследования и преду преждения преступлений.
Способ совершения преступления в криминалистике представляет собой систему взаимообусловленных, подвижно детерминированных действий, направленных на подготовку, совершение и сокрытие преступления, свя
1 Хакер - «компьютерный хулиган», или компьютерный профессионал довольно высокого уровня, который пытается вносить изменения в системное программное обеспечение, не имея на это права. Он проникает в память чужих компьютеров с помощью своего, подключенного по телефонным каналам к сетям передачи данных 2 Канал передачи данных - средства двухстороннего обмена данными, пред ставляющие собой совокупность аппаратуры окончания канала данных и линии пе
редачи данных.
занных с использованием соответствующих орудий и средств, а также вре мени, места и других способствующих обстоятельств объективной обста новки совершения преступления [33, с. 15-16].
Способ совершения компьютерного преступления играет определяю щую роль в формировании информации о содеянном и лице, его совершив шем. Так, Н. П. Яблоков указывал, что в криминалистическом смысле важ но, чтобы преступник оставил как можно больше следов, позволяющих су дить о деталях его поведения и тех объективных и субъективных факторах, которые его обусловили [17, с. 119].
Ряд ученых, считая, что способ совершения преступления всегда конкре тен, указывают на его важное следственно-оперативное значение и отмеча ют следующие его характеристики:
■распространенность (повторяемость);
■детерминированность;
■конкретные приемы применения при подготовке и совершении преступления;
■иные [63, с. 331 и 33, с. 12].
Вкриминалистической литературе описывается множество способов со вершения компьютерных преступлений.
Так, Б. X. Толеубекова указывает следующие [75, с. 18]:
■компьютерные манипуляции;
■компьютерный шпионаж и кража программ;
■компьютерный саботаж;
■компьютерные злоупотребления;
■нанесение ущерба авторским правам.
То есть речь идет в большей степени о сферах преступного применения компьютерной информации.
В.Б. Вехов и Ю. М. Батурин предлагают следующую классификацию:
»изъятие СКТ;
■перехват информации;
■несанкционированный доступ к СКТ;
■манипулирование данными и управляющими командами;
»комплексные методы [9, с. 271].
В.В. Крылов приводит описание возможных способов нарушения кон фиденциальности и целостности компьютерной информации без их класси фикации [46, с. 56-57]:
“ хищение машинных носителей информации в виде блоков и элементов ЭВМ (например, флоппи-дисков);
* копирование машинных носителей информации;
■копирование документов с исходными данными;
■копирование с устройств отображения информации (устройств вывода) выходных документов;
■использование визуальных оптических и акустических средств наблю дения за ЭВМ;
■считывание и расшифровка различных электромагнитных излучений и «паразитных наводок» в ЭВМ и обеспечивающих системах;
*запоминание информации;
■фотографирование информации в процессе ее обработки;
■изготовление дубликатов входных и выходных документов;
■копирование распечаток;
■использование программных «ловушек»;
■маскировка под зарегистрированного пользователя;
»использование недостатков программного обеспечения и операционных систем;
■использование поражения программного обеспечения вирусами;
■подмена и хищение машинных носителей информации и документов;
■подмена элементов программ и баз данных;
»включение в программы блоков типа «троянский конь», «логическая бомба» и т. п.;
■чтение информации из ОЗУ;
■несанкционированное подключение к основной и вспомогательной аппа ратуре ЭВМ, внешним запоминающим устройствам, периферийным уст ройствам, линиям связи и др.
Такое описание, по нашему мнению, выглядит громоздким, сложным и способно дезориентировать практических работников.
Различные классификации способов совершения компьютерных престу плений предлагались зарубежными специалистами. Так, рабочей группой Интерпола в 1991 г. разработан и встроен в автоматизированную поисковую информационную систему запросов следующий кодификатор компьютер ных преступлений (табл. 2.3.1)
Таблица 2.3.1
Код группы |
Расшифровка |
QA |
Несанкционированный доступ и перехват |
QD |
Изменение компьютерных данных |
QF |
Компьютерное мошенничество |
QR |
Незаконное копирование |
QS |
Компьютерный саботаж |
QZ |
Прочие компьютерные преступления |
QA
QAH - «компьютерный абордаж» (хакинг); несанкционированный дос туп в компьютер или компьютерную сеть.
QAI - перехват: несанкционированный перехват информации при по мощи технических средств, несанкционированные обращения в компьютер ную систему или сеть как из нее, так и внутри компьютерной системы или сети.
QAT - кража времени: незаконное использование компьютерной систе мы или сети с намерением неуплаты.
QAZ - прочие виды несанкционированного доступа и перехвата.
QD
QDL - «логическая бомба»: неправомерное изменение компьютерных данных путем внедрения «логической бомбы».
QDT - «троянский конь»: неправомерное изменение компьютерных дан ных путем внедрения «троянского коня».
QDV - вирус: изменение компьютерных данных путем внедрения или распространения компьютерного вируса.
QDW - «червь»: несанкционированное изменение компьютерных дан ных или программ путем передачи, внедрения или распространения компь ютерного «червя» в компьютерную сеть.
QDZ - прочие виды изменения данных.
QF
QFC - компьютерные мошенничества с банкоматами: мошенничества, связанные с хищением наличных денег из банкоматов.
QFF - компьютерные подделки: мошенничества и хищения из компью терных систем путем создания поддельных устройств (карточек и т. д.).
QFG - мошенничества с игровыми автоматами: мошенничества и хище ния, связанные с игровыми автоматами.
QFM - манипуляции с программами ввода-вывода: мошенничества и хищения посредством неверного ввода или вывода в компьютерные систе мы или из них путем манипуляции программами.
QFP - компьютерные мошенничества с платежными средствами: мо шенничества и хищения, связанные с платежными средствами.
QFT - телефонное мошенничество: доступ к телекоммуникационным услугам путем посягательства на протоколы и процедуры компьютеров, об служивающих телефонные системы.
QFZ - прочие компьютерные мошенничества.
QR
QRG/QRS - незаконное копирование, распространение или опубликова ние компьютерных игр и другого программного обеспечения.
QRT -- незаконное копирование топографии полупроводниковых изде лий: незаконное копирование защищенной законом топографии полупро водниковых изделий или незаконная коммерческая эксплуатация или им порт с этой целью топографии или самого полупроводникового изделия, произведенного с использованием данной топографии.
QAZ - прочее незаконное копирование.
QS
QSH - саботаж с использованием аппаратного обеспечения: ввод, изме нение, стирание или подавление компьютерных данных или программ или вмешательство в работу компьютерных систем с намерением помешать функционированию компьютерной или телекоммуникационной системы.
QSS - компьютерный саботаж программы: несанкционированное стира ние, повреждение, ухудшение или подавление компьютерных данных или программ.
QSZ ~ прочие виды саботажа.
QZ
QZB - электронные доски объявлений (BBS): использование BBS для хранения, обмена и распространения материалов, имеющих отношение к преступной деятельности.
QZE - хищение информации, представляющей коммерческую тайну (компьютерный шпионаж): приобретение незаконными средствами или пе редача информации, представляющей коммерческую тайну с намерением причинить экономический ущерб или получить незаконные экономические преимущества.
QZS - материал конфиденциального характера: использование компью терных сетей или систем для хранения, обмена, распространения или пере мещения информации конфиденциального характера.
QZZ - прочие компьютерные преступления.
§ 3.2. Классификация способов совершения компьютерных преступлений
Мы считаем возможным классифицировать способы совершения ком пьютерных преступлений по объектам-носителям следовой информации в компьютерных системах, периферийных устройствах и их сетях при воз действии на указанные системы преступника (рис. 2.3.1).
Систематизация способов совершения компьютерных преступлений по указанному признаку позволит сохранить устойчивость данной классифи кации при появлении новых и модификации существующих способов со вершения преступления, так как любая видоизмененная система преступ ных действий будет укладываться в нее. Мы полагаем, что указанная клас сификация является наиболее общей и включает в себя упоминавшиеся выше результаты исследований ученых-криминалистов.
Рис. 2.3.1
В.В. Крылов считает, что доступом к ЭВМ является санкционированное
иупорядоченное собственником информационной системы1 взаимодейст вие лица с устройствами ЭВМ [46, с. 40]. Согласившись с данным опреде лением, мы высказываем сомнение в целесообразности употребления тер мина «неправомерность доступа» [46, с. 38], предлагая употреблять иной - «несанкционированный доступ», который в криминалистическом смысле значительно шире и вытекает из приведенного выше определения. Возмож ности использования несанкционированного доступа к компьютерной ин формации приведены на рис. 2.3.2.
Рис. 2.3.2
1Под собственником информационной системы понимают «субъект, в полном объеме реализующий полномочия владения пользования, распоряжения указанными объектами» [52, с 254]