книги / Теория и практика борьбы с компьютерной преступностью
..pdfПод несанкционированным подключением мы понимаем самовольное подключение к информационным ресурсам компьютеров и их сетей путем программного или аппаратного, контактного или бесконтактного внедрения в различного рода передающие линии, как физические, так и виртуальные (рис. 2.3.3).
Рис. 2.3.3
Пример [84, с. 165-174]
ВМинске имел место случай, когда некто Ч., используя портативный персональный компьютер с модемом, из специально предоставленной ему сообщниками квартиры подключился к электронным почтовым ящикам го сударственного предприятия «Белорусский межбанковский расчетный центр» во время сеанса связи и передачи плановых платежей. Он внес изме нения в номер и код счета. Переданная ложная информация была обработа на в централизованном порядке.
Вспециальной научной литературе описан случай сговора программиста
спреступной группой, в результате чего программист, работающий над бан ковским программным обеспечением, умышленно ввел подпрограмму (программное закладное средство), которая после установки на компьютер ную систему обеспечила преступникам несанкционированный доступ с це лью извлечения денежных средств [78, с. 125].
Бесконтактное подключение к передающим линиям может быть реали зовано при помощи различных технических средств (см. разд. 1). На данный момент разработаны устройства подключения к волоконно-оптическим ли ниям связи.
Вспециальной литературе описаны также и некоторые иные разновид ности несанкционированных подключений [52, с. 33]:
■считывание данных в массивах других пользователей;
■чтение остаточной информации в памяти системы после выполнения санкционированных запросов;
■маскировка под зарегистрированного пользователя;
■маскировка под запросы системы в форме несанкционированного под ключения с воздействием на парольно-ключевые системы средств элек тронной защиты;
■иные.
Под копированием информации (рис. 2.3.4) понимается воспроизведение точного или относительно точного ее оригинала [67, с. 655].
Рис. 2.3.4
При совершении криминальных действий, связанных с несанкциониро ванным копированием информации, преступники, как правило, копируют:
■документы, содержащие интересующую их информацию;
■технические носители;
■информацию, обрабатываемую в информационных системах.
Пример 1 Главным следственным управлением МВД Республики Казахстан рас
следовано уголовное дело по факту незаконного перечисления 6 млн. 795 тыс. тенге, совершенного с использованием компьютерной техники.
Следствием установлено, что некто О., в период с февраля по апрель 1994 г. работал в Алатауском филиале КРАМДС-Банка ведущим специали стом по вычислительной технике. Перед увольнением он в рабочее время переписал на свою дискету специальную программу с секретным ключом, записанную в компьютер филиала банка и предназначенную для передачи в ВЦ Нацбанка Республики Казахстан информации о банковских операциях. После увольнения с работы О. ни КРАМДС-Банк, ни его Алатауский фили ал не проинформировали об этом Нацбанк республики и не сменили крип тошифр.
В августе 1994 г. О., с целью хищения денежных средств, из квартиры, где был установлен компьютер, используя модем и программу, составлен ную для компьютера филиала, вышел на ВЦ Нацбанка и убедился, что сня тая им копия криптографической дискеты с секретным ключом филиала по сле его увольнения не изменена и имеется возможность передавать инфор мацию в ВЦ Нацбанка. После этого О. ввел в компьютер фиктивную информацию о зачислении на счет МП «Анжелика» 6 млн. 795 тыс. тенге и
перечислении этих средств из Алатауского филиала КРАМДС-Банка в АКБ «Казкоммерцбанк» на счет ТОО «Хасар», подписал файл с проводками электронной подписью и зашифровал информацию с помощью криптогра фической дискеты. Файл переписал на дискету.
12 сентября 1994 г. О. позвонил оператору ВЦ Нацбанка Ч. и, предста вившись сотрудником Алатауского филиала КРАМДС-Банка, сообщил, что якобы в филиале отключены телефонные аппараты, вследствие чего они пе редадут данные о бухгалтерских проводках дня не по электронной почтовой связи, а на дискете, которую привезет работник банка.
Сотрудник ВЦ Нацбанка Ч., зная, что такой порядок передачи информа ции допускается только в исключительных случаях при технических сбоях в каналах электронной почтовой связи, не удостоверившись в этом (!), около 18 час. принял дискету от постороннего лица и расшифровал ее. Электрон ная подпись подтвердилась, формат файла не был нарушен, и данные о про водках дня были приняты ВЦ Нацбанка.
В этот же день деньги в сумме 6 млн. 795 тыс. тенге были зачислены на счет ТОО «Хасар», с которым О. заключил договор о поставке товаров на родного потребления в АКБ «Казкоммерцбанк».
Утром 13 сентября 1994 г. в ТОО «Хасар» товара, предназначенного для МП «Анжелика», не оказалось, и только по этой причине в «Казкоммерц банк» не были представлены платежные поручения и О. не смог получить товар. В указанный день в 11 час. 30 мин, на ЭВМ ВЦ Нацбанка был обна ружен акт незаконного зачисления б млн. 795 тыс. тенге.
О. вменены преступления, предусмотренные ст. 15, 76 и 177 УК Респуб лики Казахстан.
Пример 2
Кевин Д. Митник родился в 1964 г. в Норт Хиллз, США. Его родители развелись, когда ему было три года. Кевин предпочитал равнодушному ре альному миру мир виртуальной реальности, в котором он получал возмож ность наслаждаться властью и свободой.
Первый хакерский подвиг Митник совершил в 16 лет, проникнув в ад министративную систему школы, в которой учился. Он не изменил свои оценки, хотя мог проделать это без особых проблем. Для него было важно другое - сам факт, что он может сделать это. Немаловажным фактором бы ло восхищение его друзей-хакеров, таких же подростков, как и он сам.
Первое столкновение Кевина с законом произошло в 1961 г. (ему было 17 лет), когда он шутки ради взломал компьютерную систему Североамери канской противовоздушной обороны в Колорадо.
Он научился создавать бесплатные номера, звонить с чужого номера, умел разъединять и соединять телефонные линии, подслушивать разговоры.
В 1987 г. Митника снова арестовали. На этот раз по обвинению в краже компьютерных программ из Santa Cruz Operetion его приговорили к трем годам условно.
Не прошло и года, как его арестовали за кражу частного компьютерного кода. В наказание он получил 12 месяцев в тюрьме нестрогого режима. Был даже назначен принудительный шестимесячный курс лечения от «компью терной зависимости», полагая, что хакер, лишенный возможности работы с компьютером будет использовать психологические ломки.
Он подозревался в несанкционированном проникновении в компьютеры Калифорнийского департамента транспортных средств, который обвинил Митника в нанесении ущерба на 1 млн. долл.; власти считали также, что он проник в компьютерные системы армии и ФБР, но больше всего их интере совало, кто ведет прослушивание телефонных переговоров служащих из от дела безопасности в Pacific Bell. Когда полиция ворвалась в квартиру Мит ника в Сиэтле, она нашла несколько сотовых телефонов, учебники с изло женными процедурами дублирования номеров и сканер, с помощью которого Митник следил за операциями полиции по его поимке.
В настоящее время Митник признал себя виновным и согласился со трудничать с ФБР [106].
Мы считаем обоснованным предположение о том, что в условиях разви вающейся конкуренции количество попыток несанкционированной моди фикации информации в недалеком будущем возрастет (рис. 2.3.5).
|
Несанкционированная модификация |
|
I-------------------------------------------------------- |
------------------------------------------------- |
1 |
Несанкционированное |
Нарушение технологии |
Нарушение адресности |
манипулирование |
обработки инфорнации |
и своевременности |
информацией |
|
информационного об мена |
|
Рис. 2.3.5 |
|
Даже незначительная модификация программ в автоматизированных информационных системах может обеспечить преступнику возможность несанкционированного доступа к информации. Что касается термина «мо дификация информации», следует отметить, что исследователи едины в его толковании.
Под модификацией информации некоторые авторы понимают внесение в нее любых изменений, обусловливающих ее отличие от той, которую вклю чил в систему и которой владеет собственник информационного ресурса
[46, с. 49]. Другие - конкретизируют термин «модификация информации», как ее видоизменение, характеризующееся появлением новых, нежелатель ных свойств [67, с. 655].
Как правило, несанкционированное подключение сопровождается не санкционированной модификацией файлов данных. Существуют примеры модификации и прикладного1программного обеспечения [46, с. 43].
Несанкционированное блокирование информации (рис. 2.3.6) заключает ся в невозможности доступа к ней со стороны законного пользователя.
Некоторые исследователи склонны к большей конкретизации данного термина, определяя блокирование как «результат воздействия на ЭВМ и ее элементы, повлекшего временную или постоянную невозможность осуще ствлять какие-либо операции над компьютерной информацией» [46, с. 52].
Рис. 2.3.6
Механизмы воздействия на информационные и технологические процес сы и последствия применения блокирования довольно сложны, однако чаще всего блокирование проявляется в виде остановки (так называемое «зависа ние») ЭВМ.
Несанкционированное уничтожение компьютерной информации пони мается исследователями-криминалистами либо как «полная физическая ли квидация информации или ликвидация таких ее элементов, которые влияют на изменение существенных идентифицирующих информацию признаков» [46, с. 46], либо как «такое изменение ее состояния, при котором она лиша ется своей первоначальной качественной определенности и перестает отве чать своему назначению» [67, с. 655].
По нашему мнению, содержание понятия «несанкционированное унич тожение компьютерной информации» нуждается в расширении. Как извест но, информация в ЭВМ хранится в виде файлов, размещенных на носите лях, Поэтому уничтожение может осуществляться как информационных или программных файлов, так и носителей искомой информации. Таким об разом, несанкционированным уничтожением компьютерной информации мы предлагаем считать полную или частичную физическую ликвидацию как
1 Прикладным называют программное обеспечение, предназначенное для реше ния определенной целевой задачи или класса таких задач. См. [ 15, с. 123].
самой информации, так и ее машинных и иных оригинальных носителей, при котором ее дальнейшая обработка при помощи ЭВМ затруднена либо невозможна (рис. 2.3.7).
Данная разновидность способа совершения компьютерных преступле ний представляет особую опасность для автоматизированных систем, в ко торых накапливаются на технических носителях огромные объемы сведе ний различного характера. Информация на магнитных носителях может быть уничтожена умышленными или неосторожными действиями лиц, имеющих возможность воздействия на эту информацию программным пу тем, с помощью магнитного излучения, с использованием иных специально приспособленных средств [52, с. 34].
Рис. 2.3.7
Пример Правоохранительными органами г. Минска предъявлено обвинение сту-
денту-заочнику банковского факультета Белорусского государственного экономического университета X. в том, что он, работая старшим специали стом отдела операций с безналичной валютой Главного управления валют ных операций АКБ «Приорбанк», использовал свое служебное положение с целью совершения преступления.
По предварительному сговору с группой лиц, установленных следстви ем, X. в период с ноября 1993 г. по май 1994 г. систематически совершал хищения валютных средств из АКБ «Приорбанк», используя на своем рабо чем месте компьютер. Через своих знакомых X. получил счета частных лиц А., Г., М., на которые списал более 40 тыс. долл. Указанная сумма в даль нейшем была обналичена этими людьми и передана сообщникам X. за воз награждение. Далее X. перевел средства со счетов «Приорбанка» на счет ча стного предпринимателя 111., счет которого был открыт в этом банке; 111. о переводе денег не догадывался. Не знал он и того, что от его имени и за поддельной подписью оформлялись платежные поручения в банки Швейца рии, Польши, Литвы. Счета в иностранных банках X. предоставляли сообщ ники. В результате X. перечислил за границу около 190 тыс. долл. Всего с сообщниками с использованием поддельных платежных документов им бы ло похищено со счетов «Приорбанка» около 230 тыс. долл.
Используя служебное положение, X. находил клиентов, имевших в банке счет, но не имевших в карточке образцов печати. С помощью сообщников он подделывал подписи клиентов, сам же подтверждал их достоверность и под паролями коллег внедрялся в компьютерную сеть «Приорбанка» с фик тивным платежным поручением.
С целью сокрытия следов преступления X. три раза (!) уничтожал базу данных АКБ «Приорбанк». Для этой цели он купил себе компьютер и раз работал программу для уничтожения базы данных. В результате X. практи чески уничтожил базу данных «Приорбанка», но преступнику не повезло, в банке сохранялись копии. После инцидентов с базой данных правоохрани тельные органы вышли на X.
По приговору суда Центрального района г. Минска X. осужден к 10 го дам лишения свободы. В настоящее время правоохранительные органы предпринимают попытки возвратить около 39 тыс. долл, из Женевского банка и 102 тыс. долл, со счета частного предпринимателя К. в Вильнюсе. Ведется работа по установлению судьбы денег, перечисленных на счет польской фирмы «Ардзе» из Варшавы,
Под перехватом понимают получение разведывательной информации путем приема электромагнитного и акустического излучения пассивными средствами приема, расположенными, как правило, на безопасном рас стоянии от источника информации [52, с. 211] (рис. 2.3.8).
Рис. 2.3.8
Исследователи-криминалисты по-иному классифицируют способы веде ния перехвата. Так, В. Б. Вехов выделяет:
■непосредственный перехват;
■форсированный перехват;
■перехват символов;
" перехват сообщений [19, с. 57].
Мы считаем, что с точки зрения расследования гораздо важнее знать информацию о механизме подключения устройств дистанционного съема информации, так как эти сведения позволяют определенно судить о квали
фикации лиц, ведущих радиоэлектронную разведку, характере связей с по страдавшим от компьютерных преступлений субъектом хозяйствования.
Установление факта применения перехвата имеет особое значение при рассмотрении обстоятельств подготовки к совершению компьютерного пре ступления. Являясь способом ведения разведывательной деятельности, пе рехват информации с помощью технических средств связан с «подслушива нием» содержания передаваемой информации и извлечением соответст вующих данных напрямую, через доступ и использование компьютерной системы, либо косвенно, путем использования электронных подслушиваю щих или записывающих устройств. Например:
■перехват информации в технических каналах возможной утечки ее;
■перехват информации посредством внедрения электронных устройств в помещения;
■радиоэлектронное подавление линий связи и систем управления.
Ведение радиоэлектронной разведки возможно путем перехвата откры тых и кодированных систем и линий связи.
Путем перехвата, например, возможно выявление паролей в компьютер ной сети. Может иметь место также перехват электромагнитных сигналов, возникающих в электронных средствах за счет самовозбуждения, акустиче ского воздействия, паразитных колебаний, излучений монитора ЭВМ, воз никающих при выводе информации на экран электронно-лучевой трубки.
Пример Дистанционный перехват компьютерной информации с монитора был
впервые продемонстрирован на Каннском международном конгрессе по во просам компьютерной безопасности в марте 1985 г. Перехват производился из автомобиля, находящегося на улице, в отношении монитора, установлен ного на восьмом этаже здания, расположенного в 100 м от автомобиля со трудником голландской телекоммуникационной компании РТТ [127, с. 3640].
Для анализа собранной информации в стационарных условиях возможно использование преступниками видеомагнитофонов. Перехвату подвержены передачи данных и переговоры с радиомодемов и радиотелефонов.
С криминалистической точки зрения под злонамеренной вирусной моди фикацией мы понимает разработку, использование либо распространение таких программ, которые заведомо приводят к нарушению работы ЭВМ или их сетей, внесению несанкционированных собственником изменений в компьютерную информацию.
При этом большинство исследователей в области безопасности компью терных систем сходятся во мнении, что под распространением понимают
расширение сферы применения таких программ за пределы рабочего места их создателя [114, с. 13].
Существует множество типов вирусов, каждый из которых обладает собственными отличительными признаками (см. разд. 1). Для классифика ции данного способа совершения компьютерного преступления целесооб разно установить последствия действий вредоносных программ, их наибо лее яркие проявления (рис. 2.3.9).
Рис. 2.3.9
Пример
В ноябре 1999 г. в г. Липецке (Российская Федерация) была произведена злонамеренная вирусная модификация сервера FidoNet. Данное деяние со вершено двумя школьниками Н. и Ш., проживающими в указанном городе. Сам вирус был написан Н., который являлся гордостью школы № 69, отли чаясь способностями в математике и информатике, Ш. осуществил внедре ние вируса в сеть, подсмотрев чужой пароль для входа в нее.
От имени владельца пароля было выставлено электронное объявление «Внимание! Разработан новый архиватор! Попробуйте все!». Расчет был сделан на любопытство пользователей сети. Код вируса содержался в файле kos.exe, замаскированном под новый архиватор.
Попав в компьютер, программа действительно выполняла функции ар хиватора, однако при перезагрузке вся информация с жесткого диска унич тожалась. Вирус был обнаружен и обезврежен специалистами Липецкэлектросвязи менее чем за сутки. По иронии судьбы единственный пострадав ший компьютер принадлежал сотруднику следственного управления УВД Липецкой области [128, с. 27].
Анализ зарубежной и отечественной практики борьбы с компьютерными преступлениями дает нам основания утверждать, что, как правило, совер шение компьютерных преступлений осуществляется комплексным спосо бом, который представляет собой сочетание двух и более вышеизложенных способов (рис. 2.3.10).
Например, несанкционированному доступу предшествуют действия, свя занные с подготовкой и совершением преступления;
*тщательная разведка предполагаемого предмета покушения; а зондирование системы при помощи технических средств;
*изучение состояния информационной безопасности предприятия, учре ждения, банка.
Осуществляя подготовку к совершению преступления с применением компьютерной техники, преступники будут:
■активно искать каналы перевода и обналичивания денег;
■знакомиться с программистами и высококвалифицированными инжене рами в области электроники, отвечающими за информационную безо пасность;
■входить к ним в доверие, притуплять бдительность.
Весьма характерно в этой связи применение комбинированного способа при совершении попытки хищения денег в размере 7 млрд, расчетных биле тов Национального банка Республики Беларусь упоминавшимся выше Ч.
Пример (рис. 2.3.11) [84, с. 165-174] Генеральной прокуратурой Республики Беларусь 11 июня 1996 г. по ма
териалам проверки попытки хищения денег в размере 7 млрд, расчетных билетов Национального банка Республики Беларусь было возбуждено и принято к своему производству уголовное дело. Согласно заключенным до говорам, государственное предприятие «Белорусский межбанковский рас четный центр» (ГП «БРМЦ») через автоматизированную систему межбан ковских расчетов осуществляет переводы безналичных денежных средств между банками. Для проведения межбанковских переводов безналичных денежных средств используются платежные сообщения в электронном виде, которые создаются, заверяются, защищаются, передаются и принимаются
сиспользованием средств электронно-вычислительной техники и телекоммуникаций.
Попытка хищения была совершена неизвестными на тот период лицами из отделения АКБ «Белагропромбанк» в г. п. Крупки 17 мая 1996 года с ис пользованием компьютерной техники и подложных платежных поручений.
Из материалов уголовного дела вытекает следующее: преступники для достижения своей цели использовали действующую автоматизированную систему межбанковских расчетов и технологию обработки денежных пере водов на основе единой автоматизированной системы банковских расчетов
спомощью программно-технических средств, осуществляемую через ГП «БМРЦ». Согласно сведениям, полученным из ГП «БМРЦ», операция по перечислению вышеуказанной суммы была осуществлена путем несанкцио нированного доступа извне к автоматизированной системе связи и посылки