Постоянный рост компьютерной преступности, возрастание ущерба причиняемого такими деяниями обществу обусловливает жизненную необходимость совершенствования деятельности правоохранительных органов по расследованию преступлений в сфере компьютерной информации (далее — компьютерные преступления).
Отечественный законодатель придерживается узкого подхода к понятию компьютерных преступлений. Соответственно, в УК РФ выделена специальная гл. 28, посвященная преступлениям в сфере компьютерной информации, в которую включены четыре состава преступления: неправомерный доступ к компьютерной информации (ст. 272); создание, использование и распространение вредоносных компьютерных программ (ст. 273)!; нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей (ст. 274); неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации (ст. 274.1).
Однако компьютеризация общества, переход на новые информационные технологии, формирование «электронной» систем документооборота, создание «цифровой» экономики повлияли на криминальную деятельность в целом. Преступники стали применять компьютеры и средства телекоммуникации для совершения практически всех видов преступлений. Появление новых способов обработки информации привело к появлению и новых способов совершения пре-
ступлений. С целью противодействия таким преступным проявлениям законодатель вынужден включать новые составы преступления в, казалось бы, уже устоявшиеся уголовно-правовые институты (например, ст. 159.6 УК РФ «Мошенничество в сфере компьютерной информации»).
Если в экономических, налоговых преступлениях, хищениях, преступных нарушений авторских и смежных прав компьютер уже давно стал неотъемлемой частью способа их совершения, то в последние годы и по делам о насильственных преступлениях компьютерная информация и техника начинает использоваться как орудие совершения преступления, а не только как средство хранения, передачи информации. Опережающими темпами растет число компьютерных преступлений и преступлений, где компьютер является неотъемлемым элементом способа совершения преступлений, совершенных организованными преступными группами.
В гражданско-правовой сфере получили широкое распространение деликты с применением электронно-вычислительной техники, например, «ошибочный» перевод денежных средств в электронных платежных системах, ограничение доступа к электронным торгам, уничтожение (модификация) информации в электронных реестрах и др. Таким образом, методика расследования преступлений в сфере компьютерной информации может применяться и при расследовании иных категорий преступлений, рассмотрении гражданских, арбитражных и административных дел. Криминалистическая характеристика компьютерных преступлений в качестве основных элементов включает способ совершения преступлений, обстановку совершения преступления и личность преступника. Исключение составляют нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей (ст. 274 УК РФ) и нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре РФ или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре РФ, либо правил доступа к указанным объектам (ч. 3 ст. 274 УК РФ).
Компьютерные преступления и методы защиты информации
... достижения поставленной цели необходимо решить следующие задачи: рассмотреть основные направления компьютерных преступлений; дать классификацию компьютерным преступлениям; охарактеризовать методы защиты информации; сделать обзор программных средств, обеспечивающих обслуживание В ходе написания работы ...
В этих преступлениях, как и во многих других видах преступлений, затрагивающих правила промышленной, экологической и иной безопасности, на первый план выходит механизм совершенного деяния.
Способы совершения компьютерных преступлений в большинстве случаев включают в себя стадии подготовки, непосредственного совершения и сокрытия преступлений . Конкретные проявления преступных действий весьма многообразны, но в зависимости от вида взаимодействия исполнителя преступления с компьютером потерпевшего, где находилась компьютерная информация, способы совершения преступлений можно подразделить на непосредственный и удаленный (опосредованный) доступ. В данном случае термин «доступ» трактуется шире, чем в ст. 272 УК РФ. Указанный термин используется для обозначения действий, с помощью которых могут быть совершены все деяния, предусмотренные главой 28 УК РФ. При непосредственном доступе преступник проникает в помещение, где находится интересующая его компьютерная информация и техника, и осуществляет физический контакт с предметами материальной обстановки. Технически доступ к компьютерной информации и техники осуществляется через физическую консоль ЭВМ или другое устройство, сопряженное с компьютером. При удаленном доступе лицо территориально находится вне места нахождения компьютерной информации и компьютерной техники, преступные действия осуществляются с помощью соответствующих технических и программных средств.
Действия по подготовке удаленного доступа могут быть связаны с физическим посещением преступником места, где находится компьютерная информация и техника потерпевшего. Преступления, совершаемые путем удаленного доступа, наиболее трудны для расследования. Практическая значимость предложенной классификации заключается в том, что каждый из указанных способов оставляет присущие только ему следы преступного воздействия. При непосредственном доступе обнаруживаются следы, отражающие факт физического присутствия человека на месте происшествия и операций, которые он производил. Типичными следами, отражающими действия по непосредственному доступу, являются следующие материальные и идеальные следы. Материальные следы можно подразделить на следы человека (пальцы рук, частицы кожи, иные биологические следы, запаховые следы); следы одежды, обуви (волокна, микрочастицы загрязнений на обуви и т. п. ); трасологические следы (следы орудий взлома); документы (рукописные записи, схемы, технологическая документация и т. п. ); предметы, используемые преступником в качестве орудий преступления либо средств, облегчающих совершение преступления (магнитные карты доступа, электронные носители информации, орудия взлома и т. д. ); записи в памяти технических средств охранных систем (видеонаблюдения, систем биометрической идентификации и др.).
Преступления в сфере компьютерной информации (3)
... работы является анализ уголовных преступлений, связанных с безопасностью человеческой информации. Информационной безопасностью в компьютерных сетях и программах ЭВМ. Работа посвящена преступлениям, связанным с незаконным использованием информационных технологий или направленным на ...
Идеальные следы представляют собой данные о личности преступника, остающиеся в памяти свидетелей и потерпевших.
При удаленном доступе вышеперечисленные следы на месте преступления отсутствуют, получить с их помощью сведения о личности преступника невозможно. Однако, как указывалось выше, некоторые действия преступника или его сообщников при подготовке такого преступления могут повлечь образование указанных следов на месте происшествия. Например, преступники приходили в организацию для опроса сотрудников потерпевшей организации (использование методов социальной инженерии), выяснения мест расположения компьютеров, их технических характеристик (для установления технических средств, транслирующих сигналы, снятия электромагнитного излучения с работающего компьютера).
На стадии подготовки к совершению преступления преступник стремится собрать сведения: о предмете преступного посягательства; месте совершения преступления; о средствах защиты информации; о технических характеристиках компьютеров и программном обеспечении будущего потерпевшего, используемых им информационных ресурсах; о финансовом положении организации, ее организационной структуре; о личности потерпевшего или сотрудниках организации, в отношении которой планируется преступное посягательство. Для этого преступником изучаются открытые информационные ресурсы владельца ЭВМ; осуществляются контакты, в том числе через сеть Интернет (форумы, социальные сети); применяются средства для негласного сбора информации. Одновременно подыскиваются средства совершения преступления: технические средства (компьютеры, средства связи и т. п. ); программное обеспечение, в том числе вредоносные программы и др.
В качестве типовых способов подготовки совершения преступления можно выделить:
- 1) использование «социального инжиниринга» — непосредственный контакт с потерпевшим (гражданином, сотрудниками организаций);
- 2) поиск информации в социальных сетях, посещение чатов и форумов, преступник может специально создавать виртуальную личность;
- 3) опрос знающих будущего потерпевшего лиц;
- 4) использование поисковых систем — Rambler, Google и др. (история жертвы, финансовом положении, применяемых технологиях и т. п. );
- 5) разгребание мусора — поиск выброшенных бумаг, дискет, жестких дисков;
- 6) получение информации от случайных лиц;
- 7) нелегальное приобретение необходимой информацией путем подкупа, шантажа и т. п. персонала организации;
- 8) анализ собственного сайта потерпевшего (контактная информацию: номера телефонов сотрудников, используемые технологии, компьютерные архитектуры и т. п. );
- 9) поиск в базах данных Whois («кто есть кто»);
- 10) опрос DNS серверов (DNS — доменная система имен);
- 11) сканирование телефонных линий в поисках модема;
- 12) сканирование оборудования, подключенного к IP-сети, с целью определения схемы атакуемой системы (уязвимые хосты, маршрутизаторы и брандмауэры);
- 13) сканирование открытых портов — получение информации о потенциальных входах в систему;
- 14) снифинг (прослушивание) — сбор в сети с помощью специальных программных инструментов информации (имена и пароли пользователей, файлы, электронная почта и др.);
- 15) приобретение либо создание орудий и инструментов (компьютерное оборудование, специальное программное обеспечение и т. п. );
- 16) подыскание помещений для размещения компьютерной техники, используемой в качестве средств совершения преступления;
- 17) установление контактов с соучастниками, распределение ролей и т. п. ;
- 18) установление контактов с будущими приобретателями незаконно полученной компьютерной информации.
На стадии подготовки преступлений могут планироваться меры по сокрытию преступления. Как правило, это характерно для профессиональных преступников, организованных групп и одиночных преступников, имеющих специальную подготовку в области информатики. В ходе совершения преступления путем непосредственного доступа преступник осуществляет проникновение к компьютеру или иному месту, где находится интересующая его информация; преодолевает охранные системы; подключает к компьютеру дополнительные устройства (съемные электронные носители информации и др.), позволяющие получить доступ к информации; похищает электронные носители информации; обманным путем получает у потерпевшего или его сотрудников данные, обеспечивающие доступ к электронной информации и техники; иным образом противоправно получает информацию; передает потерпевшему носитель с вредоносной программой или самостоятельно вводит ее в память ЭВМ; получает доступ к компьютеру под видом правомерного пользователя или осуществляет его взлом; устанавливает в соответствующем помещении устройства, позволяющие считывать информацию с компьютера, наблюдать за действиями правомерных пользователей, осуществлять иные функции.
Компьютерные преступления. Основные признаки
... выступать компьютерная информация, компьютер, компьютерная система или компьютерная сеть. Существенную роль в структуре криминологической характеристики компьютерных преступлений играют также обобщенные сведения о потерпевшей стороне. Информация подобного рода позволяет полнее охарактеризовать личность преступника, мотивы совершения преступления ...
Удаленный доступ наиболее часто осуществляется следующими способами:
- 1) подключение к телекоммуникационному оборудованию компьютерной системы (принтер, телефонную линию, модем);
- 2) проникновение в систему в результате использования системной поломки;
- 3) DDoS-атаки (Distributed Denial of Services — распределенный отказ от обслуживания);
- 4) проникновение путем подбора или «взлома» пароля;
- 5) электромагнитный перехват — получение информации без непосредственного подключения к компьютерной системе (электромагнитное излучение перехватывается из сетевого кабеля или host-ЭВМ внешним устройством);
- 6) аудиоперехват — установка в компьютерной техники специальных средств (подслушивающих устройств) для перехвата информации, в т. ч. установку сканеров, радиопередающих устройств и др;
- 7) внедрение вредоносных программ (вирусов, «логических» и «временных» бомб и других), блокирующих, модифицирующих или уничтожающих информацию;
- 8) использование вредоносных программ, позволяющих обойти принятые меры защиты и технические условия обработки информации («троянский конь», программные закладки и др.);
- 9) распространение вредоносных программ (передача на съемных электронных носителях, рассылка по электронной почте, размещение на сайтах в Интернете и т. п. );
- 10) осуществление доступа к информации путем нахождения слабых мест (уязвимостей) в системах защиты;
- 11) осуществление доступа к информации путем нахождения слабых мест (уязвимостей) в программном обеспечении потерпевшего («люки», «бреши», «дыры»);
- 12) осуществление доступа под видом законного пользователя при соединении с компьютером через локальную или глобальную сеть;
- 13) перехват сообщений в каналах передачи информации;
- 14) нарушение правил эксплуатации компьютеров, их сетей и систем;
- 15) использование методов социальной инженерии для получения информации от соответствующих лиц о паролях и других средствах защиты информации, месторасположении и режиме работы компьютерной техники, о лицах, ответственных за обработку определенной информации и др.
Преступники могут использовать сочетание нескольких способов. В частности, войдя в доверие к потерпевшему, преступник может получить сведения, позволяющие облегчить подбор паролей.
Уголовно-правовое значение способа совершения преступления для ...
... наличествуют, а, во-вторых, оставляют конкретные следы, характеризующие образ действий преступника и позволяющие разграничивать различные способы. А действия по сокрытию преступления относятся к способу совершения преступления в том случае, если они ...
Целями действий по сокрытию преступлений являются сокрытие времени и места совершения криминальных действия; сокрытие отдельных элементов способа совершения преступления, характеризующие личность преступника, связь между преступником и потерпевшим; сокрытие объема причиненного ущерба; обеспечение условий для дальнейших противоправных действий в отношении потерпевшего; создание алиби правонарушителя. При непосредственном доступе преступник скрывает и традиционные следы, и следы, в форме компьютерной информации. С целью уничтожения традиционных следов преступники стирают отпечатки пальцев, уничтожают (подделываются) документы на бумажном носителе, фиксирующие их работу с компьютером, маскируют и (или) изменяют признаки внешности, модифицируют или стирают записи в системах видеонаблюдения и идентификации. Способы сокрытия электронных следов при непосредственном доступе характерны и для удаленного доступа, поэтому они будут рассмотрены ниже.
Наиболее часто преступники для сокрытия следов при удаленном доступе используют следующие способы:
- 1) изменение служебных файлов регистрации операций на компьютере потерпевшего путем удаления оттуда определенных событий, связанных с преступными действиями;
- 2) создание скрытых хакерских файлов и каталогов, т. е. файлов с особыми именами или другими атрибутами, которые легко пропускаются законными пользователями или скрыты от них. В этих файлах обычно хранятся различные программы, необходимые для незаконных действий, перехваченные пароли и т. п. ;
- 3) использование «тайных каналов» — замаскированной системы связи между вредоносными программами на компьютере жертвы и преступником, скрывающие компьютерные данные во время их перемещения.
- 4) маскировка исходного IP-адреса системы (спуфинг IP-адреса) — замена атакующего IP-адреса адресом другой системы. Применяется для обхода фильтров и получения доступа к системам, использующим IP-адреса для идентификации;
- 5) сокрытие исходного IP-адреса путем использования цепочки прокси-серверов, анонимайзеров (анонимных узлов переадресации);
- 6) сокрытие протокола, используемого для неправомерного доступа, так называемое туннелирование — передача тайных данных одного протокола осуществляется через другой протокол связи (SSH, FTP идр.);
- 7) применение методов стеганографии (скрытной передачи данных) — факт обмена информации не скрывается, однако в сообщении присутствует скрытая информация, которую невозможно обнаружить (например, в графических (форматы gif, bmp), звуковых (формат wav) файлах);
- 8) использование самоуничтожающихся программных закладок или иных программ со способностью саморазмножения и самоуничтожения более ранних копий (позволяет скрыть место и способ проникновения);
- 9) сокрытие информации о реальном месте осуществления преступления (доступ через компьютеры других организаций, интернет-кафе и др.);
- 10) уничтожение или модификация информации о себе в социальных сетях, в том числе уничтожение информации о виртуальной личности, созданной специально для совершения преступления;
- 11) уничтожение информации о совершенном преступлении в компьютере преступника, иных компьютерах и технических средствах, используемых в качестве средств совершения преступления (уничтожение данных может осуществляться на логическом и на физическом уровне);
- 12) физическое уничтожение материальных следов — следов пальцев рук и иных следов человека, специальной технической литературы, распечаток текстов вредоносных программ, скопированных данных, съемных носителей информации и системных элементов компьютерной техники, средств связи, другие действия.
Отдельного внимания заслуживает анализ использования вредоносных программ в качестве самостоятельного способа совершения преступления или элемента такого способа. С точки зрения установления криминалистически значимой информации можно выделить следующие виды вредоносных программ.
Формирование психологического профиля потенциального преступника
... занимаются расследованием преступлений, что направлено на установление специфики личности преступника и жертвы, взаимоотношений между ними, их мотивов и деяний при совершении преступных деяний. Методом криминального профайлинга является работа над ...
По механизму функционирования и результату их воздействия: опасные инфекции — программы, разрушающие информацию и информационные системы и приносящие существенный вред (вирусы, логические бомбы и др.); инфекции проникновения — предназначены для организации неправомерного доступа к чужим информационным ресурсам (люки, трояны и др.); безвредные инфекции, не всегда приводящие к существенным последствиям для информационных ресурсов, но в некоторых случаях модифицирующие информацию, блокирующие работу ЭВМ, их сетей и систем (безопасные вирусы и черви).
По механизму распространения в компьютерной среде: обладающие функцией самораспространения (черви и вирусы) и не имеющие такой функции (программные закладки).
Программные закладки различаются по задачам: осуществляющие сбор информации (мониторы, перехватчики паролей); обеспечивающие неправомерный доступ (люки); имеющие деструктивные функции (логические бомбы); блокирующие работу компьютерной техники или информации; выполняющие комбинированные функции.
В зависимости от вида информации, с которой работают вредоносные программы, например, различают файловые, архивные, сетевые и почтовые «черви». В качестве примера иной вредоносной компьютерной информации рассмотрим получившие повсеместное применение эксплойты. Эксплойты — фрагмент программного кода, предназначенный для использования ошибок, отказов или уязвимостей компьютерной системы, с целью получения привилегированного доступа к информации или отказу в обслуживании данной системы. Назовем несколько распространенных видов эксплойтов: удаленный эксплойт, работающий через сеть и использующий уязвимость в защите без какого-либо предварительного доступа к атакуемой системе; локальный эксплойт, требующий получения предварительного доступа к взламываемой системе и позволяющий возможность полностью управлять компьютером, его настройками и процессами без ограничений, располагая полномочиями администратора; браузерный эксплойт, взаимодействующий с программами для просмотра интернет-страниц (браузерами), заставляющий их выводить несанкционированные окна, произвольно изменять настройки пользователя или блокировать его отдельные действия (20, «https:// «).
Стадии совершения преступления
... Понятие стадий совершения преступления Приготовлением к преступлению уголовный закон признает приискание, изготовление или приспособление лицом средств или орудий совершения преступления, приискание соучастников преступления, сговор на совершение преступления либо иное умышленное создание условий для совершения преступления, если ...
В настоящее время преступники все чаще используют не единичную вредоносную программу, а группу вредоносных программ, более опасных, чем единичные. Такие комплексы маскируются в компьютере пользователя и могут долго оставаться незамеченными. Их функциями являются причинение вреда системе и создание среды, подходящей для размножения других компьютерных вирусов или троянцев.
Механизм преступлений, предусмотренных ст. 274 УК РФ и ч. 3 ст. 274.1 УК РФ, включает в себя две составляющие: собственно криминальное поведение преступников (представляющих собой их действия и (или) бездействия) и действия аппаратных и программных средств, повлекших наступление вредных последствий, в результате указанного преступного поведения. Преступное поведение соответствующих лиц заключается в неисполнении технических, организационных, нормативных требований, регулирующих правила эксплуатации компьютерной техники или нарушении таких правил. Сокрытие данных правонарушений, как правило, не охватывается умыслом при их совершении и деятельность по сокрытию рассматривается как самостоятельный элемент криминалистической характеристики. Обстановка совершения компьютерных преступлений — второй по значимости элемент криминалистической характеристики, поскольку именно в ней отображается следовая картина преступного события. В обстановке выделяются следующие факторы, имеющие ключевое влияние на условия совершения преступлений: пространственные, временные, производственно-бытовые, поведенческо-психологические, информационные. Особенностью пространственных характеристик обстановки совершения компьютерных преступлений является их территориальная разобщенность. Возможно существование нескольких пространственно обособленных мест концентрации следов преступлений:
- — место (или места) причинения вреда (место наступления общественно опасных последствий), их может быть несколько;
- — место (или места), где находился преступник и (или) орудие преступления;
- — место (или места), где установлен промежуточный компьютер (компьютеры), через который осуществлялся доступ к компьютеру потерпевшего;
- — место (или места), нахождения компьютеров, через которые осуществлялись коммуникации в глобальных и локальных сетях (ЭВМ провайдеров);
- — место (или места), куда были отправлены и где хранятся результаты преступления, иная криминалистически значимая информация (могут не совпадать).
Установление причинно-следственных связей между действиями преступника в определенном месте и наступлением вредных последствий в другом месте, их надлежащее процессуальное оформление являются важнейшей задачей расследования.
Преступления в сфере компьютерной информации (2)
... характеристику личности преступника; выделить факторы, способствующие совершению преступлений в сфере компьютерной информации; определить меры по предупреждению преступлений в сфере компьютерной информации; исследовать вопрос международного сотрудничества в борьбе с преступлениями в сфере компьютерной информации. Объектом исследования ...
Место причинения вреда — помещения, в которых находилась компьютерная информация, имеет большее значение по делам, в которых преступления совершались путем непосредственного доступа, или если при удаленном доступе в процессе подготовки преступник предварительно посещал данные помещения, например, для установки технических средств негласного получения информации. В этих случаях тщательное изучение обстановки позволяет обнаружить материальные следы преступника, установить возможных свидетелей, выяснить, насколько он был знаком с обстановкой, потерпевшим. Место, где находился преступник и (или) орудие преступления (место совершения противоправного деяния), может совпадать с местом его проживания (работы), но может быть и иным местом, специально выбранным для совершения преступления (интернет-кафе и т. п. ).
В первом случае изучение материальной обстановки такого помещения имеет важнейшее значение для обнаружения традиционных следов. Во втором обнаружение традиционных следов преступника маловероятно, хотя полностью исключать эту возможность нельзя. Сведения о личности преступника можно получить путем изучения режима работы организации (данных в заказах, технических средств фиксации посетителей и т. п. ), допроса лиц, контактировавших с преступником. Место, где установлен промежуточный компьютер (компьютеры), через который осуществлялся доступ к компьютеру потерпевшего необходимо изучать для выхода на компьютер преступника. В случаях использования правонарушителем нескольких компьютеров других пользователей для совершения преступлений (например, организация DDoS-атак) решение данной задачи является весьма сложной и требует от следователя сочетания следственных действия и оперативно-разыскных мероприятий. Однако без документирования связи между компьютером преступника и контролируемых им компьютерах во многих случаях невозможно установить причинную связь между действиями правонарушителя и наступлением преступного результата. Физический осмотр таких компьютеров может быть полезен, так как позволяет предусмотренным законом способом (осмотр, обыск, выемка) получить сведения о проникновении преступника в данный компьютер и воздействии через него на компьютер потерпевшего. Места, куда были отправлены и где хранятся результаты преступления, когда они не совпадают с местом совершения противоправного деяния, представляют интерес для фиксации находящейся там информации, полученной преступным путем, и установления следов, позволяющих связать преступника с размещением там указанной информации. Данные места можно разделить на две группы: помещения, где преступник физически находился для размещения там информации, и помещения с компьютерными устройствами, куда преступник удаленно передавал информацию. В помещениях первой группы целесообразно проводить следственные действия, направленные на поиск, обнаружение и фиксацию следов преступления и материальной обстановки (осмотры, обыск, выемка).
Удаленные хранилища данных, как правило, не требуют их физического осмотра, поскольку преступник не контактировал с компьютерной техникой и иной вещной обстановкой в местах их расположения. Однако в связи с развитием технологий хранения и обработки больших объемов данных на удаленном расстоянии (облачные технологии) в таких хранилищах могут содержаться криминалистически значимые сведения о потерпевшем, компьютерной информации, ставшей предметом преступного посягательства, данные о способе совершения преступления (например, о соединениях компьютера преступника с другими компьютерами), о преступнике (например, установление его местонахождения — данные геолокации мобильного средства связи), сведения, характеризующие его личность (данные в социальных сетях) и другие. Правоохранительные органы интересует именно информация, находящаяся в таких хранилищах. Установление физических мест их нахождения представляет интерес с точки зрения того, находятся ли они в том же регионе РФ, где осуществляется расследование или в другом регионе, на территории или за пределами территории РФ. В зависимости от территориального расположения существенно различаются способы процессуальной фиксации информации хранящейся в удаленных базах данных. При нахождении их за пределами территории РФ возникает необходимость в сотрудничестве с правоохранительными органами зарубежных стран и международными организациями. Все сказанное в отношении удаленных хранилищ данных справедливо и для мест нахождения компьютеров организаций, через которые осуществлялся обмен данными в глобальных и локальных сетях. При расследовании компьютерных преступлений важно точно установить следующие временные характеристики: время начала и окончания совершения преступления, время его обнаружения, время наступления вредных последствий. Такие факторы, как быстродействие компьютерной техники и, соответственно, быстрота совершения преступных операций, обнаружение наступления преступного результата спустя существенный промежуток времени после совершения преступления, усложняет расследование. Своевременное и правильное выяснение временных характеристик позволяет успешно решать целый ряд задач расследования. Время совершения преступления учитывается при установлении круга лиц, среди которых ведется поиск преступника (например, о проведении некоторых технологических операций знали только определенные пользователи); при выборе момента задержания лица (взятие с поличным при совершении длящихся преступлений); установление причинно-следственных связей между действиями преступника и преступным результатом. При установлении временных факторов важно принимать во внимание возможность расхождения между реальным временем совершения определенных событий и временем, зафиксированным в компьютерных системах. Разница во времени может составлять от нескольких секунд до дней и месяцев. Причинами этого могут быть сбои в программных или аппаратных средствах или действия преступника по маскировке преступления.
Криминалистика и криминология : Использование криминалистических ...
... методы получения информации о преступнике. В криминалистике принято различать технико-криминалисти- ческие средства и методы и тактико-криминалистические приемы. Технико-криминалистические средства и методы собирания информации о преступнике ... - ния, используемые преступником при подготовке, совершении и сокрытии преступления. Поэтому можно говорить о средствах и методах обнаружения орудий взлома ...
В производственно-бытовых элементах обстановки для рассматриваемой категории преступлений особую роль приобретают элементы искусственной технологической среды, обеспечивающей функционирование компьютерной информации: компьютерная и телекоммуникационная техника, программное обеспечение, средства и способы защиты информации и безопасности, система организации доступа к информации, включая выход в глобальные и локальные сети и ряд других. Значение данных средств определяется тем, что работать с компьютерной информацией можно только через их посредство. Преступник вынужден учитывать указанные элементы обстановки при выборе способа совершения преступления. В то же время при расследовании может потребоваться учитывать и ряд общепроизводственных элементов обстановки: виды деятельности организации; состояние ее общей системы безопасности; наличие территориально удаленных подразделений, филиалов; кадровую политику.
Выявление взаимосвязей между производственно-бытовыми элементами обстановки и способом совершения преступлений позволит выдвигать версии о возможной связи преступника с потерпевшей организацией (сотрудник, в том числе бывший, или посторонний), степени владения правонарушителем специальными знаниями, совершено ли преступление группой лиц или одиночным преступником. Поведенческо-психологические элементы обстановки особое значение имеют в случае, если объектом преступного посягательства стала организация. Поведение ее сотрудников может оказать влияние на выбор способа совершения преступления. Сложившийся в организации психологический климат может характеризоваться пренебрежением мерами безопасности, свободным доступом к информации посторонних лиц, недовольством руководства со стороны рядовых сотрудников. Такие условия позволяют преступнику получать необходимые сведения методами социальной инженерии при контакте с работниками без использования специальных программных и технических средств, а также путем подкупа. Представляется, что в обстановке совершения компьютерных преступлений можно выделить информационную составляющую, которая тесно связана, но не совпадает с пространственными и производственно-бытовыми элементами. Так, технические устройства, фиксирующие обстановку (производственный фактор), территориально расположены в месте совершения преступления, информация же, полученная с помощью таких устройств, может физически храниться в удаленном хранилище данных вне места нахождения указанных технических средств.
В информационную составляющую обстановки входят:
- 1) информация, обладателем которой является потерпевший, но не являющаяся предметом преступного посягательства. Это программные средства, текстовые, графические и иные пользовательские файлы, служебные файлы, данные систем видеонаблюдения и идентификации ит.п.;
- 2) информация сторонних организаций, обеспечивающих информационную деятельность потерпевшего: поставщики программного и аппаратного оборудования, организации, проводившие информационный аудит потерпевшего и (или) осуществлявшие защиту информации потерпевшего, организации, через которые потерпевший осуществляет обмен данными в глобальных и локальных сетях (провайдеры), энергоснабжающие предприятия и некоторые другие;
- 3) информация непрямых участников преступного события (сотрудников потерпевшей организации, случайных свидетелей, лиц, контактировавших с потерпевшим в социальных сетях и др.), полученная с помощью принадлежащих им средств связи, других устройств, включая приборы бытового назначения (Интернет вещей).
Все указанные виды сведений могут храниться как у соответствующих обладателей, так и с помощью облачных технологий, пространственно удаленных от места совершения преступления машинных носителях информации. Учет следователем информационных элементов обстановки компьютерных преступлений и своевременное их выявление может существенно облегчить раскрытие таких преступлений:
- 1) появляются новые источники доказательственной информации, которые более точно по сравнению со свидетельскими показаниями фиксируют действия преступника по подготовке, совершению и сокрытию преступления (например, данные систем наблюдения, охраны, регистрации, информация, о территориальном положении мобильных устройств связи и т. п. );
- 2) наличие соответствующих данных в удаленных облачных информационных хранилищах позволяет получать доступ к такой информации даже в случаях утраты соответствующих технических средств, удаления, модификации сведений в устройствах пользователей;
- 3) расширяется доступ к сведениям о способе, механизме преступления, личности жертвы, правонарушителя, содержащейся в информационно-телекоммуникационных сетях (сведения в социальных сетях, сайтах, чатах, посещаемых участниками расследуемого события и др.).
В свою очередь, преступники все в большей мере начинают осознавать роль информационных факторов и принимают меры к тому, чтобы противодействовать использованию их для раскрытия и расследования преступления. В частности, правонарушители приобретают нелегальные или похищенные мобильные устройства или их элементы (симкарты), удаляют криминалистически значимую информацию о себе или о преступлении в социальных сетях, пытаются получить доступ к системам наблюдения, охраны и регистрации с целью их временного (постоянного) блокирования, отключения, перевода их под контроль преступника, стремятся уничтожить или изменить информацию в сторонних организациях. Органам расследования необходимо учитывать возможность подобного информационного противодействия и оперативно реагировать на него. Рассмотрим некоторые характеристики субъектов компьютерных преступлений, имеющих значение для их расследования. В настоящее время наблюдается снижение удельного веса таких преступлений, совершаемых лицами обладающих специальными знаниями. Доступность компьютеров, упрощение взаимодействия человека и ЭВМ, создание программ, рассчитанных на пользователя, не обладающего специальными знаниями, привело к совершению компьютерных преступлений лицами, не обладающими профессиональной подготовкой в области информатики, имеющими минимальные навыки в работе с компьютером. С учетом демографических признаков большинство преступлений совершают мужчины, но доля женщин устойчиво растет. Возраст большинства правонарушителей находится в границах от 15 (известны случаи, когда данные действия совершались детьми в возрасте 11—14 лет) до 50 лет. В настоящее время более 50% преступлений совершают лица в возрасте от 20 до 40 лет.
По признаку участия в преступных организациях выделяются одиночные преступники (лица, совершившие разовое преступление, и лица, занимающиеся постоянной преступной деятельностью), преступные группы, члены преступных сообществ (включая привлекаемых ими лиц).
Одним из важных элементов личности преступника является мотив совершения преступлений. По данному признаку выделяются следующие типы компьютерных преступников: хакеры — это лица, рассматривающие защиту компьютерных систем как личный вызов и взламывающие ее для получения доступа к системе и собственного удовольствия. Они получают от своей деятельности интеллектуальное наслаждение. Иногда к этому может добавляться убежденность в социально-политическом, протестном характере своей деятельности. Хакерам свойственно объединяться в группы, прежде всего с целью обмена опытом, но такие группы могут создаваться для совершения конкретных преступлений на длительный период:
-
- шпионы — получают информацию для использования в политических, военных и экономических целях. Они могут работать на правительственные или коммерческие структуры, но существуют независимые профессионалы, получающие информацию для продажи ее заинтересованным лицам;
- террористы — лица, взламывающие информационные системы для создания эффекта опасности, используемого в целях политического воздействия;
- корыстные преступники — осуществляющие преступную деятельность лица, вторгающиеся в компьютеры для получения имущественных или неимущественных выгод;
- вандалы — лица, разрушающие компьютерные системы в результате влияния негативных эмоций: недовольство конкретной организацией, общее недовольство своей жизнью и попытка поднять самооценку ит. п.;
- психически больные лица, страдающие психическими болезнями компьютерными фобиями (игроманы и т. п. );
- лица, совершающие преступления по личным мотивам (месть, ревность, неприязненные взаимоотношения);
- лица, руководствующиеся иными мотивами (хулиганскими, политическими и др.).
Мотивы лиц, совершающих преступные нарушения правил эксплуатации ЭВМ и информационно-телекоммуникационных систем, во многом сходны с мотивами лиц, допускающих преступные нарушения правил техники безопасности: халатное отношение к своим обязанностям, неправильно понятые интересы производства, любопытство, низкий уровень ответственности и некоторые другие. При совершении конкретного преступления лицо может руководствоваться несколькими мотивами. Например, политические и корыстные интересы могут сочетаться с осуществлением личной мести. Профессиональные характеристики правонарушителей влияют на выбор способов совершения преступлений. Как правило, выделяют уровень квалификации, навыки в использовании определенных программных и аппаратных средств, контакты среди профессиональных сообществ. Среди лиц с высокой квалификацией большинство составляют хакеры, шпионы. Достаточно большое количество хорошо подготовленных преступников встречается среди корыстных преступников, вандалов. Профессиональный опыт и подготовка сказывается на разделении труда среди компьютерных преступников. Большинство оригинальных способов совершения преступлений разрабатываются достаточно узким кругом хорошо подготовленных людей; как правило, это хакеры. Основная масса правонарушителей использует эти разработки для совершения преступления. По типу связи с потерпевшим выделяются инсайдеры (внутренние преступники) и посторонние (внешние преступники).
Инсайдерами являются собственные работники юридического лица. Такие сотрудники могут иметь законное право доступа к предмету преступного посягательства либо не обладать таким правом (например, сотрудники других отделов, вспомогательный персонал).
Инсайдеры совершают большинство преступлений, осуществленных путем непосредственного доступа. Однако ими совершаются и преступления удаленными способами.
Посторонние преступники — лица, не являющиеся сотрудниками пострадавшего юридического лица. Среди данных правонарушителей можно выделить лиц, ранее работавших в организации, а также иным образом связанных с данной организацией: персонал поставщиков различного рода услуг, разработчиков программ, аудиторов, персонал надзорных организаций и аварийных служб и т. п. Такие преступники имеют информацию о технических характеристиках компьютерных систем потерпевшего, об ошибках (уязвимостях), совершенных при проектировании информационной системы и ее элементов, в программном обеспечении, в системах защиты информации и т. п. Соответственно, данные знания используются ими при выборе способов совершения преступления, что облегчает их действия. В то же время установление в процессе расследования, что способ совершения был основан на подобного рода информации, позволяет выдвинуть обоснованную версию о круге лиц, способных совершить расследуемое событие. В ходе расследования компьютерных преступлений необходимо установить обстоятельства, входящие в предмет доказывания, а также иные обстоятельства имеющие уголовно-правовое значение:
- 1) непосредственный объект преступления;
- 2) предмет преступного посягательства: конкретные виды компьютерной информации и техники;
- 3) относится ли информация, ставшая объектом преступных действий, к общедоступной или к охраняемой законом информации, в последнем случае надо установить, к какой категории тайн она относится;
- 4) наступившие общественно опасные последствия в виде уничтожения, блокирования, модификации, копирования компьютерной информации, нейтрализации средств защиты;
- 5) наличие причинной связи между действиями (бездействиями) преступника и наступившими вредными последствиями;
- 6) способы, с помощью которых было осуществлено уничтожение, блокирование, модификация, копирование компьютерной информации, нейтрализация средств защиты;
- 7) место совершения преступления, правоохранительные органы государства, правомочного проводить расследование при совершении трансграничного преступления;
- 8) время совершения преступления: быстрота протекания компьютерных процессов обработки информации требует большой точности в установлении временных характеристик, установление соотношения реального времени и виртуального времени в компьютерных системах;
- 9) обстановку, орудия и средства совершения преступления, в том числе установление вредоносности программ или иной компьютерной информации, включая цели их создания;
- 10) данные о субъекте преступления: возраст, вменяемость, образование, уровень подготовки в области информационных технологий, является ли специальным субъектом, в последнем случае служебное положение, круг должностных обязанностей и полномочий;
- 11) данные о судимостях правонарушителя, в том числе за компьютерные преступления;
- 12) данные о преступной группе, преступном сообществе;
- 13) форму вины, в предусмотренных случаях отдельно устанавливается форма вины по отношению к совершенному преступлению и к наступлению вредных последствий;
- 14) мотив и цель совершенного преступления;
- 15) размер ущерба, нанесенного потерпевшему;
- 16) установление нарушения правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи либо правил доступа к таким объектам: нормативных актов, инструкций по работе, созданных изготовителями, правилами, разработанными собственниками технических средств или обладателями информации;
- 17) установление, что вышеуказанные объекты относятся к критической информационной инфраструктуре Российской Федерации;
- 18) обстоятельства, способствовавшие совершению преступлений;
- 19) обстоятельства, смягчающие или отягчающие ответственность; обстоятельства, исключающие или освобождающие от уголовной ответственности.
- Диспозиция ст. 273 УК РФ включает в себя не только вредоносные программы, но иную компьютерную информацию, которая может привести к тем же последствиям, что и вредоносные программы. Преступник внедряет в компьютер жертвы отдельныеэлементы программы (они не являются законченной программой), которые самостоятельно взаимодействую с программами потерпевшего, и начинают выполнять неправомерные операции. Далее в целях удобства изложении мы будем использовать толькотермин «вредоносная программа».
- 2 Далее — компьютерные преступления.
- Стадии подготовки и сокрытия довольно часто отсутствуют у преступлений, предусмотренных ст. 274, ч. 3 ст. 274.1 УК РФ.
- Создание вредоносных программ может рассматриваться как законченное преступное деяние (ст. 273 УК РФ) и элемент подготовки иных компьютерных преступлений. Создание вредоносных программ может осуществляться двумя способами: написание новой программы и внесение изменение в существующие программы. В последнемслучае программа, подвергшаяся модификации, изначально может не обладать техническими вредоносными функциями. Последнее важно, так как при обнаружении изначальной программы у преступника необходимо собрать доказательства, подтверждающие ее модификацию подозреваемым (обвиняемым).
- В отличие от непосредственного доступа указанные действия производятсяне в месте расположения компьютера потерпевшего, а заранее, например, при поставкекомпьютерной техники, в месте производства ее ремонта и т. д.
- Распространение вредоносных программ может быть открытым, когда распространитель не скрывает ее вредоносных функций, и тайным, если вредоносное назначение программы скрывается.
- Для обозначения данных следов в литературе используются несколько наименований «компьютерные», «цифровые», «электронные», «виртуальные», «машинные» и некоторые другие. В целях удобства изложения и учитывая, что все вышеприведенные термины обозначают следы, имеющие одинаковую природу, в главе данные термины будутиспользоваться как синонимы.
- Использование данного метода может сочетаться с вышеуказанными действиямипо сокрытию традиционных следов при непосредственном доступе.
- При удаленном доступе такие действия типичны в ситуации, когда преступникосознает, что органы следствия могут получить доступ к принадлежащему ему компьютерному оборудованию и другим средствам, используемым при совершении преступления.
- От англ, exploit — использовать.
- В литературе по информационной безопасности для обозначения такого комплекса используется термин «Malware».
- За основу взята классификация В. В. Крылова , дополненная автором.
- Данная характеристика имеет значение для случаев, когда потерпевшим являетсяюридическое лицо. Но и в ситуациях с потерпевшим гражданином также можно выделить лиц, имевших доступ к его компьютерной информации, в силу родственных, дружеских отношений, и посторонних лиц.