Студопедия

Главная страница Случайная страница

Разделы сайта

АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника






Расследование создания, использования






И распространения вредоносных программ для

ЭВМ

К вредоносным программам для ЭВМ прежде всего относят-

ся так называемые компьютерные вирусы, т.е. программы,

могущие внедряться в чужие информационные ресурсы, раз-

множаться и при определенных условиях повреждать компью-

терные системы, хранящуюся в них информацию и программное

обеспечение. Свое название они получили потому, что многие

их свойства аналогичны свойствам природных вирусов. Компь-

ютерный вирус может самовоспроизводиться во всех системах

определенного типа. Некоторые из них сравнительно безопас-

ны, поскольку не уничтожают информацию, однако большинство

приносит существенный вред.

Имеются также иные вредоносные программы, облегчающие

доступ к информационным ресурсам, используемые обычно для

хищений денежных средств в компьютерных банковских системах

и совершения других злоупотреблений в сфере компьютерной

информации.

Непосредственный объект данного преступления — это об-

щественные отношения по безопасному использованию ЭВМ, ее

программного обеспечения и информационного содержания.

Часть 1 ст. 273 УК РФ предусматривает совершение одного из

следующих действий:

Глава 38. Методика расследования

преступлений в сфере компьютерной информации

а) создание программы или внесение в нее изменений, заве-

домо влекущих несанкционированное уничтожение, блокирова-

ние, модификацию либо копирование информации, нарушение

работы ЭВМ, их системы или сети;

б) использование или распространение подобных программ

либо машинных носителей с ними. Изменением программы явля-

ется преобразование алгоритма, описанного в ней на специаль-

ном языке, а распространением — расширение сферы ее приме-

нения.

Часть 2 этой статьи предусматривает более опасное преступ-

ление — любое из вышеуказанных действий, повлекшее тяжкие

последствия. Причем возможны две формы вины: умысел по от-

ношению к действиям и неосторожность относительно общест-

венно опасных последствий. Этим преступлениям свойственна

высокая латентность; особенно трудно выявлять создателей

вредоносных программ.

Основные задачи расследования решаются в такой последо-

вательности:

1) установление факта и способа создания, использования и

распространения вредоносной программы для ЭВМ;

2) установление лиц, виновных в названных деяниях, а также

вреда, причиненного ими.

Установление факта и способа создания, использования и

распространения вредоносной программы для ЭВМ. Такая про-

грамма обнаруживается, как правило, когда уже проявились

вредные последствия ее действия. Однако она может быть выяв-

лена и в процессе антивирусной проверки, производимой при

начале работы на компьютере, особенно если предстоит исполь-

зование чужих дискет или дисков.

Разработка вредоносных программ для ЭВМ обычно осуще-

ствляется одним из двух способов.

1. Вредоносная программа разрабатывается прямо на одном

из рабочих мест компьютерной системы, что обычно маскирует-

ся под правомерную повседневную работу. В силу своих слу-

жебных обязанностей разработчик имеет доступ к системе и

обрабатываемой в ней информации, в том числе нередко к ко-

дам и паролям. Сокрытие преступного характера своих дейст-

вий разработчик осуществляет путем удаления компромети-

рующих данных или хранения их на собственных дискетах.

2. Программа создается вне сферы обслуживания компью-

терной системы, для воздействия на которую она ориентирована.

§ 2. Расследование создания, использования

и распространения вредоносных программ для ЭВМ

Злоумышленнику необходимы сведения о функционирующей в

системе информации, способах доступа к ней, методах ее защи-

ты. Для получения этих данных он устанавливает связи с кем-

либо из пользователей системы либо внедряется в нее посредст-

вом взлома.

Иногда вредоносная программа создается путем изменения

действующей программы. Например, на Волжском автозаводе

оказалась умышленно расстроенной работа трех линий главного

сборочного конвейера, управляемого компьютером. Произошло

это по вине инженера-программиста, который из низменных по-

буждений за пять месяцев до этого ввел в одну из взаимодейст-

вующих программ управления накопителем механических узлов

заведомо неправильную последовательность команд счета под-

весок и подачи шасси на главный конвейер. Тем самым предпри-

ятию был причинен крупный материальный ущерб, а кроме того,

вследствие сверхнормативного простоя главного сборочного кон-

вейера не было собрано около 500 автомобилей «Жигули».

На факт создания вредоносной программы могут косвенно

указывать следующие обстоятельства:

а) повышенный интерес посторонних лиц к алгоритмам функ-

ционирования программ, работе системы блокировки и защиты,

входной и выходной информации;

б) внезапный интерес к программированию лиц, в круг обя-

занностей которых оно не входит. Эти обстоятельства выявляют-

ся как в ходе оперативно-розыскных мероприятий, так и при про-

изводстве следственных действий, в частности допросов пользо-

вателей компьютерной системы, в которой обнаружились призна-

ки действия вредоносной программы.

О создании вредоносной программы свидетельствуют факты

ее использования и распространения, особенно данные, позво-

ляющие заподозрить конкретное лицо в такой противоправной

деятельности. При этом необходимы своевременные и тща-

тельно произведенные обыски в местах работы и жительства

подозреваемого, а также там, откуда он мог наладить доступ к

компьютерной системе. К обыску целесообразно привлечь спе-

циалиста-программиста, который поможет обнаружить все от-

носящееся к созданию вредоносной программы для ЭВМ.

Факты использования и распространения вредоносной про-

граммы нередко обнаруживаются с помощью антивирусных про-

грамм. В ходе расследования такие факты можно установить при

осмотре следующих документов:

Глава 38. Методика расследования

преступлений в сфере компьютерной информации

а) журналов учета рабочего времени, доступа к вычислитель-

ной технике, ее сбоев и ремонта, регистрации пользователей

компьютерной системы или сети, проведения регламентных ра-

бот;

б) лицензионных соглашений и договоров на пользование

программными продуктами и их разработку;

в) книг паролей; приказов и других документов, регламенти-

рующих работу учреждения и использование компьютерной ин-

формации. Эти документы нередко ведутся в электронной фор-

ме, поэтому к ознакомлению с ними необходимо привлекать спе-

циалиста. При изучении журналов, книг, соглашений и другой

документации следователь может выяснить законность исполь-

зования того или иного программного обеспечения, систему орга-

низации работы учреждения и обработки в нем информации, дос-

тупа к ней и компьютерной технике, круг лиц, имевших на это

право.

Проводя допросы свидетелей, необходимо выяснять, какая

информация подвергалась вредоносному воздействию, ее назна-

чение и содержание; как осуществляется доступ к ресурсам ЭВМ,

их системе или сети, кодам, паролям и другим закрытым данным;

как организованы противовирусная защита и учет пользователей

компьютерной системы.

В ходе допросов свидетелей нужно иметь в виду, что практи-

куется множество способов использования и распространения

вредоносных программ. Так, нередки случаи запуска программы с

другого компьютера или с дискеты, купленной, одолженной, полу-

ченной в порядке обмена, либо с электронной «доски объявле-

ний». Распространение вируса, вызывающего уничтожение и

блокирование информации, сбои в работе ЭВМ или их системы,

может происходить по компьютерной сети вследствие использо-

вания нелицензионной и несертифицированной программы (чаще

игровой), купленной у случайного лица, а также скопированной у

кого-либо.

Доказыванию фактов использования и распространения вре-

доносных программ способствует своевременное производство

информационно-технологической экспертизы, посредством кото-

рой можно определить, какие изменения и когда внесены в ис-

следуемые программы, а также последствия использования и

распространения вредоносных программ. Экспертиза может так-

же установить примененный преступником способ преодоления

программной и аппаратной защиты (подбор ключей и паролей,

§ 2. Расследование создания, использования

и распространения вредоносных программ для ЭВМ

отключение блокировки, использование специальных программ-

ных средств).

При установлении лиц, виновных в создании, использова-

нии и распространении вредоносных программ для ЭВМ, необ-

ходимо учитывать, что такую программу может создать человек,

обладающий специальными познаниями. Легче всего создать

вирус опытному программисту, который, как правило, не участ-

вует в их распространении. Зачастую вредоносные программы

создают и используют субъекты, хорошо освоившие машинный

язык, движимые чувством самоутверждения, мотивами корысти

или мести, а иногда и потребностью в компьютерном вандализ-

ме. Некоторые делают это, стремясь «расколоть» систему за-

щиты информации, официально считающуюся неуязвимой.

Выделяются следующие группы преступников:

а) хакеры — лица, рассматривающие меры защиты информа-

ционных систем как личный вызов и взламывающие их с целью

получения контроля за информацией независимо от ее ценности;

б) шпионы — лица, взламывающие защиту информационных

систем для получения информации, которую можно использовать

в целях политического влияния;

в) террористы — лица, взламывающие информационные

системы для создания эффекта опасности, который можно ис-

пользовать и в целях политического влияния;

г) корпоративные налетчики — служащие компании, взла-

мывающие компьютеры конкурентов для экономического влия-

ния;

д) воры, вторгающиеся в информационные системы для полу-

чения личной выгоды;

е) вандалы — лица, взламывающие системы с целью их раз-

рушения;

ж) нарушители правил пользования ЭВМ, совершающие про-

тивоправные действия из-за недостаточного знания техники и

порядка пользования информационными ресурсами;

з) лица с психическими аномалиями, страдающие новым видом

заболеваний — информационными болезнями или компьютерными

фобиями.

Использовать и распространять вредоносные программы в

принципе может любой пользователь персонального компьютера.

Однако наибольшую потенциальную опасность представляют

опытные компьютерные взломщики, получившие название хаке-

Глава 38. Методика расследования

преступлений в сфере компьютерной информации

ров, а также высококвалифицированные специалисты в области

электронных технологий.

Преступления этой категории иногда бывают групповыми: ха-

кер-профессионал создает вредоносные программы, а его со-

общники помогают ему в материально-техническом и информа-

ционном отношениях. Мировой практике борьбы с компьютерны-

ми преступлениями известны случаи связей между хакерами и

организованными преступными сообществами. Последние высту-

пают в роли заказчиков компьютерных махинаций, обеспечивают

хакеров необходимой техникой, а те организуют хищения денеж-

ных средств из банковских компьютерных систем.

Поиск лица, причастного к использованию вредоносных про-

грамм для ЭВМ, сопряжен со значительными затратами времени,

сил и средств. Органу дознания нужно поручить выявление и

проверку лиц, ранее привлекавшихся к ответственности за анало-

гичные преступления. В некоторых случаях злоумышленника

можно идентифицировать по следам рук, оставленным на участ-

ках дисководов, клавишах, других частях компьютера.

Установив подозреваемого, его немедленно задерживают,

чтобы предотвратить уничтожение компрометирующих материа-

лов. Кроме того, если вредоносная программа является компью-

терным вирусом, промедление может расширить масштабы его

распространенности и причиненный ущерб.

Проводя допрос подозреваемого, нужно выяснить уровень его

профессиональной подготовки, опыт работы по созданию про-

грамм данного класса на конкретном языке программирования,

знание алгоритмов их работы, но особенно тех, которые подверг-

лись неправомерному воздействию.

Допрашивая подозреваемого, необходимо выяснить, где он

живет, работает или учится, его профессию, взаимоотношения с

коллегами, семейное положение, круг интересов, привычки и

наклонности, навыки программирования, ремонта и эксплуата-

ции компьютерной техники, какими ее средствами, машинными

носителями, аппаратурой и приспособлениями он располагает,

где и на какие средства их приобрел, где хранил и т.д.

Допрос обвиняемого преследует цель выяснить обстоятель-

ства подготовки и совершения преступления, алгоритм функцио-

нирования вредоносной программы и то, на какую информацию и

как она воздействует.

Для проверки возможности создания вредоносной программы

определенным лицом, признавшимся в этом, проводится следст-

§ 2. Расследование создания, использования

и распространения вредоносных программ для ЭВМ

венный эксперимент с использованием соответствующих средств

компьютерной техники.

При установлении вреда, причиненного преступлением,

следует помнить, что вредоносная программа в виде вируса

может практически мгновенно размножиться в большом количе-

стве экземпляров и очень быстро заразить многие компьютер-

ные системы и сети. Это реально, ибо компьютерные вирусы

могут:

а) заполнить весь диск или всю свободную память ЭВМ свои-

ми копиями;

б) поменять местами файлы, т.е. смешать их так, что отыскать

их в компьютере будет практически невозможно;

в) испортить таблицу размещения файлов;

г) отформатировать диск или дискету, уничтожив все ранее

записанное на соответствующем носителе;

д) вывести на дисплей то или иное нежелательное сообще-

ние;

е) перезагрузить ЭВМ, т.е. осуществить произвольный пере-

запуск;

ж) замедлить ее работу;

з) изменить таблицу определения кодов, сделав невозможным

пользование клавиатурой;

и) изменить содержание программ и файлов, что повлечет

ошибки в сложных расчетах;

к) раскрыть информацию с ограниченным доступом;

л) привести компьютер в полную негодность.

Размер причиненного ущерба устанавливается экспертным

путем в рамках судебно-бухгалтерской и судебно-экономической

экспертиз, проводимых в комплексе с информационно-

технологической и информационно-технической экспертизами.

Полную безопасность компьютерных систем обеспечить чрез-

вычайно трудно, однако снизить вредные последствия вирусов до

определенного уровня можно. Для этого необходимо:

а) применять антивирусные средства;

б) не использовать случайное несертифицированное про-

граммное обеспечение, а также нелегальные копии программ для

ЭВМ;

в) делать резервные копии программ и системных файлов, а

также контролировать доступ к компьютерным системам;

г) проверять каждую приобретенную программу (дискету) на

возможную зараженность компьютерным вирусом;

Глава 38. Методика расследования

преступлений в сфере компьютерной информации

е) регулярно записывать программы, устанавливаемые в ком-

пьютерную систему, и др.






© 2023 :: MyLektsii.ru :: Мои Лекции
Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав.
Копирование текстов разрешено только с указанием индексируемой ссылки на источник.