Раздел III. ПСИХОЛОГИЯ ПРЕСТУПНОЙ СРЕДЫ, ПРЕСТУПНЫХ ГРУПП И ОРГАНИЗОВАННЫХ ПРЕСТУПНЫХ СООБЩЕСТВ

Глава 15. ПСИХОЛОГИЯ КОМПЬЮТЕРНЫХ ПРЕСТУПЛЕНИЙ

5. Способы совершения компьютерных преступлений

Важнейшим и определяющим элементом криминалистической характеристики любого, в том числе компьютерного, преступления считается совокупность данных, характеризующих способ его совершения.

Под способом совершения преступления обычно понимают объективно и субъективно обусловленную систему поведения субъекта до, в момент и после совершения преступления, которое оставляет различного рода характерные следы, позволяющие с помощью криминалистических приемов и средств получить представление о сути происшедшего, своеобразии преступного поведения правонарушителя, его отдельных личностных данных и с учетом этого определить оптимальные методы решения задач раскрытия преступления.

Ю.М. Батурин разделил способы совершения компьютерных преступлений на пять основных групп. Методологический подход и ряд предложенных им классификаций следует считать достаточно удачными, поскольку в своей основе этот подход опирается на систематизацию способов совершения компьютерных преступлений, применяющуюся в международной практике. В качестве основного классифицирующего признака выступает метод использования преступником тех или иных действий, направленных на получение доступа к средствам компьютерной техники. Руководствуясь этим признаком, Ю.М. Батурин выделяет следующие общие группы по отношению к способу совершения компьютерных преступлений:

• изъятие средств компьютерной техники;
• перехват информации;
• несанкционированный доступ;
• манипуляция данными и управляющими командами;
• комплексные методы.

К первой группе относятся традиционные способы совершения обычных видов преступлений, в которых действия преступника направлены на изъятие чужого имущества. Характерной отличительной чертой данной группы способов совершения компьютерных преступлений можно назвать то, что в них средства компьютерной техники всегда выступают только в качестве предмета преступного посягательства.

Например, прокуратурой г. Кургана в 1997 г. расследовалось уголовное дело по факту убийства частного предпринимателя. В ходе обыска на квартире убитого был изъят персональный компьютер. По имеющейся оперативной информации в памяти компьютера убитый мог хранить фамилии, адреса своих кредиторов и должников. В дальнейшем этот компьютер по решению следователя был передан в одну из компьютерных фирм для производства исследования содержимого его дисков памяти. В ту же ночь из помещения компьютерной фирмы компьютер был похищен. В результате того, что изъятие и передача ЭВМ были произведены следователем с рядом процессуальных нарушений, данное преступление осталось нераскрытым.

Ко второй группе относятся способы совершения компьютерных преступлений, основанные на действиях преступника, направленных на получение данных и машинной информации посредством использования методов аудиовизуального и электромагнитного перехвата (в скобках будут приводиться оригинальные названия способов на английском языке).

Активный перехват (interception) осуществляется с помощью подключения к телекоммуникационному оборудованию компьютера, например к линии принтера или телефонному проводу канала связи, либо непосредственно через соответствующий порт персонального компьютера.

Пассивный (электромагнитный) перехват (electromagnetic pickup) основан на фиксации электромагнитных излучений, возникающих при функционировании многих средств компьютерной техники, включая средства коммуникации. Например, излучение электронно-лучевой трубки дисплея можно принимать с помощью специальных приборов на расстоянии до 1000 м.

Аудиоперехват, или снятие информации по виброакустическому каналу, является опасным и достаточно распространенным способом и имеет две разновидности. Первая заключается в установке подслушивающего устройства в аппаратуру средств обработки информации, вторая – в установке микрофона на инженерно-технические конструкции за пределами охраняемого помещения (стены, оконные рамы, двери и т. п.).

Видеоперехват осуществляется путем использования различной видеооптической техники.

К третьей группе способов совершения компьютерных преступлений относятся действия преступника, направленные на получение несанкционированного доступа к информации. В эту группу входят следующие способы.

Компьютерный абордаж (hacking) – несанкционированный доступ в компьютер или компьютерную сеть. Этот способ используется хакерами для проникновения в чужие информационные сети.

Преступление осуществляется чаще всего путем случайного перебора абонентного номера компьютерной системы с использованием модемного устройства. Иногда в этих целях применяется специально созданная программа автоматического поиска пароля. Алгоритм ее работы заключается в том, чтобы, учитывая быстродействие современных компьютеров, перебирать все возможные варианты комбинаций букв, цифр и специальных символов и в случае совпадения комбинаций символов производить автоматическое соединение указанных абонентов.

Эксперименты по подбору пароля путем простого перебора показали, что 6-символьные пароли подбираются примерно за 6 дней непрерывной работы компьютера. Элементарный подсчет свидетельствует о том, что для подбора 7-символьных паролей потребуется уже от 150 дней для английского языка и до 200 дней для русского, а если учитывать регистр букв, то эти числа надо умножить на 2. Таким образом, простой перебор представляется чрезвычайно трудновыполнимым, поэтому в последнее время преступниками стал активно использоваться метод «интеллектуального перебора», основанный на подборе предполагаемого па роля, исходя из заранее определенных тематических групп его принадлежности. В этом случае программе-взломщику передаются некоторые исходные данные о личности автора пароля. По оценкам специалистов, это позволяет более чем на десять порядков сократить количество возможных вариантов перебора символов и на столько же – время на подбор пароля.

Практика расследования компьютерных преступлений свидетельствует о том, что взломанные хакерами пароли оказывались на удивление простыми. Среди них встречались такие, как 7 букв «А»; имя, фамилия автора или его инициалы; несколько цифр, например «57»; даты рождения, адреса, телефоны или их комбинации.

Одно из громких компьютерных преступлений было совершено группой петербургских программистов. Несколько жителей г. Санкт-Петербурга с компьютера, стоящего в квартире одного из них, проникли в базу данных известной канадско-американской информационной компьютерной сети Sprint Net.

Российские хакеры действовали по накатанному пути. Узнав телефонный номер входа в информационную сеть, они написали оригинальную программу эффективного подбора паролей и с ее помощью узнали коды входа в Sprint Net. Использовав их, получили доступ к конфиденциальным базам данных американских и канадских клиентов.

Не удалось установить, какие конкретно цели преследовали хакеры, поскольку воспользоваться ценной коммерческой информацией они не успели. Никакой ответственности за свои действия преступники не понесли. Единственным «наказанием» для них стала оплата сетевого времени, затраченного на вскрытие компьютерной системы и перебор паролей.

Результативность действий хакеров настолько велика, что США, например, намерены использовать их в информационной войне. С момента официального признания в 1993 г. военно-политическим руководством США «информационной войны» в качестве одной из составляющих национальной военной стратегии, ускоренными темпами идут поиски методов, форм и средств ее ведения, в том числе рассматривается возможность привлечения хакеров для использования на различных ее стадиях.

Хакеры могут быть наиболее эффективно использованы на этапе сбора разведывательной информации и сведений о компьютерных сетях и системах вероятного противника. Они уже накопили достаточный опыт в угадывании и раскрытии паролей, использовании слабых мест в системах защиты, обмане законных пользователей, и вводе «троянских коней» и других вирусов в программное обеспечение компьютеров. Искусство проникновения в компьютерные сети и системы под видом законных пользователей дает хакерам возможность стирать все следы своей работы, что имеет большое значение для успешной разведывательной деятельности. Имитация законного пользователя позволяет хакеру-разведчику сформировать систему слежения в сети противника на правах законного пользователя информации. Не менее эффективным может быть применение опыта хакеров в электронной войне при решении задач дезинформирования и пропаганды через информационные системы и сети противника. Для хакеров не составляет проблемы манипулирование информацией, находящейся в базах данных противника. Им также нетрудно лишить противника возможности доступа к жизненно важным информационным ресурсам. Для этого могут использоваться способы загрузки информационных систем большим количеством сообщений, передаваемых по электронной почте, или заражение систем противника компьютерными вирусами.

По сообщениям зарубежных СМИ, идея использования хакеров в интересах информационной войны в настоящее время не ограничивается только изучением их опыта, реализуясь на практике. Спецслужбы США и некоторых европейских стран уже прибегают к услугам этой категории компьютерных специалистов.

Для несанкционированного проникновения в компьютерные системы используются различные способы:

• «за дураком» (piggybacking) – этот способ преступник использует путем подключения компьютерного терминала к каналу связи через коммуникационную аппаратуру в тот момент, когда сотрудник, отвечающий за работу средств компьютерной техники, кратковременно покидает свое рабочее место, оставляя терминал в активном режиме;
• «за хвост» (between-the-lines entry) – преступник подключается к линии связи законного пользователя и дожидается сигнала, обозначающего конец работы, перехватывает его и осуществляет доступ к системе;
• «неспешный выбор» (browsing) – преступник осуществляет несанкционированный доступ к компьютерной системе путем нахождения слабых мест в ее защите. Этот способ чрезвычайно распространен среди хакеров. В Интернете и других глобальных компьютерных сетях идут постоянный поиск, обмен, покупка и продажа взломанных хакерами программ. Существуют специальные телеконференции, в ходе которых проходит обсуждение программ-взломщиков, вопросов их создания и распространения;
• «брешь» (trapdoor entry) – в отличие от «неспешного выбора», когда производится поиск уязвимых мест в защите компьютерной системы, применяя данный способ, преступник конкретизирует поиск: ищет участки программ, имеющие ошибку или неудачную логику построения. Выявленные таким образом бреши могут использоваться преступником многократно, пока не будут обнаружены законным пользователем;
• «люк» (trapdoor) – логическое продолжение предыдущего способа. В месте найденной «бреши» программа «разрывается», и преступник дополнительно вводит туда одну или несколько команд. Такой «люк» «открывается» по необходимости, а включенные команды автоматически выполняются.

«Люки» часто оставляют и создатели программ, иногда с целью внесения возможных изменений. Подобные «черные входы» в защищенную систему обычно есть в любой сертифицированной программе, но об этом не принято распространяться вслух.

В качестве примера можно привести компьютерную систему управления самолетами «Мираж». Во время войны в Персидском заливе ее «стопроцентная» защита от несанкционированного доступа была сломана одним кодовым сигналом, пущенным в обход системы защиты. Бортовые системы самолетов были отключены, и Ирак остался без авиации.

К четвертой группе способов совершения компьютерных преступлений относятся действия преступников, связанные с использованием методов манипуляции данными и управляющими командами средств компьютерной техники. Эти методы наиболее часто используются преступниками для совершения различного рода противоправных деяний и достаточно хорошо известны сотрудникам подразделений правоохранительных органов, специализирующихся на борьбе с компьютерными преступлениями.

Компьютерное мошенничество чаще всего осуществляется способом «подмены данных» (data digging) или «подмены кода» (code change). Это наиболее простой и поэтому очень часто применяемый способ совершения преступлений. Действия преступников в этом случае направлены на изменение или введение новых данных, и осуществляются они, как правило, при вводе-выводе информации. Некоторые из таких способов совершения преступлений возникли и получили распространение только с появлением компьютеров. В качестве примера можно привести перебрасывание на подставной счет мелочи, являющейся результатом округления [операция типа «салями» (salami)]. Расчет построен на том, что компьютер совершает сотни тысяч операций в секунду и обрабатывает при этом сотни тысяч счетов клиентов. Заниматься подобным мошенничеством вручную не имеет никакого смысла.

Незаконное копирование (тиражирование) программ с преодолением программных средств защиты предусматривает незаконное создание копии ключевой дискеты, модификацию кода системы защиты, моделирование обращения к ключевой дискете, снятие системы защиты из памяти ЭВМ и т. п.

Не секрет, что подавляющая часть программного обеспечения, используемого в России, представляет собой пиратские копии взломанных хакерами программ. Самая популярная операционная система в России – Microsoft Windows. По статистике, на долю этой платформы приходится свыше 77 % отечественного рынка операционных систем. Своим бесспорным успехом на российском рынке она обязана деятельности компьютерных пиратов. По данным международной организации BSA, занимающейся вопросами охраны интеллектуальной собственности, свыше 90 % используемых в России программ установлены на компьютеры без лицензий, тогда как в США таких не более 24 %.

В качестве примера незаконного тиражирования программ можно привести компьютерную базу российского законодательства «КонсультантПлюс». Несмотря на постоянную работу специалистов фирмы по улучшению системы защиты, тысячи нелегальных копий программы имеют хождение на территории России. Последняя, шестая версия «Консультанта», была привязана к дате создания компьютера, записанной в его постоянной памяти. Однако не прошло и двух недель после выхода этой версии, как хакерами была создана программа, эмулирующая нужную дату на любом компьютере. В настоящее время желающий может найти такую программу в компьютерной сети Интернет и с ее помощью установить на свой компьютер базу данных по законодательству, стоимость которой превышает 1000 долл. США.

Пятая группа способов – комплексные методы, включающие в себя различные комбинации рассмотренных выше способов совершения компьютерных преступлений.

Приведенная классификация не является, как уже отмечалось, единственно возможной. Так, по международной классификации в отдельную группу принято выделять такие способы, как компьютерный саботаж с аппаратным или программным обеспечением, который приводит к выходу из строя компьютерной системы. Наиболее значительные компьютерные преступления совершаются посредством порчи программного обеспечения, причем часто преступниками становятся работники, недовольные своим служебным положением, отношениями с руководством и чем-либо другим в своей работе.

Примером такого компьютерного преступления может служить получивший широкую огласку случай с программистом, остановившим главный конвейер Волжского автозавода в г. Тольятти. Занимаясь отладкой программного кода автоматизированной системы, управляющей подачей механических узлов на конвейер, он умышленно внес изменения в программу. В результате после прохождения заданного числа деталей система зависала и конвейер останавливался. Пока программисты устраняли причину остановки, с конвейера автозавода сошло не более двухсот машин.

Существует также ряд способов совершения преступлений, которые крайне сложно отнести к какой-либо группе. К ним относятся асинхронная атака, моделирование, мистификация, маскарад и некоторые другие.

Асинхронная атака (Asynchronous attack) – сложный способ, требующий хорошего знания операционной системы. Используя асинхронную природу функционирования большинства операционных систем, их заставляют работать при ложных условиях, из-за чего управление обработкой информации частично или полностью нарушается. Если лицо, совершающее асинхронную атаку, достаточно профессионально, оно может использовать ситуацию, чтобы внести изменения в операционную систему или сориентировать ее на выполнение своих целей, причем извне эти изменения не будут заметны.

Моделирование (Simulation) – создание модели конкретной системы, в которую вводят исходные данные и учитывают планируемые действия. На основании полученных результатов методом компьютерного перебора и сортировки выбираются возможные подходящие комбинации. Затем модель возвращается к исходной точке и выясняется, какие манипуляции с входными данными нужно проводить для получения на выходе желаемого результата. В принципе прокручивание модели вперед-назад может происходить многократно, чтобы через несколько итераций добиться необходимого итога. После этого остается осуществить задуманное на практике.