Расследование создания, использования

И распространения вредоносных программ для

ЭВМ

К вредоносным программам для ЭВМ прежде всего относят- ся так называемые компьютерные вирусы, т.е. программы, могущие внедряться в чужие информационные ресурсы, раз- множаться и при определенных условиях повреждать компью- терные системы, хранящуюся в них информацию и программное обеспечение. Свое название они получили потому, что многие их свойства аналогичны свойствам природных вирусов. Компь- ютерный вирус может самовоспроизводиться во всех системах определенного типа. Некоторые из них сравнительно безопас- ны, поскольку не уничтожают информацию, однако большинство приносит существенный вред.

Имеются также иные вредоносные программы, облегчающие доступ к информационным ресурсам, используемые обычно для хищений денежных средств в компьютерных банковских системах и совершения других злоупотреблений в сфере компьютерной информации.

Непосредственный объект данного преступления — это об- щественные отношения по безопасному использованию ЭВМ, ее программного обеспечения и информационного содержания. Часть 1 ст. 273 УК РФ предусматривает совершение одного из следующих действий:

а) создание программы или внесение в нее изменений, заве- домо влекущих несанкционированное уничтожение, блокирова- ние, модификацию либо копирование информации, нарушение работы ЭВМ, их системы или сети;

б) использование или распространение подобных программ либо машинных носителей с ними. Изменением программы явля- ется преобразование алгоритма, описанного в ней на специаль- ном языке, а распространением — расширение сферы ее приме- нения.

Часть 2 этой статьи предусматривает более опасное преступ-

ление — любое из вышеуказанных действий, повлекшее тяжкие последствия. Причем возможны две формы вины: умысел по от- ношению к действиям и неосторожность относительно общест- венно опасных последствий. Этим преступлениям свойственна высокая латентность; особенно трудно выявлять создателей вредоносных программ.

Основные задачи расследования решаются в такой последо-

вательности:

1) установление факта и способа создания, использования и распространения вредоносной программы для ЭВМ;

2) установление лиц, виновных в названных деяниях, а также вреда, причиненного ими.

Установление факта и способа создания, использования и распространения вредоносной программы для ЭВМ. Такая про- грамма обнаруживается, как правило, когда уже проявились вредные последствия ее действия. Однако она может быть выяв- лена и в процессе антивирусной проверки, производимой при начале работы на компьютере, особенно если предстоит исполь- зование чужих дискет или дисков.

Разработка вредоносных программ для ЭВМ обычно осуще-

ствляется одним из двух способов.

1. Вредоносная программа разрабатывается прямо на одном из рабочих мест компьютерной системы, что обычно маскирует- ся под правомерную повседневную работу. В силу своих слу- жебных обязанностей разработчик имеет доступ к системе и обрабатываемой в ней информации, в том числе нередко к ко- дам и паролям. Сокрытие преступного характера своих дейст- вий разработчик осуществляет путем удаления компромети- рующих данных или хранения их на собственных дискетах.

2. Программа создается вне сферы обслуживания компью-

терной системы, для воздействия на которую она ориентирована.

Злоумышленнику необходимы сведения о функционирующей в системе информации, способах доступа к ней, методах ее защи- ты. Для получения этих данных он устанавливает связи с кем- либо из пользователей системы либо внедряется в нее посредст- вом взлома.

Иногда вредоносная программа создается путем изменения действующей программы. Например, на Волжском автозаводе оказалась умышленно расстроенной работа трех линий главного сборочного конвейера, управляемого компьютером. Произошло это по вине инженера-программиста, который из низменных по- буждений за пять месяцев до этого ввел в одну из взаимодейст- вующих программ управления накопителем механических узлов заведомо неправильную последовательность команд счета под- весок и подачи шасси на главный конвейер. Тем самым предпри- ятию был причинен крупный материальный ущерб, а кроме того, вследствие сверхнормативного простоя главного сборочного кон- вейера не было собрано около 500 автомобилей «Жигули».

На факт создания вредоносной программы могут косвенно указывать следующие обстоятельства:

а) повышенный интерес посторонних лиц к алгоритмам функ- ционирования программ, работе системы блокировки и защиты, входной и выходной информации;

б) внезапный интерес к программированию лиц, в круг обя- занностей которых оно не входит. Эти обстоятельства выявляют- ся как в ходе оперативно-розыскных мероприятий, так и при про- изводстве следственных действий, в частности допросов пользо- вателей компьютерной системы, в которой обнаружились призна- ки действия вредоносной программы.

О создании вредоносной программы свидетельствуют факты ее использования и распространения, особенно данные, позво- ляющие заподозрить конкретное лицо в такой противоправной деятельности. При этом необходимы своевременные и тща- тельно произведенные обыски в местах работы и жительства подозреваемого, а также там, откуда он мог наладить доступ к компьютерной системе. К обыску целесообразно привлечь спе- циалиста-программиста, который поможет обнаружить все от- носящееся к созданию вредоносной программы для ЭВМ.

Факты использования и распространения вредоносной про- граммы нередко обнаруживаются с помощью антивирусных про- грамм. В ходе расследования такие факты можно установить при осмотре следующих документов:

а) журналов учета рабочего времени, доступа к вычислитель- ной технике, ее сбоев и ремонта, регистрации пользователей компьютерной системы или сети, проведения регламентных ра- бот;

б) лицензионных соглашений и договоров на пользование программными продуктами и их разработку;

в) книг паролей; приказов и других документов, регламенти- рующих работу учреждения и использование компьютерной ин- формации. Эти документы нередко ведутся в электронной фор- ме, поэтому к ознакомлению с ними необходимо привлекать спе- циалиста. При изучении журналов, книг, соглашений и другой документации следователь может выяснить законность исполь- зования того или иного программного обеспечения, систему орга- низации работы учреждения и обработки в нем информации, дос- тупа к ней и компьютерной технике, круг лиц, имевших на это право.

Проводя допросы свидетелей, необходимо выяснять, какая информация подвергалась вредоносному воздействию, ее назна- чение и содержание; как осуществляется доступ к ресурсам ЭВМ, их системе или сети, кодам, паролям и другим закрытым данным; как организованы противовирусная защита и учет пользователей компьютерной системы.

В ходе допросов свидетелей нужно иметь в виду, что практи- куется множество способов использования и распространения вредоносных программ. Так, нередки случаи запуска программы с другого компьютера или с дискеты, купленной, одолженной, полу- ченной в порядке обмена, либо с электронной «доски объявле- ний». Распространение вируса, вызывающего уничтожение и блокирование информации, сбои в работе ЭВМ или их системы, может происходить по компьютерной сети вследствие использо- вания нелицензионной и несертифицированной программы (чаще игровой), купленной у случайного лица, а также скопированной у кого-либо.

Доказыванию фактов использования и распространения вре- доносных программ способствует своевременное производство информационно-технологической экспертизы, посредством кото- рой можно определить, какие изменения и когда внесены в ис- следуемые программы, а также последствия использования и распространения вредоносных программ. Экспертиза может так- же установить примененный преступником способ преодоления программной и аппаратной защиты (подбор ключей и паролей,

отключение блокировки, использование специальных программ-

ных средств).

При установлении лиц, виновных в создании, использова- нии и распространении вредоносных программ для ЭВМ, необ- ходимо учитывать, что такую программу может создать человек, обладающий специальными познаниями. Легче всего создать вирус опытному программисту, который, как правило, не участ- вует в их распространении. Зачастую вредоносные программы создают и используют субъекты, хорошо освоившие машинный язык, движимые чувством самоутверждения, мотивами корысти или мести, а иногда и потребностью в компьютерном вандализ- ме. Некоторые делают это, стремясь «расколоть» систему за- щиты информации, официально считающуюся неуязвимой.

Выделяются следующие группы преступников:

а) хакеры — лица, рассматривающие меры защиты информа- ционных систем как личный вызов и взламывающие их с целью получения контроля за информацией независимо от ее ценности; б) шпионы — лица, взламывающие защиту информационных систем для получения информации, которую можно использовать

в целях политического влияния;

в) террористы — лица, взламывающие информационные системы для создания эффекта опасности, который можно ис- пользовать и в целях политического влияния;

г) корпоративные налетчики — служащие компании, взла- мывающие компьютеры конкурентов для экономического влия- ния;

д) воры, вторгающиеся в информационные системы для полу-

чения личной выгоды;

е) вандалы — лица, взламывающие системы с целью их раз-

рушения;

ж) нарушители правил пользования ЭВМ, совершающие про- тивоправные действия из-за недостаточного знания техники и порядка пользования информационными ресурсами;

з) лица с психическими аномалиями, страдающие новым видом заболеваний — информационными болезнями или компьютерными фобиями.

Использовать и распространять вредоносные программы в принципе может любой пользователь персонального компьютера. Однако наибольшую потенциальную опасность представляют опытные компьютерные взломщики, получившие название хаке-

ров, а также высококвалифицированные специалисты в области электронных технологий.

Преступления этой категории иногда бывают групповыми: ха- кер-профессионал создает вредоносные программы, а его со- общники помогают ему в материально-техническом и информа- ционном отношениях. Мировой практике борьбы с компьютерны- ми преступлениями известны случаи связей между хакерами и организованными преступными сообществами. Последние высту- пают в роли заказчиков компьютерных махинаций, обеспечивают хакеров необходимой техникой, а те организуют хищения денеж- ных средств из банковских компьютерных систем.

Поиск лица, причастного к использованию вредоносных про- грамм для ЭВМ, сопряжен со значительными затратами времени, сил и средств. Органу дознания нужно поручить выявление и проверку лиц, ранее привлекавшихся к ответственности за анало- гичные преступления. В некоторых случаях злоумышленника можно идентифицировать по следам рук, оставленным на участ- ках дисководов, клавишах, других частях компьютера.

Установив подозреваемого, его немедленно задерживают, чтобы предотвратить уничтожение компрометирующих материа- лов. Кроме того, если вредоносная программа является компью- терным вирусом, промедление может расширить масштабы его распространенности и причиненный ущерб.

Проводя допрос подозреваемого, нужно выяснить уровень его профессиональной подготовки, опыт работы по созданию про- грамм данного класса на конкретном языке программирования, знание алгоритмов их работы, но особенно тех, которые подверг- лись неправомерному воздействию.

Допрашивая подозреваемого, необходимо выяснить, где он живет, работает или учится, его профессию, взаимоотношения с коллегами, семейное положение, круг интересов, привычки и наклонности, навыки программирования, ремонта и эксплуата- ции компьютерной техники, какими ее средствами, машинными носителями, аппаратурой и приспособлениями он располагает, где и на какие средства их приобрел, где хранил и т.д.

Допрос обвиняемого преследует цель выяснить обстоятель- ства подготовки и совершения преступления, алгоритм функцио- нирования вредоносной программы и то, на какую информацию и как она воздействует.

Для проверки возможности создания вредоносной программы определенным лицом, признавшимся в этом, проводится следст-

венный эксперимент с использованием соответствующих средств компьютерной техники.

При установлении вреда, причиненного преступлением, следует помнить, что вредоносная программа в виде вируса может практически мгновенно размножиться в большом количе- стве экземпляров и очень быстро заразить многие компьютер- ные системы и сети. Это реально, ибо компьютерные вирусы могут:

а) заполнить весь диск или всю свободную память ЭВМ свои-

ми копиями;

б) поменять местами файлы, т.е. смешать их так, что отыскать их в компьютере будет практически невозможно;

в) испортить таблицу размещения файлов;

г) отформатировать диск или дискету, уничтожив все ранее записанное на соответствующем носителе;

д) вывести на дисплей то или иное нежелательное сообще-

ние;

е) перезагрузить ЭВМ, т.е. осуществить произвольный пере-

запуск;

ж) замедлить ее работу;

з) изменить таблицу определения кодов, сделав невозможным пользование клавиатурой;

и) изменить содержание программ и файлов, что повлечет ошибки в сложных расчетах;

к) раскрыть информацию с ограниченным доступом;

л) привести компьютер в полную негодность.

Размер причиненного ущерба устанавливается экспертным путем в рамках судебно-бухгалтерской и судебно-экономической экспертиз, проводимых в комплексе с информационно- технологической и информационно-технической экспертизами.

Полную безопасность компьютерных систем обеспечить чрез- вычайно трудно, однако снизить вредные последствия вирусов до определенного уровня можно. Для этого необходимо:

а) применять антивирусные средства;

б) не использовать случайное несертифицированное про- граммное обеспечение, а также нелегальные копии программ для ЭВМ;

в) делать резервные копии программ и системных файлов, а также контролировать доступ к компьютерным системам;

г) проверять каждую приобретенную программу (дискету) на возможную зараженность компьютерным вирусом;

е) регулярно записывать программы, устанавливаемые в ком-

пьютерную систему, и др.