Преступления в сфере компьютерной информации: виды и следовая картина

Акты международно-правового характера.

Основным актом является Конвенция Совета Европы о преступности в сфере компьютерной информации. Носит обозначение ETS 185 от 23.11.2001 г., Будапешт.

Документ интересный, отражает европейский подход к пониманию преступности (или преступления в киберпространстве). Интересно сравнить с нашим подходом.

Она открыта для подписания не только государствами – членами Совета Европы, но и другими государствами – США, Япония и Россия.

В чем базовый подход этой конвенции к пониманию киберпреступности.

Преступления такого характера делятся на 4 группы:

1. Преступления против конфиденциальности, целостности и доступности компьютерных данных и систем (и незаконный доступ, и незаконный перехват, и противоправное воздействие на компьютерные системы, а также на компьютерные данные, противозаконное использование специальных компьютерных программ, которые специально разработаны или адаптированы для совершения таких преступлений [вредоносная программа]);

2. Преступления, связанные с использованием компьютерных средств;

Это и подлог, и мошенничество с использованием компьютерных технологий.

Что понимается под этими словами? Это такие злонамеренные и противоправные ввод, изменение, удаление, блокирование данных, в результате которых нарушается их аутентичности, но при этом преступник желает, чтобы эти данные все равно рассматривались прочими пользователями как аутентичные.

3. Преступления, связанные с нарушением авторского права и смежных прав;

4. Производство с целью распространения предложения или предоставление в пользование детской порнографии (для европейцев это очень актуально).

Причем более того, в эту группу преступления входит даже просто владение детской порнографии в памяти компьютера.

К этой конвенции был принят Протокол № 1 в соответствии с которым к преступления в киберпространстве было отнесено распространение информации расистского и иного подобного характера, подстрекающего к ненависти и дискриминации как отдельного лица, так и группы лиц на основании расовой, религиозной, национальной и иной принадлежности.

В соответствии с конвенцией каждое государство-участник должно создать необходимые условия для предоставления компетентным органам определенного набора прав для борьбы с преступлениями. Право на выемку компьютерных носителей, конфискация копий компьютерных данных и их экземпляров, уничтожение и блокирование компьютерных данных и т.п.

Есть еще одно интересное требование: государства-подписанты обязаны принять такие НПА, которые бы обязывали Интернет провайдеров проводить сбор, фиксацию или необходимой информации с помощью тех технических средств, которые у них имеются и дальнейшая передача этой информации правоохранительных органам.

Провайдерам предлагается сохранять в тайне сведения о таком сотрудничестве. Т.е. заключая договор с клиентом провайдер не может сказать клиенту, что его данные могут быть переданы в правоохранительные органы.

Еще хотелось бы отметить из числа документов международно-правового характера, как Кодификатор составов преступления ИНТЕРПОЛА.

Есть такая проблема в ИНТЕРПОЛЕ – когда лицо начинают преследовать за совершение преступления, его квалифицируют по ст. национального УК. Но УК – разные и придумали общий квалификатор!

Компьютерные преступления там под литерой Q. К ним относится прежде всего QA (это несанкционированный доступ и перехват). Среди преступлений категории QA, выделяется QAH (Hacking т.е.) – компьютерный абордаж хакинг. Hacking – доступ к компьютерам и сетями без необходимого доступа.

QAI (interception) – несанкционированный перехват информации путем подключения к каналам связи. Перехват может производиться через внешние коммуникационные канал, через подключение к периферийным устройствам и т.п.

QAT (timing) – незаконные использование компьютерной системы без намерения оплачивать это пользование. Когда вы подключаетесь к провайдеру и пользуетесь его временем без намерения за это платить.

QD – изменение компьютерных данных (вредоносные программы проще говоря).

QDL (logic) – логическая бомба. Это категория вредоносных программ, которые запускаются и выполняют свою вредоносную функцию только 1 раз и только при определенных условий (может быть набор клавиш на клавиатуры или времени – как вирус Millenium).

QDT – Trojan.

QDV – Virus

QDW – Worm.

QF (fraud) – и мошенничество с банкоматами (QFC), QFF (fishing) – мошенничество и хищение из компьютерных систем при помощи поддельных устройств (карт, например) QFG (мошенничество с игровыми автоматами) QFP (мошенничество с платежными средствами).

QR – незаконное копирование. Основными категориями является QRG – компьютерных игр копирование, QRS –копирование всего прочего программного обеспечения.

QS – компьютерный саботаж. QSH (hard) – саботаж с использованием аппаратного обеспечения, т.е. воздействие на аппаратную составляющую ЭВМ, QSS (soft) – саботаж с использованием программного обеспечения.

Есть побочная категория – QZ. QZB – несанкционированное использование компьютерных досок объявлений. Есть QZE – хищение информации, составляющую коммерческую тайну.

Как же построена система ответственности у нас?

В отечественном УК в разряд преступлений в сфере компьютерной информации входит всего 3 состава:

272 – неправомерный доступ к компьютерной информации (сейчас упоминание из ЭВМ исключили).

273 – создание, использование и распространение вредоносных программ.

274 – нарушение правил эксплуатации компьютерных средств и телекоммуникационных сетей.

По международным актам любое преступление с использованием компьютера – это будет именно «компьютерное преступление». У нас подход более логичный – у нас это преступления, которые посягают именно на компьютерную информацию. Если есть на доступ к банковской программе идет процесс, то тут 2 состава будет! Если сисадмин выливает ведро воды на сервер – это 176 (уничтожение имущества) и еще будет состав (нарушение правил эксплуатации ЭВМ).

Если умысел был направлен на то, чтобы сжечь железяку – это будет 176. А если был умысел на то, чтобы уничтожить информацию – тогда это уже будет 274 – нарушение правил эксплуатации ЭВМ.

Это принципиальная разница между европейским подходом и нашим.. Наш подход куда более узкий – у нас нужно нанести ущерб именно компьютерной информации.

Воздействие на компьютерную информацию

Воздействие на информацию может быть как правомерным, так и не правомерным. Преступлением является именно неправомерное воздействие. Что является критерием разграничения? Полномочия пользователя информации на совершение тех или иных действий.

Если информация моя, то я могу с ней что угодно делать. А если информация не моя – тогда речь уже пойдет об ответственности.

Несанкционированное воздействие может осуществляться следующими способами:

1. Доступ;

a. Непосредственный;

b. Удаленный

2. Внедрение в память ЭВМ специальных программ;

3. Физическое воздействие на ЭВМ и носители компьютерной информации – физически воздействуешь на носитель, но для того, чтобы воздействовать на информацию.

При осуществлении доступа лицо, которое стремится совершить операцию с информацией получаете доступ лично отдавать команды процессору ЭВМ и оно само решает когда и какие команды давать.

При этом, если доступ осуществляется при помощи тех устройств ввода/вывода, которые предназначены для непосредственного пользователя (через нашу клаву, через наш usb-разъем) – это прямой доступ. Если через линии связи ЭВМ – это удаленный доступ.

Прим это, тот человек, который на нашей клаве работает –у него к своему компьютеру непосредственный доступ, а вот к тому другому компьютеру – это удаленный доступ.

Удаленный доступ – в принципе не плохо, можно объединить в сеть несколько компьютеров. Во многих операционных системах есть встроенные системы (Удаленный доступ в WinXP). Для чего это надо? Этим часто пользуются сисадмины. У вас с бой – нужно либо тащить ему свой компьютер в живую или объяснять на пальцах. Чтобы не делать всего этого – звонишь сисадмину, называешь свой ID твоего компьютера – вы разрешаете удаленный доступ, а потом сисадмин получает удаленный доступ к своему компьютеру.

Удаленный доступ может быть как правомерный, так и не правомерный. Если с согласия пользователя – тогда такой доступ будет правомерный. Если доступ осуществляется без согласия – это уже неправомерный доступ.

Следующими средствами может осуществляться:

1. завладение средствами ввода/вывода при отсутствии пользователя (ушел пользователь кофе пить, а вы за его компьютер сели);

2. подключение за хвост (подключается параллельное устройство ввода/вывода и когда пользователь дает сигнал на прекращение ввода команд, его устройство отключается, а ваше – остается);

3. хищение паролей;

4. подбор паролей.

Пароль- это набор определенных символов – цифр и букв. Но их количество цифр и букв ограничено. Если у нас пароль состоит из 3 символов, то порядка 10-15 тысяч комбинаций может быть. Есть специальные hacktools, которые как раз вот и созданы для постоянно ввода паролей с изменениями и подбирает нужные пароли с разными комбинациями.

Но наши системы тоже не глупые и когда программа-сторож видит это постоянное «колочение» hacktools – эта программа его отключает.

5. внедрение и несанкционированный запуск программы, которая позволяет злоумышленнику осуществлять удаленный доступ.

Внедрение в память ЭВМ специальных программ – в чем тут отличие от доступа. При доступе команды и их последовательности выбирает сам человек. При внедрении специальных программ, неправомерные действия с информацией осуществляться в автоматическом режиме. Эти программы могут быть санкционированными, пример – автосохранение в Word’e. Но в отличие от несанкционированного доступа вы знаете об этом.

Но представьте себе, что у тебя есть в компе прога, которая копирует ваши файлы и отсылает их не понятно куда.

В противном случае такие программы можно считать вредоносными.

Что это такое вредоносные программы?

Вредоносная программа – п. в ст. 1 соглашения о сотрудничестве государств-СНГ в борьбе с преступлениями в сфере компьютерной информации. Интересный документ международно-правового характера.

Вредоносная программа – это созданная или существующая программа, но со специально внесенными изменениями, заведомо приводящая к несанкционированному уничтожению, блокированию, модификации или копированию информации, нарушение работы ЭВМ или сети ЭВМ.

С научной точки зрения имеет значение классификация вредоносных программ. Они классифицируются по результатами их действий.

В.В. Крылов дал ее классификацию.

Вредоносные программы:

1. Безвредные инфекции – это такие вредоносные программы, которые не уничтожают информацию, не производят с ней каких-либо действий, но могут нарушать штатный режим работы компьютера.

Пример – вирус Курникова. Работаете-работаете и потом у вас появляется фото Курниковой, а потом она исчезает и все.

Но эти инфекции могут иметь серьёзные эффекты. С помощью этих инфекций можно поражать самих пользователей – генерировать ультразвуковых и инфразвуковых волн черзе колонки или 25 кард.

2. Опасные инфекции.

Это вредоносные программы, которые именно приводят к уничтожению, блокированию информации, ее модификации или выводят из строя ЭВМ, делая его функционирование невозможным на длительный срок.

3. Инфекции-проникновения.

Вредоносные программы, предназначенные для неправомерного доступа к чужим информационным ресурсам прежде всего с целю копирования и передачи.

Вредоносные программы могу создавать как изначально вредоносные или она может создавать изначально из модификации изначально полезной программы.

Другим видом классификации вредоносных программ является их разделение с точки зрения возможности к самовоспроизводству.

1. Саморазмножающиеся;

2. Без возможности саморазмножения (закладки).

Саморазмножающиеся программа

К ним относятся черви – worms. Это как раз случай программа, которая является вирусом в чистом виде. Тело червя в этом файле и живет. Попав в память компьютера червь перехватывает управление и дает процессору команду на копию самого себя. И еще есть те черви, которые говорят процессору удалять все, кроме самого себя.

Черви могут обладать свойствами логических бомб. Они лежат в течение определенного времени в компьютере, а потом начинают свою разрушительную работу (на время реагируют, на модификацию нажатия клавиш).

Черви бывают у нас сетевые, т.е. те, которые возникают после обращения к определенным ресурсам в сети Интернет. При клике на определенную ссылку в Интернете ваш компьютер начинает скачивать этого определенного червя.

Есть файловые черви – когда они маскируются под другие файлы – фото файлы, видео, аудиофайлы (и пользователь должен активировать файл из любопытства – посмотри на мои фото с вечеринки).

Опасные e-mail черви те, которые получают доступ к адресной книге и рассылают другим пользователям. Опасность в том, что другим пользователям приходит файл из «доверенного источника».

Есть архивные черви – это способ обхода антивирусных программ. Червь прятался в такую защиту и при распаковке файла мгновенно активизировался.

Второй вид – это вирусы.

Вирусы могут саморазмножаться. Но в отличие от червя, они существуют в виде дописок, довеска к другим программам. Черви существуют в чистом виде, а эти вирусы цепляются к другим прогам. Интересно то, что вначале подключается полезный код, а потом вредоносный модуль выполняется. После этого вирус может цепляться к другим файлам аналогичного характера.

Без возможности саморазмножения.

Что такое Trojan – от слова троянский конь. Вирус прячется внутри полезной программы. Вы скачиваете себе полезную программу. Свойствами Троянов обладают многие вирусы. И многие, кстати, shareware программы.

Также шпоны – spyware – для негласного сбора сведений об отдельном компьютере или действий пользователя. Они могут получать доступ к тому, что у вас на жестком диске, что вы делаете и ваши подключения с сети. Популярная разновидность – keylogger. Когда высвечивается окошко – введите пароль – активизируется keylogger – и записывает последовательность введенных вами клавиш на клавиатуре.

Есть специальное семейство – sniffer – нюхачи. Они предназначены для автоматического перехвата компьютерной информации, передаваемой по сетям. Некоторые из них могут распознавать формат данных и выуживать из них ваши пароли. Есть специализированные sniffer’ы для перехвата паролей для ICQ.

Spoofer – когда вы входите в какую-то систему, они создают образ окошка для ввода пароля. Вы его вводите, она его запоминает, отсылает кому надо, а потом пишет – ошибка пароля. А потом вы будете вводить в обычное окошко. Если spoofer’ы более жесткие – они без окошка ошибка пароля обходятся.

Программы удаленного администрирования – крысы (RAT – remote access Trojan/Tool), backdoor’s, люков и т.п. Это те самые программы, которые позволяют удаленный доступ незаконно получать.

Есть троянские прокси (Trojan proxy) –это такая интересная программа, словно компьютерный СПИД – она отключает регистрацию ваших действий (злоумышленник осуществляет действия, а вы об этом не знаете). Могут даже отключать защиту антивирусных программ.

Downloader Backdoors – они скачивать будут антивирусы.

Программы для организации сетевых атак – nuke, DDOS-атака.

DDOS – distance denial of service. Нужно компьютер загрузить таким количеством запросов, чтобы компьютер жертвы начал тормозить. Но по куче компьютеров в мире ты посылаешь nuke и благодаря этому некоторые компы в мире становятся компьютерами-рабами и вы заваливаете компьютер-жертвы DDOS – атакой, огромным количеством запросов

1981 год – Richard Skrantor – 15 лет, он придумал вирус, который распространялся через дискеты. Как только дискета вставлялась в компьютер, то вирус прописывался в память компьютера, а потом когда вставляли чистую дискету – он туда дублировался .И потом после 50 запуска сообщение появлялось на компьютере – я компьютер и я получил самосознание.

Лахорскй вирус 1986 г. или вирус Brey – из Пакистана создали двое братьев-прграммистов придумали программу! Для того, чтобы что-то скачать, нужно было ввести пароль. Если пароль ты не прописывал, то вместе с программой туда записывался вирус, который размножался до тех пор, пока дискета не заполнится. Но была ошибка и одну дискету смогли вынести.

Аспирант Роберт Морис (а у него отец был один из экспертов компьютерной безопасности). Он хотел написать дипломную работу и узнать сколько компов в Арпанете. Придумал прогу, которая записывается на другой компьютер, проверяет есть ли она уже там, и если ее нет или если она есть – возвращается назад сигнал. Парень ошибся и вирус копировался до тех пор, пока не занял все пространство на чужих компьютеров пентагона и уничтожил он таким образом 6 000 компьютеров.

Был более страшный вирус Пятница 13 (именуемый Иерусалим). В пятницу 13 он начинал форматирование жесткого диска.

То же самое делал вирус Микеланджело (или вирус 6 марта).

В 1999 г. появился первый почтовый вирус – Мелисса, распространялся через почту.

В 2000 г. появилась модификация Мелиссы – I love you – удаляла все данные на жестком диске и записывал сам себя туда!

2004 г. – Интернет-вирус Сассер. Это один из первых интернет-вирусов. Нужно было просто подключиться к Интернету и зайти на определенный сайт. После этого червь загружался на компьютер и начинал искать другие компьютеры, которые не защищены.

Физическое воздействие.

Делится на механическое и собственно физическое. Механическое воздействие тоже бывает разных видов.

1. Строго механическое – разрезание, дробление, сточка.

Удары по жёсткому диску молотком, просверливание дрелью еще полностью не исключают восстановление данных.

Надо уничтожить гермокамеру – тогда туда попадет пыль и при огромной скоростью

2. Термическое воздействие

От 800 до 1000 градусов нагрев будет и все, информацию не сможет восстановить информацию.

3. Химическое воздействие.

Щелочь, кислота и т.п.

4. Физическое воздействие - Применение электромагнитного импульса высокой мощности – все элементы памяти собьет.

После механического воздействия уже нельзя ничего сделать с диском, он не работает, а вот при физическом – тогда уничтожит всю информацию.

Есть специальные блоки – встраиваются прямо в компьютер и при отправке смс-сообщения мощным электромагнитным импульсом стирает все данные с жесткого диска.

Компьютерные преступники

В зависимости от побудительных причин делятся они. Гай Стил – он придумал слово hacker:

1. Вандалы – вламываются для дальнейшего уничтожения системы;

2. Шутники (чтобы подшутить над другими людьми);

3. Взломщики – которые систему взламывают с целью кражи или подмены информации.

В. В. Крылов:

1. Хакеры –совершают преступление из любви к искусству с целью доказать себе и другим свои способности;

2. Шпионы – лица, которые стремятся получить доступ к информации с целью ознакомиться с ней.

3. корыстные преступники – получают доступ к информации, чтобы воздействовать на нее и получить от этого прибыль.

4. террористы – воздействуют на компьютерные системы с целью дезорганизовать деятельность гос.органа, организации и т.п.

5. вандалы – только из стремления уничтожить информацию.

6. Психически больные лица (их много в Интернете).

Следы остаются в log’ах – это текстовые файлы, в которых заносятся все действия администратора.

Проблема может заключаться в том, что на некоторых компьютерах логи специально обрезанные, чтобы не загружать компьютер. Но информация не полная тогда может быть. А вот если у нас есть логи провайдера – это здорово. Там все максимально фиксируется. С помощью логов провайдеры разбиваются с клиентами – кто, откуда, куда подключился и сколько времени просидел.

Если у тебя есть подозрение, что тебя могут проследить, то можно подключить специальный sniffer – он будет проверять входящую и исходящую информацию. Это как поставить прослушку на телефон (только тут для сетевого трафика). На сленге – подвесить на зеркало.

07.11.2012 г.