Способ несанкционированного доступа к информации компьютерный абордаж заключается в
Зарубежными специалистами разработаны различные классификации способов совершения компьютерных преступлений. Ниже приведены названия способов совершения подобных преступлений, соответствующих кодификатору Генерального секретариата Интерпола. В 1991 г. данный кодификатор был интегрирован в автоматизированную систему поиска и в настоящее время доступен соответствующим службам более чем 100 стран.
Все коды, характеризующие компьютерные преступления, имеют идентификатор, начинающийся с буквы Q. Для характеристики преступления могут использоваться до пяти кодов, расположенных в порядке убывания значимости совершенного.
- QAH – компьютерный абордаж;
- QAI – перехват;
- QAT – кража времени;
- QAZ – прочие виды несанкционированного доступа и перехвата;
- QDL – логическая бомба;
- QDT – троянский конь;
- QDV – компьютерный вирус;
- QDW – компьютерный червь;
- QDZ – прочие виды изменения данных;
- QFC – мошенничество с банкоматами;
- QFF – компьютерная подделка;
- QFG – мошенничество с игровыми автоматами;
- QFM – манипуляции с программами ввода-вывода;
- QFP – мошенничества с платежными средствами;
- QFT – телефонное мошенничество;
- QFZ – прочие компьютерные мошенничества;
- QRG – компьютерные игры; QRS – прочее программное обеспечение;
- QRT – топография полупроводниковых изделий;
- QRZ – прочее незаконное копирование;
- QSH – саботаж с использованием аппаратного обеспечения;
- QSS – саботаж с использованием программного обеспечения;
- QSZ – прочие виды саботажа;
- QZB – с использованием компьютерных досок объявлений;
- QZE – хищение информации, составляющей коммерческую тайну;
- QZS – передача информации конфиденциального характера;
- QZZ – прочие компьютерные преступления.
Кратко охарактеризуем некоторые виды компьютерных преступлений согласно приведенному кодификатору.
Несанкционированный доступ и перехват информации (QA) включает в себя следующие виды компьютерных преступлений: QAH – «абордаж» (хакинг – hacking) – доступ в компьютер или сеть без права на это. Обычно используется хакерами для проникновения в чужие информационные сети;
QAI – перехват (interception) при помощи технических средств без права на его совершение. Осуществляется либо прямо через внешние коммуникационные каналы системы, либо путем непосредственного подключения к линиям периферийных устройств. При этом объектами непосредственного подслушивания становятся кабельные и проводные системы, наземные микроволновые системы, системы спутниковой связи, а также специальные системы правительственной связи. К данному виду компьютерных преступлений также относится электромагнитный перехват (electromagnetic pickup). Современные технические средства позволяют получать информацию без непосредственного подключения к компьютерной системе: ее перехват осуществляется за счет излучения центрального процессора, дисплея, коммуникационных каналов, принтера и т. д. Все это можно осуществлять, находясь на достаточном удалении от объекта перехвата.
Для характеристики методов несанкционированного доступа и перехвата информации используется специфическая терминология:
- «жучок» (bugging) – установка микрофона в компьютере с целью перехвата разговоров обслуживающего персонала;
- «откачивание данных» (data leakage) – сбор информации, необходимой для получения основных данных, в частности о технологии ее прохождения в системе;
- QAT – кража времени – незаконное использование компьютерной системы или сети с намерением неуплаты.
Изменение компьютерных данных (QD) включает в себя следующие виды преступлений:
QDL/QDT – логическая бомба (logic bomb), троянский конь (trojan horse): изменение компьютерных данных без права на это путем внедрения логической бомбы или троянского коня.
Логическая бомба заключается в тайном встраивании в программу набора команд, который должен сработать лишь однажды, но при определенных условиях.
Компьютерный вирус – это специально написанная программа, которая может «приписать» себя к другим программам (то есть заражать их), размножаться и порождать новые вирусы для выполнения различных нежелательных действий на компьютере.
Троянский конь – тайное введение в чужую программу таких команд, которые позволяют осуществлять иные, не планировавшиеся владельцем программы функции, но одновременно сохранять прежнюю работоспособность;
QDV – вирус (virus) – изменение компьютерных данных или программ без права на это путем внедрения или распространения компьютерного вируса.
Процесс заражения компьютера программой-вирусом и его последующее лечение имеют ряд черт, свойственных медицинской практике. По крайней мере, эта терминология весьма близка к медицинской:
- резервирование – копирование FAT, ежедневное ведение архивов измененных файлов – это самый важный и основной метод защиты от вирусов. Остальные методы не могут заменить ежедневного архивирования, хотя и повышают общий уровень защиты; профилактика – раздельное хранение вновь полученных и уже эксплуатируемых программ, разбиение дисков на «непотопляемые отсеки» – зоны с установленным режимом «только для чтения», хранение неиспользуемых программ в архивах, использование специальной «инкубационной» зоны для записи новых программ с дискет, систематическая проверка ВООТ-сектора используемых дискет и др.;
- анализ – ревизия вновь полученных программ специальными средствами и их запуск в контролируемой среде, систематическое использование контрольных сумм при хранении и передаче программ. Каждая новая программа, полученная без контрольных сумм, должна тщательно проверяться компетентными специалистами, по меньшей мере, на наличие известных видов компьютерных вирусов, и в течение определенного времени за ней должно быть организовано наблюдение;
- фильтрация – использование резидентных программ типа FluShot Plus, Mace Vaccinee и других для обнаружения попыток выполнить несанкционированные действия;
- вакцинирование – специальная обработка файлов, дисков, каталогов, запуск специальных резидентных программ-вакцин, имитирующих сочетание условий, которые используются данным типом вируса, для определения заражения программы или всего диска;
- терапия – деактивация конкретного вируса в зараженных программах с помощью специальной антивирусной программы или восстановление первоначального состояния программ путем уничтожения всех экземпляров вируса в каждом из зараженных файлов или дисков с помощью программы-установщика фага.
Понятно, что пользователю избавиться от компьютерного вируса нередко гораздо сложнее, чем обеспечить действенные меры по его профилактике;
QDW – червь – изменение компьютерных данных или программ без права на то путем передачи, внедрения или распространения компьютерного червя в компьютерную сеть. Компьютерные мошенничества (QF) объединяют в своем составе разнообразные способы совершения компьютерных преступлений:
QFC – компьютерные мошенничества, связанные с хищением наличных денег из банкоматов;
QFF – компьютерные подделки: мошенничества и хищения из компьютерных систем путем создания поддельных устройств (карточек и пр.);
QFG – мошенничества и хищения, связанные с игровыми автоматами;
QFM – манипуляции с программами ввода-вывода: мошенничества и хищения посредством неверного ввода в компьютерные системы или вывода из них путем манипуляции программами. В этот вид компьютерных преступлений включается метод подмены данных кода (data diddling code change), который обычно осуществляется при вводе-выводе данных. Это простейший и потому очень часто применяемый способ;
QFP – компьютерные мошенничества и хищения, связанные с платежными средствами (около 45 % всех преступлений, связанных с использованием ЭВМ);
QFT – телефонное мошенничество – доступ к телекоммуникационным услугам путем посягательства на протоколы и процедуры компьютеров, обслуживающих телефонные системы.
Незаконное копирование информации (QR) составляют следующие виды компьютерных преступлений:
QRG/QRS – незаконное копирование, распространение или опубликование компьютерных игр и другого программного обеспечения, защищенного законом;
QRT – незаконное копирование топографии полупроводниковых изделий: копирование без права на это защищенной законом топографии полупроводниковых изделий, коммерческая эксплуатация или импорт с этой целью без права на это топографии или самого полупроводникового изделия, произведенного с использованием данной топографии.
Компьютерный саботаж (QS) составляют следующие виды преступлений: QSH – саботаж с использованием аппаратного обеспечения: ввод, изменение, стирание, подавление компьютерных данных или программ; вмешательство в работу компьютерных систем с намерением помешать функционированию компьютерной или телекоммуникационной системы;
QSS – компьютерный саботаж с программным обеспечением: стирание, повреждение, ухудшение или подавление компьютерных данных или программ без права на это.
К прочим видам компьютерных преступлений (QZ) в классификаторе отнесены следующие:
QZB – использование электронных досок объявлений (BBS) для хранения, обмена и распространения материалов, имеющих отношение к преступной деятельности;
QZE – хищение информации, составляющей коммерческую тайну: приобретение незаконными средствами или передача информации, представляющей коммерческую тайну, без права на это или другого законного обоснования с намерением причинить экономический ущерб или получить незаконные экономические преимущества;
QZS – использование компьютерных систем или сетей для хранения, обмена, распространения или перемещения информации конфиденциального характера.
Некоторые специалисты по компьютерной преступности в особую группу выделяют методы манипуляции, которые имеют специфические жаргонные названия:
- временная бомба – разновидность логической бомбы, которая срабатывает при достижении определенного момента времени;
- асинхронная атака (asynchronous attack) – смешивание и одновременное выполнение компьютерной системой команд двух или нескольких пользователей;
- моделирование (simulation modelling) используется как для анализа процессов, в которые преступники хотят вмешаться, так и для планирования методов совершения преступления. Так осуществляется «оптимизация» способа совершения преступления.
Проблемы предупреждения компьютерных преступлений
В решении многоаспектной проблемы предупреждения компьютерных преступлений наибольшая отдача ожидается от организационного, технического и правового подходов.
Первый предусматривает предотвращение преступлений за счет осуществления мероприятий технического характера: создания архитектуры, протоколов, аппаратного и программного обеспечения вычислительных систем, которые препятствуют преступной деятельности или делают ее трудноосуществимой.
Второй предполагает совершенствование правовых механизмов: улучшение правовой базы, четкое определение составов и мотивов соответствующих преступлений, обеспечение их эффективного обнаружения, расследования и уголовного преследования. Следует отметить, что в последнее время роль правового решения проблем обеспечения безопасности мирового информационного пространства становится все более заметной.
Третий связан с изучением личности компьютерного преступника, его индивидуально-психологических особенностей, систем конкретных ценностей.
Поскольку компьютерная преступность представляет собой существенную угрозу как для отдельного пользователя, так и для частных и государственных структур, необходимо совершенствовать правовой механизм и обеспечить защиту компьютерных сетей как одного из наиболее уязвимых элементов современного технологически зависимого общества.
Немаловажная проблема – контроль над информацией, распространяемой в Интернете. Она носит комплексный, многоплановый характер. С одной стороны, очевидно, что принятое в цивилизованных странах в качестве аксиомы право человека на свободный доступ к информации служит краеугольным камнем фундамента, на котором держится свободное общество. С другой стороны, не секрет, что права и свободы, предоставленные таким обществом без ограничений всем составляющим его индивидуумам, в некоторых случаях с успехом используются террористами для реализации их варварских замыслов, которые осуществляют обмен информацией, координацию и пропаганду своих действий с помощью сети.
Существует множество программ-"взломщиков", называемых на профессиональном языке НАСК-ТООLS (инструмент взлома). Эти программы работают по принципу простого перебора символов. Но они становятся малоэффективными в компьютерных системах, обладающих программой-"сторожем" компьютерных портов, ведущей автоматический протокол обращений к компьютеру и отключающей абонента, если пароль не верен. Поэтому в последнее время преступниками стал активно использоваться метод "интеллектуального перебора", основанный на подборе предполагаемого пароля, исходя из заранее определенных тематических групп его принадлежности.
№ | Тематические группы паролей | % частоты выбора пароля человеком | % раскрываемости пароля |
Имена, фамилии и производные | 22,2 | 54,5 | |
Интересы (хобби, спорт, музыка) | 9,5 | 29,2 | |
Даты рождения, знаки зодиака свои и близких; их комбинация с первой группой | 11,8 | 54,5 | |
Адрес жительства, место рождения | 4,7 | 55,0 | |
Номера телефонов | 3,5 | 66,6 | |
Последовательность клавиш ПК, повтор символа | 16,1 | 72,3 | |
Номера документов (паспорт, пропуск, удостоверение и т.д.) | 3,5 | 100,0 | |
Прочие | 30,7 | 5,7 |
"Неспешный выбор". Отличительной особенностью данного способа совершения преступления является то, что преступник осуществляет несанкционированный доступ к компьютерной системе путем нахождения слабых мест в ее защите. Однажды обнаружив их, он может, не спеша исследовать содержащуюся в системе информацию, скопировать ее на свой физический носитель и, возвращаясь к ней много раз, выбрать наиболее оптимальный предмет посягательства. Обычно такой способ используется преступником в отношении тех, кто не уделяет должного внимания регламенту проверки своей системы, предусмотренной методикой защиты компьютерной системы.
"Маскарад". Данный способ состоит в том, что преступник проникает в компьютерную систему, выдавая себя за законного пользователя. Система защиты средств компьютерной техники, которые не обладают функциями аутентичной идентификации пользователя (например, по биометрическим параметрам: отпечаткам пальцев, рисунку сетчатки глаза, голосу и т.п.) оказываются не защищенными от этого способа. Самый простейший путь к проникновению в такие системы - получить коды и другие идентифицирующие шифры законных пользователей. Это можно сделать посредством приобретения списка пользователей со всей необходимой информацией путем подкупа, коррумпирования, вымогательства или иных противоправных деяний в отношении лиц, имеющих доступ к указанному документу; обнаружения такого документа в организациях, где не налажен должный контроль за их хранением; отбора информации из канала связи и т.д.
Особую опасность представляет несанкционированный доступ в компьютерные системы финансовых учреждений с целью хищения финансовых средств.
Методики несанкционированного доступа сводится к двум разновидностям:
"Взлом" изнутри: преступник имеет физический доступ к терминалу, с которого доступна интересующая его информация и может определенное время работать на нем без постороннего контроля.
"Взлом" извне: преступник не имеет непосредственного доступа к компьютерной системе, но имеет возможность каким-либо способом (обычно посредством удаленного доступа через сети) проникнуть в защищенную систему для внедрения специальных программ, произведения манипуляций с обрабатываемой или хранящейся в системе информацией, или осуществления других противозаконных действий.
6.2. Несанкционированный доступ к данным
Несанкционированный доступ — это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым сведениям.
Перечисленные пути несанкционированного доступа требуют достаточно больших технических знаний и соответствующих аппаратных или программных разработок со стороны взломщика. Например, используются технические каналы утечки — это физические пути от источника конфиденциальной информации к злоумышленнику, посредством которых возможно получение охраняемых сведений. Причиной возникновения каналов утечки являются конструктивные и технологические несовершенства схемных решений либо эксплуатационный износ элементов. Все это позволяет взломщикам создавать действующие на определенных физических принципах преобразователи, образующие присущий этим принципам канал передачи информации — канал утечки.
Однако есть и достаточно примитивные пути несанкционированного доступа: хищение носителей информации и документальных отходов; инициативное сотрудничество; склонение к сотрудничеству со стороны взломщика; выпытывание; подслушивание; наблюдение и другие пути.
Любые способы утечки конфиденциальной информации могут привести к значительному материальному и моральному ущербу как для организации, где функционирует ИС, так и для ее пользователей. Менеджерам следует помнить, что довольно большая часть причин и условий, создающих предпосылки и возможность неправомерного овладения конфиденциальной информацией, возникает из-за элементарных недоработок руководителей организаций и их сотрудников. Например, к причинам и условиям, создающим предпосылки для утечки коммерческих секретов, могут относиться: недостаточное знание работниками организации правил защиты конфиденциальной информации и непонимание необходимости их тщательного соблюдения; использование неаттестованных технических средств обработки конфиденциальной информации; слабый контроль за соблюдением правил защиты информации правовыми, организационными и инженерно-техническими мерами; текучесть кадров, в том числе владеющих сведениями, составляющими коммерческую тайну; организационные недоработки, в результате которых виновниками утечки информации являются люди — сотрудники ИС и ИТ.
Большинство из перечисленных технических путей несанкционированного доступа поддаются надежной блокировке при правильно разработанной и реализуемой на практике системе обеспечения безопасности. Но борьба с информационными инфекциями представляет значительные трудности, так как существует и постоянно разрабатывается огромное множество вредоносных программ, цель которых — порча информации в БД и ПО компьютеров. Большое число разновидностей этих программ не позволяет разработать постоянных и надежных средств защиты против них.
Несанкционированное использование информационных ресурсов, с одной стороны, является последствиями ее утечки и средством ее компрометации. С другой стороны, оно имеет самостоятельное значение, так как может нанести большой ущерб управляемой системе (вплоть до полного выхода ИТ из строя) или ее абонентам.
Несанкционированный обмен информацией между абонентами может привести к получению одним из них сведений, доступ к которым ему запрещен. Последствия — те же, что и при несанкционированном доступе.
Несанкционированный доступ включает в себя следующие виды преступлений:
-
кража времени: незаконное использование компьютерной системы или сети с намерением неуплаты.
- "Компьютерный абордаж" (хакинг - hacking): доступ в компьютер или сеть без права на то. Этот вид компьютерных преступлений обычно используется хакерами для проникновения в чужие информационные сети.
- перехват (interception): перехват при помощи технических средств, без права на то. Перехват информации осуществляется либо прямо через внешние коммуникационные каналы системы, либо путем непосредственного подключения к линиям периферийных устройств. При этом объектами непосредственного подслушивания являются кабельные и проводные системы, наземные микроволновые системы, системы спутниковой связи, а также специальные системы правительственной связи. К данному виду компьютерных преступлений также относится электромагнитный перехват (electromagnetic pickup). Современные технические средства позволяют получать информацию без непосредственною подключения к компьютерной системе: ее перехват осуществляется за счет излучения центрального процессора, дисплея, коммуникационных каналов, принтера и т.д. Все это можно осуществлять, находясь на достаточном удалении от объекта перехвата.
Для характеристики методов несанкционированного доступа и перехвата информации используется следующая специфическая терминология:
- "Жучок" (bugging) - характеризует установку микрофона в компьютере с целью перехвата разговоров обслуживающего персонала;
- "Откачивание данных" (data leakage) - отражает возможность сбора информации, необходимой для получения основных данных, в частности о технологии ее прохождения в системе;
- "Уборка мусора" (scavening) - характеризует поиск данных, оставленных пользователем после работы на компьютере. Этот способ имеет две разновидности - физическую и электронную. В физическом варианте он может сводиться к осмотру мусорных корзин и сбору брошенных в них распечаток, деловой переписки и т.д. Электронный вариант требует исследования данных, оставленных в памяти машины;
- метод следования "За дураком" (piggbackiiig), характеризующий несанкционированное проникновение как в пространственные, так и в электронные закрытые зоны. Его суть состоит в следующем. Если набрать в руки различные предметы, связанные с работой на компьютере, и прохаживаться с деловым видом около запертой двери, где находится терминал, то, дождавшись законного пользователя, можно пройти в дверь помещения вместе с ним;
- метод "За хвост" (between the lines entry), используя который можно подключаться к линии связи законного пользователя и, догадавшись, когда последний заканчивает активный режим, осуществлять доступ к системе;
- метод "Неспешного выбора" (browsing). В этом случае несанкционированный доступ к базам данных и файлам законного пользователя осуществляется путем нахождения слабых мест в защите систем. Однажды обнаружив их, злоумышленник может спокойно читать и анализировать содержащуюся в системе информацию, копировать ее, возвращаться к ней по мере необходимости;
- метод "Поиск бреши" (trapdoor entry), при котором используются ошибки или неудачи в логике построения программы. Обнаруженные бреши могут эксплуатироваться неоднократно;
- метод "Люк" (trapdoor), являющийся развитием предыдущего. В найденной "бреши" программа "разрывается" и туда вставляется определенное число команд. По мере необходимости "люк" открывается, а встроенные команды автоматически осуществляют свою задачу;
- метод "Маскарад" (masquerading). В этом случае злоумышленник с использованием необходимых средств проникает в компьютерную систему, выдавая себя за законного пользователя;
- метод "Мистификация" (spoofing), который используется при случайном подключении "чужой" системы. Злоумышленник, формируя правдоподобные отклики, может поддерживать заблуждение ошибочно подключившегося пользователя в течение какого-то промежутка времени и получать некоторую полезную для него информацию, например коды пользователя.
- изъятие средств компьютерной техники;
- перехват информации;
- несанкционированный доступ;
- манипуляция данными и управляющими командами;
- комплексные методы.
- «за дураком» (piggybacking) – этот способ преступник использует путем подключения компьютерного терминала к каналу связи через коммуникационную аппаратуру в тот момент, когда сотрудник, отвечающий за работу средств компьютерной техники, кратковременно покидает свое рабочее место, оставляя терминал в активном режиме;
- «за хвост» (between-the-lines entry) – преступник подключается к линии связи законного пользователя и дожидается сигнала, обозначающего конец работы, перехватывает его и осуществляет доступ к системе;
- «неспешный выбор» (browsing) – преступник осуществляет несанкционированный доступ к компьютерной системе путем нахождения слабых мест в ее защите. Этот способ чрезвычайно распространен среди хакеров. В Интернете и других глобальных компьютерных сетях идут постоянный поиск, обмен, покупка и продажа взломанных хакерами программ. Существуют специальные телеконференции, в ходе которых проходит обсуждение программ-взломщиков, вопросов их создания и распространения;
- «брешь» (trapdoor entry) – в отличие от «неспешного выбора», когда производится поиск уязвимых мест в защите компьютерной системы, применяя данный способ, преступник конкретизирует поиск: ищет участки программ, имеющие ошибку или неудачную логику построения. Выявленные таким образом бреши могут использоваться преступником многократно, пока не будут обнаружены законным пользователем;
- «люк» (trapdoor) – логическое продолжение предыдущего способа. В месте найденной «бреши» программа «разрывается», и преступник дополнительно вводит туда одну или несколько команд. Такой «люк» «открывается» по необходимости, а включенные команды автоматически выполняются.
Управление доступом — методы защиты информации регулированием использования всех ресурсов ИС и ИТ. Эти методы должны противостоять всем возможным путям несанкционированного доступа к информации.
Управление доступом включает следующие функции защиты: идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора); опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору; проверку полномочий (проверка соответствия дня недели, времени суток; запрашиваемых ресурсов и процедур установленному регламенту); разрешение и создание условий работы в пределах установленного регламента; регистрацию (протоколирование) обращений к защищаемым ресурсам; реагирование (сигнализация, отключение, задержка работ, отказ в запросе и т.п.) при попытках несанкционированных действий.
Для обеспечения защиты данных используются специальные ключи защиты. Пользователь сможет работать в сетевой версии любой программы при условии, что у него есть такой персональный ключ. Когда пользователь отходит от своего рабочего места, компьютер блокируется и только пользователь с ключом сможет возобновить работу.
Система разграничения прав также позволяет исключить несанкционированный доступ к конфиденциальной информации, благодаря возможности установки индивидуального набора прав на просмотр и изменение документов для каждого пользователя. Правильно распределяя права доступа, вы сможете всегда держать ситуацию под контролем. Достаточно предоставить пользователям соответствующие права и они смогут принимать участие в разработке рекламных кампаний и согласовании рекламных материалов, контролировать расход финансовых средств на рекламу или фиксировать результаты проводимых рекламных мероприятий.
Важнейшим и определяющим элементом криминалистической характеристики любого, в том числе и компьютерного, преступления является совокупность данных, характеризующих способ его совершения.
По способу совершения выделяют следующие группы компьютерных преступлений:
1) воровство средств компьютерной техники;
2) перехват информации;
3) несанкционированный доступ;
4) манипуляция данными и управляющими командами;
5) комплексные методы.
К первой группе относятся традиционные способы совершения преступлений обычных видов, в которых действия преступника направлены на воровство чужого имущества. Характерной отличительной чертой данной группы способов совершения компьютерных преступлений будет тот факт, что в них средства компьютерной техники будут всегда выступать только в качестве предмета преступного посягательства.
Ко второй группе относятся способы совершения компьютерных преступлений, основанные на действиях преступника, направленных на получение данных и машинной информации посредством использования различных методов перехвата. К методам перехвата относятся:
Активный перехват (interception) осуществляется с помощью подключения к телекоммуникационному оборудованию компьютера, например линии принтера, или телефонному проводу канала связи, либо непосредственно через соответствующий порт персонального компьютера.
Пассивный (электромагнитный) перехват (electromagnetic pickup) основан на фиксации электромагнитных излучений, возникающих при функционировании многих средств компьютерной техники, включая и средства коммуникации (например, излучение электронно-лучевой трубки дисплея можно принимать с помощью специальных приборов на расстоянии до 1000 м).
Аудиоперехват, или снятие информации по виброакустическому каналу, является распространенным способом и имеет две разновидности. Первая заключается в установке подслушивающего устройства в аппаратуру средств обработки информации, вторая – в установке микрофона на инженерно-технические конструкции за пределами охраняемого помещения (стены, оконные рамы, двери и т.п.).
Видеоперехват осуществляется путем использования различной видеооптической техники.
Просмотр, или уборка «мусора» (scavening) представляет собой достаточно оригинальный способ перехвата информации. Преступником неправомерно используются технологические отходы информационного процесса, оставленные пользователем после работы с компьютерной техникой (например, удаленная с жестких дисков компьютера, а также съемных дисков информация может быть восстановлена и несанкционированно изъята с помощью специальных программных средств).
К третьей группе способов совершения компьютерных преступлений относятся действия преступника, направленные на получение несанкционированного доступа к информации. К ним относятся следующие:
· «Компьютерный абордаж» (hacking) – несанкционированный доступ в компьютер или компьютерную сеть без права на то. Этот способ используется хакерами для проникновения в чужие информационные сети;
· «За дураком» (piggybacking). Этот способ используется преступниками путем подключения компьютерного терминала к каналу связи через коммуникационную аппаратуру в тот момент времени, когда сотрудник, отвечающий за работу средства компьютерной техники, кратковременно покидает свое рабочее место, оставляя терминал в рабочем режиме;
· «За хвост» (between-the-lines entry). При этом способе съема информации преступник подключается к линии связи законного пользователя и дожидается сигнала, обозначающего конец работы, перехватывает его на себя и осуществляет доступ к системе;
· «Неспешный выбор» (browsing). При данном способе совершения преступления преступник осуществляет несанкционированный доступ к компьютерной системе путем нахождения уязвимых мест в ее защите;
· «Брешь» (trapdoor entry). При данном способе преступником ищутся участки программ, имеющие ошибку или неудачную логику построения. Выявленные таким образом «бреши» могут использоваться преступником многократно, пока не будут обнаружены;
· «Люк» (trapdoor). Данный способ является логическим продолжением предыдущего. В месте найденной «бреши» программа «разрывается», и туда дополнительно преступником вводится одна или несколько команд. Такой «люк» «открывается» по необходимости, а включенные команды автоматически выполняются.
К четвертой группе способов совершения компьютерных преступлений относятся действия преступников, связанные с использованием методов манипуляции данными и управляющими командами средств компьютерной техники.
К этой группе относятся следующие способы совершения компьютерных преступлений:
· написание программы, называемой «троянский конь»;
· написание программы называемой «компьютерный вирус»;
Написание программы, называемой «троянский конь» (trojan horse) заключается в тайном введении в чужое программное обеспечение специально созданных программ, которые, попадая в информационно-вычислительные системы, начинают выполнять новые, не планировавшиеся законным владельцем действия, с одновременным сохранением прежних функций.
В соответствии со ст. 273 Уголовного кодекса РФ под такой программой понимается программа для ЭВМ, приводящая к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети. По существу «троянский конь» – это модернизация рассмотренного способа «люк» с той лишь разницей, что люк «открывается» не при помощи непосредственных действий преступника, а автоматически, с использованием специально подготовленной для этих целей программы и без непосредственного участия самого преступника.
С помощью такого способа преступники обычно отчисляют на заранее открытый счет определенную сумму с каждой банковской операции. Возможен и вариант увеличения преступниками избыточных сумм на счетах при автоматическом пересчете рублевых остатков, связанных с переходом к коммерческому курсу соответствующей валюты. Разновидностями такого способа совершения компьютерных преступлений является внедрение в программы «логических бомб» (logic bomb) и «временных бомб» (time bomb).
Следующий способ совершения компьютерных преступлений – написание программы называемой «компьютерный вирус» (virus). С уголовно-правовой точки зрения, согласно ст. 273 Уголовного кодекса РФ, под компьютерным вирусом следует понимать вредоносную программу для ЭВМ, способную самопроизвольно присоединяться к другим программам («заражать» их) и при запуске последних выполнять различные нежелательные действия: порчу файлов, искажение, стирание данных и информации, переполнение машинной памяти и создание помех в работе ЭВМ.
Компьютерное мошенничество осуществляется способом «подмены данных» (data digging) или «подмены кода» (code change). Это наиболее простой и поэтому очень часто применяемый способ совершения преступления. Действия преступников в этом случае направлены на изменение или введение новых данных, и осуществляются они, как правило, при вводе-выводе информации.
Незаконное копирование (тиражирование) программ с преодолением программных средств защиты предусматривает незаконное создание копии ключевой дискеты, модификацию кода системы защиты, моделирование обращения к ключевой дискете, снятие системы защиты из памяти ЭВМ и т.п.
Не секрет, что подавляющая часть программного обеспечения, используемого в России, является пиратскими копиями взломанных хакерами программ. В качестве примера незаконного тиражирования программ можно привести компьютерную базу российского законодательства «Консультант-плюс». Несмотря на постоянную работу специалистов фирмы по улучшению системы защиты, тысячи нелегальных копий программы имеют хождение на территории России. Последняя, шестая версия «Консультанта» была «привязана» к дате создания компьютера, записанной в его постоянной памяти. Однако не прошло и двух недель после выхода этой версии, как хакерами была создана программа, эмулирующая нужную дату на любом компьютере.
Пятая группа способов – комплексные методы, которые включают в себя различные комбинации рассмотренных способов совершения компьютерных преступлений. По международной классификации в отдельную группу принято выделять такие способы, как компьютерный саботаж с аппаратным или программным обеспечением, которые приводят к выводу из строя компьютерной системы. Наиболее значительные компьютерные преступления совершаются посредством порчи программного обеспечения, причем часто его совершают работники, недовольные своим служебным положением, отношением с руководством и т.д.
Существует ряд способов совершения компьютерных преступлений, которые сложно отнести к какой-либо группе. К таким способам относятся: асинхронная атака, моделирование, мистификация, маскарад и т.д.
Асинхронная атака (Asynchronous attack) – сложный способ, требующий хорошего знания операционной системы. Используя асинхронную природу функционирования большинства операционных систем, их заставляют работать при ложных условиях, из-за чего управление обработкой информации частично или полностью нарушается. Если лицо, совершающее «асинхронную атаку», профессионально, оно может использовать ситуацию, чтобы внести изменения в операционную систему или сориентировать ее на выполнение своих целей, причем извне эти изменения не будут заметны.
При моделировании (Simulation) создается модель конкретной системы, в которую вводятся исходные данные и учитываются планируемые действия. На основании полученных результатов методом компьютерного перебора и сортировки выбираются возможные подходящие комбинации. Затем модель возвращается к исходной точке и выясняется, какие манипуляции с входными данными нужно проводить для получения на выходе желаемого результата. В принципе, «прокручивание» модели вперед-назад можно осуществлять многократно, чтобы через несколько итераций добиться необходимого итога. После этого остается осуществить задуманное на практике.
Мистификация (spoofing) возможна, например, в случаях, когда пользователь удаленного терминала ошибочно подключается к какой-либо системе, будучи абсолютно уверенным, что работает именно с той самой системой, с которой намеревался. Владелец системы, к которой произошло подключение, формируя правдоподобные отклики, может поддержать контакт в течение определенного времени и получать конфиденциальную информацию, в частности коды пользователя и т.д.
Срочно?
Закажи у профессионала, через форму заявки
8 (800) 100-77-13 с 7.00 до 22.00
Важнейшим и определяющим элементом криминалистической характеристики любого, в том числе компьютерного, преступления считается совокупность данных, характеризующих способ его совершения.
Под способом совершения преступления обычно понимают объективно и субъективно обусловленную систему поведения субъекта до, в момент и после совершения преступления, которое оставляет различного рода характерные следы, позволяющие с помощью криминалистических приемов и средств получить представление о сути происшедшего, своеобразии преступного поведения правонарушителя, его отдельных личностных данных и с учетом этого определить оптимальные методы решения задач раскрытия преступления.
Ю.М. Батурин разделил способы совершения компьютерных преступлений на пять основных групп. Методологический подход и ряд предложенных им классификаций следует считать достаточно удачными, поскольку в своей основе этот подход опирается на систематизацию способов совершения компьютерных преступлений, применяющуюся в международной практике. В качестве основного классифицирующего признака выступает метод использования преступником тех или иных действий, направленных на получение доступа к средствам компьютерной техники. Руководствуясь этим признаком, Ю.М. Батурин выделяет следующие общие группы по отношению к способу совершения компьютерных преступлений:
К первой группе относятся традиционные способы совершения обычных видов преступлений, в которых действия преступника направлены на изъятие чужого имущества. Характерной отличительной чертой данной группы способов совершения компьютерных преступлений можно назвать то, что в них средства компьютерной техники всегда выступают только в качестве предмета преступного посягательства.
Например, прокуратурой г. Кургана в 1997 г. расследовалось уголовное дело по факту убийства частного предпринимателя. В ходе обыска на квартире убитого был изъят персональный компьютер. По имеющейся оперативной информации в памяти компьютера убитый мог хранить фамилии, адреса своих кредиторов и должников. В дальнейшем этот компьютер по решению следователя был передан в одну из компьютерных фирм для производства исследования содержимого его дисков памяти. В ту же ночь из помещения компьютерной фирмы компьютер был похищен. В результате того, что изъятие и передача ЭВМ были произведены следователем с рядом процессуальных нарушений, данное преступление осталось нераскрытым.
Ко второй группе относятся способы совершения компьютерных преступлений, основанные на действиях преступника, направленных на получение данных и машинной информации посредством использования методов аудиовизуального и электромагнитного перехвата (в скобках будут приводиться оригинальные названия способов на английском языке).
Активный перехват (interception) осуществляется с помощью подключения к телекоммуникационному оборудованию компьютера, например к линии принтера или телефонному проводу канала связи, либо непосредственно через соответствующий порт персонального компьютера.
Пассивный (электромагнитный) перехват (electromagnetic pickup) основан на фиксации электромагнитных излучений, возникающих при функционировании многих средств компьютерной техники, включая средства коммуникации. Например, излучение электронно-лучевой трубки дисплея можно принимать с помощью специальных приборов на расстоянии до 1000 м.
Аудиоперехват, или снятие информации по виброакустическому каналу, является опасным и достаточно распространенным способом и имеет две разновидности. Первая заключается в установке подслушивающего устройства в аппаратуру средств обработки информации, вторая – в установке микрофона на инженерно-технические конструкции за пределами охраняемого помещения (стены, оконные рамы, двери и т. п.).
Видеоперехват осуществляется путем использования различной видеооптической техники.
К третьей группе способов совершения компьютерных преступлений относятся действия преступника, направленные на получение несанкционированного доступа к информации. В эту группу входят следующие способы.
Компьютерный абордаж (hacking) – несанкционированный доступ в компьютер или компьютерную сеть. Этот способ используется хакерами для проникновения в чужие информационные сети.
Преступление осуществляется чаще всего путем случайного перебора абонентного номера компьютерной системы с использованием модемного устройства. Иногда в этих целях применяется специально созданная программа автоматического поиска пароля. Алгоритм ее работы заключается в том, чтобы, учитывая быстродействие современных компьютеров, перебирать все возможные варианты комбинаций букв, цифр и специальных символов и в случае совпадения комбинаций символов производить автоматическое соединение указанных абонентов.
Эксперименты по подбору пароля путем простого перебора показали, что 6-символьные пароли подбираются примерно за 6 дней непрерывной работы компьютера. Элементарный подсчет свидетельствует о том, что для подбора 7-символьных паролей потребуется уже от 150 дней для английского языка и до 200 дней для русского, а если учитывать регистр букв, то эти числа надо умножить на 2. Таким образом, простой перебор представляется чрезвычайно трудновыполнимым, поэтому в последнее время преступниками стал активно использоваться метод «интеллектуального перебора», основанный на подборе предполагаемого па роля, исходя из заранее определенных тематических групп его принадлежности. В этом случае программе-взломщику передаются некоторые исходные данные о личности автора пароля. По оценкам специалистов, это позволяет более чем на десять порядков сократить количество возможных вариантов перебора символов и на столько же – время на подбор пароля.
Практика расследования компьютерных преступлений свидетельствует о том, что взломанные хакерами пароли оказывались на удивление простыми. Среди них встречались такие, как 7 букв «А»; имя, фамилия автора или его инициалы; несколько цифр, например «57»; даты рождения, адреса, телефоны или их комбинации.
Одно из громких компьютерных преступлений было совершено группой петербургских программистов. Несколько жителей г. Санкт-Петербурга с компьютера, стоящего в квартире одного из них, проникли в базу данных известной канадско-американской информационной компьютерной сети Sprint Net.
Российские хакеры действовали по накатанному пути. Узнав телефонный номер входа в информационную сеть, они написали оригинальную программу эффективного подбора паролей и с ее помощью узнали коды входа в Sprint Net. Использовав их, получили доступ к конфиденциальным базам данных американских и канадских клиентов.
Не удалось установить, какие конкретно цели преследовали хакеры, поскольку воспользоваться ценной коммерческой информацией они не успели. Никакой ответственности за свои действия преступники не понесли. Единственным «наказанием» для них стала оплата сетевого времени, затраченного на вскрытие компьютерной системы и перебор паролей.
Результативность действий хакеров настолько велика, что США, например, намерены использовать их в информационной войне. С момента официального признания в 1993 г. военно-политическим руководством США «информационной войны» в качестве одной из составляющих национальной военной стратегии, ускоренными темпами идут поиски методов, форм и средств ее ведения, в том числе рассматривается возможность привлечения хакеров для использования на различных ее стадиях.
Для несанкционированного проникновения в компьютерные системы используются различные способы:
«Люки» часто оставляют и создатели программ, иногда с целью внесения возможных изменений. Подобные «черные входы» в защищенную систему обычно есть в любой сертифицированной программе, но об этом не принято распространяться вслух.
В качестве примера можно привести компьютерную систему управления самолетами «Мираж». Во время войны в Персидском заливе ее «стопроцентная» защита от несанкционированного доступа была сломана одним кодовым сигналом, пущенным в обход системы защиты. Бортовые системы самолетов были отключены, и Ирак остался без авиации.
К четвертой группе способов совершения компьютерных преступлений относятся действия преступников, связанные с использованием методов манипуляции данными и управляющими командами средств компьютерной техники. Эти методы наиболее часто используются преступниками для совершения различного рода противоправных деяний и достаточно хорошо известны сотрудникам подразделений правоохранительных органов, специализирующихся на борьбе с компьютерными преступлениями.
Компьютерное мошенничество чаще всего осуществляется способом «подмены данных» (data digging) или «подмены кода» (code change). Это наиболее простой и поэтому очень часто применяемый способ совершения преступлений. Действия преступников в этом случае направлены на изменение или введение новых данных, и осуществляются они, как правило, при вводе-выводе информации. Некоторые из таких способов совершения преступлений возникли и получили распространение только с появлением компьютеров. В качестве примера можно привести перебрасывание на подставной счет мелочи, являющейся результатом округления [операция типа «салями» (salami)]. Расчет построен на том, что компьютер совершает сотни тысяч операций в секунду и обрабатывает при этом сотни тысяч счетов клиентов. Заниматься подобным мошенничеством вручную не имеет никакого смысла.
Незаконное копирование (тиражирование) программ с преодолением программных средств защиты предусматривает незаконное создание копии ключевой дискеты, модификацию кода системы защиты, моделирование обращения к ключевой дискете, снятие системы защиты из памяти ЭВМ и т. п.
Не секрет, что подавляющая часть программного обеспечения, используемого в России, представляет собой пиратские копии взломанных хакерами программ. Самая популярная операционная система в России – Microsoft Windows. По статистике, на долю этой платформы приходится свыше 77 % отечественного рынка операционных систем. Своим бесспорным успехом на российском рынке она обязана деятельности компьютерных пиратов. По данным международной организации BSA, занимающейся вопросами охраны интеллектуальной собственности, свыше 90 % используемых в России программ установлены на компьютеры без лицензий, тогда как в США таких не более 24 %.
В качестве примера незаконного тиражирования программ можно привести компьютерную базу российского законодательства «КонсультантПлюс». Несмотря на постоянную работу специалистов фирмы по улучшению системы защиты, тысячи нелегальных копий программы имеют хождение на территории России. Последняя, шестая версия «Консультанта», была привязана к дате создания компьютера, записанной в его постоянной памяти. Однако не прошло и двух недель после выхода этой версии, как хакерами была создана программа, эмулирующая нужную дату на любом компьютере. В настоящее время желающий может найти такую программу в компьютерной сети Интернет и с ее помощью установить на свой компьютер базу данных по законодательству, стоимость которой превышает 1000 долл. США.
Пятая группа способов – комплексные методы, включающие в себя различные комбинации рассмотренных выше способов совершения компьютерных преступлений.
Приведенная классификация не является, как уже отмечалось, единственно возможной. Так, по международной классификации в отдельную группу принято выделять такие способы, как компьютерный саботаж с аппаратным или программным обеспечением, который приводит к выходу из строя компьютерной системы. Наиболее значительные компьютерные преступления совершаются посредством порчи программного обеспечения, причем часто преступниками становятся работники, недовольные своим служебным положением, отношениями с руководством и чем-либо другим в своей работе.
Примером такого компьютерного преступления может служить получивший широкую огласку случай с программистом, остановившим главный конвейер Волжского автозавода в г. Тольятти. Занимаясь отладкой программного кода автоматизированной системы, управляющей подачей механических узлов на конвейер, он умышленно внес изменения в программу. В результате после прохождения заданного числа деталей система зависала и конвейер останавливался. Пока программисты устраняли причину остановки, с конвейера автозавода сошло не более двухсот машин.
Существует также ряд способов совершения преступлений, которые крайне сложно отнести к какой-либо группе. К ним относятся асинхронная атака, моделирование, мистификация, маскарад и некоторые другие.
Асинхронная атака (Asynchronous attack) – сложный способ, требующий хорошего знания операционной системы. Используя асинхронную природу функционирования большинства операционных систем, их заставляют работать при ложных условиях, из-за чего управление обработкой информации частично или полностью нарушается. Если лицо, совершающее асинхронную атаку, достаточно профессионально, оно может использовать ситуацию, чтобы внести изменения в операционную систему или сориентировать ее на выполнение своих целей, причем извне эти изменения не будут заметны.
Моделирование (Simulation) – создание модели конкретной системы, в которую вводят исходные данные и учитывают планируемые действия. На основании полученных результатов методом компьютерного перебора и сортировки выбираются возможные подходящие комбинации. Затем модель возвращается к исходной точке и выясняется, какие манипуляции с входными данными нужно проводить для получения на выходе желаемого результата. В принципе прокручивание модели вперед-назад может происходить многократно, чтобы через несколько итераций добиться необходимого итога. После этого остается осуществить задуманное на практике.
Читайте также: