Головна

Розслідування створення, використання та розповсюдження шкідливих програм для ЕОМ

До шкідливих програм для ЕОМ перш за все відносяться так звані комп'ютерні віруси, тобто програми, що можуть впроваджуватися в чужі інформаційні ресурси, розмножуватися і за певних умов пошкоджувати комп'ютерні системи, що зберігається в них інформацію та програмне забезпечення. Свою назву вони одержали тому, що багато їх властивості аналогічні властивостям природних вірусів. Комп'ютерний вірус може самовідтворюватися у всіх системах певного типу. Деякі з них порівняно безпечні, оскільки не знищують інформацію, проте більшість приносить істотної шкоди.

Є також інші шкідливі програми, що полегшують доступ до інформаційних ресурсів, що використовуються зазвичай для розкрадання грошових коштів у банківських комп'ютерних системах та вчинення інших зловживань у сфері комп'ютерної інформації.

Безпосередній об'єкт даного злочину це суспільні відносини щодо безпечного використання ЕОМ, її програмного забезпечення та інформаційного змісту. Частина 1 ст. 273 КК РФ передбачає здійснення одного з таких дій:

а) створення програми або внесення до неї змін, явно тягнуть несанкціоноване знищення, блокування, модифікацію або копіювання інформації, порушення роботи ЕОМ, їх системи або мережі;

б) використання або поширення подібних програм або машинних носіїв з ними. Зміною програми є перетворення алгоритму, описаного в ній на спеціальному мовою, а розповсюдженням розширення сфери її застосування.

Частина 2 цієї статті передбачає більш небезпечний злочин будь-який з вищевказаних дій, що спричинило тяжкі наслідки. Причому можливі дві форми вини: намір по відношенню до дій і необережність щодо суспільно небезпечних наслідків. Цим злочинам властива висока латентність; особливо важко виявляти творців шкідливих програм.

Основні завдання розслідування вирішуються в такій послідовності:

1) встановлення факту і способу створення, використання та розповсюдження шкідливої програми для ЕОМ;

2) встановлення осіб, винних у названих діяння, а також шкоди, заподіяної ними.

Встановлення факту і способу створення, використання та розповсюдження шкідливої програми для ЕОМ. Така програма виявляється, як правило, коли вже проявилися шкідливі наслідки її дії. Однак вона може бути виявлена і в процесі антивірусної перевірки, що виробляється при початку роботи на комп'ютері, особливо якщо має бути використання чужих дискет або дисків.

Розробка шкідливих програм для ЕОМ зазвичай здійснюється одним із двох способів.

1.  &nbsp Шкідлива програма розробляється прямо на одному з робочих місць комп'ютерної системи, що, зазвичай, маскується під правомірну повсякденну роботу. У силу своїх службових обов'язків розробник має доступ до системи і оброблюваної в ній інформації, в тому числі нерідко до кодів і паролів. Приховування злочинного характеру своїх дій розробник здійснює шляхом видалення компрометуючих даних або зберігання їх на власних дискетах.

2. Програма створюється поза сферою обслуговування комп'ютерної системи, для впливу на яку вона орієнтована. Зловмиснику необхідні відомості про що функціонує в системі інформації, способи доступу до неї, методи її захисту. Для отримання цих даних він встановлює зв'язки з ким-небудь з користувачів системи або впроваджується в неї за допомогою злому.

Іноді шкідлива програма створюється шляхом зміни діючої програми. Наприклад, на Волзькому автозаводі виявилася навмисне розстроєної робота трьох ліній головного складального конвеєра, керованого комп'ютером. Сталося це з вини інженера-програміста, який з низинних спонукань за п'ять місяців до цього ввів в одну з взаємодіючих програм управління накопичувачем механічних вузлів свідомо неправильну послідовність команд рахунку підвісок і подачі шасі на головний конвеєр. Тим самим підприємству був завданий великий матеріальний збиток, а крім того, внаслідок наднормативного простою головного складального конвеєра не було зібрано близько 500 автомобілів "Жигулі".

На факт створення шкідливої програми можуть побічно вказувати наступні обставини:

а) підвищений інтерес сторонніх осіб до алгоритмів функціонування програм, роботу системи блокування і захисту, вхідний і вихідний інформації;

б) раптовий цікавість до програмування осіб, коло обов'язків яких воно не входить. Ці обставини як виявляються в ході оперативно-розшукових заходів, так і при провадженні слідчих дій, зокрема допитів користувачів комп'ютерної системи, в якій виявилися ознаки дії шкідливої програми.

Про створення шкідливої програми свідчать факти її використання та поширення, особливо дані, що дозволяють запідозрити конкретну особу в такій протиправної діяльності. При цьому необхідні своєчасні і ретельно проведені обшуки в місцях роботи і підозрюваного проживання, а також там, звідки він міг налагодити доступ до комп'ютерної системи. До обшуку доцільно залучити фахівця-програміста, який допоможе виявити все що відноситься до створення шкідливої програми для ЕОМ.

Факти використання та розповсюдження шкідливої програми нерідко виявляються за допомогою антивірусних програм. У ході розслідування такі факти можна встановити при огляді наступних документів:

а) часописів обліку робочого часу, доступу до обчислювальній техніці, її збоїв та ремонту, реєстрації користувачів комп'ютерної системи або мережі, проведення регламентних робіт,

б) ліцензійних угод і договорів на користування програмними продуктами та їх розробку;

в) книжок паролів; наказів та інших документів, що регламентують роботу закладу та використання комп'ютерної інформації. Ці документи нерідко ведуться у електронній формі, тому до ознайомлення з ними необхідно залучати фахівця. Під час вивчення журналів, книг, угод і іншій документації слідчий може з'ясувати законність використання того чи іншого програмного забезпечення, систему організації роботи установи та обробки в ньому інформації, доступу до неї та комп'ютерної техніки, коло осіб, що мали на це право.

Проводячи допити свідків, обов'язково з'ясовувати, яка інформація піддавалася шкідливому впливу, її завдання і зміст; як здійснюється доступ до ресурсів ЕОМ, їхній системі або мережі, кодів, паролів та іншим закритим даними; як організовані противірусний захист і облік користувачів комп'ютерної системи.

У ході допитів свідків потрібно мати на увазі, що практикується безліч способів використання та розповсюдження шкідливих програм. Так, нерідкі випадки запуску програми з іншого комп'ютера або з дискети, купленої, позиченої, отриманої в порядку обміну, або з електронної "дошки оголошень". Розповсюдження вірусу, що викликає знищення та блокування інформації, збої в роботі ЕОМ або їх системи, може відбуватися з комп'ютерної мережі внаслідок використання неліцензійної і несертифікованої програми (частіше ігровий), купленої у випадкового особи, а також скопійованій в кого-небудь.

Доказування факту використання та розповсюдження шкідливих програм сприяє своєчасне виробництво інформаційно-технологічної експертизи, за допомогою якої можна визначити, які зміни і коли внесено в досліджувані програми, а також наслідки використання та розповсюдження шкідливих програм. Експертиза може також встановити застосований злочинцем спосіб подолання програмної і апаратної захисту (підбір ключів і паролів, відключення блокування, використання спеціальних програмних засобів).

При встановленні осіб, винних у створенні, використанні та розповсюдженні шкідливих програм для ЕОМ, необхідно враховувати, що таку програму може створити людина, що володіє спеціальними знаннями. Найлегше створити вірус досвідченому програмісту, яка, як правило, не бере участі в їх розповсюдженні. Найчастіше шкідливі програми створюють і використовують суб'єкти, добре засвоїли машинний мова, рухомі відчуттям самоствердження, мотивами користі чи мести, а інколи і потребою у комп'ютерному вандалізмі. Деякі роблять це, прагнучи "розколоти" систему захисту інформацією, офіційно вважається невразливою.

Виділяються наступні групи злочинців:

а) хакери особи, що розглядають заходи захисту інформаційних систем як особистий виклик і зламувати їх з метою одержання контролю за інформацією незалежно від її цінності;

б) шпигуни особи, зламують захист інформаційних систем для одержання інформації, яку можна використовувати з метою політичного впливу;

в) терористи особи, зламували інформаційні системи для створення ефекту небезпеки, який можна використовувати і з метою політичного впливу;

г) корпоративні грабіжники службовці компанії, зламувати комп'ютери конкурентів для економічної впливу;

д) злодії, що вторгаються в інформаційні системи для отримання особистої вигоди;

е) вандали особи, зламували системи з метою їх руйнування;

ж) порушники правил користування ЕОМ, які вчиняють протиправні дії через недостатнє знання техніки і порядку користування інформаційними ресурсами;

з) особи з психічними аномаліями, які страждають новим видом захворювань інформаційними хворобами або комп'ютерними фобіями.

Використовувати і поширювати шкідливі програми в принципі може кожен користувач персонального комп'ютера. Однак найбільшу потенційну небезпеку представляють досвідчені комп'ютерні зломщики, що отримали назву хакерів, а також висококваліфіковані фахівці в галузі електронних технологій.

Злочини цієї категорії іноді бувають груповими: хакер професіонал-створює шкідливі програми, а його спільники допомагають йому в матеріально-технічному та інформаційному відносинах. Світовий практиці боротьби із комп'ютерними злочинами відомі випадки зв'язків між хакерами й організованими злочинними співтовариствами. Останні виступають у ролі замовників комп'ютерних махінацій, хакерів забезпечують необхідною технікою, а ті організовують розкрадання грошових коштів з банківських комп'ютерних систем.

Пошук особи, причетного до використання шкідливих програм для ЕОМ, пов'язане зі значними витратами часу, сил і засобів. Органу дізнання потрібно доручити виявлення й перевірку осіб, які раніше притягувалися до відповідальності за аналогічні злочини. У деяких випадках можна зловмисника ідентифікувати слідами рук, залишеним на ділянках дисководів, клавішах, інших частинах комп'ютера.

Встановивши підозрюваного, його негайно затримують, аби запобігти знищенню компрометуючих матеріалів. Окрім того, якщо шкідлива програма є комп'ютерним вірусом, зволікання може розширити масштаби його поширеності і заподіяний збиток.

Проводячи допит підозрюваного, потрібно з'ясувати рівень його професійної підготовки, досвід роботи по створенню програм даного класу на конкретній мові програмування, знання алгоритмів їх роботи, але особливо тих, які зазнали неправомірного впливу.

Допитуючи підозрюваного, необхідно з'ясувати, де він живе, працює або вчиться, його фах, взаємовідносини з колегами, сімейний стан, круг інтересів, звички і нахили, навички програмування, ремонту та експлуатації комп'ютерної техніки, якими її засобами, машинними носіями, апаратурою і пристроями він має в своєму розпорядженні, де і на які кошти їх придбав, де зберігав і т.д.

Допит обвинувачуваного має на меті з'ясувати обставини підготовки і здійснення злочину, алгоритм функціонування шкідливої програми і те, на яку інформацію і як вона впливає.

Для перевірки можливості створення шкідливої програми певною особою, зізнатися в цьому, проводиться слідчий експеримент з використанням відповідних засобів комп'ютерної техніки.

При встановленні шкоди, заподіяної злочином, необхідно пам'ятати, що шкідлива програма у вигляді вірусу може практично миттєво розмножитися у великій кількості примірників і дуже швидко заразити багато комп'ютерні системи та мережі. Це реально, тому що комп'ютерні віруси можуть:

а) заповнити весь диск або всю вільну пам'ять ЕОМ своїми копіями;

б) поміняти місцями файли, тобто змішати їх так, що відшукати їх в комп'ютері буде практично неможливо;

в) зіпсувати таблицю розміщення файлів;

г) відформатувати диск або дискету, знищивши всі раніше записане на відповідному носії;

д) вивести на дисплей те чи інше небажане повідомлення;

е) перезавантажити ЕОМ, тобто здійснити довільний перезапуск;

ж) сповільнити її роботу;

з) змінити таблицю визначення кодів, зробивши неможливим користування клавіатурою;

і) змінити зміст програм і файлів, що спричинить помилки в складних розрахунках;

к) розкрити інформацію з обмеженим доступом;

л) привести комп'ютер в повну непридатність.

Розмір завданих збитків встановлюється експертним шляхом у рамках судово-бухгалтерської та судово-економічної експертизи, які проводяться в комплексі з інформаційно-технологічній та інформаційно-технічної експертизами.

Повну безпеку комп'ютерних систем забезпечити надзвичайне важко, але знизити шкідливі наслідки вірусів до певного рівня можна. Для цього необхідно:

a) застосовувати антивірусні засоби;

б) не використовувати випадкове несертифіковане програмне забезпечення, нелегальні копії програм для ЕОМ;

в) робити резервні копії програм та системних файлів, що а також контролювати доступ до комп'ютерних систем;

г) перевіряти кожну придбану програму (дискету) на можливу зараженість комп'ютерним вірусом;

е) регулярно записувати програми, що встановлюються в комп'ютерну систему, і ін