Криминалистическая характеристика преступлений, связанных с созданием, использованием и распространением вредоносных программ для ЭВМ
Содержание
Введение
Стремительное развитие научно-технического прогресса явилось одним из факторов, оказавшим влияние на существенные количественные и качественные изменения преступности. Появление новых информационных технологий не могло не привлечь внимания преступников во всем мире. Сегодня в компьютерных системах обрабатывается значительный объем разнообразной информации и с каждым днем область их использования расширяется. В таких условиях правоохранительным органам приходится все чаще сталкиваться с преступлениями в сфере компьютерной информации.
Уголовный кодекс РФ признает преступлением деяния по созданию, использованию и распространению вредоносных программ для ЭВМ, а равно распространение машинных носителей с такими программами (ст.273 УК РФ).
Основная
опасность данной категории преступлений
заключается в значительной области
распространения вредоносных
По данным компании ICSA Labs (www.icsa.net),
каждый месяц заражается
Количество преступлений, предусмотренных главой 28 Уголовного кодекса Российской Федерации, продолжает возрастать пропорционально увеличению числа пользователей ЭВМ и с каждым днем представляет все большую угрозу обществу.
Своевременное обнаружение, пресечение, раскрытие и расследование создания, использования и распространения вредоносных программ способствуют профилактике краж, мошенничества, вымогательства, хулиганства и других преступлений, включая тяжкие, такие как терроризм, диверсия.
В нашей стране обстановка с расследованием создания, использования и распространения вредоносных программ для ЭВМ усугубляется недостаточным оснащением правоохранительных органов техническими средствами, в связи с чем возникает необходимость разработки более эффективных методик, позволяющих успешно расследовать рассматриваемые преступления в условиях ограниченного технического обеспечения.
Проблема расследования преступлений, связанных с созданием, использованием и распространением вредоносных программ, как правило, рассматривалась в комплексе с другими преступлениями в сфере компьютерной информации, в результате чего отчасти терялось ее своеобразие и особенности.
Объектом исследования являются преступная деятельность, направленная на совершение преступлений, связанных с созданием, использованием и распространением вредоносных программ, механизм ее отражения в источниках информации.
Предметом исследования являются закономерности преступной деятельности, связанной с созданием использованием и распространением вредоносных программ.
Целью исследования является разработка теоретических основ по расследованию преступлений в сфере компьютерной информации, связанных с созданием, использованием и распространением вредоносных программ.
Эта цель определила конкретные задачи исследования:
- рассмотреть исторические данные о создании, использовании и распространении вредоносных программ для ЭВМ
- исследование понятия вредоносной программы и других, связанных с ним, включая понятия ЭВМ, система и сеть ЭВМ, троянской программы и других;
- исследование и описание базовых элементов криминалистической характеристики преступлений, связанных с созданием, использованием и распространением вредоносных программ;
§1 Исторические данные о создании, использовании и распространении вредоносных программ для ЭВМ
Первым Вирусом-87 был так называемый Пакистанский вирус, разработанный братьями Амджатом и Базитом Алви в 1986 г. Он был обнаружен летом 1987 г. Этот вирус был создан Амджатом - 26-летним выпускником отделения физики Пенджабского университета, который, по его заявлению, пытался наказать американских туристов, покупавших дешевые незаконные копии программ в Пакистане. Амджат утверждает, что по пакистанским законам свободное копирование не является преступлением, хотя он не одобряет такое положение вещей, вынужден с ним мириться и не может наказывать других. Поэтому он не продавал зараженные вирусом незаконные копии пакистанским покупателям. Другое дело американцы, у которых существуют законы, запрещающие пиратство. Их, по его мнению, стоило проучить. К середине 1987 г. братья решили, что достаточно проучили пиратов, и прекратили распространение вируса. Однако вирус уже сумел распространиться по США, а оттуда попал в другие страны, в том числе и в СССР. Кроме того, начали появляться штаммы с измененными текстовыми сообщениями и свойствами.
Вторым Вирусом-87 стал Лехайский вирус, появившийся в ноябре 1987 г. в одноименном университете США. Этот вирус был первым вирусом-вандалом, написанным для IBM РС. В течение нескольких дней этот вирус уничтожил содержимое нескольких сотен дискет из библиотеки вычислительного центра университета и личных дискет студентов.
Перед
самым Новым годом, 30 декабря 1987 г.,
был обнаружен вирус в
В 1988 г. проблема защиты программного обеспечения персональных компьютеров от заражения компьютерными вирусами в странах США и Западной Европы приобрела характер приоритетной. Это, прежде всего, связано с тем, что в условиях значительной зависимости различных учреждений от компьютерных систем на базе IBM PC и Macintosh II проникновение вирусов представляет потенциальную опасность и может привести к серьезным последствиям. Например, летом 1988 г. компьютерный вирус инфицировал три компьютера в Мичиганском госпитале, которые обрабатывали информацию о пациентах. Он был обнаружен в процессе анализа причин неправильного функционирования системы, заключавшегося в том, что на дисплей неверно вызывались расширенные диагностические сведения. По данным администрации госпиталя, вирус перемешал фамилии пациентов в базе данных ПЭВМ Macintosh II. Как показало расследование, вирус был занесен при ремонте винчестера одного из компьютеров. К счастью, никому из пациентов не был поставлен неправильный диагноз или назначено неправильное лечение в результате перемешивания фамилий пациентов в базе данных. Однако, по мнению специалистов, это был вопрос времени и вполне возможно мог стоить кому-то жизни. Данный случай является вторым случаем вторжения в медицинские компьютеры (первый был связан с проникновением хакеров (иди хакеров), которые просматривали базу данных, но не нанесли никакого ущерба) и первым случаем, когда настоящие данные пациентов и диагностирования манипулировались вирусом.
Из компьютерных Вирусов-88 отметим вирус падающих букв и "итальянский попрыгунчик", распространение которых также приняло характер эпидемии. Особое внимание общественности привлек так называемый вирус Морриса. 2 ноября 19S8 г. Роберт Моррис-младший, аспирант факультета информатики Корнеллского университета, инфицировал с помощью написанного им вируса большое количество компьютеров (по ориентировочным оценкам, порядка 6000), подключенных к американской национальной сети Internet. Хотя никакой потери или изменения данных не произошло, многие тысячи часов рабочего времени были потеряны пользователями Internet.
Министерство юстиции США довольно долго изучало вопрос о возможности привлечения Морриса к суду на основе действующего законодательства, и только 18 января 1990 г. в городе Сиракьюс (шт. Нью-Йорк) начался судебный процесс по делу Морриса. Нанесенный ущерб был оценен в 150 тысяч долларов. Процесс над Моррисом стал возможен в результате принятия в 1986 г. федерального закона об ответственности за преступления, связанные с компьютерами. Моррису грозил штраф в 250 тысяч долларов и тюремное заключение сроком до 5 лет. Адвокат Морриса утверждал, что якобы тот создал, вирус для проведения эксперимента по проверке защиты компьютера. Но он допустил ошибку, которая и привела к нежелательным результатам. Моррис, по словам адвоката, не стремился нанести какой-либо ущерб компьютерным системам США. 4 мая 1990 года суд присяжных признал Морриса виновным. Он был приговорен к условному заключению сроком на три года, 400 часам общественных работ (американский аналог отечественным 15 суткам) и штрафу размером 10 тысяч долларов. Осуждение Р. Морриса - младшего показывает, что американское общество уже осознает опасность и предпринимает меры по борьбе с ней.
Так или иначе, компьютерные вирусы стали частью окружающей программистов, да и не только программистов, действительности. И они, конечно, не миновали нашей страны, хотя массовые закупки персональных компьютеров типа IBM PC у нас в стране начались только в середине 1983 года. К этому же моменту начался выпуск советских, правда, довольно неудачных компьютеров - ЕС 1840, "Искра 1030" и "Нейрон", а также торговля "за рубли" по баснословным ценам компьютерами, изготовленными в странах Юго-Восточной Азии.
Первый компьютерный вирус (С-648. VEN) появился в России приблизительно в августе 1988 г. Этот вирус, часто называемый венским вирусом (по предполагаемому месту его разработки), вызывал перезагрузку операционной системы при запуске некоторых из пораженных им программ. Одно из первых мест, где он был обнаружен, - лаборатория Института программных систем (Переславль-Залесский). Возможно, он попал в лабораторию во время проведения институтом (совместно с ЮНЕСКО) Международного детского компьютерного лагеря. Поскольку этот вирус к середине 1988 г. был уже довольно распространен в странах Западной Европы, он, несомненно, завозился в Россию неоднократно с различного рода новыми версиями программного обеспечения и компьютерными играми. Наибольшее распространение он получил примерно в апреле 1989 г., после чего его эпидемия пошла на убыль, что объясняется наличием разнообразных средств зашиты, часть из которых попала в Россию еще до появления данного вируса.
Вторым вирусом, попавшим в Россию, был вирус RC-1701.CAS. Данный вирус вызывал довольно интересный эффект "опадания" букв на экране монитора. Этот вирус также имеет западноевропейское происхождение ...В России впервые был выделен АН России. Средства защиты появились примерно одновременно с вирусом, поэтому существенного вреда вирус не нанес.
По некоторым оценкам, в настоящее время существует несколько сотен компьютерных вирусов и число их непрерывно увеличивается1.
§ 2 Криминалистическая характеристика преступления, предусмотренного ст. 273 УК РФ
Криминалистическая характеристика имеет большое значение в методике расследования преступлений. Проблемам криминалистической характеристики посвятили работы многие ученые-криминалисты: Р.С. Белкин, А.Н. Васильев, И.А. Возгрин, И.Ф. Герасимов, Л.Я. Драпкин, В.Ф. Ермолович, А.Н. Колесниченко, В.А. Образцов, Л.Д. Самыгин, В.Г. Танасевич, Н.П. Яблоков и др. Однако до сих пор не существует единого определения «криминалистической характеристики преступлений». Так, И.Ф. Герасимов определяет криминалистическую характеристику как совокупность сведений, знаний об отдельном виде или группе преступлений, полученных в результате специальных исследований, являющуюся важным структурным элементом методики расследования, обусловливающую методические рекомендации и, в конечном счете, способствующую раскрытию, расследованию и предупреждению преступлений2.
Н.П. Яблоков, Л.Д. Самыгин3 считают, что криминалистическая характеристика — это система описания криминалистически значимых признаков вида, группы и отдельного преступления, проявляющихся в особенностях способа, механизма и обстановки его совершения, дающая представление о преступлении, личности его субъекта и иных обстоятельствах, об определенной преступной деятельности и имеющая своим назначением обеспечение успешного решения задач раскрытия, расследования и предупреждения преступлений1.
Как справедливо отмечает В.Ф. Ермолович4, криминалистическая характеристика — это система (комплекс) криминалистически значимой информации о преступлении, разрабатываемая и используемая для повышения эффективности выявления, раскрытия, расследования и предупреждения преступлений. Таким образом, именно криминалистическая характеристика позволяет разработать и эффективно использовать методику расследования любого преступления, в том числе создания, использования и распространения вредоносных программ для ЭВМ.
Понятие криминалистической характеристики преступлений в сфере компьютерной информации, незначительно отличаются у разных авторов. Е.Н. Быстряков, А.Н. Иванов, В.А. Климов понимают под криминалистической характеристикой систему обобщенных данных о типичных элементах компьютерных преступлений и закономерных связях между ними, значимых для решения задач, стоящих перед органами следствия и дознания5. Ю.В. Гаврилин подразумевает под криминалистической характеристикой преступлений в сфере компьютерной информации систему обобщенных данных о типичных следах, способе совершения и механизме преступления, личности преступника и других существенных чертах, свойствах и особенностях преступления и сопутствующих ему обстоятельствах, способствующую оптимизации расследования и практическому применению средств, приемов и методов криминалистики в раскрытии и расследовании данного преступления6.
Анализируя
изученные мнения, можно определить
криминалистическую характеристику создания,
использования и
Знание криминалистической характеристики позволяет определить направление и средства расследования, а также выдвинуть обоснованные версии о произошедшем, установить отсутствующие факты.
В
систему элементов
Следует заметить, что большое значение имеет не только наличие тех или иных элементов, но и существующие между ними взаимосвязи.
Таким образом, в систему элементов криминалистической характеристики создания, использования и распространения вредоносных программ целесообразно включить следующие сведения:
1) о предмете посягательства;
2) об обстановке совершения преступлений;
3) о личности преступника;
4) о личности потерпевшего;
5) об особенностях мотивов и целей преступления;
6) о способах совершения преступления:
а) о способах создания и видах вредоносных программ; способах их
использования и распространения;
б) о способах сокрытия преступлений;
7) о типичных следах преступления и вероятных местах их
нахождения.
2.1. Вредоносная программа для ЭВМ: понятие, классификация
С учетом современного уровня развития вредоносных программ, а также определения программы для ЭВМ, которое давалось в законодательстве, вредоносную программу для ЭВМ можно определить как программу для ЭВМ, наделенную функциями, выполнение которых может оказать неправомерное воздействие на средства компьютерной техники, приводящее к их уничтожению, блокированию или иному нарушению их работы, и на компьютерную информацию, приводящее к ее уничтожению, блокированию, модификации или копированию.
В состав средств компьютерной техники могут быть включены аппаратно-технические (аппаратные) и программные средства. В состав последних входят системные и прикладные программные средства. Включать компьютерную информацию в состав средств, обеспечивающих протекание информационных процессов, нельзя, поскольку понятие компьютерной информации не охватывает аппаратно-технические средства и значительно шире понятия программных средств, которые также являются компьютерной информацией, но при этом выполняют указанную служебную функцию.
Под
электронной вычислительной машиной
(ЭВМ) следует понимать комплекс взаимосвязанных
и взаимодействующих через
Известно, что все вредоносные программы подразделяются на "опасные" и "безопасные". Степень опасности "вирусов" специалисты определяют по последствиям их действия.
В тех случаях, когда в результате действия "вирусов" происходят существенные разрушения файловой системы, уничтожение информации и т. п., "вирус" является опасным, если же в результате его действия на экране, например, появляются стихи или брань, "вирус" считается безопасным.
Новый
УК Российской Федерации не содержит
такого разграничения. С точки зрения
законодателя, любая программа, специально
разработанная или
Все вредоносные программы по особенностям их создания можно разделить на специально созданные, созданные путем, внесения изменений в существующие программы, и модифицированные. Под созданием вредоносной программы следует понимать творческую деятельность, направленную на создание качественно новой программы, заведомо наделенной функциями, выполнение которых может оказать неправомерное воздействие на компьютерную информацию и средства компьютерной техники.
Модифицированная вредоносная программа для ЭВМ - это вредоносная программа, в которую внесены любые изменения, при условии, что эти изменения значительно качественно не изменили ее и она не изменила своих функций, выполнение которых оказывает неправомерное воздействие на компьютерную информацию и средства компьютерной техники. В отличие от модифицированных вредоносных программ, под программами, созданными путем внесения изменений в существующие программы, следует понимать вредоносные программы, созданные путем внесения любых изменений в существующие программы при условии, что эти изменения значительно качественно изменили существующую программу.
В целом же можно констатировать, что вопросы, связанные с созданием вредоносных программ и внесением изменений в существующие программы, заведомо приводящим к указанным в уголовном законе последствиям, в действующем уголовном законодательстве не достаточно проработаны. В частности формулировка уголовного закона позволяет в целом ряде случаев избежать уголовной ответственности лицам, внесшим изменения в существующие вредоносные программы.
В зависимости от наличия функции самораспространения, под которой понимается заложенная в алгоритме программы функция, позволяющая программе, независимо от действий пользователя, создавать свои копии (размножаться) и распространяться, то есть внедрять свои копии в файлы, системные области компьютерных систем и т.д., вредоносные программы можно разделить на два класса: самораспространяющиеся программы и программные закладки.
К числу самораспространяющихся программ следует отнести: компьютерные вирусы и компьютерные черви. С учетом приведенного определения вредоносной программы, компьютерный вирус - это вредоносная программа для ЭВМ, способная к самораспространению, путем включения своего программного кода или некоторой его части в программный код файлов, системные области или иное рабочее пространство машинных носителей информации, с сохранением всех первоначальных свойств или некоторой их части. Компьютерный червь, в свою очередь, - это вредоносная программа для ЭВМ, способная к самораспространению, путем переноса своего программного кода или некоторой его части по существующим каналам связи на удаленные ЭВМ, в системы ЭВМ или их сети, с сохранением всех первоначальных свойств или некоторой их части.
Основной
отличительный признак
Вредоносные программы в зависимости от наличия в них открыто декларируемых функций можно разделить на: троянские программы и скрытые вредоносные программы. В отличие от скрытых вредоносных программ, под троянской программой понимается вредоносная программа для ЭВМ, которая, помимо скрытых вредоносных функций, заложенных в ее алгоритм создателем и осуществляемых в соответствии с заранее определенными условиями, имеет и открыто декларируемые функции, не связанные с оказываемым вредоносным воздействием.
На основе прогнозов дальнейшего развития и современных данных о видах оказываемого воздействия, вредоносные программы можно разделить на пять групп, куда наряду с воздействиями на общую работоспособность компьютерной системы, на системную область машинных носителей информации и файловую структуру и на конфиденциальность информации должно войти и воздействие на аппаратно-технические средства ЭВМ и воздействие на здоровье человека.
По направленности оказываемого воздействия вредоносные программы делят на: направленные на индивидуально-определенный объект и ненаправленного действия9.
Не смотря на большое количество классификаций вредоносных программ, для криминалистики же интересны данные, характеризующие последствия действия вредоносных программ и их наиболее явные проявления, позволяющие зафиксировать результаты действия программ, например, в свидетельских показаниях.
Поэтому приведем ряд известных по литературе описаний результатов нападения на информационные системы.
"Троянские
программы (кони) "Работа таких
программ связана с наличием
в них, наряду с внешней
Примером такой программы является вирусная программа "SURPRISE", которая при запуске выполняет удаление всех файлов в директории, а затем выводит на экран надпись: "SURPRISE !" (Сюрприз!).
Описан случай, когда преступная группа смогла договориться с программистом, работающим над банковским программным обеспечением, о том, чтобы он ввел подпрограмму, которая после установки предоставит преступникам доступ в систему с целью перемещения денежных средств.
Такие
троянские программы, обеспечивающие
вход в систему или
Известно, что во время проведения военной операции "буря в пустыне" в Персидском заливе система ПВО Ирака оказалась заблокированной и не смогла адекватно реагировать на вторжение сил противника в воздушное пространство. Высказывается предположение, что закупленная во Франции вычислительная техника, обеспечивающая системы ПВО Ирака, имела управляемые извне "электронные закладки", блокировавшие работу вычислительной системы.
Разновидностью троянских программ являются "логические бомбы и бомбы с часовым механизмом". Работа такой вирусной программы начинается при определенных условиях — наступлении какой-либо даты, времени, иного значимого события. Замечено, что такие программы чаще всего используются обиженными сотрудниками в качестве формы мести нанимателю.
Опубликована история о программисте Горьковского автозавода, который перед своим увольнением встроил в программу, управляющую главным конвейером завода "мину", которая сработала спустя некоторое время после его увольнения и привела к остановке конвейера.
Другой пример: программист, предвидя свое увольнение, вносит в программу начисления заработной платы определенные изменения, работа которых начнется, если его фамилия исчезнет из набора данных о персонале фирмы.
В
штате Техас программист
Вирусная программа типа "Червь" представляет собой паразитический процесс, истощающий ресурсы системы. Так, саморазмножающаяся программа "Рождественская открытка" застопорила работу огромной международной системы электронной почты, заняв все доступные ресурсы11.
2.2 Предмет посягательства в преступлении, предусмотренном ст. 273 УК РФ
Согласно статье 273 УК РФ, преступлением является создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами.
Из определения следует, что предмет посягательства при совершении преступления по созданию, использованию и распространению вредоносных программ является информация.
В
описании объекта преступного
В соответствии с Законом "Об информации" под информацией понимаются сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
Анализ текста ст. 273 УК РФ, где при упоминании термина "информация" снято указание на ее охраняемость законом, показывает, что когда осуществляются действия с вредоносными программами для ЭВМ (ст. 273), уголовно-правовой защите подлежит любая (с ограничениями, о которых речь пойдет ниже) информация, независимо от того, документирована она или нет, имеет ли она собственника или предназначена для использования неограниченным кругом лиц. Тем самым подчеркивается общественная опасность манипулирования вредоносными программами. При совершении же двух других преступлений в сфере компьютерной информации уголовно-правовой защите подлежит документированная информация, способ использования которой установлен ее собственником.

- Криминалистическая характеристика преступлений совершаемых в отношении сотрудников УИС
- Криминалистическая характеристика преступлений, совершаемых в отношении сотрудников учреждений, исполняющих наказания
- Криминалистическая характеристика преступления
- Криминалистическая характеристика преступных нарушений безопасности труда
- Криминалистическая характеристика серийных убийств на сексуальной почве
- Криминалистическая характеристика следов взлома
- Криминалистическая характеристика убийств
- Криминалистическая характеристика преступлений
- Криминалистическая характеристика преступлений
- Криминалистическая характеристика преступлений
- Криминалистическая характеристика преступлений
- Криминалистическая характеристика преступлений
- Криминалистическая характеристика преступлений в сфере компьютерной информации и высоких технологий
- Криминалистическая характеристика преступлений, связанных с незаконным оборотом оружия