Криминалистическая характеристика преступлений, связанных с созданием, использованием и распространением вредоносных программ для ЭВМ

Содержание

 

Введение

    Стремительное развитие научно-технического прогресса  явилось одним из факторов, оказавшим  влияние на существенные количественные и качественные изменения преступности. Появление новых информационных технологий не могло не привлечь внимания преступников во всем мире. Сегодня в компьютерных системах обрабатывается значительный объем разнообразной информации и с каждым днем область их использования расширяется. В таких условиях правоохранительным органам приходится все чаще сталкиваться с преступлениями в сфере компьютерной информации.

    Уголовный кодекс РФ признает преступлением деяния по созданию, использованию и распространению вредоносных программ для ЭВМ, а равно распространение машинных носителей с такими программами (ст.273 УК РФ).

    Основная  опасность данной категории преступлений заключается в значительной области  распространения вредоносных программ и массированном воздействии  на компьютерную информацию. По расчетам западных специалистов, с выводами которых соглашаются и отечественные специалисты, вредоносные программы могут к 2013 году блокировать работу глобальных информационных сетей.

      По данным компании ICSA Labs (www.icsa.net), каждый месяц заражается вредоносными  программами 1,5% всех ЭВМ, и  это количество возрастает ежемесячно.

    Количество  преступлений, предусмотренных главой 28 Уголовного кодекса Российской Федерации, продолжает возрастать пропорционально  увеличению числа пользователей  ЭВМ и с каждым днем представляет все большую угрозу обществу.

    Своевременное обнаружение, пресечение, раскрытие и расследование создания, использования и распространения вредоносных программ способствуют профилактике краж, мошенничества, вымогательства, хулиганства и других преступлений, включая тяжкие, такие как терроризм, диверсия.

    В нашей стране обстановка с расследованием создания, использования и распространения вредоносных программ для ЭВМ усугубляется недостаточным оснащением правоохранительных органов техническими средствами, в связи с чем возникает необходимость разработки более эффективных методик, позволяющих успешно расследовать рассматриваемые преступления в условиях ограниченного технического обеспечения.

    Проблема  расследования преступлений, связанных  с созданием, использованием и распространением вредоносных программ, как правило, рассматривалась в комплексе с другими преступлениями в сфере компьютерной информации, в результате чего отчасти терялось ее своеобразие и особенности.

    Объектом  исследования являются преступная деятельность, направленная на совершение преступлений, связанных с созданием, использованием и распространением вредоносных программ, механизм ее отражения в источниках информации.

    Предметом исследования являются закономерности преступной деятельности, связанной  с созданием использованием и  распространением вредоносных программ.

    Целью исследования является разработка теоретических основ по расследованию преступлений в сфере компьютерной информации, связанных с созданием, использованием и распространением вредоносных программ.

    Эта цель определила конкретные задачи исследования:

  • рассмотреть исторические данные о создании, использовании и распространении вредоносных программ для ЭВМ
  • исследование понятия вредоносной программы и других, связанных с ним, включая понятия ЭВМ, система и сеть ЭВМ, троянской программы и других;
  • исследование и описание базовых элементов криминалистической характеристики преступлений, связанных с созданием, использованием и распространением вредоносных программ;

 

§1 Исторические данные о создании, использовании и распространении вредоносных программ для ЭВМ

 

    Первым  Вирусом-87 был так называемый Пакистанский вирус, разработанный братьями Амджатом и Базитом Алви в 1986 г. Он был обнаружен  летом 1987 г. Этот вирус был создан Амджатом - 26-летним выпускником отделения  физики Пенджабского университета, который, по его заявлению, пытался наказать американских туристов, покупавших дешевые незаконные копии программ в Пакистане. Амджат утверждает, что по пакистанским законам свободное копирование не является преступлением, хотя он не одобряет такое положение вещей, вынужден с ним мириться и не может наказывать других. Поэтому он не продавал зараженные вирусом незаконные копии пакистанским покупателям. Другое дело американцы, у которых существуют законы, запрещающие пиратство. Их, по его мнению, стоило проучить. К середине 1987 г. братья решили, что достаточно проучили пиратов, и прекратили распространение вируса. Однако вирус уже сумел распространиться по США, а оттуда попал в другие страны, в том числе и в СССР. Кроме того, начали появляться штаммы с измененными текстовыми сообщениями и свойствами.

    Вторым  Вирусом-87 стал Лехайский вирус, появившийся  в ноябре 1987 г. в одноименном университете США. Этот вирус был первым вирусом-вандалом, написанным для IBM РС. В течение нескольких дней этот вирус уничтожил содержимое нескольких сотен дискет из библиотеки вычислительного центра университета и личных дискет студентов.

    Перед самым Новым годом, 30 декабря 1987 г., был обнаружен вирус в Иерусалимском  университете (Израиль). Хотя существенного  вреда он не принес, вирус быстро распространился по всему миру и, по-видимому, является первым вирусом, распространение которого приобрело характер пандемии.

    В 1988 г. проблема защиты программного обеспечения  персональных компьютеров от заражения  компьютерными вирусами в странах США и Западной Европы приобрела характер приоритетной. Это, прежде всего, связано с тем, что в условиях значительной зависимости различных учреждений от компьютерных систем на базе IBM PC и Macintosh II проникновение вирусов представляет потенциальную опасность и может привести к серьезным последствиям. Например, летом 1988 г. компьютерный вирус инфицировал три компьютера в Мичиганском госпитале, которые обрабатывали информацию о пациентах. Он был обнаружен в процессе анализа причин неправильного функционирования системы, заключавшегося в том, что на дисплей неверно вызывались расширенные диагностические сведения. По данным администрации госпиталя, вирус перемешал фамилии пациентов в базе данных ПЭВМ Macintosh II. Как показало расследование, вирус был занесен при ремонте винчестера одного из компьютеров. К счастью, никому из пациентов не был поставлен неправильный диагноз или назначено неправильное лечение в результате перемешивания фамилий пациентов в базе данных. Однако, по мнению специалистов, это был вопрос времени и вполне возможно мог стоить кому-то жизни. Данный случай является вторым случаем вторжения в медицинские компьютеры (первый был связан с проникновением хакеров (иди хакеров), которые просматривали базу данных, но не нанесли никакого ущерба) и первым случаем, когда настоящие данные пациентов и диагностирования манипулировались вирусом.

    Из  компьютерных Вирусов-88 отметим вирус  падающих букв и "итальянский попрыгунчик", распространение которых также  приняло характер эпидемии. Особое внимание общественности привлек так называемый вирус Морриса. 2 ноября 19S8 г. Роберт Моррис-младший, аспирант факультета информатики Корнеллского университета, инфицировал с помощью написанного им вируса большое количество компьютеров (по ориентировочным оценкам, порядка 6000), подключенных к американской национальной сети Internet. Хотя никакой потери или изменения данных не произошло, многие тысячи часов рабочего времени были потеряны пользователями Internet.

    Министерство  юстиции США довольно долго изучало вопрос о возможности привлечения Морриса к суду на основе действующего законодательства, и только 18 января 1990 г. в городе Сиракьюс (шт. Нью-Йорк) начался судебный процесс по делу Морриса. Нанесенный ущерб был оценен в 150 тысяч долларов. Процесс над Моррисом стал возможен в результате принятия в 1986 г. федерального закона об ответственности за преступления, связанные с компьютерами. Моррису грозил штраф в 250 тысяч долларов и тюремное заключение сроком до 5 лет. Адвокат Морриса утверждал, что якобы тот создал, вирус для проведения эксперимента по проверке защиты компьютера. Но он допустил ошибку, которая и привела к нежелательным результатам. Моррис, по словам адвоката, не стремился нанести какой-либо ущерб компьютерным системам США. 4 мая 1990 года суд присяжных признал Морриса виновным. Он был приговорен к условному заключению сроком на три года, 400 часам общественных работ (американский аналог отечественным 15 суткам) и штрафу размером 10 тысяч долларов. Осуждение Р. Морриса - младшего показывает, что американское общество уже осознает опасность и предпринимает меры по борьбе с ней.

    Так или иначе, компьютерные вирусы стали  частью окружающей программистов, да и  не только программистов, действительности. И они, конечно, не миновали нашей  страны, хотя массовые закупки персональных компьютеров типа IBM PC у нас в стране начались только в середине 1983 года. К этому же моменту начался выпуск советских, правда, довольно неудачных компьютеров - ЕС 1840, "Искра 1030" и "Нейрон", а также торговля "за рубли" по баснословным ценам компьютерами, изготовленными в странах Юго-Восточной Азии.

    Первый  компьютерный вирус (С-648. VEN) появился в  России приблизительно в августе 1988 г. Этот вирус, часто называемый венским  вирусом (по предполагаемому месту  его разработки), вызывал перезагрузку операционной системы при запуске некоторых из пораженных им программ. Одно из первых мест, где он был обнаружен, - лаборатория Института программных систем (Переславль-Залесский). Возможно, он попал в лабораторию во время проведения институтом (совместно с ЮНЕСКО) Международного детского компьютерного лагеря. Поскольку этот вирус к середине 1988 г. был уже довольно распространен в странах Западной Европы, он, несомненно, завозился в Россию неоднократно с различного рода новыми версиями программного обеспечения и компьютерными играми. Наибольшее распространение он получил примерно в апреле 1989 г., после чего его эпидемия пошла на убыль, что объясняется наличием разнообразных средств зашиты, часть из которых попала в Россию еще до появления данного вируса.

    Вторым  вирусом, попавшим в Россию, был вирус RC-1701.CAS. Данный вирус вызывал довольно интересный эффект "опадания" букв на экране монитора. Этот вирус также  имеет западноевропейское происхождение ...В России впервые был выделен АН России. Средства защиты появились примерно одновременно с вирусом, поэтому существенного вреда вирус не нанес.

    По  некоторым оценкам, в настоящее  время существует несколько сотен  компьютерных вирусов и число  их непрерывно увеличивается1.

 

§ 2 Криминалистическая характеристика преступления, предусмотренного ст. 273 УК РФ

   Криминалистическая  характеристика имеет большое значение в методике расследования преступлений. Проблемам криминалистической характеристики посвятили работы многие ученые-криминалисты: Р.С. Белкин, А.Н. Васильев, И.А. Возгрин, И.Ф. Герасимов, Л.Я. Драпкин, В.Ф. Ермолович, А.Н. Колесниченко, В.А. Образцов, Л.Д. Самыгин, В.Г. Танасевич, Н.П. Яблоков и др. Однако до сих пор не существует единого определения «криминалистической характеристики преступлений». Так, И.Ф. Герасимов определяет криминалистическую характеристику как совокупность сведений, знаний об отдельном виде или группе преступлений, полученных в результате специальных исследований, являющуюся важным структурным элементом методики расследования, обусловливающую методические рекомендации и, в конечном счете, способствующую раскрытию, расследованию и предупреждению преступлений2.

   Н.П. Яблоков, Л.Д. Самыгин3 считают, что криминалистическая характеристика — это система описания криминалистически значимых признаков вида, группы и отдельного преступления, проявляющихся в особенностях способа, механизма и обстановки его совершения, дающая представление о преступлении, личности его субъекта и иных обстоятельствах, об определенной преступной деятельности и имеющая своим назначением обеспечение успешного решения задач раскрытия, расследования и предупреждения преступлений1.

   Как справедливо отмечает В.Ф. Ермолович4, криминалистическая характеристика — это система (комплекс) криминалистически значимой информации о преступлении, разрабатываемая и используемая для повышения эффективности выявления, раскрытия, расследования и предупреждения преступлений. Таким образом, именно криминалистическая характеристика позволяет разработать и эффективно использовать методику расследования любого преступления, в том числе создания, использования и распространения вредоносных программ для ЭВМ.

   Понятие криминалистической характеристики преступлений в сфере компьютерной информации, незначительно отличаются у разных авторов. Е.Н. Быстряков, А.Н. Иванов, В.А. Климов понимают под криминалистической характеристикой систему обобщенных данных о типичных элементах компьютерных преступлений и закономерных связях между ними, значимых для решения задач, стоящих перед органами следствия и дознания5. Ю.В. Гаврилин подразумевает под криминалистической характеристикой преступлений в сфере компьютерной информации систему обобщенных данных о типичных следах, способе совершения и механизме преступления, личности преступника и других существенных чертах, свойствах и особенностях преступления и сопутствующих ему обстоятельствах, способствующую оптимизации расследования и практическому применению средств, приемов и методов криминалистики в раскрытии и расследовании данного преступления6.

   Анализируя  изученные мнения, можно определить криминалистическую характеристику создания, использования и распространения  вредоносных программ для ЭВМ  как систему информации о криминалистически  значимых, взаимосвязанных признаках  этого преступления, служащую целям наиболее эффективного выявления, раскрытия, расследования и предупреждения таких преступлений.

   Знание  криминалистической характеристики позволяет  определить направление и средства расследования, а также выдвинуть  обоснованные версии о произошедшем, установить отсутствующие факты.

   В систему элементов криминалистической характеристики практически все  юристы включают сведения о мотивах  и целях преступления, способах совершения и сокрытия преступления, личности преступника, личности потерпевшего и предмете посягательства, взаимосвязи с другими преступлениями, типичных обстоятельствах совершения преступления.

   Следует заметить, что большое значение имеет  не только наличие тех или иных элементов, но и существующие между  ними взаимосвязи.

   Таким образом, в систему элементов криминалистической характеристики создания, использования и распространения вредоносных программ целесообразно включить следующие сведения:

   1) о предмете посягательства;

   2) об обстановке совершения преступлений;

   3) о личности преступника;

   4) о личности потерпевшего;

   5) об особенностях мотивов и целей преступления;

   6) о способах совершения преступления:

   а) о способах создания и видах вредоносных программ; способах их

   использования и распространения;

   б) о способах сокрытия преступлений;

   7) о типичных следах преступления и вероятных местах их

   нахождения.

2.1. Вредоносная программа для ЭВМ: понятие, классификация

 

    С учетом современного уровня развития вредоносных программ, а также  определения программы для ЭВМ, которое давалось в законодательстве, вредоносную программу для ЭВМ можно определить как программу для ЭВМ, наделенную функциями, выполнение которых может оказать неправомерное воздействие на средства компьютерной техники, приводящее к их уничтожению, блокированию или иному нарушению их работы, и на компьютерную информацию, приводящее к ее уничтожению, блокированию, модификации или копированию.

    В состав средств компьютерной техники  могут быть включены аппаратно-технические (аппаратные) и программные средства. В состав последних входят системные и прикладные программные средства. Включать компьютерную информацию в состав средств, обеспечивающих протекание информационных процессов, нельзя, поскольку понятие компьютерной информации не охватывает аппаратно-технические средства и значительно шире понятия программных средств, которые также являются компьютерной информацией, но при этом выполняют указанную служебную функцию.

    Под электронной вычислительной машиной (ЭВМ) следует понимать комплекс взаимосвязанных  и взаимодействующих через определенное программное обеспечение электронных и электронно-механических устройств, обеспечивающий протекание информационных процессов7.

    Известно, что все вредоносные программы подразделяются на "опасные" и "безопасные". Степень опасности "вирусов" специалисты определяют по последствиям их действия.

    В тех случаях, когда в результате действия "вирусов" происходят существенные разрушения файловой системы, уничтожение  информации и т. п., "вирус" является опасным, если же в результате его  действия на экране, например, появляются стихи или брань, "вирус" считается безопасным.

    Новый УК Российской Федерации не содержит такого разграничения. С точки зрения законодателя, любая программа, специально разработанная или модифицированная для не санкционированного собственником информационной системы уничтожения, блокирования, модификации либо копирования информации, нарушения обычной работы ЭВМ, является вредоносной, и лица, создавшие, использовавшие и распространявшие ее должны быть привлечены к уголовной ответственности8.

    Все вредоносные программы по особенностям их создания можно разделить на специально созданные, созданные путем, внесения изменений в существующие программы, и модифицированные. Под созданием вредоносной программы следует понимать творческую деятельность, направленную на создание качественно новой программы, заведомо наделенной функциями, выполнение которых может оказать неправомерное воздействие на компьютерную информацию и средства компьютерной техники.

    Модифицированная  вредоносная программа для ЭВМ - это вредоносная программа, в которую внесены любые изменения, при условии, что эти изменения значительно качественно не изменили ее и она не изменила своих функций, выполнение которых оказывает неправомерное воздействие на компьютерную информацию и средства компьютерной техники. В отличие от модифицированных вредоносных программ, под программами, созданными путем внесения изменений в существующие программы, следует понимать вредоносные программы, созданные путем внесения любых изменений в существующие программы при условии, что эти изменения значительно качественно изменили существующую программу.

    В целом же можно констатировать, что  вопросы, связанные с созданием  вредоносных программ и внесением  изменений в существующие программы, заведомо приводящим к указанным в уголовном законе последствиям, в действующем уголовном законодательстве не достаточно проработаны. В частности формулировка уголовного закона позволяет в целом ряде случаев избежать уголовной ответственности лицам, внесшим изменения в существующие вредоносные программы.

    В зависимости от наличия функции  самораспространения, под которой  понимается заложенная в алгоритме  программы функция, позволяющая  программе, независимо от действий пользователя, создавать свои копии (размножаться) и распространяться, то есть внедрять свои копии в файлы, системные области компьютерных систем и т.д., вредоносные программы можно разделить на два класса: самораспространяющиеся программы и программные закладки.

    К числу самораспространяющихся программ следует отнести: компьютерные вирусы и компьютерные черви. С учетом приведенного определения вредоносной программы, компьютерный вирус - это вредоносная программа для ЭВМ, способная к самораспространению, путем включения своего программного кода или некоторой его части в программный код файлов, системные области или иное рабочее пространство машинных носителей информации, с сохранением всех первоначальных свойств или некоторой их части. Компьютерный червь, в свою очередь, - это вредоносная программа для ЭВМ, способная к самораспространению, путем переноса своего программного кода или некоторой его части по существующим каналам связи на удаленные ЭВМ, в системы ЭВМ или их сети, с сохранением всех первоначальных свойств или некоторой их части.

    Основной  отличительный признак программных закладок - это отсутствие в них функции самораспространения. Иные их функции аналогичны функциям самораспространяющихся программ. Все существующие программные закладки можно разделить на пять групп: осуществляющие сбор информации об информационных процессах, протекающих в компьютерной системе; обеспечивающие неправомерный доступ; наделенные деструктивными функциями; блокирующие работу средств компьютерной техники; комбинированные.

    Вредоносные программы в зависимости от наличия  в них открыто декларируемых  функций можно разделить на: троянские программы и скрытые вредоносные программы. В отличие от скрытых вредоносных программ, под троянской программой понимается вредоносная программа для ЭВМ, которая, помимо скрытых вредоносных функций, заложенных в ее алгоритм создателем и осуществляемых в соответствии с заранее определенными условиями, имеет и открыто декларируемые функции, не связанные с оказываемым вредоносным воздействием.

    На  основе прогнозов дальнейшего развития и современных данных о видах  оказываемого воздействия, вредоносные программы можно разделить на пять групп, куда наряду с воздействиями на общую работоспособность компьютерной системы, на системную область машинных носителей информации и файловую структуру и на конфиденциальность информации должно войти и воздействие на аппаратно-технические средства ЭВМ и воздействие на здоровье человека.

    По  направленности оказываемого воздействия  вредоносные программы делят  на: направленные на индивидуально-определенный объект и ненаправленного действия9.

    Не  смотря на большое количество классификаций вредоносных программ, для криминалистики же интересны данные, характеризующие последствия действия вредоносных программ и их наиболее явные проявления, позволяющие зафиксировать результаты действия программ, например, в свидетельских показаниях.

    Поэтому приведем ряд известных по литературе описаний результатов нападения  на информационные системы.

    "Троянские  программы (кони) "Работа таких  программ связана с наличием  в них, наряду с внешней полезностью,  скрытого модуля, выполняющего различные, часто вредные для пользователя, функции. Нередко эти программы распространяются как новые версии уже известных программных продуктов.

    Примером  такой программы является вирусная программа "SURPRISE", которая при  запуске выполняет удаление всех файлов в директории, а затем выводит на экран надпись: "SURPRISE !" (Сюрприз!).

    Описан  случай, когда преступная группа смогла договориться с программистом, работающим над банковским программным обеспечением, о том, чтобы он ввел подпрограмму, которая после установки предоставит преступникам доступ в систему с целью перемещения денежных средств.

    Такие троянские программы, обеспечивающие вход в систему или привилегированный  режим работы с ней, называют также "люками" (back door).

    Известно, что во время проведения военной операции "буря в пустыне" в Персидском заливе система ПВО Ирака оказалась заблокированной и не смогла адекватно реагировать на вторжение сил противника в воздушное пространство. Высказывается предположение, что закупленная во Франции вычислительная техника, обеспечивающая системы ПВО Ирака, имела управляемые извне "электронные закладки", блокировавшие работу вычислительной системы.

    Разновидностью  троянских программ являются "логические бомбы и бомбы с часовым  механизмом". Работа такой вирусной программы начинается при определенных условиях — наступлении какой-либо даты, времени, иного значимого события. Замечено, что такие программы чаще всего используются обиженными сотрудниками в качестве формы мести нанимателю.

    Опубликована  история о программисте Горьковского автозавода, который перед своим увольнением встроил в программу, управляющую главным конвейером завода "мину", которая сработала спустя некоторое время после его увольнения и привела к остановке конвейера.

    Другой  пример: программист, предвидя свое увольнение, вносит в программу начисления заработной платы определенные изменения, работа которых начнется, если его фамилия исчезнет из набора данных о персонале фирмы.

    В штате Техас программист предстал перед судом по обвинению в  удалении более чем 160 000 файлов из компьютера своего бывшего работодателя при помощи вируса10.

    Вирусная  программа типа "Червь" представляет собой паразитический процесс, истощающий ресурсы системы. Так, саморазмножающаяся программа "Рождественская открытка" застопорила работу огромной международной системы электронной почты, заняв все доступные ресурсы11.

2.2 Предмет посягательства в преступлении, предусмотренном ст. 273 УК РФ

 

    Согласно  статье 273 УК РФ, преступлением является создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами.

    Из определения следует, что предмет посягательства при совершении преступления по созданию, использованию и распространению вредоносных программ является информация.

    В описании объекта преступного воздействия при совершении преступлений в области компьютерной информации Закон использует три различных формулировки, относящиеся к термину информация: "охраняемая законом компьютерная информация" (ст. 272 УК РФ), "информация" (ст. 273), "охраняемая законом информация ЭВМ" (ст. 274).

    В соответствии с Законом "Об информации" под информацией понимаются сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.

    Анализ  текста ст. 273 УК РФ, где при упоминании термина "информация" снято указание на ее охраняемость законом, показывает, что когда осуществляются действия с вредоносными программами для ЭВМ (ст. 273), уголовно-правовой защите подлежит любая (с ограничениями, о которых речь пойдет ниже) информация, независимо от того, документирована она или нет, имеет ли она собственника или предназначена для использования неограниченным кругом лиц. Тем самым подчеркивается общественная опасность манипулирования вредоносными программами. При совершении же двух других преступлений в сфере компьютерной информации уголовно-правовой защите подлежит документированная информация, способ использования которой установлен ее собственником.

Криминалистическая характеристика преступлений, связанных с созданием, использованием и распространением вредоносных программ для ЭВМ