lawbook.org.ua - Библиотека юриста




lawbook.org.ua - Библиотека юриста
March 19th, 2016

Соловьев, Леонид Николаевич. - Расследование преступлений, связанных с созданием, использованием и распространением вредоносных программ для ЭВМ: Дис. ... канд. юрид. наук :. - Москва, 2003 275 с. РГБ ОД, 61:03-12/927-6

Posted in:

Академия Федеральной службы безопасности Российской Федерации

Кафедра криминалистики

На правах рукописи

Соловьев Леонид Николаевич

РАССЛЕДОВАНИЕ ПРЕСТУПЛЕНИЙ, СВЯЗАННЫХ С СОЗДАНИЕМ, ИСПОЛЬЗОВАНИЕМ И РАСПРОСТРАНЕНИЕМ ВРЕДОНОСНЫХ

ПРОГРАММ ДЛЯ ЭВМ

Специальность 12.00.09 - «Уголовный процесс; криминалистика и судебная экспертиза; оперативно-розыскная деятельность»

Диссертация на соискание ученой степени кандидата юридических наук

Научный руководитель -доктор юридических наук, профессор Подшибякин А.С.

Москва - 2003

2

ОГЛАВЛЕНИЕ Введение 4

Глава 1. Криминалистическая характеристика преступлений, связанных

с созданием, использованием и распространением вредоносных

программ для ЭВМ 17

§ 1. Вредоносная программа для ЭВМ: понятие, классификация 17

§ 2. Наиболее распространенные способы и средства совершения и сокрытия преступлений, связанных с созданием, использованием и распространением вредоносных программ для ЭВМ 50

§ 3. Типичная обстановка совершения преступлений, связанных с созданием, использованием и распространением вредоносных программ для ЭВМ 65

§ 4. Специфические следы преступлений, связанных с созданием, использованием и распространением вредоносных программ для ЭВМ 80

§ 5. Классификации лиц, создающих, использующих и распространяющих вредоносные программы для ЭВМ 89

Глава 2. Организация и планирование расследования и особенности производства первоначальных следственных действий по уголовным делам, связанным с созданием, использованием и распространением

вредоносных программ для ЭВМ 105

§ 1. Организация и планирование расследования преступлений, связанных с созданием, использованием и распространением вредоносных программ для ЭВМ 105

§ 2. Особенности производства первоначальных следственных действий по уголовным делам, связанным с созданием, использованием и распространением вредоносных программ для ЭВМ 120

3

§ 3. Криминалистические аспекты предупреждения преступлений, связанных с созданием, использованием и распространением вредоносных программ для ЭВМ 151

Заключение 164

Список использованных источников и литературы 172

Приложение 1. Схемы 194

Приложение 2. Описание способов совершения преступлений, связан ных с созданием, использованием и распространением вредоносных программ для ЭВМ 223

Приложение 3. Программные и аппаратно-технические средства совер шения преступлений, связанных с созданием, использо ванием и распространением вредоносных программ для ЭВМ 233

Приложение 4. Описание следов внедрения, функционирования и воз действия вредоносных программ для ЭВМ 239

Приложение 5. Методические рекомендации по осмотру, фиксации и

изъятию средств компьютерной техники 247

Приложение 6. Методические рекомендации по проведению осмотров компьютерной информации, находящейся на машинных носителях 261

Приложение 7. Программа изучения уголовных дел о преступлениях, связанных с созданием, использованием и распростра нением вредоносных программ для ЭВМ 270

4

Введение

Актуальность исследования. Стремительное развитие научно- технического прогресса явилось одним из факторов, оказавшим влияние на существенные количественные и качественные изменения преступности. Появление новых информационных технологий не могло не привлечь внимания преступников во всем мире. Сегодня в компьютерных системах обрабатывается значительный объем разнообразной информации и с каждым днем область их использования расширяется. Скорость обработки компьютерной информации, ее гигантские объемы, относительная простота использования и обмена, предопределили компьютерным системам ведущее место в развитии современной науки и техники. В таких условиях правоохранительным органам приходится все чаще сталкиваться с преступлениями в сфере компьютерной информации.

Уголовный кодекс РФ признает преступным несанкционированный доступ к компьютерной информации (ст.272 УК РФ) и нарушение правил эксплуатации ЭВМ, системы ЭВМ и их сети1 (ст.274 УК РФ). Создание, использование и распространение вредоносных программ для ЭВМ1, а равно распространение машинных носителей с такими программами (ст.273 УК РФ) образуют самостоятельный состав преступления. По данным Главного информационного центра МВД России только за 2000 год органами внутренних дел России было зарегистрировано 800 преступлений в сфере компьютерной информации, из них связанных с созданием, использованием и распространением вредоносных программ - 172.

Основная опасность последней категории преступлений заключается в значительной области распространения вредоносных программ и массированном воздействии на компьютерную информацию. По расчетам западных специалистов, с выводами которых соглашаются и отечественные специалисты, вредоносные программы могут к 2013 году бло-

1 Далее по тексту - компьютерные системы.

5

кировать работу глобальных информационных сетей. Так при рассылке файлов по электронной почте по их данным на сегодняшний день вредоносные программы содержит каждое десятое отправление, а к 2013 году - каждое второе отправление будет содержать вредоносную программу.

Своевременное обнаружение, пресечение, раскрытие и расследо- вание создания, использования и распространения вредоносных программ способствуют профилактике краж, мошенничества, вымогательства, хулиганства и других преступлений, включая тяжкие, такие как терроризм, диверсия.

На пресечение компьютерных преступлений, в целом, и преступ- лений, связанных с созданием, использованием и распространением вредоносных программ, в частности, как на одну из международных проблем, обращается внимание и на межгосударственном уровне. В мире налаживается межгосударственное взаимодействие в интересах борьбы с такими преступлениями. Подписаны и готовятся к подписанию различные многосторонние соглашения. Так, 01 июня 2001 года в Минске Российской Федерацией было подписано Соглашение о сотрудничестве государств - участников СНГ в борьбе с преступлениями в сфере компьютерной информации.

Противодействие несанкционированному воздействию вредоносных программ на компьютерную информацию представляет собой зна- чительную техническую проблему. Она затрагивалась в работах Б.Ю.Анина, Н.Н.Безрукова, П.Ю.Белкина, В.А.Герасименко, П.Д.Зегжды, Е.В.Касперского, В.В.Мельникова, О.О.Михальского, С.Л.Островского, А.С.Першакова, А.В.Петракова, П.Л.Пилюгина, С.П.Расторгуева, А.В.Фролова, Г.В.Фролова, А.Ю.Щербакова, В.И.Ярочкина и других ученых.

В последние годы многие ученые-юристы, такие как Ю.М.Батурин,
В.Б.Вехов, Ю.В.Гаврилин, А.М.Жодзишский,

Далее по тексту - вредоносная программа.

6

А.В.Касаткин, В.В.Крылов, В.Д.Курушин, В.Ю.Максимов,

Е.И.Панфилова, Н.С.Полевой, А.Н.Попов, В.Ю.Рогозин, А.С.Шаталов, А.В.Шопин, Н.Г.Шурухнов и другие, обращались к проблеме борьбы с преступлениями в сфере компьютерной информации. Ведущие учебные заведения страны включили специальные главы, посвященные этой проблематике, в свои учебники.

Вместе с тем проблема расследования преступлений, связанных с созданием, использованием и распространением вредоносных программ, как правило, рассматривалась в комплексе с другими преступлениями в сфере компьютерной информации, в результате чего отчасти терялось ее своеобразие и особенности.

Обособленно от других преступлений в сфере компьютерной ин- формации, общие вопросы и особенности расследования создания, использования и распространения вредоносных программ на диссертационном и монографическом уровнях в Российской Федерации не рассматривались.

Объектом исследования являются преступная деятельность, на- правленная на совершение преступлений, связанных с созданием, ис- пользованием и распространением вредоносных программ, механизм ее отражения в источниках информации, а также деятельность правоохранительных органов и спецслужб России по их расследованию.

Предметом исследования являются закономерности преступной деятельности, связанной с созданием использованием и распространением вредоносных программ, и ее раскрытия (познания) как процесса собирания, исследования и использования криминалистической информации для выявления, раскрытия, расследования и предупреждения преступлений, связанных с созданием, использованием и распространением вредоносных программ.

Целью исследования является разработка теоретических основ и практических рекомендаций по расследованию преступлений в сфере

7

компьютерной информации, связанных с созданием, использованием и распространением вредоносных программ.

Эта цель определила конкретные научные задачи исследования:

• исследование понятия вредоносной программы и других, связан- ных с ним, включая понятия компьютерного вируса, троянской про- граммы и других; • • уточнение основных терминов, связанных с совершением деяний, направленных на создание, использование и распространение вре- доносных программ; • • исследование и описание базовых элементов криминалистической характеристики преступлений, связанных с созданием, использова- нием и распространением вредоносных программ; • • исследование первоначальных ситуаций, складывающихся при расследовании уголовных дел, связанных с созданием, использованием и распространением вредоносных программ; • • исследование особенностей подготовки и производства отдельных следственных действий на первоначальном этапе расследования; • • изучение криминалистических аспектов предупреждения престу- плений, связанных с созданием, использованием и распространением вредоносных программ. • Наиболее существенные научные результаты, полученные лично диссертантом, заключаются в разработке понятийного аппарата, вы- делении и исследовании основных элементов криминалистической ха- рактеристики преступлений, связанных с созданием, использованием и распространением вредоносных программ, их отражения и познания, а также методики расследования таких преступлений. Так, сформулированы новые и уточнены существующие понятия, связанные с созданием, использованием и распространением вредоносных программ, раскрыты базовые элементы криминалистической характеристики преступлений, связанных с созданием, использованием и распространением вредоносных программ, показаны первоначальные ситуации расследования рас-

8

сматриваемых преступлений, выделены особенности подготовки и проведения следственных действий, наиболее распространенные обстоятельства, способствующие совершению преступлений рассматриваемой категории.

Основные положения, выносимые на защиту:

1) Определение вредоносной программы, под которой понима ется программа для ЭВМ, наделенная функциями, выполнение которых может оказать неправомерное воздействие на средства компьютерной техники, приводящее к их уничтожению, блокированию или иному на рушению их работы, и на компьютерную информацию, приводящее к ее уничтожению, блокированию, модификации или копированию.

2) Криминалистическая классификация вредоносных про грамм. Вредоносные программы могут быть разделены по следующим основаниям: по способу создания, по способности к самораспростране нию, по наличию в них открыто декларируемых функций, по видам ока зываемого воздействия, по направленности оказываемого воздействия.

По способу создания вредоносные программы классифицируются как: специально созданные, созданные путем, внесения изменений в существующие программы, и модифицированные.

Классификация вредоносных программ, основанная на способности программ к самораспространению, включает в себя два основных класса: самораспространяющиеся вредоносные программы, куда относятся компьютерные вирусы и компьютерные черви, и программные закладки. Программные закладки в свою очередь можно разделить на пять групп: осуществляющие сбор информации об информационных процессах, протекающих в компьютерной системе; обеспечивающие неправомерный доступ; наделенные деструктивными функциями; блокирующие работу средств компьютерной техники; комбинированные.

В зависимости от наличия открыто декларируемых функций вре- доносные программы могут быть разделены на: троянские программы и скрытые вредоносные программы. По видам оказываемого воздействия

9

вредоносные программы можно разделить на пять групп, куда наряду с воздействием на компьютерную информацию, должно войти и воздействие на аппаратно-технические средства ЭВМ, и возможное воздействие на здоровье человека. По направленности оказываемого воздействия: вредоносные программы делят на: направленные на индивидуально-определенный объект и ненаправленного действия.

3) Описание особенностей основных элементов криминали- стической характеристики преступлений, связанных с созданием, использованием и распространением вредоносных программ:

а) способов совершения преступлений, связанных с созданием, ис пользованием и распространением вредоносных программ.

По действиям, составляющим объективную сторону совершения преступлений, все способы совершения преступлений рассматриваемой категории могут быть разделены на две группы: способы создания вредоносных программ и способы их использования и распространения.

В зависимости от совпадения мест создания вредоносной программы и мест ее последующего использования способы создания можно разделить на: создание непосредственно на месте ее использования и создание вне места ее использования, а по способу возникновения, можно выделить две группы: создание программ и внесение изменений в существующие программы.

Способы использования и распространения вредоносных программ можно разделить на две большие группы: активные и пассивные. Каждая из этих групп в свою очередь делится отдельные способы или группы способов. Основное отличие пассивных способов от активных заключается в том, действия преступника не связанны с получением доступа к компьютерной информации;

б) средств создания вредоносных программ. Указанные средства можно разделить на программные и аппаратные. Программные средства делятся на четыре основные составляющие: системы программирования, специальные, отладочные и камуфлирующие (маскирующие) программ-

10

ные средства. Аппаратные средства создания вредоносных программ в свою очередь делятся на две группы: используемые для непосредственного создания и подготовки к распространению программ и используемые для отладки и тестирования работы создаваемой программы;

в) системы элементов, характеризующих обстановку совершения преступлений, связанных с созданием, использованием и распростране нием вредоносных программ. Она должна включать в себя программно- технический элемент, определяющий возможность совершения тех или иных действий преступником или самой вредоносной программой в су ществующей программно-технической среде, а также комплексный эле мент, характеризующий используемые меры защиты информации;

г) следов внедрения, воздействия и функционирования вредонос ных программ в компьютерных системах, следы воздействия оказывае мого самим преступником на компьютерную информацию. Их можно разделить на пять основных групп: следы изменения файловой структу ры, системных областей машинных носителей информации и постоян ной энергонезависимой памяти; следы изменения настроек ЭВМ и от дельных программ; следы нарушения работы ЭВМ и отдельных про грамм; следы воздействия на системы защиты и конфиденциальность информации; иные проявления воздействия и функционирования вредо носных программ (аудио-, видеоэффекты и другие);

д) лица, совершающие преступления, связанные с созданием, ис пользованием и распространением вредоносных программ. Классифика ция таких лиц по целям преступного посягательства должна включать в себя особую группу - «диверсантов».

4) Классификация и характеристика типичных следственных ситуаций. Типичными ситуациями первоначального этапа расследования преступлений, связанных с созданием, использованием и распространением вредоносных программ для ЭВМ являются три следующие следственные ситуации:

11

а) известны лишь некоторые лица (лицо), совершившие преступ ления, связанные с выявленным фактом создания, использования или распространения вредоносной программы;

б) известны все лица (лицо), совершившие преступления, связан ные с выявленным фактом создания, использования или распростране ния вредоносной программы;

в) лица (лицо), совершившие преступления, связанные с выявлен ным фактом создания, использования или распространения вредоносной программы, неизвестны.

5) Описание особенностей подготовки и проведения отдельных следственных действий на первоначальном этапе расследования по уголовным делам о преступлениях, связанных с созданием, исполь зованием и распространением вредоносных программ:

а) основные правила поиска, фиксации и изъятия компьютерной информации и ее машинных носителей в ходе проведения следственных действий;

6) состав программных средств компьютерной техники, исполь зуемых в ходе проведения следственных действий и требования, предъ являемые к ним;

в) система приемов цифровой фиксации доказательственной ин формации, в которую входят три основных приема фиксации цифровой информации: сохранение цифровой информации на машинном носителе; копирование существующих файлов на машинный носитель; создание образов машинных носителей информации;

г) обстоятельства, способствующие совершению преступлений, связанных с созданием использованием и распространением вредонос ных программ, в зависимости от способа совершения преступлений мо гут быть отнесены к обстоятельствам, способствующим неправомерно му доступу к компьютерной информации, или обстоятельствам, способ ствующим непосредственно созданию, использованию и распростране нию вредоносных программ.

12

Теоретическая значимость исследования определяется тем, что оно является монографическим исследованием, в котором выделены и раскрыты основные элементы криминалистической характеристики преступлений, связанных с созданием, использованием и распространением вредоносных программ, и основные особенности методики расследования таких преступлений.

Теоретическая значимость исследования заключается также в том, что в нем сформулированы новые и уточнены существующие основные понятия, связанные с рассматривавшейся категорией преступлений, предложено авторское описание базовых элементов криминалистической характеристики указанной категории преступлений. Соискателем описаны особенности методики расследования преступлений, связанных с созданием, использованием и распространением вредоносных программ являющейся составной частью методики расследования преступлений в сфере компьютерной информации. Среди них соискателем вы- делены особенности организации и планирования расследования по делам, связанным с созданием, использованием и распространением вредоносных программ, а также отдельные криминалистические аспекты их предупреждения. Внесены предложения по приданию результатам предварительных исследований программ на наличие в них вредоносных функций, проведенных до возбуждения уголовного дела, доказательственного значения в уголовном процессе, а также показана целесообразность внесения в законодательство поправок, разрешающих проведение экспертных исследований до возбуждения уголовных дел без изменения их процессуального значения.

Практическая значимость исследования определяется тем, что в нем выявлены особенности методики расследования преступлений, свя- занных с созданием, использованием и распространением вредоносных программ, показаны возможные пути реализации в следственной и оперативно-розыскной практике данных об использовании вредоносных программах различных классов, определен состав и характеристики спе-

13

циальных программных средств, которые могут быть использованы в ходе проведения осмотров компьютерной информации, находящейся на машинных носителях, сформулированы рекомендации по подготовке и проведению отдельных первоначальных следственных действий с учетом особенностей рассматривавшейся категории преступлений. Соискателем разработаны методические рекомендации по проведению осмотров средств компьютерной техники и компьютерной информации, находящейся на машинных носителях.

Теоретико-методологическая основа исследования, эмпирическая основа исследовательской базы. Теоретико-методологической ос- новой исследования являются: материалистическая диалектика; криминалистическая методология; теоретические концепции криминалистики о структуре и этапах расследования преступлений, закономерностях механизма преступлений, их отражения и познания, тактике отдельных следственных действий.

При решении поставленных задач использовался широкий круг методов научного исследования: общенаучные методы (анализ, синтез, наблюдение, сравнение, прогнозирования и др.); методы криминалистики (методы криминалистической идентификации и диагностики, криминалистического прогнозирования, организационно-структурные и тактические методы и др.).

В процессе исследования использовались положения общей теории и методологии криминалистики и судебной экспертизы, содержащиеся в работах Т.В.Аверьяновой, Р.С.Белкина, А.И.Винберга, А.Ф.Волынского, В.Г.Корухова, З.И.Кирсанова, В.Я.Колдина, В.В.Крылова, В.П.Лаврова, И.М.Лузгина, Н.П.Майлис, В.С.Митричева, А.С.Подшибякина, Е.Р.Россинской, Н.А.Селиванова, С.И.Цветкова, А.Р.Шляхова, Н.Г.Шурухнова, Н.П.Яблокова и других ученых.

В диссертационном исследовании были использованы данные ГИЦ МВД России и материалы 18 уголовных дел, расследовавшихся в разных регионах Российской Федерации, а также материалы информа-

14

ционных баз данных российских центров технической защиты инфор- мации, специализирующихся на защите средств компьютерной техники от вредоносных программ. Помимо этого в диссертационном исследовании использовались данные развития законодательной базы и подзаконных актов, регулирующих вопросы, связанные с правовой охраной и защитой компьютерной информации, материалы по вопросам, связанным с защитой компьютерной информации от воздействия вредоносных программ, данные о существующих вредоносных программах и перспективных направлениях их совершенствования, данные анализа протоколов отдельных следственных действий, в ходе которых осматривались и изымались средства компьютерной техники, теоретические положения методики расследования преступлений в сфере компьютерной информации.

Реализация и апробация полученных результатов.

Основные положения диссертационного исследования нашли от- ражение в опубликованных работах автора:

1) Махтаев М.Ш., Соловьев Л.Н. Расследование преступлений в сфере компьютерной информации: Лекция. - М.: в/ч 33965, 2001. - 52 с. 2) 3) Соловьев Л.Н. Проведение практических занятий: следственный осмотр средств компьютерной техники / Профессиональная подготовка в учебных заведениях МВД России: Проблемы, пути их решения. - М.: ЮИ МВД РФ, 2000. - С. 43-47. 4) 5) Соловьев Л.Н. Классификация программных средств компью- терной техники, используемых при проведении следственных осмотров // Криминалистика: Актуальные вопросы теории и практики. Всероссийский круглый стол. Ростовский юридический институт МВД РФ, 15-16 июня 2000 г. - С. 192-196. 6) 7) Махтаев М.Ш., Соловьев Л.Н. Криминалистическое предупреж- дение преступлений в сфере компьютерной информации. // Сборник трудов адъюнктов и преподавателей. - М., 2000. - С. 88-99. Депонировано в Академии ФСБ РФ, 2000. 8)

15

5) Соловьев Л.Н. К вопросу о программных средствах, используе- мых при проведении следственных действий // Сборник научных статей преподавателей и адъюнктов. - М., 2000. - С. 124-131. Депонировано в Академии ФСБ РФ, 2000. 6) 7) Соловьев Л.Н. Способы совершения преступлений, связанных с созданием, использованием и распространением вредоносных программ для ЭВМ // Сборник научных статей преподавателей и адъюнктов. - М., 2000. - С. 100-123. Депонировано в Академии ФСБ РФ, 2000. 8) Основные положения, нашедшие отражение в опубликованных работах соискателя, внедрены в практику деятельности Следственного управления ФСБ РФ.

Результаты исследования внедрены в учебный процесс Академии ФСБ РФ, Юридического института МВД РФ, МГИМО (Университета) МИД РФ.

Обоснование структуры диссертации. Структура диссертации обусловлена задачами исследования, а также современным состоянием научной разработки рассматриваемых вопросов. Работа состоит из введения, двух глав, включающих в себя восемь параграфов, заключения и приложений.

В первой главе раскрываются и уточняются основные понятия, связанные с созданием, использованием и распространением вредоносных программ. При этом исследуются понятия вредоносной программы, компьютерного вируса и ряд других понятий, приводятся классификации вредоносных программ. Здесь же описаны базовые элементы криминалистической характеристики преступлений рассматриваемой категории, в которой акцентировано внимание на основных способах совершения и сокрытия преступлений, средствах и обстановки их совершения, специфических следах и лицах, совершающих их.

Вторая глава посвящена рассмотрению особенностей расследо- вания преступлений, связанных с созданием, использованием и распространением вредоносных программ, включая вопросы организации рас-

16

следования, тактики проведения первоначальных следственных действий, а также вопросы, связанные с отдельными криминалистическими аспектами предупреждения преступлений.

В заключении подводятся итоги проведенного исследования, сформулированы основные выводы, предложения и рекомендации диссертанта для реализации их в дальнейшей научной и практической деятельности.

В приложениях к диссертации сосредоточены описания следов внедрения и функционирования вредоносных программ, способов совершения преступлений, связанных с созданием, использованием и распространением вредоносных программ, средств совершения преступлений рассматриваемой категории. Здесь же приводятся методические рекомендации по проведению осмотров средств компьютерной техники и компьютерной информации, находящейся на машинных носителях, программа исследования уголовных дел, а также схемы, наглядно иллюстрирующие основные результаты исследования.

17

Глава 1. Криминалистическая характеристика преступлений, связанных с созданием, использованием и распространением вредоносных программ для ЭВМ

§ 1. Вредоносная программа для ЭВМ: понятие,

классификация

Среди программ для ЭВМ в законодательстве особо выделены вредоносные программы, создание, использование и распространение которых влечет уголовную ответственность. В законодательстве, под вредоносной программой понимается программа для ЭВМ, созданная или существующая программа со специально внесенными изменениями, заведомо приводящая к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети1.

Следует отметить, что сам термин «вредоносная программа для ЭВМ», несмотря на наличие в нем технической основы, был введен в обращение Уголовным кодексом РФ. В технической литературе чаще используются другие термины, по своему содержанию, охватывающие рассматриваемый нами: «информационная инфекция» , «логическая инфекция»3, «разрушающее программное воздействие»4, «программы с потенциально опасными последствиями (badware - «вредные програм-

1 См.: статья 273 УК РФ; статья 1 Соглашения о сотрудничестве государств - участников Содружества Независимых Государств в борьбе с преступлениями в сфере компьютерной информации (Минск, 01 июня 2001 года).

См., например: Ярочкин В.И. Безопасность информационных систем. -М.: «Ось-89», 1996. - С.123-127.

3 См.: Ярочкин В.И. Указ. раб. - С. 126.

4 См.: Щербаков А.Ю. Разрушающие программные воздействия. - М.: Эдель, 1993; Белкин П.Ю., Михальский О.О., Першаков А.С. и др. Про граммно-аппаратные средства обеспечения информационной безопас ности. Защита программ и данных: Учебное пособие для вузов. - М.: Радио и связь, 1999.

18

мы»)»1 и другие. Иногда для обозначения всех вредоносных программ, а не только их отдельного класса, используются термины «компьютерный вирус», «вирус», «закладка», «программная закладка», «троянская программа».

В технических определениях вредоносных программ, за редким исключением, делается упор на их основные функциональные характеристики. Так, В.И.Ярочкин, определяет вредоносные программы («информационные инфекции») как программы, предназначенные для того, чтобы расстроить, изменить или разрушить полностью или частично элементы, обеспечивающие нормальное функционирование системы . Он же указывает специфические черты присущие таким программам: противоправность (незаконность), способность к самовосстановлению и размножению, а также определенный инкубационный период - замедленное время начало действия3. Приведенное определение и выделенные им характерные черты вредоносных программ, исходя из их современного состояния, не относятся ко всем без исключения их классам.

Наиболее детальное, с технической точки зрения, понятие вредо- носных программ («программ с потенциально опасными последствиями») приведено в пособии по защите программ и данных, в котором авторы четко разграничили возможные функции этих программ:

«1) скрыть признаки своего присутствия в программной среде КС ;

2) реализовать самодублирование, ассоцирование себя с другими программами и/или перенос своих фрагментов в иные (не занимаемые изначально указанной программой) области оперативной или внешней памяти;

См., например: Белкин П.Ю., Михалъский О.О., Першаков А.С. и др. Указ. раб. - С.133-134; Мячев А.А. Персональные ЭВМ: краткий энциклопедический справочник. - М.: Финансы и статистика, 1992. - С.30-34.

2 См: Ярочкин В.И. Указ. раб. - С. 124.

3 См: Ярочкин В.И. Указ. раб. - С. 124.

4 Компьютерных систем (сокр.).

19

3) разрушить (исказить произвольным образом) код программ (от- личных от нее) в оперативной памяти КС; 4) 5) перенести (сохранить) фрагменты информации из оперативной памяти в некоторые области оперативной или внешней памяти прямого доступа (локальных или удаленных); 6) 7) имеет потенциальную возможность исказить произвольным об- разом, заблокировать и/или подменить выводимый во внешнюю память или в канал связи массив информации, образовавшийся в результате работы прикладных программ или уже находящийся во внешней памяти, либо изменить его параметры»1. 8) Это определение включает, помимо чисто технических, характе- ристики вредоносной программы, которые нашли отражение в ст.273 УК РФ, т.е. способность программы к уничтожению, модификации, блокированию или копированию информации. Однако в нем самом отсутствует юридический признак - указание на противоправность оказываемого воздействия2.

В научной криминалистической литературе также дается несколько определений вредоносной программы. Так, по определению В.Б.Вехова, под вредоносной понимается «программа для ЭВМ, приводящая к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети»3. Данное определение практически полностью повторяет определение вредоносной программы из соответствующей статьи Уголовного кодекса РФ, однако, на наш взгляд, имеет достаточно

См.: Белкин П.Ю., Михальский О.О., Першаков А.С. и др. Указ. раб. - С.133-134.

2 О возможности отнесения этого вида деятельности к специальным, см., например: п.1 «б» ст. 3 Соглашения о сотрудничестве государств - уча стников Содружества Независимых Государств в борьбе с преступле ниями в сфере компьютерной информации (Минск, 01 июня 2001 го да).

3 Вехов В.Б. Указ. раб. - С.75.

20

серьезный недостаток. Различие заключается в терминах «заведомо приводящая», указанному в законе, и «несанкционированному», употребленного В.Б.Веховым. К вредоносным программам не могут быть отнесены программы, имеющие ошибки в своем алгоритме, не устраненные в процессе ее разработки. Они могут возникать вследствие недостаточной проработки алгоритма программы, несовместимости ее функциони-

l*tUf

рования со средствами компьютерной техники, использования для ее создании алгоритмов программ с уже имеющимися ошибками, о которых создатель не знал, и вследствие многих других факторов.

В своей работе В.В.Крылов дает следующее определение вредо- носной программы: «программа, специально разработанная или модифицированная для несанкционированного собственником информационной системы уничтожения, блокирования, модификации либо копирования информации, нарушения обычной работы ЭВМ, является вредоносной», понимая под ней при этом «компьютерный вирус»1. В более поздней монографии, он же использует тоже определение вредоносной программы, но при его раскрытии в классификациях активно вводит термин «инфекции»2.

На наш взгляд, использовать термин «инфекция» в отношении программ для ЭВМ некорректно. В Большой Советской энциклопедии ей дается следующее определение: «Инфекция (позднелат. Infectio - заражение, от лат. Inficio - вношу что-либо вредное, заражаю) - проникновение патогенного паразита в организм человека или животного и состояние зараженности организма»3. Если рассматривать класс компьютерных вирусов, это определение, в целом, отражает характер функционирования таких программ, если корреспондировать его с живого орга-

1 См.: Крылов В.В. Информационные компьютерные преступления. - С.41-42.

2 См.: Крылов В.В. Расследование преступлений в сфере информации.

С.99-105.

3 Большая советская энциклопедия (В 30 томах). Гл. ред. A.M. Прохоров. - М.: «Советская энциклопедия», 1972, Т. 10. - С.347.

21

низма на компьютерную систему. Однако существует целый ряд вредоносных программ не способных к созданию своих копий.

Давая определение вредоносной программе необходимо исходить из того, что эта программа должны^ быть наделена определенными функциями, наличие которых и позволяет выделить ее среди других программ для ЭВМ. Этими функциями, которые принято называть вредоносными, являются функции, выполнение которых может привести к неправомерному воздействию на компьютерную информацию и средства компьютерной техники. Под неправомерным воздействием на компьютерную информацию и средства компьютерной техники следует понимать любое воздействие, оказываемое без согласия их собственника или владельца. При этом следует акцентировать внимание именно на возможности неправомерного воздействия, так как само оказание такого воздействия в соответствии с законом не является определяющим признаком для отнесения той или иной программы к вредоносным.

Неправомерное воздействие, оказываемое на компьютерную ин- формацию, может привести к определенным в уголовным законе по- следствиям, а именно к уничтожению, блокированию, модификации или копированию компьютерной информации. Кроме этого в законе определено еще одно последствие неправомерного воздействия «нарушение работы ЭВМ, системы ЭВМ или их сети», которое выражается «в их произвольном отключении, в отказе выдать информацию, в выдаче искаженной информации при сохранении целостности ЭВМ, системы ЭВМ или их сети»1.

С нашей точки зрения указанные в уголовном законе последствия неправомерного воздействия оказываемого вредоносными программами не соответствуют существующим на сегодняшний день видам возможного неправомерного воздействия. Так, например, появились вредоносные программы, оказывающие воздействие на аппаратно-технические

1 Комментарий к Уголовному кодексу Российской Федерации / Отв. ред. профессор А.В.Наумов. - М.: Юристь, 1996. - С.664.

22

средства компьютерной техники, приводящее к блокированию их работы, повреждению или уничтожению. Исходя из этого, определение нарушения работы компьютерных систем как последствия неправомерного воздействия сохраняющего их целостность должно быть пересмотрено. Помимо этого, следует отметить, что неправомерные воздействия, приводящие к уничтожению, блокированию, модификации или копированию компьютерной информации, своими последствиями могут оказывать непосредственное влияние и на работоспособность компьютерных систем. Исходя из этого нарушение работы компьютерных систем можно рассматривать в ряде случаев как общее по отношению к другим последствиям неправомерных воздействий.

Кроме этого, способы создания вредоносных программ, которые включены в приведенное выше определение В.В. Крылова, на наш взгляд, для определения самой вредоносной программы не имеют значения.

С учетом изложенного вредоносной программе можно дать сле- дующее определение: Вредоносная программа для ЭВМ - это про- грамма для ЭВМ, наделенная функциями, выполнение которых может оказать неправомерное воздействие на средства компьютерной техники, приводящее к их уничтожению, блокированию или иному нарушению их работы, и на компьютерную информацию, приводящее к ее уничтожению, блокированию, модификации или копированию.

Средства компьютерной техники, которые упоминаются в этом определении, состоят из нескольких элементов. В.Б.Вехов предлагает использовать в криминалистике разделение средств компьютерной техники по своему функциональному назначению на две основные группы: на аппаратные средства (Hardware) и на программные средства (Software)1. Похожую структуру использует и В.Ю.Максимов, который однако выделяет три составляющие: аппаратно-техническая часть, про-

1 См.: Вехов В.Б. Указ. раб. - С.25-27.

23

граммная часть, информационная часть1. Принципиальное различие в приведенных точках зрения заключается в выделении в качестве отдельной составляющей информационной части, которая В.Б.Веховым отнесена к программным средствам компьютерной техники, наряду с про-граммным обеспечением . На наш взгляд, включать компьютерную информацию в состав средств, обеспечивающих протекание информационных процессов, в принципе нельзя. Понятие компьютерной информации шире понятия программных средств. Последние также являются компьютерной информацией, но при этом выполняют указанную выше служебную функцию, что позволяет отнести их и к средствам компьютерной техники. Таким образом, в состав средств компьютерной техники должны быть включены:

• аппаратно-технические (аппаратные) средства: ЭВМ, перифе- рийное оборудование, сетевое оборудование, съемные машинные носители информации; • • программные средства: системные программные средства (сис- темные программы), прикладные программные средства (прикладные программы)3. • Инструментальные программные средства (инструментальные программы), иногда выделяемые в литературе в отдельную группу, были объединены нами с прикладными программами, так как спецификой их является назначение (создание программ), в остальном же они не отли-

1 См.: Максимов В.Ю. Незаконное обращение с вредоносными програм мами для ЭВМ: проблемы криминализации, дифференциации ответст венности и индивидуализации наказания. Автореферат канд. дис. - Краснодар, 1998.-С. 12.

2 См.: Вехов В.Б. Указ. раб. - С.27.

3 В литературе также встречаются аналогичные или более расширенные, классификации программных средств (программного обеспечения), см. например: Расследование неправомерного доступа к компьютерной информации / Под ред. Н.Г.Шурухнова. - С.27-30; Вехов В.Б. Указ. раб. - С.26-27; Крылов В.В. Информационные компьютерные преступления.

24

чаются от прикладных. Однако при рассмотрении вопросов, связанных с созданием вредоносных программ, инструментальные программы иногда будет необходимо выделять из общего объема прикладных программных средств.

В юридической литературе дается ряд определений программного обеспечения. В.Б.Вехов определяет программное обеспечение как совокупность управляющих и обрабатывающих программ, предназначенных для планирования и организации вычислительного процесса, автоматизации программирования и отладки программ, решения прикладных задач, состоящее из: системных, прикладных и инструментальных программ1. Или, например, под программным обеспечением понимают совокупность программ, языков программирования, процедур, правил и документации, необходимых для использования и эксплуатации про-граммных продуктов на данной ЭВМ . На наш взгляд, второе приведенное нами определение предпочтительнее, так как позволяет разграничить программные средства компьютерной техники и программное обеспечение. Они соотносятся как общее и частное соответственно. Однако в том же определении состав программного обеспечения, включающий и программы, и техническую документацию, и правила их использования и эксплуатации, взят слишком широко и его, на наш взгляд, следует ограничить только программами. С учетом вышеизложенного можно сформулировать следующее определение программного обеспечения: Программное обеспечение - это совокупность программных средств компьютерной техники, используемых для управления функционированием конкретной ЭВМ, системой ЭВМ или их сетью и информационными процессами, протекающими в них.

  • С.94-95; Фигурнов В.Э. IBM PC для пользователя. - М.: ИНФРА-М,
      • С.49.

1 См.: Вехов В.Б. Указ. раб. - С.26-27.

2 Расследование неправомерного доступа к компьютерной информации / Под ред. Н.Г.Шурухнова. - М.: Издательство «Щит-М», 1999. - С.27.

25

Основной составляющей аппаратно-технических средств компью- терной техники является электронная вычислительная машина (ЭВМ). В юридической литературе приводятся ее различные определения. Так, В.Б.Вехов приводит определение персонального компьютера (персональной ЭВМ) как комплекса технических средств, предназначенных для автоматической обработки информации в процессе решения вычислительных и информационных задач1. Однако, понятие «персональная ЭВМ» значительно уже понятия электронной вычислительной машины. К примеру, В.В.Крылов приводит следующую классификацию ЭВМ: стационарные ЭВМ, «настольные» малогабаритные ЭВМ, портативные ЭВМ, малогабаритные ЭВМ (включенные в механические и/или техно- логические системы) . Разница между этими классами ЭВМ значительна и она определяется не только составом электронных и электронно-механических устройств ЭВМ, но и программным обеспечением, и формальными представлениями (форматами) данных.

В.В.Крылов, на основе проведенного анализа различных источников, предлагает определить электронную вычислительную машину как «комплекс электронных устройств, позволяющих производить предписанные программой и/или пользователем операции (последовательности действий по обработке информации и управлению устройствами) над символьной и образной информацией, в том числе осуществлять ее ввод-вывод, уничтожение, копирование, модификацию, передачу ин-формации в сети ЭВМ и другие информационные процессы» . Данное определение дает более полное представление о выполняемых ЭВМ

См.: Вехов В.Б. Компьютерные преступления: Способы совершения и раскрытия / Под ред. акад. Б.П.Смагоринского. - М.: Право и Закон, 1996. - С.26.

2 См.: Крылов В.В. Информационные компьютерные преступления. - М.: Издательская группа ИНФРА»М-НОРМА, 1997. - С.31. См., также: Правовая информатика и кибернетика. Учебник / Под ред. Н.С.Полевого. - М.: Юридическая литература, 1993. - С.95-98.

3 Крылов В.В. Информационные компьютерные преступления. - С.32.

26

операциях с компьютерной информацией. Однако, на наш взгляд, ЭВМ следует определить следующим образом: Электронная вычислительная машина (ЭВМ) - это комплекс взаимосвязанных и взаимодействующих через определенное программное обеспечение электронных и электронно-механических устройств, обеспечивающий протекание информационных процессов.

Еще одним элементом, входящим в состав средств компьютерной техники, являются машинные носители информации. Существование различных точек зрения о составе машинных носителей информации отмечал В.В.Крылов, высказывая свою точку зрения по данному вопросу и относя к машинным носителям информации «устройства памяти ЭВМ, периферийные устройства ЭВМ, компьютерные устройства связи, сетевые устройства и сети электросвязи»1. На наш взгляд, эта классификация машинных носителей информации дается в широком смысле этого понятия. Однако в ряде случаев возникает необходимость использования более узкого понятия. В более узком смысле, это только устройства долговременного хранения информации (съемные и несъемные) или накопители компьютерной информации2. К несъемным относят накопители на жестких магнитных дисках (винчестеры), к съемным - накопители на гибких магнитных дисках (дискеты), стриммерные кассеты, маг- нитооптические диски, лазерные диски (CD-ROM) и прочие. На наш взгляд, машинные носители информации, в узком смысле, - это электронно-механические и другие устройства, формирующие и поддерживающие в рабочем состоянии некоторый физический объем, который используется для долговременного хранения и оперативной обработки компьютерной информации.

Под созданием вредоносной программы, на наш взгляд, следует понимать творческую деятельность, направленную на создание качественно новой программы, заведомо наделенной функциями, выполнение

Крылов В.В. Информационные компьютерные преступления. - С.34- 37. 2 См., например: Вехов В.Б. Указ. раб. - С.25.

27

которых может оказать неправомерное воздействие на компьютерную информацию и средства компьютерной техники.

Деятельность по созданию вредоносной программы включает в себя следующие этапы, которые по сути аналогичны этапам создания любых других программ:

• постановка задачи, определение среды существования и цели программы;

• выбор средств и языков реализации программы; • • написание непосредственно текста программы; • • проверка соответствия работоспособности программы и ее соот- ветствие поставленной задаче; • • отладка программы; • • подготовка программы к использованию и распространению. В.В.Крылов, приводя этапы создания вредоносных программ,

включил вместо указанного последнего этапа «запуск и непосредственное действие программы (выпуск в свет, предоставление информации)»1. Однако эти действия могут уже рассматриваться как использование или распространение программы и поэтому не относятся к процессу ее создания.

Уголовный закон не использует термина «модификация програм- мы», он использует оборот «внесение изменений, заведомо приводящих к несанкционированному уничтожению, …», в то время, как под модификацией программы понимаются любые ее изменения, за исключением адаптации, то есть изменений, осуществляемых исключительно в целях обеспечения функционирования программы для ЭВМ на конкретных технических средствах пользователя.

См.: Крылов В.В. Расследование преступлений в сфере информации. -С.72-73; Крылов В.В. Информационные компьютерные преступления. -С.43-44.

2 См.: Статью 1 Закона Российской Федерации от 23 сентября 1992 года № 3523-1 «О правовой охране программ для электронных вычислительных машин и баз данных».

28

Такая избирательность законодателя в терминологии, на наш взгляд, не случайна. Это может быть связано с тем, что не любые изменения существующих программ могут быть признаны преступлением. Однако именно с этим делением изменений, вносимых в существующую программу, разграничивающим преступные деяния и непреступные, и могут возникнуть на практике основные сложности.

Изменения, вносимые в существующие программы, исходя из со- держания статьи 273 УК РФ, обязательно должны быть связаны с внесением в эти программы функций, приводящих к оговоренным в уголовном законе последствиям.

Это означает, что в случае модификации существующей вредо- носной программы деяние нельзя признать преступлением, если в эту программу небыли добавлены вредоносные функции или они не изменялись, а также, в том случае, если в результате таких изменений не была создана качественно новая вредоносная программа.

С одной стороны, это положительно, так как позволяет отделить значительную часть модификаций вредоносных программ, изменения в которых не затрагивает вредоносных функций программы и не влечет существенных изменений других функций этой вредоносной программы. В качестве примеров таких модификаций могут служить изменения воспроизводимых в программе текста, изображений, аудиоэффектов, изменение настроек программы на работу с другим адресом глобальной компьютерной сети и т.д. Эти действия малозначительны и не являются преступными. С другой стороны, возможны модификации вредоносных программ при которых вредоносные функции программы не изменяются, однако изменяются другие функции этой программы, которые могут сильно сказаться на ее работоспособности (изменение механизмов самораспространения, адаптации, противодействия программным средствам защиты и т.д.). Внесенные изменения оказывают лишь косвенное влияние на изменение вредоносных функций существующих программ. Формально эти деяния не будут являться преступлением, за исключени-

29

ем того случая, когда в результате подобных изменений будет создана качественно новая программа.

Изменения, вносимые в существующую программу, могут быть различными: добавление, удаление, дублирование части машинного кода и другие возможные модификации программы. Это может касаться и вредоносных функций. С этим связан еще один существенный вопрос. Если происходит удаление во вредоносной программе всех вредоносных функций, программа перестает быть вредоносной и соответственно лицо, внесшее в нее такие изменения, не подлежит уголовной ответственности. Иная ситуация складывается если удалены не все, а лишь часть вредоносных функций. С одной стороны это деяние нельзя назвать преступным, так как никаких вредоносных функций в существующую программу не вносилось, с другой стороны, такое изменение может быть сделано в целях упрощения алгоритма функционирования программы, избавления ее от демаскирующих признаков и т.д.

Оба приведенных случая формально не являются преступлением, однако, на наш взгляд, могут и должны быть отнесены к преступным деяниям, если лицо, модифицировавшее вредоносную программу, ставило перед собой цель придание ей новый свойств, вне зависимости от того являются ли вносимые в нее функции вредоносными или нет. Действующая норма, закрепленная в ст.273 УК РФ не позволяет этого сделать.

Еще одна проблема, связана с определением степени модификации вредоносной программы конкретным исполнителем. Она заключается в том, что лицо, модифицировавшее вредоносную программу, могло подвергнуть модификации уже модифицированную программу. При сравнении первоначального варианта программы, который имел место до всех проводимых с ней модификаций, различия с ее конечным вариантом, полученным в результате ряда модификаций, могут быть значительными и при таком сравнении полученный вариант программы в результате сравнительного исследования может быть признан качественно

30

новой программой. При этом каждая промежуточная модификация, производимая разными лицами, протекавшая независимо от других, может быть незначительна и в отдельности каждую из них нельзя будет признать созданием новой вредоносной программы.

Любая модификация вредоносных программ в целом осуществляется по перечисленным выше этапам создания программ. Существенным отличием является добавление, после этапа постановки задачи, этапа анализа существующей программы и ряда других действий, направленных на преобразование, анализ и изменение машинного кода или исходного текста программы.

Исходя из этого, по особенностям создания вредоносные программы можно разделить на специально созданные, созданные путем, внесения изменений в существующие программы, и модифицированные.

Под модифицированной вредоносной программой для ЭВМ следует понимать вредоносную программу, в которую внесены любые изменения, при условии, что эти изменения значительно качественно не изменили ее и она не изменила своих функций, выполнение которых оказывает неправомерное воздействие на компьютерную информацию и средства компьютерной техники.

В отличие от модифицированных вредоносных программ, под программами, созданными путем внесения изменений в существующие программы, следует понимать вредоносные программы, созданные путем внесения любых изменений в существующие программы при условии, что эти изменения значительно качественно изменили существующую программу. Создание любой программы процесс творческий и он может проходить различными путями, в том числе и путем внесения из- менений в существующие программы. Создание программы путем внесения изменений в существующую программу, характеризуется сохранением хотя бы части ее первоначальных функций или ее внешнего представления. Модифицированная вредоносная программа, как правило, сохраняет ранее существовавшие вредоносные функции, и измене-

31

ниям подвергаются лишь те ее отдельные функции и свойства, которые прямо не влияют на выполнение указанных вредоносных функций.

Существует много классификаций вредоносных программ, однако основная масса из них является чисто техническими, которые не могут быть использованы для решения стоящих перед криминалистикой задач.

Ряд классификаций вредоносных программ приводится и в юри- дической литературе. Так, В.В.Крылов предлагает классифицировать все вредоносные программы «на базе представлений о цели создания программы и последствиях ее действия»: «безвредные» инфекции, «опасные инфекции», «инфекции проникновения». Последние предназначены «для организации неправомерного доступа к чужим информационным ресурсам («люки» («back door») или «Троянские программы (кони)», «логические бомбы и бомбы с часовым механизмом»)»1.

«Безвредность» вредоносных программ очень относительное по- нятие и ему крайне сложно найти применение в криминалистике. Также нельзя согласиться с последним классом - «инфекциями проникновения» и его выделенной направленностью на организацию неправомерного доступа. Это единственный класс в указанной классификации, который не имеет признака - «самостоятельного размножения». Явная за-уженность этого класса вступает в противоречие с современными данными о вредоносных программах не способных к самораспространению. Приведенные же в качестве примера автором данной классификации «логические бомбы» однозначно в литературе признаются программами, предназначенными для выполнения деструктивных (разрушающих) функций, а не для организации доступа к компьютерной информации.

В зависимости от наличия функции самораспространения вре- доносные программы делятся на два класса: самораспространяющиеся программы и программные закладки. Под самораспространением понимается заложенная в алгоритме программы функция, позволяющая

См.: Крылов В.В. Расследование преступлений в сфере информации. - С.101-105.

32

программе, независимо от действий пользователя, создавать свои копии (размножаться) и распространяться, то есть внедрять свои копии в файлы, системные области компьютерных систем и т.д. При этом копии вредоносной программы могут в точности не совпадать с оригиналом, однако сохраняют все или большую часть введенных в их алгоритм функций, включая функцию самораспространения1.

К числу самораспространяющихся программ следует отнести: компьютерные вирусы и компьютерные черви2.

В литературе существуют различные точки зрения относительно деления самораспространяющихся программ. Ряд авторов, в их числе В.В.Мельников и П.Л.Пилюгин, относят все программы рассматриваемого вида к компьютерным вирусам, без их деления, рассматривая компьютерного червя как один из видов компьютерных вирусов.3 В тоже время многие другие авторы, такие как Е.В.Касперский, А.В. и Г.В.Фроловы, В.И.Ярочкин, выделяют компьютерного червя в самостоятельный класс .

Нет однозначной точки зрения и в юридической литературе, посвященной данному вопросу. Так, В.В.Крылов отождествляет понятие

1 См., например: Касперский Е.В. Компьютерные вирусы в MS DOS. -М.: ЭДЭЛЬ, 1992. - С.З; Пилюгин П.Л. Компьютерные вирусы. Курс лекций. - М.: Войсковая часть 33965, 1991. - С.4-6; Фролов А.В., Фролов Г.В. Осторожно: компьютерные вирусы. - М.: ДИАЛОГ-МИФИ, 1996. -С.6-7 и другие.

В дальнейшем вместо терминов «компьютерный вирус» и «компьютерный червь» будут использоваться сокращенные их наименования «вирус» и «червь» соответственно.

3 См.: Мельников В.В. Защита информации в компьютерных системах. - М.: Финансы и статистика; Электроинформ, 1997. - С.304; Пилю гин П.Л. Указ. раб. - С.5.

4 См., например: Касперский Е.В. Компьютерные вирусы в MS DOS. - С.8-9; Касперский Е.В. Компьютерные вирусы: что это такое и как с ними бороться. - М.: СК Пресс, 1998. - С.41; Фролов А.В., Фролов Г.В. Осторожно: компьютерные вирусы. - С.47-48; Ярочкин В.И. Указ. раб. -

33

«компьютерный вирус» и «вредоносная программа»1, а компьютерного червя отнес к «вирусным программам типа «Червь»2. В.Б.Вехов же разделяет компьютерные вирусы и компьютерных червей («троянский червь») и относит их к «троянским» программам, и уже с ними отождествляет понятие вредоносной программы3.

Данному классу вредоносных программ давалось много различных определений и в технической литературе. Так, В.И.Ярочкин понимает под вирусом программу, которая обладает способностью размножаться и самовосстанавливаться4. Тем самым выделяет в своем определении единственный признак, уже заложенный нами в основу предложенной групповой классификации. При таком подходе, очевидно, что разделить вирусы и компьютерные черви невозможно, так как и те и другие обладают этим свойством, а иных характеризующих признаков в самом определении нет.

В.В.Мельников приводит следующее определение: «Компьютерный вирус - это специально написанная небольшая по размерам про- грамма, которая может «приписывать» себя к другим программам (т.е. «заражать» их), а также выполнять различные нежелательные действия на компьютере (например, портить файлы или таблицу размещения файлов на диске, «засорять» оперативную память, и т.д.)»5. Существенным недостатком приведенного определения является ограничение в нем размера вредоносных программ.

С. 123-127; Белкин П.Ю., Михальский О.О., Першаков А.С. и
др. Указ.раб. - С. 151 и другие.

1 См.: Крылов В. В. Информационные компьютерные преступления. - С.41-43.

См.: Там же. - С. 101.

3 См.: Вехов В.Б. Указ. раб. - С.74-86.

4 См.: Ярочкин В.И. Указ. раб. - С. 125-126.

5 Мельников В.В. Указ. раб. - С.306. См. также: Ярочкин В.К, Шевцова Т.А. Словарь терминов и определений по безопасности и защите ин формации. -М.: «Ось-89», 1996. -СП.

34

А.В.Соколов и О.М.Степанюк приводят следующее определение: «Компьютерным вирусом будем называть программу, обладающую способностью к скрытому размножению в среде стандартной операционной системы компьютера путем включения в исполняемые или хранящиеся программы своей, возможно модифицированной копии, которая сохраняет способность к дальнейшему размножению»1. Авторы заузили это определение указанием на возможность внедрения вируса только в программы, а также указанием на стандартную операционную систему компьютера. Системные программы оказывают огромное влияние на рабо- тоспособность таких программ, но и прикладные программы подчас оказывают не меньшее влияние на реализацию вредоносными программами своих функций.

Из всех определений, дававшихся в технической литературе, следует выделить одно, где суммируются все основные свойства рассмат- риваемого вида программ. Его авторы под компьютерным вирусом понимают программный код, обладающий следующими необходимыми свойствами: способностью к созданию собственных копий, не обязательно совпадающих с оригиналом, но обладающих свойствами оригинала (самовоспроизведение); наличием механизма, обеспечивающего внедрение создаваемых копий в исполняемые объекты вычислительной системы2.

Однако следует отметить, что и в этом определении помимо указания на два основных свойства отсутствует какое-либо указание на вредоносные функции компьютерных вирусов. С точки зрения техники, это вполне обоснованно, так как не все программы наделяемые указанными свойствами обладают реальной способностью к осуществлению вредного воздействия на компьютерную информацию. Эти программы в

1 Соколов А.В., Степанюк О.М. Методы информационной защиты объ ектов и компьютерных сетей. - М.: ООО «Фирма «Издательство ACT»; СПб.: ООО «Издательство «Полигон», 2000. - С. 158.

2 Белкин П.Ю., Михалъский О.О., Першаков А.С. и др. Указ.раб. - С.150-151.

35

технической литературе относят к так называемым «безопасным» вирусам, которые поглощают ресурсы системы, усложняют ее работу, но не могут повредить компьютерную информацию, с которой они взаимодействуют.

В юридической литературе, В.В.Крылов и В.Б.Вехов понимают под компьютерным вирусом специальную программу для ЭВМ, способ- ную самопроизвольно присоединяться к другим программам (т.е. «заражать» их) и при запуске последних выполнять различные нежелательные действия: порчу файлов и каталогов, искажение результатов вычислений, засорение или стирание памяти и т.п.1 В.Ю.Максимов дает ей следующее определение: «Вирус - самовоспроизводящаяся и самораспространяющаяся в компьютерной среде программа, точные либо модифицированные копии которой сохраняют ее исходные свойства и которая может выполнять дополнительные, вредоносные действия»1.

По нашему мнению, с учетом ранее приводившегося определения вредоносной программы, данному классу вредоносных программ следует дать следующее определение: Компьютерный вирус - это вредоносная программа для ЭВМ, способная к самораспространению, путем включения своего программного кода или некоторой его части в программный код файлов, системные области или иное рабочее пространство машинных носителей информации, с сохранением всех первоначальных свойств или некоторой их части.

Основная особенность компьютерных вирусов - это «паразитиче- ский» характер их распространения и функционирования. Они зависят от файлов-носителей, так как некоторые из них становятся активными только в период работы программы-носителя (нерезидентные вирусы), другие после запуска программы-носителя оставляют в памяти компьютера работоспособную свою часть и могут сохранять ее и после прекра-

1 См., например: Крылов В.В. Информационные компьютерные преступления. - С.41; Вехов В.Б. Указ. раб. - С.78; Толковый словарь по информатике. - М.: Наука, 1991. - С.52.

36

щения работы с программой-носителем до перезагрузки компьютера (резидентные), третьи, внедряются в системные области машинных носителей информации (загрузочные), восстанавливают свое действие даже после перезагрузки ЭВМ, но все равно требуют наличия связи со своей копией2.

Существует значительное число классификаций компьютерных вирусов: по типам объектов, в которые они внедряются (по среде обитания), по способу заражения среды обитания, по деструктивным возможностям, по особенностям функционирования вируса и другие. Многие из них чисто технические и не имеют для криминалистики особого значения.

Основное отличие компьютерного червя от вируса заключается в механизме его самораспространения. Червь копирует себя в память одной или нескольких ЭВМ, связанных между собой в сеть, независимо от других программ3. Иногда в технической литературе его иногда называют сетевым вирусом или сетевым червем4. То есть данная программа является полностью самостоятельной, не требующей действий программы-носителя. 19 июля 2001 года было отмечено использование первого компьютерного червя, полностью избавившегося от привязки своего кода к файлам и существовавшего только в памяти ЭВМ или в виде сиг-

1 Максимов В.Ю. Указ. соч. - С. 14-15.

Более подробно, о способах распространения вирусов см., например: Пилюгин П.Л. Указ. раб. - С.7-38; Касперский Е.В. Компьютерные вирусы в MS DOS. - С.11-18; Фролов А.В., Фролов Г.В. Осторожно: компьютерные вирусы. - С. 7-27 и другие.

Более подробно см.: Пилюгин П.Л. Указ. раб. - С.5; Касперский Е.В. Компьютерные вирусы в MS DOS. - С.8-9; Фролов А.В., Фролов Г.В. Осторожно: компьютерные вирусы. - С.47-48; Вехов В.Б. Указ. раб. - С.76; Айков Д., Сейгер К., Фонсторх У. Компьютерные преступления. Руководство по борьбе с компьютерными преступлениями: Пер. с англ. - М.: Мир, 1999. - С.71-72; Мячев А.А. Указ. раб. - С.42-43 и другие.

4 См., например: Соколов А.В., Степанюк О.М. Указ. раб. - С.161; Касперский Е.В. Компьютерные вирусы: что это такое и как с ними бороться. - С.53-55.

37

нальных запросов в каналах связи, - Code Red Worm («Китай»). Как отмечает Е.В.Касперский, за редким исключением, связанным с созданием временных файлов на машинных носителях информации, такие программы вообще не обращаются к ресурсам компьютера (за исключением оперативной памяти)1. Знание этой особенности распространения может позволить избежать уничтожения копии червя в компьютерной системе до ее надлежащей фиксации, так как при выключении ЭВМ (например, для ее изъятия), происходит отключение оперативной памяти, а значит и уничтожение самой вредоносной программы.

В.И.Ярочкин, давая определение компьютерного червя, охаракте- ризовал его как паразитический процесс, который потребляет (истощает) ресурсы системы . Однако на сегодняшний день, деструктивные функции червя не ограничиваются лишь потреблением ресурсов компьютерной системы. В словаре, посвященном информационной безопасности, он же и Т.А.Шевцова дают следующее определение компьютерного червя: «Компьютерный червь - специальная программа, предназначенная для преодоления разнообразных форм защиты. Эти программы в отличие от вирусов размножаются сами по себе (для размножения вирусов требуется носитель: файл или диск) и не имеют ограничений по сложности и размерам. Червь, как правило, узко специализирован и взламывает только определенные типы защиты»3. Данное определение раскрывает сущность и технические характеристики данного класса вредоносных программ, однако, оно сильно заужено «преодолением различных форм защиты», так как червь способен не только проникнуть в компьютерную систему, но и иначе воздействовать на компьютерную информацию и средства компьютерной техники.

1 См.: Касперский Е.В. Компьютерные вирусы в MS DOS. - С.8.

2 Ярочкин В.И. Указ. раб. - С. 125.

3 Ярочкин В.К, Шевцова Т.А. Указ. раб. - С.22. См., также термин «Червь»: Там же. - С.46.

38

На наш взгляд, программы данного класса следует определить следующим образом: Компьютерный червь - это вредоносная про- грамма для ЭВМ, способная к самораспространению, путем переноса своего программного кода или некоторой его части по существующим каналам связи на удаленные ЭВМ, в системы ЭВМ или их сети, с сохранением всех первоначальных свойств или некоторой их части.

Второй класс вредоносных программ составляют программы не способные к самораспространению - программные закладки. Отсутствие механизма саморазмножения - основной их отличительный признак. В остальном они могут быть наделены аналогичными с самораспространяющимися программами функциями.

Следует отметить, что не все ученые признают относимость про- граммных закладок к вредоносным программам. Так, например, В.Ю.Максимов в своем диссертационном исследовании вынес на защиту положение о том, что «предметом ст.273 должны быть только компьютерные вирусные программы, остальные же … должны относиться к «ведению» ст.272»1. Основанием для этого, по его мнению, служит «особое положение вируса в компьютерной среде, вытекающее из его свойств и вызываемых его действиями последствий». Данное утверждение является спорным и из-за многообразия функций программных закладок, которое не ограничивается организацией неправомерного доступа.

Все программы, входящие в данный класс, можно условно разделить на пять групп2:

1 Максимов В.Ю. Указ. соч. - С.8.

Данная классификация основывается на действия совершаемых про- граммными закладками и соответственно на оставляемых ими следах, поэтому она отличается от ряда технических классификаций программ, которые могут быть отнесены к данной группе. См., например: Анин Б.Ю. Защита компьютерной информации. - СПб.: БХВ - Санкт-Петербург, 2000. - С.25-52; Трояны. Классификация. / Хакер, № 1, январь 2000. - с.62-64; Сырков Б. Троянские программы. / Системы безопасности, связи и телекоммуникации, № 30, 1999. - с.66-69 и другие.

39

  1. Программные закладки, осуществляющие сбор информации об информационных процессах, протекающих в компьютерной системе.
  2. Программные закладки, обеспечивающие неправомерный доступ.
  3. Программные закладки, наделенные деструктивными функциями.
  4. Программные закладки, блокирующие работу средств компью- терной техники.
  5. Комбинированные программные закладки.
  6. Одна из наиболее полных технических классификаций, приводив- шаяся в литературе, с использованием которой можно проиллюстрировать взаимосвязь технических классификаций и предложенной нами, включает в себя шесть групп программ:

1) Программные закладки, отключающие защитные функции системы - программы, способные модифицировать машинный код или кон- фигурационные данные системы, тем самым полностью или частично отключая ее защитные функции. 2) 3) Перехватчики паролей - программы, предназначенные для ав- томатического перехвата имен и паролей, вводимых пользователями защищенной системы в процессе идентификации и аутентификации. 4) 5) Программные закладки, повышающие полномочия пользователя - эти закладки применяются для преодоления тех систем защиты, в которых реализовано разграничение доступа пользователей к объектам системы. 6) 7) Логические бомбы - это программные закладки, оказывающие при определенных условиях разрушающие воздействия на атакованную систему и обычно нацеленные на полное выведение системы из строя. 8) 9) Мониторы - это программные закладки, предназначенные для наблюдения за процессами обработки данных, протекающими в про- граммной среде. 10)

40

6) Сборщики информации об атакуемой среде - программные за- кладки этого класса предназначены для пассивного наблюдения за программной средой, в которую внедрена закладка1.

К программным закладкам, осуществляющим сбор информации об информационных процессах, протекающих в компьютерной системе, прежде всего, следует отнести мониторы и сборщики информации об атакуемой среде. К этой же группе могут быть также отнесены и перехватчики паролей.

К программным закладкам, обеспечивающим неправомерный доступ к компьютерной системе, следует отнести программные закладки, отключающие защитные функции системы. Указанная программа, внедряясь в систему способна модифицировать программный код или настройки системы, таким образом, что в системе отключаются полностью или частично защитные функции. К этому же классу программных закладок следует отнести программы, повышающие полномочия пользователей, а также программы с включенной в них некоторой последовательностью машинных команд, именуемых еще «логический люк», с помощью которого доступ к системе осуществляется минуя программные системы защиты. К примеру, в ходе расследования уголовного дела № 444800 было выявлено, что обвиняемый П. использовал вредоносную программу, которую можно отнести к данной группе. Определив целью своего преступного воздействия компьютерную информацию, находящуюся на ЭВМ Шадринского Регионального Управления Федеральной Почтовой Связи, он в качестве исходных данных для работы вредоносной программы через Интернет передал ей адрес электронной почты данного учреждения. По прошествии нескольких дней вредоносная программа обеспечила полный доступ обвиняемого к серверу указанного учреждения и позволила ему скопировать с него часть информации.

Подробнее, см.: Белкин П.Ю., Михальский О.О., Першаков А.С. и др. Указ. раб.-С. 145-147.

РОССИЙСКАЯ .. ГОСУДАРСТВЕННА Я

41 БИБЛИОТЕКА

Программные закладки, наделенные деструктивными функциями. К данному виду программных закладок относятся все программы типа «логических бомб».

В целом эта группа достаточно хорошо известна и подробно описана в литературе. Так, В.И.Ярочкин и Т.А.Шевцова понимают под «бомбой» тайное встраивание в программу команд, которые должны сработать один или несколько раз при определенных условиях, а под логической бомбой соответственно часть программы, которая запускается всякий раз, когда вводится определенная информация, при наличии оп- ределенных условий: дата, час, продолжительность работы, наступление события и т.д.1 А.В.Соколов и О.М.Степанюк, описывая логические бомбы, говорят о том, что последние вводятся в программное обеспече- ние и начинают функционировать только при выполнении определенных условий, например, по совокупности даты и времени и т.п., и частично или полностью выводят из строя компьютерную систему2. При этом практически всеми признается, что логические бомбы никогда не используются для организации несанкционированного доступа к ком- пьютерной системе, их основной функцией является полное или частичное разрушение программных средств и данных в компьютерной системе.

По нашему мнению, программам данного класса можно дать следующее определение: программной закладкой, наделенной деструктивными функциями (логической бомбой) называется вредоносная программа для ЭВМ, не способная к самораспространению, реализующая заложенные в ее алгоритме деструктивные функции при наступлении условий, определенных ее создателем или пользователем.

В качестве условий начала функционирования таких программ можно назвать:

1 См.: Ярочкин В.И., Шевцова Т.А. Указ. раб. - С. 10; Ярочкин В.И. Указ. раб.-С. 124.

2 См.: Соколов А.В., Степанюк ОМ. Указ. раб. - С.160.

42

• системные дата и время1; • • запуск непосредственно самой вредоносной программы2; • • число производимых циклов включения-выключения ЭВМ; • • число запусков программ; • • запуск и прекращение работы определенных программ; • • продолжительность работы ЭВМ; • • наличие или отсутствие на машинном носителе определенных меток, файлов и другие. • В качестве примера программной закладки, в которой заложены деструктивные функции, где в качестве условия начала разрушающего воздействия заложен запуск самой вредоносной программы, можно привести программу называющуюся PKZIP300B. Программа PKZIP - это архивирующая программа, в то время как PKZIP300B, являлась вредоносной программой, маскирующейся под ее «новую версию». Запуск этой программы на выполнение вызывает несанкционированные пользователем изменения в файловой структуре машинного носителя информации, с которым работает эта программа, и приводит к полному или частичному уничтожению хранящей на нем информации3.

Программные закладки, блокирующие работу средств компь- ютерной техники. К данной группе относятся программные закладки, которые, выполняя заложенные в них функции, блокируют нормальное функционирование аппаратно-технических средств компьютерных систем и программного обеспечения.

Комбинированные программные закладки. Этот вид про- граммных закладок введен специально, так как все рассмотренные в

Вредоносные программы, реализующие свои функции в зависимости от этих параметров, иногда называют «временными бомбами».

Такие программы иногда называют «кукушкины яйца». Подробнее, см.: Девис П., Льюис Б. Компьютерная безопасность для «чайников».: Пер. с англ. - К.: Диалектика, 1997. - С.34.

3 См., например: Таили Э. Безопасность персонального компьютера / Пер. с англ. - Мн.: ООО «Попурри», 1997. - С. 121.

43

данной классификации программные закладки могут использоваться как в чистом виде, так и в различных комбинациях. Например, программа, обеспечивающая неправомерный доступ к информации или осуществляющая ее сбор, выполнив свою основную функцию, может быть способна уничтожить данные, с которыми она взаимодействовала, тем самым, скрыв следы оказанного воздействия.

К программным закладкам следует относить и те программы, ко- торые хотя и имеют сходство с компьютерными вирусами, но не спо- собны на создание более чем одной своей копии1. В случае если «копии» программ не способны к самостоятельному осуществлению каких-либо вредоносных функций и не способны к саморазмножению их следует отнести к следам воздействия вредоносной программы, а не к вредоносным программам.

Вредоносные программы в зависимости от наличия в них открыто декларируемых функций можно разделить на: троянские программы и скрытые вредоносные программы.

Следует отметить, что в литературе под троянскими программами иногда понимается несколько иная группа программ. Часто под этим наименованием понимаются вообще все вредоносные программы, от компьютерных вирусов до программных закладок, иногда только программные закладки, иногда только вредоносные программы, созданные путем модификации существующих программ1.

Наиболее точные определения, на наш взгляд, дал Б.Сырков в своей статье, посвященной троянским программам: «Троянская программа (троянец, троянский конь): программа, которая, являясь частью другой программы с известными пользователю функциями, способна втайне от него выполнять некоторые дополнительные действия с целью причинения ему определенного ущерба; программа с известными ее пользовате-

1 См., например, Intended-вирусы: Касперский Е.В. Компьютерные вирусы: что это такое и как с ними бороться. - С.55-56.

44

лю функциями, в которую были внесены изменения с тем, чтобы, помимо этих функций, она могла втайне от него выполнять некоторые другие действия с целью причинения ему определенного ущерба; программа, которая, помимо полезных и нужных функций, втайне от пользователя выполняет некоторые другие действия с целью причинения ему опреде-ленного ущерба» . Эти три определения дают наиболее полное представление о характеристиках троянских программ, а также о формах их исполнения. Этими рамками и необходимо ограничить понятие троянской программы, дав ей следующее определение: Троянской программой называется вредоносная программа для ЭВМ, которая, помимо скрытых вредоносных функций, заложенных в ее алгоритм создателем и осуществляемых в соответствии с заранее определенными условиями, имеет и открыто декларируемые функции, не связанные с оказываемым вредоносным воздействием.

Скрытые вредоносные программы отличаются от троянских программ отсутствием в них открыто декларируемых функций. Как правило, о наличии, запуске и функционировании скрытой вредоносной программы пользователю не известно.

Если к троянским программам относятся в основном программные закладки, то к скрытым вредоносным программам, могут относиться программы всех описанных выше групп: компьютерные вирусы, компьютерные черви, программные закладки.

Еще одна из классификаций вредоносных программ основывается на виде оказываемого воздействия :

1 См., например: Ярочкин В.К, Шевцова Т.А. Указ. раб. - С.43; Соколов А.В., Степанюк ОМ. Указ. раб. - С. 160.

Сырков Б. Указ. раб. - С.66.

3 Подробнее о видах возможного воздействия см.: Приложение 4. Описание следов внедрения, функционирования и воздействия вредоносных программ для ЭВМ. См. также: Фролов А.В., Фролов Г.В. Осторожно: компьютерные вирусы. - С.32-35; Файтс Ф., Джонстон П., Кратц М. Указ. соч.- С.54-56; Безруков Н.Н. Указ. раб. - С.106-108 и

45

  1. Воздействие на общую работоспособность компьютерной системы: перезагрузка ЭВМ; «замусоривание» свободной памяти ЭВМ (заполнение ее посторонними машинными кодами блокирующими рабо ту программ); вывод звуковой, текстовой, графической информации на устройства ЭВМ; замедление работы ЭВМ; блокирование коммуника ционных связей; переопределение клавиш клавиатуры; блокирование клавиатуры и другие.

  2. Воздействие на системную область машинных носителей ин- формации и файловую структуру: перестановка (смешивание) файлов на машинном носителе; повреждение, шифрование, уничтожение содержимого загрузочного сектора (содержание загрузочной записи), таблицы размещения файлов; шифрование данных на машинном носителе; форматирование машинного носителя информации; изменение содержания информации программ и файлов данных и другие.
  3. Воздействие на конфиденциальность информации: обеспечение непосредственного неправомерного доступа к компьютерной информации; незаконная пересылка информации по сетям; незаконное получение паролей и имен пользователей; незаконное повышение полномочий пользователя; сбор копий обрабатываемой информации в доступном для преступника машинном носителе и другие.
  4. Воздействие на аппаратно-технические средства компьютерной техники. В качестве примера можно привести воздействие, оказы- ваемое вирусом Win95.CIH и различными его модификациями. Если ранее о таких программах говорилось лишь как о компьютерных мистификациях, то с появлением указанной вредоносной программы и ей последующих можно говорить о сформировавшейся направленности дейст-
  5. другие, а также описания отдельных вредоносных программ, напри- мер: Касперский Е.В. Компьютерные вирусы: что это такое и как с ними бороться. - С.94-274; Таили Э. Указ. соч. - С.120-122, 126-130 и в других источниках.

46

вия1. Отдельно следует отметить появление вирусов оказывающих воздействие не непосредственно на компьютерные системы, а на средства мобильной связи, коротковолновые радиостанции, бытовые приборы .

  1. Воздействие на здоровье человека. Указанный вид воздействия, пока мало исследован и приводится лишь в качестве прогноза дальнейшего развития функций вредоносных программ, хотя некоторые авторы акцентируют внимание на наличии непроверенных сообщений о возможном негативном воздействии ЭВМ на человека. Например, появлялись сообщения о компьютерном вирусе «666», который, выводя каждую секунду на монитор 25-й кадр, вызывал у пользователя кровоизлияние в мозг и смерть. В 1993 году в США проводились исследования, которые позволили сделать вывод, что, на тот период, несмотря на значи- тельный рост числа вредоносных программ, инцидентов, связанных с воздействием на здоровье человека и вызванных именно ими не зарегистрировано . В российском законодательстве прямое указание на недопустимость такого воздействия нашло отражение в ч.2 ст.4 Закона РФ «О средствах массовой информации»4.

Основным носителем компьютерной информации является файл. С технической точки зрения, под файлом понимается поименованная

См., например: Файтс Ф., Джонстон П., Кратц М. Указ. соч. - С.56; Безруков Н.Н. Указ. раб. - С.119, 258-259; Ярочкин В.И. Указ. раб. -С. 124 и другие.

См., например: Касперский Е., Зенкин Д. Ареал обитания вирусов не ограничен компьютерами. / Коммерсантъ, № 92 (25 мая), 2000.

3 См.: Галатенко В.А. Информационная безопасность: практический подход. - М.: Наука, 1998. - С.69; Фролов А.В., Фролов Г.В. Осторожно: компьютерные вирусы. - С.34, а также: Панишев А. Разум под прице лом: информационные технологии против психики. / «Подводная лод ка», № 6, июнь 2000. - С.38-48.

4 Закон Российской Федерации от 27 декабря 1991 года № 2124-1 «О средствах массовой информации» // Ведомости Съезда народных депу татов Российской Федерации и Верховного Совета Российской Феде рации от 13 февраля 1992 г., № 7, ст. 300.

47

область на диске или другом носителе информации1. Но иногда файл рациональнее определять как ограниченный объем информации, хранящийся физически в памяти ЭВМ, чаще всего на различных устройствах долговременной памяти2.

Большое значение с точки зрения криминалистики имеют и те свойства файлов, которые позволяют решить вопрос об их тождестве. В.В.Крылов предлагал использовать для решения вопроса о тождестве следующую систему свойств файлов: тип информации; местонахождение информации (описание мест расположения на временном или постоянном носителе и указание типа носителя); наименование файла; размер (объем) хранимой информации; время создания, время изменения; атрибуты информации3. На наш взгляд, такая система свойств не достаточно полная и содержит свойство - тип информации, которое трудно определимо с учетом значительных различий в форматах файлов. Выделенный признак относимости информации к тому или иному типу (текстовая, числовая, графическая, программный код и т.д.) достаточно сложен для восприятия и точного его определения. Встает, например, вопрос, к какому типу информации относить документы созданные с использованием текстового редактора Microsoft Word. С одной стороны - это текстовый документ, с другой - это программный код. Не менее сложно будет распознать графический тип информации, т.к. в настоящее время графических форматов файлов существует несколько сотен и это, не считая нестандартных форматов файлов, созданных для использования в определенных программах. На наш взгляд, использование данного свойства может быть сильно ограничено.

1 См.: Фигурнов В.Э. Указ. раб. - С.81.

2 См.: Крылов В.В. Информационные компьютерные преступления. - С.89-90.

3 Указанную систему, включающую основные и дополнительные свой ства файлов, предлагает В.В.Крылов, см.: Крылов В.В. Информацион ные компьютерные преступления. - С.28.

48

Для решения вопроса о тождестве, на наш взгляд, необходимо оп- ределить следующую систему свойств файлов:

• индивидуальное имя файла (собственно имя); • • расширение имени файла; • • местоположение файла в файловой структуре на машинном но- сителе информации; • • размер файла (объем); • • дата создания (дата последней модификации) файла; • • время создания (время последнего обновления) файла; • • системные атрибуты файла; • • физическое размещение файла на рабочей поверхности машинного носителя информации. • Под физическим размещением файла на рабочей поверхности ма- шинного носителя информации имеется в виду не размещение в файловой структуре машинного носителя информации, а именно физическое размещение намагниченных участков рабочих поверхностей машинных носителей информации, содержащих компоненты файла, с которыми он связан, в которых располагается его физический объем. Для определения такого размещения файла на конкретном машинном носителе могут использоваться специальные программы.

В.В.Крылов, кроме основных свойств, приводит и факультативные свойства файлов (тема, автор или авторы, создавшие или изменившие информацию, организация, где она была создана или изменена, группа в которую включен данный файл, ключевые слова, заметки автора или редактора)1. Иногда в файлах, особенно в файлах данных, можно определить эти факультативные свойства, но не в каждом файле и не всегда.

На наш взгляд, к факультативным свойствам следует отнести:

• формат файла. При определении формата файла следует исхо дить из относимости к стандартным (или широко распространенным)

См.: Крылов В.В. Информационные компьютерные преступления. - С.29.

49

формам организации хранения информации в файле (например, графические форматы - Windows Metafile, Bitmaps, Corel Draw и другие);

• служебные отметки (тема, автор, создавший или изменивший информацию, организация, где она была создана или изменена, ключе вые слова, заметки автора);

• принадлежность файла к конкретной программе.

Эти свойства, если они всесторонне исследованы, могут служить для выделения идентифицирующих признаков, чья совокупность способна позволить отождествить конкретный объект - файл.

Говоря о логической структуре файловой системы нельзя не сказать о каталогах (иногда их называют директориями, поддиректориями, папками). Каталоги - это форма организации файловой структуры на машинном носителе информации. В каталогах хранятся имена файлов, сведения о размере файлов, времени их последнего обновления, атрибуты (свойства) файлов и т.д. В каждом каталоге может быть много файлов, но каждый файл всегда регистрируется только в одном каталоге .

Система свойств, присущих файлам, отчасти соответствует системе свойств и каталогов, так как они являются файлами специального вида и поэтому к ним применимы практически все основные характеристики файлов, уже рассмотренные нами. При этом система свойств каталогов имеет и свои особенности. Так, характеристика размер файла (объем) неприменима к каталогам, однако каталог характеризует число и суммарный размер (объем), входящих в него файлов и каталогов более низкого уровня. Такие характеристики как время и дата модификации (обновления) неприменимы к каталогам, для каталогов применимы лишь время и дата создания каталога. Физическое размещение каталога на машинном носителе информации определяется размещением, входящих в него файлов и поэтому не используется при его характеристиках.

Подробнее см., например: Фигурнов В.Э. Указ. раб. - С.85-86.

50

§ 2. Наиболее распространенные способы и средства

совершения и сокрытия преступлений, связанных с

созданием, использованием и распространением

вредоносных программ для ЭВМ

Одним из основных элементов криминалистической характеристики любого преступления, являются данные о наиболее распростра- ненных способах его совершения. Характеристике способов совершения преступлений в сфере компьютерной информации в юридической литературе уделяется значительное внимание1.

Так, В.Б.Вехов отнес способы совершения преступлений, связанных с использованием вредоносных программ, к группе методов мани- пуляции данными и управляющими командами средств компьютерной техники. Все они объединены им названием «Троянский конь» и определены как «тайное введении в чужое программное обеспечение специально созданных программ, которые, попадая в компьютерные системы, начинают выполнять новые, не планировавшиеся законным владельцем принимающей «троянского коня» программы, с одновременным сохра-нением прежней ее работоспособности» . В.В.Крылов приводит перечень возможных действий преступника, с использованием которых пре- ступник получает возможность несанкционированного воздействия на информацию, и среди них: использование поражения программного

См., например: Вехов В.Б. Компьютерные преступления: Способы совершения и раскрытия / Под ред. акад. Б.П.Смагоринского. - М.: Право и Закон, 1996; Крылов В.В. Расследование преступлений в сфере информации. - М: Издательство «Городец», 1998; Руководство для следователей / Под ред. Н.А.Селиванова, В.А.Снеткова - М.: ИНФРА’М, 1997; Расследование неправомерного доступа к компьютерной информации / Под ред. Н.Г.Шурухнова. - М: Издательство «Щит-М», 1999; Гаврилин Ю.В. Расследование неправомерного доступа к компьютерной информации: Учебное пособие / Под ред. профессора Н.Г.Шурухнова. - М.: ЮИ МВД РФ, Книжный мир, 2001 и другие.

2 Вехов В.Б. Указ. раб. - С.74-86.

51

обеспечения «вирусами» и включение в программы блоков типа «троянский конь», «бомба» и т.п.1

С учетом того, что распространение программ схоже с использо- ванием по выполняемым преступником действиям и оставляемым следам2, способы совершения преступлений рассматриваемой категории, на наш взгляд, могут быть разделены в зависимости от действий, совершаемых преступниками, на две группы:

• способы создания вредоносных программ; • • способы использования и распространения вредоносных программ. • В зависимости от совпадения мест создания вредоносной программы и мест ее последующего использования способы создания можно разделить на: создание непосредственно на месте ее использова-

ния и создание вне места ее использования . К примеру, в судебном заседании по уголовному делу, рассматривавшемуся в 1999 году Тагил-строевским районным судом города Нижний Тагил Свердловской области, было доказано, что преступник создавал вредоносную программу, изменяющую ведомости на выплату заработной платы, непосредственно на своем рабочем месте.

По способу возникновения вредоносных программ, можно выделить две группы способов создания вредоносных программ: создание и внесение изменений в существующие программы.

См.: Крылов В.В. Информационные компьютерные преступления. - С.54-57.

2 В определении, которое дается в законодательстве, распространение является частным случаем использования. См.: статью 1 Закона Рос сийской Федерации «О правовой охране программ для электронных вычислительных машин и баз данных» от 23 сентября 1992 года // Ве домости Съезда народных депутатов Российской Федерации и Верхов ного Совета Российской Федерации, 1992, № 42, ст.2325.

3 Подобную классификацию, см.: Руководство для следователей / Под ред. Н.А.Селиванова, В.А.Снеткова - С.661.

52

Способы создания вредоносных программ по способу реализации замысла различают:

1) Реализация алгоритма вредоносной программы без использования пользовательских библиотек функций языка программирования. 2) 3) Реализация алгоритма вредоносной программы с использованием пользовательских библиотек функций языка программирования. 4) 5) Создание (компоновка) вредоносных программ с использованием специальных средств автоматизированной разработки. 6) Внесение изменений в существующие программы возможно двумя способами:

1) Внесение преступником изменений в существующую программу, путем изменения ее машинного кода с использованием собственного оригинального алгоритма реализации. 2) 3) Внесение преступником изменений в существующую программу, путем изменения ее машинного кода с использованием заимствованного алгоритма реализации. 4) Способы использования и распространения вредоносных про- грамм могут быть разделены по направленности оказываемого воздействия: направленные на индивидуально-определенный объект и ненаправленного действия. В первом случае преступное посягательство осуществляется на компьютерную информацию в конкретной компьютерной системе, на конкретном машинном носителе либо на элементы самой компьютерной системы. Так, в качестве примера можно привести факт использования вредоносной программы, созданной инженером-программистом УИВТ ОАО «НТМК», дело по которому рассматривалось Тагилстроевским районным судом города Нижний Тагил Свердловской области. Программа еще на этапе создания была заранее подготовлена для оказание вредоносного воздействия на конкретные файлы, содержащие информацию о заработной плате работников ОАО «НТМК» и не могла оказывать воздействия на другие программы. Во втором случае умысел преступника охватывает не какую-либо конкретную инфор-

53

мацию, а направлен на оказание определенного негативного воздействия на любую компьютерную информацию средства компьютерной техники, с которыми может взаимодействовать вредоносная программа в период своего функционирования.

Основная классификация способов совершения преступлений, свя- занных с использованием и распространением вредоносных программ, основывается на различных по своему характеру действиях преступника, и делит их на две основные группы: активные и пассивные. Активные способы совершения преступления характеризуются действиями преступника, связанными с его доступом к компьютерной информации, последующим внедрением вредоносных программ, а также их использованием. К пассивным способам использования и распространения вредоносных программ следует отнести все способы, при которых действия преступника не связаны с получением доступа к компьютерной информации.

Активные способы действий преступника по использованию и распространению вредоносных программ имеют многоступенчатую структуру:

  1. Доступ к компьютерной системе.
  2. Доступ к программному обеспечению или иным файлам в ком- пьютерной системе.
  3. Внедрение вредоносной программы.
  4. Использование (управление функционированием) вредоносной программы.
  5. После внедрения вредоносной программы имеются все необходимые признаки оконченного преступления, связанного с распространением вредоносных программ. Однако после внедрения вредоносной про- граммы, например, замены программы, работавшей с файлами данных, программной закладкой, преступник может продолжить управление ее функционированием, то есть осуществлять ее использование, или предоставить такую возможность другим лицами, например, не подозре-

54

вающим о скрытых функциях программы, с которой они будут взаимо- действовать.

Активные способы в свою очередь можно разделить на три группы, в зависимости от способа доступа к компьютерной информации:

1) Способы, связанные с непосредственным доступом к компьютерной информации. 2) 3) Способы, связанные с опосредованным (удаленным) доступом к компьютерной информации. 4) 5) Способы, которые могут быть связаны как с непосредственным, так и с опосредованным (удаленным) доступом (смешанные) . 6) Все эти группы способов подробно описаны в литературе, однако, без выделенных нами завершающих этапов действий преступника, связанных с внедрением вредоносной программы и управлением ею. Однако основные различия этих способов и заключаются в действиях преступника на двух начальных этапах. Действия на завершающих этапах в целом для всех указанных групп похожи.

К действиям по внедрению вредоносной программы относят:

1) Копирование (установка) вредоносной программы (или программы- носителя) на машинный носитель информации. 2) 3) Замена существующих программного обеспечения или файлов данных на вредоносную программу или ее носитель. 4) К действиям по использованию вредоносной программы (управлению ею) можно отнести:

1) Инициирование работы (запуск) вредоносной программы. 2) 3) Управление функционированием вредоносной программы. 4) Все эти действия во многом будут зависеть от заложенных создателем вредоносной программы возможностей для самостоятельного приспособления к среде (размещение, адаптация и т.д.). Хорошим при-

1 В основу этой классификации положена классификация, предложенная авторами учебного пособия под редакцией Н.Г.Шурухнова. См.: Рас- следование неправомерного доступа к компьютерной информации / Под ред. Н.Г.Шурухнова. - С. 103-110.

55

мером этого служат компьютерные вирусы, которые имеют функцию к саморазмножению, способны воздействовать только на определенные типы файлов, заражать только те области, возможность заражения которых в них заложена создателем, при этом способны оказывать противодействие системам поиска, затруднять свое удаление и т.д.

К пассивным способам использования и распространения вре- доносных программ можно отнести:

1) Размещение файлов вредоносной программы в локальных сетях ЭВМ*. 2) 3) Размещение файлов вредоносной программы на электронных досках объявлений (BBS), в глобальных информационных сетях . Так, по уголовному делу № 176709, расследовавшему ГУВД Свердловской области, обвиняемый Флягин А.А. создал собственную электронную доску объявлений (BBS) на которой размещал вредоносные программы, включая их исходные тексты. 4) 5) Рассылка вредоносных программ по электронной почте. В ка- честве примера использования такого способа распространения можно привести факт использования вредоносной программы, которую обвиняемый по уголовному делу № 444800 направил по электронной почте в адрес Шадринского Регионального Управления Федеральной Почтовой Связи. Когда пользователь ЭВМ Шадринского РУФПС открыл полученный по почте документ, вредоносная программа начала функционировать и открыла доступ к компьютерной информации, находящейся в ЭВМ, где функционировала указанная вредоносная программа. 6) См., например: Касперский Е.В. Компьютерные вирусы: что это такое и как с ними бороться. - С.67-68; Фролов А.В., Фролов Г.В. Осторожно: компьютерные вирусы. - С.52, 133-167.

2 См., например: Фролов А.В., Фролов Г.В. Осторожно: компьютерные вирусы. - С.50; Касперский Е.В. Компьютерные вирусы: что это такое и как с ними бороться. - С.66-67.

56

4) Размещение файлов вредоносной программы на ЭВМ общего пользования . 5) 6) Распространение машинных носителей информации (ЭВМ), со- держащих вредоносные программы . Так по уголовному делу № 530690, возбужденному УВД Волгоградской области, был установлен факт распространения обвиняемым компакт-диска с названием «Супер-Хакер», содержащим вредоносные программы. 7) 8) Предоставление в пользование ЭВМ с программным обеспечением, содержащим вредоносную программу. 9) 10) Реклама и распространение программного обеспечения, содер- жащего вредоносные программы. 11) Указанные способы совершения преступлений являются наиболее распространенными3. Вероятно, что в связи с развитием средств компьютерной техники и расширением сфер из применения появятся и новые способы совершения преступлений, а существующие претерпят количественные и качественные изменения.

Не менее значимым элементом, входящим в криминалистическую характеристику, является способ сокрытия преступления. Устоявшихся способов сокрытия преступлений рассматриваемой категории пока не выявлено, но все они могут состоять из некоторой совокупности действий, которые составляют их основу в зависимости от складывающейся

См., например: Касперский Е.В. Компьютерные вирусы: что это такое и как с ними бороться. - С.68.

2 Подробнее об этом способе см., например: Касперский Е.В. Компью терные вирусы в MS DOS. - С.5; Касперский Е.В. Компьютерные виру сы: что это такое и как с ними бороться. - С.27, 68; Фролов А.В., Фро лов Г.В. Осторожно: компьютерные вирусы. - С.50-52; Файтс Ф., Джонстон П., Кратц М. Указ. соч. - С.57; Таили Э. Указ. соч. - С. 104-

105 и другие.

3 Подробнее о способах совершения преступлений рассматриваемой ка тегории см.: Приложение 2. Описание способов совершения преступ лений, связанных с созданием, использованием и распространением вредоносных программ для ЭВМ.

57

ситуации. Всю совокупность таких действий можно в зависимости от их направленности разделить на три группы:

• действия, направленные на оказание воздействия на лиц, способных восприять факт совершения преступления; • • действия, направленные на изменение материальной обстановки места совершения преступления; • • действия, направленные на устранение и сокрытие следов воз- действия на компьютерную информацию. • Действия преступника, направленные на оказание воздействия на лиц, явившихся очевидцами доступа к компьютерным системам, технического доступа к компьютерной информации и манипулирования вредоносными программами:

• маскировка и сокрытие от других лиц манипуляций с машинными носителями информации, устройствами компьютерной системы, а также доступа к компьютерной системе; • • маскировка процесса создания вредоносной программы; • • привлечение третьих лиц к действиям с компьютерной информа- цией, с целью обеспечения легального прикрытия своих действиям; • • физическое и психическое воздействие на таких лиц и другие. • Одной из особенностей совершения преступлений данной категории является, по большей части, отсутствие в действиях преступника, каких бы то ни было внешних признаков взаимодействия с вредоносной программой. Для того чтобы осознать смысл совершаемых действий необходимо контролировать последовательность манипуляций преступника с компьютерной информацией, машинными носителями и устройствами ЭВМ в целом, что не всегда возможно.

К действиям, направленным на изменение материальной об- становки места совершения преступления и связанным с доступом к компьютерной системе, можно отнести:

• уничтожение следов рук, обуви и других следов в месте совер шения преступления и на прилегающей территории;

58

• удаление микрочастиц и иных посторонних загрязнений, способ- ных указать на возможный доступ к компьютерной системе; • • восстановление первоначального положения защитных и загра- дительных систем; • • уничтожение данных о доступе к компьютерной системе из жур- налов регистрации пользователей, видеозаписей систем безопасности и т.д. • • уничтожение или сокрытие записей, электронных карточек раз- граничения доступа, ключей, пропусков и т.д.; • • уничтожение записей, связанных с распорядком дня законных пользователей компьютерной системы, схем доступа в помещения и других материалов, связанных с планированием и осуществлением преступления и другие действия. • Перечисленные действия направлены на сокрытие доступа к самой компьютерной системе или отдельным ее элементам, а не к программным средствам и компьютерной информации1. Однако способы сокрытия преступлений при совершении, которых преступник получает доступ к программным средствам, также могут быть связаны с изменением материальной обстановки. Доступ к компьютерной информации, а также к программным средствам, через которые организуется взаимодействие пользователя с нею, можно условно назвать техническим доступом. Действия, направленные на изменение материальной обстановки на месте технического доступа и манипулирования вредоносными программами могут включать:

• уничтожение следов рук на устройствах компьютерной системы, машинных носителях и т.д.;

• удаление микрочастиц, микроколичеств веществ, посторонних наложений с устройств компьютерной системы, машинных носителей и т.д.;

См., например: Расследование неправомерного доступа к компьютерной информации / Под ред. Н.Г.Шурухнова. - С.110.

59

• приведение оборудования компьютерной системы в первоначальное состояние; • • восстановление положения оборудования на месте совершения преступления; • • восстановление положения и состояния систем защиты компью- терной системы; • • уничтожение данных о доступе к компьютерной системе из элек- тронных журналов регистрации пользователей, видеозаписей систем безопасности и т.д. • • уничтожение или сокрытие записей о паролях и идентификаци- онных данных законных пользователей, электронных ключей и т.д.; • • уничтожение записей, связанных с доступом в систему, к компь- ютерной информации, адресов, машинных носителей и другие действия. • К особенностям действий, направленных на изменение материальной обстановки места создания вредоносных программ, можно отнести:

• уничтожение или сокрытие распечаток и иных записей, содержащих исходные тексты вредоносных программ, программ, подвергнутых модификации, инструментальных средств; • • уничтожение или сокрытие распечаток и иных записей, касающихся процесса создания вредоносной программы; • • уничтожение или сокрытие специальной литературы; • • уничтожение или сокрытие информации о контактах и связях с лицами, разрабатывающих указанные программы; • • удаление или сокрытие записей об адресах электронной почты, глобальной сети, BBS и других источниках, получения инструментальных средств, информации о методиках создания вредоносных программ и другие действия. • К действиям, направленным на устранение и сокрытие следов воздействия на компьютерную информацию при использовании и распространении вредоносных программ, можно отнести:

• восстановление или иное изменение настроек программ;

60

• удаление специальных программ, установленных преступником для доступа или работы с программными средствами, использующихся для проникновения к компьютерной информации и установки вредоносной программы; • • удаление временных рабочих файлов, создаваемых преступником или используемыми им программами при доступе к компьютерной информации и манипулировании вредоносной программой; • • удаление или замена файлов программного обеспечения, которое было повреждено или изменено вследствие воздействия на него; • • уничтожение компьютерной информации на машинном носителе или его физическое уничтожение; • • поэтапное внедрение вредоносной программы; • • маскировка под действия пользователя, под сбои в работе средств компьютерной системы, под работу программного обеспечения (визуальные, звуковые и другие эффекты);

• маскировка вредоносной программы среди других файлов; • • удаление вредоносной программы после завершения работы; • • внесение изменений в системы защиты; • • удаление или сокрытие адресов электронной почты, глобальной сети, BBS и другие действия. • Действия, направленные на устранение и сокрытие следов воздей- ствия на компьютерную информацию, при создании вредоносных программ дополнительно могут включать:

• удаление или сокрытие инструментальных программных средств и специальных программ, использовавшихся для создания вредоносных программ; • • удаление или сокрытие исходных текстов программ; • • удаление временных рабочих файлов, создаваемых при разработке, тестировании и отладке программы; • • удаление файлов тестового и отладочного программного обеспе- чения, подвергшегося воздействию вредоносной программы; •

61

• удаление или сокрытие адресов электронной почты, глобальной сети, BBS и других источников, получения инструментальных средств и информации о методиках создания вредоносных программ с машинного носителя и из настроек коммуникационных программ и протоколов и другие действия.

Многое из действий направленных на устранение следов внедрения вредоносной программы может быть реализовано непосредственно в алгоритме самой программы. В алгоритм могут включаться функции анализа конфигурации компьютерной системы, поиска требуемого для работы программного обеспечения, доступ к нему, маскировка в файловой структуре, маскировка своих действий, блокирование работы антивирусных программ и т.д. В настоящее время наблюдается тенденция наделения вредоносных программ все большим объемом таких защитных функций1.

Маскировка вредоносных программ осуществляется под различные программные средства. В качестве примера можно привести клас- сификацию вредоносных программ, используемую некоторыми авторами, по месту их внедрения, а соответственно и по маскирующим их объектам:

• файлы системной области долговременной энергонезависимой памяти ЭВМ (BIOS); • • файлы системной области машинных носителей информации (за- грузочные файлы), драйверы операционных систем, драйверы внешних устройств и файлы других системных программ; • • файлы прикладного программного обеспечения общего назначения (клавиатурные и экранные драйверы, программы тестирования ком- пьютеров, утилиты и другие пользовательские программы) и программ- • Более подробно, о некоторых наиболее распространенных защитных функциях вредоносных программ, см., например: Фролов А.В., Фролов Г.В. Осторожно: компьютерные вирусы. - С.29-32; Касперский Е.В. Компьютерные вирусы: что это такое и как с ними бороться. - С.60-64.

62

ные средства оптимизационного назначения (архиваторы, ускорители обмена с диском и т.д.);

• программные системы защиты информации и программные сред- ства игрового и развлекательного назначения и другие1.

Способ совершения любого преступления представляет собой сис- тему поведения субъекта до, в момент и после совершения преступления, на которую оказывают влияние различные факторы: объективные (психофизические свойства личности преступника, его побуждения, цель и другие факторы) и субъективные (особенности места совершения преступления, время его совершения и т.д.) . К числу субъективных факторов относят и избранные преступником орудия (средства) преступления. Данные о средствах совершения преступления являются одной из важнейших составляющих криминалистической характеристики рассматриваемой категории преступлений. Эти средства могут различаться по своему составу, а также по своим техническим характеристикам. Состав и технические характеристики устройств и программных средств, используемых преступником должны обеспечить ему возможность выполнения действий направленных на подготовку, совершение и сокрытие преступления. Поэтому это могут быть традиционные средства, используемые для проникновения в запертое помещение, средства доставки оборудования, средства связи и т.д. При этом особо выделяются средства компьютерной техники, используемые для технического доступа к программным средствам и манипулирования информацией.

О возможном составе и методах маскировки см. подробнее: Белкин П.Ю., Михалъский О.О., Першаков А.С. и др. Указ. раб. - С. 134- 135, 147-150; Ант Б.Ю. Указ. раб. - С.25-26.

См., например: Матвеев В.А., Великородный П.Г. К вопросу о методике исследования способов совершения преступлений // В сб. «Вопросы совершенствования криминалистической методики». - Волгоград: ВСШ МВД СССР, 1981. - С.46-50, Криминалистика. Учебник для вузов / Под ред. Н.П.Яблокова. - М.: Юристъ, 2001. - С.39-40 и др.

63

В зависимости от их назначения средства совершения преступлений можно разделить на: средства создания вредоносных программ и средства использования и распространения вредоносных программ1.

К средствам создания вредоносных программ отнесем в первую очередь следующие программные средства:

1) Системы программирования (инструментальные программные средства) .

2) Специальные программные средства. К ним относятся про граммы, специально предназначенные для создания вредоносных про грамм3.

3) Тестовые и отладочные программные средства. 4) 5) Маскирующие программные средства. 6) Маскирующие программные средства по субъекту их разработки делятся на программные средства, создаваемые самим преступником, для дальнейшего их использования в качестве средств маскировки вредоносных программ или в иных целях, и создаваемые другими разработчиками, для решения различных задач, как правило, не связанных с преступной деятельностью.

К аппаратно-техническим средствам, используемым при создании вредоносных программ:

1) Средства, используемые для непосредственного создания вредоносных программ и подготовки их к распространению. 2) 3) Средства, используемые для отладки и тестирования работы создаваемой вредоносной программы. 4) Подробнее, см.: Приложение 3. Программные и аппаратно-технические средства совершения преступлений, связанных с созданием, использованием и распространением вредоносных программ для ЭВМ.

2 См., например: Ярочкин В.И. Указ. раб. - С. 125.

3 Подробнее, см., например: Фролов А.В., Фролов Г.В. Осторожно: ком пьютерные вирусы. - С.43-44; Касперский Е.В. Компьютерные вирусы: что это такое и как с ними бороться. - С.21-22, 56, 274-276.

64

Средства совершения преступлений, связанных с использованием и распространением вредоносных программ, можно разделить на: средства получения доступа к средствам передачи, хранения и обра- ботки компьютерной информации или к иным средствам компьютерных систем, с помощью которых возможен технический доступ, и средства необходимые для технического доступа к компьютерной информации, внедрения вредоносной программы и ее использования.

Совершение противоправных действий с компьютерной информа- цией, путем использования или распространения вредоносных про- грамм, возможно только опосредованно, через оборудование, которое предназначается для передачи, хранения или обработки компьютерной информации. Для получения доступа к месту нахождения такого оборудования, месту хранения машинных носителей информации, или месту возможного их использования, преступнику необходимо преодолеть определенные препятствия, которые и преодолеваются с использованием средств первой группы.

Средства технического доступа к компьютерной информации по составу используемых средств компьютерной техники можно разделить на две группы: средства непосредственного технического доступа и средства удаленного (опосредованного) технического доступа1.

Средства совершения преступлений рассматриваемой категории, а вместе с ними и способы совершения и сокрытия таких преступлений, постоянно качественно изменяются, что связано чаще всего с появлением новых технологий и с оптимизацией работы средств компьютерной техники, повышением их надежности и доступности.

Во многом способ совершения и сокрытия преступления, а также используемые преступником средства будут зависеть от тех функций, которыми наделена сама вредоносная программа.

Подобное деление предлагалось и других работах. См., например: Расследование неправомерного доступа к компьютерной информации / Под ред. Н.Г.Шурухнова. - С.112.

65

§ 3. Типичная обстановка совершения преступлений,

связанных с созданием, использованием и распространением вредоносных программ для ЭВМ

Н.П.Яблоков раскрывая общее понятие обстановки совершения преступления определил ее как систему различного рода взаимодействующих между собой до и в момент преступления объектов, явлений и процессов, характеризующих место, время, вещественные, природно-климатические, производственные, бытовые и иные условия окружающей среды, особенности поведения непрямых участников противоправного события, психологические связи между ними и другие факторы объективной реальности, определяющие возможность, условий и иные обстоятельства совершения преступления1. Он же, описывая элементы, характеризующие внешнюю среду события преступления и иные, сопутствующие ему факторы объективной и субъективной реальности, выделил среди них вещественные, пространственно- конструктивные, природно-климатические, физико-химические; временные; производствен-но-бытовые, поведенческо- психологические . При этом он указывает, на возможность выделения и других факторов, которые могут иметь значение для правильной криминалистической оценки конкретных преступлений, а также на различное значение каждой из приведенных групп, в том или ином случае.

Для каждой категории преступлений характерны свои группы факторов, оказывающие влияние на него, и акцентировать внимание на рассмотрении деталей, не оказывающих влияние на обстановку совершения преступления, означает снижать эффективность деятельности по их расследованию. Так характерной особенностью любых преступлений в сфере компьютерной информации является практически полное отсутствие влияния природно-климатических факторов. Эту, а также другие

1 Криминалистика: Учебник / Отв. ред. Н.П.Яблоков. - М.: Юристь, 2001.-С.42.

2 См.: Яблоков Н.П. Криминалистическая методика расследования. - М.: Изд-во Московского университета, 1985. - С.60-61.

66

особенности, связанные с обстановкой совершения отдельных видов преступлений в сфере компьютерной информации, отмечали многие авторы1.

К элементам, характеризующим обстановку совершения пре- ступлений, связанных с созданием, использованием и распространением вредоносных программ, на наш взгляд, следует отнести:

• вещественные; • • пространственные; • • временные; • • производственно-бытовые; • • программно-технические; • • поведенческо-психологические; • • используемые меры защиты информации. • Описывая элементы обстановки совершения преступления, Н.П.Яблоков дал краткую характеристику выделенным им обстоятельствам, включая и некоторые приведенные нами. Так, под вещественными факторами понимаются все объекты материального мира и их следы, имеющие отношение к внешней среде события преступления. К пространственно-конструктивным относят параметры протяженности участков на местности, конструктивное своеобразие сооружений и их отдельных помещений, в которых совершено преступление. Временные факторы характеризуют время года, месяца, недели, суток, временную цикличность жизни в городе, поселке, деревне, микрорайоне. К производственно-бытовым относятся особенности той сферы человеческой

1 См., например: Крылов В.В. Информационные компьютерные преступления. - М.: Издательская группа ИНФРА»М-НОРМА, 1997; Руководство для следователей / Под ред. Н.А.Селиванова, В.А.Снеткова - М.: ИНФРА»М, 1997; Крылов В.В. Расследование преступления в сфере информации. - М.: Издательство «Городец», 1998; Расследование неправомерного доступа к компьютерной информации / Под ред. Н.Г.Шурухнова. - М: Издательство «Щит- М», 1999; Гаврилин Ю.В. Расследование неправомерного доступа к компьютерной информации:

67

деятельности (производственной или бытовой), в которых совершаются преступления. Под факторами поведенческо- психологического свойства понимаются особенности поведения на месте преступления лиц, включаемых в структуру отмеченной обстановки, а также некоторое своеобразие психологической сферы, в которой совершается преступление (в пределах этого преступления), чаще всего в быту и на производстве1.

В.В.Крылов описывая обстановку совершения преступлений в сфере компьютерной информации отмечает особенность для большинства фактов покушений на целостность и конфиденциальность инфор- мации, - разнесение в пространстве и во времени совершения преступ-ления и наступления общественно-опасных последствий . В силу этого им выделяется проблема доказывания причинной связи между действиями лица и наступившим результатом. В основном это характерно для случаев удаленного доступа к компьютерной информации, в случаях же непосредственного доступа место совершения преступного деяния и место наступления вредных последствий совпадают.

С уголовно-правовой точки зрения, наступление каких-либо вред- ных последствий, исходя из содержания статьи 273 УК РФ, не является обязательным. С учетом этого и необходимо строить классификацию мест совершения преступлений, определив в ней не место наступления вредного результата, а потенциально возможное место его наступления. Таким образом, места совершения преступления определяются как: совпадающие с местом потенциально возможного наступления вредного результата и не совпадающие с ним.

Учебное пособие / Под ред. профессора Н.Г.Шурухнова. - М.: ЮИ МВД РФ, Книжный мир, 2001.

1 См.: Яблоков Н.П. Указ. соч. - С.61-62.

2 См.: Крылов В.В. Информационные компьютерные преступления. - С.62-63. Эта же особенность отмечается и в работах других авторов, см., например: Расследование неправомерного доступа к компьютер ной информации / Под ред. Н.Г.Шурухнова. - С113-114; Гаврилин Ю.В. Указ. соч. - С.29-31. См. также: Руководство для следователей, 1997.-С.656-657.

68

С функциональными возможностями вредоносных программ, прежде всего с наличием функции самораспространения, с действую- щими защитными системами и целым рядом других факторов связано наличие, характер и размеры области распространения вредоносных программ. Однако во многом указанная область распространения будет зависеть от времени нахождения вредоносной программы в компьютерной системе. Чем меньше времени прошло с момента внедрения вредоносной программы, тем больше вероятность установления конкретного места совершения преступления.

Время совершения преступления также оказывает значительное влияние. Так компьютерные системы или отдельные входящие в них устройства могут быть недоступны для использования в связи с прекращением рабочего времени, с проведением планового технического обслуживания, с ликвидациями внештатных ситуаций. Совершение преступлений определенными способами в этот период может быть невозможно.

Функционирование вредоносных программ во многом зависит от программно-технической среды1. При отсутствии требуемой среды оно практически исключается. В редких случаях это возможно, но результат выполняемых функций вредоносных программ может отличаться от того, который предполагался создателем.

При совершении преступлений рассматриваемой категории оказать воздействие на компьютерную информацию без использования средств компьютерной техники, обеспечивающих работу с ней нельзя. Если при неправомерном доступе к компьютерной информации получение информации возможно с использованием, так называемых, способов электромагнитного и непосредственного перехвата, а при нарушении целостности информации возможно просто физическое уничтожение

См., например: Файтс Ф., Джонстон П., Кратц М. Указ. соч. - С.44- 49; Фролов А.В., Фролов Г.В. Осторожно: компьютерные вирусы. - С.40-43; Безруков Н.Н. Указ. соч. - С.86-86, 90-91.

69

машинных носителей, то при совершении преступлений рассматриваемой категории это невозможно.

Во многом возможность действия вредоносных программ будет зависеть от системного программного обеспечения (Unix, OS/2, DOS, Windows, Lunix и т.д.)1, так как, как правило, они создаются для действия только в одной, реже в нескольких операционных системах. Действие вредоносных программ зависит не только от системных программ, но и от прикладного программного обеспечения, которое установлено и функционирует в компьютерной системе. Например, на ЭВМ, где не используются такие прикладные программы как Microsoft Word, Microsoft Excel, Microsoft Outlook, компьютерные вирусы, чей механизм распространения зависит от взаимодействия с этими программами, самораспространяться не смогут. Так, способ распространения вирусов, способных заражать документы Microsoft Word, как правило, требует загрузки файла-носителя вируса в текстовый редактор Microsoft Word. Лишь после заражения определенных компонентов самой программы, вирус сможет распространяться, заражая файлы данных определенных форматов, обрабатываемых с ее помощью1. При отсутствии указанного про- граммного обеспечения на ЭВМ такая вредоносная программа, не может быть запущена в работу, а значит, лишено возможности использовать функцию самораспространения.

В ряде случаев вредоносная программа настраивается, на конкрет- ный файл данных или определенную программу. Показателен следующий пример. Программист, разрабатывавший бухгалтерскую систему, включил в ее состав логическую бомбу. При запуске она самостоятельно

1 См.: Файтс Ф., Джонстон /7., Кратц М. Компьютерный вирус: проблемы и прогноз: Пер. с англ. - М.: Мир, 1994. - С.44-49; Фролов А.В., Фролов Г.В. Осторожно: компьютерные вирусы. - С.40-43; Касперский Е.В. Компьютерные вирусы: что это такое и как с ними бороться. - С. 22-23,57-58, 59-60.

70

проверяла ведомости на получение заработной платы, и, когда из нее исчезла фамилия создателя программы, логическая бомба уничтожила систему2. Другой пример можно привести из практики Тагилстроевского районного суда г. Нижний Тагил, где за создание и использование вредоносных программ был осужден инженер- программист, который списывал деньги из банковских ведомостей на выплату заработной платы. Созданная им вредоносная программ оказывала воздействие только на определенный файл и на другие воздействовать просто не могла. Вредоносная программа, настроенная на работу с определенной системой, с определенным программным обеспечением, с определенными файлами данных не может аналогичным образом воздействовать на компьютерную информацию других компьютерных систем, не имеющих требую- щихся характеристик. Чем больше индивидуализирован для вредоносной программы объект преступного посягательства, тем сложнее ее обнаружить, тем меньше вероятность оказания воздействия на компьютерную информацию, не предназначенную для поражения этой программой. И наоборот, чем шире круг вероятного воздействия, тем больше вероятность обнаружения.

Не меньшее значение для выбора преступником вредоносной про- граммы или ее конкретных функций будет иметь и наличие в составе компьютерной системы определенных аппаратно-технических средств. Так компьютерный червь не может полностью реализовать свои функции самораспространения при отсутствии подключенного и функционирующего сетевого оборудования. Внедрение его преступником на ЭВМ, изолированную от сети, не способно оказать того негативного воздействия, которое возможно при помещении его в благоприятную программно-техническую среду.

1 См., например: Фролов А.В., Фролов Г.В. Осторожно: компьютерные вирусы. - С.35-40; Касперский Е.В. Компьютерные вирусы: что это та кое и как с ними бороться. - С.47-53.

2 Подробнее см.: Фролов А.В., Фролов Г.В. Осторожно: компьютерные вирусы. - С.48.

71

Следует отметить, что при отсутствии необходимых программных и аппаратно-технических средств программа не утрачивает свои функ- ции, она лишь не способна реализовать все или часть из них, но при создании определенных условий они вновь могут быть задействованы.

От наличия тех или иных технических средств в компьютерной системе, обрабатывающих компьютерную информацию, на которую посягает преступник, будут зависеть и выбранные средства совершения преступления, и способы действия преступника. Так при отсутствии или отключении в локальной сети ЭВМ модема, позволяющего внешним абонентами подключаться к данной сети, возможность совершения преступлений, связанных с удаленным доступом, извне локальной сети, невозможно.

Характеристика используемых мер защиты компьютерной инфор- мации является комплексным элементом типичной обстановки совершения преступлений. В его основе лежат элементы, которые могут быть отнесены и к другим элементам обстановки совершения преступления, но узкая направленность этих мер на выполнение задачи по противодействию угрозам компьютерной информации позволяет выделить их в особую группу.

Существует два общих подхода к обеспечению безопасности ком- пьютерной информации: фрагментарный и комплексный1. Фрагментарный подход направлен на противодействие четко определенным угрозам в заданных условиях, например, использование специализированных антивирусных программ, отдельных средств управления доступом, автономных средств шифрования и т.п. Достоинством его является высокая избирательность к конкретной угрозе, существенными недостатками -отсутствие единой защищенной среды обработки информации и обеспечение защиты конкретных объектов только от конкретной угрозы, а это

См., например: Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях / Под ред. В.Ф.Шаньгина. - М.: Радио и связь, 1999.- С.24.

72

означает, что даже небольшое видоизменение угрозы ведет к потере эффективности защиты.

Комплексный подход ориентирован на создание защищенной среды обработки информации, объединяющей в единый комплекс разно- родные меры противодействия угрозам. Организация защищенной среды обработки информации позволяет гарантировать определенный уровень безопасности компьютерной информации, что является достоинством комплексного подхода. К его недостаткам относят: ограничения на свободу действий пользователей, большую чувствительность к ошибкам установки и настройки средств защиты, сложность управления.

В юридической литературе чаще всего приводилась трехчленная градация методов защиты информации: правовые, организационные и технические1. Ю.В.Гаврилин выделил организационные, технические и программные средства защиты компьютерной информации2. В.Б.Вехов выделяет три основные группы мер предупреждения преступлений в сфере компьютерной информации: правовые меры, организационно-технические и криминалистические3. К примеру, в технической литературе отдельные иногда меры обеспечения безопасности компьютерной информации по способам осуществления подразделяют на: правовые, морально-этические, административные, физические, аппаратно-программные4.

На наш взгляд, средства и методы, составляющие содержание рас- сматриваемого элемента обстановки совершения преступления, по способам осуществления, могут быть разделены на следующие группы:

Подробнее, см: Расследование неправомерного доступа к компьютерной информации / Под ред. Н.Г.Шурухнова. - С.38-45.

См.: Гавржин Ю.В. Указ. раб. - С.29. Подобное, см.: См.: Курушин В.Д., Минаев В.А. Компьютерные преступления и информационная безопасность. М.: Новый Юрист, 1998. - С. 168-238.

3 Подробнее, см.: Вехов В.Б. Указ. раб. - С. 106-134.

4 См., например: Романеи Ю.В., Тимофеев П.А., Шаньгин В.Ф. Указ. соч. - С.27-29.

73

1) Правовые, связанные с необходимостью соблюдения юридиче- ских норм при реализации информационных процессов и являющиеся сдерживающим фактором для потенциальных нарушителей; 2) 3) Морально-этические, к которым относятся всевозможные нормы поведения, которые традиционно сложились или складываются в обществе по мере все более широкого внедрения информационных технологий во все сферы жизни общества, и которые не являются обязательными, но их несоблюдение обычно ведет к падению репутации граждан и организации, к изменению отношений в коллективе и т.д. 4) Немаловажное значение для обеспечения безопасности имеет не только общее негативное отношение к преступлениям, но и понимание необходимости осуществления защитных мероприятий. Последние сами по себе могут значительно осложнить отношения в коллективе, способствовать негативному влиянию на морально- психологическую обстановку в нем. Это связано прежде всего со значительными затратами времени на реализацию этих мероприятий, на использование для их проведения значительных финансовых ресурсов и усложнением всех необходимых рабочих процедур, выполняемых работниками организации и т.д. Кроме этого, следует учитывать, что эти мероприятия не являются основным видом хозяйственной деятельности организации, не приносят доходов, а являются лишь побочными, обеспечивающими безопасность ее основной деятельности, при этом вмешиваясь и внося коррективы в нее. Это и порождает негативное отношение к системе защитных мероприятий в целом, что в свою очередь может вызвать не только формирование обстановки благоприятствующей совершению правонарушений, но и вызвать ответные «карательные» акции в отношении компьютерных систем, для того чтобы доказать некомпетентность служб безопасности и неэффективность принимаемых мер. Поэтому грамотно спланированная и четко реализуемая система защиты информации, обеспеченная широкой разъяснительной работой, способна предотвратить накал

74

обстановки и сохранить здоровый морально-психологический климат в организации.

3) Организационно-административные, регламентирующи е

процессы функционирования компьютерных систем, использование ресурсов компьютерных систем, деятельность персонала обслуживающего компьютерные системы, порядок взаимодействия пользователей с компьютерными системами, с тем, чтобы в наибольшей степени затруднить или исключить возможность совершения преступлений1.

В состав организационно-административных мер входят:

• разработка правил реализации информационных процессов в компьютерных системах;

• совокупность действий при проектировании и оборудовании вы числительных центров и других объектов, в которых функционируют компьютерные системы (учет влияния стихии, пожаров, охрана помеще ний и т.п.);

• совокупность действий при подборе и подготовке персонала (проверка новых сотрудников, ознакомление их с порядком работы с конфиденциальной информацией, с мерами ответственности за наруше ние правил ее обработки: создание условий, при которых персоналу бы ло бы невыгодно допускать злоупотребления и т.д.);

• организация пропускного режима; • • организация учета, хранения, использования и уничтожения до- кументов и носителей с информацией ограниченного доступа; •

• организация распределения реквизитов разграничения доступа (паролей, полномочий и т.п.); • • организация скрытого контроля за работой пользователей и пер- сонала компьютерных систем; • • совокупность действий при проектировании, разработке, ремонте и модификации оборудования и программного обеспечения (сертификация используемых технических и программных средств, строгое санк- • 1 См.: Романеи Ю.В,,,Тимофеев Ц.А., Шаньгин-В.Ф.,Указ. соч. -» С.28-29,

75

ционирование, рассмотрение и утверждение всех изменений, проверка на удовлетворение требованиям защиты, документальная фиксация изменений и т.п.).

• организация правильной эксплуатации, технического обслужива ния, контроля и поддержания на требуемом уровне программного обес печения (обеспечение подробной технической документацией; периоди ческое распространение дополнительной документации и специальных журналов; организация консультационной службы; регулярное опове щение об изменениях программного обеспечения и обнаруженных в нем ошибках; организация системы обучения пользователей, проведение се минаров и курсов для различных групп пользователей по работе с ис пользуемым программным обеспечением; информирование о выпуске, подготовке к использованию и переходу на новые версии программного обеспечения) и другие1.

4) Физические, включающие в себя физическую охрану объектов, а также использование разного рода механических, электро- и электронно-механических устройств или сооружений специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам компью-терной системы и защищаемой информации . 5) 6) Программно-аппаратные, которые можно разделить на четыре группы: 7) • встроенные средства защиты операционных систем и непосред ственно прикладных программ;

Комментарии по ряду мер защиты, входящих в эту группу, см., например: Романец Ю.В., Тимофеев П.А., Шанъгии В.Ф. Указ. соч.- С.28-29; Белкин П.Ю., Михальский О.О., Першаков А.С. и др. Указ. раб. - С.29-30.

2 См., например: Петраков А.В. Защита и охрана личности, собственности, информации: Справочное пособие. - М.: Радио и связь, 1997. -С.151-153.

76

• системы распознавания и проверки подлинности (идентификации и аутентификации) пользователей; • • системы шифрования данных; • • внешние средства защиты компьютерных систем и систем передачи данных . • В состав внешних средств защиты входят различные электронные устройства и специальные программы, которые реализуют самостоя- тельно или в комплексе с другими средствами следующие способы защиты:

• распознавание и проверку подлинности (идентификация и аутен- тификация) субъектов (пользователей, процессов) компьютерных систем2; • • разграничение доступа к ресурсам компьютерных систем; • • контроль целостности данных; • • обеспечение конфиденциальности данных; • • регистрацию и анализ событий, происходящих в компьютерных системах; • • резервирование ресурсов и компонентов компьютерных систем3. Среди прочих, особую группу средств идентификации составляют

средства, основанные на индивидуальных особенностях человека. В ка-

Подобнее о составе выделенных групп см., например: Белкин П.Ю., Михалъский О.О., Пергиаков А.С. и др. Указ. раб. - С.6-12; Курушин В.Д., Минаев В.А. Указ. соч. - С.221-222, 227-228.

Под идентификацией пользователя понимается присвоение субъектам и объектам доступа некоторого уникального признака (идентификатора) и (или) сравнение предъявляемого признака с перечнем существующих. Под аутентификацией понимается проверка принадлежности субъекту доступа предъявленного им уникального признака (идентификатора), подтверждение подлинности. См., например: Курушин В.Д., Минаев В.А. Указ. соч. - С.242, 244; Расследование неправомерного доступа к компьютерной информации / Под ред. Н.Г.Шурухнова. -С.208,212.

3 Подробнее см., например: Романеи Ю.В., Тимофеев П.А., Шаньгин В.Ф. Указ. раб. - С.29.

77

честве биометрических признаков, которые могут быть использованы при идентификации субъекта доступа, на сегодняшний день выделяют следующие: отпечатки пальцев; геометрическая форма рук: узор радужной оболочки и сетчатки глаз; расположение кровеносных сосудов; запах тела; термические параметры тела; форма и размеры лица; особенности голоса; биомеханические характеристики «клавиатурного почерка»1. Указанные методики идентификации человека с использованием биометрических методов могут в равной степени относиться не только к программно- аппаратным средствам защиты информации, но и к группе физических мер защиты.

Биометрические методы идентификации по сравнению с традици- онными имеют ряд преимуществ: трудность фальсификации биометрических признаков; высокая степень достоверности идентификации по биометрическим признакам из-за их уникальности; неотделимость биометрических признаков от конкретной личности2.

В программно-аппаратных средствах защиты выделяют специ- альные программные и аппаратно-технические средства, осуществляющие противодействие внедрению и функционированию вредоносных программ. Их функционированием решаются следующие задачи:

1) выявление факта наличия или отсутствия вредоносной программы в некотором массиве компьютерной информации без работы с ними; 2) 3) выявление факта наличия или отсутствия вредоносной программы в некотором массиве компьютерной информации в процессе работы с ней; 4) См., например: Белкин П.Ю., Михалъский О.О., Першаков А.С. и др. Указ. раб.-С. 12-15.

2 См.: Теш оке. - С. 12.

78

3) недопущение внедрения вредоносной программы в некоторый массив компьютерной информации при протекании информационных процессов;

4) противодействие вредному воздействию вредоносных про грамм1.

Самым распространенным программным средством указанного типа являются антивирусные программы, одну из классификаций, которых приводит Е.В.Касперский:

• сканеры (или фаги, полифаги) - программы, принцип действия которых основан на проверке файлов, системных областей и оперативной памяти и поиске известных и неизвестных вредоносных программ (AVP, DrWeb, AIDSTEST и другие); • • ревизоры - программы, обеспечивающие контроль за состоянием файловой системы и ее изменениями (ADINF, Microsoft Anti-Virus (MSAV) и другие); • • мониторы - программы, перехватывающие критические ситуации, подозрительные на действия вредоносных программ, и сообщающие о них пользователю (VSAFE и другие); • • иммунизаторы - специальные программы, записывающиеся в защищаемый файл и контролирующие все изменения в нем в процессе его работы .

Следует отметить, что помимо специальных программных средств, ряд функций защиты от вредоносных программ выполняют и операционные системы, и прикладные программы, например, функция защиты от макровирусов текстового редактора Microsoft WinWord.

Кроме указанных программных средств в борьбе с вредоносными программами используются и специальные программно- аппаратные

1 Подробнее см., например: Там же. - С. 157.

2 Подробнее см.: Касперский Е.В. Компьютерные вирусы: что это такое и как с ними бороться. - С.73-75. См., также: Фролов А.В., Фролов Г.В. Осторожно: компьютерные вирусы. - С.53-58; Безруков Н.Н. Указ. раб. -С.5.

79

средства защиты. Они представляют собой специальную плату (кон- троллер), вставляемую в компьютер и программное обеспечение, управляющее ее работой (например, аппаратно-программный комплекс SHERIFF)1. Кроме таких программно-аппаратных средств, защиту от вредоносных программ устанавливают непосредственно в системные платы ЭВМ сами производители .

Несмотря на значительное количество программно-аппаратных методов защиты от вредоносных программам ни один из них не может самостоятельно обеспечить полную безопасность компьютерной информации от всех видов вредоносных программ. Только в комплексе с другими мерами, они позволяют обеспечить приемлемый уровень защиты информации.

Таким образом, на обстановку совершения преступления могут оказывать влияние различные меры защиты, состав, количественные и качественных характеристики которых оказывают непосредственное влияние на действия преступника, характеризуют уровень его профессиональной подготовки, знание им атакуемых объектов, общий уровень интеллекта, способность его гибко реагировать на возникающие ситуации, связанные с оказываемым противодействием, и другие особенности, позволяющие характеризовать личность самого преступника, степень его подготовленности к совершению противоправных действий, направленность его устремлений и т.д.

Подробнее см.: Фролов А.В., Фролов Г.В. Осторожно: компьютерные вирусы. - С.57-58.

Подробнее см.: Там же. - С.58.

80

§ 4. Специфические следы преступлений, связанных с

созданием, использованием и распространением

вредоносных программ для ЭВМ

Основную массу следов рассматриваемой категории преступлений составляют отражения определенных событий в сознании людей, а также следы оставленные преступником при взаимодействии с компьютерной информацией в памяти ЭВМ, на машинных носителях, которые недоступны для непосредственного восприятия человеком, без применения специальных технических средств. Преобладание последних и характеризует специфичность следовой картины рассматриваемой категории преступлений.

В.В.Крылов в своей работе рассматривает две группы следов пре- ступлений в сфере компьютерной информации, разделяя их по локализации, - следы преступной деятельности на машинных носителях информации и следы вокруг ЭВМ1, а также в зависимости от их местоположения: а) следы на машинных носителях, посредством которых действовал преступник на своем рабочем месте; б) следы на «транзитных» машинных носителях, посредством которых преступник осуществлял связь с информационными ресурсами, подвергавшимися нападению; в) следы на машинных носителях компьютерной системы, в которую осуществлен доступ или оказано иное вредоносное воздействие1.

На наш взгляд, можно использовать и иной подход к описанию следов совершения преступлений рассматриваемой категории. Их можно разделить по этапам оказываемого воздействия на средства компьютерной техники и компьютерную информацию на:

• следы доступа к средствам компьютерной техники; • • следы доступа к компьютерной информации и внедрения вредо- носных программ; • • следы функционирования и воздействия вредоносных программ. • 1 См.: Крылов В.В. Расследование преступлений в сфере информации. -С.180.

81

Под следами доступа к средствам компьютерной техники по- нимаются любые следы, оставленные преступником при доступе к месту, где находятся средства компьютерной техники, средства коммуникации, машинные носители информации и т.д. Такие следы являются традиционными для криминалистики и не связаны с непосредственным воздействием преступника на средства компьютерной техники и доступом к компьютерной информации. Специфичность их заключается, в основном, в их локализации и релевантности (относимости к событию преступления). К наиболее характерным из них можно отнести: трасо-логические следы (следы рук; следы ног и обуви; следы воздействия различных инструментов, приспособлений, механизмов и т.п.); микрочастицы и микроколичества вещества (пыльца, различные химические ве- щества); биохимические следы человека (потожировое вещество, кровь, слюна); одорологические следы; рукописные, машинописные и иные документы, исполненные или оставленные преступником (пояснительные надписи, схемы, чертежи, техническая документация и т.д.); предметы, использованные преступником в качестве орудий доступа к компьютерной системе, а также другие предметы оставленные им; изменение положения, имевшихся на месте предметов, их состояния, включая перемещение мебели, состояние запирающих устройств, хищение (исчезновение) каких-либо предметов из обстановки помещения, исчезновение письменных принадлежностей, денег, ценных предметов и т.д.; идеальные следы, оставшиеся в памяти очевидцев преступных действий и за- фиксированные на каких-либо материальных носителях информации (видеозапись, аудиозапись, фотографии и т.д.).

Под следами доступа к компьютерной информации и внедрения вредоносных программ понимаются любые следы, оставленные преступником при непосредственном взаимодействии со средствами компьютерной техники, направленном на получение доступа к компьютерной информации и организации работы с ней. Особенность следов

1 Townee.-С. 180, 228.

82

данной группы, как и прошлой, заключается в их локализации и релевантности, но помимо этого в ней появляются следы на машинных носителях информации. При совершении указанных действий преступник контактирует с различными предметами, устройствами компьютерной системы, машинными носителями информации. Следует учитывать то обстоятельство, что при отдельных способах совершения преступлений возникает необходимость подключения дополнительных устройств (например, устройств работы с машинными носителями информации, модема и т.д.), электронных плат и т.д. В ряде случаев, для непосредственного доступа к информации, преступник сталкивается с необходимостью преодоления системы защиты ЭВМ (отключение элемента энерго- независимой памяти, извлечение жесткого диска ЭВМ и т.д.). Поэтому следы могут быть обнаружены на различных устройствах компьютерной системы, машинных носителях, кабелях, на хранилищах машинных носителей и т.д.

Следы указанные при описании первой группы будут иметь место и в данной группе, однако с некоторыми особенностями. Так, следы ног и обуви, которые могут свидетельствовать о взаимодействии преступника с компьютерной системой и машинными носителями могут находиться рядом с местом подключения коммуникационного оборудования, линий связи, кабелей, под рабочим столом, где размещается ЭВМ. Следы инструментов могут встретиться на хранилищах с машинными носителями информации, на защитных механических устройствах ЭВМ (на крышке системного блока, устройстве блокировки клавиатуры, на креплении корпуса ЭВМ и т.д.). К рукописным, машинописным и иным документам, исполненным или оставленным преступником, могут относиться различные записи с паролями доступа в систему, данными пользова- телей, различные пояснительные записки, схемы, чертежи, техническая документация, алгоритмы преодоления защит, распечатки оставленные в

83

печатающем устройстве и т.д. Предметами, оставленными преступником и свидетельствующими о его взаимодействии со средствами компьютерной техники, могут быть посторонние машинные носители, соединительные кабели, установленные в ЭВМ дополнительные устройства и т.д. При изменении положения и состояния имевшихся предметов обращается внимание на перемещение мебели на рабочем месте, изменение ее положения и состояния; самой ЭВМ, периферийных устройств, изменение их положения и состояния и т.д.

Помимо следов, оставшиеся в памяти очевидцев, наблюдавших воздействие преступника или признаки такого воздействия на средства компьютерной техники или зафиксированные на каких-либо материальных носителях информации (видеозапись, аудиозапись, фотографии, информация с защитных устройств и т.д.), к этой же группе следов относятся и следы, оставленные преступником на машинных носителях при доступе к компьютерной информации. Данные следы связаны с изменением содержания и состояния программных средств компьютерной техники, включая компьютерную информацию на конкретных машинных носителях.

Говоря в целом о подобных следах, В.В.Крылов в своей работе выделил три группы «косвенных признаков постороннего вмешательства в работу ЭВМ и доступа к информации»: 1) изменения в структуре файловой системы; 2) изменения в конфигурации ЭВМ; 3) необычные проявления в работе ЭВМ2. Все они могут в равной степени свидетельствовать как о преступлениях рассматриваемой категории, так и других преступлений в сфере компьютерной информации.

В своей работе В.В.Крылов подробно описал документы, которые могут быть обнаружены в ходе проведения следственных действий по делам, связанным с преступлениями в сфере компьютерной информации. См.: Крылов В.В. Расследование преступлений в сфере информации. -С.244-245.

2 Подробнее см.: Крылов В.В. Расследование преступлений в сфере информации. - С. 187.

84

Эти следы тесно связаны со следами функционирования и воздействия вредоносных программ, для которых следы на машинных носителях информации являются основными. Следы внедрения вредоносной программы могут быть оставлены как самим преступником, опосредованно воздействовавшим на компьютерную информацию, так и самой вредоносной программой при ее самораспространении и адаптации к системе. Следы функционирования оставляет вредоносная программа, выполняющая свои функции без внешнего управления, либо под управлением извне.

Специфические следы оставляемые на машинных носителях в результате внедрения, функционирования и воздействия вредоносных программ можно разделить на несколько подгрупп1:

  1. Следы изменения файловой структуры, системных областей машинных носителей информации и постоянной энергонезависимой памяти:

• появление новых файлов; • • появление нового программного обеспечения; • • появление новых файлов, среди отмеченных как удаленные; • • преобразование файлов (смена форматов файлов); • • переименование файлов; • • изменение содержания файлов; • • удаление файлов; • • повреждение файлов; • • изменение времени и даты создания файлов; • • изменение атрибутов файлов; • • изменение размеров файлов; • • отсутствие доступа к файловой структуре или ее части (изменение разметки машинного носителя или отдельных его частей); • Подробнее см.: Приложение 4. Описание следов внедрения, функцио- нирования и воздействия вредоносных программ для ЭВМ.

85

• отсутствие доступа к информации, содержащейся в файлах (шифрование содержания, системных областей машинного носителя); • • изменение содержания постоянной энергонезависимой памяти ЭВМ. • 2. Следы изменения настроек ЭВМ и отдельных программ:

• исчезновение (удаление) настроек ЭВМ, хранящихся в энергонезависимой памяти ЭВМ; • • отключение отдельных устройств; • • подключение новых устройств; • • изменение системной даты и времени; • • изменение иных настроек ЭВМ; • • появление в программах информации о работе с новыми файлами; • • несанкционированный запрет на использование отдельных опций меню программ; • • некорректная работа ЭВМ с устройствами, входящими в ее состав и периферийными устройствами; • • изменение внешнего облика программ; • • изменение иных настроек программ. • 3. Следы нарушения работы ЭВМ и отдельных программ:

• невозможность загрузки ЭВМ; • • полное блокирование работы ЭВМ («зависание»); • • несанкционированная пользователем перезагрузка компьютера; • • отказ ЭВМ совершать операции с файлами; •уменьшение скорости работы ЭВМ;

• изменение порядка загрузки операционной системы и других программ; • • уменьшение свободного рабочего дискового пространства машинного носителя; • • уменьшение объема оперативной памяти; • • полное блокирование клавиатуры; •

86

• переназначение клавиш клавиатуры; • • дублирование нажатия клавиш клавиатуры; • • изменение символов вводимых с клавиатуры («перехват нажатия клавиш»); • • блокирование вывода компьютерной информации на печатающее устройство; • • несанкционированное изменение положения курсора на экране; • • изменение функций программного обеспечения; • • отказ или неоправданные прерывания работы программы; • • выполнение программами несанкционированных пользователем действий;

• отказ в работе с файлами данных;

• необоснованное возникновение аварийных ситуаций, либо их имитаций; • • несанкционированное пользователем обращение ЭВМ к различным устройствам; • • внешнее проявление воздействия на устройства ЭВМ; • • неустойчивые коммуникативные связи в компьютерной системе, либо их блокирование; • • выход из строя и отказ от работы устройств ЭВМ. • 4. Следы воздействия на системы защиты и конфиденциаль ность информации:

• изменение полномочий пользователей; • • отключение защитных функций систем; • • появление «брешей» в защите систем; • • перемещение, копирование информации из защищенных областей машинного носителя информации; • • рассылка информации. • 5. Иные проявления воздействия и функционирования вредо носных программ:

5.1. Видеоэффекты:

• смена позиций символов на экране монитора;

87

• стирание содержимого экрана монитора; • • перемещение, мигание экрана монитора; • • неоправданный вывод на экран монитора системных сообщений (маскировка под действия стандартных программ); • • вывод на экран монитора сообщений, касающихся авторства программы или ее наименования («визитные карточки»); • • появление на экране монитора шутливых, нецензурных, оскорбительных и иных сообщений; • • появление на экране монитора графических (псевдографических) изображений; • • появление на экране монитора анимационных изображений; • • вывод на экран монитора приглашения к игре. • 5.2. Сообщения, выводимые на печатающее устройство:

• появление несанкционированного сообщения при печати документа; • • несоответствие содержания выводимой на печать информации ее результату. • 5.3. Аудиоэффекты:

• проигрывание мелодий; • • воспроизведение звуковых сигналов. • На сегодняшний день, это основные проявления в работе ЭВМ, указывающие на внедрение, функционирование и воздействия вредоносных программ. Указанные следы остаются на различных материальных носителях информации, например, в распечатках, видеозаписях, но основная их масса все же остается непосредственно на машинных носителях информации и в памяти очевидцев.

Следы создания вредоносных программ, безусловно, могут повторять все выше перечисленные следы, однако они имеют некоторое своеобразие. Так к ним могут быть отнесены:

• различные документы (рукописные, машинописные и др.): ис ходные тексты вредоносных программ; рабочие материалы (черновики,

88

примеры, пробные программы и т.д.); техническое описание программного обеспечения, аппаратно-технических средств; техническое описание специальных программ для создания вредоносных программ; научная и техническая литература по вопросам защиты информации, программированию и т.д.; списки адресов Интернет, электронных досок объявлений (BBS); инструкции по созданию и другие документы, включая, касающиеся деятельности конкретной организации и их компьютерных систем;

• устройства ЭВМ и другое оборудование, необходимые для создания и тестирования вредоносных программ; • • машинные носители информации содержащие: различные элек- тронные документы, аналогичные по содержанию описанным выше документам; специальное программное обеспечение для создания вредоносных программ; программное обеспечение, используемое для создания программ (инструментальное программное обеспечение); вредоносные программы готовые к использованию; файлы с исходными текстами или фрагментами вредоносных программ; рабочие файлы - не являющиеся самостоятельными вредоносными программами, но содержащие фрагменты программ; программы-носители, используемые для распространения вредоносной программы; программное обеспечение, использованное для тестирования вредоносных программ, включая то, что под- верглось их воздействию и другие файлы; • • изменение настроек программ. Специфические настройки опре- деленных программ, указывают на возможную работу пользователя с определенными файлами и программами; • • идеальные следы в сознании очевидцев процесса создания вредо- носных программ. •

89

§ 5. Классификации лиц, создающих, использующих и распространяющих вредоносные программы для ЭВМ

Проблема получения информации о типичных характеристиках личности преступника, совершающего преступления рассматриваемой категории, сложна, как и все, связанное с анализом личности человека и определением групповых характеризующих черт. Помимо этого она усугубляется отсутствием достаточного объема эмпирического материала для проведения ее всестороннего анализа. Однако многие ученые, так или иначе затрагивавшие вопросы, связанные с криминалистической характеристикой преступлений в сфере компьютерной информации, акцентировали внимание на этом ее элементе, формируя основу для его последующего всестороннего исследования1.

На наш взгляд, основной классификацией лиц, совершающих пре- ступления рассматриваемой категории, является классификация по характеру выполняемой ими объективной стороны преступления: лица, создающие вредоносные программы, в том числе путем модификации существующих программ, и лица, использующие или распространяющие их. Такое деление указанных лиц обусловлено значительными различиями в их навыках.

Лиц, осуществляющих противоправные действия с компьютерной информацией, по целям преступного посягательства, можно разде- лить на следующие основные группы:

Подробнее, см.: Крылов В. В. Расследование преступления в сфере информации. - С. 147-151, 231-232; Криминалистика: Учебник для вузов/ А.Ф.Волынский, Т.В.Аверьянова, И.Л.Александрова и др.; Под ред. проф. А.Ф.Волынского. - М: Закон и право, ЮНИТИ- ДАНА, 1999. -С.588-589; Аверьянова Т.В., Белкин Р.С., Корухов Ю.Г., Российская Е.Р. Криминалистика. Учебник для вузов. / Под ред. Заслуженного деятеля науки Российской Федерации, профессора Р.С.Белкина. - М.: Издательская группа НОРМА- ИНФРА-М, 1999. - С.950-952; Крылов В.В. Информационные компьютерные преступления. - С.64-65, а также: Компьютерные технологии в юридической деятельности / Под ред. Н.Полевого, В.Крылова. - М.: Юридическая литература, 1994. - С.234; АйковД., Сейгер К, Фонсторх У. Указ. соч. - С.90-101 и другие.

90

• хулиганы; • • вандалы; • • шпионы; • • диверсанты; • • террористы; • • корыстные преступники; • • взломщики; • • лица, не преследующие определенных целей. • К группе хулиганов, следует относить лиц, чьи действия сопрово- ждаются несанкционированным воздействием на компьютерную ин- формацию и, выражая явное неуважение к обществу, нарушают сло- жившуюся в обществе систему отношений между людьми, правил взаимного поведения и общежития, установленных действующим законодательством, обычаями, традициями, нравственным нормам.

Данная группа преступников, на наш взгляд, очень характерна для рассматриваемой нами категории преступлений. Лица, относящиеся к данной категории, в частности создают и распространяют вредоносные программы, снабженные определенными визуальными и звуковыми эффектами, функциями вывода на печать в рабочих документах определенных сообщений и т.д. Называя в литературе эти и подобные им программы «безвредными» или «неопасными», авторы прежде всего имеется в виду отсутствие в них, заложенных создателем функций, направленных на несанкционированные уничтожение, модификацию или копирование информации1. Хулиганские действия могут быть направлены как на определенных лиц, так и не иметь конкретного адресата. Так, вирус Bitch выводит на экран текст содержащий сообщение: «… По всем вопросам обращаться по тел.000-00-00 (после 22 ч. Люда).». Еще одним примером может служить действие компьютерного
вируса

1 См. например, классификацию компьютерных вирусов (или вредоносных программ) предложенную Е.В.Касперским по их деструктивным возможностям: Касперский Е.В. Компьютерные вирусы: что это такое и как с ними бороться. - С.34.

91

Macro.Excel.Yohimbe1, заражающего файлы данных табличного редактора Microsoft Excel, выражается в автоматической вставке в файлы данных оскорбительной надписи. При этом программа не ориентирована на уничтожение файловой структуры и не рассчитана на блокирование работы других программ и компьютерных систем, однако до ее удаления вывод на печать официальных документов должен быть приостановлен. Программа Trojan.Seeker перенастраивает программу Internet Exporer, работающую с Интернетом, таким образом, что после каждой ее загрузки она обращается к одному и тому же, например, порносайту, не позволяя пользователю без применения специальных средств исправить это.

Преступниками данной группы могут создаваться, использоваться или распространяться программы, в которые не заложены вредоносные функции, но имитирующие аварийные и другие нештатные ситуации или выдающие сообщения о них, имитирующие действия других вредоносных программ или ошибочных действий пользователя, угрожающих целостности и конфиденциальности компьютерной информации1. Подобные проявления в компьютерной системе, как правило, приводят к остановке работы пользователей в целях избежания повреждения данных. Для восстановления нормальной работы затрачивается время, силы и средства, что в итоге может нанести существенный вред.

Вторая из приведенных нами групп преступников - вандалы. Ха- рактеризующим ее признаком является направленность действий преступника на нарушение целостности и блокирование работы средств компьютерной техники, включая воздействие на компьютерную информацию. Вредоносные программы являются средством достижения эти целей. Примером использования вредоносных программ является распространение достаточно вируса Win95.CIH («Чернобыль»), первого ви-

1 Описание данной программы см., например: Касперский Е.В. Компьютерные вирусы: что это такое и как с ними бороться. - С.269.

92

руса получившего столь широкое распространение и повлекшего на- столько разрушительные последствия. Этот вирус стирает информацию с жестких дисков и уничтожает BIOS ЭВМ. Его «эпидемия» не прекращалась несколько лет с 1998 года и на сегодняшний день известно уже несколько его модификаций. Другим примером работы таких вредоносных программ является троянская программа PKZ300b, при запуске, которой происходит уничтожение всех данных на встроенном машинном носителе ЭВМ2.

В случае выявления у преступников этой группы еще и некоторых определенных целей, их можно будет отнести к другим группам, например, к группам диверсантов или террористов.

Следующей в классификации лиц, совершающих преступления рассматриваемой категории, является группа шпионов. В учебнике под редакцией А.Ф.Волынского к шпионам отнесены лица, взламывающие защиту компьютерных систем для получения информации, которую можно использовать в целях политического влияния3. Это ограничивает указанную группу только теми лицами, которые совершают преступления в интересах иностранных государств, в интересах политической борьбы внутри страны. В.В.Крылов определяет подобную группу преступников как лиц, взламывающих компьютеры для получения информации, которую можно использовать в политических, военных и экономических целях4. На наш взгляд, к шпионам следует отнести лиц, осу- ществляющих неправомерный сбор конфиденциальной
информации,

Подробнее см.: Касперский Е.В. Компьютерные вирусы: что это такое и как с ними бороться. - С.55.

Подробнее см.: Касперский Е.В. Компьютерные вирусы: что это такое и как с ними бороться. - С.273-274.

3 Криминалистика: Учебник для вузов / Под ред. проф. А.Ф.Волынского, 1999.-С.588.

4 См.: Крылов В.В. Расследование преступления в сфере информации.

С.231.

93

персональных данных1 или любой иной информации хранимой, переда- ваемой или обрабатываемой средствами компьютерной техники, вне за- висимости от преследуемых ими целей.

Преступниками данной группы не ставится цель нарушение целостности или блокирование работы средств компьютерной техники. Их действия больше направлены на нарушение конфиденциальности компьютерной информации. Всех лиц, входящих в данную группу, можно разделить на три основные подгруппы:

• лица, совершающие деяния, предусмотренные статьями 275 и 276 УК РФ, то есть осуществляющие деятельность в ущерб внешней безопасности Российской Федерации; • • лица, осуществляющие неправомерный сбор информации с целью извлечения материальной выгоды; • • лица, осуществляющие неправомерный сбор информации с любыми иными целями. • Вредоносные программы, используемые или распространяемые преступниками данной группы, обеспечивают доступ самого преступника к интересующей его компьютерной информации или осуществляют ее сбор самостоятельно в автоматическом режиме.

Направленность действий преступников на сбор информации является особенностью отличающей данную группу от всех других.

Группа диверсантов является особой разновидностью группы вандалов. Общей с группой вандалов является направленность действий преступника на нарушение целостности и блокирование работы средств

Под конфиденциальной информацией понимается документированная информация, доступ к которой ограничивается в соответствии с зако- нодательством Российской Федерации. Под информацией о гражданах (персональными данными) понимаются сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность. См.: статью 2 Федерального закона Российской Федерации «Об информации, информатизации и защите информации» от 20 февраля 1995 года, Собрание законодательства Российской Федерации, 1995,№8,ст.609.

94

компьютерной техники. При этом характеризующим ее признаком является направленность действий преступников на достижение определенной цели - подрыв экономической безопасности и обороноспособности страны (ст.281 УК РФ).

Следует отметить, что необходимость выделения данной группы преступников в самостоятельную, продиктована специфическими особенностями субъекта данного преступления, а точнее его возможной связью с гражданами и организациями, включая иностранные, в чьи задачи входит ослабление обороноспособности страны, подрыв ее экономической безопасности в мирное и военное время. Как прогнозируется специалистами, в предвоенное и военное время объем таких акций возрастет многократно и в случае их успеха может привести к получению противником значительного военного перевеса. Подготовка к ведению специальных операций и противодействию им с применением компьютерных технологий осуществляется во многих странах мира. В США 09 октября 1998 года принята официальная доктрина информационных операций «Joint Doctrine for Information Operations» (Joint Pub 3-13)1. Представителями Министерства обороны США среди тактик ведения таких операций была названа тактика распространение вредоносных программ, в одном ряду с выводом из строя компьютерной техники противника с помощью электро- и радиопомех и блокированием работы глобальной сети путем направления на один адрес одновременно огромного количества запросов.

В качестве примера могут служить действия НАТО в Персидском заливе при проведении операции «Буря в пустыне». В момент проведения операции система ПВО Ирака оказалась заблокированной. Высказывались предположения о наличии в компьютерных системах закупленных во Франции, специально встроенных программных закладок, с

Подробнее см., например: Приходько А.Я. Информационная безопасность в событиях и фактах. Серия «Информационная безопасность». -М.: СИНТЕГ, 2001. - С.74, 101.

95

помощью которых силам НАТО удалось вывести оборонительные системы ИРАКА из строя1.

Следует отметить и особенность проведения подобных акций. Как правило, все военные объекты, оборонные предприятия, учреждения и организации надежно охраняются, а их компьютерные системы не имеют свободного выхода к внешним компьютерным системам. Они изолированы и этим обеспечивается их защита. Таким образом, непосредственные действия по внедрению вредоносной программы, как правило, осуществляются не без участия пользователей компьютерных систем .

Помимо этого, действия преступников данной группы будут опре- деляться факторами, связанными с использованием в указанных выше компьютерных системах специально разработанных программных средств, несовместимых со многими программами, работающими вовне этих систем. В силу установленного режима защиты информации используемое программное обеспечение специально сертифицируется и проверяется на наличие программных закладок и других вредоносных программ. Так ряд военных организаций Бундесвера ФРГ отказался от использования программного обеспечения корпорация Microsoft в связи с наличием в алгоритме этих программных средств неустранимых ошибок, которые могут быть использованы преступниками для получения доступа или иного преступного воздействия на средства компьютерной техники.

Могут встречаться и иные особенности. Так, в ряде организаций создается ограничение свободного подключения съемных машинных носителей информации к ЭВМ. Все это и определяет характер и условия действий преступников данной группы.

См.: Крылов В.В. Расследование преступлений в сфере информации. - С.104-105.

2 См, например: Медведовский И.Д., Семенов П.В., Платонов В.В. Атака через INTERNET / Под науч. ред. проф. П.Д.Зегжды. - СПб: Мир и се-мья-95, 1997.-С.15-16.

96

Группа террористов выделяется многими авторами. В.В.Крылов дал лицам, входящим в эту группу следующее определение: «лица, взламывающие информационные системы для создания эффекта опасности, который можно использовать в целях политического воздействия»1. На наш взгляд, приводимое определение несколько сужает возможную направленность действий террористов, ограничиваясь лишь рамками оказания политического воздействия. В то же время Уголовным законом определены следующие цели действий террористов или угроз их осуществления: нарушение общественной безопасности, устрашение населения, оказание воздействия на принятие решений органа-ми власти . Кроме того, это определение ограничивается «взломом информационных систем», то есть заведомо неправомерным проникновением в компьютерную систему, что не всегда верно в отношении действий лиц, использующих или распространяющих вредоносные программы, являясь при этом законными пользователями.

К группе террористов, на наш взгляд, следует отнести лиц, совер- шающих неправомерные действия с компьютерной информацией или компьютерной системой в целях нарушения общественной безопасно- сти, устрашения населения либо оказания воздействия на принятие решений органами власти. Примером использования вредоносных программ террористическими группировками может быть появление в ряде государственных организаций и университете Израиля компьютерного вируса, впоследствии названного ООП (Организации освобождения Палестины). Одна из японских террористических группировок на некоторое время парализовала общественный транспорт Токио, проникнув в компьютерную систему службы движения поездов. В Манифесте италь-

См.: Крылов В.В. Расследование преступлений в сфере информации. - С. 148, 232. См., также: Криминалистика: Учебник для вузов / Под ред. проф. А.Ф.Волынского, 1999. - С.589.

2 См.: Комментарий к Уголовному кодексу Российской Федерации / Отв. ред. профессор А.В.Наумов. - С.492-495.

97

янских Красных бригад прямо провозглашалась цель - уничтожение компьютерных систем1.

Такой характер действий преступников данной группы соответствует действиям лиц, входящих в группу вандалов. Однако к террористам следует отнести и лиц, осуществляющих преступления, предусмотренные ст.207 УК РФ «Заведомо ложное сообщение об акте терроризма». Общественная опасность таких действий состоит в том, что распространение даже ложных сообщений о якобы готовящихся актах терроризма может вызвать панику, беспорядок, перебои в работе транспорта, государственных и иных предприятий и учреждений2. Опасность таких действий связана в основном с огромными информационными возможностями глобальных информационных сетей. Вредоносные же программы могут быть использованы при этом для распространения сообщений.

Достаточно распространенной является группа корыстных пре- ступников. В.В.Крылов дает данной группе следующее определение: «корыстные преступники» - лица, вторгающиеся в информационные системы для получения личных имущественных или неимущественных выгод»3. Ограничивать преступные действия только вторжением в компьютерные системы нельзя, так как к этой же группе можно отнести и лиц, создающих вредоносные программы по заказу и получающих от этого выгоду. В литературе встречается и термин профессиональные преступники, «лица, вторгающиеся в информационные системы для получения личных финансовых благ»4. Его использование не согласуется с

См., например: Файтс Ф.,Джонстон П., Кратц М. Указ. соч. - С.61.

2 См., например: Комментарий к Уголовному кодексу Российской Феде рации / Отв. ред. профессор А.В.Наумов. - С.497-498.

3 Крылов В.В. Расследование преступлений в сфере информации. - С.232.

4 См.: Криминалистика: Учебник для вузов / Под ред. проф. А.Ф.Волынского, 1999. - С.589. Термин «профессиональные преступ ники» используется также в ряде других работ, см., например: Аверья нова Т.В., Белкин Р.С, Корухов Ю.Г., Российская Е.Р. Криминалистика. Учебник для вузов, 1999. - С.951.

98

принятой в настоящее время терминологией для обозначения профессиональной преступности, под которой понимается разновидность преступного занятия, являющуюся для субъекта источником средств существования и требующую необходимых знаний и навыков для достижения данной цели и обуславливающую определенные контакты с антиобщественной средой.

На наш взгляд, корыстных преступников следует определять как лиц, совершающих неправомерные действия с компьютерной информацией в целях получения личных имущественных и неимущественных выгод.

Благодаря деятельности лиц, преследующих цель получения иму- щественной выгоды, эта группа является наиболее известной. Общеизвестный факт неправомерного доступа к банковской системе CityBank российского гражданина В.Левина иллюстрирует направленность действий преступников данной группы, также как и ранее приводившийся пример, связанный с действиями инженера- программиста ОАО «НТМК» (г.Нижний Тагил) который списывал из ведомостей на выплату заработной платы с использованием вредоносной программы по одному рублю с каждого работника и направлял все полученные таким образом деньги на определенный счет в «Тагилбанке».

Следующая группа лиц, совершающих преступления в сфере ком- пьютерной информации, может быть определена как взломщики. Эта группа характерна для преступлений, связанных с неправомерным доступом. В литературе их именуют по разному - «хакеры», «исследователи», «информационные путешественники», «компьютерные взломщики» и т.д.

Характерной особенностью преступников этой группы является отсутствие у них четко выраженных противоправных намерений. Практически все действия совершаются ими с целью проявления своих ин-

99

теллектуальных способностей1. Мотивами же может быть чисто спортивный интерес, желание потешить свое самолюбие. В.В.Крылов определяет преступников данной группы как лиц, рассматривающих защиту компьютерных систем как личный вызов и взламывающих их для получения доступа к системе и удовлетворения собственных амбиций2.

В ряде случаев правонарушителями может ставиться цель приоб- ретения известности, которая может достигаться, например, путем взлома компьютерных систем и оставления информации о своем пребывании в них . В качестве носителей такой информации могут выступать и вредоносные программы, которые являются своего рода «визитной карточкой» взломщика.

Исходя из всего вышеизложенного, к взломщикам можно отнести лиц, которые с целью проявления своих интеллектуальных способностей, развлечения, в исследовательских целях, осуществляют неправомерный доступ к компьютерным системам или неправомерную модификацию существующих программ без целей преобразования ее во вредоносную.

Группа, в которую включены лица, не преследующие опреде- ленных целей, в основном характерна для преступлений связанных с нарушением правил эксплуатации компьютерных систем. Исходя из того, что данные преступления могут быть зачастую связаны с преступлениями рассматриваемой категории, не учитывать возможность совершения преступления лицами из этой категории нельзя.

Можно привести классификации преступников и по другим осно- ваниям. Так, лиц, совершающих преступления, следует разделять по правам доступа к компьютерной системе на внутренних и внешних

См.: Аверьянова Т.В., Белкин Р.С, Корухов Ю.Г., Российская Е.Р. Криминалистика. Учебник для вузов, 1999. - С.950.

2 Крылов В.В. Расследование преступлений в сфере информации. - С.231.

3 Подробнее о данной группе см.: Петровский А., Леонтьев Б. Эффек тивный хакинг для начинающих и не только. /Кратко, доступно, про сто/. - М.: Познавательная книга плюс, 1999. - С.7-8.

100

пользователей1. К внутренним пользователям следует отнести лиц, которым в соответствии с действующими договорами, в том числе и трудовыми, предоставлены права взаимодействия с компьютерной системой по ее созданию, реконструкции, ремонту, содержанию и обслуживанию. К внешним можно отнести всех остальных пользователей. По признаку наличия разрешения собственника или иного законного владельца на доступ к компьютерной информации, всех лиц, совершающих преступления рассматриваемой категории, можно разделить на санкционированных и несанкционированных пользователей.

Как видно из предложенной нами ранее классификации, мотивы и цели совершения преступления будут иметь подчас определяющее значение для квалификации действий преступника и для отнесения их к той или иной группе преступников. На наш взгляд, можно выделить следующие мотивы создания, использования и распространения вредоносных программ:

• проверка собственных способностей; • • хулиганские побуждения; • • вандализм; • • исследовательский интерес (изобретение принципиально новых методов противодействия системам защиты, способов внедрения в различные операционные системы и т.д.); • • иные мотивы (корытные, политические и т.д.). • Всех лиц, совершающих преступления в сфере компьютерной ин- формации, по степени организованности можно разделить на:

• индивидуальных преступников; • • лиц, образующие организованные группы преступников; • • лиц, входящие в состав организованных преступных сообществ. • Классификация, основанная на категории пользователей, приводилась В.Б.Веховым, см.: Вехов В.Б. Указ. раб. - С.38, другую классификацию см.: Расследование неправомерного доступа к компьютерной информации /Подред. Н.Г.Шурухнова. - С. 121-122.

101

Индивидуальные преступники, составляют основную массу. Создать их социально-психологический портрет с определением всех их ка- честв и свойств, преступного опыта является практически не выполнимой задачей в связи с отсутствием необходимого объема эмпирического материала. Однако за рубежом и в отечественной литературе предпринимались такие попытки1. Так, на первой международной конференции Интерпола по компьютерной преступности, всех преступников, совершающих преступления связанные с неправомерным доступом к компьютерной информации, разделили на три возрастные группы: от 11 до 15 лет, от 17 до 25 лет, от 30 до 452. Преступники, как впрочем, и многие другие законопослушные пользователи глобальных информационных сетей, используют для работы в компьютерных системах псевдонимы.

Классификация лиц, создающих вредоносные программы, у Е.В.Касперского, основана на их навыковых характеристиках и включает четыре группы: лица, только что изучившие язык программирования; лица, не имеющие достаточных навыков программирования, но уже определившиеся с направлением своей предстоящей деятельности - написание компьютерных вирусов; лица, профессионально занимающиеся созданием вредоносных программ; «исследователи»3. Несмотря на то, что данная классификация основывается на навыковых характеристиках преступника, очевидно, что последние тесно связаны с его возрастными характеристиками, образованием, кругом общения, источниками получения информации и т.д.

Основными источниками получения информации для лиц, совер- шающих преступления рассматриваемой категории, является личное

1 См., например: Безруков Н.Н. Указ. раб. - С.29; Крылов В.В. Информационные компьютерные преступления. - С.65; Крылов В.В. Расследование преступления в сфере информации. - С. 147-148.

Подробнее см.: Расследование неправомерного доступа к компьютер- ной информации / Под ред. Н.Г.Шурухнова. - С. 123.

3 Подробнее см.: Касперский Е.В. Компьютерные вирусы: что это такое и как с ними бороться. - С. 16-18.

102

общение, электронные журналы, телеконференции, страницы (сайты) в глобальных информационных сетях, электронные доски объявлений (BBS)1, распространяемые машинные носители информации с тематическими подборками, различные печатные издания2. Так по уголовному делу № 176709 по обвинению Флягина А.А. было установлено, что он на своей домашней ЭВМ создал электронную доску объявлений (BBS), которую назвал «Hard’n’Heavy», и к которой предоставил доступ неограниченному кругу посетителей. Помимо вредоносных программ он разместил на своей BBS по двенадцать номеров электронных журналов «40НЕХ» и «Infected Voice», выпускаемых для программистов специа- лизирующихся, в числе прочего и на создании вредоносных программ. Источником получения информации для обвиняемого по уголовному делу № 444800, упоминавшемуся ранее, являлась размещенная в сети Интернет информация с описанием механизма действия конкретной вредоносной программы, которую он впоследствии и использовал для организации неправомерного доступа к компьютерной информации.

Как отмечается многими специалистами, лица, совершающие ком- пьютерные преступления имеют свой узкий круг «профессионального» общения, свою сложившуюся субкультуру. И как логичный итог этого, образование групп (объединений). Группы могут насчитывать от 2-3 членов до нескольких десятков и по области действий и составу участников могут быть разделены на международные, национальные и региональные. Такие группы имеют собственную иерархию, характеризуются

1 BBS (Bulletin Board Sistem) - электронная доска объявлений.

Подробнее см., например: Букин Д. Хакеры. О тех, кто делает это // Рынок ценных бумаг, 1997, № 23. - С.54-57; Расследование неправомерного доступа к компьютерной информации / Под ред. Н.Г.Шурухнова. -С. 123-124; Таили Э. Указ. соч. - С.88-90; Леонтьев Б. Хакеры, взломщики и другие информационные убийцы. - М.: Познавательная книга, 1999. - С. 115-124; Леонтьев Б. Хакеры & Internet. - М.: Познавательная книга, 1998. - С. 195-215, 293-299; Касперский Е.В. Компьютерные вирусы: что это такое и как с ними бороться. - С.25.

103

специализацией отдельных ее членов, распределением ролей1. Следует также отметить, что преступная деятельность этих групп ограничивается совершением преступлений в сфере компьютерной информации и связанных с ними.

Как правило, группы создаются по направлениям деятельности. Например, «Chaos Computer Club» является международной группой взломщиков, основная масса, которых находится в Германии, и ориентируется эта группа исключительно на неправомерное проникновение в различные системы государственных, коммерческих организаций. Это не означает, что они не совершают иных преступлений, например, связанных с созданием вредоносных программ, но это не основная направ- ленность их деятельности. Другой пример, отечественная группа «STEALTH» - это группа «вирмэйкеров» - программистов, специализирующихся на создании вредоносных программ.

Преступные группы могут создаваться для совершения конкретного вида преступления, например, хищений денежных средств в кредит- ных учреждениях, что определяет специфику состава групп в которых появляются лица, не имеющие непосредственного касательства к техническому доступу к компьютерной информации, но занимающиеся обеспечением деятельности групп (сбор информации, получение похищенных денежных средств со счетов в банках и т.д.).

Отдельную группу преступников составляют лица, входящие или используемые организованными преступные сообществами. Цели их использования организованными преступными сообществами могут быть самыми различными, от получения необходимой информации до хищений денежных средств со счетов кредитных организаций. Сообщество может взять на себя финансовое, техническое и иные виды обеспечения преступления, предоставлять информацию (персональные данные, пароли и т.д.), обеспечивать фактический доступ к средствам компьютерной

См., например: Расследование неправомерного доступа к компьютерной информации / Под ред. Н.Г.Шурухнова. - С. 124.

104

техники и иначе обеспечивать реализацию преступного замысла. Преступные возможности участников таких сообществ значительно выше, чем у всех указанных выше.

Завершая рассмотрение данного вопроса особо необходимо отме- тить участие в совершаемых преступлениях иностранных государственных структур. Цели их участия могут быть совершенно различными: от шпионажа до проведения диверсионных и террористических акций. Преступники, действующие под опекой государственных структур, получают широчайшие возможности для своей деятельности.

В заключение главы хотелось бы отметить, что криминалистическая характеристика любого преступления категория динамическая, из- меняющаяся в зависимости от криминальной практики. Предложенная криминалистическая характеристика преступлений рассматриваемой категории по мере накопления эмпирического материала будет меняться.

105

Глава 2. Организация и планирование расследования
и особенности производства первоначальных

следственных действий по уголовным делам, связанным с созданием, использованием и распространением вредоносных программ для ЭВМ

§ 1. Организация и планирование расследования

преступлений, связанных с созданием, использованием и

распространением вредоносных программ для ЭВМ

Для раскрытия вопроса о типичных следственных ситуациях, вы- движении версий, планировании расследования и организации взаимодействия следователя и иных субъектов, участвующих в раскрытии и расследовании преступления, необходимо, на наш взгляд, обратить внимание на основные источники получения информации о преступлении.

В.Б.Вехов, рассматривая вопрос о потерпевших от преступлений в сфере компьютерной информации, приводит данные сборника ВНИИ-СЭ, касающиеся борьбы с этими видами преступлений в США. Всего им выделяются пять основных путей выявления таких преступлений: в результате регулярных проверок службами безопасности; в ходе агентурной работы, а также при проведении оперативных мероприятий по проверкам заявлений граждан (жалобам клиентов); случайно; в ходе проведения бухгалтерских ревизий; в ходе расследования других видов преступлений1.

Исходя из анализа имеющихся в настоящее время данных, основ- ными путями выявления преступлений, связанных с созданием, использованием и распространением вредоносных программ, на наш взгляд, являются:

1) в ходе взаимодействия пользователей с компьютерной системой (при эксплуатации программного обеспечения, обмене информацией, использовании данных, проведении проверок и т.д.);

1 См.: ВеховВ.Б. Указ. раб. - С.44-45.

106

2) при приобретении программных средств (приобретение машинных носителей информации в торговых точках, по электронной почте, через Интернет, электронные доски объявлений и т.д.); 3) 4) в ходе оперативных мероприятий, проводимых правоохрани- тельными органами (проверочная закупка, снятие информации с технических каналов связи, оперативный эксперимент и т.д.); 5) 6) в ходе расследования преступлений в сфере компьютерной ин- формации; 7) 8) в ходе расследования преступлений иных видов. 9) На сегодняшний день наиболее часто встречающимися в практике поводами к возбуждению уголовных дел рассматриваемой категории являются заявления о преступлении и сообщения о преступлении, полученные из оперативных подразделений правоохранительных органов.

В литературе, посвященной преступлениям в сфере компьютерной информации, затрагивается вопрос о типичных следственных ситуациях1. Так, В.В.Крылов выделяет в своих работах три типичные следственные ситуации, складывающиеся на первоначальном этапе расследования:

  1. Собственник информационной системы своими силами выявил нарушения целостности (конфиденциальности) информации в системе, обнаружил виновное лицо и заявил об этом в правоохранительные органы.
  2. Собственник самостоятельно выявил указанные нарушения в системе, однако не смог обнаружить виновное лицо и заявил об этом в правоохранительные органы.
  3. Данные о нарушении целостности (конфиденциальности) ин- формации в информационной системе и виновном лице стали общеизвестны или непосредственно обнаружены органом дознания (например, в
  4. 1 См., например: Криминалистика: Учебник для вузов / Под ред. проф. А.Ф.Волынского, 1999. - С.593-594; Аверьянова Т.В., Белкин Р.С., Ко-рухов Ю.Г., Российская Е.Р. Криминалистика. Учебник для вузов, 1999. - С.952.

107

ходе проведения оперативно-розыскных мероприятий по другому де-лу)1.

Эти три ситуации, безусловно, являются наиболее общими с позиции субъекта обнаружившего преступление и информировавшего о нем правоохранительные органы. Однако первая и вторая ситуации значительно заужены указанием только на собственника информационной системы, а третья - только на орган дознания. Преступление может быть выявлено и иными субъектами взаимодействия с информационной системой, практически любыми ее пользователями. Кроме того, преступление может быть выявлено непосредственно следователем в ходе расследования других преступлений.

Анализ имеющихся данных позволяет выделить и другие типичные следственные ситуации, которые могут складываться на первона- чальном этапе расследования преступлений рассматриваемой категории. Во многом эти следственные ситуации будут определяться информацией о лице, совершившем преступление рассматриваемой категории. Немаловажным будет и тот факт, что, например, при расследовании использования и распространения вредоносных программ следователю придется столкнуться не с одним, а сразу с несколькими преступными деяниями, которые могут быть совершены различными несвязанными между собой лицами. Так выявленный факт использования вредоносной программы подразумевает ее создание, а в большинстве случаев и распространение, при этом лицо совершившее преступление, связанное с использованием вредоносной программы, может быть не связано ни с лицом ее создавшим, ни с лицом распространявшим ее.

Исходя из этого, представляется правильным выделить следующие типичные ситуации первоначального этапа расследования преступлений, связанных с созданием, использованием и распространением вредоносных программ:

См.: Крылов В.В. Расследование преступления в сфере информации. - С.235.

108

1) Известны лишь некоторые лица (лицо), совершившие преступ- ления, связанные с выявленным фактом создания, использования или распространения вредоносной программы. 2) 3) Известны все лица (лицо), совершившие преступления, связанные с выявленным фактом создания, использования или распространения вредоносной программы. 4) 5) Лица (лицо), совершившие преступления, связанные с выявлен- ным фактом создания, использования или распространения вредоносной программы, неизвестны. 6) Первая ситуация имеет большое количество примеров. Так, по упоминавшемуся ранее уголовному делу № 444800, потерпевшая организация, выявившая факт совершения в отношении нее преступления, представила информацию только о лице, непосредственно совершившем преступление, то есть использовавшем возможности вредоносной программы для неправомерного доступа к компьютерной информации, но информации о том, от кого эта программа получена и кем создана, представлена не была. Или другие, примеры, связанные с распространением машинных носителей информации, содержащих вредоносные программы. Так, по уголовному делу № 844498, возбужденному в г. Санкт-Петербург по информации, поступившей из оперативных подразделений, первоначально было известно лишь лицо, непосредственно продававшее на рынке машинные носители с вредоносными программами, но не было известно от кого получены эти машинные носители и кем созданы, находившиеся на них вредоносные программы.

В качестве примера второй из этих ситуаций можно привести упоминавшееся ранее дело, рассматривавшееся в 1999 году в г. Нижний Тагил, когда преступление было совершено инженером- программистом, который для совершения преступления использовал созданную им самим вредоносную программу, что и было выявлено работниками организации при обнаружении преступления.

109

На основе типичных ситуаций расследования строятся криминали- стические версии1.

По делам рассматриваемой категории на первоначальном этапе расследования выдвигаются следующие общие версии:

• совершено преступление, связанное с созданием вредоносных программ; • • совершено преступление, связанное с использованием вредоносных программ; • • совершено преступление, связанное с распространением вредо- носных программ или машинных носителей с такими программами; • • совершено преступление в сфере компьютерной информации без использования вредоносных программ; • • совершено преступление, не относящееся к преступлениям в сфере компьютерной информации;

• преступления совершено не было, при этом заявитель добросове- стно заблуждается; • • заявление о преступлении ложное. • К числу частных версий следует отнести версии о мотивах пре- ступного посягательства, о месте совершения преступления, о способе совершения преступления, об обстоятельствах, при которых было совершено преступление, о характере и размерах ущерба, причиненного преступлением и ряд других. Особо следует обратить внимание на частные версии о лицах, причастных к совершению преступления. Эти версии, прежде всего, относятся к лицам создавшим, внедрившим, использовавшим и распространившим вредоносную программу, а также способствовавшим совершению преступления. Частные версии о направ-

О версиях, выдвигаемых на первоначальном этапе расследования преступлений в сфере компьютерной информации, см., например: Крылов В.В. Расследование преступления в сфере информации. - С.238, 594, 596; см. также: Криминалистика: Учебник для вузов / Под ред. проф. А.Ф.Волынского, 1999. - С.596; Криминалистика: Учебник / Отв. ред. Н.П.Яблоков, 2001. - С.624.

по

ленности преступного посягательства представляют собой предположение о воздействии вредоносной программы на конкретную компьютерную систему, на конкретную информацию или о не направленности ее действия.

Особое значение имеют частные версии о возможных направлениях распространения вредоносных программ и области возможного по- ражения ими. Выдвижение этих версий продиктовано необходимостью организации мероприятий направленных на выявление области распространения вредоносных программ и предупреждение оказания вредного воздействия на другие компьютерные системы и информацию.

Криминалистические версии являются в свою очередь логической основой планирования расследования преступлений. Выведенные на основе построенных версий, в целях их проверки, логические следствия составляют в то же время большинство непосредственных целей расследования и включаются в план как вопросы и обстоятельства, которые подлежат установлению.

Круг следственных действий, их последовательность, содержание и тактика, эти основные составляющие планирования расследования, при расследовании преступлений рассматриваемой категории имеют свои особенности.

Действия следователя на первоначальном этапе расследования во многом будут зависеть от того, каким образом было выявлено преступление, и какие действия были предприняты по нейтрализации этого воздействия. Так, потерпевшим могут быть выявлены следы внедрения, функционирования и воздействия вредоносной программы, однако сама вредоносная программа может быть обнаружена, обнаружена и удалена, не обнаружена.

В любом случае на первоначальном этапе расследования задача принятия следователем мер по предупреждению дальнейшего нанесения ущерба потерпевшим и другим, связанным с ними лицам (по локализации вредных последствий), приобретает особое значение.

Ill

Особенностью проводимых следственных действий, таких как ос- мотр, обыск, выемка, является их направленность на фиксацию факта нарушения целостности (конфиденциальности) компьютерной инфор- мации и компьютерной системы, подвергшейся воздействию вредоносных программ, и его последствий, следов деятельности преступника, отразившихся в изменениях материальной обстановки, а также на конкретных машинных носителях информации.

Рассматривая сложившуюся следственную ситуацию, при которой подозреваемый в совершении преступления отсутствует и нет опреде- ленности относительно места совершения преступления, необходимо процессуально закрепить имеющиеся свидетельства совершенного преступного деяния:

• фиксация общего состояния компьютерной системы на момент обнаружения факта оказания преступного воздействия, ее структуры; • • фиксация всех следов в компьютерной системе и вокруг нее, свидетельствующих о совершенном преступлении; • • фиксация всех изменений, которые производились с системой после обнаружения вредоносной программы или иного преступного воздействия; • • определение области оказанного вредного воздействия, размера ущерба нанесенного собственнику и другим законным пользователям системы и документальное закрепление их; • • определение круга лиц, имевших доступ к компьютерной системе, принятие мер к выявлению среди них лиц, которые могут быть при- частны к совершению данного преступления, процессуальное закрепление полученных данных; • • выявление обстоятельств, способствовавших совершению пре- ступления и их фиксация; • • выявление наиболее вероятных мест совершения преступления и фиксация их состояния; •

112

• определение круга свидетелей, процессуальное закрепление по лученных от них показаний.

В плане расследования в данной ситуации должна найти отражение необходимость проведения комплекса следственных, розыскных действий и оперативно-розыскных мероприятий, направленных на решение задач процессуального закрепления факта совершения преступления, розыска лиц, причастных к его совершению, розыска места совершения преступления, предупреждение совершения новых преступлений и локализации последствий уже совершенного. На решение этих задач направлены следующие следственные действия:

• осмотр места происшествия (места обнаружения преступного воздействия); • • выемка документов, имеющих отношение к событию преступления (журналы регистрации пользователей, журналы учета нештатных ситуаций, акты ведомственных комиссий, правила, действующие в данной организации в отношении работы со средствами компьютерной техники и т.д.); • • выемка машинных носителей информации, на которых могут ос- таться следы воздействия или сама вредоносная программа, средства ее создания, маскировки; • • осмотры предметов и документов, имеющих отношение к совер- шенному преступлению; • • допросы свидетелей (очевидцев, сотрудников ответственных за работу компьютерных систем, сотрудников служб безопасности, других должностных лиц организации); • • экспертизы (в частности, направленные на исследование вредо- носных программ с целью установления относимости вредоносной программы к уже известным или выявления возможных ее модификаций). • Параллельно со следственными действиями проводятся розыскные действия и оперативно-розыскные мероприятия. Их целью является выявление места совершения преступления, лиц причастных к совершению

113

преступления, способов совершения преступления и обстоятельств, способствовавших ему, а также поиск следов совершения преступления и сбор иной информации в целях полного и объективного расследования преступлений. К числу таких действий и мероприятий можно отнести опросы граждан, привлечение к розыску общественности, рассылку ориентировок, снятие информации с технических каналов связи, изъятие образцов для сравнительного исследования, проверку по учетам конкретных лиц, наведение справок и т.д.

В ситуации, когда известно место совершения преступления, но подозреваемый в его совершении не установлен, решается задача аналогичная описанной выше - процессуальное закрепление факта совершения преступления. Задачи которые предстоит решать следователю, конкретные следственные и розыскные действия и оперативно-розыскные мероприятия будут теми же, за исключением действий направленных на выявление места совершения преступления. Разумеется, что в связи с этим в число планируемых первоочередных следственных действий включается осмотр места совершения преступления.

В следственных ситуациях, когда имеется подозреваемый в со- вершении преступления, круг следственных действий и оперативно- розыскных мероприятий расширяется и в задачи следователя и оперативных работников входит установление отношения виновного лица к совершенным преступным действиям и наступившим последствиям. Для данных следственных ситуаций помимо приведенных для предыдущей следственной ситуации характерны следующие следственные действия:

• задержание лица, подозреваемого в совершении преступления; • • личный обыск подозреваемого; • • допрос подозреваемого; • • обыски на рабочем месте и по месту жительства подозреваемого; • • экспертизы (в частности, направленные на исследование выяв- ленных образцов вредоносных программ, исходных текстов программ, •

114

средств их разработки и других объектов выявленных в ходе расследования).

Помимо следственных действий проводятся оперативно-розыскные мероприятия направленные на розыск лиц, совершивших преступления, связанные с выявленным, например, лица создавшего вредоносную программу или лица распространявшего их, возможных соучастников совершенного преступления, проверку по учетам, наведение справок и ряд других. В этой ситуации проводятся следственные действия и оперативно-розыскные мероприятия, описанные ранее, и направленные на процессуальное закрепление факта совершения преступления.

Обращает на себя внимание ситуация, когда преступник, осущест- вляющий удаленный доступ к компьютерной информации, все еще находится в атакуемой им системе и совершает в ней какие-либо неправомерные действия. В этом случае проводится процесс документального закрепления присутствия преступника в системе и интенсивно ведется поиск места, откуда совершается преступное воздействие. При необходимости проводятся технические мероприятия, ограничивающие возможность нанесения ущерба компьютерной информации в атакуемой компьютерной системе. После обнаружения места нахождения преступника может быть произведено его задержание с поличным и уже вслед за этим осуществлены и другие следственные действия и оперативно- розыскные мероприятия, если это не противоречит задачам оперативных подразделений правоохранительных органов. Такая ситуация может возникнуть, например, при неоднократном доступе преступника к компьютерной информации, а также в ходе реализации информации, полученной оперативным путем.

Те же действия и мероприятия проводятся и в ряде других случаев. Так, например, по уголовному делу № 016496 по обвинению Лукьянова Р.В. в совершении преступления, связанного с распространением вредоносных программ, поводом послужило заявление гражданки П., посту-

115

пившее в СО Ворошиловского РОВД города Волгограда, о том, что незнакомый ей гражданин на радиорынке подложил приобрести вредоносные программы. С подозреваемым договорились о времени и месте, когда он прибудет для демонстрации предлагаемых вредоносных программ. За ходом «демонстрации» наблюдали оперативные работники и после ее завершения подозреваемый был задержан. В ходе «демонстрации» велась аудио- и видеозапись происходящего, которая в совокупности с результатами программно- технической и фоноскопической экспертизы, а также другими доказательствами убедительно доказала виновность обвиняемого, что впоследствии было подтверждено вынесенным обвинительным приговором суда.

Последовательность планируемых следственных и розыскных действий, а также оперативно-розыскных мероприятий, определяется конкретной следственной ситуацией. Но, как правило, одним из первых проводится осмотр места происшествия, так как это продиктовано необходимостью минимизации затрат времени на простой компьютерных систем, что позволит избежать увеличения убытков понесенных потерпевшим, и требованиями обеспечения сохранности следов совершенного преступления до их фиксации. Кроме того, осмотр места происшествия и в этом случае может являться самым информативным следственным действием. Все дальнейшие действия проводятся либо параллельно с ним, либо после него в последовательности определенной планом рас- следования и планом проведения оперативно-розыскных мероприятий. Обращает на себя внимание необходимость организации скорейшего проведения экспертиз и исследований, так как по делам рассматриваемой категории именно их результаты во многом имеют решающее значение.

Немаловажную роль в расследовании любого преступления, в том числе и преступлений, связанных с созданием, использованием и рас- пространением вредоносных программ играет организация взаимодей-

116

ствия между различными субъектами заинтересованными в скорейшем расследовании преступления.

Основными субъектами организуемого взаимодействия в ходе расследования преступлений, по делам рассматриваемой категории являются:

• следователь; • • ведомственные оперативные подразделения; • • экспертные криминалистические подразделения и специалисты; •

• следственные, оперативные, оперативно-технические подразде- ления других правоохранительных органов; • • технические специалисты, сотрудники служб безопасности по- терпевшего; • • специалисты, приглашенные потерпевшим для восстановления функционирования компьютерных систем и локализации вредных последствий; • • иностранные и международные правоохранительные организации, должностные лица органов государственной власти, местного са- моуправления и другие. • В ходе расследования уголовных дел рассматриваемой категории одним из основных направлений взаимодействия является взаимодействие организуемое между следователем и ведомственными оперативными подразделениями. В рамках процессуальных форм взаимодействия органы дознания осуществляют производство отдельных следственных действий и оперативно-розыскных мероприятий по поручениям и указаниям следователя, которые обязательны для исполнения, а также оказы- вают содействие в проведении таких действий (п.2 ст.38 УПК РФ), розыск обвиняемого (п.1 ст.210 УПК РФ). В связи с тем, что по некоторым делам, связанным с расследованием преступлений рассматриваемой категории может выполняться большой объем работ, характеризующийся разноплановостью одновременно осуществляемых действий, в помощь

117

следователю могут выделяться оперативные работники с освобождением их от выполнения других функций.

К наиболее часто встречающимся формам непроцессуального взаимодействия можно отнести консультации, совместное обсуждение материалов, обмен информацией, выполнение поручений непроцессуального характера. Этот перечень, конечно, не является исчерпывающим и практика раскрытия рассматриваемой категории преступлений может допускать и другие формы взаимодействия.

В интересах предотвращения совершения новых преступлений и локализации последствий совершенного все данные о возможных новых способах и средствах совершения преступлений, а также другая аналогичная информация, полученная в ходе следствия, должна незамедлительно доводиться до сведения соответствующих подразделений правоохранительных органов и других заинтересованных ведомств, а при необходимости и до широких слоев общественности. Исключения, на наш взгляд, может составлять информация распространение которой может привести к негативным последствиям, например, о наличии в определенных программах не устраненных погрешностей, распространение информации о которых до момента устранения недостатка этой программы может способствовать совершению других преступлений.

Большое значение при расследовании преступлений имеет опти- мальное решение вопроса о формах взаимодействия следователя со специалистами. Специалистов необходимо привлекать во всех случаях, когда сложившаяся следственная ситуация, требует производства действий с использованием специальных познаний. При проведении следственных действий по делам рассматриваемой нами категории практически всегда требуется тот или иной специалист. Решение об этом принимает следователь. В ряде случаев уголовно-процессуальный закон обязывает следователя привлечь того или иного специалиста к выполнению определенных следственных действий. В частности, обязательно участие педагога в допросе несовершеннолетнего свидетеля, не достигшего 14 лет

118

(п.1 ст. 191 УПК РФ), что может быть очень актуально с учетом возраста преступников, которые могут совершать преступления рассматриваемой категории. Наиболее часто к участию в расследовании привлекаются специалисты-криминалисты и специалисты в области средств компьютерной техники. Так, участие специалиста в области средств компьютерной техники желательно при проведении ряда следственных действий и других мероприятий. В его задачи, совместно с техническими специалистами потерпевшего, входит: оказание помощи следователю и оперативным работникам в уточнении характера и степени оказанного вредного воздействия на информацию, в определении возможного места и способа совершения преступления; определение порядка фиксации специфических следов, оставшихся на месте происшествия; участие в поиске, выявлении, фиксации и изъятии следов вокруг и на самих средствах компьютерной техники; предварительной оценке принадлежности вредоносной программы к уже известным, характера ее действия, нанесенного ущерба и т.д.

Взаимодействие следователя с экспертами чаще всего реализуется в ходе подготовки и собирания материалов, которые необходимы для экспертного исследования и в ряде других случаев.

Взаимодействие со следственными, оперативными, оперативно- техническими и экспертными криминалистическими подразделениями других правоохранительных органов осуществляется в интересах решения тех же задач, что и с ведомственными подразделениями. Однако здесь действует особый организационный (процедурный) порядок, регламентирующийся действующими совместными приказами по организации взаимодействия и другими нормативными актами. Взаимодействие может осуществляться в различных организационных формах, вплоть до создания межведомственных следственно-оперативных групп.

Взаимодействие с техническими специалистами и сотрудниками служб безопасности потерпевшего продиктовано необходимостью получения наиболее полной и объективной информации о характере совер-

119

шенного преступного посягательства и нанесенном ущербе. Возможности и специфические знания технических специалистов, создававших и эксплуатировавших компьютерную систему, позволяют использовать их в качестве консультантов или непосредственных участников при проведении оперативно-розыскных мероприятий, направленных на пресечение совершаемого преступления, выявление преступника, места совершения преступления, а также мест возможного нахождения следов со- вершенного преступления и т.д.

Нередко специализированные организации предлагают свои услуги по обеспечению информационной безопасности и устранению по- следствий произошедших нештатных ситуаций и преступного воздействия и предупреждению их. В случае их привлечения к обеспечению безопасности атакованных компьютерных систем, следователь вправе обратиться к ним за оказанием содействия в процессе расследования и получить от них необходимую информацию.

Международное сотрудничество в борьбе с рассматриваемой кате- горией преступлений обусловлено возможным международным характером совершаемых преступлений. Преступник, совершивший преступление, вредные последствия которого проявились на территории России, может находиться далеко за ее пределами, что делает привлечение его к уголовной ответственности без организации такого взаимодействия весьма проблематичным. Порядок такого организации взаимодействия определен в разделе XVIII УПК РФ и иных нормативных актах.

120

§ 2. Особенности производства первоначальных

следственных действий по уголовным делам, связанным с

созданием, использованием и распространением

вредоносных программ для ЭВМ

В криминалистической литературе особенностям проведения следственных и розыскных действий, оперативно-розыскных мероприятий по делам, связанным с совершением преступлений в сфере компьютерной информации, уделялось значительное внимание. Они нашли отражение в научных работах В.В.Крылова, В.Б.Вехова, В.Ю.Рогозина, Ю.В.Гаврилина, В.Д.Курушина, А.В.Шопина, в целом ряде научных статей, в различных учебниках, пособиях, методических рекомендациях.

По делам рассматриваемой категории проводятся осмотры, обыски, выемки, допросы, экспертизы, следственные эксперименты и другие следственные действия. Однако специфика рассматриваемых пре- ступлений предопределила отдельные следственные действия, которые проводятся чаще других. Так из всех видов обысков наиболее часто проводятся обыски в помещениях (по месту жительства, по месту работы, в иных местах, где подозреваемый имел доступ к средствам компьютерной техники), из всех видов выемок - выемки предметов, включая машинные носители информации, и выемки документов. Среди различных видов осмотров по делам рассматриваемой категории преобладают осмотры мест происшествий, предметов, документов, помещений. Следует выделить и еще одну особенность расследования преступлений рассмат- риваемой категории - не одно расследование не может обойтись без проведения компьютерно-технической экспертизы, в то время как все остальные (фоноскопические, судебно-финансовые и другие) встречаются лишь от случая к случаю.

Огромную роль в раскрытии преступления играют и оперативно- розыскные мероприятия, проводимые оперативными и оперативно- техническим подразделениями в тесном взаимодействии со следовате- лем. Как уже отмечалось ранее значительное число уголовных дел было

121

возбуждено и раскрыто именно благодаря деятельности оперативных подразделений.

Как известно, производство следственных действий подразделяется на ряд стадий: подготовка, непосредственное производство и фикса- ция результатов следственного действия. Основные положения, связанные с тактикой производства отдельных следственных действий, подробно описаны в криминалистической литературе. Поэтому при рассмотрении этого вопроса в рамках настоящего исследования необходимо остановиться лишь на тех особенностях этих действий на которые накладывает свой отпечаток специфика дел рассматриваемой категории.

Подготовка следственных действий по делам, связанным с соз- данием, использованием и распространением вредоносных программ, начинается со стадии анализа информации, имеющей значение для проведения расследования и производства конкретного следственного действия, уяснения стоящих перед следствием задач. При производстве осмотров компьютерных систем, машинных носителей информации принципиальное значение имеет информация о роде машинных носителей, составе, типе и конфигурации аппаратно-технических средств компьютерной техники, программных средствах, установленных и функционирующих в конкретной компьютерной системе, на конкретных машинных носителях, формах представления (формате) файлов. Без уста- новления этих данных сложно подобрать необходимые средства компьютерной техники, которые могут потребоваться следователю и специалисту для производства осмотра.

Особое внимание должно уделяться выяснению топологии сети ЭВМ, местоположению ее основных элементов (серверов, накопителей информации, концентраторов, сетевых устройств ввода- вывода информации и т.д.), возможностям и наличию соединений с другими сетями ЭВМ, включая глобальные компьютерные сети.

Не меньшее значение имеет и информация, касающаяся непосред- ственно самой вредоносной программы и ее характеристик. В случае ее-

122

ли обнаружена вредоносная программа способная к самораспространению, вполне вероятно, что помимо уже обнаруженных копий вредоносной программы, могут быть и другие, на других машинных носителях потерпевшего, а также в других местах, например, связанных с компьютерной системой последнего посредством сетей ЭВМ или иных образом осуществляющим взаимодействие с ней.

После анализа всей имеющейся информации и определения круга, решаемых в его ходе задач изучается непосредственно само место производства следственного действия, личности лиц, с которыми предстоит контактировать в ходе его производства (обыскиваемый, члены его семьи, представители потерпевшей стороны и другие лица).

В осматриваемом (обыскиваемом) помещении изучается местопо- ложение отдельных элементов компьютерной системы, уточняется их назначение, определяется наличие и возможность их соединения с другими компьютерными системами. При этом уточняется местоположение соединительных кабелей и возможность подключения или отключения определенных устройств от компьютерной системы без доступа в помещение, а также непосредственно в самом помещении. В зависимости от решаемых в ходе следственного действия задач следователю при помощи специалистов предстоит решить вопрос о необходимости проведения такого отключения компьютерной системы, либо, наоборот, об обеспечении непрерывности связи, что подразумевает принятие ряда мер, включая охрану наиболее важных узлов сети. Помимо проводных средств связи в помещении могут находиться и использоваться мобильные средства связи, что также необходимо учитывать.

То же замечание касается наличия и возможности отключения электропитания вне осматриваемого (обыскиваемого) помещения. В ряде случаев, в целях обеспечения сохранности следов преступной деятельности на машинных носителях информации рекомендуется все электропитание помещения отключить. Следует также уточнить наличие и подключение к компьютерной системе источников бесперебойного

123

питания, обеспечивающих работу указанной системы при отключении внешних источников электропитания.

При наличии средств компьютерной техники в нескольких поме- щениях при обыске в литературе рекомендуется организовать групповой обыск одновременно во всех помещениях, где установлены ЭВМ1. Рекомендуется обращать внимание на необходимость предварительной проверки помещений на наличие электромагнитных, магнитных и других излучений и внешних воздействий на машинные носители информации, а также на выявление их источников. Кроме этого изучаются также возможности быстрого уничтожения преступником компрометирующих материалов при входе следственно-оперативной группы в помещение. Для этого им могут использоваться как специальные приборы, предназначенные для осуществления уничтожения содержимого машинных носителей информации, так и приспособленные для этих целей устройства и любые другие пригодные для этого предметы, вещества.

Следующий важный этап подготовки следственных действий это подбор и инструктаж членов следственно-оперативной группы (СОГ). В состав СОГ помимо следователя могут входить оперативные работники, количество которых определяется задачами следственного действия и объемом предстоящей работы. Так, для осмотра больших площадей, например, предприятия в котором имеется одна или несколько локальных сетей ЭВМ подвергшихся неправомерному воздействию могут привлекаться значительные силы. Оперативные работники помимо непосредственного участия в осмотре (в поисковых действиях), участвуют в осуществлении розыскных действий, проведении опросов очевидцев и выполняют другие поручения следователя. Некоторое число оперативных работников может привлекаться для обеспечения охраны места проведения следственного действия. Для этих же целей могут привле-

См., например: Аверьянова Т.В., Белкин Р.С, Корухов Ю.Г., Российская Е.Р. Криминалистика. Учебник для вузов, 1999. - С.953- 954.

124

каться сотрудники милиции, служб безопасности организации, представители общественности.

При подборе и расстановке лиц, участвующих в следственном действии, следователь должен учитывать знание ими средств компью- терной техники и личный опыт по проведению осмотров и обысков по делам, связанным с преступлениями в сфере компьютерной информации.

В состав СОГ включают и специалистов, и как отмечалось ранее, по делам рассматриваемой категории к участию в следственном дейст- вии чаще всего привлекают специалистов-криминалистов, а также специалистов по средствам компьютерной техники. Специалисты не просто включаются в состав СОГ на время проведения следственного действия, но и активно используются следователем в процессе его подготовки для консультаций с ними по вопросам их компетенции. Все участники СОГ обязательно инструктируются следователем и специалистами. В ходе инструктажа до участников доводятся: особенности расследуемого преступления; указывается какие предметы и документы подлежат отысканию и изъятию; информация о порядке работы и обращения со средствами компьютерной техники; определяется порядок действий на месте и тактические приемы производства следственного действия; прорабатываются способы зашифровки источников получения используемых при его проведении оперативных данных; распределяются обязанности меж- ду участниками следственного действия и т.д.

Подбор понятых, участвующих в проведении следственных действий по делам данной категории, осуществляется с учетом того, что информация, ставшая предметом преступного посягательства, может являться государственной, военной или служебной тайной, а также с учетом их знаний о средствах компьютерной техники.

Подбор технических средств осуществляется исходя из учета тре- бований к обеспечению сохранности следов преступления и средств компьютерной техники, включая компьютерную информацию.

125

Субъект, производящий осмотр, не может непосредственно осмотреть содержимое машинного носителя, так как последнее представляет собой, некоторую намагниченную область машинного носителя. Для этого необходимо использовать некоторые технические устройства, позволяющие субъекту, производящему осмотр, наглядно, объективно и полно воспринимать и оценивать информацию, находящуюся на машинном носителе. Это и определяет особую значимость вопроса об используемых в ходе производства следственных действий средствах компьютерной техники1.

Сегодня наметились два пути, по которым может пойти практика в вопросе о программных средствах используемых при проведении осмотров машинных носителей информации: создание специальных программных средств и использование программных средств общего назначения. И тот, и другой путь имеют и свои преимущества, и свои недостатки. Так одним из недостатков первого пути является необходимость разработки, постоянного обновления и технического сопровождения программных средств. Недостатком программных средств общего назначения является наличие в них различных функций, которые, действуя в рамках заданного алгоритма, оказать нежелательное воздействие на компьютерную информацию.

К программным средствам, используемым в ходе проведения следственных действий, должны предъявляться следующие основные требования:

1 Этот вопрос затрагивался в целом ряде работ, см., например: Крылов В.В. Расследование преступления в сфере информации. - М.: Издательство «Городец», 1998. - С.245-246, 250; Катков С.А., Собецкий И.В., Федоров А.Л. Подготовка и назначение программно-технической экспертизы. Методические рекомендации // Бюллетень ГСУ России. № 4, 1995; Аверьянова Т.В., Белкин Р.С, Корухов Ю.Г., Российская Е.Р. Криминалистика. Учебник для вузов. / Под ред. Заслуженного деятеля науки Российской Федерации, профессора Р.С.Белкина. - М.: Издательская группа НОРМА- ИНФРА-М, 1999. - С.959; Шаталов А.С. Криминалистические алгоритмы и программы. Теория. Проблемы. Прикладные аспекты. - М: Лига Разум, 2000. - С.204.

126

• не должны изменять настройки и конфигурацию средств компь- ютерной техники; • • не должны изменять содержание и свойства компьютерной ин- формации; • • должны быть сертифицированы для проведения следственных действий и работы в условиях взаимодействия с определенными средствами компьютерной техники; • • должны быть защищены от внесения в них несанкционированных изменений; • • должны представлять информацию в виде доступном для вос- приятия лицом, использующим их, и быть удобными для их использования. • На наш взгляд, следует выделить пять групп таких программных средств:

1) Программы, предназначенные для получения информации о вхо- дящих в состав компьютерных систем и подключенных к ним устройствах, включая информацию об их техническом состоянии, настройках и конфигурации. Полученные с их использованием данные не должны ограничиваться исключительно техническими характеристиками, позволяющими судить о потенциальных возможностях компьютерной системы. Современные технические возможности позволяют выйти на качественно более высокий уровень закрепления отдельных характеристик компьютерной системы, совокупность которых позволяет ее индивидуализировать. Так при рассмотрении вопроса об индивидуализации конкретной ЭВМ в технической литературе приводится несколько возможностей для этого1. Указанные возможности в основном рассчитаны на использование их в технических целях, однако отдельные их положения могут быть использованы в дальнейшем и в интересах расследования. Среди прочих называются два способа индивидуализации ЭВМ, соот-

См.: Белкин П.Ю., Михальский О.О., Першаков А.С. и др. Указ. раб. -С.46-55.

127

ветственно, по динамическим и статическим характеристикам. К первым относят скорость вращения встроенных машинных носителей информации, точная тактовая частота микропроцессора и т.д. Статические характеристики, в отличие от динамических, не зависят от внешних воздействий и к ним относят состав и тип устройств ЭВМ, основные настройки системы и другие характеристики1.

2) Программы, предназначенные для получения информации о файловой структуре машинных носителей информации. 3) 4) Программы, предназначенные для выявления внедренных и функционирующих в компьютерной системе вредоносных программ. В качестве таких программных средств могут использоваться программы, относящиеся к специальным программным средствам защиты информации - сканеры (фаги или полифаги). Однако при использовании таких программ нельзя производить удаление вредоносных программ с машинных носителей. Их задача протестировать содержимое машинных носителей информации, включая постоянную и оперативную память ЭВМ, выявить файлы или области, в которых находятся вредоносные программы или программы, предположительно являющиеся вредоносными, и указать на них лицу, производящему осмотр. Такие средства очень часто используются на практике. Так, по уголовному делу № 530690 в отношении Гугняева М.Г. по обвинению в распространении им машинных носителей, содержащих вредоносные программы, для ус- тановления наличия вредоносных программ на машинном носителе специалистом была проведена проверка с использованием указанных программных средств. В качестве положительного примера в действиях специалиста можно выделить то, что он не удовлетворился данными, полученными в результате использования одной такой специальной программы, и произвел поиск еще рядом других аналогичных по назначению программ, что позволило ему не только подтвердить наличие уже обнаруженных вредоносных программ, но и выявить новые. 5) 1 Там же. - С.47.

128

4) Программы, предназначенные для получения информации о функционирующих на момент осмотра программах, находящихся в оперативной памяти ЭВМ, и о содержимом буфера памяти ЭВМ. 5) 6) Программы, предназначенные для определения настроек про- грамм, просмотра и иного воспроизведения содержимого файлов. Они используются на стадии детального осмотра компьютерной информации, обнаруженной на конкретном машинном носителе. При этом следует делать акцент на возможности просмотра тех файлов, содержимое которых может быть представлено в виде понятном для лица, производящего осмотр, и понятым. Как правило, это текстовые файлы, графические файлы, файлы баз данных, то есть любые файлы данных, включая исходные тексты программ. Файлы, представляющие собой программный код, практически не читаемы и работать с ними, а тем более описывать их содержимое крайне трудно и практически невозможно. Это задача компьютерно- технической экспертизы и, на наш взгляд, не может является задачей конкретного следственного действия, даже если это файлы являются файлами вредоносной программы. Цель лица, производящего осмотр, процессуально закрепить выявленное содержимое ма- шинного носителя и передать его для дальнейших исследований, если в этом возникает необходимость. Для файлов, имеющих доказательственное значение для дела, на наш взгляд, должно являться обязательное закрепление всех их основных характеристик, включая их физическое размещение на машинном носителе, а также закрепление их путем копирования на специально подготовленный машинный носитель информации и распечатки содержимого этих файлов. 7) Вопросы подготовки программных и аппаратно-технических средств решаются на этапе подготовки к проведению следственного действия и полученная заранее информация о том, с какими средствами компьютерной техники придется столкнуться в ходе проведения следственного действия позволит качественней подготовиться к его проведению.

129

В связи со специфичностью ряда материальных объектов, с кото- рыми приходится сталкиваться при проведении следственных действий по рассматриваемой категории уголовных дел, необходимо соблюдать определенные правила поиска, фиксации и изъятия компьютерной информации и ее машинных носителей, основными из которых, по нашему мнению, являются:

• неукоснительное соблюдение требований уголовно- процессуального законодательства в ходе производства следственного действия;

• соблюдение криминалистических правил обращения с предметами- носителями криминалистически значимой информации; • • запрещение производства каких-либо действий с машинными но- сителями информации и компьютерной информацией, содержащейся на них, если результат таких действий заранее не известен и наступление этого результата не противоречит характеру и процессуальному порядку производства самого следственного действия; • • ограниченное использование в ходе следственного действия или отказ от применения технико-криминалистических средств принцип работы, которых основан на использовании магнитных полей, электромагнитного, рентгеновского, ультрафиолетового и иных излучений, а равно средств, которые обладают указанными побочными эффектами своей работы и способны повредить компьютерную информацию, находящуюся на машинных носителях; • • соблюдение осторожности при работе с порошками и химическими реактивами, использующимися для выявления и фиксации следов и посторонних наложений, не допущение их попадания на рабочие по- верхности машинных носителей информации, в разъемы, устройства работы со съемными машинными носителями информации и т.д.; • • использование при фиксации функционирования и характери стик компьютерных систем и компьютерной информации специальной терминологии;

130

• при осмотре компьютерной информации, хранящейся на машинном носителе, следует придерживаться правила осмотра и описания от общего к частному, от каталогов к отдельным файлам, от общих характеристик свойств файла к его конкретному содержанию; • • фиксацию внешнего вида элементов компьютерной системы, со- держимого машинных носителей информации и содержания компью- терной информации необходимо производить максимально подробно, при этом следуя правилу относимости информации к расследуемому преступлению; • • использование в ходе проведения осмотров средств компьютерной техники сертифицированного программного обеспечения и аппа- ратно-технических средств; • • изъятию подлежат только те средства компьютерной техники, на которых содержится или может содержаться криминалистически значимая информация. • В ряде случае, как, например, по приводимому ранее примеру из уголовного дела № 016496, связанному с задержанием с поличным при распространении вредоносных программ подозреваемого Лукьянова Р.В., помимо средств компьютерной техники потребуется подготовить, определить места размещения и порядок использования и иных технических средств, таких как средства аудио-, видеозаписи, поисковой техники и т.д.

Итогом стадии подготовки является составление плана производства следственного действия. На этом, однако, подготовительная стадия следственного действия не заканчивается. Она может быть продол- жена уже непосредственно на месте его проведения1.

Подробнее о действиях непосредственно на месте проведения следст- венного действия см., например: Катков С.А., Собецкий И.В., Федоров А.Л. Подготовка и назначение программно-технической экспертизы / Бюллетень ГСУ МВД СССР, № 4, 1995; Аверьянова Т.В., Белкин Р.С., Корухов Ю.Г., Российская Е.Р. Криминалистика. Учебник для вузов,

131

Следственный осмотр проводится с соблюдением требований уго- ловно-процессуального законодательства и общих тактических реко- мендаций. Проблемы его проведения достаточно подробно освещены в криминалистической литературе1. Однако дискуссия по вопросу соотношения осмотра и исследования возникала уже не раз. Суть ее заключается в соотношении следственного осмотра и исследования. Исследование, так же как и следственный осмотр есть процесс познания деятельности, основанный на чувственном восприятии объекта исследования с последующим осмысливанием выявленных фактов, установлением и оценкой связей между ними. В этой связи существовало два мнения: следственный осмотр является составным элементом исследования2 или исследование включается в следственный осмотр3.

    • С.953-954; Криминалистика: Учебник для вузов/ Под ред. проф. А.Ф.Волынского, 1999. - С.597-598 и другие.

1 См., например: Попова В.И. Осмотр места происшествия. - Алма- Ата: Казгорсиздат, 1957. - С.43-74; Колмаков В.П. Следственный осмотр. -М.: Юридическая литература, 1969. - С.110-120; Селиванов А.Н. Вещественные доказательства. М.: Юридическая литература, 1971. - С.39-64; Лемасов А.И., Порошин Г.Н., Ченцов Ю.Н. Криминалистические методы обнаружения, фиксации и изъятия микроследов на месте происшествия. - Волгоград: Изд-во ВСШ МВД СССР, 1990; Справочник следователя. Практическая криминалистика: следственные действия. -М.: Юридическая литература, 1990. Вып.1. - С.4-20, 80-102; Гинзбург А.Я., Белкин А.Р. Криминалистическая тактика. Учебник. Алматы: ТОО «Аян Эдет», 1998. - С.85-146, и другие.

Данной точки зрения придерживался Н.А.Селиванов {Селиванов Н.А. Вещественные доказательства. М.: Юридическая литература, 1971. -С.40, 77).

3 Этой точки зрения придерживаются Н.В.Терзиев (Терзиев Н.В. Некоторые вопросы следственного осмотра места преступления. М., 1955. -С.4.), Р.С.Белкин (Криминалистика/ Под редакцией Белкина Р.С., Зуйкова Г.Г. М: Юридическая литература, 1969. - С.315; Криминалистика. Том 2.1 Под ред. Белкина Р.С., Зуйкова Г.Г. М.: Изд-во ВШ МВД СССР, 1970. - С.42), А.Н.Васильев (Криминалистика / Под ред. А.Н.Васильева. М.: Изд-во МГУ, 1963. - С.289, 309), А.С.Подшибякин {Подшибякин А.С. Холодное оружие. Криминалистическое учение. М.: «ЮрИнфор», 1997. - С.95-104) и другие ученые.

132

Полагаем, что более верна вторая точка зрения. Если допустить, что осмотр заключается только в восприятии и фиксации, без анализа и оценки воспринятого, то многие факты, важные для расследования, оставались бы невыясненными, а протоколы осмотров загромождались бы бесполезными для расследования данными. Разделяя мнение в данном вопросе, таких ученых как Р.С.Белкин, А.Н.Васильев, А.С.Подшибякин, необходимо отметить, что осмотр - это не просто исследование, а процессуальная форма исследования, одна из процессуальных форм, так как экспертиза и ряд других следственных действий также являются процессуальными формами исследования, хотя они различаются по своему характеру.

Следственный осмотр по делам, связанным с созданием, использо- ванием и распространением вредоносных программ, связан со значительным объемом использования специальных познаний в ходе его проведения, со значительным объемом специальных технических средств, позволяющих проводить осмотры компьютерной информации и т.д. В связи с этим, проблема разграничения и соотношения следственного осмотра и исследования и в нашем случае является крайне актуальной.

А.С.Подшибякин, высказывая мнение относительно критериев де- ления, выделил шесть признаков, по которым можно разделять осмотр и исследование1. Среди других он выделяет следующие три. Во-первых, это различие в объеме технических средств и методик, применяемых следователем (судом) и экспертом. Во-вторых, следователь не должен производить исследований, если есть опасность повреждения или уничтожения вещественных доказательств, следов на них, а экспертное исследование в ряде случаев допустимо. В-третьих, следователь может сам или с помощью специалиста проводить несложные исследования. Если же исследования необходимы для выявления признаков объекта или для анализа и оценки их, то он должен назначить экспертизу.

Подробнее см.: Подшибякин А.С. Холодное оружие. Криминалистическое учение. М: «ЮрИнфор», 1997. - С. 102-103.

133

Исследование вредоносных программ и программ, подозрительных на наличие в них вредоносных функций, а также следов их внедрения, функционирования и воздействия на компьютерную информацию, может быть направлено на решение следующих задач:

• отнесение конкретной программы к вредоносным, установление ее принадлежности к уже известным; • • выявление модификации существующих программ; • • выявление признаков, свидетельствующих, что данная программа была использована, распространялась, оказывала воздействие на определенную компьютерную информацию, средства компьютерной техники; • • установление некоторых обстоятельств применения вредоносных программ (продолжительность действия, время и дата использования, внедрения, условия оказания воздействия и т.д.); • • установление лица, использовавшего, распространявшего вредоносную программу или имевшего к этому отношение; • • установление создателя вредоносной программы, лица, осуществлявшего ее модификацию или адаптацию к конкретной компьютерной системе; • • решение вопроса о необходимости проведения дополнительных следственных действий и исследований. • Эти задачи отчасти могут решаться в ходе проведения осмотра места происшествия или в ходе осмотра машинного носителя информации, но значительная их часть может быть решена только в ходе специального исследования.

Факторы времени и объема, проводимых при осмотре работ, во многом имеют определяющее значение. Недостаток времени и значительные объемы проводимых работ могут не позволить провести осмотр машинных носителей информации и других средств компьютерной техники непосредственно на месте происшествия. В этом случае осмотр может быть разделен на две части: внешний осмотр СКТ и осмотр ком-

134

пьютерной информации, находящейся на машинных носителях. Первая часть осмотра может проводиться непосредственно на месте происшествия, вторая - в кабинете следователя, технической лаборатории или любом другом выбранном им месте.

При исследовании изъятых предметов в специально созданных ус- ловиях возможности по поиску, фиксации и изъятию следов значительно возрастают, появляется возможность использовать дополнительные научно-технические средства, методы. Поэтому для рассматриваемой категории преступлений этот вариант можно считать предпочтительным. Однако это не всегда бывает возможным, и условия проведения следственного действия могут потребовать осуществления всего комплекса указанных действий непосредственно на месте обнаружения. Помимо тех следов и посторонних наложений, которые можно зафиксировать и скопировать непосредственно на месте проведения следственного действия существуют и другие, например, микрочастицы в устройствах работы с машинными носителями информации, работа с которыми вне лабораторных условий сопряжена с большими сложностями. Поэтому, даже проведя внешний осмотр и фиксацию устройств, необходимо пом- нить о возможном наличии в них других следов и наложений, которые могут быть выявлены и изъяты в лабораторных условиях. Так, выявление микрочастиц на конкретном машинном носителе аналогичных найденным в устройстве для работы с машинными носителями информации конкретной ЭВМ позволяет сделать вывод об использовании его в этом устройстве.

В ходе следственного действия доступ к средствам компьютерной техники должен быть запрещен всем лицам, не имеющим отношения к проводимому следственному действию. Все манипуляции со средствами компьютерной техники должны осуществляться следователем или иным лицом, производящим осмотр, или специалистом.

Описания проведения следственных действий по делам о преступ- лениях в сфере компьютерной информации в литературе давались по

135

большей части в форме алгоритмов действий и, безусловно, сыграли свою положительную роль1. В подготовленные в ходе настоящего исследования Методические рекомендации по проведению осмотра, фиксации и изъятию средств компьютерной техники включены основные особенности проведения осмотров средств компьютерной техники . Однако, осмотр средств компьютерной техники, не будет полным без проведения осмотра компьютерной информации, находящейся на машинных носителях. Особенности проведения такого осмотра нашли свое отражение в Методических рекомендациях по проведению осмотра компьютерной информации, находящейся на машинных носителях3.

Следует отметить, что осмотр программных средств это не столько техническое, сколько процессуальное действие и к нему предъявля- ются все процессуальные требования установленные законом. Результаты такого осмотра могут оформляться либо в виде части протокола осмотра места происшествия, обыска, выемки, либо в виде отдельного протокола осмотра машинного носителя информации.

После завершения детального осмотра, все дальнейшие действия с машинным носителем информации, в том числе и по решению возник-

См.: Крылов В.В. Расследование преступления в сфере информации. - С.245-248; Аверьянова Т.В., Белкин Р.С., Корухов Ю.Г., Российская Е.Р. Криминалистика. Учебник для вузов, 1999. - С.958-960; Криминалистика: Учебник для вузов/ Под ред. проф. А.Ф.Волынского, 1999. - С. 599-601; Криминалистика: Учебник / Отв. ред. Н.П.Яблоков, 1999. -С.627; Пособие для следователя: Расследование преступлений повышенной общественной опасности. Коллектив авторов - М.: Лига Разум, 1999. - С.439-441; Андреев Б.В., Пак П.Н., Хорст В.П. Расследование преступлений в сфере компьютерной информации. - М.: ООО Издательство «Юрлитинформ», 2001. - С.51-63 и другие.

2 См.: Приложение 5. Методические рекомендации по осмотру, фикса ции и изъятию средств компьютерной техники.

3 См.: Приложение 6. Методические рекомендации по проведению ос мотра компьютерной информации, находящейся на машинных носите лях.

136

ших в ходе осмотра вопросов, осуществляются уже в ходе проведения экспертизы.

С учетом того, что квалификация преступного деяния по ст.273 УК РФ требует отнесения той или иной программы к вредоносным, а также с учетом иных обстоятельств, по уголовным делам рассматриваемой категории, как показывает практика, нельзя обойтись без проведения компьютерно-технических экспертиз. Уже в ходе проведения следственного действия следователь должен выявить вопросы, подлежащие детальному техническому исследованию. Но лишь после окончания следственного действия и тщательного анализа всей собранной информации, он вправе вынести постановление о производстве компьютерно-технической экспертизы.

В последние годы данному виду экспертиз, вопросам ее назначения и проведения, стало уделяться значительное внимание в литературе1. Научными исследованиями и практикой выявлено значительное ко- личество проблем, относящихся к данному виду экспертиз. Однако сами компьютерно-технические экспертизы не является предметом настоящего исследования.

В связи со спецификой преступлений, связанных с созданием, ис- пользованием и распространением вредоносных программ, встает достаточно существенная проблема заключающаяся в том, что без предвари-

Подробнее о данном виде экспертиз, см., например: Российская Е.Р., Усов A.M. Судебная компьютерно-техническая экспертиза. - М.: Право и закон, 2001; Расследование неправомерного доступа к компьютерной информации / Под ред. Н.Г.Шурухнова. - С. 164-168; Аверьянова Т.В., Белкин Р.С, Корухов Ю.Г., Российская Е.Р. Криминалистика. Учебник для вузов, 1999. - С.959-960; Пособие для следователя: Расследование преступлений повышенной общественной опасности. Коллектив авторов. - М: Лига Разум, 1999. - С.445-447; Справочная книга криминалиста / Под ред. Н.А.Селиванова. - М.: Издательство НОРМА (Издатель-^ екая группа НОРМА-ИНФРА-М), 2000. - С.692-694; Колкутин В.В.; Зосимов СМ., Пустовалов Л.В., Харламов С.Г., Аксенов С.А. Судебные экспертизы.- М.: ООО Издательство «Юрлитинформ», 2001.- С.193-196 и другие.

137

тельного решения вопроса об отнесении какой-либо программы к вредоносным нельзя решить вопрос о возбуждении уголовного дела по признакам ст. 273 УК РФ.

В случаях обнаружения программы, заподозренной на наличие в ней вредоносных функций, и необходимости решения вопроса о возбу- ждении уголовного дела, нужно идти по пути проведения предварительных исследований или назначения экспертиз. По поводу проведения предварительных исследований написано достаточно много. Большинство ученых, таких, например, как А.Ф.Волынский, В.Ю.Владимиров, В.П.Лавров, А.М.Черенков и др. пишут о возможности предварительных исследований, но расходятся во мнении о доказательственном значении этих исследований1. Одни ученые, например, В.Ю.Владимиров, считают допустимым использование информации, содержащейся в справке специалиста в доказывании2. Другие же, М.Б.Вандер, В.А.Образцов и др. придерживаются противоположной точки зрения. Например, специалисты, проводившие исследования, составляют справку, в которой указывают, что исследованный предмет является оружием, определяют его разновидность, способ изготовления. Этот документ, которому следователи и часть ученых придавали значение «иных документов», указывавшихся в ч. 2 ст. 74 УПК РФ, используется как доказательство при решении вопроса о возбуждении уголовного дела и привлечении конкретного человека к уголовной ответственности. Вместе с тем, например А.Е.Меркушов, делая анализ судебной практики о незаконном обороте оружия, указывает: «… Как показало обобщение практики, распространенной ошибкой судов при рассмотрении этих дел, является признание

См., например: Криминалистика: Учебник для вузов / Под ред. проф. А.Ф.Волынского, 1999. - С.82-83; Лавров В.П., Сидоров В.Е. Расследование преступлений по горячим следам. М: ВЮЗШ МВД СССР. 1989. - С.27 и другие.

См.: Владимиров В.Ю. Криминализация оборота газового оружия (уголовно-процессуальные и криминалистические аспекты). СПб: Санкт-Петербургский юридический институт МВД России, 1996. - С.126-131.

138

судами приобщенной к материалам справки с выводами специалиста, равнозначной заключению эксперта. Но в соответствии со ст. 69 УПК РСФСР1, эта справка, составленная до возбуждения уголовного дела, не является процессуальным документом, а поэтому не имеет юридической силы и не может быть положена в основу приговора. Поэтому отсутствие в уголовном деле заключения эксперта - одного из основных доказательств, при решении вопроса о виновности либо невиновности лица в незаконных действиях с оружием - дает основание считать, что судебное следствие проведено односторонне и не полно и, следовательно, приговор, согласно ст.342 УПК РСФСР подлежит отмене»1.

Препятствием к назначению экспертизы для решения вопроса об относимости программы к вредоносным является невозможность назначения экспертизы до возбуждения уголовного дела, в то время как дело нельзя возбудить без решения этого вопроса. Эту общую коллизию, характерную не только для преступлений рассматриваемой категории, предлагается решить одним из двух способов: 1) придать результатам предварительных исследований значение источника доказательств, хотя бы на стадии возбуждения уголовного дела; 2) разрешить, в случаях, когда принятие решения о возбуждении уголовного дела невозможно без производства экспертизы, проведение экспертиз до возбуждения уголовного дела. Данная проблема связана не только с решением вопроса об отнесении конкретной программы к вредоносным, но и с другими вопросами, например, связанными с исследованиями незначительных количеств веществ, которые в их ходе уничтожаются.

Практика идет по пути проведения до возбуждения уголовного дела по статье 273 УК РФ предварительных исследований программ, запо- дозренных на наличие в них вредоносных функций, а также иных средств компьютерной техники с целью выявления вредоносных про-

1 Аналогичная ей статья 74 включена и в УПК РФ.

139

грамм или следов их функционирования или воздействия. Так, по уголовному делу № 530690 в отношении Гугняева М.Г., по факту распространения последним машинных носителей с вредоносными программами, еще до возбуждения уголовного дела было проведено предварительное исследование машинного носителя информации, заподозренного на наличие вредоносных программ. В результате этого исследования были выявлены ряд широко известных вредоносных программ, а результаты проведенного исследования оформленные актом были направлены следователю для принятия решения о возбуждении уголовного дела по данному факту. И уже после возбуждения уголовного дела была проведена компьютерно- техническая экспертиза, которая подтвердила и уточнила данные предварительного исследования.

По делам рассматриваемой категории могут назначаться и другие виды экспертиз: трасологические, почерковедческие, автороведческие, технико-криминалистические экспертизы документов, судебно-экономические экспертизы (судебно- бухгалтерские, финансово-экономические). Следователю при определении их последовательности важно правильно распределить их с таким расчетом, чтобы обеспечить сохранность следов на средствах компьютерной техники. Могут назначаться и комплексные экспертизы. Например, в криминалистической литературе отмечается возможность решения вопросов идентификационного характера, по определению авторства конкретной программы путем проведения комплексной экспертизы, включающей элементы компьютерно- технической и автороведческой экспертиз2.

Еще одно важное действие, это повторный осмотр компьютерной информации, находящейся на машинном носителе. Такое действие может проводиться, например, после получения информации от эксперта

1 Меркушов А.Е. О судебной практике по делам о незаконном обороте оружия, боеприпасов и взрывчатых веществ. - Бюллетень Верховного суда РФ, №2, 1997.

См.: Аверьянова Т.В., Белкин Р.С, Корухов Ю.Г., Российская Е.Р. Криминалистика. Учебник для вузов, 1999. - С.960.

140

об использующихся средствах шифрования и защиты и устранения их, а также о выявлении или восстановлении файлов, которые были обнаружены и восстановлены только с использованием специальных методов и поэтому не были выявлены в ходе первоначального осмотра.

Осмотр всех обнаруженных документов ведется по правилам, вы- работанным криминалистикой, для осмотров данных видов материальных носителей информации. При их изучении следователь может получить сведения о законности использования компьютерной информации, того или иного программного обеспечения, об организации работы учреждения, доступе к СКТ, о круге лиц, в определенный момент времени находившихся в организации, в конкретном помещении или имевших доступ к средствам компьютерной техники, к конкретной компьютерной информации.

При обыске и выемке особое внимание следует обратить на изъятие машинных носителей информации и документов, фиксировавших состояния компьютерной системы в момент доступа преступника к ней, внедрения вредоносной программы и отражающих последствия оказанного воздействия, а также свидетельствующих о подготовке и совершении этого или других преступлений (зафиксированные на бумаге алгоритмы, исходные тексты программ, описания определенных программ, компьютерных систем, данные пользователей, пароли доступа и т.д.).

В большинстве случаев в ходе проведения обыска по делам рас- сматриваемой категории, как и по основной массе других уголовных дел, следует обращать особое внимание на поиск возможных тайников. При этом крайне ограниченно следует пользоваться определенной поисковой техникой, так как оказываемое ею воздействие может повредить хранящуюся на машинных носителях информацию.

В литературе отдельно выделяется вопрос о создании ловушек в специально оборудованных и приспособленных тайниках. Такие ловушки, учитывая специфику машинных носителей информации и относительную простоту воздействия на них, могут при несанкционированном

141

проникновении в него уничтожить или сильно повредить информацию, хранящуюся на машинном носителе. В целях избежания этого проводится четкий инструктаж всех участников следственного действия.

Изъятие машинного носителя информации с содержащейся на нем информацией о совершенном преступлении, конечно, является предпочтительным приемом предметной фиксации, однако он не является единственно возможным. Так, на практике в ряде случаев используется простое копирование отдельных файлов.

На наш взгляд, следует обратить внимание на существующие в на- стоящее время возможности по точному копированию содержимого машинного носителя информации (создание образа). Этот прием, имеющий достаточно широкое распространение в технике, имеет ряд бесспорных преимуществ перед простым копированием отдельных файлов и отчасти даже перед изъятием самого оригинала машинного носителя.

Создание образа машинного носителя информации обеспечивает:

1) объективность и точность фиксации всего содержимого машин ного носителя информации;

2) фиксацию в статическом положении всего содержимого ма шинного носителя информации;

3) сведение к минимуму потери информации при ее копировании; 4) 5) создание условий для более полного исследования содержимого машинного носителя информации; 6) 7) безопасность для данных, хранящихся на оригинале, при произ- водстве исследований содержимого машинного носителя информации; 8) 9) отсутствие убытков, вызванных изъятием оригинала машинного носителя информации у его владельца на длительный срок. 10) Потери информации, содержащейся в файлах, при простом копи- ровании возможны лишь в редких случаях, например, при плохом качестве машинного носителя информации с которого снимается информация, копировании на некачественный машинный носитель, при воздействии вредоносных программ или иных неблагоприятных факторов. Од-

142

нако возможность потери криминалистически значимой информации, содержащейся в целом на машинном носителе, несравнимо больше. Значительное количество информации, содержащейся на машинном носителе, может оказаться скрытой и недоступной для восприятия в ходе осмотра без использования специальных программных средств и специальных познаний. Создание же образа машинного носителя информации обеспечивает соблюдение необходимого для решения задач расследования принципа моделирования: достижение должного сходства с оригиналом.

Создание образа машинного носителя информации, как впрочем и копирование отдельных файлов, аналогично по своей сути копированию и получению слепков и оттисков. Также как и при копировании следов, при копировании компьютерной информации происходит перенос информации с объекта-носителя на подготовленный машинный носитель.

По нашему мнению, сейчас можно говорить о сложившейся системе приемов цифровой фиксации доказательственной информации. Приемы фиксации, входящие в эту систему, в зависимости от решаемых фиксацией задач, могут быть отнесены и к предметной, и к наглядно-образной форме фиксации, к графической форме и даже к вербальной фиксации, в случае если речь идет о цифровой звукозаписи. Фиксация цифровой информации осуществляется на машинных носителях информации, которые в соответствии с п.8 ст. 166 УПК РФ могут являться приложениями к протоколу следственного действия.

Можно назвать три основных приема фиксации цифровой инфор- мации, входящие в эту систему: сохранение цифровой информации на машинном носителе (цифровая фотография, звукозапись, цифровая запись данных различных приборов и т.д.); копирование существующих файлов на машинный носитель информации; создание образов машинных носителей информации.

Следует выделить несколько наиболее часто встречающихся ошибок, которые зачастую допускаться на практике при проведении следст-

143

венных действий. Это касается не только преступлений рассматривае- мой категории, но и по другим делам, где так или иначе следователям приходится сталкиваться со средствами компьютерной техники. Их можно разделить на два вида: процессуальные и криминалистические. Процессуальные ошибки заключаются в следующем:

  1. Не проводится осмотр средств компьютерной техники, компью- терной информации, находящейся на машинных носителях, конкретных файлов, в том числе и файлов вредоносных программ.
  2. Необоснованность выводов в процессуальных документах. На- пример, утверждение о вредоносности той или иной программы, а также отнесение к следам ее действия и проявлениям тех или иных проявлений без наличия для этого достаточных оснований, заключения эксперта.
  3. Нарушение процессуального порядка проведения осмотра со- держания машинных носителей информации, например, без участия понятых.
  4. Основные криминалистические ошибки:

  5. Несвоевременность осмотра.
  6. Неполнота, поверхностность осмотра, формальное отношение к нему.
  7. Неиспользование специальной терминологии или использование жаргонной терминологии. Так, например, даже в обвинительном за- ключении по уголовному делу, расследовавшемуся в РУ ФСБ РФ по Архангельской области, было сделано следующее заключение: «Из записи электронных сообщений видно, что абонент с именем «SpoHsor» является главным «хацкером» (предположительно «хакером» - специалистом по вредоносным программам) в сетях ЭВМ.»
  8. Использование для проведения осмотра несертифицированного программного обеспечения.
  9. Неизъятие машинных носителей информации, на которых может храниться важная для расследования дела информация.

144

  1. Неиспользование всех возможностей по фиксации функциони- рования и воздействия вредоносных программ.

Допрос при расследовании преступлений рассматриваемой кате- гории, как и при расследовании других преступлений проводится чаще, чем другие следственные действия. Большую помощь в подготовке и проведении допросов, как в других следственных действиях, может оказать специалист в области средств компьютерной техники. Так, например, он может разъяснить следователю неясные ему технические моменты, определить очередность выясняемых технических вопросов и степень их конкретизации.

В случае необходимости специалист может быть привлечен и к непосредственному участию в проведении допроса. Он, используя свои специальные познания, может дать необходимые пояснения, помочь следователю выявить обстоятельства, связанные с обнаружением, закреплением и изъятием доказательств, помочь правильно сформулировать вопросы на основании информации, полученной в ходе допроса, обратить внимание на обстоятельства, которые умышленно или по незнанию искажает допрашиваемый, а также наладить психологический контакт с допрашиваемым. На наш взгляд, следователь в ряде случаев при выяснении технических вопросов может предоставить специалисту право самостоятельно задавать эти вопросы допрашиваемому в соответствии с намеченным планом допроса. Специалист может помочь и с выбором точных формулировок, заносимых в протокол следственного действия, что связано с возможной перегруженностью показаний жаргонной лек- сикой.

При допросе свидетелей совершенного преступления помимо об- стоятельств, связанных с условиями наблюдения совершаемого преступления или оказываемого им воздействия, и других общих обстоятельств, особое внимание уделяется выяснению:

1) Особенностей действий преступника на месте преступления.

145

2) Действиям, предпринятым свидетелем и другими лицами, на месте происшествия. 3) 4) Признакам, по которым свидетель, выявил функционирование или воздействие вредоносных программ или неправомерный доступ к компьютерной информации. 5) При допросе свидетелей важно правильно определить очередность их допроса. Так, в первую очередь допрашиваются свидетели с установкой на дачу правдивых показаний, не связанные с подозреваемым.

При допросе представителей потерпевшей стороны, а ими могут являться должностные лица, сотрудники организации, отвечающие за обслуживание, эксплуатацию и обеспечение безопасности компьютерных систем, в числе прочих выясняются следующие обстоятельства:

1) Осведомленность свидетеля о совершенном преступлении, под- готовке к нему, о подозреваемых в его совершении, источниках получения информации. 2) 3) Профессиональные навыки свидетеля и его квалификация, стаж работы с конкретными средствами компьютерной техники, определенной компьютерной информацией, подвергшимися преступному воздействию, что определяет квалифицированность даваемых им оценок. 4) 5) Установленные и реально реализуемые меры защиты информа- ции. 6) 7) Признаки, по которым было выявлено функционирование или воздействие вредоносных программ или неправомерный доступ к компьютерной информации. 8) 9) Характер воздействия на компьютерную систему и компьютерную информацию (нарушение целостности, конфиденциальности, бло- кирование работы и т.д.). 10) 11) Ущерб, нанесенный вредоносной программой и непосредственно самим преступником при внедрении вредоносной программы. Воз- можность и сроки восстановления утраченных данных. Вероятные последствия от оказанного преступного воздействия. 12)

146

7) Действия, предпринятые свидетелем и другими лицами, на месте происшествия. 8) 9) Обстоятельства, которые могли способствовать совершению и сокрытию преступления. 10) 11) Характер возникавших ранее нештатных ситуаций, связанных с компьютерными системами, предпринимавшиеся меры для их устранения, выявленные причины их возникновения. 12) 10) Посторонние лица (родственники или знакомые лиц, рабо тающих на объекте), имевшие доступ к компьютерным системам и для каких целей.

11) Порядок закупки, замены, технического обслуживания средств компьютерной техники, включая разработку и создание программного обеспечения, характер последних осуществлявшихся изменений.

12) Наличие среди сотрудников работников, имеющих навыки создания программ. 13) 14) Наличие в числе работников организации и их знакомых лиц, подозреваемых в совершении противоправных действий с компьютерной информацией. 15) При допросе знакомых и родственников подозреваемого выясня- ются:

1) Данные о личности подозреваемого, его характеристика, про- фессиональные навыки, увлечения, склонность к совершению правонарушений. Круг общения. 2) 3) Обстоятельства создания, использования и распространения вредоносных программ и иной противоправной деятельности. 4) 5) Имевшиеся у подозреваемого средства компьютерной техники, места их хранения. 6) 7) Вероятные цели и мотивы создания, использования и распро- странения вредоносных программ, факты их использования. 8) 9) Навыки по созданию программ. 10)

147

6) Контакты подозреваемого с организациями и гражданами, под- вергшимися воздействию вредоносных программ и другие обстоятельства.

При подготовке к допросу подозреваемого важно иметь в виду, что большинство из них до первого допроса уверены, что следователю известно все или почти все, и это обстоятельство надо использовать, применяя приемы маневрирования информацией. Важно уже на первом допросе выяснить такие детали, от которых допрашиваемый впоследствии не сможет отказаться.

При допросе подозреваемого, помимо других обстоятельств, уста- навливаются:

1) Факт создания, использования и распространения вредоносных программ или неправомерного доступа к компьютерной информации. 2) 3) Обстоятельства совершения преступных действий. В частности: способ, место и время создания, использования и распространения вредоносных программ; лица у которых приобретал (кому передавал) вредоносные программы; использованные при создании вредоносных программ материалы, специальные инструментальные программные средства для создания вредоносных программ, описания, готовые алгоритмы, исходные тексты вредоносных программ и т.д.; места получения информации необходимой для создания вредоносных программ и другие. 4) 5) Характеристики вредоносной программы, ее особенности, при- знаки ее действия, характер и условия ее распространения. 6) 4) Вероятный характер оказанного воздействия и возможный ущерб.

5) Место хранения машинных носителей с вредоносной программой и рабочими материалами к ней, а также с похищенной компьютерной информацией. 6) 7) Места внедрения вредоносных программ, вероятные объекты воздействия, вероятные направления ее распространения. 8)

148

7) Меры, которые могут быть предприняты для локализации вред- ного воздействия от данной вредоносной программы. 8) 9) Лица, знавшие о вредоносности программы. 10) 11) Цель и мотив действий преступника. 12) 10) Обстоятельства, исключающие уголовную ответственность (ошибка в алгоритме программы, ее последующая модификация другим лицом и т.д.).

11) Обстоятельства, способствовавшие совершению преступления.

12) Контакты с организацией и гражданами, на компьютерную информацию которых было совершено преступное посягательство.

13) Круг общения подозреваемого и другие.

Следственный эксперимент, проведение которого регламентируется статьей 181 УПК РФ, по рассматриваемой категории преступлений имеет ряд особенностей, на которых также требуется остановиться.

При расследовании рассматриваемых преступлений эксперимент может производиться для установления возможности выполнения по- дозреваемым определенных действий в конкретных условиях: для установления возможности создания подозреваемым программ, организации технического доступа, манипулирования программными средствами и данными с использованием, имевшихся у него на момент совершения преступления, конкретных аппаратно- технических и программных средств, при воздействии иных установленных в ходе расследования факторов и др.

Так по уголовному делу, рассматривавшемуся в г. Нижний Тагил, в ходе предварительного следствия проводился следственный экспери- мент с участием подсудимого, в ходе которого демонстрировалась работа вредоносных программ, изъятых у него (kadr.prg и kadrl.prg), сам же подсудимый показывал и пояснял производимые им действия, что видно из протокола и прилагаемых к нему распечаток работы программ на различных стадиях эксперимента.

149

Следственные эксперименты проводятся и для установления воз- можностей лица по проникновению в определенные помещения, работы с определенными программами, подключения к сетям ЭВМ, включая глобальную сеть, осуществлению удаленного доступа и т.д. Так по уголовному делу № 176709 по обвинению Флягина А.А., распространявшему вредоносные программы через созданную им самим электронную доску объявлений (BBS), подтверждение возможности копирования им вредоносных программ из глобальной компьютерной сети Интернет было получено в результате проведения следственного эксперимента.

В большинстве случаев проверяются не физические, а интеллекту- альные способности конкретного человека, а это значительно усложняет задачу таких следственных действий. Следует помнить, что эксперимент, которым проверяется возможность выполнения лицом тех или иных действий, проводится лишь с его согласия. Однако если положительные результаты этого следственного действия оцениваются достаточно просто, то отрицательные результаты не всегда свидетельствуют о том, что подозреваемый не мог совершить определенных действий.

Помимо следственных экспериментов по установлению возмож- ностей выполнения определенных действий могут проводиться эксперименты по установлению возможностей наступления определенных последствий. Основная масса этих экспериментов направлена на проверку возможностей и функциональных характеристик вредоносных программ.

В качестве примера подобных экспериментальных действий можно привести действия эксперта давшего заключение по уголовному делу № 530690 в отношении Гугняева М.Г. Несмотря на то, что эти действия осуществлялись в рамках экспертного исследования, а не следственного эксперимента, их вполне можно использовать и для иллюстрации возможных действий следователя в рамках данного следственного действия. Экспертом в целях проверки информации полученной о вредоносных программах из различных источников, был проведен эксперимент в

150

ходе которого было произведено внедрение в подготовленную для этого ЭВМ одной из вредоносных программ, обнаруженных на представленном на экспертизу машинном носителе. В результате произошло полное уничтожение информации, хранящейся на встроенном машинном носителе ЭВМ, что по характеру полностью соответствовало информации о данной вредоносной программе полученной из других источников. Ход и результаты этого эксперимента нашли отражение в материалах экспертизы.

Этот же пример показывает, что для обеспечения этого следствен- ного действия должны использоваться полностью изолированные компьютерные системы, с целью обеспечения безопасности данных не связанных с проведением эксперимента.

Участие специалиста в области средств компьютерной техники при проведении экспериментальных действий обязательно.

В ходе расследования уголовных дел рассматриваемой категории могут проводиться и другие эксперименты.

151

§ 3. Криминалистические аспекты предупреждения

преступлений, связанных с созданием, использованием и

распространением вредоносных программ для ЭВМ

В решение задач предупреждения преступлений и локализации причин их порождающих, определяющий вклад вносит комплексное изучение проблемы предупреждения правонарушений рядом общественных и юридических наук вследствие чего следует считать общепризнанным междисциплинарный подход к решению данной проблемы, что особенно актуально на современном этапе развития юридических наук.

Даже если ограничить предмет криминалистики раскрытием пре- ступлений1, предупреждение и в этом случае будет относиться к задачам криминалистики, поскольку преступление нельзя считать полностью раскрытым, пока не выяснены все обстоятельства, подлежащие доказыванию по уголовному делу (ст. 73 УПК РФ), в том числе и обстоятельства, способствующие совершению преступления.

Общим вопросам криминалистического предупреждения преступ- лений были посвящены работы Р.С.Белкина, Н.П.Яблокова, И.Я.Фридмана, Г.Г.Зуйкова, В.А.Ледащева, В.В.Вандышева, В.С.Зеленецкого, В.Ф.Зудина, М.Ш.Махтаева, В.П.Колмакова и других ученых. В криминалистической литературе все большее распространение получает идея дальнейшего развития частной криминалистической теории предупреждения преступлений. Окончательное формирование данной частной теории еще далеко от своего завершения, но основные ее положения уже были раскрыты в ряде научных работ .

См.: Пантелеев И.Ф. Предмет советской криминалистики и смежные науки./Советское государство и право, № 10, 1981. - С. 78-84.

2 См., например: Махтаев М.Ш. Основы теории криминалистического предупреждения преступлений: Монография. - М.: Раритет, 2001; Криминалистика: Учебник. / Отв. ред. Н.П.Яблоков. - М.: Юристъ, 2001. -Глава 6; Аверьянова Т.В., Белкин Р.С, Корухов Ю.Г., Российская Е.Р. Криминалистика. Учебник для вузов, 1999.- Глава 57.

152

В настоящее время выделяют ряд конкретных задач криминали- стического предупреждения преступлений решаемых специфическими методами криминалистики:

• совершенствование научно-технических средств, тактических приемов и методов расследования, способствующих повышению науч ного уровня расследования;

• разработка методов и приемов выявления причин и условий спо- собствующих совершению преступлений с учетом их криминологиче- ских и криминалистических особенностей; • • выделение объектов криминалистико-профилактического изучения и воздействия; • • выявление и исследование особенностей типичных следственных ситуаций профилактического характера, складывающихся при расследовании и выработка на их основе главных направлений криминалистической деятельности по предупреждению преступлений; • • определение примерного комплекса профилактических мер, наи- более действенных в каждой из выделенных ситуаций и показ особенностей их реализации; • • разработка мер пресечения начавшегося и предупреждения гото- вящегося преступления; • • разработка профилактических мер специального криминалисти- ческого характера по защите различного рода объектов от преступного посягательства1. • В криминалистическом предупреждении преступлений определенное место занимает разработка средств, приемов и методов преду- преждения преступлений в сфере компьютерной информации, в целом, и связанных с созданием, использованием и распространением вредоносных программ, в частности. Отдельные такие криминалистические аспекты предупреждения
преступлений затрагивались в работах

153

В.В.Крылова, Н.Г.Шурухнова, М.Ш.Махтаева, В.Б.Вехова,

В.Ю.Рогозина, В.Д.Курушнина, Ю.В.Гаврилина и других авторов2. Однако нельзя сказать, что процесс разработки вопросов предупреждения преступлений рассматриваемой категории окончен. Эти преступления продолжают развиваться, расширяются их возможности, совершенствуются орудия и средства их совершения, возникают новые и видоизменяются старые способы совершения преступлений, а это в свою очередь требует постановки и разрешения новых задач предупреждения преступлений.

Статья 73 УПК РФ требует от следователя, органа дознания, про- куратуры, суда выявлять обстоятельства, способствовавшие совершению преступления. Установив их, указанные в законе субъекты обязаны принять специальные меры к их устранению с тем, чтобы тем самым предупредить совершение аналогичных или иных преступлений. Так, статья 158 УПК РФ регламентирует порядок внесения следователем представлений в соответствующую организацию или соответствующему должностному лицу о принятии мер по устранению указанных обстоятельств или других нарушений закона.

Задача выявления этих обстоятельств ставится в законе не случайно. Как отмечается в криминалистической литературе, нередко преступ-

1 См.: Яблоков Н.П. Криминалистическая методика расследования. - М.: Изд-во Московского университета, 1985. - С.38; Криминалистика: Учебник / Отв. ред. Н.П.Яблоков, 1999. - С.110.

2 См., например: Вехов В.Б. Компьютерные преступления: Способы со вершения и раскрытия / Под ред. акад. Б.П.Смагоринского. - М.: Право и Закон, 1996; Крылов В.В. Расследование преступления в сфере ин формации. - М.: Издательство «Городец», 1998; Курушин В.Д., Минаев В.А. Компьютерные преступления и информационная безопасность. М.: Новый Юрист, 1998; Курушин В.Д., Шопин А.В. Предупреждение и раскрытие преступлений, совершаемых с использованием компьютер ной техники. Криминалистика и компьютерная преступность. Мате риалы научно-практического семинара. М., 1993; Рогозин В.Ю. Осо бенности расследования и предупреждения преступлений в сфере ком-

154

ления являются следствием комплекса причин и условий, часто обра- зующих сложные причинно-следственные цепи. Исходя из того, что объектом криминалистического познания причинных связей в ходе расследования прежде всего является характер различного рода временных, динамических и иных видов связи отдельных этапов, обстоятельств, факторов самого события преступления, характеризующих механизм расследуемого преступления, криминалистов, в отличие от представителей других наук криминального цикла, интересуют все звенья причинно- следственного ряда . Выявление же на практике всех звеньев указанного ряда крайне затруднено.

Преступления, связанные с созданием, использованием и распро- странением вредоносных программ, и их последствия, зачастую могут являться следствием нескольких различных причин. Как правило, это результат сложного причинно-следственного взаимодействия, в котором наряду с техническими, организационными и иными обстоятельствами, наличествуют такие элементы как сформировавшееся с годами неверное представление о вредоносных программах, устаревшие взгляды на проблему преступлений в сфере компьютерной информации в целом, непо- нимание общественной опасности последних. Кроме того, в эту систему нередко вливаются и различные посторонние факторы существенным образом изменяющие направление и характер действия отдельных элементов причинной цепи. Разбираться во всех звеньях причинно-следственного ряда по таким уголовным делам, как и в других случаях необходимо исходя из конкретной сложившейся ситуации, в зависимости от особенностей расследуемого преступления: путем следственных действий, путем моделирования, с использованием логических приемов мышления.

Следователем, оперативным работником и другими субъектами, участвующими в расследовании, могут использоваться и другие специ-

пьютерной информации: Автореферат диссертации канд. юрид. наук. Волгоград, 1998 и другие.

155

альные криминалистические средства. Одним из таких средств является криминалистическое прогнозирование. Используя полученную по данному делу информацию средствами криминалистического прогнозирования могут быть выявлены дополнительные потенциальные источники и направления угрожающие безопасности компьютерных систем. В ходе криминалистического прогнозирования могут решаться и более сложные проблемы. Например, речь может идти о прогнозировании новых способов совершения преступлений и формирования новых предупредительных мер, направленных на их локализацию, что особенно важно для преступлений рассматриваемой категории2.

Хотя УПК РФ, не содержит конкретного перечня обстоятельств, способствовавших совершению преступления, подлежащих доказыванию, причин и условий его совершения, некоторые из них, в числе обстоятельства подлежащие установлению, включаются законодателем в предмет доказывания, например, обстоятельства, подлежащие установлению по делам в отношении несовершеннолетних (ст.421 УПК РФ), что актуально, учитывая возрастные группы лиц, совершающих преступления рассматриваемой категории. В ходе расследования закон обязывает выяснять условия их жизни и воспитания, уровень психического развития или иные особенности их личности, а также влияние старших лиц. То же замечание касается и невменяемых или лиц с временным расстройством психической деятельности, когда следователь и суд обязаны

1 См.: Яблоков Н.П. Указ. раб. - С.40.

Подробнее о понятии, сущности и направленности криминалистиче- ского прогнозирования, см. работы: Белкин Р.С. Криминалистика: проблемы, тенденции, перспективы. - М.: Юридическая литература, 1987; Горшенин Л.Г. Основы теории криминалистического прогнозирования. - М.: Издательство Академии МВД РФ, 1993; Подшибякин А.С. Криминалистическое прогнозирование. Методологические аспекты. - М.: РИО Академии ФСБ РФ, 1996; Белкин Р.С. Курс криминалистики. В 3 т. Т. 2: Частные криминалистические теории. - М.: Юристь, 1997 и

другие.

156

установить факт душевного расстройства, поскольку именно оно и могут служить причиной содеянного (ст. 434 УПК РФ).

Исходя из максимально полной модели совершения преступления, то есть преступления, связанного с неправомерным доступом, все об- стоятельства, которые могут способствовать совершению преступлений рассматриваемой категории можно разделить на две группы:

• Обстоятельства, способствующие неправомерному доступу. • • Обстоятельства, способствующие непосредственно созданию, использованию и распространению вредоносных программ. • Обстоятельства, способствующие неправомерному доступу к компьютерной информации, преимущественно состоят в следующем:

1) Отсутствие единой политики безопасности у потерпевшего. 2) 3) Отсутствие у потерпевшего реально действующих правил экс- плуатации средств компьютерной техники. 4) 5) Недостаточное кадровое и материально-техническое обеспечение служб, обеспечивающих обслуживание технических систем. 6) 7) Недостаточное кадровое и материально-техническое обеспечение служб безопасности и кадровых служб организаций, учреждений, предприятий. 8) 9) Приобретение и использование несертифицированного, контра- фактного программного обеспечения. 10) 6) Приобретение и эксплуатация ^сертифицированных средств компьютерной техники.

7) Незащищенность коммуникационных каналов и других элементов компьютерных систем. 8) 9) Неэффективность избранных собственником методов защиты компьютерной информации от несанкционированного доступа. 10) 11) Отсутствие плановости и тщательности в проверке компьютерных систем на наличие несанкционированного доступа. 12) 10) Отсутствие должного контроля при приобретении, техниче ском обслуживании и эксплуатации в рамках структурного подразделе-

157

ния организации программных и аппаратно-технических средств компьютерной техники.

11) Отсутствие проверок на изменение конфигурации и программ- ного обеспечения после технического обслуживания и эксплуатации компьютерных систем. 12) 13) Нарушение правил администрирования систем и сетей ЭВМ (незаконная передача паролей, нарушение установленных правил их изменения, необоснованное повышение уровня доступа, неконтролируемые сеансы работы, неконтролируемый выход во внешние сети и т.д.). 14) 15) Отсутствие или недостаточная разъяснительная работа в орга- низации. 16) К обстоятельствам, способствующим непосредственно созданию, использованию и распространению вредоносных программ для ЭВМ, не вошедшим в первую группу, относятся:

1) Нарушение установленных технических и организационных правил по обеспечению защиты компьютерной информации от вредо носных программ.

2) Отсутствие необходимых программных и аппаратно- технических средств защиты компьютерной информации, обеспечи вающих защиту от внедрения, функционирования и воздействия вредо носных программ.

3) Отсутствие специалистов по противодействию вредоносным программам. 4) 5) Нарушение порядка резервирования компьютерной информации, включая используемое программное обеспечение. 6) 7) Отсутствие надлежащего порядка использования и утилизации резервных копий данных и программного обеспечения. 8) 9) Отсутствие надлежащего порядка хранения машинных носителей информации. 10) 11) Использование случайных машинных носителей информации. 12)

158

8) Использование непосредственными пользователями программ- ных средств, не предназначенных для обеспечения деятельности организации. 9) 10) Использование устаревшего или поврежденного программного обеспечения. 11)

10) Неконтролируемый обмен через глобальные и иные информа- ционные сети электронными письмами. 11) 12) Неконтролируемое использование Интернета, получение не- проверенных файлов данных и программного обеспечения. 13) 14) Ограниченный обмен текущей информацией о существующих вредоносных программах и признаках их внедрения и функционирования. 15) Успешность выявления указанных обстоятельств зависит от сис- тематичности соответствующих действий следователя, что обеспечивается целенаправленным планированием расследования с учетом возникающих ситуаций профилактического характера.

Обстоятельства, способствовавшие преступлению, должны уста- навливаться в ходе всего расследования. Например, проверяя версию о возможности внедрения вредоносной программы посторонним лицом, в плане указываются действия по выяснению наличия, состава и режима работы структурного подразделения и охраны организации, состоянию технических средств обеспечения безопасности компьютерных систем и помещений, порядок внесения изменений в программное обеспечение и т.д.

Перечисленные обстоятельства устанавливаются по результатам тщательного анализа всех материалов конкретного уголовного дела, оперативных данных и другой имеющейся информации, а также путем анализа ранее расследовавшихся уголовных дел по аналогичным преступлениям или преступлениям, совершенным в данной организации, районе и т.д.

159

Важную информацию об обстоятельствах, способствовавших пре- ступлению, можно получить в ходе следственного осмотра. Так, осматривая место совершения неправомерного доступа к компьютерной системе, следователь может отметить возможность беспрепятственного доступа в помещение, что создает удобные условия для осуществления не только преступлений рассматриваемой категории, но и других, напрямую не связанных с воздействием на компьютерную информацию, например, хищений. В ряде случаев отсутствие обязательного пломбирования (опечатывания) корпусов ЭВМ, закрытия и опечатывания хранилищ машинных носителей информации, выявленные в ходе осмотра, а также их небрежное хранение могут свидетельствовать о ненадлежащей охране машинных носителей информации. Отсутствие во многих случаях защитных корпусов на ЭВМ и другом электро- техническом оборудовании, ненадлежащие условия его эксплуатации, повреждение электропроводки, хотя напрямую может быть и не связано с совершенным преступлением, но является явным нарушением требований охраны труда, пожарной безопасности, что требует обязательного устранения и не может быть обойдено вниманием следователя.

В ходе осмотра ЭВМ может быть выявлено отсутствие средств, обеспечивающих разграничение доступа к определенному программному обеспечению и данным, отсутствие специальных программ предназначенных для борьбы с вредоносными программами, непроведение или несистематичность проведения контроля программных средств, небрежность хранения компьютерной информации на машинном носителе, наличие случайного программного обеспечения и т.д. Все это может и не быть связано с совершенным преступлением, но может привести к нарушению целостности информации или ее конфиденциальности. Может быть выявлено нарушение авторских прав на используемое программное обеспечение. При осмотре сетей ЭВМ может быть выявлена возможность несанкционированного подключения к компьютерной сети, неконтролируемого внешнего доступа в локальную компьютерную сеть,

160

отсутствие систем разграничения доступа, неконтролируемое число пользователей и т.д.

При осмотре документов может быть выявлена небрежность оформления, несоблюдение установленных правил их оборота и хранения, что позволило преступнику завладеть информацией, относящейся к компьютерным системам, выяснить характер обрабатываемой информации, получить имена и пароли законных пользователей, исходных текстов программ и создать благоприятные условия для совершения самого преступления и другую информацию.

Немаловажным является и проведение последовательного изучения различных документов, относящихся к вопросам организации взаимодействия с компьютерной информацией, компьютерными системами и их защиты (различных правил, инструкций, положений). Особое значение могут иметь материалы ведомственного (служебного) расследования.

Эффективным средством выявления указанных обстоятельств может стать обыск жилища или рабочего места лица, подозреваемого в совершении преступления. Так, обнаруженные в ходе обыска вредоносные программы, их исходные тексты, информация, относящаяся к определенным компьютерным системам, может свидетельствовать о подготовке или совершении ряда других преступлений. Обнаруженные машинные носители с указанными программами могут позволить выявить место их приобретения, всю цепочку, ведущую от создателя через посредников к лицу их использовавшему, что позволяет пресечь их дальнейшее распространение.

Путем допроса (опроса) подозреваемых, потерпевших и свиде- телей следователь (оперативный работник) получают сведения значи- мые как для профилактики преступлений, так и для анализа личности виновных, формы и содержания их антиобщественной установки. Путем допроса становится возможным не только выявить конкретные обстоя-

161

тельства, способствовавшие совершению расследуемого преступления, но и определить, в какой мере они способствуют новым преступлениям.

При допросе подозреваемого должны быть выяснены обстоятельства формирования у него умысла, с чем это связано, каким мотивом он руководствовался. Подробно выясняются те обстоятельства, которые облегчили ему совершение преступления, каким образом ему стало известно об этих обстоятельствах и как именно их использовал.

Круг свидетелей, который должен быть опрошен, зависит от ха- рактера обстоятельств, способствовавших преступлению. В нашем случае это работники, осуществляющие взаимодействие с компьютерной информацией (операторы, ремонтники, администраторы сетей и т.д.), лица, обеспечивающие безопасность компьютерных систем и помещений, а также работники бухгалтерии, кадровых служб и т.д.

В ходе проведения этих следственных действий, следователем могут быть использованы самые разнообразные индивидуально- воспитательные и иные методы, направленные на перестройку психологии личности, психологического микроклимата в малой социальной группе, изменение условий жизни и труда, в которых живет и действует личность, функционирует малая социальная группа.

Не меньшее значение играют и другие следственные действия, такие как экспертиза или следственный эксперимент. Следственный экс- перимент позволяет получить сведения о способе преступления и способствующих его совершению обстоятельствах: о недостатках программных и аппаратно-технических средств, используемых преступником, путях использования уязвимых мест в охране объектов, в том или ином технологическом процессе обработки информации, контроле за процессами хранения, обработки и передачи информации и т.п. Хочется привести один негативный, на наш взгляд, пример из практики. В ходе проведения расследования упоминавшегося ранее уголовного дела № 444800 было выявлено, что обвиняемый использовал для получения неправомерного доступа к компьютерной информации программную за-

162

кладку, которую получил через Интернет. Следователем был выяснено, что для поиска вредоносной программы подозреваемый использовал поисковый сервер Рамблер (www.rambler.ru). Так как подозреваемый не мог вспомнить, где именно он нашел вредоносную программу, следователь пошел на проведение следственного эксперимента. По направленному им запросу поисковый сервер указал на 279 адресов Интернет, где можно найти программы аналогичные той, факт использования которой им расследовался. Достигнутый результат позволил следователю сде- лать вывод о том, что программа является широко распространенной, и остановиться на достигнутом. Оставив в стороне сделанные следователем выводы, хочется отметить, что выявив в ходе начатого им самим эксперимента 279 вероятных мест распространения вредоносных программ им не было предпринято никаких действий по пресечению этого.

Вопросы о способствовавших рассматриваемому преступлению обстоятельствах целесообразно ставить при проведении компьютерно-технической экспертизы. В ходе последней могут быть выявлены причины сбоев в работе ЭВМ, уничтожения или модификации информации и другие. Результатом экспертизы может стать и выяснение вопроса, не является ли причиной таких последствий вредоносная программа. Вопрос об обстоятельствах, способствовавших преступлению, может быть поставлен перед экспертом в прямой форме, но о них можно судить и по ответам на другие вопросы. Подобные обстоятельства могут быть установлены экспертом и по собственной инициативе. В этом случае эксперт сообщает о них в своем заключении.

Сведения о начавшемся или готовящемся преступлении поступают к следователю в процессе расследования уголовного дела, либо к оперативным работникам в процессе оперативно-розыскной деятельности. В качестве профилактических мер в данных случаях могут применяться средства процессуального и непроцессуального воздействия (задержание с поличным, изменение характера режима охраны, системы контроля и т.д.).

163

В настоящее время существуют различные технико- криминалистические средства и методы, которые не менее эффективно могут быть использованы в предупреждении преступлений. Разработка и применение соответствующих технических приемов и средств защиты осуществляется с привлечением специалистов технического профиля. При этом одни технические приемы и средства используются с целью пресечения реально подготовленной к началу или уже начатой преступной деятельности (различного рода сигнализационные и блокирующие устройства, приемы и средства распознавания модификации и подмены программных средств и др.), другие направлены на затруднение совершения преступлений (приемы и средства защиты программ и данных, средства, препятствующие подбору идентификационных данных законных пользователей, различные технические устройства аутентификации пользователей и др.), третьи - для быстрого обнаружения виновных и объектов преступных посягательств (различные программные ловушки, программы контроля доступа и т.д.).

Разумеется, это не весь спектр возможных профилактических мер, которые могут быть проведены самим следователем и другими участниками расследования, либо по их поручению. Конкретные профилактические методы и средства должны выбираться в зависимости от обстоятельств конкретного уголовного дела, наличествующих сил и средств для их осуществления.

Лишь комплексное и целенаправленное проведение следователем, оперативными работниками мероприятий направленных на предотвращение и пресечение преступлений может позволить правоохранительным органам достигнуть успеха в деле предупреждения преступлений, в целом, и преступлений, связанных с созданием, использованием и распространением вредоносных программ, в частности.

164

Заключение

Проведенное исследование дает основание для формулирования следующих основных выводов, предложений и рекомендаций:

  1. Важность правильного и полного определения понятия вредо носной программы обуславливается тремя группами факторов: связан ными с увеличением числа преступлений, в которых используются вре доносные программы; связанными с увеличением числа создаваемых и распространяющихся вредоносных программ и расширением их вредо носных функций; правовыми факторами, связанными с определением соотношения программ для ЭВМ и вредоносных программ.

Учитывая понятие программы для ЭВМ, даваемое в законодатель- стве, а также современный уровень технического развития программ, которые могут быть отнесены к вредоносным, вредоносную программу можно определить как программу для ЭВМ, наделенную функциями, выполнение которых может оказать неправомерное воздействие на средства компьютерной техники, приводящее к их уничтожению, блокированию или иному нарушению их работы, и на компьютерную информацию, приводящее к ее уничтожению, блокированию, модификации или копированию.

  1. Непосредственно связанным с понятием вредоносной программы, является понятие электронной вычислительной машины (ЭВМ). Под ЭВМ понимается комплекс взаимосвязанных и взаимодействующих через определенное программное обеспечение электронных и электронно-механических устройств, обеспечивающий протекание информационных процессов. Программное обеспечение можно определить как совокупность программных средств компьютерной техники, используемых для управления функционированием конкретной ЭВМ, системой ЭВМ или их сетью и информационными процессами, протекающими в них.
  2. Вопросы, связанные с созданием вредоносных программ и вне- сением изменений в существующие программы, заведомо приводящим к указанным в уголовном законе последствиям, в действующем уголовном

165

законодательстве не достаточно проработаны. В частности формулировка уголовного закона позволяет в целом ряде случаев избежать уголовной ответственности лицам, модифицировавшим существующие вредоносные программы.

  1. Все существующие вредоносные программы можно разделить на специально созданные, созданные путем, внесения изменений в су ществующие программы, и модифицированные.

Под созданием вредоносной программы следует понимать творче- скую деятельность, направленную на создание качественно новой программы, заведомо наделенной функциями, выполнение которых может оказать неправомерное воздействие на средства компьютерной техники.

Под программами, созданными путем внесения изменений в суще- ствующие программы, следует понимать вредоносные программы, созданные путем внесения любых изменений в существующие программы при условии, что эти изменения значительно качественно изменили существующую программу.

Под модифицированной вредоносной программой следует понимать вредоносную программу, в которую внесены любые изменения, при условии, что эти изменения значительно качественно не изменили ее и она не изменила своих функций, выполнение которых оказывает неправомерное воздействие на компьютерную информацию и средства компьютерной техники.

  1. Вредоносные программы могут быть классифицированы и по другим основаниям, основными из которых являются классификации по способности к самораспространению, по наличию в них открыто декла рируемых функций, по видам оказываемого воздействия, по направлен ности оказываемого воздействия.

По способности вредоносных программ к самораспространению их можно разделить на два класса: самораспространяющиеся вредонос- ные программы (компьютерные вирусы и компьютерные черви) и программные закладки. Все существующие программные закладки состав-

166

ляют пять групп: осуществляющие сбор информации об информационных процессах, протекающих в компьютерной системе; обеспечивающие неправомерный доступ; наделенные деструктивными функциями; блокирующие работу средств компьютерной техники; комбинированные. В зависимости от наличия открыто декларируемых функций вредоносные программы могут быть разделены на: троянские программы и скрытые вредоносные программы. На основе прогнозов дальнейшего развития и современных данных о видах оказываемого воздействия, вредоносные программы можно разделить на пять групп, куда наряду с воздействием на компьютерную информацию, должно войти и воздействие на аппаратно-технические средства ЭВМ, и возможное воздействие на здоровье человека. По направленности оказываемого воздействия вредоносные программы делят на: направленные на индивидуально-определенный объект и ненаправленного действия.

  1. Система свойств файлов, ранее приводившаяся в литературе, должна быть уточнена путем внесения в нее ряда изменений, основным из которых является включение такого элемента системы как физическое размещение файла на машинном носителе информации. Это свойство определяет не размещение файла в файловой структуре машинного носителя информации, а именно физическое размещение намагниченных участков рабочих поверхностей машинных носителей информации, содержащих компоненты файла, с которыми он связан, в которых располагается его физический объем.
  2. Основными элементами криминалистической характеристики преступлений, связанных с созданием, использованием и распространением вредоносных программ являются: способы совершения и сокрытия преступлений; средства совершения преступлений; типичная обстановка совершения преступлений; следы преступлений; данные о личности преступника.
  3. В связи со значительными различиями в действиях преступника, выполняющего объективную сторону преступления, все способы совер-

167

шения преступлений рассматриваемой категории могут быть разделены на две группы: создание вредоносных программ и их использование и распространение.

По способу возникновения вредоносных программ можно выделить две группы способов создания вредоносных программ: создание и внесение изменений в существующие программы. В зависимости от совпадения мест создания вредоносной программы и мест ее последующего использования способы создания можно разделить на: создание непосредственно на месте ее использования и создание вне места ее использования.

Способы использования и распространения вредоносных программ можно разделить на активные и пассивные. Основное отличие пассивных способов от активных заключается в том, действия преступника не связанны с получением доступа к компьютерной информации.

  1. Среди средств создания, использования и распространения вре доносных программ в отдельную группу необходимо выделить средства их создания. На сегодняшний день можно определить четыре основные составляющие программных средств создания вредоносных программ: системы программирования, специальные, отладочные и камуфлирую щие (маскирующие) программные средства. Аппаратные средства соз дания вредоносных программ в свою очередь могут быть разделены на две группы: средства, используемые для непосредственного создания и подготовки к распространению программ, и средства, используемые для отладки и тестирования работы создаваемой программы.

  2. Система элементов, характеризующих обстановку совершения преступлений, связанных с созданием, использованием и распростране нием вредоносных программ, должна включать в себя программно- технический элемент, определяющий возможность совершения тех или иных действий преступником или самой вредоносной программой в су ществующей программно-технической среде, а также комплексный эле мент, характеризующий используемые меры защиты информации.

168

  1. Следы внедрения, воздействия и функционирования вредоносных программ в компьютерных системах, следы воздействия оказывае- мого самим преступником на компьютерную информацию можно разделить на пять основных групп: следы изменения файловой структуры, системных областей машинных носителей информации и постоянной энергонезависимой памяти; следы изменения настроек ЭВМ и отдельных программ; следы нарушения работы ЭВМ и отдельных программ; следы воздействия на системы защиты и конфиденциальность информации; иные проявления воздействия и функционирования вредоносных программ (аудио-, видеоэффекты и другие).
  2. Классификация лиц, совершающих преступления в сфере ком- пьютерной информации, должна включать в себя особую группу - «диверсантов». Основным характеризующим признаком этой группы является направленность действий преступников на достижение определенной цели - подрыв экономической безопасности и обороноспособности страны, и обусловленное ею воздействие, направленное на определенные системы, обладающие рядом специфических свойств.
  3. На первоначальном этапе расследования преступлений, свя- занных с созданием, использованием и распространением вредоносных программ можно выделить три наиболее вероятных типичных следственных ситуации:

1) Известны лишь некоторые лица (лицо), совершившие преступ- ления, связанные с выявленным фактом создания, использования или распространения вредоносной программы. 2) 3) Известны все лица (лицо), совершившие преступления, связанные с выявленным фактом создания, использования или распространения вредоносной программы. 4) 5) Лица (лицо), совершившие преступления, связанные с выявлен- ным фактом создания, использования или распространения вредоносной программы, неизвестны. 6)

169

  1. К общим версиям по делам рассматриваемой категории можно отнести следующие версии:

1) Совершено преступление, связанное с созданием вредоносных программ; 2) 3) Совершено преступление, связанное с использованием вредо- носных программ; 4) 5) Совершено преступление, связанное с распространением вредо- носных программ или машинных носителей с такими программами; 6) 7) Совершено преступление в сфере компьютерной информации без использования вредоносных программ; 8) 9) Совершено преступление, не относящееся к преступлениям в сфере компьютерной информации; 10) 11) Преступления совершено не было, при этом заявитель добросо- вестно заблуждается; 12) 13) Заявление о преступлении ложное. 14) Среди частных версий особо следует выделить версии о характере и реальном размере нанесенного ущерба, версии о лицах, причастных к совершению преступления, включая лиц, создавших, внедривших, использовавших и распространявших вредоносные программы, а также версии о возможных направлениях распространения вредоносных программ и области возможного поражения ими.

  1. Классификация программных средств, используемых в ходе проведения следственных действий, по основным направлениям их ис пользования включает в себя пять групп: для получения информации о входящих в состав компьютерных систем и подключенных к ним уст ройствам, включая их техническое состояние, настройки и конфигура цию; для получения информации о файловой структуре машинных но сителей информации; для выявления внедренных и функционирующих в компьютерной системе вредоносных программ; для получения инфор мации о функционирующих на момент осмотра программах, находя щихся в оперативной памяти ЭВМ, о содержимом буфера памяти ЭВМ;

170

для определения настроек программ, просмотра и иного воспроизведения содержимого файлов.

  1. Проблемы проведения судебной компьютерно-технической экспертизы и иных исследований, связанных со специфическими объектами, по делам рассматриваемой категории имеет огромное значение и требует самостоятельной научной проработки.
  2. Без предварительного решения вопроса об отнесении какой-либо программы к категории вредоносных, нельзя решить вопрос о воз- буждении уголовного дела по признакам ст. 273 УК РФ. Препятствием к назначению экспертизы для решения вопроса об относимости программы к вредоносным является невозможность назначения экспертизы до возбуждения уголовного дела, в то время как дело нельзя возбудить без решения этого вопроса. Эту общую коллизию, характерную не только для преступлений рассматриваемой категории, предлагается решить одним из двух способов: 1) предать результатам предварительных исследований значение источника доказательств, хотя бы на стадии возбуждения уголовного дела; 2) разрешить, в случаях, когда принятие решения о возбуждении уголовного дела невозможно без производства экс- пертизы, проведение экспертиз до возбуждения уголовного дела.
  3. В настоящее время можно говорить о сложившейся в кримина- листике системе приемов цифровой фиксации доказательственной ин- формации. В эту систему должны войти три основных приема фиксации цифровой информации: сохранение цифровой информации на машинном носителе (цифровая фотография, звукозапись, цифровая запись данных различных приборов и т.д.); копирование существующих файлов на машинный носитель информации; создание образов машинных носителей информации.
  4. Расследование любого преступления, в том числе и преступления, связанного с созданием, использованием распространением вредо- носных программ нельзя считать завершенным, до тех пор, пока не будут выявлены и устранены все обстоятельства, способствующие их со-

•>

171

верш ению. С учето м возм ожны х спосо бов совер шени я прест уплен ий рассм атрив аемо й катег ории, для их пред упре жден ия могут иметь значе ние как обсто ятель ства, спосо бству ющие непра воме рном у досту пу, так и обсто ятель ства, спосо бству ющие непос редст венно созда нию, испол ь- зован ию и расп ростр анени ю вредо носн ых прог рамм .

Таки м образ ом, прове денно е иссле дован ие показ ало, что проб лемы рассл едова ния прест уплен ий, связа нных с созда нием, испол ьзова нием и расп ростр анени ем вредо носн ых прог рамм , можн о отнес ти к числу слож ных и слабо разра ботан ных. Отде льны е поло жени я и выво ды дис- серта цион ного иссле дован ия в силу новиз ны само й проб лемы и мало го объе ма эмпи ричес кого матер иала в этой облас ти в извес тной мере дис- кусси онны. Прав ильн ость и объек тивно сть теоре тичес ких поло жени й, а также выво дов и пред ложе ний, сфор мули рова нных в рамк ах диссе рта- цион ного иссле дован ия може т быть доказ ана тольк о практ икой, котор ая безус ловн о скор ректи рует, разов ьет и обога тит полу ченн ые резул ьтаты .

172

Список использованных источников и литературы

Нормативно-правовые акты

  1. Конституция Российской Федерации. - М.: Юридическая литература, 1993.-96 с.
  2. Уголовный кодекс Российской Федерации // Собрание законодательства Российской Федерации, 17 июня 1996 года, № 25, ст.2954.
  3. Уголовно-процессуальный кодекс Российской Федерации от 18 декабря 2001 года № 174-ФЗ // Российская газета, 22 декабря 2001 года.
  4. Уголовно-процессуальный кодекс РСФСР от 27 декабря 1960 года (в последней редакции Федерального закона от 9 марта 2001 г. № 25-ФЗ «О внесении изменений и дополнений в Уголовный кодекс Российской Федерации, Уголовно-процессуальный кодекс РСФСР, Уголовно- исполнительный кодекс Российской Федерации и другие законодательные акты Российской Федерации» // Собрании законодательства Российской Федерации от 12 марта 2001 г., № 11, ст. 1002).
  5. Соглашение о сотрудничестве государств - участников Содружества Независимых Государств в борьбе с преступлениями в сфере компьютерной информации (Минск, 01 июня 2001 года).
  6. Доктрина информационной безопасности Российской Федерации от 09 сентября 2000 года № ПР-1895 // Российская газета, 28 сентября 2000 года, № 187.
  7. Закон Российской Федерации от 27 декабря 1991 года № 2124-1 «О средствах массовой информации» // Ведомости Съезда народных депутатов Российской Федерации и Верховного Совета Российской Федерации от 13 февраля 1992 г., № 7, ст. 300.
  8. Закон Российской Федерации от 21 июля 1993 года № 5485-1 «О Государственной тайне» // Собрание законодательства Российской Федерации от 13 октября 1997 года, № 41, ст.4673 (в редакции Федерального закона Российской Федерации от 6 октября 1997 года № 131-ФЗ).
  9. Федеральный закон Российской Федерации от 29 декабря 1994 года № 77-ФЗ «Об обязательном экземпляре документов» // Собрании законодательства Российской Федерации от 2 января 1995 года, № 1, ст. 1.

173

  1. Федеральный закон Российской Федерации от 20.02.1995 года № 24-ФЗ «Об информации, информатизации и защите информации» // Собрание законодательства Российской Федерации, 1995, № 8, ст.609.
  2. Федеральный закон Российской Федерации от 03.04.1995 года № 40-ФЗ «Об органах федеральной службы безопасности в Россий- ский Федерации» // Собрание законодательства РФ, № 15, ст. 1269.
  3. Федеральный закон Российской Федерации от 12.08.1995 года № 114-ФЗ «Об оперативно-розыскной деятельности» // Собрание законодательства РФ, 1995, № 33, ст.3349.
  4. Федеральный закон Российской Федерации от 04.07.1996 года № 85-ФЗ «Об участии в международном информационном обмене» // Собрание законодательства Российской Федерации от 8 июля 1996 года, №28, ст. 3347.
  5. Федеральный закон Российской Федерации от 25.07.1998 года № 130-ФЗ «О борьбе с терроризмом»//Ведомости Федерального Собрания Российской Федерации, 1998, № 24.
  6. Федеральный закон Российской Федерации от 31 мая 2001 года № 73-ФЗ «О государственной судебно-экспертной деятельности в Российской Федерации» // Собрание законодательства Российской Федерации, 2001, № 23, ст.2291.
  7. Федеральный закон Российской Федерации от 25 июля 2002 года № 114-ФЗ «О противодействии экстремистской деятельности» // Собрание законодательства Российской Федерации, 2002, № 30, ст.3031.
  8. Закон Российской Федерации от 23 сентября 1992 года № 3523- 1 «О правовой охране программ для электронных вычислительных машин и баз данных» // Ведомости Съезда народных депутатов Рос- сийской Федерации и Верховного Совета Российской Федерации, 1992,№42,ст.2325.
  9. Закон Российской Федерации от 5 марта 1992 года № 2446/1-1 «О безопасности» // Ведомости Совета народных депутатов и Верховного Совета РФ, 1992. № 15. ст.769.
  10. Закон Российской Федерации от 23 сентября 1992 года № 3526- 1 «О правовой охране топологий интегральных микросхем» // Ведомости Съезда Народных Депутатов Российской Федерации и Верховного Совета Российской Федерации от 22 октября 1992 г., № 42, ст.2328

174

  1. Закон Российской Федерации «Об авторском праве и смежных правах» от 9 июля 1993 года с изменениями и дополнениями, внесенными Федеральным законом от 19 июля 1995 года // Ведомости Съезда народных депутатов Российской Федерации и Верховного Совета Российской Федерации, 1993, № 32, ст. 1242; Собрание законодательства Российской Федерации, 1995, № 30, ст.2866.
  2. Закон Российской Федерации от 19 февраля 1993 года № 4524-1 «О федеральных органах правительственной связи и информации» // Ведомостях Съезда народных депутатов Российской Федерации и Верховного Совета Российской Федерации от 25 марта 1993 года, № 12, ст. 423 ( в редакции Федерального закона от 7 ноября 2000 года№ 135-ФЗ).
  3. Указ Президента Российской Федерации от 14 июня 94 года № 1226 «О неотложных мерах по защите населения от бандитизма и иных проявлений организованной преступности //Российская газета, 17 июня 1994 года.
  4. Указ Президента Российской Федерации от 30 ноября 1995 года № 1203 «Об утверждении перечня сведений, отнесенных к государственной тайне» // Собрание законодательства Российской Федерации от 4 декабря 1995 года, № 49, ст. 4775 (в редакции Указов Президента РФ от 24 января 1998 года №61, от 6 июня 2001 года № 659, от 10 сентября 2001 года № 1114).
  5. Указ Президента Российской Федерации от 7.03.96 г. № 338 «О мерах по усилению борьбы с терроризмом» // Собрание законодательства РФ, 1996, ст. 1027.
  6. Указ Президента Российской Федерации от 6 июля 1998 года № 806 «Об утверждении Положения о Федеральной службе безопасности Российской Федерации и ее структуры» // Собрание законодательства Российской Федерации от 13 июля 1998 года, № 28, ст. 3320 (в редакции Указов Президента РФ от 26 августа 1998 года № 990, от 5 октября 1998 года № 1181, от 4 января 1999 года № 14, от 28 августа 1999 года № 1131, от 17 июня 2000 года № 1109, от 11 июня 2001 года №694).
  7. Указ Президента Российской Федерации от 10 января 2000 года № 24 «О Концепции национальной безопасности Российской Федерации» // Собрание законодательства Российской Федерации, 2000, №2, ст. 170.

175

  1. Постановление Правительства Российской Федерации от 31 мая 2001 года № 428 «О представлении Президенту Российской Федерации предложения о подписании Соглашения о сотрудничестве государств - участников Содружества Независимых Государств в борьбе с преступлениями в сфере компьютерной информации» // Собрание законодательства Российской Федерации, 2001, № 23, ст.2385.
  2. Постановление Центральной избирательной комиссии Российской Федерации от 09 июля 1999 года № 7/41-III «Об утверждении Положения об обеспечении информационной безопасности государственной автоматизированной системы Российской Федерации «Выборы».
  3. Правовое руководство ЮНСИТРАЛ по электронному переводу средств (подготовлено секретариатом Комиссии Организации Объединенных Наций по праву международной торговли, Нью-Йорк, 1987 г.)
  4. ГОСТ 28147-89. Системы обработки информации. Защита крипто- графическая. Алгоритм криптографического преобразования. - 10 с.
  5. ГОСТ Р 50922-96. Защита информации. Основные термины и опре- деления.
  6. ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.
  7. ГОСТ 6.10.4-84 Унифицированные системы документации. Придание юридической силы документам на машинном носителе и машинограмме, создаваемыми средствами вычислительной техники.
  8. Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требований по защите информации. Классификация автоматизированных систем и требований по защите информации. - М.: Воениздат, 1992.
  9. Гостехкомиссия России. Руководящий документ. Защита от несанк- ционированного доступа к информации. Термины и определения. -М.: Воениздат, 1992.

176

  1. Гостехкомиссия России. Руководящий документ. Защита от несанкционированного доступа к информации. Концепция защиты средств вычислительной техники и автоматизированных от несанкционированного доступа к информации. - М.: Воениздат, 1992.
  2. Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. - М.: Воениздат, 1992.
  3. Гостехкомиссия России. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники. - М: Воениздат, 1992.
  4. Материалы уголовных дел

  5. Уголовное дело № 016496 по обвинению Лукьянова Р.В. в совершении преступления, предусмотренного ч. 1 ст.273 УК РФ.
  6. Уголовное дело № 176709 по обвинению Флягина А.А. в совершении преступления, предусмотренного ч.1 ст.273 УК РФ.
  7. Уголовное дело № 844319 по обвинению Дудрова А.Б. и Дудрова Б.И. в совершении преступлений, предусмотренных ч.2 ст.35 УК РФ, ч.2 ст. 183 УК РФ, ч.2 ст. 165 УК РФ, ч.З ст. 165 УК РФ, ч.2 ст.272 УК РФ, п.п. «а», «б» ч.2 ст. 171 УК РФ, и Аксенова С.Н. в совершении преступления, предусмотренного ч.2 ст.272 УК РФ.
  8. Уголовное дело № 530690 по обвинению Гугняева М.Г. в совершении преступления, предусмотренного ч.1 ст.273 УК РФ.
  9. Уголовное дело № 60-99-05 по обвинению Горбунова В.Ю., Дунаевой М.Р., Чекалина В.В. в совершении преступления, предусмотренного ч.З ст. 30 УК РФ, ч.2 ст.272 УК РФ.
  10. Уголовное дело № 6609 по обвинению Шрафи Абед Маттера и Кайед Фади Камеля, в преступлениях, предусмотренных п.«б» ч.З ст. 165 УК РФ, ч.2 ст.35, ч.1 ст. 183 УК РФ, ч.2 ст.35, ч.2 ст. 183 УК РФ, ч.2 ст.272 УК РФ, ч.2 ст.35, п. «б» ч.2 ст. 171 УК РФ.

177

  1. Уголовное дело № 73129 по обвинению Турунина Н.К. и Курдиной Е.В. в совершении преступления, предусмотренного ч.2 ст.272 УК РФ.
  2. Уголовное дело № 97143995 по обвинению Лопатина А.Н. и Макеева А.Н. в совершении преступлений, предусмотренных ч.2 ст.272 УК РФ и п.«а» ч.З ст. 165 УК РФ.
  3. Уголовное дело № 30 по обвинению Г. в совершении преступлений, предусмотренных ч.З ст. 30 УК РФ и ч.2 ст. 272 УК РФ, ч.2 ст. 272 УК РФ, ч.1 ст. 273 УК РФ, ч.4 ст. 33 УК РФ и чЛ ст.273 УК РФ, ч.4 ст. 150 УК РФ, ч.1 и ч.2 ст. 165 УК РФ, и по обвинению П. в совершении преступлений, предусмотренных ч.2 ст.272 УК РФ и ч.1 ст.273 УК РФ.
  4. Уголовное дело № 844498 по обвинению Л.В. и Л.П. в совершении преступлений, предусмотренных ч.2 ст.35 УК РФ, ч.1. ст.273 УК РФ, ч.2. ст. 146 УК РФ.
  5. Уголовное дело № 77772 по обвинению П. в совершении преступлений, предусмотренных ч. 1 ст. 327 УК РФ, ч. 1 ст. 183 УК РФ, ч.2. ст. 183 УК РФ, ч.1. ст.273 УК РФ, ч.2 ст. 272 УК РФ, ч.З ст. 165 УК РФ.
  6. Уголовное дело № 010317 по обвинению Ч. в совершении преступлений, предусмотренных ч.2 ст. 272 УК РФ, п. «б» ч.З ст. 159 УК РФ, и 3. в совершении преступления, предусмотренного п. «б» ч.З ст. 159 УК РФ.
  7. Уголовное дело № 011678 по обвинению Ф. в совершении преступлений, предусмотренных ст. 242 и ч.2 ст.272 УК РФ.
  8. Уголовное дело № 444800 по обвинению П. в совершении преступления, предусмотренного ч. 2 ст.272 УК РФ, ч.1 ст. 165 УК РФ.
  9. Уголовное дело № 73129 по обвинению Т. и К. в совершении преступления предусмотренного ч.2 ст. 272 УК РФ.
  10. Уголовное дело № 9010076 по обвинению М. и Н. в совершении преступления, предусмотренного ч.2 ст. 272 УК РФ, ч.1 и ч.2 ст. 183 УК РФ.
  11. Уголовное дело № 9983239 по обвинению Ш. и других по ч. 2 ст. 272 УК РФ.
  12. Уголовное дело № 444800 по обвинению П. в совершении преступлений, предусмотренных ч.2 ст.272 УК РФ, ч.1 ст. 165 УК РФ.

178

  1. Уголовное дело № 1010055 по обвинению X. в совершении преступлений, предусмотренных ч.2 ст.272 УК РФ, ч.1 ст. 165 УК РФ.

Открытая литература

  1. Аванесов Г.А. Теория и методология криминологического прогнозирования. - М.: Юридическая литература, 1972. - 334 с.
  2. Аверьянова Т.В., Белкин Р.С, Корухов Ю.Г., Российская Е.Р. Криминалистика. Учебник для вузов. / Под ред. Заслуженного деятеля науки Российской Федерации, профессора Р.СБелкина. - М.: Издательская группа НОРМА-ИНФРА’М, 1999. - 990 с.
  3. Агапов А.Б. Основы федерального информационного права Рос- сии. - М.: Экономика. 1995. - 145 с.
  4. Айков Д., Сейгер К., Фонсторх У. Компьютерные преступления. Руководство по борьбе с компьютерными преступлениями: Пер. с англ. - М: Мир, 1999. - 351 с.
  5. Андреев Б.В., Пак П.Н., Хорст В.П. Расследование преступлений в сфере компьютерной информации. - М.: ООО Издательство «Юр- литинформ», 2001. - 152 с.
  6. Анин Б.Ю. Защита компьютерной информации. - СПб.: БХВ - Санкт-Петербург, 2000. - 384 с.
  7. Астапкина СМ. Тактика обыска и выемки: Лекция. - М.: Академия МВД СССР, 1989.-20 с.
  8. Баев О.Я. Основы криминалистики: курс лекций. - М.: Экзамен, 2001.-288 с.
  9. Баев О.Я. Содержание и формы криминалистической тактики. - Воронеж: Изд-во Воронежского университета, 1975. - 59 с.
  10. Баев О.Я. Тактика следственных действий: Учебное пособие. - Воронеж: Изд-во Воронежского университета, 1992. - 205 с.
  11. Баранов А.К., Цветков СИ. Компьютерные системы поддержки принятия следователем тактических решений. - М.: Академия МВД РФ, 1992.- 110 с.
  12. Батурин Ю.М. Проблемы компьютерного права. - М.: Юридическая литература, 1991.-271 с.

179

  1. Батурин Ю.М., Жодзишский A.M. Компьютерная преступность и компьютерная безопасность. - М.: Юридическая литература, 1991. -160 с.
  2. Безруков Н.Н. Классификация компьютерных вирусов MS DOS и методы защиты от них. - М.: СП «ICE», 1990. - 48 с.
  3. Безруков Н.Н. Компьютерная вирусология: Справочное руководство. - Киев: Украинская советская энциклопедия, 1991. - 416 с.
  4. Безруков Н.Н. Компьютерные вирусы. - М.: Наука, 1991. - 158 с.
  5. Белкин П.Ю., Михальский О.О., Першаков А.С. и др. Программно- аппаратные средства обеспечения информационной безопасности. Защита программ и данных: Учебное пособие для вузов. - М.: Радио и связь, 1999.- 168 с.
  6. Белкин Р.С. Азбука следователя. - М.: Юридическая литература, 1997.- 109 с.
  7. Белкин Р.С. Криминалистика: проблемы сегодняшнего дня. Злобо- дневные вопросы российской криминалистики. - М.: Издательство НОРМА (Издательская группа НОРМА-ИНФРА»М), 2001. - 240 с.
  8. Белкин Р.С. Криминалистика: проблемы, тенденции, перспективы. Общая и частные теории. - М.: Юристъ, 1987. - 270 с.
  9. Белкин Р.С. Криминалистика: проблемы, тенденции, перспективы. От теории к практике. - М.: Юристъ, 1988. - 302 с.
  10. Белкин Р.С. Криминалистика: Учебный словарь-справочник. - М.: Юристъ, 1999.-266 с.
  11. Белкин Р.С. Курс криминалистики: Учебное пособие для вузов. -М.: ЮНИТИ-ДАНА, Закон и право, 2001.-837 с.
  12. Белкин Р.С. Очерки криминалистической тактики: Учебное пособие. - Волгоград: ВСШ МВД РФ, 1993. - 200 с.
  13. Божкова Н.Р., Власенко В.Г., Комиссаров В.И. Следственная (кри- миналистическая) тактика. Учебное пособие. Часть 1. - Саратов: Саратовская государственная академия права, 1996. - 126 с.
  14. Васильев А.Н. Следственная тактика. - М.: Юридическая литература, 1976.- 196 с.

180

  1. Васильев А.Н. Тактика отдельных следственных действий. - М.: Юридическая литература, 1981. - 112 с.
  2. Васильев А.Н., Яблоков Н.П. Предмет, система и теоретические основы криминалистики. - М.: Изд-во Московского университета, 1984.- 143 с.
  3. Вехов В.Б. Компьютерные преступления: Способы совершения и раскрытия / Под ред. акад. Б.П.Смагоринского. - М.: Право и Закон, 1996.- 182 с.
  4. Вехов В.Б. Криминалистическая характеристика и совершенствование практики расследования и предупреждения преступлений, совершаемых с использованием средств компьютерной техники: Дис. … канд. юрид. наук: 12.00.09. - Волгоград, 1995. - 282 с.
  5. Вехов В.Б. Криминалистическая характеристика и совершенствование практики расследования и предупреждения преступлений, совершаемых с использованием средств компьютерной техники: Ав-тореф. дис. … канд. юрид. наук: 12.00.09. - Волгоград, 1995. - 27 с.
  6. Взаимодействие следователя и эксперта-криминалиста при произ- водстве следственных действий: Учебное пособие. / Под ред. И.Н.Кожевникова. - М.: ЭКЦ МВД РФ, 1995. - 134 с.
  7. Волеводз А.Г. Противодействие компьютерным преступлениям: правовые основы международного сотрудничества. - М.: ООО Издательство «Юрлитинформ», 2002. - 496 с.
  8. Волчецкая Т.С. Моделирование криминальных и следственных си- туаций: Учебное пособие. - Калининград: Калининградский госу- дарственный университет, 1994. - 43 с.
  9. Гаврилин Ю.В. Расследование неправомерного доступа к компью- терной информации. Автореферат диссертации канд. юрид. наук. Москва,
    • 24 с.
  10. Гаврилин Ю.В. Расследование неправомерного доступа к компью- терной информации: Учебное пособие / Под ред. профессора Н.Г.Шурухнова. - М.: ЮИ МВД РФ, Книжный мир, 2001. - 88 с.
  11. Гаврилов О.А. Компьютерные технологии в правоохранительной деятельности: Учебное пособие. - М.: Издательская группа НОР-МА- ИНФРА-М, 1999. - 108 с.
  12. Гайкович В.Ю., Ершов Д.В. Основы безопасности информационных технологий. - М.: МИФИ, 1995. - 365 с.

181

  1. Галатенко В.А. Информационная безопасность: практический подход. - М.: Наука, 1998. - 301 с.
  2. Герасименко В.А. Защита информации в автоматизированных системах обработки данных. В 2-х кн.: Кн.1.- М.: Энергоатомиздат, 1994.-400 с.
  3. Герасименко В.А., Милюк А.А. Основы защиты информации. - М.: Московский государственный инженерно-физический институт (Технологический университет), 1997. - 538 с.
  4. Глушков Н.В., Тройнин В.И., Тямкин А.В. Основы предупреждения и раскрытия преступлений подразделениями вневедомственной охраны: Учебное пособие. - Воронеж: ВВШ МВД России, 1996. - 86 с.
  5. Горбатов B.C., Полянская О.Ю. Мировая практика криминализации компьютерных правонарушений: Аналитический обзор/ Министерство общего и профессионального образования РФ Московский государственный инженерно-физический институт (Технологический университет). Факультет «Информационная безопасность». Кафедра «Компьютерное право». - М., 1998. - 127 с.
  6. Горяинов К.К., Кваша Ю.Ф., Сурков К.В. Федеральный закон «Об оперативно-розыскной деятельности»: Комментарий. - М.: Новый юрист, 1997. - 155 с.
  7. Гульев И.А. Создаем вирус и антивирус. - М.: ДМК, 1999. - 304 с.
  8. Гунтарь К.Ю., Гунтарь А.Ю., Янишевский Д.А. Защита информации в компьютерных системах. - Киев: «Коршйчук», 2000. - 152 с.
  9. Девис П., Льюис Б. Компьютерная безопасность для «чайников».: Пер. с англ. - К.: Диалектика, 1997. - 272 с.
  10. Домашев А.В., Попов В.О., Правиков Д.И., Прокофьев И.В., Щербаков А.Ю. Программирование алгоритмов защиты информации: Учебное пособие. - М.: «Нолидж», 2000. - 288 с.
  11. Драпкин Л.Я. Основы теории следственных ситуаций.- Сверд- ловск: Изд-во Уральского университета, 1987. - 163 с.
  12. Драпкин Л.Я., Долинин В.Н. Тактика отдельных следственных действий. - Екатеринбург: ЕВШ МВД РФ, 1994. - 31 с.
  13. Дубровинская Л.П., Лузгин И.М. Планирование расследования: Учебное пособие. - М.: ВШ МВД СССР, 1972. - 54 с.

182

  1. Ермолович В.Ф. Криминалистическая характеристика преступлений. - Мн.: Амалфея, 2001. - 304 с.

ПО. Защита информации в компьютерных системах. Под ред. Э.М.Шмакова - СПб.: Изд-во Санкт-Петербургского государственного технологического университета, 1993. - 100 с.

  1. Защита прав создателей и пользователей программ для ЭВМ и баз данных (комментарий российского законодательства): Сборник статей. / Терещенко Л.К., Волчинская Е.К., Виталиев Г.В., Подшиби-хин Л.И. и др. - М.: Российская правовая академия МЮ РФ, 1996. -324 с.
  2. Зинин A.M., Майлис Н.П. Судебная экспертиза. Учебник. - М.: Право и закон; Юрайт-Издат, 2002. - 320 с.
  3. Зорин Г.А. Использование криминалистических игр, инверсий, эф- фектов и тактических ловушек при расследовании, обвинении и защите по уголовным делам. Учебно-практическое пособие. - М.: ООО Издательство «Юрлитинформ», 2002. - 360 с.
  4. Зорин Г.А. Криминалистическая методология.- Мн.: Амалфея, 2000. - 608 с.
  5. Зорин Г.А. Руководство по тактике допроса. Учебно-практическое пособие. - М.: ООО Издательство «Юрлитинформ», 2001. - 320 с.
  6. Информатика в терминах и определениях российского законода- тельства. Под ред. В.А.Никитова. - М.: Славянский диалог, 2000. -431 с.
  7. Касаткин А.В. Тактика собирания и использования компьютерной информации при расследовании преступлений: Автореф. дис. … канд. юрид. наук: 12.00.09 / Юридический институт.- М., 1997. -23 с.
  8. Касперски Крис Техника и философия хакерских атак,- М.: Со-лон-Р,
    • 272 с.
  9. Касперский Е.В. Компьютерные вирусы в MS DOS.- M.: ЭДЭЛЬ, 1992.- 176 с.
  10. Касперский Е.В. Компьютерные вирусы: что это такое и как с ними бороться. - М.: СК Пресс, 1998. - 288 с.

183

  1. Катков С.А., Собецкий И.В., Федоров А.Л. Подготовка и назначение программно-технической экспертизы. Методические рекомендации // Бюллетень ГСУ России. № 4, 1995.
  2. Кирсанов З.И. Криминалистические учения о механизме преступления и его отражении. Лекция. - М.: Войсковая часть 33965,
  3. -28 с.
  4. Кирсанов З.И. Теоретические основы криминалистики: Учебное пособие. - М.: Войсковая часть 33965, 1998. - 201 с.
  5. Коваль И. Как написать компьютерный вирус. Практика программирования на ассемблере. - СПб.: Символ-Плюс, 2000. - 192 с.
  6. Кокурин Г.А. Криминалистические и оперативно-розыскные основы поисковой деятельности в процессе раскрытия и расследования преступлений: Монография. - Екатеринбург: Уральский юридический институт МВД России, 1999. - 213 с.
  7. Колкутин В.В., Зосимов СМ., Пустовалов Л.В., Харламов С.Г., Аксенов С.А. Судебные экспертизы. - М.: ООО Издательство «Юрли-тинформ», 2001. - 288 с.
  8. Комментарий к Уголовному кодексу Российской Федерации / Отв. ред. профессор А.В.Наумов. - М.: Юристъ, 1996. - 824 с.
  9. Комментарий к Уголовно-процессуальному кодексу РСФСР. - М.: Издательство «Спарк», 1995. - 613 с.
  10. Копылов В.А. Информационное право: Учебное пособие. - М.: Юристъ, 1997.-472 с.
  11. Кореневский Ю.В., Токарева М.Е. Использование результатов оперативно-розыскной деятельности в доказывании по уголовным делам. Методическое пособие. - М.: ООО Издательство «Юрлитин- форм», 2000. - 152 с.
  12. Корухов Ю.Г. Криминалистическая диагностика при расследовании преступлений. Научно-практическое пособие. - М.: Издательская группа НОРМА-ИНФРА-М, 1998. - 288 с.
  13. Криминалистика: Краткая энциклопедия / Авт. сост. Р.С.Белкин.- М.: Большая Российская энциклопедия, 1993. - 111 с.
  14. Криминалистика: Учебник / Отв. ред. Н.П.Яблоков.- М.: Юристъ, 2001.-718с.

184

  1. Криминалистика: Учебник / Под ред. В.А.Образцова. - М: Юристъ, 1999.-735 с.
  2. Криминалистика: Учебник / Под ред. И.Ф.Пантелеева, Н.А.Селиванова. - М.: Юридическая литература, 1993. - 592 с.
  3. Криминалистика: Учебник для вузов. / Под ред. И.Ф.Герасимова, Л.Я.Драпкина. - М.: Высшая школа, 2000. - 672 с.
  4. Криминалистика: Учебник для вузов/ А.Ф.Волынский, Т.В.Аверьянова, И.Л.Александрова и др.; Под ред. проф. А.Ф.Волынского.- М.: Закон и право, ЮНИТИ-ДАНА, 1999.-615 с.
  5. Криминалистический словарь: Пер.: с нем.- М.: Юридическая ли- тература, 1993. - 192 с.
  6. Криминалистическое обеспечение деятельности криминальной милиции и органов предварительного расследования / Под ред. проф. Т.В.Аверьяновой и проф. Р.С.Белкина. - М.: Новый юрист, 1997. -400 с.
  7. Крылов В.В. Информационные компьютерные преступления.- М.: Издательская группа ИНФРА-М-НОРМА, 1997. - 285 с.
  8. Крылов В.В. Расследование преступлений в сфере информации.-М.: Издательство «Городец», 1998. - 264 с.
  9. Курс криминалистики. Общая часть. / Отв. ред. В.Е.Корноухов. -М.: Юристъ, 2000. - 784 с.
  10. 143.Курушин В.Д., Минаев В.А. Компьютерные преступления и ин- формационная безопасность. М: Новый Юрист, 1998. - 256 с.

  11. Левин М. Как стать хакером: Справочник.- М.: Оверлей, 2001. -326 с.
  12. Левин М. Методы хакерских атак. - М.: Познавательная книга плюс, 2001.-224 с.
  13. Левин М. Руководство для хакеров. - М.: Оверлей, 2001. - 416 с.
  14. Левин М. Руководство для хакеров: Книга вторая: Электронные корсары. - М.: Оверлей, 2001. - 416 с.
  15. Левин М. Секреты компьютерных взломщиков: Крэкинг. - М.: По- знавательная книга плюс, 2001. - 224 с.

185

  1. Леонтьев Б. Хакеры & Internet. - М.: Познавательная книга, 1998. -430 с.
  2. Леонтьев Б. Хакеры, взломщики и другие информационные убийцы. - М: Познавательная книга, 1999. - 192 с.
  3. Леонтьев Б. Хакинг без секретов. - М: Познавательная книга Плюс,
    • 736 с.
  4. Максимов В.Ю. Незаконное обращение с вредоносными программами для ЭВМ: проблемы криминализации, дифференциации ответственности и индивидуализации наказания. Автореф. дисс. … канд. юрид. наук: 12.00.08 / Кубанский государственный университет. - Краснодар, 1998. - 23 с.
  5. Малахов В.П. Логика построения следственных версий: Лекция.- М.:МЮИ, 1996.-26 с.
  6. Мафтик С. Механизмы защиты в сетях ЭВМ: Пер. с англ.- М.: Мир,- 1993.-216 с.
  7. Махтаев М.Ш. Основы теории криминалистического предупреждения преступлений: Монография. - М.: Раритет, 2001. - 272 с.
  8. Медведовский И.Д., Семенов П.В., Платонов В.В. Атака через INTERNET / Под науч. ред. проф. П.Д.Зегжды. - СПб: Мир и семья-95, 1997.- 296 с.
  9. Мельников В.В. Защита информации в компьютерных системах.-М.: Финансы и статистика; Электроинформ, 1997. - 368 с.
  10. Мячев А.А. Персональные ЭВМ: краткий энциклопедический спра- вочник. - М.: Финансы и статистика, 1992. - 384 с.
  11. Нанс Б. Компьютерные сети: Пер. с англ. - М.: Восточная Книжная Компания, 1996.-400 с.
  12. Образцов В.А. Выявление и изобличение преступника,- М.: Юристъ, 1997.-333 с.
  13. Основы криминалистики: Учебное пособие для вузов. / Под ред. И.Ф.Пантелеева. - М.: ВЮЗИ, 1988. - 357 с.
  14. Пантелеев И.Ф. Теоретические проблемы советской криминалистики: Учебное пособие. - М.: ВЮЗИ, 1980. - 96 с.

186

  1. Панфилова Е.И., Попов А.Н. Компьютерные преступления: Серия «Современные стандарты в уголовном праве и уголовном процессе» / Науч. редактор проф. Б.В.Волженкин. - СПб: Санкт-Петербургский юридический институт Генеральной прокуратуры Российской Федерации, 1998. - 48 с.
  2. Петраков А.В. Введение в электронную почту. - М.: Финансы и ста- тистика, 1993.-208 с.
  3. Петраков А.В. Защита и охрана личности, собственности, информации: Справочное пособие. - М.: Радио и связь, 1997. - 320 с.
  4. Петров А.А. Компьютерная безопасность. Криптографические методы защиты. - М.: ДМК, 2000. - 448 с.
  5. Петровский А., Леонтьев Б. Эффективный хакинг для начинающих и не только. /Кратко, доступно, просто/. - М: Познавательная книга плюс, 1999.- 192 с.
  6. Пилюгин П.Л. Компьютерные вирусы. Курс лекций. - М.: Войсковая часть 33965, 1991. - 108 с.
  7. Пилюгин П.Л. Общие вопросы защиты вычислительных систем и особенности защиты персональных компьютеров. Курс лекций. -М: Войсковая часть 33965, 1997. - 84 с.
  8. Подшибякин А.С. Криминалистическое прогнозирование: методо- логические аспекты. - М.: РИО Академии ФСБ РФ, 1996. - 45 с.
  9. Подшибякин А.С. Холодное оружие. Криминалистическое учение. -М: Учебно-консультационный центр «ЮрИнфоР», 1997. - 240 с.
  10. Пособие для следователя: Расследование преступлений повышенной общественной опасности. Коллектив авторов - М.: Лига Разум, 1999.-508 с.
  11. Правовая информатика и кибернетика. Учебник / Под ред. Н.С.Полевого. - М: Юридическая литература, 1993. - 528 с.
  12. Приходько А.Я. Информационная безопасность в событиях и фактах. Серия «Информационная безопасность». - М.: СИНТЕГ, 2001. -260 с.
  13. Проскурин В.Г., Крутов СВ., Мацкевич И.В. Программно-аппаратные средства обеспечения информационной безопасности. Защита в операционных системах: Учебное пособие для вузов. - М: Радио и связь,
    • 168 с.

187

  1. Ракитов А.И. Философия компьютерной революции. - М.: Политиздат, 1991.-286 с.
  2. Расследование неправомерного доступа к компьютерной информации / Под ред. Н.Г.Шурухнова. - М.: Издательство «Щит-М», 1999.-254 с.
  3. Рогозин В.Ю. Особенности расследования и предупреждения пре- ступлений в сфере компьютерной информации: Автореферат дис… канд. юрид. наук. Волгоград, 1998. - 21 с.
  4. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях/ Под ред. В.Ф. Шаньгина - М.: Радио и связь, 1999.- 328 с.
  5. Российская Е.Р., Усов А.И. Судебная компьютерно-техническая экспертиза. - М.: Право и закон, 2001. - 416 с.
  6. Руководство для следователей / Под ред. Н.А.Селиванова, В.А.Снеткова.
    • М: ИНФРА-М, 1997. - 732 с.
  7. Рыкунов В.И. Механизм управления (Монография). - М.: РЭА им. Г.В.Плеханова, 1999. - 168 с.
  8. Сахнова Т.В. Судебная экспертиза. - М.: Городец, 2000. - 368 с.
  9. Селиванов Н.А. Советская криминалистика: Система понятий. - М.: Юридическая литература, 1982. - 150 с.
  10. 185.Симкин Л.С. Программы для ЭВМ: правовая охрана (правовые средства против компьютерного пиратства). - М.: Издательство «Городец», 1998.-208 с.

  11. Следственная тактика: Учебное пособие. / Отв. ред. И.Ф.Пантелеев. - М.: ВЮЗИ, 1982. - 77 с.
  12. Следственные действия: Криминалистические рекомендации. Типовые образцы документов. / Под ред. В.А.Образцова. - М.: Юристъ, 1999.-499 с.
  13. Смирнов М.П. Комментарий оперативно-розыскного законодательства РФ и зарубежных стран. Учебное пособие. - М.: Издательство «Экзамен»,
    • 544 с.

188

  1. Соколов А.В., Степанюк О.М. Методы информационной защиты объектов и компьютерных сетей. - М.: ООО «Фирма «Издательство ACT»; СПб.: ООО «Издательство «Полигон», 2000. - 272 с. («Шпионские штучки»).
  2. Соловьев А.Б. Доказывание в досудебных стадиях уголовного процесса России. Научно-практическое пособие. - М.: ООО Издательство «Юрлитинформ», 2001. - 160 с.
  3. Соловьев А.Б. Использование доказательств при допросе на пред- варительном следствии. Методическое пособие. - М.: ООО Издательство «Юрлитинформ», 2001. - 136 с.
  4. Соловьев А.Б. Как организовать расследование. Учебно-методическое пособие. - М.: ООО Издательство «Юрлитинформ», 2000. - 88 с.
  5. Спесивцев А.В., Вегнер В.А., Крутяков А.Ю. и др. Защита информации в персональных ЭВМ. - М.: Радио и связь, МП «Веста», 1992.- 192 с.
  6. Справочная книга криминалиста / Под ред. Н.А.Селиванова. - М.: Издательство НОРМА (Издательская группа НОРМА-ИНФРА»М), 2000. - 727 с.
  7. Степанов Е.А. Управление персоналом: Персонал в системе защиты информации: Учебное пособие. - М.: Форум: ИНФРА-М, 2002. -288 с.
  8. Таили Э. Безопасность персонального компьютера / Пер. с англ. -Мн.: ООО «Попурри», 1997. - 480 с.
  9. Теоретические основы компьютерной безопасности: Учебное пособие. / Девянин П.Н., Михальский О.О., Правиков Д.И. и др. - М.: Радио и связь,
    • 192 с.
  10. Теория и практика обеспечения информационной безопасности / Под ред. П.Д.Зегжды. - М.: Издательство Агентства «Яхтсмен», 1996. - 192 с. - Серия «Защита информации» (книга вторая).
  11. Терентьев A.M. Антивирусная защита ПК в Windows 95/98/NT: Справочное руководство по антивирусным средствам ЗАО «Диалог-Наука». - М.: Перспектива, 2000. - 104 с.
  12. Терминология в области защиты информации. Справочник. - М.: ВНИИ стандарт, 1993. - 49 с.

189

  1. Толеубекова Б.Х. Компьютерная преступность: вчера, сегодня, завтра. - Караганда: Карагандинская ВШ Государственного следственного комитета Республики Казахстан, 1995. - 155 с.
  2. Толеубекова Б.Х. Организационно-правовые проблемы контроля над компьютерной преступностью: Учебное пособие. - Караганда: ВШМВДРК, 1994.-68 с.
  3. Торонин А.А. Основы инженерно-технической защиты информации. - М.: «Ось-89», 1998. - 336 с.
  4. Файтс Ф., Джонстон П., Кратц М. Компьютерный вирус: проблемы и прогноз: Пер. с англ. - М.: Мир, 1994. - 176 с.
  5. Фигурнов В.Э. IBM PC для пользователя. - М.: ИНФРА’М, 1998. -640 с.
  6. Фоменков Г.В., Азаркин А.В., Любезнов Л.Н., Ерхов Е.В. Методы и средства обеспечения безопасности в сети Интернет. Научно-практическое пособие. - М.: Войсковая часть 33965, 1997. - 112 с.
  7. Фролов А.В., Фролов Г.В. Глобальные сети компьютеров. Практическое введение в Internet, E-Mail, FTP, WWW и HTML, программирование для Windows Sockets. - M.: ДИАЛОГ-МИФИ, 1996. -288 с. - (Библиотека системного программиста; Т. 23).
  8. Фролов А.В., Фролов Г.В. Осторожно: компьютерные вирусы. - М.: ДИАЛОГ-МИФИ, 1996. - 256 с.
  9. Фэри Д. Секреты супер-хакера. - СПб: Издательский дом «Невский проспект», 1997. - 384 с.
  10. Чурилов С.Н. Криминалистическая методика: История и современность.
    • М.: Издательско-книготорговый центр «Маркетинг», 2002. -370 с.
  11. Шаталов А.С. Криминалистические алгоритмы и программы. Теория. Проблемы. Прикладные аспекты. - М.: Лига Разум, 2000. -
  12. 252 с.

  13. Шумилов А.Ю. Проблемы законодательного регулирования опера- тивно-розыскной деятельности в России: Монография. - М.: Академия ФСБ РФ, 1997.-232 с.
  14. Щербаков А.Ю. Защита от копирования. - М.: Эдель, 1992. - 80 с.

190

  1. Щербаков А.Ю. Разрушающие программные воздействия.- М.: Эдель, 1993.-63 с.

215.Яблоков Н.П. Криминалистическая методика расследования.- М.: Изд-во Московского университета, 1985. - 98 с.

  1. Ярочкин В.И. Безопасность информационных систем.- М.: «Ось-89»,
    • 320 с. (Безопасность предпринимательства).
  2. Ярочкин В.И. Информационная безопасность. Учебное пособие. -М: Международные отношения, 2000. - 400 с.
  3. Ярочкин В.И. Технические каналы утечки информации.- М.: ИП-КИР, 1994.-106 с.
  4. Ярочкин В.И., Шевцова Т.А. Словарь терминов и определений по безопасности и защите информации.- М.: «Ось-89», 1996.- 48с. (Безопасность предпринимательства).
  5. Статьи

  6. Браун Д., Гундерсон Л., Эван М. Интерактивный анализ компьютерных преступлений. / Открытые системы, №11, 2000. - С.40-49.
  7. Вир-ту-альность. / Хакер, № 1, январь 2000. - С.64-66.
  8. Внутренняя сетевая атака с целью компрометации начальника. / BYTE/Россия, № 7/8, 1999.
  9. Воронов А., Кирюшкин С. Как определить «ахиллесову пяту» в обеспечении безопасности своей информационной системы. / BYTE/Россия, № 1, 2000.- С.66-71.
  10. Востриков А. Еще раз о безопасности. / BYTE/Россия, № 8, 2000. -С.44- 54.
  11. Герасименко В.А. Защита информации в автоматизированных системах обработки данных: развитие, итоги, перспективы. // Зарубежная радиоэлектроника, № 3, 1993. - С.3-21.
  12. Герасименко В.А. Комплексная защита информации в современных системах обмена данными // Зарубежная радиоэлектроника, № 2, 1993.-С.З- 29.

191

  1. Гудков П.Б. Компьютерная преступность: возникновение, современное состояние и тенденции // Конфидент, № 4, 1995. - С. 17-25.
  2. Кадлоф А. Вирусы. / Компьютер, № 1, 1990. - С.44-47.
  3. Как защититься от макровирусов и троянских коней в Word-документах, если Вы работаете в Word 97. / BYTE/Россия, № 6/7, 2000. - 60 с.
  4. Карасик И. Математические аспекты компьютерных вирусов. / Компьютер Пресс, 1992. - № 10 - С.51-56, № 11 - С.59-69.
  5. Карасик И.Ш. Анатомия и физиология вирусов. / Интеркомпьютер, № 1, 1991,-С.39-47.
  6. Карден Филип. Охота за вирусом: взять живым или мертвым. / Сети и системы связи, № 1, 1999. - С. 108.
  7. Карден Филип. Пограничный контроль: руководство по антивирусным шлюзам. / Сети и системы связи, № 8, 1999. - С.97.
  8. Карден Филип. Средства антивирусной защиты серверов. / Сети и системы связи, № 9, 1999. - С.97.
  9. Касперски Крис. Атака на Unix. / Открытые системы, № 9, 2000. -С.54- 61.
  10. Касперски Крис. Макровирусы - «рога и копыта» конца XX века. / BYTE/Россия, № 11, 1999. - С.62-67.
  11. Касперски Крис. Почему не срабатывают антивирусы ? / BYTE/Россия, № 7/8, 1999.
  12. Касперский Е. Создать компьютер, защищенный от вирусов можно. Но заставить людей работать с ним - нельзя. / Известия, 15.08.2001 г.
  13. Касперский Е., Зенкин Д. Ареал обитания вирусов не ограничен компьютерами. / Коммерсантъ, № 92 (25 мая), 2000.
  14. Компьютерные преступления. Правовая база для борьбы с ними. / Профессионал, № 3 (19), 1997. - С.29-34.
  15. Крылов В. Криминалистические проблемы оценки преступлений в сфере компьютерной информации. / Уголовное право, № 3, июль-сентябрь, 1998.

192

  1. Курушин В.Д., Шопин А.В. Предупреждение и раскрытие преступлений, совершаемых с использованием компьютерной техники // Криминалистика и компьютерная преступность. Материалы научно-практического семинара. М., 1993. - С.4.
  2. Кустов В., Федчук А., Тугарев А., Блудилин К. Стеганография. Сокрытие информации в звуковых файлах. / BYTE/Россия, № 10,
    • С.32-39.
  3. Кустов В.Н., Федчук А.А., Поспишенко А.В. Стеганография. Со- крытие информации в графических файлах. / BYTE/Россия, № 5,
    • С.38-44.
  4. Леннон Э. Компьютерные атаки: что это такое и как с этим бороться. / BYTE/Россия, № 2, 2000. - С.51-54.
  5. Лопатин В.Н. Правовая охрана и защита коммерческой тайны. // Законодательство, № 1, 1998. - С.77-82.
  6. Лукацкий А.В. Новые грани обнаружения и отражения угроз. / Системы безопасности, связи и телекоммуникаций, № 36, 2000.
  7. Лукацкий А.В. Обман - прерогатива не только хакеров. / BYTE/Россия, № 2, 2000. - С.46-49.
  8. Лукацкий А.В. Сетевая безопасность переходит на аппаратный уровень. / BYTE/Россия, № 11, 2000. - С.62-65.
  9. Моисеенко И. Основы безопасности информационных систем. / Компьютер Пресс, №№ 10-12, 1991.
  10. Моисеенко И. Основы безопасности информационных систем. / Компьютер Пресс, №№ 10-12, 1991.
  11. Онтаньон Рамон Дж. Выгоды и опасности электронного обмена сообщениями. / LAN/Журнал сетевых решений, № 10, 2000. - С.40- 48.
  12. Онтаньон Рамон Дж. Создание эффективной системы выявления атак. / LAN/Журнал сетевых решений, № 10, 2000. - С.86-91.
  13. Панишев А. Разум под прицелом: информационные технологии против психики. / Подводная лодка, № 6, 2000. - С.38-48.
  14. Поваляев Е. Информационная безопасность или Спасение утопающих - дело рук самих утопающих. / Компьютер Пресс, № 7,
  15. -С.75-86.

193

  1. Прохоров А. Антивирус как элемент комплексной системы безо- пасности. / Компьютер Пресс, № 7, 2000. - С. 69-74.
  2. Райан Филипп. Внутренние атаки. / LAN/Журнал сетевых решений, № 4, 2000. - С.42-49.
  3. Ричардсон Р. Корпоративное антивирусное программное обеспечение. / LAN/Журнал сетевых решений, № 4, 2000. - С.42-49.
  4. Сабо Курт. Программы компьютерного андеграунда. / Планета Интернет, № 42. - С.48-49.
  5. Сырков Б. Троянские программы. / Системы безопасности, связи и телекоммуникации, № 30, 1999. - С.66-69.
  6. Трояны. Классификация. / Хакер, № 1, январь 2000. - С.62-64.
  7. Туманов Г.А. Организация как функция государственного управления // Советское государство и право. 1986. - № 1. - С.38-41.
  8. Федоров А. Защита компьютеров от хищений. / Компьютер Пресс, №7,2000.-С.38-39.
  9. Федоров А. Программная защита компьютеров и файлов. / Компьютер Пресс, № 7, 2000. - С.38-39.
  10. Федоров В. Компьютерные преступления: выявление, расследование и профилактика. / Законность, № 6, 1994. - С.44-47.
  11. Черных А.В. Обеспечение безопасности автоматизированных ин- формационных систем (уголовно-правовые аспекты) // Советское государство и право, № 6, 1990. - С.118.
  12. Черных Э., Черных А. Компьютерные хищения: как их предотвратить? // Юстиция, № 3, 1993. - С.21-22.
  13. Экономические преступления с помощью компьютера. / Телохранитель, № 4, 1996. - С.32-36.

194

Приложение 1

Схема № 1.

Схема № 2. Схема № 3. Схема № 4. Схема № 5.

Схема № 6.

Схема № 7.

Схема № 8.

Схема № 9.

Схема № 10.

Схема № 11.

Схема №12.

Схема №13.

Схемы

Классифик ация средств компьютер ной техники. Машинные носители информаци и.

Свойства файлов и каталогов.

Создание вредоносн ых программ для ЭВМ.

Классифик ации вредоносн ых программ для ЭВМ.

Способы совершени я преступлен ий, связанных с создани- ем, использова нием и распростра нением вредоносн ых про- грамм для ЭВМ. Способы создания вредоносн ых программ для ЭВМ.

Способы совершени я преступлен ий, связанных с создани- ем, использова нием и распростра нением вредоносн ых про- грамм для ЭВМ. Способы использова ния и распростра нения вредоносн ых программ для ЭВМ.

Взаимодей ствие преступник а с компьютер ной системой в процессе совершени я преступлен ий, связанных с исполь- зованием и распростра нением вредоносн ых программ для ЭВМ.

Действия направлен ные на сокрытие преступлен ий, свя- занных с созданием использова нием и распростра нением вредоносн ых программ для ЭВМ.

Средства совершени я преступлен ий, связанных с создани- ем, использова нием и распростра нением вредоносн ых про- грамм для ЭВМ.

Средства совершени я преступлен ий, связанных с создани- ем, использова нием и распростра нением вредоносн ых про- грамм для ЭВМ. Средства создания вредоносн ых про- грамм для ЭВМ.

Элементы обстановки совершени я преступлен ий, связан- ных с созданием, использова нием и распростра нением вредоносн ых программ для ЭВМ.

Специальн ые программн ые средства, осуществля ющие противоде йствие внедрению и функциони рованию вредо- носных программ для ЭВМ.

Следы совершени я преступлен ий, связанных с созданием, использова нием и распростра нением вредоносн ых про- грамм для ЭВМ.

195

Схема № 14. Лица, совершающие преступления, связанные с созданием, использованием и распространением вредоносных про- грамм для ЭВМ.

Схема № 15. Следственные ситуации, складывающиеся на первоначальном этапе расследования преступлений, связанных с соз- данием, использованием и распространением вредоносных программ для ЭВМ.

Схема № 16. Общие и частные версии, выдвигаемые на первоначальном этапе расследования преступлений, связанных с созданием, использованием и распространением вредоносных про- грамм для ЭВМ.

Схема № 17. Профаммные средства, используемые в ходе осмотров средств компьютерной техники.

Схема № 18. Основные правила работы со специфическими объектами при проведении следственных действий по уголовным делам, связанным с созданием, использованием и распространением вредоносных профамм для ЭВМ.

Схема № 19. Алгоритм осмотра средств компьютерной техники.

Схема № 20. Основные рекомендации по проведению осмотра компьютерной информации, находящейся на машинном носителе.

Схема № 21. Последовательность проведения осмотра компьютерной информации, находящейся на машинном носителе.

Схема № 22. Основные ошибки, совершаемые в ходе осмотра машин- ных носителей информации.

Схема № 23. Обстоятельства, способствующие совершению преступлений, связанных с созданием, использованием и распро- странением вредоносных профамм для ЭВМ. Обстоятельства, способствующие неправомерному доступу к компьютерной информации.

Схема № 24. Обстоятельства, способствующие совершению преступлений, связанных с созданием, использованием и распро- странением вредоносных профамм для ЭВМ. Обстоятельства, способствующие созданию, использованию и распространению вредоносных профамм для ЭВМ.

196

Схема № 1

Классификация средств компьютерной техники. Машинные носители информации

Средства компьютерной техники

Аппаратно-технические средства компьютерной техники

Программные средства компьютерной техники

МАШИННЫЕ НОСИТЕЛИ ИНФОРМАЦИИ

( в широком смысле)

197

Схема № 2

Свойства файлов и каталогов

v

Файл

Катал ог (дире ктори я, папка)

Основные свойства

Основные свойства

Индивидуальное имя файла

Индивидуальное имя каталога

Расширение имени файла

— Расширение имени каталога

Местоположение файла в файловой структуре МНИ

Местоположение каталога в файловой структуре МНИ

Размер файла (объем)

Число входящих в каталог файлов и подкаталогов

Дата создания (последней модификации) файла

Суммарный размер (объем) входящих файлов и подкаталогов

Время создания (последней модификации) файла

Дата создания каталога

Системные атрибуты файла

Время создания каталога

Физическое размещение файла на рабочей поврехности МНИ

Системные атрибуты каталога

Факультативные свойства

Факультативные свойства

Формат файла

Принадлежнос ть к конкретной программе

Принадлежность к конкретной программе

Служебные отметки (тема, автор, организация, заметки и т.д.)

198

Схема № 3

Создание вредносных программ для ЭВМ

Создание вредоносных программ

это целенаправленная деятельность, включающая в себя следующие этапы:

Создание новой вредоносной программы

Постановка задачи, определение

среды существования и цели

программы

J

Модификация существующей программы

Т

Постановка задачи, определение

среды существования и цели

программы, подбор существующей

программы

I

Выбор средств и языка реализации программы

Анализ существующей программы и

преобразование ее с языка машинных

команд

Написание непосредственно текста программы

Подбор средств и языка реализации программы

Внесение изменений непосредственно в текст программы

Проверка соответствия работоспособности программы и ее |^ соответствие поставленной задаче

Проверка соответствия работоспособности программы и ее соответствие поставленной задаче

Отладка программы

I

Отладка программы

Подготовка программы к использованию и распространению

Подготовка программы к использованию и распространению

~ЪГ

®

Классификации вредоносных программ для ЭВМ

1

CL

Ф О

5 Ю X

Ф <-> ю

m ь. ющ ие эц ии о ц и о н н с с а х , ющ ие ой сие ще ств ля ин фо рм г о Ф го х

5 о . о •В - 1 ? о.

п р о рот е ьют е

X

С с Ос у 2 »

ко м

с

Ф h Ч” о

СГ У >s га

пе чи ме р о о <|1 ш IO го О о.

ф

X 1 1
1

fro

S

ф S

? и го ? энные елен уктив нкция

s с s о

^ 5 ? e о й нир ч а. >, >» i_

? rj-8-

?*? Ф § 5 IO

s сС о ч о

in Q. О :*: Созданные, путем внесения

изменений в существующие

программы

Воздействие на

общую

работоспособност ь

компьютерной

системы

Воздействие

конфиденциаль

информаци

Модифициро- ванные

Специаль но созданны е

По способности к самораспространению

Самораспространяющиеся программы

Программные закладки

Воздействие на системную область и файловую структуру

Воздействие на аппаратные

средства

компьютерной

техники

По наличию

открытодекларируемых

функций

Ф

х 3 ? Ф

л i 5 j)

5

X

Ф

о

Ьч ГО Q. о Ф Q_ P- Ф 5-ч X .о 3 д- прог

клар кции о s 3 о.’э

ф

О. s a g §.

га щ Ь rt

9- § Ф 5 Ф о а> i ш

s 5 ‘D ^ ф о з -о ^ sag-»

х с

о- Ф о ?&

is 5 -0

л Я 9- Q.

о. о. ж

ё 1- Е О

о

о

200

Схема № 5

Способы совершения преступлений, связанных с созданием,

использованием и распространением вредоносных программ для ЭВМ.

Создание вредоносных программ для ЭВМ

Непосредственно на месте ее использования

Вне места ее использования

По совпадению места создания и места последующего использования

Способы создания вредоносных программ для ЭВМ

По способу возникновения вредоносных программ

Способы создания вредоносных программ

Способы внесения изменений в существующие программы

л

S

S

га

О ?”;

О- Ч

‘5 ч> го

о н я з ы

х га о
ш о о

гр ам ми ро ва ни я

о -о *

t 5 -г

ф О

о. с и а: га s ф у н к

т е к

о- 9 о о е 2

П

Ц с с с |( >

го о *г

с Ь ID

  1. s

j _

Я Ф

s ID

С

го

ф

а.

о

3

5

го

rtf>

Q. С X с р е д ботк и

X го о * о. со о п го вред он п е ц и а л энн ой р

о

оно вкг а н и е м тиз ир о

m

5 о

о о о ^-^ с:

Ф о

I о

ГО S

?=?

о

О

О

»

2

2

ГО

О. О

X о го

5. о. ч

=г с о о го

S.O о S

I с 3 ?

^ х в е н pea

п го

ю z О го о н ф S о S й в сущ ния ее Ф гор

с;

ь з о в а н го о 1 X

ф ф

гина льн ог X S

Ф S

2 s п о л

S 5 Ч

Ф g

X с

ф

о

ф

X

m

.

S

5

то

0.0

о го Р

о. ч

с о о

9 * а н н

3 о ш S ствую ашинн м с т в о лиза ц Ф s

га

(U

РЭ о. о * 2 го m ^ ф 2

S X X

S ф г о о. X X ш

ф ф о 1_ Ф п п с;

го 5 S 1^

s S 1=

Ф 2 = 5, S

х с

8

Ф

X

m

Способы совершения преступлений, связанных с созданием, использов распространением вредоносных программ для ЭВМ. Способы использования и распространения вредоносных программ дл

Внедрение и использование (управление функционированием) вредоносной программо

5

-?-

Способы непосредственного

доступа к компьютерной

информации

Способы опосредованного

(удаленного) доступа к компьютерной информации

Смешанные способ могут осуществ непосредственн опосредованного (у

С

f

Активн ые способ ы

D

Способы использования и распространения вредоносных программ для ЭВ

С

Пасси вные способ ы

3

2

m

о ф >S ш ^ s о I I а> о 1 * мещ доно грам

ЫХ С( Я ® О I ГО Q. о. л О. ш с с;

го

ii

о

Ц

2

Ф ?s о о: S ° m s X х 5 о

О I С X <D

ГО 3”

Ф О -J ф

х ^ Ч о 5 з зов 5 ее 2 >? л со Q) ГО ° Ц ГО О. О. о О. m о

Q. с

С

д о с к а х ш

X н и е н о й ГО

X

“п

B B S X

J3 онн ь О ) о п р о г р а м м X ~ “ г л о б а л ь н S X Р а з м е щ в р е д о н о

к т р о н н ы я в л е н и й

фо рм ац сет я

ш л

X

сю

S

т о

Ф

t-

° ? с о

_ с

о g о

х 5 х о го х

СГ Q.O

ok о.

ш

с Ф с о

1

С О о

Ф m 5 ? ? 9

I О л 0» • = ; > > > (1 )

т i. ж а щ X

а в л н и е 1Л11Л1 ч е н

н о с 1Л 1Е С 1- г о

Ф а. О t о m

с Ф с г О о о п о Ч (1) Q с| о о

ф О Г) С <1 > л с: ю о m

п . К

о

_ и

с

X

ш г S

ен и и т е il

3” Г* ш п л i о

т ? (Ц о го Я- о ро гр ам U. т 5 9, С)

ро ст н ы х ° о е д о н

о I мщ а. с (0 3 го ш

а.

о

: >

202

Схема № 7 Взаимодействие преступника с компьютерной системой в процессе совершения преступлений, связанных с использованием и распространением вредоносных программ для ЭВМ

Активные способы совершения преступлений

  1. Доступ к компьютерной системе

т

  1. Доступ к программному обеспечению или иным файлам в компьютерной системе

А.

  1. Внедрение вредоносной программы

Т

  1. Использование (управление функционированием) вредоносной программы

Компьютерная система

Пассивные способы совершения преступлений

  1. Действия преступника с вредоносной программой

ж

  1. Создание пользователю условий для получения или использования вредоносной программы

(глобальные и локальные информационные сети, электронные доски объявлений, машинные носители информации и т.д.)

Взаимодействие пользователя с вредоносной программой

L.

Ком пью тер ная сис тем а

203

Схема № 8 Действия направленные на сокрытие преступлений, связанных с созданием, использованием и распространением вредоносных

программ для ЭВМ

Сокрытие преступлений, связанных с созданием, использованием и распространением вредоносных програм

Действия, направленные на оказание воздействия на лиц,

способных восприять факт совершения преступления

(физическое и психическое воздействие; скрытое получение

информации; маскировка и сокрытие действий; привлечение третьих лиц

и т.д.)

ч ‘

? N

Действия, направленные на изменение материальной обстановки места совершения преступления

(уничтожение следов рук, обуви и других следов; удаление микрочастиц и

иных посторонних загрязнений; воспроизведение первоначального

положения и состояния защитных систем, оборудования; уничтожение

данных о доступе к компьютерной системе из журналов регистрации

пользователей, видеозаписей; уничтожение или сокрытие записей,

следств идентификации, ключей, пропусков и т.д.; уничтожение записей,

связанных с доступом в помещения, исходными текстами программ, библиотек функций языка программирования, специальной литературы и

других материалов, связанных с планированием и осуществлением

преступлений; уничтожение и сокрытие информации о контактах и связях

преступника, специальной литературы, источников информации о

вредоносной программе и источников получения ее и необходимых

средств и т.д.)

, N

Действия направленные на устранение и сокрытие следов воздействия на компьютерную информацию

(восстановление или иное изменение настроек программ;

удаление специальных программ и инструментальных средств, исходных

текстов вредоносных программ; удаление временных рабочих файлов,

отладочного программного обеспечения; удаление или замена файлов

программного обеспечения поврежденного вследствие взаимодействия с

компьютерной информацией; уничтожение информации на конкретном

машинном носителе или его физическое уничтожение; маскировка

действий вредоносной программы; скрытое размещение вредоносной

программе в файловой структуре; удаление вредоносной программы

после заверешения работы с ней; удаление или сокрытие электронных

адресов электронной почты, глобальной сети, BBS, и иной информации и

т.д.).

204

Схема № 9

Средства совершения преступлений, связанных с созданием, использованием и распространением вредоносных программ для ЭВМ

Программные средства компьютерной техники

Аппаратно- технические

средства компьютерной

техники

Не являющиеся

средствами

компьютерной техники

По относимости к средствам компьютерной техники

Средства совершения преступлений

По совершаемым преступником действиям

Средства создания вредоносных программ

Средства использования и

распространения вредоносных

программ

Средства получения доступа к средствам хранения и обработки компьютерной информации или к иным средствам, с

помощью которых возможен технический доступ

Средства необходимые для технического

доступа к компьютерной информации

(оборудованию, работающему с этой

информацией) и работы с ней

го

о с:

1_

о ?*

X о го

m X о

ш сг. эдст Д С Т Е КОГО о.

о с р е чес

о s

с X

ш X

X ш 1-

ГО

У ?”

о о ства )в а н н ГО ДО ч ч: О Q)

Ъ? о О) о О о. о ш

о ?%.

г: х

О тех

205

Схема № 10

Средства совершения преступлений, связанных с созданием,

использованием и распространением вредоносных программ для ЭВМ.

Средства создания вредоносных программ для ЭВМ

Средства создания вредоносных программ для ЭВМ

Программные средства

создания вредносных

программ

Аппаратно-технические

средства создания вредоносных программ

Системы программирования

(инструментальные программные

средства)

Средства, используемые для

непосредственного создания

вредоносной программы и

подготовки ее к распространению

Специальные программы

Средства, используемые для

отладки и тестирования работы

создаваемой вредоносной

программы

Тестовые и отладочные

программные

средства

Маскирующие программные средства

Элементы обстановки совершения преступлений, связанных с создан использованием и распространением вредоносных программ для ЭВ

Вещественные

Производстве нно-бытовые

Пространстве нные

Программно-технические

Используемые меры защиты информации

Пове психо

Правовые

Морально-этические

Организационно- административные

Физические Програ

207

Схема № 12

Специальные программные средства, осуществляющие противодействие внедрению и функционированию вредоносных

программ для ЭВМ

Задачи функционирования специальных

программных средств I

1) выявление факта наличия или отсутствия вредоносной программы в некотором массиве компьютерной информации без

работы с ней;

2) выявление факта наличия или отсутствия вредоносной программы в некотором массиве компьютерной информации в

процессе работы с ней;

3) недопущение внедрения вредоносной программы в некоторый

массив компьютерной информации при протекании

информационных процессов;

4) противодействие вредному воздействию вредоносных программ.

Сканеры (или фаги, полифаги)

  • это программы, принцип действия

которых основан на проверке

файлов, системных областей и

оперативной памяти и поиске

известных и неизвестных

вредоносных программ

(AVP, DrWeb, AIDSTEST и другие).

Ревизоры

  • это программы, обеспечивающие

контроль за состоянием файловой

системы и ее изменениями

(ADINF, Microsoft Anti-Virus (MSAV) и

другие).

Л Г

Специальные программные средства

Мониторы

это программы, перехватывающие

критические ситуации,

подозрительные на действия

вредоносных программ, и

сообщающие о них пользователю

(VSAFE и другие).

Иммунизаторы

  • это специальные программы, записывающиеся в защищаемый

файл и контролирующие все

изменения в нем в процессе его

работы.

208

Схема № 13

Следы совершения преступлений, связанных с

созданием использованием и распространением

вредоносных программ для ЭВМ

Следы совершения преступлений

Следы доступа к

средствам

компьютерной техники

Следы доступа к

компьютерной

информации и

внедрения

вредоносных программ

Следы оказанного

преступного

воздействия,

функционирования и

воздействия

вредоносных программ

Трасологические следы

(следы рук; следы ног и обуви; следы

воздействия инструментов, приспособлений,

механизмов; иные трасологические следы)

Микрочастицы и микроколичества вещества

(пыльца, химические вещества и т.д.)

Следы изменения файловой

структуры, системых областей

машинных носителей информации,

постоянной энергонезависимой памяти

Биохимические следы человека (потожировое вещество, кровь, слюна и т.д.)

Следы изменения настроек ЭВМ и отдельных программ

Одорологические следы

Рукописные, машинописные и иные

документы исполненные или

оставленные преступником

Следы нарушения работы ЭВМ и отдельных программ

Предметы, использованные преступником

Следы воздействия на системы

защиты и конфиденциальность

информации

Изменение положения имевшихся на

месте предметов, изменение их

состояния

Идеальные следы

(следы в памяти очевидцев,

видео-.аудиозаписи)

Иные проявления воздействия и

функционирования вредоносных

программ

(текстовые сообщения, видео-, аудиоэффекты)

ф

Лица, совершающие преступления, связанные с созданием, использованием и распространением вредоносных программ для Э

Индивидуальные преступники

Лица, образующие организованные группы преступников

Лица, входящие в сост преступных с

Лица, создающие

вредоносные

программы

(в т.ч. путем модификаций существующих программ)

Лица, использующие и

распространяющие

вредоносные

программы

По характеру выполняемой объективной

стороны преступления

По степении организованности

По мотивам и целям

преступного

посягательства

По правам доступа

к компьютерной

системе

По признаку

разрешения

доступа к

компьютерной

информации

Не

1

Хулиганы Вандалы Шпионы Диверсанты Террористы

Корыстные преступники Взломщик

210

Схема № 15

Следственные ситуации, складывающиеся на первоначальном этапе

расследования преступлений, связанных с созданием, использованием

и распространением вредоносных программ для ЭВМ

Основные пути выявления преступлений

В ходе взаимодействия пользователей с компьютерной системой (при эксплуатации программ, обмене информацией, использовании данных, проведении проверок и т.д.)

При приобретении программных средств (приобретение машинных носителей информации в торговых точках, по электронной почте, через Интернет, электронные доски объявлений и т.д.)

В ходе оперативных мероприятий, проводимых правоохранительными органами (проверочная закупка, снятие информации с технических каналов связи, оперативный эксперимент и др.)

В ходе расследования преступлений в сфере компьютерной информации

В ходе расследования преступлений иных видов

Основные поводы к возбуждению уголовных дел

Заявление о преступлении

Сообщение о совершенном или готовящемся преступлении,

полученное из иных источников

(сообщения организаций и должностных лиц, сообщения полученные от органа дознания,

следственного органа, прокурора или суда)

Типич ные ситуа ции перво начал ьного этапа рассл едова ния прест уплен ий

)

1) Извес тны лишь некот орые лица (лицо), совер шивше е прест уплени я,

связан ные с выявле нным факто м создан ия, исполь зовани я или

распро стран ения вредон осной програ ммы.

2) Извес тны все лица (лицо), совер шивши е прест уплени я, связан ные с

выявле нным факто м создан ия, исполь зовани я или распро стран ения

вредон осной програ ммы.

3) Лица (лицо), совер шивши е прест уплени я, связан ные с выявле нным факто м создан ия, исполь зовани я или распро стран ения вредон осной

програ ммы, неизве стны.

211

Схема № 16

Общие и частные версии, выдвигаемые на первоначальном этапе

расследования преступлений, связанных с созданием, использованием

и распространением вредоносных программ для ЭВМ

Совершено преступление,

связанное с

использованием

вредоносных программ

Совершено преступление,

не относящееся к

преступлениям в сфере

компьютерной информации

Совершено преступление,

связанное с

распространением

вредоносных программ

Совершено преступление, связанное с созданием вредоносных программ

Общие версии

Совершено преступление в

сфере компьютерной

информации, без

использования

вредоносных программ

Преступления совершено

Заявление о преступлении ложное

не было, при этом

заявитель добросовестно

заблуждается

О лицах, причастных к совершению преступления

О направленности преступного посягательства

О мотивах преступного посягательства

О месте совершения преступления

О способе совершения преступления

Об обстоятельствах, при

которых было совершено

преступление

О характере и размерах

ущерба,причиненного

преступлением

О возможных направлениях

распространения вредоносных

программ и области

возможного поражения ими

212

Схема №17

Программные средства, используемые в ходе проведения осмотров средств компьютерной техники

Основные требования, предъявляемые к программным средствам

Не должны изменять настройки и конфигурацию средств компьютерной техники

Не должны изменять содержание и свойства компьютерной информации на

машинных носителях

Должны быть сертифицированы для проведения следственных действий и работы в условиях взаимодействия с определенными средствами компьютерной техники

Должны быть защищены от внесения в них несанкционированных изменений

Должны представлять информацию в виде доступном для восприятия лицом, использующим их, и быть удобными для их использования

^Программы, предназначенные”

для получения информации о

входящих в состав

компьютерных систем и

подключенных к ним

устройствам, включая их

техническое состояние,

настройки и конфигурацию

Программы, предназначенные

для получения информации о

файловой структуре машинных

носителей информации

Программы, предназначенные

для выявления внедренных и

функционирующих в

компьютерной системе

вредоносных программ

Программы, предназначенные для получения информации о функционирующих на момент

осмотра программах,

находящихся в оперативной

памяти ЭВМ, о содержимом

буфера памяти ЭВМ

Программы, предназначенные

для определения настроек

программ, просмотра и иного

воспроизведения содержимого

файлов

213

Схема № 18

Основные правила работы со специфическими объектами при

проведении следственных действий по уголовным делам,

связанным с созданием, использованием и распространением

вредоносных программ для ЭВМ

Основные правила работы со специфическим объектами

Неукоснительное соблюдение требований уголовно-процессуального законодательства в ходе производства следственного действия

Соблюдение криминалистических правил обращения с предметами-носителями криминалистически значимой информации

Запрещение производства каких-либо действий с машинными носителями

информации и компьютерной информацией, содержащейся на них, если результат

таких действий заранее не известен и наступление этого результата не противоречит

характеру и процессуальному порядку производства самого следственного действия

Ограниченное использование в ходе следственного действия или отказ от

применения технико-криминалистических средств принцип работы, которых основан

на использовании магнитных полей, электромагнитного, рентгеновского,

ультрафиолетового и иных излучений, а равно средств, которые обладают

указанными побочными эффектами своей работы и способны повредить

компьютерную информацию, находящуюся на машинных носителях

Соблюдать осторожность при работе с порошками и химическими реактивами,

использующимися для выявления и фиксации следов и посторонних наложений, не

допускать их попадания на рабочие поверхности машинных носителей информации,

в разъемы, устройства работы со съемными машинными носителями и т.д.

Использование при фиксации функционирования и характеристик средств компьютерной техники и компьютерной информации специальной терминологии

При осмотре компьютерной информации, хранящейся на машинном носителе, следует придерживаться правил осмотра и описания от общего к частному, от каталогов к отдельным файлам, от общих характеристик свойств файла к его

конкретному содержанию

Фиксацию внешнего вида средств компьютерной техники и содержания информации

хранимой и обрабатываемой на них необходимо производить максимально подробно,

при этом следуя правилу относимости информации к расследуемому преступлению

Использование в ходе проведения осмотров средств компьютерной техники сертифицированного программного обеспечения и аппаратно-технических средств

Изъятию подлежат только те средства компьютерной техники, на которых содержится или может содержаться криминалистически значимая информация

214

Схема № 19 (начало)

Алгоритм осмотра средств компьютерной техники

Внимательно осмотреть место обнаружения

ЭВМ и других устройств,

машинных носителей информации

т

Визуально определить рабочее состояние ЭВМ и других устройств

Выключен

Зафиксировать признаки недавней работы ЭВМ

Включен

V

Оценить информацию изображенную на

дисплее, а также выполняемые ей программы

и действия

Не требуетс я

SL

Выполнить действия, связанные с экстренным прекращением работы отдельных программ, с

прекращением работы самой ЭВМ или с разрывом коммуникативных связей и

остановкой работы отдельных устройств

J

Т

Требуетс я

.V

Сфотографировать место обнаружения ЭВМ,

устройств и предметов

по правилам узловой фотосъемки

JL

SL

Произвести измерения и зафиксировать в

протоколе осмотра положение ЭВМ,

устройств и предметов относительно других

предметов вещной обстановки

г

Выполнить узловую схему места нахождения

ЭВМ с указанием на ней положения ЭВМ,

иных устройств и других предметов и

документов

См. продолжение на следующей странице

215

Схема № 19 (продолжение)

Алгоритм осмотра средств компьютерной техники

С эвм N

V. выключена
)

Ту

/” эвм “\

V включена )

2	

Зафиксировать внешний вид экрана дисплея с использованием фото-, видеосъемки

V

Произвести съем информации, которая может быть получена с функционирующей ЭВМ

По возможности извлечь все съемные машинные носители информации

Не проводить

Последовательно провести осмотр

компьютерной информации, находящейся на

обнаруженных машинных носителях

информации

V

Корректно завершить работу программ

V

Выключить монитор и все другие, соединенные с ЭВМ, устройства

V

Выключить ЭВМ

±

В протоколе подробно описывается местоположение ЭВМ, устройств и предметов, указываются особенности и

выявленные изменения, отражаются все произведенные в отношении них измерения, действия, их техническое

состояние, положение переключателей, тумблеров на момент осмотра, наличие машинных носителей

информации (в каких и какие именно), сведения об извлеченных из ЭВМ машинных носителях и дальнейшие

манипуляции с ними, данные полученные в ходе осмотра программных средств	

См. продолжение на следующей странице

216

Схема № 19 (продолжен ие)

Алгоритм осмотра средств компьютерной техники

?

Отключить ЭВМ и все остальные устройства от электросети

Л

У

Осмотреть заднюю стенку системного блока ЭВМ

У

Сфотографировать штекерные разъемы с

подсоединенными к ним кабелями.

Зарисовать схему разъемов и подключение к

ним кабелей, предварительно промаркировав

разъемы и кабели

У

Последовательно отсоединить кабели,

соединяющие ЭВМ с периферийными

устройствами и сетевым обрудованием

Оборудовать рабочее место для проведения детального осмотра

У

Переместить системный блок и другие

устройства и предметы, включая машинные

носители информации на подготовленное

место для их дальнейшего осмотра

У

Отобрать пробы запаха со следов на системном блоке и других СКТ

у

Последовательно произвести детальный

осмотр системного блока ЭВМ, машинных

носителей информации и других СКТ

“7Г

у

Зафиксировать все видимые наименования,

модели, серийные номера и особенности СКТ,

а также входящих в их состав электронных

устройств, плат, микросхем, включая

особенности их состояния

У

См. продолжение на следующей странице

217

Схема № 19 (окончание)

Алгоритм осмотра средств компьютерной техники

А

Выявить невидимые и слабовидимые следы

рук, локализацию загрязнений и других посторонних наложений на объектах осмотра

А

Произвести детальную фотосъемку

выявленных следов, загрязнений и

повреждений на осматриваемых объектах

А

Выполнить схематическую зарисовку

локализации и внешнего вида выявленных

следов, загрязнений и повреждений на

осматриваемых объектах (с определением на

ней их взаиморасположения, формы,

пропорций и т.д.)

А

Зафиксировать и изъять выявленные следы

Т

Результаты детального осмотра занести в протокол следственного действия

у

Принять решение об изъятии системного

блока или отдельных устройств

установленных в нем, машинных носителей

информации и других устройств

А

Упаковать изымаемые объекты с

соблюдением правил сохранности следов, и

обеспечения безопасности транспортировки и

сохранности изымаемых предметов

у

Оформить все изъятые предметы и следы,

оформить в качестве приложений к протоколу

следственного действия

218

Схема №20 Основные рекомендации по проведению осмотра компьютерной информации, находящейся на машинных

носителях

Осмотр компьютерной информации, находящейся на машинном носителе

Осмотр должен производиться лично

следователем или иным лицом, производящим следственное действие

г - \

Ход и результаты осмотра фиксируются в

протоколе следственного действия и

приложениях к нему

Фиксация проводится с максимальной детализацией описаний объектов,

Осмотр компьютерной информации,

хранящейся на машинном носителе,

должен начинаться только после

выявления, фиксации и изъятия,

имеющихся на нем следов и иных

посторонних наложений, которые

содержат криминалистически значимую

информацию которые могут иметь значение для расследования преступлений

В целях обеспечения сохранности

компьютерной информации, находящихся

на машинном носителе, желательно

При осмотре желательно участие

специалиста в области средств

компьютерной техники проводить осмотр точной копии

машинного носителя информации (его

образа)

Осмотр должен производиться с использованием специально

Следует ограничить действия с

компьютерной информацией на

машинном носителе просмотром и

фиксацией ее содержания

) подготовленных программных и

аппаратно-технических средств

компьютерной техники

? Для дачи пояснений следователю по поводу, хранящейся на машинном носителе информации, может быть

Осмотр должен проводиться в

помещении, где исключается воздействие

вредных для носителя информации

факторов приглашен представитель потерпевшей

стороны или иные лица, собственники

или пользователи машинных носителей

219

Схема № 21

Последовательность проведения осмотра компьютерной информации, находящейся на машинном носителе

Осмотр

компьютерной информации, находящейся на машинном носителе

Защитить по возможности машинный носитель информации от несанкционированного воздействия на компьютерную информацию, хранящуюся на нем

Уведомить участников осмотра с использованием каких средств компьютерной техники будет производиться осмотр

Т

Принять решение о необходимости фиксации хода осмотра и его результатов с использованием видеозаписи или фотосъемки

Проверить машинный носитель информации на наличие вредоносных программ или программ схожих с ними

т

Произвести, по возможности и необходимости, копирование (создание образа) машинного носителя информации на аналогичный ему носитель

‘Л” у.

Зафиксировать с использованием каких средст осуществлено создание образа машинного носителя, а также индивидуализирующие характеристики самого машинного носителя на котором создан образ

J

Дальнейший осмотр компьютерной информации проводится по созданной копии машинного носителя информации

т

Повести общий осмотр компьютерной информации, находящейся на машинном носителе

Т

Осмотреть выявленные вредоносные программы и программы схожые с вредоносными, с указанием в

протоколе их полных характеристик

т

Произвести детальный осмотр файлов данных, которые могут иметь значение для расследуемого преступления (текстовых, графических файлов, файлов баз данных и т.д.)

“7Г

у

Отразить в протоколе результаты осмотра с отметками и указанием характеристик файлов, имеющих защиту, или тех осмотреть которые не удалось, используя имеющиеся программные средства

±_

Произвести осмотр программного обеспечения, находящегося на машинном носителе информации, с указанием в протоколе выявленного состояния программ, их индивидуализирующих характеристик

т

Отразить в протоколе результаты осмотра с отметками и указанием характеристик программного обеспечения, имеющего защиту от доступа, и иного, проведение осмотра, которого было не возможно

Y

Зафиксировать в протоколе, уточненные данные о том, какое программное обеспечение использовалось в ходе осмотра (его полное наименование, номер версии, серийные номера)

220

Схема № 22

Основные ошибки, совершаемые в ходе осмотра машинных носителей информации

Основные ошибки, совершаемые в ходе

осмотра машинных носителей

информации

Процессуальные ошибки

Криминалистические ошибки

  1. Не проводится осмотр средств компьютерной техники, компьютерной

информации, находящейся на машинных носителях, конкретных файлов, в том

числе и файлов вредоносных программ.

  1. Несвоевременность осмотра.

  2. Неполнота, поверхностность осмотра.

  3. Необоснованность выводов в

процессуальных документах. Например,

утверждение о вредоносности той или

иной программы, а также отнесение к

следам ее действия и проявлениям тех

или иных проявлений без наличия

заключения на то эксперта.

  1. Неиспользование специальной терминологии.

  2. Нарушение процессуального порядка

проведения осмотра содержания

машинных носителей информации,

например, без участия понятых.

  1. Использование для проведения осмотра

несертифицированного программного

обеспечения.

  1. Неизъятие машинных носителей

информации, на которых может храниться

важная для расследования дела

информация.

  1. Неиспользование всех возможностей по

фиксации функционирования и

воздействия вредоносных программ.

221

Схема № 23 Обстоятельства, способствующие совершению преступлений, связанных с созданием, использованием и распространением

вредоносных программ для ЭВМ. Обстоятельства, способствующие неправомерному доступу к компьютерной

информации

1) Отсутствие единой политики безопасности в организации

2) Отсутствие в организации

(подразделении) реально

действующих правил эксплуатации

средств компьютерной техники

4) Недостаточное кадровое и

материально-техническое

обеспечение служб безопасности и

кадровых служб организаций,

учреждений, предприятий

6) Приобретение и эксплуатация

несертифицированных ЭВМ и

других средств компьютерной

техники

8) Неэффективность избранных

собственником методов защиты

компьютерной информации от

несанкционированного доступа

10) Отсутствие должного контроля

при приобретении, техническом

обслуживании и эксплуатации в

рамках структурного

подразделе-ния организации

программных и

аппаратно-технических средств

компьютерной техники

Обстоятельства

способствующие

неправомерному

доступу к

компьютерной

информац

3) Недостаточное кадровое и

материально-техническое

обеспечение служб,

обеспечивающих обслуживание

технических систем

5) Приобретение и использование

несертифицированного,

контрафактного программного

обеспечения

7) Незащищенность

коммуникационных каналов и

других элементов компьютерных

систем

9) Отсутствие плановости и

тщательности в проверке

компьютерных систем на наличие

несанкционированного доступа

11) Нарушение правил администрирования систем и

сетей ЭВМ (незаконная

передача паролей, нарушение

установленных правил их

изменения, необоснованное

повышение уровня доступа,

неконтролируемые сеансы

работы, неконтролируемый выход

во внешние сети и т.д.)

12) Отсутствие проверок на

изменение конфигурации и

программного обеспечения после

технического обслуживания и

эксплуатации компьютерных

систем

13) Отсутствие или недостаточная

разъяснительная работа в

организации

222

Схема № 24

Обстоятельства, способствующие совершению преступлений,

связанных с созданием, использованием и распространением

вредоносных программ для ЭВМ. Обстоятельства, способствующие

созданию, использованию и распространению вредоносных программ

для ЭВМ

1) Нарушение установленных технических и организационных правил по обеспечению защиты

компьютерной информации от вредоносных программ

3) Отсутствие специалистов по

противодействию вредоносным

программам

5) Отсутствие надлежащего

порядка использования и

утилизации резервных копий

данных и программного

обеспечения

7) Использование случайных машинных носителей информации

9) Использование устаревшего или

поврежденного программного

обеспечения

Обстоятельства,

способствующие

неправомерному

доступу к

компьютерной

информации

Обстоятельства, способствующие

созданию, использованию и распространению вредоносных программ

2) Отсутствие необходимых

программных и аппаратных

средств защиты компьютерной

информации от внедрения,

функционирования и воздействия

вредоносных программ

4) Нарушение порядка

резервирования компьютерной

информации, включая

используемое программное

обеспечение

6) Отсутствие надлежащего

порядка хранения машинных

носителей информации

8) Использование

непосредственными

пользователями программных

средств, не предназначенных для

обеспечения деятельности организации

10) Неконтролируемый обмен

через глобальные и иные

информационные сети

электронными письмами

11) Неконтролируемое

использование Интернета,

получение непроверенных файлов

данных и программного

обеспечения

12) Ограниченный обмен текущей

информацией о существующих

вредоносных программах и

признаках их внедрения и

функционирования

223

, Приложение 2

к стр. 51-56

ОПИСАНИЕ СПОСОБОВ

совершения преступлений, связанных

с созданием, использованием и распространением

вредоносных программ для ЭВМ

К способам создания вредоносных программ относятся: 1) Реализация алгоритма вредоносной программы без использования пользовательских библиотек функций языка программирования . Данный способ совершения преступлений характеризуется, наличием у преступника значительного опыта по созданию программ для ЭВМ, включая вредоносные. Однако в настоящее время создание программ с его использованием в чистом виде встречается значительно реже, чем другие. Это связано с тем, что, по мере развития инструментальных программных средств, создается значительное количество таких пользовательских библиотек функций. Большинство подобных библиотек распространяется, минуя разработчиков инструментальных средств.

Стандартные и пользовательские библиотеки содержат большое число компонентов программного кода, отличающихся друг от друга оригинальными алгоритмами реализации тех или иных функций, на правленных на взаимодействие с компьютерной информацией или ма нипулирование аппаратными средствами компьютерной техники, а так же другими характеристиками. Наличие таких библиотек освобождает программиста от самостоятельного или повторного написания части ал горитма программы, включающего требующиеся ему функции. Это зна чительно сокращает время на подготовку программы и снижает вероят ность ошибок в ее алгоритме. В описываемом способе совершения пре- *> ступлений при создании вредоносных программ используются только

стандартные библиотеки, то есть только те, которые распространяются разработчиками системы программирования вместе с ней и имеют в связи с этим широкое распространение. Представляется важной в этом слу-

Под библиотекой функций языка программирования понимают часть инструментального программного обеспечения, некоторые логически завершенные фрагменты программного кода, преобразуемые в последовательность машинных команд, направленных на выполнение каких-либо функции взаимодействия с программными и аппаратно-техническими средствами компьютерной техники, и объединенные в единый файл или их совокупность с целью последующего использования при создании программ для ЭВМ.

224

чае, принципиальная возможность отождествления личности автора по особенностям реализации самого алгоритма программы.

2) Реализация алгоритма вредоносной программы с использованием пользовательских библиотек функций языка программирования. Данный способ создания программ распространен более широко. Возможность отождествления личности автора по особенностям реализации основного алгоритма программы, по особенностям используемых им пользовательских функций в данном случае несколько сужается. Как правило, у лица, создающего программы таким способом, может находиться большое количество указанных библиотек, описания функций, методики их использования, исходные тексты различных программ, включая исходные тексты вредоносных программ, с примерами реализации таких библиотек. Могут иметь место различные тестовые программы, используемые автором для проверки работоспособности отдельных нестандартных функций, написанные самим преступником, а также личные заметки по порядку работы с такими функциями. Преступник создает свои библиотеки функций и может их использовать в дальнейшем, что может позволить установить принадлежность различных вредоносных программ одному автору. 3) 4) Создание (компоновка) вредоносных программ с использованием специальных средств автоматической разработки. Данный способ соз- дания вредоносных программ, как правило, используется при создании компьютерных вирусов. Указанные средства разработки автоматически, по заданным пользователем параметрам, на основе заложенных в них алгоритмов реализации различных функций, путем их объединения, формируют самостоятельную программу, полностью готовую к выполнению заложенных при ее создании функций. Создание программ таким способом представляет собой менее творческий процесс, чем описанные два предыдущих, так как он в основном сводится к выбору пользователем готовых функций без написания исходного текста, что способствует значительному сокращению времени создания таких программ. При этом теряется своеобразие программ, то есть алгоритмы программ, созданных с использованием одного и того же средства автоматической разработки, имеют большое число сходных черт, что позволяет точно определить установить средство разработки, но не автора программы. 5) Ко второй группе способов создания вредоносных программ путем внесения изменений в существующие программы (модификация) представляется правильным отнести два способа:

1) Внесение преступником изменений в существующую программу, путем изменения ее машинного кода с использованием собственного оригинального алгоритма реализации. Этот способ требует значительной подготовки преступника как программиста. 2) 3) Внесение преступником изменений в существующую программу, путем изменения ее машинного кода с использованием заимствованного 4)

225

алгоритма реализации. Преступник собирает информацию о конкретной интересующей его программе и о возможных способах изменения ее в соответствии со своими замыслами. Существует значительное число источников информации, в которых подробно описаны логические ошибки реализации отдельных программ, с прилагаемыми пояснениями и ис- ходными текстами машинных команд, которые необходимо модифицировать или вставить в программный код с целью придания ей тех или иных желаемых качеств. Отследить этот процесс крайне трудно и это представляет собой значительную проблему для разработчиков программного обеспечения.

Классификация способов совершения преступлений, связанных с использованием и распространением вредоносных программ, основывается на различных по своему характеру действиях преступника. Всего можно выделить две основные группы действий: активные и пассивные.

Активные способы совершения преступления характеризуются действиями преступника, связанными с его доступом к компьютерной информации и последующим внедрением вредоносных программ, а также их использованием. К ним можно отнести:

1) Способы, связанные с непосредственным доступом к компьютерной информации. Они связаны с непосредственно доступом самого преступника или иного лица, знающего или предполагающего о преступном характере своих действий , к компьютерной системе и внедрением в нее вредоносной программы. Значительное число таких способов описано в литературе, посвященной неправомерному доступу к компьютерной информации. К ним относятся такие способы как «за дураком», «уборка мусора» и ряд других .

В данном случае имеются в виду лица, используемые преступником, но & в соответствии с Уголовным законом, в силу своего возраста, психиче-

ского состояния не подлежащие уголовной ответственности. Кроме того, к данной категории лиц могут быть отнесены лица, находящиеся в состоянии физического или психического принуждения. Вопросы, связанные с применением к лицу со стороны преступника принуждения, в связи с совершением указанной категорией преступлений, см. например: Расследование неправомерного доступа к компьютерной информации / Под ред. Н.Г.Шурухнова. - С. 108-110.

2 Подробнее об этих и других способах совершения преступлений, связанных с неправомерным доступом к компьютерной информации, см. например: Вехов В.Б. Указ. работа. - С.64-70; Расследование неправомерного доступа к компьютерной информации / Под ред. Н.Г.Шурухнова. - С.103-110; Айков Д., Сейгер К., Фонсторх У. Указ. работа. - С.52-82.

226

2) Способы, связанные с опосредованным (удаленным) доступом к компьютерной информации. Способы данной группы технически более сложны за счет использующихся средств удаленного доступа, однако, менее опасны для самого преступника. Преступник может находиться в другом помещении, здании или другой стране, и с учетом этого выявить его присутствие в компьютерной системе, определить его местоположе ние и пресечь его преступные действия крайне трудно. К способам со вершения преступлений, входящим в данную группу, можно отнести та кие способы как «за хвост», «компьютерный абордаж», «маскарад», «мистификация» и другие1.

Для внедрения вредоносной программы могут быть использованы не все описанные в литературе способы неправомерного доступа, а лишь некоторые из них, которые позволяют путем непосредственного или опосредованного воздействия на память ЭВМ внедрять в нее вредоносную программу и производить с ней иные изменения. Так к числу способов неправомерного доступа к компьютерной информации относят та-кие способы как электромагнитный и непосредственный перехват , которые используются в основном для получения информации без непо- средственного воздействия на компьютерную систему.

3) Способы, которые могут быть связаны как с непосредствен ным, так и с опосредованным (удаленным) доступом (смешанные) . К числу таких способов относят: осуществление доступа к базам данных и файлам законного пользователя путем нахождения слабых мест в систе мах защиты (такой способ в литературе получил название «Неспешный выбор»), использование ошибок в логике построения программы и об наружение ошибок в алгоритме ее реализации («брешей») (такой способ и получил название «брешь», а одна из его разновидностей «люк») и ряд других.

Основные отличия всех перечисленных способов заключаются в способе доступа к компьютерной информации. Действия преступников на завершающих этапах для всех этих способов будет примерно похожи. К действиям по внедрению вредоносных программ относятся:

Под этими наименованиями эти способы часто встречаются в литера- туре, посвященной этому вопросу.

См., например: Расследование неправомерного доступа к компьютерной информации / Под ред. Н.Г.Шурухнова. - С. 106; Вехов В.Б. Указ. работа. - С.56-64.

3 Подробнее, см.: Расследование неправомерного доступа к компьютерной информации / Под ред. Н.Г.Шурухнова. - С. 106-107.

227

  1. Копирование (установка) вредоносной программы (или про граммы-носителя) на машинный носитель информации. Эти действия осуществляются преступником, когда для нормальной работы вредонос ной программы необходимо ее хотя бы временное наличие на машинном носителе. Например, большинство компьютерных вирусов активизиру ется, то есть начинает выполнять свой алгоритм, только при запуске са мой программы-носителя («зараженной» программы). Преступник мо жет сам не осуществлять запуск такой программы, а ограничиться запи сью программы-носителя на машинный носитель информации и предос тавить возможность пользователю самому осуществить запуск такой программы-носителя и соответственно активизировать вирус.

Установки на конкретный машинный носитель, как правило, всегда требуют программные закладки. Скрытые программы, например, могут копироваться в директории (каталоги), в которых содержаться файлы каких-либо существующих программ (чаще операционных систем) или файлов данных. Троянские программы могут устанавливаться на машинном носителе под видом различных прикладных программ (игры, архиваторы и другие), в соответствии со своими открыто декларируемыми функциями.

Ряд программ для их нормального функционирования на конкретной ЭВМ может потребовать внесения изменений в другие программы (файлы данных) или изменение их настроек.

  1. Замена существующих программного обеспечения или файлов данных на вредоносную программу или ее носитель. Данные способы действий являются одной из разновидностей установки программ на машинный носитель. Основной их особенностью является то, что заме няется некоторое существующее программное обеспечение. Сущест вующая программа полностью или частично удаляется с машинного но сителя, а на место ее удаленных элементов копируется вредоносная про грамма. При такой замене может потребоваться дополнительная на стройка установленной программы, например, связанная с ее внешним видом, рабочими файлами и другими параметрами.

К действиям направленным на использование вредоносной программы (управление ею) относят:

  1. Инициирование работы (запуск) вредоносной программы. Эти действия в принципе могут осуществляться и самим пользователем, однако при этом значительно уменьшается вероятность выполнения такой

Под установкой программы на машинный носитель информации понимается перенос программы на машинный носитель и ее настройка для обеспечения ее функционирования (адаптация). Настройка любой программы, в зависимости от заложенных в нее создателем возможностей, может осуществляться как самим пользователем, так и самой программой.

228

программой заложенных в нее функций. Запускаться могут любые вредоносные программы, но в данном случае имеются в виду именно те программы, в которых запуск является, как правило, основным необходимым действием для начала выполнения этой программой вредоносных функций. Задача преступника только запустить такую программу, все остальные действия эти программы будут выполнять автоматически.

  1. Управление функционированием вредоносной программы. Под работой с вредоносной программой в данном случае понимается некоторое продолжающееся взаимодействие преступника с ней. Взаимодействие преступника с вредоносной программой может быть не направлено на непосредственное негативное воздействие на компьютерную информацию, как правило, такое воздействие осуществляется вредоносными программами автоматически, без контроля над этим процессом со стороны преступника, в соответствии с заложенными в их алгоритме установками.

К пассивным способам использования и распространения вредо- носных программ относятся все способы, при которых действия пре- ступника не связанны с получением доступа к компьютерной информации.

  1. Размещение файлов вредоносной программы в локальных сетях ЭВМ\ Локальные сети могут соединять ЭВМ, находящиеся в одном помещении, в одном здании, на некоторой ограниченной территории до нескольких километров. Как правило, число пользователей таких сетей ограничено служащими учреждения, фирмы, предприятия, посетителями и т.д. Преступник может поместить вредоносную программу на одну из ЭВМ, входящих в состав сети, в результате чего другие пользователи, копируя или иным образом взаимодействуя с данной программой, обеспечивают ее распространение по другим ЭВМ, соединенным в сеть, и по отдельным машинным носителям информации. К локальным сетям иногда подключаются и средства удаленного доступа. Используя средства удаленного доступа, преступник может поместить нужную ему программу в доступное другим пользователям место, откуда эта программа может разойтись по локальной сети. Через те же средства удаленного доступа внешние пользователи могут приобрести вредоносную программу, помещенную в локальную сеть2.

Данный способ похож на один из активных способов воздействия преступника. Однако различие заключается в том, что объектом пре-

Подробнее о локальных сетях ЭВМ, см., например: Фигурнов В.Э. IBM PC для пользователя, 1998. - С.55-56.

2 См., например: Касперский Е.В. Компьютерные вирусы: что это такое и как с ними бороться. - С.67-68; Фролов А.В., Фролов Г.В. Осторожно: компьютерные вирусы. - С.52, 133-167.

229

ступного посягательства является информация, обрабатываемая на кон- кретных ЭВМ, входящих в состав локальной сети, к которой преступник непосредственного доступа не имеет и не способен, по тем или иным причинам, самостоятельно поместить вредоносную программу в требуемое место.

  1. Размещение файлов вредоносной программы на электронных

1 *У

досках объявлений (BBS) , в глобальных информационных сетях . Элек- тронные доски объявлений обеспечивают хранение и обмен информацией между пользователями не связанными между собой компьютерными сетями. Администраторы электронных досок объявлений часто разграничивают доступ пользователей к информации (по времени работы, по возможности копирования информации, по возможности размещения информации). На отдельные доски объявлений может иметь доступ лишь ограниченный круг пользователей. Преступник может поместить на конкретную BBS вредоносную программу для дальнейшего ее распространения среди других пользователей. Таким способом, по информации ОАО «ДиалогНаука», распространялась троянская программа под видом официального дополнения к производимой этой компанией антивирусной программе Dr.WEB - WEB70801.322.

По тому же самому принципу могут строиться действия преступника в глобальных информационных сетях. В глобальной информационной сети также организуется обмен информацией между пользователями. Пользователи имеют возможность приобретать программное обеспечение, получать другую информацию. Помещая в определенных местах вредоносную программу, преступник предоставляет возможность всем или ограниченному кругу пользователей, имеющих доступ к этой информации, перенести ее на свою ЭВМ. Собственно действия преступника по внедрению вредоносной программы заканчиваются на этапе помещения вредоносной программы, все остальные действия осуществляются самим пользователем3. В апреле 2001 года корпорация Microsoft сообщила о возможном заражении некоторых файлов, выпускаемых этой компанией для устранения дефектов своих программных продуктов, распространявшихся через один из официальных сайтов компании,

Подробнее об электронных досках объявлений см., например: Фролов А.В., ФроловГ.В. Осторожно: компьютерные вирусы. - С.50.

Подробнее о глобальных сетях см., например: Фролов А.В., Фролов Г.В. Глобальные сети компьютеров. Практическое введение в Internet, Е-Mail, FTP, WWW и HTML, программирование для Windows Sockets. -М.: ДИАЛОГ- МИФИ, 1996. - С.3-5; Нанс Б. Указ. соч. - С.365-366.

3 См., например: Фролов А.В., Фролов Г.В. Осторожно: компьютерные вирусы. - С.50; Касперский Е.В. Компьютерные вирусы: что это такое и как с ними бороться. - С.66-67.

230

вирусом FunLove. В 1999 году этот же вирус распространялся вместе с драйверами для принтеров компании Hewlett-Packard, которые были предоставлены для получения с официального сайта компании. В конце 2000 года, вместе с программой устранения дефектов в игре «Корсары», с официального сайта российской компании 1С распространялся вирус WIN95.CIH («Чернобыль»).

  1. Рассылка вредоносных программ по электронной почте . По мере распространения этого вида связи действенность такого способа распространения будет возрастать. Как правило, рассылка вредоносной программы осуществляется путем присоединения ее к файлам-носителям (документам Microsoft Word, таблицам Microsoft Excel, архивным, графическим и другим файлам данных и программам)2.
  2. Размещение файлов вредоносной программы на ЭВМ общего пользования. Как правило, на предприятиях, в учреждения, в организациях ЭВМ закреплены за конкретными сотрудниками и допуск к ним других лиц может быть ограничен. Другое дело представляют собой компьютеры библиотек, учебных заведений и других публичных учреждений. К этим компьютерам имеют доступ десятки и сотни людей. Каждый, кто работает на этих компьютерах, может иметь возможность использовать свои машинные носители информации, эксплуатировать установленное программное обеспечение, может осуществлять обмен информацией и т.д. В числе этих действий могут быть и действия по установке в такие компьютеры вредоносной программы. Таким образом, другие лица, работающие на указанной ЭВМ, получают возможность приобрести вредоносную программу на свои машинные носители, вместе с программами и файлами данных. ЭВМ в этом случае является промежуточным звеном, используемым преступником для распространения вредоносной программы3.
  3. Распространение машинных носителей информации (ЭВМ), содержащих вредоносные программы. Данный способ распространения вредоносных программ прямо указан в ст. 273 Уголовного кодекса Российской Федерации. Суть данного способа состоит в том, что преступник копирует на машинный носитель вредоносную программу и впоследствии данный машинный носитель переходит к другим пользовате-
  4. Подробнее об электронной почте см., например: Фигурнов В.Э. Указ. раб. - С.57, 60; Фролов А.В., Фролов Г.В. Глобальные сети компьютеров. - С.12-18; Нанс Б. Компьютерные сети: Пер. с англ. - М.: Восточная Книжная Компания,
    • С.74-77.

См., например: Касперский Е.В. Компьютерные вирусы: что это такое и как с ними бороться. - С.65-66.

3 См., например: Касперский Е.В. Компьютерные вирусы: что это такое и как с ними бороться. - М.: СК Пресс, 1998. - С.68.

231

лям. При запуске вредоносной программы с этого машинного носителя информации и осуществляется несанкционированное воздействие на информацию. О существовании самой вредоносной программы на ма шинном носителе, пользователь не догадывается. Чаще всего вредонос ные программы распространяются на, так называемых, «пиратских дис ках», машинных носителях, содержащих, контрафактное программное обеспечение. В декабре 1999 года УФСБ Ростовской области были за держаны двое граждан, занимавшихся распространением лазерных дис ков (компьютерных CD-дисков), содержащих различные вредоносные программы1. Однако это не означает, что только контрафактное про граммное обеспечение может содержать вредоносные программы, не только копии фалов данных и программ, полученных на машинных но сителях от знакомых, родственников и других лиц, но и программное обеспечение, распространяемое вполне легально фирмами-

производителями программных продуктов. Так, Е.В.Касперский приводит данные фирмы Sophos, которые свидетельствуют о продаже только в 1990 году более 50 тысяч копий электронного журнала «PC Today» (Ве- ликобритания) на дискетах, содержащих компьютерный вирус DISKKILLER. Аналогичный случай был зафиксирован в 1999 году при распространении фирмой Microsoft тестовых версий своих программных продуктов. Преступники могут использовать свои связи в указанных организациях для проведения акций, связанных, например, с дискредита-

2

циеи конкурента на рынке программных продуктов .

Распространение вредоносных программ вместе с самой ЭВМ отчасти является частным случаем распространения машинных носителей информации, так как ЭВМ как комплекс аппаратных средств может включать встроенный машинный носитель информации (жесткий диск). На данном машинном носителе или в энергонезависимой памяти ЭВМ и размещается вредоносная программа, о которой пользователь не мог знать при приобретении компьютера. Так, например, компьютерный вирус EDDIE появился в России (тогда еще СССР), вместе в компьютерами, собранными в Болгарии. Имеются случаи распространения вредо-

См.: «В Ростове арестованы продавцы электронных болезней …» / Комсомольская правда, от 9 декабря 1999 года.

Подробнее об этом способе см., например: Касперский Е.В. Компьютерные вирусы в MS DOS. - С.5; Касперский Е.В. Компьютерные вирусы: что это такое и как с ними бороться. - С.27, 68; Фролов А.В., Фролов Г.В. Осторожно: компьютерные вирусы. - С.50-52; Файтс Ф., Джонстон П., Кратц М. Указ. соч. - С.57; Таили Э. Указ. соч. - С. 104-105 и другие.

232

носных программ и через сервисные службы, занимающиеся техническим обслуживанием ЭВМ1.

  1. Предоставление в пользование ЭВМ с программным обеспечением, содержащим вредоносную программу. Функционирующая программа на ЭВМ лица, предоставившего ее в пользование другому лицу может позволить первому контролировать действия второго, собирать необходимую информацию или иначе воздействовать на ту информацию с которой он работает.
  2. Реклама и распространение программного обеспечения, содер-э/сащего вредоносные программы. Данный способ выделен из других по причине наличия в нем предварительного предложения приобрести программное обеспечение, обращенного к конкретному пользователю или индивидуально неопределенному кругу лиц, или иным образом воспользоваться им. В какой форме будет осуществляться последующее распространение, с использованием машинных носителей, через глобальную информационную сеть, не имеет принципиального значения. Подобно данному случаю могут действовать и преступники, предлагая конкретному пользователю свою вредоносную программу, впоследствии, с его на то согласия, передавая ему ее для использования, тестирования, демонстрации и т.д. Так существующая программная закладка PswForm направляется с адреса stack@aport.ru от имени компании «Стек», являющейся разработчиком известного информационного поискового сервера Rambler, с предложением заполнить анкету пользователя и направить его на адрес компании. Вместо отправки на адрес компании «Стек» программная закладка направляет заполненную анкету на адрес своего создателя. Случай направления в адрес коммерческой фирмы машинного носителя информации, содержащего программное обеспечение с внедренной программной закладкой, с предложением использовать его для улучшения работы бухгалтерии был зафиксирован в Санкт-Петербурге.
  3. См., например: Касперский Е.В. Компьютерные вирусы в MS DOS. -С.5; Касперский Е.В. Компьютерные вирусы: что это такое и как с ними бороться.
    • С.68.

233

Приложение 3 к стр. 63-65

ПРОГРАММНЫЕ И АППАРАТНО-ТЕХНИЧЕСКИЕ

СРЕДСТВА СОВЕРШЕНИЯ ПРЕСТУПЛЕНИЙ,

связанных с созданием, использованием и распространением

вредоносных программ для ЭВМ

Наиболее специфичными средствами совершения преступлений, связанных с созданием, использованием и распространением вредоносных программ будут являться средства компьютерной техники. В соответствии с существующей классификацией средств компьютерной техники они подразделяются на программные и аппаратные средства компьютерной техники.

В зависимости от совершаемых преступником действий, эти средства совершения преступлений можно разделить:

• Средства создания вредоносных программ.

• Средства использования и распространения вредоносных про грамм.

Все используемые при создании вредоносных программ программные средства могут быть разделены на четыре группы:

1) Системы программирования (инструментальные программные средства). В их состав входят два основных элемента: различные языки программирования и специальные программы (компиляторы), предна- значенные для преобразования команд с определенного языка програм- мирования в некоторую последовательность «машинных» команд, то есть осуществляющих перевод команд ЭВМ с языка, доступного и легко читаемого человеком, на язык команд для самой ЭВМ. Кроме этих двух составляющих, в системы программирования может включаться некоторая программа-оболочка, основная цель которой заключается в облечении работы пользователя с программой в процессе ее написания, отладки и компиляции (преобразования в последовательность машинных команд).

Такие программные средства, как правило, снабжены библиотеками функций, которые в свою очередь можно разделить на стандартные и пользовательские.

Стандартные библиотеки поставляются разработчиком или рас- пространителем систем программирования вместе с основным комплектом инструментальных программных средств. Их характерной особенностью является наличие таких библиотек практически у всех пользователей указанного программного продукта. К пользовательским библиотекам относят все остальные библиотеки, частично созданные самим

234

пользователем или, что в практике встречается чаще, заимствованные у других лиц.

Системы программирования могут быть различными. В настоящее время различные языки программирования (Assembler, Pascal, С) используются в инструментальных программных средствах различных разработчиков. При создании вредоносных программ могут быть использованы практически любые из них.

В.И.Ярочкин рассматривая возможные средства создания вредоносных программ, отмечал, что такие программы как компьютерные вирусы пишутся на языке профаммирования Assembler, в то время как профаммные закладки могут реализоваться с использованием таких языков как Pascal, С и других1. Такая разница была обусловлена в основном необходимостью создания компактных, небольших по размеру компьютерных вирусов. В настоящее время ситуация несколько изменилась и разница между языками программирования как средствами создания вредоносных профамм стерлась.

Выбор их преступником во многом будет зависеть от его собственных навыков профаммирования, от его опыта создания аналогичных или схожих профамм, привычек, технических возможностей предоставляемых языком, от характера решаемых с их помощью задач, наличия у профаммиста необходимых библиотек функций и ряда иных факторов.

б) Специальные программные средства. К ним относятся про-фаммы, специально предназначенные для создания вредоносных профамм.

В качестве примера можно привести профаммы для создания компьютерных вирусов. Многие из них описаны в технической литературе и, как правило, представляют собой автоматизированные средства разработки компьютерных вирусов. Примерами таких автоматизированных систем являются: The Virus Constructor Set (VCS), The Virus Creation Laboratory (VCL), The Instant Virus Production (IVP) и другие2. Данные профаммы снабжены необходимыми для их нормальной работы библиотеками функций и сопроводительной документацией. Часть из них, самые простые, предназначены для создания исходного текста профаммы компьютерного вируса, который впоследствии сам преступник может через определенные профаммные средства преобразовать в готовую профамму. Другие, предоставляют своим пользователям, диалоговую

Ярочкин В.И. Безопасность информационных систем. - М.: “Ось-89”, 1996.- С.125.

2 См. например: Фролов А.В., Фролов Г.В. Осторожно: компьютерные вирусы. - М: ДИАЛОГ-МИФИ, 1996. - С.43-44; Касперский Е.В. Компьютерные вирусы: что это такое и как с ними бороться. - М.: СК Пресс, 1998. - С.21-22, 56, 274-276.

235

программу-оболочку, иногда совмещенную со стандартными программными средствами, что значительно облегчает работу над созданием вредоносных программ. К примеру, в таких диалоговых программах-оболочках пользователь, выбирая из предложенных ему некоторых заранее обусловленных создателем таких автоматизированных систем свойств вредоносных программ, определяет набор свойств создаваемой вредоносной программы. Как во всех хороших программных продуктах и в этих системах не ограничивается творчество авторов. Кроме «стандартных» свойств, задаваемых с помощью этих систем, программам можно придать и иные свойства, однако это уже требует их написания вручную на определенном языке программирования. Время создания вредоносных программ в таких системах минимально.

Основное отличие таких систем от систем программирования, заключается в их исключительной направленности на создание вредоносных программ.

Специальное программное обеспечение может создаваться как самим преступником, так и быть получено им из других источников.

Сама по себе такая программа не представляет опасности для компьютерной информации и с точки зрения Уголовного закона не является вредоносной. Однако наличие у преступника такой программы может служить основанием для вывода о возможном ее использовании при создании вредоносных программ.

в) Тестовые и отладочные программные средства. Данный вид программных средств используется преступником для проверки работо способности созданной вредоносной программы, выявления недостатков в работе, определения ее возможностей. Выбор преступником таких программных средств во многом зависит от характеристик выбранного им объекта воздействия (определенная операционная система, опреде ленные форматы (типы) файлов и другие).

г) Маскирующие программные средства. Такие средства исполь зуется совместно с вредоносной программой для обеспечения скрытого их распространения и использования. Несмотря на то, что такие средст ва не используются преступником при непосредственном создании вре доносной программы, они также относятся к таким средствам, так как, по нашему мнению, подготовку к распространению и использованию вредоносных программ следует выделить в отдельный этап их создания.

Программы-носители наносят лишь косвенный вред, «транспортируя» саму вредоносную программу, которая, может обладать способностями самостоятельного прикрепления к программе-носителю или передать ей указатель на ее размещение. В самой программе-носителе, как правило, нет функций, способных оказать вредное воздействие на предмет преступного посягательства и соответственно, сама эта программа вредоносной не является. Вредоносная программа, использующая про-

236

грамму-носитель, попадает с ее помощью в компьютерную систему, а далее действует в зависимости от заложенных в нее функций.

С точки зрения криминалистики, не меньшее значение будет иметь и классификация камуфляжных (маскирующих) программных средств по субъекту их разработки:

• Программные средства, создаваемые самим преступником, для дальнейшего их использования в качестве средств маскировки вредоносных программ или в иных целях. • • Программные средства, создаваемые другими разработчиками, для решения различных задач, как правило, не связанных с преступной деятельностью. • Аппаратно-технические средства, используемые при создании вредоносных программ условно можно разделить по основным направ- лениям использования в процессе создания вредоносной программы:

а) Средства, используемые для непосредственного создания вре доносных программ и подготовки их к распространению.

б) Средства, используемые для отладки и тестирования работы создаваемой вредоносной программы.

Средства совершения преступлений, связанных с использованием и распространением вредоносных программ можно разделить также по этапам применения на:

• Средства необходимые для технического доступа к программным средствам, внедрения вредоносной программы и ее использования; • • Средства получения доступа к средствам передачи, хранения и • обработки компьютерной информации или к иным средствам компьютерных систем, с помощью которых возможен технический доступ. Совершение противоправных действий с компьютерной информацией путем использования или распространения вредоносных программ возможно только через оборудование, которое предназначается для передачи, хранения или обработки указанной информации или иное оборудование, которое использует преступник в случае воздействия его на компьютерную информацию, находящуюся на отдельных съемных машинных носителях.

Для получения доступа к месту нахождения такого оборудования, месту хранения машинных носителей информации, или месту возможного их использования преступнику необходимо преодолеть определенные препятствия, которые и преодолеваются с использованием средств, являющихся традиционными и хорошо известными в криминалистике. В качестве примера можно привести инструмент для взлома двери помещения, в котором находится ЭВМ - объект предполагаемого преступного воздействия.

237

К средствам обеспечения доступа к компьютерной информации передаваемой, хранимой или обрабатываемой в компьютерной системе, относятся некоторые устройства не являющиеся традиционными аппа-ратно- техническими средствами компьютерных систем, но использующиеся для преодоления технической защиты компьютерной информации (устройств идентификации пользователей по отпечаткам пальцев, устройств опознавания пользователя по геометрическим признакам руки, устройств опознавания пользователей по голосу, электронных ключей, электронных карточек и других средств)1.

Доступ непосредственно к компьютерной информации с использованием работающих с ней аппаратно-технических средств, включая разнообразные машинные носители информации, определяется как технический доступ и соответственно средства, используемые для этого, как средства технического доступа.

Средства технического доступа по составу используемых средств компьютерной техники также можно разделить на две группы:

• Средства непосредственного технического доступа. • • Средства удаленного (опосредованного) технического доступа. • Обе группы средств технического доступа могут быть как программными, так и аппаратно-техническими. Их состав, технические характеристики и программные возможности зависят от выбранного преступником способа распространения или использования вредоносных программ.

К аппаратно-техническим средствам непосредственного технического доступа можно отнести все средства компьютерной техники, соединительные кабели и другие средства, с помощью которого преступник может получить доступ к компьютерной информации, не прибегая к помощи телекоммуникационных систем. К таким средствам относят: ЭВМ; различные машинные носители информации (дискеты, лазерные диски, магнито-оптические диски, стриммерные кассеты с магнитной лентой и пр.); периферийное оборудование (стриммеры, выносные дисководы и винчестеры, устройства работы с магнитооптическими дисками и пр.); соединительные кабели и т.д.

К программным средствам непосредственного технического доступа можно отнести любое программное обеспечение, с помощью которого преступник осуществляет действия по управлению аппаратно-техническими средствами, непосредственно взаимодействующими с компьютерной информацией. Это могут быть специальные программы подбора паролей и имен законных пользователей, а также другие программы, выполняющие разнообразные функции, требующиеся для дос-

См., также: Расследование неправомерного доступа к компьютерной информации. / Под ред. Н.Г.Шурухнова. - С.250; Белкин П.Ю., Михаль-ский О.О., Першаков А.С. и др. Указ. работа. - С.6-15.

238

тупа к компьютерной информации и обеспечения работы с ней. Кроме специально созданных, могут использоваться и программы специально не предназначенные для осуществления таких функций. К ним относятся программы, обеспечивающие обмен данными между различными машинными носителями информации, запись данных на машинный носитель информации и пр.

Аппаратно-технические средства удаленного доступа состоят из тех же аппаратно-технических средств, которые используются и при непосредственном техническом доступе, а также специальных средств связи и устройств ЭВМ, обеспечивающих удаленный технический доступ.

К средствам, обеспечивающим удаленный технический доступ, можно отнести сетевое оборудование (при доступе из локальных сетей), а также средства доступа в удаленные сети (средства телефонной связи, модем)1. Преступник может использовать те или иные средства как отдельно, так и в различных комбинациях, например, доступ к локальной сети ЭВМ через имеющийся в ней модем, обеспечивающий связь этой сети с глобальными информационными сетями по каналам телефонной связи.

Программные средства удаленного доступа могут также совпадать с программными средствами, использующимися при непосредственном доступе, однако в этом случае большое значение имеют используемые преступником коммуникационные программы, обеспечивающие связь ЭВМ преступника с атакуемой компьютерной системой. Например, при распространении вредоносных программ с использованием электронной почты может потребоваться наличие специальных почтовых программ. Компании, предоставляющие услуги электронной почты, предлагают своим абонентам созданные для них программы (например, почтовая программа фирмы Relcom, Microsoft Outlook). Кроме таких программ существует и масса иных, имеющих более или менее широкое распространение, например, МТЕ, Telix, Microsoft Exchange, Bat2. Если эти программы используются преступником для распространения вредоносных программ, то такие программы становятся средствами преступления.

См., например: Расследование неправомерного доступа к компьютерной информации. / Под ред. Н.Г.Шурухнова. - С.112.

2 См, например: Фролов А.В., Фролов Г.В. Глобальные сети компьютеров. - С.12-18.

239

Приложение 4 к стр. 44-46, 85-88

ОПИСАНИЕ СЛЕДОВ

внедрения, функционирования и воздействия

вредоносных программ для ЭВМ

  1. Следы изменения файловой структуры, системных областей машинных носителей информации и постоянной энергонезависимой памяти:

• появление новых файлов. Вирусы Cannibal. 1261, Cannibal. 1312 -создают файл C:\VIRUS.$$$\cannibal.max, который содержит некоторый текст. Bug.920 производит поиск *.ЕХЕ файлов и создает для этих файлов файлы с расширением *.СОМ (СОМ-файлы). Вирус SinCam может создавать в корневом каталоге файл sincam.sys в который записывает некоторый текст. Скрытая вредоносная программа Navidad сохраняет свой код в каталоге Windows в фале с именем winsvrc.vxd; • • появление нового программного обеспечеушя. Вирус Search.4148 создает файл AIDSTEST.EXE (антивирусная программа), который при старте имитирует работу данного антивируса. Вирус Virogen.PinWorm создает отдельную директорию и в ней 13 файлов, названия которых составляет цельную фразу; • • появление новых файлов, среди отмеченных как удаленные1. Вирус ArjVirus производит поиск файлов с расширением ARJ (один из самых распространенных форматов архивированных файлов) на машинном носителе. При нахождении таких файлов, создает файл со случайным именем, состоящим из 4 букв от ‘А’ до ‘V и с расширением СОМ. В данный СОМ-файл вирус записывает свой код. После чего, вирус вызывает программу самого архиватора Arj.exe и с ее помощью отправляет этот временный файл в найденный архив. После указанных манипуляций вирус уничтожает созданный СОМ-файл. Вирус BAT.Batalia создает в процессе своей работы временный каталог, записывает туда рабочие файлы и уничтожает их после окончания работы; • • преобразование файлов (смена форматов файлов). Вирусы BootExe.443, BootExe.451, BootExe.452 воздействуют на файлы с расши рением ЕХЕ (ЕХЕ-файлы), внедряя свой код в заголовок ЕХЕ-файлов, превращая файл из формата ЕХЕ в формат СОМ-файла (файлы с расши рением СОМ);

1 Как правило, файлы не уничтожаются физически. Операционные системы помечают их как удаленные, а место занимаемое ими считается свободным для записи.

240

• переименование файлов. В отличие от предыдущей позиции формат переименованных файлов не меняется. Вирус Carbuncle ищет в текущем каталоге файлы с расширением ЕХЕ и переименовывает их в файлы с расширением CRP; • • изменение содержания файлов. Вирус Macro.Excel.Hidemod перехватывает процедуру подсчетов (ChangeCell) в таблицах Microsoft Excel и с вероятностью 30% при пересчете значений уничтожает исходные формулы и оставляет вместо них подсчитанный результат. Вирус Sh.1333 уничтожает файлы chklist.ms и c:\????f?c?.* (таблицы антивирусных программ ADinf и ADinfExt) и создает их заново сменив содержимое; • •удаление файлов. Вирус Beda.1530 удаляет файлы, начинающиеся на -V, WEB, AIDS, A-DIN (начальные символы наименования файлов антивирусных программ). Вирус Bones - 7 числа уничтожает содержимое дискеты, к которой происходит обращение, и основного жесткого диска. Bug.920 - удаляет файлы c:\chklist.*. MtE.Insuff ищет СОМ-файлы и записывается вместо них;

• повреждение файлов. Вирус Rogue. 1208 повреждает файлы с расширением DBF (файлы баз данных формата dBase). SillyRCE.972 при старте программ, способен уничтожить их, записывая в них случайную информацию; • • изменение времени и даты создания файлов’, • • изменение атрибутов файлов; • • изменение размеров файлов. Это характерно для многих компьютерных вирусов, увеличивающих размер заражаемых файлов; • • отсутствие доступа к файловой структуре или ее части (изменение разметки машинного носителя или отдельных его частей). Например, вирус Andrew - после 512 загрузок с жесткого диска пытается форматировать первую дорожку жесткого диска. Andromeda.758 - 5 октября пытается уничтожить содержимое 13 первых секторов машинного носителя информации обозначенного литерой А: (как правило, это обозначение устройства работающего с дискетами). Вирусы BackFormat.2000 (1,2) при форматировании гибких дисков, последовательно присваивают секторам значения в обратном порядке. Вирус Gloomy.2725 заменяет главную загрузочную запись машинного носителя на программу, которая после 511 загрузок ЭВМ форматирует машинный носитель; • • отсутствие доступа к информации, содержащейся в файлах (шифрование их содерэ/сания, загрузочных секторов машинного носите ля). Вирусы Monkey (1,2) при заражении шифруют оригинальный сис темную область машинного носителя информации. Вирусы OneHalf.3544, OneHalf.3570, OneHalf.3577 при каждой перезагрузке сис темы с жесткого диска последовательно шифруют все сектора на диске. Когда эти вирусы находятся в памяти, они контролируют чтение секто-

241

ров с зашифрованными данными и расшифровывают их. Если же вирусы будут удалены из главной загрузочной области и памяти, то восстановление зашифрованных секторов окажется невозможным;

• изменение содержания постоянной энергонезависимой памяти ЭВМ. Вирус Vlad записывает свой код в перепрограммируемое ПЗУ Flash BIOS, если оно имеется на ЭВМ.

  1. Следы изменения настроек ЭВМ и отдельных программ:

• исчезновение (удаление) настроек ЭВМ, хранящихся в энергонезависимой памяти ЭВМ. Вирус Cruel при определенном условия зависящем от системной даты уничтожает содержимое CMOS-памяти. Троянская программа WEB70801.322, помимо удаления информации в случайных секторах системного машинного носителя, удаляет содержимое CMOS- памяти; • • отключение отдельных устройств. Вирус Wart.559 отключает индикатор наличия дисководов в CMOS-памяти. Те же действия осуществляет и вирус Smeg.Pathogen.3732; • • подключение новых устройств; • • изменение системной даты и времени. Вирус Yom.529 меняет системную дату. Вирус Procuror изменяет значение часов реального времени в CMOS- памяти; • • изменение иных настроек ЭВМ; • • появление в программах информации о работе с новыми файлами. Например, в текстовых и табличных редакторах - Microsoft Word, Excel; • • несанкционированный запрет на использование отдельных опций меню программ. Вирус Macro.Excel.Legend после заражения документа Excel удаляет из меню «Tools» («Инструменты») опцию «Macro» («Макрос»). Вирусы Macro.Word.Tefaces, Macro.Word.WallPaper блокируют в редакторе WinWord опции «Macro», «Customize» в меню «Tools», опцию «Templates» в меню «File»; • • некорректная работа ЭВМ с устройствами, входящими в ее состав и периферийными устройствами; • • изменение внешнего облика программ. Macro.Word.WallPaper создает отдельный графический файл с изображением черепа и скре щенных костей и по 31 числам модифицирует файл параметров опера ционной системы Windows вставляя этот файл в настройки внешнего оформления Windows.

• изменение иных настроек программ.

  1. Следы нарушение работы ЭВМ, отдельных программ:

• невозможность загрузки ЭВМ. Как правило, является следстви ем уничтожения загрузочной области системного машинного носителя, системных файлов операционной системы;

• полное блокирование работы ЭВМ («зависание»). Например, SVK - в 1 час ночи и в 9 утра блокирует работу ЭВМ при чтении ма-

242

шинного носителя. 4res.l049 - в понедельник 1 числа производит те же действия;

• несанкционированная пользователем перезагрузка компьютера; • • отказ ЭВМ совершать операции с файлами. Вирус Adolf.475 -блокирует удаление файлов; • • уменьшение скорости работы ЭВМ. Вирус Asprin.2515 - оставляет в памяти резидентный код, производящий холостые циклы и замедляя скорость работы компьютера; • • изменение порядка загрузки операционной системы и других программ. Вирус Sandrine.445, в зависимости от своих внутренних счетчиков, может удалить файл C:\CONFIG.SYS, создать новый файл C:\AUTOEXEC.BAT, изменяющий порядок запуска программ, обеспечивающих работу ЭВМ; • • уменьшение свободного рабочего дискового пространства машинного носителя. BadSectors.3422, 3428 - способны устанавливать «плохие» кластеры машинного носителя информации (недоступные для использования) посредством манипуляций с FAT1. Программа Trojan.Readme создает файл C:\README.TXT и записывает в него текст «Fuck!!!» до тех пор, пока на диске не закончится свободное место. При этом выводит текст: «Пожалуйста, подождите, проверяется структура каталогов. Это может занять несколько минут …»; • • уменьшение объема оперативной памяти. Вирусы СеСе.1994, 1998 - содержат ошибку в своем алгоритме, из-за которой вирусы не проверяют наличия своей копии в памяти и многократно ее заражают; • • полное блокирование клавиатуры. Smeg.Pathogen.3732 в момент начала выполнения основной вредоносной функции перехватывает все действия пользователя с клавиатурой, тем самым блокируя его действия по остановке выполнения основной функции - уничтожение информации в случайных секторах, которое может продолжаться пока не будут уничтожены все данные, или не отключена ЭВМ, сделана ее перезагрузка. Многие другие вирусы уничтожают таблицу определения кодов клавиатуры, в результате чего работа компьютера парализуется; • • переназначение клавиш клавиатуры. Beda.1530 иногда изменяет в буфере клавиатуры нажатие клавиш F5, N, n соответственно на F8, Y, • у2;

FAT - это принятое сокращение, обозначающее таблицу размещения файлов на машинном носителе, т.е. некоторую выделенную область машинного носителя, содержащую информацию о порядке размещения файлов на нем.

2 Нажатие клавиш F5 и F8 традиционно используются в программах управления файловой системой как вызов функции копирования и удаления файлов соответственно, а буквы Y («Yes») и N («No») как под-

243

• дублирование нажатия клавиш клавиатуры. Вирус Metallica.1739 дублирует нажатие клавиш;

• изменение символов вводимых с клавиатуры («перехват нажатия клавиш»). Вирусы Shiny.921, Shiny.934 изменяют символы, вводимые с клавиатуры, например, следующие последовательности символов: « :-) на :-( или :=) на :=( или ;-) на ;-( или |-) на |-( или :) на :(»’. Вирус Tune.544 перехватывает нажатие комбинации клавиш [Ctrl]-[Alt]-[Del] и не дает произвести перезагрузку машины; • • блокирование вывода компьютерной информации на печатающее устройство. Эти действия осуществляются вирусами Balashiha.271, Printerceptor; • • несанкционированное изменение положения курсора на экране. Например, вирусы Atas.3215, 3233, 3321; • • изменение функций программного обеспечения. Вирус Anti-AVP после активизации начинает портить файлы AVP версии 2.x (базы данных антивирусной программы). В результате антивирусная программа AVP данной версии либо неправильно определяет имена вирусов, либо их не находит, либо просто портит файлы при устранении вируса; • • отказ или неоправданные прерывания работы программы. Скрытая вредоносная программа Navidad при своем функционировании блокирует работу большинства существующих программ;

• выполнение программами несанкционированных пользователем действий. Например, вирусы WM.Cap, заражая через текстовый редак тор открываемые документы в формате Word, производят сразу после его открытия его сохранение, вставив туда код вируса, что при должном внимании легко увидеть по производимым самим редактором автомати ческим действиям;

• отказ в работе с файлами данных;

• необоснованное возникновение аварийных ситуаций, либо их имитаций. А1В2.478 - по окончании своей работы вирус имитирует ошибку позиционирования на текущем диске и выводит соответствующее стандартное сообщение; • • несанкционированное пользователем обращение ЭВМ к различным устройствам. Например, Armagedon.1079 - с 5.00 до 6.00 вирус начинает работать с последовательными портами, видимо, пытаясь дозвониться до какого-то номера с помощью модема. Вирусы Novell.3120, • тверждение или отказ от выполнения действий. Переопределение клавиш может привести к удалению информации вместо ее копирования.

Последовательность этих символов представляет собой широко рас- пространенное обозначение смеющихся и грустных физиономий, повернутых по горизонтали, так называемых «Улыбок», часто использующихся в общении с использованием телекоммуникационных средств.

244

3128 определяют наличие локальной сети и предпринимает попытки «взлома» сети Novell обращаясь к коммуникационным устройствам;

• внешнее проявление воздействия на устройства ЭВМ. Вирус Singapore.521, Virogen.Offspring.l 130 при заражении файлов мигают лампочками на клавиатуре «Num Lock», «Caps Lock» и «Scroll Lock»; • • неустойчивые коммуникативные связи в компьютерной системе, либо их блокирование. Компьютерный червь Code Red Worm и ряд его последующих модификаций организуют в период с 20:00 до 23:30 по определенным дням направление запросов со всех зараженных компьютеров на официальный сайт Белого Дома, чем вызывали его перегрузку и отключение; • • выход из строя и отказ от работы устройств ЭВМ. Вирус Win95.CIH («Чернобыль») и его последующие модификации, помимо затирания информации на машинном носителе путем записи поверх него случайной информации, пересылают теже случайные данные в перезаписываемое программируемое устройство ПЗУ (Flash BIOS), чем вызывают повреждение материнской платы ЭВМ. Восстановлению она подлежит на специальном оборудовании путем перепрограммирования заново ПЗУ, но на целом ряде ЭВМ, в основном переносных это бывает не возможным. • 4. Следы воздействия на системы защиты и конфиденциальность информации. Данная подгруппа является специфической и может выражаться в различных формах:

• изменение полномочий пользователей. В результате этого все пользователи получают возможность оказывать любое воздействие на конфиденциальную информацию: знакомиться с ней, модифицировать, уничтожать и т.д. Например, вирус Novell-528 выполняет функции направленные на добавление прав доступа к сетевым каталогам. Однако возможны ситуации при которых в правах доступа к компьютерной системе будет оказано пользователю, имеющему необходимые для этого полномочия; • • отключение защитных функций систем; • • появление «брешей» в защите систем. Вирус War Vote (Vote Virus - «вирус голосования»), появившийся сразу после событий 11 сентября 2001 года в США, помимо удаления файлов с жесткого диска, пытается создать дыры в защите атакованной компьютерной системы; • • перемещение, копирование информации из защищенных областей машинного носителя информации. Например, вирусы Login-2971/2967, Login-2972/2968 направляют свое действие на определение чужих паролей в локальной сети. Для этого во время работы программы LOGIN.EXE перехватывают коды символов, введенных с клавиатуры, которые затем накапливаются в зараженных файлах. Это пример работы перехватчика паролей, но существуют и специальные программы, занимающиеся сбором информации об атакуемой среде, полностью или час- •

245

тично сохраняющие перехваченную информацию в доступном преступнику месте.

• рассылка информации. Вирус SimCam в период функционирования в атакованной ЭВМ ищет файлы с расширением *.ZIP, *.DOC, *.XLS (файлы архивов, электронных документов и таблиц), выбирает один из них и направляет его электронной почтой по одному из адресов обнаруженных им в адресной книге данной ЭВМ. Вирус Stator похищает и направляет по электронной почте создателю идентификационные данные и пароли подключения к локальной вычислительной сети, Интернету и другие данные.

  1. Иные проявления воздействия и функционирования вредоносных программ:

5.1. Видеоэффекты:

• смена позиций символов на экране монитора. Вирус А&А с февраля по ноябрь каждый час переставляет соседние символы на экране; • • стирание содержимого экрана монитора. А1ех.818 - стирает содержимое экрана; • • перемещение, мигание экрана монитора. После каждого 4 заражения файла вирус Blink.501 «мигает» экраном. Yankee.2561 по 20 числам «трясет» экран. Троянская программа WEB70912.324 медленно гасит и восстанавливает экран; • • неоправданный вывод на экран монитора системных сообщений (маскировка под действия стандартных программ). Например, SMEG.Trivia.2437 - в пятницу 13 числа при запуске зараженной программы выдает сообщение «This program requires Microsoft Windows.». Вирусы Ash.712, 737 - заражают один системный файл COMMAND.COM и при работе могут выводить сообщение «Bad command or file name» не допуская запуска программы. Вирус Voronezh.650 иногда выводит на экран сообщение «Video mode 80x25 not supported»; • • вывод на экран монитора сообщений, касающихся авторства программы или ее наименования («визитные карточки»). Таким образом, преступники стремятся обозначить свое авторство вредоносной программы. Например, вирус CivilDefence.33 выводит текст «Товарищ лозинский! CDV непобедим - вы зря тратите время, пытаясь вылечить с… компьютеры. Вас приветствует Civil Defence Virus (CDV ver 3.3) (с) 1992 Новосибирск»; • • появление на экране монитора шутливых, нецензурных, оскорбительных и иных сообщений. BackUSSR - 7 октября выводит текст «Гт backing to the USSR!»; • • появление на экране монитора графических (псевдографических) изображений. Walker.3846 периодически выводит на экран в текстовом режиме шагающего человечка. Union. 1449 иногда выводит в графическом видеорежиме два флага украинский сине-желтый и российский •

246

красно-сине-белый и текст «УКРАИНА И РОССИЯ ПОРОДНИЛИСЬ НАВСЕГДА!!!»;

• появление на экране монитора анимационных изображений. Вирус Burma.442 воспроизводит следующий видеоэффект: все символы на экране, кружась, исчезают в центре экрана. Caterpillar (1-11) - через некоторое время после установки в память вирусы «выпускают» на экран зеленую гусеницу состоящую из символов «ппппааппую», которая, ползая по экрану, «поедает» его. Cpsu.680 - перемещает четные строки экрана в одну сторону, нечетные - в другую. Вирус Stardot.979 создает эффект «осыпания букв» - перемещение символов за нижнюю границу экрана; • • вывод на экран монитора приглашения к «игре». PlayGame.2000 в декабре с 21 часа вирус выводит приглашение к игре - небольшая игра связанная с движением и маневрированием между препятствиями. Casino.2330 15 января, апреля и августа считывает в память загрузочную запись (FAT) текущего диска и предлагает поиграть в «рулетку», и в случае выигрыша восстанавливает запись, проигрыша - полностью уничтожает ее. • 5.2. Сообщения, выводимые на печатающее устройство:

• появление несанкционированного сообщения при печати документа. Amse (2) - иногда выводит на принтер следующий текст «ANGEL X ТЕ SALUDA (с) Laboratorio Luz de Luna LIMA - PERU»; • • несоответствие содержания выводимой на печать информации ее результату. Вирус Procuror при выводе на печать цифр 0-4 в документе, вместо них выводит значения увеличенные на 1, а вместо цифры 5 выводит 0. • 5.3. Аудиоэффекты:

• проигрывание мелодий. Вирус VS.2790, если в течение 6 минут не было нажатий на клавиши, исполняет гимн СССР. VS.3900, 4000 при отсутствии ввода с клавиатуры в течение 15 минут выводят одну из 4 мелодий;

• воспроизведение звуковых сигналов. Вирус Smile.4320 - может проиграть «хохот и удаляющиеся шаги».

247

Приложение 5 к стр. 136

МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ

по осмотру, фиксации и изъятию

средств компьютерной техники

Деятельность следователя по производству осмотра средств ком- пьютерной техники может быть представлена в виде следующего алгоритма:

  1. Внимательно осмотреть место обнаружения ЭВМ и других периферийных устройств, машинных носителей информации.

При этом обращается внимание на предметы и устройства, нахо- дящиеся во взаимосвязи с ЭВМ, на установление внешних воздействий: магнитные поля различной природы, любые источники излучений, влага, температурные воздействия, физические нагрузки и другие естественные факторы или потенциальные источники их возникновения. Эти вредные воздействия необходимо зафиксировать и немедленно устранить в целях обеспечения сохранности информации.

Необходимо определить наличие в данной ЭВМ устройств работы с внешними (съемными) машинными носителями информации (диско- водов, устройств для работы с лазерными дисками, стримеров и т.д.) с целью определения наличия в них машинных носителей информации и получения информации о том какого рода машинные носители вероятнее всего будут выявлены в ходе проведения следственного действия.

Если из-за особенностей функционирования компьютерной системы сразу отключить ее не представляется возможным, необходимо на- метить с помощью специалистов систему мер по предотвращению возможного распространения вредоносных программ.

Обращается внимание на возможные посторонние загрязнения на столе или в другом месте, где была установлена ЭВМ, а также на другие признаки, указывающие на то, что ЭВМ или периферийные устройства перемещались, производилось их переподключение и т.д.

  1. Визуально определить рабочее состояние ЭВМ и других уст ройств. В.В.Крылов, выделяет следующие признаки работающего ком пьютера: « … подключение его проводами к сети, шум работающих внутри него вентиляторов, мигание или горение индикаторов на перед них панелях системного блока, наличие на экране изображения.»1. Тре буется выяснить размещение в помещении конкретной ЭВМ, наличие и

См.: Крылов В.В. Информационные компьютерные преступления. - С.77.

248

размещение периферийных устройств (принтеров, сканеров и т.д.) наличие подключения к сети ЭВМ и электросети, внешнее и функциональное состояние устройств и коммуникаций (наличие повреждений, наличие загруженной в принтер бумаги, наличие сканируемого изображения в сканере, работа модема и т.д.) и выявить признаки работы этих устройств.

  1. Если на момент осмотра ЭВМ не работала, на ощупь или визуально, зафиксировать признаки недавней его работы. Это могут быть нагрев блока питания, нагрев монитора, статическое электричество на экране монитора, нагрев и работа некоторых периферийных устройств подключенных к ЭВМ и т.д. Мгновенно эти устройства остыть не могут и если ЭВМ выключили за несколько секунд до прихода СОГ эти признаки спрятать трудно. Выявленные признаки подлежат обязательной фиксации в протоколе.
  2. В случае работы ЭВМ, оценить информацию изображенную на дисплее, а также функционирующие программы и выполняемые ЭВМ действия. На момент осмотра в ЭВМ могут функционировать вредоносные программы или оставаться не зафиксированными в долговременной памяти следы их взаимодействия с компьютерной информацией. Процесс их функционирования может быть отражен на мониторе, что необходимо зафиксировать.
  3. Это важно и в случае задержания с поличным лица, создающего и использующего вредоносные программы, так как он может взаимодей- ствовать с вредоносными программами. Оценка указанной информации крайне важна в связи с возможными дальнейшими действиями следователя. Он может принять решение о нормальном завершении работы программ, что предпочтительней, но не всегда возможно; об экстренной остановке работы компьютерной системы, в том числе путем отключения электропитания; о прекращении работы ЭВМ с машинными носителями информации (извлечение последних, например, при удалении информации с дискеты); о продолжении выполнения ЭВМ некоторых действий, например, по приему информации из некоторой удаленной компьютерной системы или по выводу на печатающее устройство текстовой информации. Существенную помощь следователю в определении дальнейших действий должен оказать специалист в области средств компьютерной техники.

  4. В зависимости от принятого решения следователем, выполнить действия, связанные с экстренным прекращением работы отдельных программ, с прекращением работы самой ЭВМ или с разрывом комму никационных связей и остановкой работы отдельных устройств. Эти действия названы экстренными, так как направлены на обеспечение со хранности компьютерной информации, не только той, которая позволит уличить преступника в совершенных противоправных действиях, но и компьютерной информации, которая была подвергнута вредоносному

249

воздействию. Предпринимаемые действия могут не оставить времени для фиксации работы ЭВМ с использованием видео- или фотосъемки, однако если такая возможность есть ею лучше воспользоваться.

  1. Зафиксировать внешний вид экрана дисплея с использованием фото-, видеосъемки. Следует отметить, что все выполняемые действия с программами, включая прекращение их работы, копирование, следует фиксировать с использованием фото-, видеосъемки. Последнее в этом случае предпочтительнее, так как позволяет фиксировать процессы и производимые действия в динамике. Это особенно важно, когда фиксируются видео- или аудиопроявления вредоносных программ (мигание экрана, появление надписей, проигрывание мелодий, блокирование работы клавиатуры, мыши и т.д.). Эти проявления могут позволить установить конкретную программу, которая выполнялась на ЭВМ, даже в случае ее уничтожения или самоликвидации.
  2. Сфотографировать место обнаружения ЭВМ, устройств и предметов по правилам узловой фотосъемки. Это позволит зафиксировать положение ЭВМ относительно других предметов вещной обстановки, наличие и положение, используемых вместе с ней устройств. Фотоснимки оформляются в виде фототаблицы в качестве приложения к протоколу осмотра.
  3. Произвести измерения и зафиксировать в протоколе осмотра положение ЭВМ, устройств и предметов относительно других предметов вещной обстановки. При фиксации следует обратить внимание на положение самого системного блока (как основного элемента ЭВМ), положение периферийных устройств, клавиатуры, дисплея и других предметов и документов.
  4. Выполнить узловую схему места нахождения ЭВМ с указанием на ней положения ЭВМ, устройств и других предметов и документов. Схема оформляется в виде приложения к протоколу осмотра.
  5. С помощью специалиста произвести съем информации, кото рая может быть получена с функционирующей ЭВМ. В случае если ЭВМ производила вывод компьютерной информации на печатающее устройство или осуществляла иные действия не связанные с удалением, на наш взгляд, их следует продолжить до полного завершения. Необхо димо получить информацию обо всех файлах, с которыми работали на данной ЭВМ на момент осмотра (в текстовых, графических и других ре дакторах, инструментальных средах). По возможности должны быть за фиксированы все выполняющиеся в данный момент программы, вклю чая те, которые находятся в памяти компьютера и визуально не наблю даются. Вредоносные программы также могут не проявлять своего функционирования. Для выявления работы таких скрыто функциони рующих программ требуется помощь специалиста, который сможет за фиксировать их состояние. Не все программы функционирующие скры то от пользователя, включая вредоносные программы, могут быть обна-

250

ружены стандартными средствами и методами. Значительное их число, находясь в оперативной памяти компьютера, не могут быть зафиксированы средствами операционной системы. В этом случае специалисту следует произвести съем информации с оперативной памяти компьютера зафиксировав ее «образ» в виде отдельного файла или иным подобным образом. Анализ этого «образа» позволит обнаружить код вредоносной программы и доказать ее присутствие в осматриваемой ЭВМ. В любом случае все действия специалиста должны проводиться в присутствии понятых, комментироваться им и фиксироваться с использованием ви- деозаписи и в протоколе следственного действия. Если возникает угроза уничтожения информации при этих и подобных им действиях, от них следует отказаться.

Многие текстовые, табличные, графические и другие редакторы, включая инструментальные средства разработки программ, снабжены функциями отмены произведенных пользователем действий. Если такая возможность имеется, следует ей воспользоваться с целью фиксации первоначального состояния содержания электронных документов, исходных текстов программ, которое было изменено в ходе последнего сеанса функционирования редактора.

С использованием встроенных возможностей операционной системы, прикладных программ, следует определить с какими конкретными файлами данных и программами за последний период взаимодействовала ЭВМ. Так различные текстовые и другие редакторы, включая редакторы инструментальных программ, в зависимости от установок пользователя могут хранить несколько имен и адресов файлов, с которыми они работали, что может позволить определить факт работы с вредоносными программами, использования конкретных машинных носителей информации. Это может позволить получить информацию о файлах, которые возможно подверглись воздействию вредоносных программ, а также о файлах-носителях вредоносных программ, что позволит определить область распространения вредоносных программ, например, компьютерных вирусов, и локализовать их дальнейшее распространение.

То же замечание касается специальных программ, работающих с глобальными информационными сетями. Помимо того, что такие программы хранят в памяти последние адреса глобальной сети, к которым осуществлялся доступ, а также отобранные пользователем адреса для постоянной работы, эти программы могут хранить всю историю работы с программой за некоторый период. Получение информации об этом достаточно трудоемкая задача, требующая много времени и поэтому проводить ее лучше в рамках специального исследования.

Другая возможность получения информации с функционирующей ЭВМ связана с, так называемым, буфером обмена. Эта область оперативной памяти, зарезервированная операционной системой или отдельной программой под обмен фрагментами машинного кода файлов. С ис-

251

пользованием этого буфера обмена могут перемещаться между доку- ментами фрагменты информации, например, фрагменты исходного текста вредоносных программ. В операционной системе Windows этот буфер обмена является общим и действует для всех программ, работающих в данной операционной среде, поэтому даже при завершении работы определенной программы, информация, которая помещалась в него пользователем сохранится. Другой случай связан с работой в операционной системе DOS, где каждая конкретная программа резервировала под свою работу свой буфер обмена и при прекращении своего функционирования он уничтожался. Однако даже в этом случае о возможности поиска и наличия информации в буфере обмена забывать не следует.

  1. По возможности, извлечь все внешние машинные носители информации, соблюдая правила определенные для изъятия указанных объектов. Извлекаются они из ЭВМ с соблюдением правил сохранения следов на самой ЭВМ и на машинных носителях. Машинные носители из устройств извлекаются за торцевые края, избегая контактов рабочих поверхностей машинного носителя с частями ЭВМ и другими предметами. Детальный осмотр извлеченных машинных носителей производится отдельно.
  2. Принять решение о проведении осмотра компьютерной информации, хранящейся на машинных носителях. Принятое решение касается всех обнаруженных в ходе проведения осмотра машинных носителей информации.
  3. В случае положительного решения последовательно произвести осмотр компьютерной информации, на обнаруженных машинных носителях. Последовательность и рекомендации по его проведению изложены в Методических рекомендациях по осмотру компьютерной информации, находящейся на машинных носителях (см. Приложение 6). В противном случае осмотр переносится на более позднее время.
  4. Корректно завершить работу программ. При этом следует не просто закрыть программы, но и сохранить все файлы данных, с которыми работала ЭВМ на момент осмотра. При сохранении файлов следует помнить, что важна не только информация, с которой работали на данной ЭВМ на момент осмотра, но и первоначальная информация, которая может быть получена при использовании описанной выше функции отмены действий пользователя. Поэтому при сохранении таких файлов данных следует менять их имена, сохраняя их на отдельный машинный носитель информации, что позволит сохранить и первоначальный файл, и его измененную версию. Первоначальные имена файлов, с которыми работала программа, а также их новые имена должны быть зафиксированы в протоколе следственного действия.
  5. Для сохранения или создания в ходе описанных выше действий файлов лучше использовать отдельный внешний машинный носитель информации, который специально готовится следователем или специа-

252

листом. Лишь в крайнем случае следует использовать встроенный или иной обнаруженный машинный носитель. Это обуславливается возможностью восстановления, имевшихся на данном машинном носителе файлов и программ, ранее удаленных самим преступником, пользователем или вредоносной программой. Кроме того, на незанятых частях машинного носителя могут содержаться фрагменты кода вредоносных программ, а также создаваемые ими рабочие файлы. Подобное исследование требует значительного времени и достаточно высокой квалификации специалиста, поэтому в ходе осмотров такие манипуляции не производятся, а осуществляется это уже в рамках специального исследования.

  1. Выключить монитор и все другие, соединенные с ЭВМ, устройства.
  2. Выключить ЭВМ. В некоторых источниках рекомендуется отключать ЭВМ не путем выключения тумблера питания, а сразу от электросети, например, извлечением вилки из розетки или отключением источника бесперебойного питания1.
  3. В протоколе подробно описывается местоположение ЭВМ, устройств и предметов, указываются особенности и выявленные изменения, отражаются все произведенные в отношении них измерения, действия, их техническое состояние, положегше переключателей, тумблеров на момент осмотра, наличие встроенных машинных носителей информации, сведения об извлеченных из ЭВМ машинных носителях и дальнейшие манипуляции с ними, данные полученные в ходе осмотра компьютерной информации. Кроме этого в протоколе указываются все приложения, которые приобщаются к данному протоколу осмотра.
  4. Тщательная фиксация всех производимых с ЭВМ действий, не только обеспечит полноту фиксации проводимого следственного действия, но и позволит эксперту (специалисту) воссоздать в ходе исследования (или эксперимента) ситуацию, которая была выявлена на момент осмотра.

Здесь следует сделать еще одно важное замечание. Если специальные программы для определения конфигурации ЭВМ могут быть применены в ходе осмотра непосредственно на месте происшествия, они должны применяться, с оформлением полученных результатов их работы в виде приложений к протоколу следственного действия.

В протоколе должны быть зафиксированы факты применения для осмотра программ с указанием их реквизитов (наименования, версии, режимов в котором она использовалась). В ряде случаев предлагается вскрывать кожух ЭВМ для визуального определения ее конфигурации.2

См.: Аверьянова Т.В., Белкин Р.С, Корухов Ю.Г., Российская Е.Р. Кри- миналистика. Учебник для вузов, 1999. - С.958.

2 См.: Там же. - С.958.

253

И тот, и другой вариант действий можно использовать в случае, когда изымается не ЭВМ, а лишь встроенный машинный носитель информации. Воссоздать без подобной фиксации конфигурацию ЭВМ, в дальнейшем, для проведения исследований и других следственных действий, будет крайне сложно.

С этого момента начинается осмотр выключенного компьютера.

  1. Отключить ЭВМ и все остальные устройства от электросети. Эти действия отмечаются в протоколе с указанием конкретных мест подсоединения к электросети и устройств, через которые такое соединение осуществлялось. Имеет смысл также осмотреть электророзетки, отметить их состояние, наличие следов искрения, отсутствие заземления и т.д. Это будет важно при проведении профилактической работы следователя, направленной на обеспечение предупреждения не только преступлений рассматриваемой нами категории, но и случаев производственного травматизма, пожаров и т.д.
  2. Осмотреть заднюю стенку системного блока ЭВМ. Выявить расположение штекерных разъемов и подключение к ним соединительных кабелей различных устройств и других ЭВМ, подключение сетевых электрических кабелей. Отключенные ранее следователем кабели, с помощью которых ЭВМ была соединена с другими ЭВМ или устройствами, при этом подключать не следует. Места их подключения должны быть ранее зафиксированы в протоколе следственного действия.
  3. Сфотографировать штекерные разъемы с подсоединенными к ним кабелями. Зарисовать схему разъемов и подключение к ним кабелей, предварительно промаркировав разъемы и кабели. Промаркировать и зафиксировать следует не только подключенные кабели и разъемы, но и те которые были ранее отключены.
  4. Последовательно отсоединить кабели, соединяющие ЭВМ с периферийными устройствами и сетевым оборудованием. При отсо- единении необходимо отметить в протоколе, какой кабель, какие устройства соединял. Можно все соединительные кабели маркировать, например, прикрепив к ним бирки с номерами и отразить эти номера на схеме соединения устройств компьютера. Если эти кабели не жестко закреплены в периферийных устройствах или самой ЭВМ, их осматривают, описывают в протоколе и изымают. При описании фиксируются все имеющиеся маркировочные обозначения на кабелях, надписи, повреждения и другие их особенности и характеристики.
  5. Отсоединение кабелей устройств от ЭВМ должно осуществляться только после отключения электропитания этих устройств, в противном случае, могут быть повреждены сами устройства.

  6. Оборудовать рабочее место для проведения детального ос мотра.

С учетом характера вероятных следов и наложений на осматриваемых устройствах и предметах, требования, предъявляемые к обору-

254

дованию таких мест будут не сильно отличаться от традиционно принятых в криминалистике:

• чистая ровная поверхность (лист белой бумаги, стекло и т.д.);

• освещение, может быть естественным или искусственным и должно обеспечивать возможность тщательного осмотра предмета. При необходимости обеспечить возможность подключения дополнительных источников освещения, например, для осмотра предмета в косопадаю- щих лучах;

• наличие необходимого пространства для использования технико- криминалистических средств, которые могут быть использованы при осмотре; • • наличие возможностей для проведения всестороннего осмотра, без дополнительных перемещений; • • отсутствие сквозняков; • • отсутствие воздействия влаги, высоких или низких температур, а также внешних излучений способных оказать негативное воздействие на компьютерную информацию, находящуюся на машинных носителях. • Учитывая характер осматриваемых объектов рабочее место должно быть оборудовано на достаточном удалении от источников различных излучений способных повредить, имеющуюся в данных устройствах компьютерную информацию, включая другие работающие ЭВМ.

  1. С соблюдением требований о сохранности следов, переместить системный блок и другие устройства и предметы, включая машинные носители информации на подготовленное место для их дальнейшего осмотра.
  2. При необходимости отобрать пробы запаха со следов на системном блоке ЭВМ и других средств компьютерной техники. При отборе проб, прежде всего, необходимо обращать внимание на те поверхности, с которыми в первую очередь мог контактировать преступник (лицевая поверхность системного блока, кнопки устройств и тумблеров ЭВМ, штекерные разъемы и т.д.).
  3. Последовательно произвести детальный осмотр системного блока ЭВМ, машинных носителей информации и других устройств и предметов. В ходе осмотра следует обращать внимание на имеющиеся надписи, обозначения, наличие пломб и печатей, наличие или отсутствие крепления корпуса и т.д. Кроме этого устройство осматривается на предмет наличия на нем различных следов и иных посторонних наложений, оставленных преступником или имевших место на момент осмотра.
  4. Как правило, системные блоки ЭВМ закрыты кожухами. В случае если кожух снят, необходимо зафиксировать все видимые на именования, модели, серийные номера и особенности ЭВМ, а таксисе входящих в их состав электронных устройств, плат, микросхем, вклю чая особенности их состояния. Здесь необходимо обратиться за помо щью к специалисту, который может указать какие именно платы уста-

255

новлены в данном компьютере, каковы их серийные номера и особенности, которые следует внести в протокол осмотра. Он же может визуально определить наличие некоторых дополнительных плат и устройств, которые не являются основными в ЭВМ и их наличие лишь обеспечивает выполнение ЭВМ каких-либо дополнительных функций. По внешним признакам (характер запыленности, положение устройств, соединительных кабелей, шлейфов и т.д.) фиксируется возможная установка или удаление преступником или другими лицами печатных плат и других электронных устройств. Так преступником могут извлекаться или меняться положение устройств, обеспечивающих защиту от несанкционированного доступа. Например, одним из способов снятия парольной защиты с компьютера, является кратковременное отсоединение источника постоянного питания энергонезависимой памяти.

  1. Выявить невидимые и слабовидимые следы рук, локализацию загрязнений и других посторонних наложений на осматриваемых объ ектах.

Несмотря на то, что детальный осмотр начинается с изучения общего вида предмета и выявления характеризующих его признаков, полагаем, что если следователь рассчитывает обнаружить на предмете следы, то осмотр из-за боязни повредить их должен начинаться с их поиска, а состояние и признаки предмета можно определить потом. Кроме отпечатков пальцев, следует искать и посторонние наложения в виде текстильных или иных волокон, крови, грязи, пыли, так как обнаружение их поможет установить, факт контакта определенного лица с ЭВМ. Важно сохранить посторонние наложения на осматриваемых объектах в неизменном виде, так как даже их локализация имеет значение для последующего исследования.

Следует помнить, что невыявление указанных наложений при внешнем осмотре следователем не означает, что их нет. Они могут быть выявлены при экспертном исследовании с помощью специальных методик, поэтому некоторые объекты рекомендуется изымать и направлять для проведения экспертиз, например, встроенные устройства работы с машинными носителями информации. Исследование с целью выявления наложений должно проводиться, даже если прошло достаточно продолжительное время со времени вероятного контакта преступника с ним.

  1. Произвести детальную фотосъемку выявленных следов, загрязнений и повреэ/сдений на осматриваемых объектах. Фотоснимки оформить в виде фототаблицы в качестве приложения к протоколу осмотра.
  2. Выполнить схематическую зарисовку локализации и внешнего вида выявленных следов, загрязнений и повреждений на осматриваемых объектах (с определением на ней их взаиморасположения, формы, про- порций и т.д.). Схему оформить в качестве приложения к протоколу осмотра.

256

  1. Зафиксировать и изъять выявленные следы, посторонние наложения с соблюдением соответствующих правил выработанных криминалистикой для работы с данными объектами.
  2. Результаты детального осмотра занести в протокол следственного действия.
  3. При необходимости принять решение об изъятии системного блока ЭВМ или отдельных устройств установленных в нем, машинных носителей информации и других средств компьютерной техники, с которыми контактировал или мог контактировать преступник при совершении преступления. То же решение может быть принято в целях обеспечения проведения исследований, экспертиз и других следственных действий, например, следственного эксперимента. В любом случае решение об изъятии должно быть обоснованным.
  4. Иногда не имеет смысла изымать весь системный блок ЭВМ. В этих случаях изымается только встроенный машинный носитель информации и другие устройства, на которых остались следы преступления или необходимые для осуществления исследований и экспериментов, например, устройства для работы с машинными носителями информации. При этом делается тщательное описание конфигурации ЭВМ, проводится фиксация всех программных установок.

Впоследствии для проведения других исследований и следственных действий, например, следственных экспериментов, может потребоваться воссоздание обстановки, имевшей место на момент совершения преступления. Для этого потребуется использовать не только определенное программное обеспечение, но и те же или аналогичные им аппа-ратно- технические средства. Поэтому в протоколе следует отметить технические характеристики ЭВМ, наименования, модели, серийные номера, входящих в ее состав устройств, таким образом, чтобы в случае необходимости по этим данным можно было восстановить аналогичные по характеристикам ЭВМ или заменить поврежденные или утерянные устройства.

С учетом характера преступлений, связанных с созданием, использованием и распространением вредоносных программ, а также с учетом характера распространения самих вредоносных программ требуется изъять все машинные носители информации независимо от их принадлежности (личная собственность, собственность учреждения, третьих лиц и т.д.). Если останавливать некоторые технологические процессы не представляется возможным, по согласованию со специалистом может быть произведено копирование рабочей информации на внешний машинный носитель информации и дальнейшее исследование будет проводиться с ним.

Следует напомнить, что одной из причин, по которым потерпевшие в результате преступлений в сфере компьютерной информации, не обращаются в правоохранительные органы является то, что в случае

257

расследования убытки от действий правоохранительных органов могут оказаться значительно выше суммы причиненного ущерба1. Полное изъятие на неопределенное время всех средств компьютерной техники может привести к серьезным убыткам для организации.

  1. Упаковать изымаемые объекты с соблюдением правил сохран- ности следов и обеспечения безопасности их транспортировки. Рекомендации по упаковке объектов достаточно подробно описаны в литера-туре . Все устройства и предметы упаковываются отдельно. При необходимости также упаковываются и откопированные следы и наложения, которые направляются на экспертные исследования. При изъятии крупных предметов, таких как системные блоки, принтеры и прочие устройства, рекомендуется использовать упаковку фирмы- производителя данного оборудования или любую другую упаковку, позволяющую полностью поместить в нее данное устройство и зафиксировать его в ней. Как правило, это коробка, но в случае отсутствия последней можно использовать плотный пакет, либо чистую оберточную бумагу. После помещения в него устройства и перед опечатыванием такие упаковки обертываются или прошиваются бечевкой концы нитей, которой опечатываются.

На упаковке делается поясняющая надпись о ее содержимом, заве- ряется подписями понятых, специалиста и следователя.

Для сохранности микрочастиц на поверхности и внутри самих устройств и машинных носителей информации, рекомендуется помес- тить их в чистый пакет (конверт) или завернуть в чистую оберточную бумагу. Эту защитную оболочку необходимо тщательно заклеить, таким образом, чтобы исключить возможность контакта защищаемых поверхностей и поверхности защитной оболочки, и только после этого помещать их в жесткую упаковку.

Перед упаковкой необходимо зафиксировать все подвижные части устройств, а также все те их компоненты, которые не могут быть упакованы отдельно и отсоединены от данных устройств, но могут передвигаться и нанести ущерб имеющимся следам, повредить защитную упаковку, а также испортить само устройство. Так, подвижные части принтеров фиксируются распорками. Кабели, которые нельзя отсоединить от устройств, могут быть свернуты, помещены в отдельный пакет, выведены за пределы внутренней защитной упаковки и приклеены к ней. В устройства чтения машинных носителей информации иногда рекомендуется помещать чистую дискету или кусок картона. На некоторых уст-

1 См.: Вехов В.Б. Указ. работа. - С.45.

2 См., например: Пособие для следователя: Расследование преступлений повышенной общественной опасности. - С.448-449 и другие.

258

ройствах, например, сканерах или принтерах могут быть специальные переключатели, блокирующие перемещение подвижных частей.

Если упаковка не позволяет полностью исключить внешний доступ к устройству, например, отсутствует коробка или иная твердая упаковка, или используемая упаковка может быть при определенных условия повреждена (случайно порвана, разрезана и т.д.), в этом случае рекомендуется опечатать все имеющиеся разъемы, тумблера, устройства работы с машинными носителями информации, а также места соединения корпуса, чтобы не допустить включения устройства или проникновения внутрь его. Опечатывание производится полосками бумаги с печатью и подписями следователя, специалиста и понятых. При этом следует учитывать, что наклеивание таких печатей на поверхность устройства может повредить все, имеющиеся на ней следы, и поэтому такой способ следует применять только после выявления, фиксации и изъятия следов и иных посторонних наложений с этих поверхностей.

В ряде литературных источников рекомендуется для ослабления вероятных электромагнитных воздействий заворачивать упаковки с машинными носителями информации в алюминиевую фольгу или помещать их в специальные экранированные контейнеры, в любые другие алюминиевые футляры1.

Сами устройства и машинные носители информации должны быть закреплены внутри упаковок. Для этого можно использовать гофрированный картон, войлочные прокладки, пенопласт, свернутую бумагу и т.д.

Особое внимание следует обратить на упаковку клавиатуры, джойстика, манипулятора «мышь» и других устройств, с которыми вероятнее всего мог непосредственно контактировать преступник, а также съемных машинных носителей информации.

Запрещается делать какие-либо надписи и маркировки непосредственно на самих устройствах, повреждать их (пробивая в них отверстия, продевая проволоку, бечевку и т.д.). Запрещается прикреплять к ним наклейки, изменять состояние переключателей, тумблеров и т.д. Помимо этого необходимо в ходе дальнейшей транспортировки исключить возможность воздействия на них всех тех вредных факторов, о которых говорилось выше.

  1. Оформить все изъятые предметы и следы в качестве прило-э/сений к протоколу следственного действия.

См., например: Аверьянова Т.В., Белкин Р.С, Корухов Ю.Г., Российская Е.Р. Криминалистика. Учебник для вузов, 1999. - С.960; Пособие для следователя: Расследование преступлений повышенной общественной опасности. - С.438, 448 и другие.

259

Все производимые следователем или специалистом действия и полученные результаты должны тщательно зафиксироваться в протоколе следственного действия.

В протокол, в зависимости от вида осматриваемых объектов, по- следовательно заносятся выявленные признаки самого системного блока, отдельных электронных устройств, печатных плат, микросхем, пери- ферийных устройств, машинных носителей информации и других предметов, а также обнаруженных на них следов и других посторонних наложений:

• непосредственно само устройство: марка, серийные номера, размер, цвет, и материал корпуса, наличие наклеек, пломб, печатей, со стояние имеющихся переключателей и т.д. При этом следует учитывать, что значительная часть ЭВМ собирается вне заводских условий, поэтому серийные номера, позволяющие индивидуализировать ЭВМ, имеются только на электронных и электронно-механических устройствах, входя щих в ее состав;

• надписи на наклейках, пломбах, печатях: содержание, размер литер, положение надписи, цвет красителя, форма выполнения (рукописные, машинописные, выполненные путем вдавливания на поверхности корпуса, на алфавитно-цифровых печатающих устройствах и т.д.) и другие. • • следы и другие посторонние наложения: их характер, внешний вид, размер, форма, местоположение, цвет, наличие резкого запаха и другие индивидуализирующие особенности, а также с использованием каких инструментов и приспособлений, каким методом они выявлены. • Также описываются отдельные детали устройств, машинных носителей информации, их размеры, повреждения на них. При описании устройств указывается положение отдельных частей (переключателей, каретки принтера, защитных прорезей и переключателей дискет и т.п.). Запрещается во время осмотра разбирать машинные носители и устройства, производить эксперименты с ними.

При осмотре внутреннего устройства ЭВМ необходимо с помощью специалиста внимательно осмотреть и описать установленные в ней устройства по приведенной выше схеме. Следует также отметить наличие в ЭВМ устройств обеспечения защиты от несанкционированного доступа, других нештатных устройств и зафиксировать их положение и состояние.

Вторым этапом осмотра является осмотр компьютерной информации, находящейся на машинном носителе, который описан в Методических рекомендациях по осмотру компьютерной информации, находящейся на машинных носителях (см. Приложение 6).

Определенным своеобразием обладает осмотр локальных вы- числительных сетей ЭВМ (ЛВС).

260

В ходе подготовки к осмотру, на его начальной стадии следователю необходимо получить от владельцев, пользователей, собственников локальной вычислительной сети ее схему, ее технические характеристики, технические характеристики отдельных ЭВМ, входящих в ее состав, и периферийных устройств и другую необходимую техническую информацию. В ходе проведения осмотра необходимо провести проверку наличия и целостности средств компьютерной техники ЛВС и соответствие их представленным схемам.

В ходе проведения осмотра следователю необходимо выяснить местоположение всех элементов данной локальной сети, возможности подключения к ней, возможности выхода и проникновения в сеть из глобальной информационной сети, целостность кабелей, места их прокладки, состояние устройств телекоммуникации (модемов, факсмодемов), их расположение и подключение к внешним каналам связи. Помимо этого, необходимо начертить схему соединения устройств и при необходимости оформить ее в качестве приложения к протоколу осмотра.

Следователю необходимо выяснить назначение каждой ЭВМ, вхо- дящей в состав сети, круг лиц, имеющих доступ к ней, систему регистрации пользователей и систему администрирования, а также применяемые средства обеспечения безопасности сети и защиты данных. Полученные сведения должны быть отражены в протоколе следственного действия.

Помимо действий следователя по проведению осмотра, с учетом характера распространения вредоносных программ, следователь должен принять меры по их локализации в данной сети. Это может быть достигнуто ограничением доступа к ресурсам и рабочим станциям сети, отключением локальной сети от внешних каналов связи и т.д. Эта же информация поможет обнаружить копии вредоносной программы и вероятные следы ее воздействия.

261

Приложение 6 к стр. 136

МЕТОДИЧЕСКИЕ УКАЗАНИЯ

по осмотру компьютерной информации, находящейся на машинных носителях

Деятельность следователя по производству осмотра ЭВМ, описанная в Методических рекомендациях по осмотру, фиксации и изъятию средств компьютерной техники (см. Приложение 5), не будет полной без проведения осмотра компьютерной информации, находящейся на машинных носителях. Такой осмотр может оформляться либо в виде части протокола следственного действия (осмотра, обыска, выемки), либо в виде отдельного протокола осмотра машинного носителя информации.

Прежде чем перейти к рассмотрению последовательности проведения осмотра компьютерной информации, необходимо сделать несколько важных замечаний, которые лежат в основе организации проведения такого осмотра в рамках следственного действия:

• осмотр должен производиться лично следователем или иным лицом, производящим следственное действие; • • ход и результаты осмотра фиксируются в протоколе следственного действия и приложениях к нему; • • фиксация проводится с максимальной детализацией описаний объектов, которые могут иметь значение для расследования преступлений. В первую очередь, это касается вредоносных программ, файлов подозрительных на наличие в них вредоносных функций, файлов, доступ к которым не удалось осуществить в ходе осмотра, файлов, чье содержание не соответствует их положению и характеристикам и т.д. Наиболее трудные для понимания реакции ЭВМ на действия тех или иных программ должны быть максимально подробно описаны с учетом нажатия каждой клавиши клавиатуры, открытия той или иной программы, воспроизводимых компьютером видео- и звуковых эффектов и т.д.; • • осмотр компьютерной информации, хранящейся на машинном носителе, должен начинаться только после выявления, фиксации и изъятия, имеющихся на нем следов и иных посторонних наложений, которые содержат криминалистически значимую информацию; •

• в целях обеспечения сохранности компьютерной информации, находящейся на машинном носителе, желательно проводить осмотр точной копии машинного носителя информации (его образа); • • при осмотре желательно участие специалиста в области средств компьютерной техники. По просьбе следователя, специалист должен дать свою оценку тем или иным возникшим ситуациям осмотра, связанным с особенностями каких-либо файлов, возможностям воспроизведе- •

262

ния той или иной информации и предлагаемых им способах фиксации важных для расследования данных и оказывать следователю иную консультационную помощь;

• осмотр должен производиться с использованием специально подготовленных программных и аппаратно-технических средств компьютерной техники. Здесь имеется в виду подготовка необходимых сертифицированных устройств, подбор и подготовка сертифицированного программного обеспечения, которое может понадобиться в ходе проведения осмотра; • • следует ограничить действия с компьютерной информацией на машинном носителе просмотром и фиксацией ее содержания; • • для дачи пояснений следователю по поводу, хранящейся на ма- шинном носителе информации, может быть приглашен представитель потерпевшей стороны или иные лица, собственники или пользователи машинных носителей. При этом следователь должен помнить о возможной заинтересованности лица, дающего пояснения, в результатах расследования и делать собственные выводы, основываясь на помощи специалиста, участвующего в осмотре; • • осмотр должен проводиться в помещении, где исключается воз- действие вредных для машинного носителя информации факторов. • Осмотр компьютерной информации - это не столько техническое, сколько процессуальное действие и к нему предъявляются все процессуальные требования установленные законом.

При подготовке и проведении осмотра машинного носителя сле- дователю следует придерживаться следующей последовательности1:

  1. Выполнив все необходимые и указанные в законе действия, свя- занные с началом следственного действия, прежде чем устанавливать машинный носитель в устройство для работы с ним, необходимо по возможности защитить машинный носитель от несанкционированного воздействия на компьютерную информацию, хранящуюся на нем, установить защиту от записи данных на машинный носитель. Это не всегда возможно, но когда такая возможность есть ею необходимо воспользоваться, что позволит избежать обвинений со стороны изобличенного злоумышленника в намеренном изменении компьютерной информации, находящихся на конкретном машинном носителе. Следователь или специалист должен предъявить машинный носитель понятым и комментируя свои действия осуществить приведение машинного носителя в режим защиты от записи (например, на дискетах, магнито-оптических дисках, стриммерных кассетах - меняется положение переключателей, прорези, которые могут быть заклеены).

См. Приложение 1. Схема №21 «Последовательность проведения ос- мотра компьютерной информации, находящейся на машинном носителе».

263

Эти и все последующие действия непосредственно с самим машинным носителем информации, а также с компьютерной информацией хранящейся на нем, должны подробно комментироваться следователем или иным лицом, производящим осмотр, а при необходимости специалистом.

  1. Перед началом осмотра, следователь должен уведомить понятых и других участников следственного действия с использованием каких средств компьютерной техники будет производиться осмотр. Это должно быть зафиксировано в протоколе. В протоколе необходимо зафиксировать модели и серийные номера ЭВМ и других устройств, которые будут использоваться при проведении осмотра (принтера, устройств для работы с машинными носителями информации и т.д.). Тоже замечание касается и программных средств, однако, точно сказать какие будут применены, может быть не всегда возможным, в этом случае присутствующие лица уведомляются о том, что эта информация будет доведена до них в ходе проведения осмотра, а зафиксирована она будет непосредственно по завершении следственного действия.
  2. Принять решение о необходимости фиксации хода осмотра и его результатов с использованием видеозаписи или фотосъемки. Если необходимо зафиксировать какие-либо особенности работы тех или иных программ, создаваемые ими видео-, аудиоэффекты и другие внешние проявления и в других случаях, кроме детального описания в протоколе, целесообразно провести видеозапись или фотосъемку изображения непосредственно с экрана монитора компьютера. Видеозапись в этом случае предпочтительнее, так как позволяет совместить фиксацию визуальных и звуковых эффектов, выдаваемых устройствами компьютера в результате работы какой-либо программы. Если произвести видеозапись нельзя, можно использовать фотосъемку изображения с экрана монитора. Для фиксации одних звуковых эффектов воспроизводимых устройствами компьютера можно использовать диктофон.
  3. В случае большого количества следов оказанного вредоносной программой воздействия или большого количества информации, находящейся на машинном носителе, а также в случае невозможности воспроизведения содержания некоторых файлов следователю целесообразно принять решение о проведении фиксации с использованием видеозаписи всего хода осмотра, ведя видеосъемку непосредственно с экрана компьютера. В ряде случаев для этого могут использоваться и технические возможности ЭВМ, связанные с возможностью записи компьютерного изображения непосредственно на видеокассету.

Применять видеозапись рекомендуется и в том случае, если осмотр машинного носителя информации осуществляется непосредственно на месте происшествия или на месте его обнаружения. Это сократит время на его проведение и обеспечит полноту фиксации.

264

Видеокассета, на которую производится видеозапись, должна быть оформлена в качестве приложения к протоколу осмотра. На ней должна быть сделана соответствующая надпись, которая заверяется подписями следователя, специалиста и понятых.

Сделанные фотоснимки оформляются в фототаблицы, которые в качестве приложения приобщаются к протоколу осмотра.

О применении в ходе следственного действия дополнительного оборудования к ЭВМ для фиксации хода и результатов осмотра, а также о применении фотографирования и видеозаписи для этих же целей должно быть сообщено присутствующим при проведении следственного действия лицам и зафиксировано в протоколе.

  1. Проверить машинный носитель информации на наличие вредоносных программ или программ схожих с ними. Для этого могут использоваться специальные программные средства, которые позволяют получить информацию об обнаруженных вредоносных программах и программах сходных с ними. Результаты работы таких программ могут фиксироваться и приобщаться к протоколу осмотра в виде отдельного приложения с указанием наименования антивирусной’ программы, ее.. версии, регистрационного номера, даты последнего обновления вирусной базы и т.д. Антивирусные программы не могут определять все существующие вредоносные программы. Именно поэтому важно в протоколе отразить какая именно программа использовалась.

Следует сделать важное замечание, касающееся работы антивирусных программ. Просмотр компьютерной информации с их помощью должен осуществляться без удаления обнаруженных вредоносных программ, восстановления файловой системы и отдельных файлов и каких-либо иных изменений компьютерной информации на осматриваемом машинном носителе.

Необходимость проведения проверки машинного носителя на наличие вредоносных программ на этом этапе, даже до проведения общего осмотра компьютерной информации, находящейся на машинном носителе, обусловлена необходимостью выявления, например, так называемых, загрузочных вирусов, которые начинают функционировать при обращении к зараженному машинному носителю. Наличие данных компьютерных вирусов должно быть зафиксировано и специалист должен принять решение о возможности проведения дальнейшего осмотра. При необходимости осмотр может быть продолжен, однако в этом случае вирус придется удалить с машинного носителя, в противном случае это может повлечь его перенос в программное обеспечение, использующееся в ходе осмотра и негативно воздействовать на его работу. Принятое решение и все дальнейшие манипуляции с машинным носителем должны быть подробно описаны в протоколе следственного действия. Следует помнить, что неосторожные и неквалифицированные действия с вредоносными программами могут повлечь уничтожение или повреждение

265

хранящейся на машинном носителе информации и средств компьютерной техники, с помощью которых производится его осмотр.

  1. Произвести, по возможности и необходимости, копирование (создание образа) машинного носителя информации на аналогичный ему носитель. Это достаточно сложное действие, представляющее собой не просто создание копий отдельных файлов на определенный машинный носитель, а точное копирование всей имеющейся на машинном носителе информации, с сохранением его служебной разметки и взаиморасполо жения файлов на поверхности машинного носителя информации. Одна ко современные программные средства позволяют его произвести, и осуществлять его должен специалист. В результате такого копирования компьютерная информация, находящаяся на машинном носителе, не по страдает, а для осмотра будет получена его точная копия. Это может по зволить в ряде случаев, при наличия каких-либо нетрадиционных защит, избежать повреждения оригинала. Правда это не всегда представляется возможным и необходимым. Невозможно это, например, в случае ис пользования защиты от такого копирования. Поэтому, в случае если данным ничто не угрожает и диск защищен от записи и изменений, можно произвести осмотр и оригинала. Однако в случае обнаружения на диске защиты необходимо зафиксировать в протоколе признаки, по ко торым эта защита была выявлена, и при необходимости передать ма шинный носитель на экспертизу, сформулировав соответствующие во просы и определив тем самым направление исследований.

В целом, это предложение не бесспорно, так как делать осмотр предмета или его копии не одно и тоже. Но, исходя из требований сохранности следов, можно пойти и на это. Кроме того, оригинал остается неповрежденным и в случае возникновения вопросов, связанных с его осмотром, можно провести его повторный осмотр. Аналогичная точка зрения на проведение осмотра копии, а не оригинала машинного носителя информации уже выказывалась в литературе1.

  1. Если следователем было принято решение о создании копии машинного носителя информации и создание копии было успешно за вершено, зафиксировать с использованием каких средств осуществлено создание образа машинного носителя, а также индивидуализирующие характеристики самого машинного носителя, на котором создан образ. Весь дальнейший осмотр компьютерной информации проводится по созданной копии машинного носителя информации. Если создать образ по каким-либо причинам не удалось, эти причины следует указать в протоколе следственного действия и, в зависимости от них, принять ре шение о возможности продолжения осмотра непосредственно оригинала машинного носителя информации.

См., например: Криминалистика: Учебник для вузов/ Под ред. проф. А.Ф.Волынского, 1999. - С.599-601.

266

  1. Перед проведением детального осмотра, целесообразно провести общий осмотр компьютерной информации, находящейся на машинном носителе. Последовательно просматривая все имеющиеся файлы и каталоги, следователь, используя консультативную помощь специалиста, формирует у себя суждение о характере информации, находящейся на машинном носителе. В ходе общего осмотра необходимо выявить, какое программное обеспечение установлено на машинном носителе, какие имеются файлы данных и где они расположены, где расположены выявленные вредоносные программы и файлы, схожие с ними, а также файлы, на которых имеются следы воздействия вредоносных программ. Эту операцию целесообразно совместить с воспроизведением и фиксацией характеристик файловой структуры.
  2. Обнаруженные антивирусными программами вредоносные программы или программы схожие с ними должны быть по отдельности осмотрены следователем с указанием в протоколе полных характеристик таких файлов. Распечатка их содержимого может ничего не дать, так как программы могут не проявляться при выводе на печать, а печать машинного кода ничего не даст, так как трудночитаема даже для специалистов. Поэтому вся дальнейшая работа с такими файлами должна осуществляться в рамках экспертного исследования. Запускать такие программы, открывать их с помощью различных редакторов, также не рекомендуется, так как действия вредоносных программ могут повредить компьютерную информацию.
  3. Произвести детальный осмотр всех файлов данных (текстовых, табличных, графических файлов, файлов баз данных и т.д.), файлов, со- держащих в себе следы действия вредоносных программ, а также других файлов имеющих значение для расследуемого преступления. При по- дозрении на возможность повреждения программного обеспечения, ис- пользующегося при проведении следственного действия в результате просмотра содержимого файла, от этого следует отказаться и поставить этот вопрос перед экспертом.
  4. При осуществлении этого этапа осмотра следует помнить о таких общих тактических принципах осмотра как плановость, полнота и по- следовательность. При этом именно эта часть осмотра наиболее трудоемкая и занимает основной объем времени.

Для рассматриваемой категории преступлений особое значение будут иметь файлы с исходными текстами программ, а также файлы содержащие описания программ, включая вредоносные.

Файлы, информация из которых может быть распечатана или иным образом зафиксирована на месте без использования дополнительных аппаратно- технических и программных средств, распечатываются и приобщаются к протоколу осмотра в качестве его приложений и заверяется подписями понятых, специалиста и следователя. В самом протоколе

267

указываются полные характеристики этих файлов и делается ссылка на созданное приложение.

Содержание текстовых, табличных, графических файлов, имеющих значение для следствия, кроме оформления в качестве приложения к протоколу осмотра, можно фиксировать в протоколе, частично используя правила фиксации в протоколе рукописных и машинописных документов, указывая заголовок текста, его начало и конец. Кроме этого могут фиксироваться параметры страницы, число и параметры отдельных абзацев, общее число значимых символов и т.д. В различных программах, в различных формах организации данных эти характеристики могут быть различными, поэтому систематизировать их и дать общие для всех файлов рекомендации крайне сложно.

Фиксацию содержимого иных файлов, включая файлов баз данных, учитывая возможную сложность этой операции, при необходимости следует поручить эксперту. В ходе осмотра следует ограничиться лишь описанием их полных характеристик.

  1. В протоколе осмотра с указанием полных характеристик рекомендуется отражать все файлы, просмотреть которые не удалось, используя имеющееся программное обеспечение. Эти файлы могут быть в нестандартном формате, зашифрованы или закрыты для просмотра оп- ределенными программами. Тоже замечание касается и любых других файлов, в отношении которых у следователя или специалиста возникли обоснованные предположения о наличии в них скрытой информации (здесь имеется в виду не только такой метод сокрытия информации как стеганография, но, например, несоответствие объема файла его содер- жимому). В протоколе обязательно фиксируются признаки, по которым можно судить о наличии защит, скрытой информации, шифрования и т.д.

При этом следует отметить, существующее мнение, высказанное некоторыми авторами о деятельности следователя по преодолению различных защит, включая защиту от несанкционированного доступа1. На наш взгляд, это не должно входить в задачи следователя. Это задача экспертного исследования и она должна осуществляться не следователем и даже не специалистом, а экспертом с использованием специальных средств и методов, позволяющих обеспечить сохранность всей информации защищенной таким образом, а также выделить индивидуализирующие признаки самой используемой защиты (например, пароли, алгоритм работы и т.д.). Анализ последней информации может позволить установить владельца указанной информации или лицо, контактировав-

См., например: Аверьянова Т.В., Белкин Р.С, Корухов Ю.Г., Российская Е.Р. Криминалистика. Учебник для вузов, 1999. - С.955.

268

шего с ней. Это же замечание касается поиска, а также восстановления скрытой1 и удаленной информации.

Помимо этого в протоколе отмечаются все файлы, доступ, к которым был блокирован или их реакции на воздействия указывали на вероятное взаимодействие их с вредоносными программами.

  1. Произвести осмотр программного обеспечения, находящегося на машинном носителе. Цель данных действий зафиксировать состояние программного обеспечения на момент осмотра, их установки, настройки, возможности и работу с внешними программами и файлами.

Для выполнения осмотра программного обеспечения потребуется его запуск. Выполнять эту операцию до осмотра файлов не рекомендуется в связи с возможным воздействием на компьютерную информацию, хранящуюся на машинном носителе. Если велика вероятность такого воздействия, осмотр компьютерной информации следует проводить только после проведения экспертного исследования.

При осмотре программных средств следует обращать внимание, не совершала ли программа каких-либо визуально фиксируемых действий, которые могут свидетельствовать о воздействии на нее или функциони- ровании вредоносной программы. Обращается внимание на настройки, куда «по умолчанию» направляются создаваемые данной программой файлы, с какими конкретными файлами работала программа в последние несколько сеансов, на каких машинных носителях они находились.

При осмотре программ, работающих с глобальными информационными сетями, обращается внимание на загружаемые при запуске программы, а также на адреса сети, куда обращались с использованием данной программы, на зафиксированную «историю» использования программ, на временные и служебные файлы, оставшиеся после предыдущих сеансов работы. Детальное исследование полученной информации является задачей экспертного исследования.

При осмотре личных каталогов операционных систем обращается внимание на пользователей, которые имели доступ к средствам компьютерной техники и были зафиксированы системой. Доступ к информации из личных каталогов, в случае невозможности осуществить его непосредственно в ходе осмотра, является задачей экспертного исследования.

Большое внимание уделяется осмотру программ электронной почты, где фиксируются все исходящие и входящие отправления, пересылаемые с почтой файлы и адреса. Следует отметить, что изъятие данных непосредственно с серверов электронной почты может при необходимости осуществляться по правилам наложения ареста и выемки почтово-

Под скрытой информацией здесь имеется в виду сокрытие информации с использованием специальных программных средств.

269

телеграфной корреспонденции с предъявлением соответствующих требований к владельцу узла электронной почты.

Особое внимание уделяется содержанию адресных книг пользова- теля ЭВМ. Это позволит определить район вероятного распространения вредоносной программы и контакты пользователя.

В случае выявления в ходе детального осмотра файлов, входящих в конкретное программное обеспечение, несоответствия объемов и но- менклатуры, файлам и характеристикам программного обеспечения фирмы-производителя, это должно быть зафиксировано в протоколе осмотра. Однако в целом детальное изучение конкретного программного обеспечения на наличие в нем вредоносных функций является задачей экспертного исследования.

  1. В конце протокола осмотра должно быть уточнено и зафикси- ровано, какое программное обеспечение использовалось в ходе осмотра, его полное наименование, порядковый номер версии, серийные номера.

По завершении осмотра машинный носитель извлекается из соот- ветствующего устройства ЭВМ, упаковывается, упаковка опечатывается и заверяется подписями следователя, специалиста и понятых.

При осмотре машинных носителей информации, на которых по внешним признакам нет информации (отсутствие этикеток, надписей, отсутствие загрязнений и других следов эксплуатации) следователь должен использовать те же криминалистические рекомендации, что и при осмотре машинных носителей, которые были в эксплуатации. Результаты таких осмотров, как и осмотры машинных носителей, на которых следователем не было обнаружено никакой компьютерной информации, также могут заноситься в протокол. При этом машинные носители этой группы должны быть направлены на дополнительное исследование, так как на них может быть обнаружена и восстановлена удаленная информация. Помимо этого современные специальные программные средства, позволяют идентифицировать, на каком конкретном устройстве производилась разметка (форматирование) конкретного машинного носителя информации, что может позволить установить контакт владельца машинного носителя с конкретной ЭВМ.

Все дальнейшие действия с машинным носителем информации, в том числе и по решению возникших в ходе осмотра вопросов осуществ- ляются уже в ходе проведения компьютерно-технической экспертизы.

270

Приложение 7

ПРОГРАММА ИЗУЧЕНИЯ

уголовных дел о преступлениях, связанных

с созданием, использованием и распространением

вредоносных программ для ЭВМ

  1. Совершенное преступление:

1.1. Объективная сторона совершенного преступления, предусмотренно го ст.273 УК РФ:

• создание вредоносной программы; • • использование вредоносной программы; • • распространение вредоносной программы; • • несколько деяний, предусмотренных статьей 273 УК РФ (указать каких). • 1.2. Преступление, предусмотренное статьей 273 УК РФ, совершено в совокупности с иными преступлениями, перечисленными в статьях главы 28 «Преступления в сфере компьютерной информации» УК РФ:

• неправомерный доступ к компьютерной информации (ст.272 УК РФ); • • нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст.274 УК РФ); • • в совокупности с деяниями, указанными в статьях 272 и 274 УК РФ. • 1.3. Преступление, предусмотренное статьей 273 УК РФ, совершено в совокупности с иными преступными деяниями, неуказанными в п. 1.2:

•хищение: кража (ст. 158 УК РФ), мошенничество (ст. 159 УК РФ), вымогательство (ст. 163 УК РФ);

• причинение имущественного ущерба путем обмана или злоупотребления доверием (ст. 165 УК РФ); • • уничтожение и повреждение имущества умышленно (ст. 167 УК РФ) или по неосторожности (ст. 168 УК РФ); • • незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну (ст. 183 УК РФ); • • нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений (ст. 138 УК РФ); • • незаконное распространение порнографических материалов или предметов (ст.242 УК РФ); • • шпионаж (ст.275 и 276 УК РФ); • • диверсия (ст.281 УК РФ); • • иные преступления (указать какие). • 1.4. Неоднократность совершения обвиняемым (подозреваемым) пре ступления, предусмотренного статьей 273 УК РФ.

271

1.5. Имелись ли в деле достаточные основания для освобождения лица, совершившего преступление, предусмотренное статьей 273 УК РФ, от уголовной ответственности.

  1. Характеристика создававшейся, использовавшейся или распро странявшейся вредоносной программы.

2.1. Проводились ли исследования вредоносной программы в ходе рас- следования преступления и до его начала. 2.2. 2.3. Вредоносная программа, которая создавалась, использовалась или распространялась, по способу создания относится к: 2.4.

• специально созданным; • • созданным путем, внесения изменений в существующие программы; • • модифицированным. • 2.3. Вредоносная программа, которая создавалась, использовалась или распространялась, по способности к самораспространению относится к следующим классам (видам):

• самораспространяющаяся (компьютерный вирус, компьютерный червь); • • программная закладка (осуществляющая сбор информации об ин- формационных процессах, протекающих в компьютерной системе; обеспечивающая неправомерный доступ; наделенная деструктивными функциями; блокирующая работу средств компьютерной техники; комбинированная). • 2.4. Вредоносная программа, которая создавалась, использовалась или распространялась, по наличию открыто декларируемых функций от носится к:

• троянским программам; • • скрытым вредоносным программам. • 2.5. Вредоносная программа, которая создавалась, использовалась или распространялась, по виду оказываемого ею воздействия относится к программам оказывающим:

• воздействие на общую работоспособность компьютерной системы; • • воздействие на системную область машинных носителей информации и файловую структуру; • • воздействие на конфиденциальность информации; • • воздействие на аппаратно-технические средства компьютерной техники; • • воздействие на здоровье человека; • • комбинированное воздействие (указать какое). • 3. Обстоятельства, связанные с событием преступления и его выяв лением.

3.1. Преступление, связанное с созданием, использованием и распро- странением вредоносной программы было выявлено:

• в ходе взаимодействия пользователей с компьютерной системой;

272

• при приобретении программных средств; • • в ходе оперативных мероприятий, проводимых правоохранительными органами; • • в ходе расследования преступлений в сфере компьютерной информации; • • в ходе расследования преступлений иных видов; • • иначе (указать как). •

3.2. Время совершения преступного деяния, связанного с созданием, ис- пользованием и распространением вредоносных программ. 3.3. 3.4. Сколько прошло времени с момента обнаружения преступления по- терпевшим до момента обращения в правоохранительные органы? 3.5. 3.6. Что влияло на решение потерпевшего обратиться в правоохранительные органы? 3.7. 3.8. Совпадает ли место совершения преступления с местом наступления (местом потенциально возможного наступления) вредного его результата? 3.9. 3.10. Была ли обнаружена в компьютерной система, на машинных носителях информации сама вредоносная программа? 3.11. 3.12. Создавалась ли вредоносная программа непосредственно на месте ее использования или вне этого места. 3.13. 3.14. Использовавшийся способ создания вредоносной программы: 3.15.

• создание новой программы (без использования пользовательских библиотек функций языка программирования; с использованием пользовательских библиотек функций языка программирования; с использованием специальных средств автоматизированной разработки); • • внесение изменений в существующие программы (с использованием собственного оригинального алгоритма реализации; с использованием заимствованного алгоритма реализации). • 3.9. Конкретный способ использования или распространения вредонос ной программы:

• связанный с доступом к компьютерной информации (непосредственным или опосредованным (удаленным)) (активные способы). • • не связанный с доступом к компьютерной информации (размещение вредоносной программы в локальных сетях ЭВМ; размещение вредоносной программы на электронных досках объявлений (BBS), в глобальных информационных сетях; рассылка вредоносных программ по электронной почте; размещение файлов вредоносной программы на ЭВМ общего пользования; распространение машинных носителей информации (ЭВМ), содержащих вредоносные программы; предоставление в пользование ЭВМ с программным обеспечением, содержащим вредоносную программу; реклама и распространение программного обеспечения, содержащего вредоносные программы или иные) (пассивные способы). •

273

3.10. Конкретные действия, предпринимавшие преступником по сокры тию совершенного преступления:

• действия, направленные на оказание воздействия на лиц, способ ных восприять факт совершения преступления;

• действия, направленные на изменение материальной обстановки места совершения преступления;

• действия, направленные на устранение и сокрытие следов воздей ствия на компьютерную информацию.

3.11. Аппаратно-технические и программные средства компьютерной техники, которые использовались преступником для совершения пре- ступления, связанного с созданием, использованием или распространением вредоносной программы. 3.12. 3.13. Обстановка, в которой совершалось преступление, включая дейст- вовавшие меры защиты информации (правовые, морально-этические, организационно-административные, физические, программно-аппаратные). 3.14. 3.15. Следы преступления, связанного с созданием, использованием и распространением вредоносной программы, выявленные в ходе проведения следственных действий: 3.16.

• следы доступа к средствам компьютерной техники; • • следы доступа к компьютерной информации и внедрения вредоносных программ; • • следы функционирования и воздействия вредоносных программ. • 3.14. Установлено ли лицо (лица), подозреваемое в совершении престу пления, до обращения в правоохранительные органы и возбуждения уголовного дела?

  1. Личность преступника, цель и мотивы совершенного преступления, соучастие в преступлении. 4.1. Данные о личности и контактах преступника:

• пол и возраст; • • семейное положение; • • образование, специальность, место работы; • • навыки; • • умения; • • способности; • • привычки; • • черты характера; • • условия жизни и воспитания, образ жизни; • • связи, круг общения; • • взаимоотношения и контакты с потерпевшим; • • основные источники получения информации и средств совершения преступления (личное общение, электронные журналы, телеконференции, страницы (сайты) в глобальных информационных сетях, электронные доски объявлений (BBS), распространяемые машин- •

274

ные носители информации с тематическими подборками, различные печатные издания и т.д.);

• рецидив преступления; • • психические заболевания; • • уровень психического развития и иные особенности его личности, а также иные психологические особенности; • • в чем проявились особенности личности преступника в совершенном им деянии. •

4.2. Мотив преступления. 4.3. 4.4. Цель преступления. 4.5. 4.6. Участие преступника в организованной преступной группе или пре- ступном сообществе, наличие иных соучастников преступления и их роли в подготовке, совершении и сокрытии преступления. 4.7. 5. Характер и размер вреда, причиненного преступлением.

5.1. Предмет преступного посягательства деяния, связанного с создани ем, использованием и распространением вредоносной программы:

• средства компьютерной техники; • • компьютерная информация. • 5.2. Оказанное воздействие с использованием вредоносной программы по своей направленности относится к:

• направленным на индивидуально-определенный объект; • • воздействиям ненаправленного действия. •

5.3. Область поражения вредоносной программой, район ее распростра- нения. 5.4. 5.5. Размер ущерба, нанесенного потерпевшему преступлением. 5.6. 5.7. Действия, предпринятые потерпевшим, с целью минимизации нане- сенного преступлением ущерба, их характер, последовательность и результаты. 5.8. 5.9. Возмещен ли причиненный преступлением вред преступником до или после возбуждения уголовного дела и в каком объеме? 5.10. 6. Организация расследования, подготовка, проведение и результа ты следственных действий.

6.1. Поводом к возбуждению уголовного дела послужили: явка с повинной, заявление о преступлении, сообщение о преступлении (с указанием от кого они поступили). 6.2. 6.3. Круг и последовательность следственных действий проводимых на первоначальном и последующем этапах расследования, задачи которые были решены в их итоге. 6.4. 6.5. Проводились ли по поручению следователя оперативно-розыскные мероприятия и полученные по ним результаты. 6.6. 6.7. Проводились ли осмотры компьютерной информации, находящейся на машинных носителях информации непосредственно на месте их нахождения или обнаружения или в последующем? 6.8.

275

6.5. Программные аппаратно-технические средства, которые использовались при проведении осмотров средств компьютерной техники и компьютерной информации, находящейся на машинных носителях информации. 6.6. 6.7. Каким образом производилась фиксация следов преступления и пре- ступника на средствах компьютерной техники и на машинных носителях информации? 6.8. 6.9. Какие средства компьютерной техники, документы изымались в ходе проведения следственных действий и чем это обосновывалось? 6.10. 6.11. Участие специалистов в проведении следственных действий (спе- циалиста в области средств компьютерной техники, специалист-криминалист и др.). 6.12. 6.13. Привлечение к участию в следственных действиях представителей потерпевшей стороны и привлеченных ею лиц, выполняемые ими действия, даваемые ими пояснения, и т.д. 6.14.

6.10. Экспертизы, которые назначались по уголовному делу. 6.11. 6.12. Вопросы, которые были поставлены перед экспертом, представленные на экспертизу материалы и результаты экспертизы. 6.13. 6.14. Установлены ли все лица (лицо), совершившие преступление, свя- занные с выявленным фактом создания, использования или распространения вредоносной программы (лица, создавшие вредоносную программу, использовавшие или распространявшие ее)? Каким образом решен вопрос относительно неустановленных лиц, создавших вредоносную программу, использовавших или распространявших ее? 6.15. 6.16. Процессуальные и иные ошибки, допущенные следователем при проведении следственных действий и в ходе расследования преступления. 6.17. 6.18. Меры, предпринятые следователем, потерпевшим и другими лицами для локализации последствий преступного деяния, нейтрализации действия и распространения вредоносной программы. 6.19. 7. Обстоятельства, способствовавшие совершению преступления.

7.1. Обстоятельства, способствовавшие совершению преступления, включая обстоятельства, способствовавшие созданию, использованию и распространению вредоносных программ, неправомерному доступу к компьютерной информации, а также связанные с нарушением пра вил эксплуатации компьютерных систем.

7.2. В ходе каких следственных действий и оперативно-розыскных ме- роприятий были выявлены обстоятельства, способствовавшие совершению преступления. 7.3. 7.4. Какие действия предприняты следователем в целях устранения об- стоятельств, способствовавших совершению преступления? 7.5. 7.6. Ставились ли на разрешение эксперту вопросы по выявлению, причин и условий, способствовавших совершению и сокрытию преступлений? 7.7. 7.8.