История преступлений, связанных с использованием компьютерной техники, ведет отсчет с 1969 года. Тогда гражданин США Альфонсе Конфессоре применил ЭВМ для совершения налогового преступления на сумму 620 тысяч долларов, за что и предстал перед американским судом. С тех пор число противоправных деяний в сфере информационно-обрабатывающих технологий стремительно увеличивается. Преступления такого рода характеризуются высокой степенью общественной опасности и, как правило, причиняют значительный материальный ущерб. Так, в США средняя сумма, похищаемая лишь в одном случае компьютерного мошенничества, составляет 500 тысяч долларов, в то время как хищение, совершенное “традиционным способом╩, наносит ущерб в размере 23 тысяч. По оценкам экспертов, убытки от компьютерных преступлений в настоящее время достигают 100 млрд. долларов в год, и опасность таких преступлений оценивается как очень высокая.
Но чтобы бороться с врагом, нужно знать его.
К компьютерным преступлениям можно отнести деяния, в которых вычислительная техника является либо предметом, либо орудием посягательств. Это “традиционные по характеру╩ преступные деяния, совершенные с помощью вычислительной техники – кража (в том числе и самих компьютеров), мошенничество, подделка документов, причинение вреда, за которые предусматриваются уголовные санкции в законодательных системах всех стран. К компьютерным преступлениям можно отнести также противопоказания в сфере автоматизированной обработки информации. Предметом посягательств таких преступлений является информация, обрабатываемая в компьютерной системе, а компьютер служит орудием посягательства. Поэтому, говоря о компьютерных преступлениях, имеют в виду преступления, совершенные в сфере компьютерной информации.
Вне зависимости от причин, вызвавших нарушение нормального функционирования автоматизированных систем обработки информации, последствия могут быть катастрофическими. Поэтому компьютерные преступления следует считать посягательствами не столько на интеллектуальную собственность, сколько на безопасность общества и общественного порядка.
Предметом посягательства компьютерных преступлений является автоматизированная система обработки информации, которая включает аппаратные и программные средства. Под аппаратными средствами понимаются технические средства – все механическое, электрическое и электронное оборудование, – используемые для обработки данных. Другая составляющая автоматизированной системы обработки данных – используемая и хранимая в ней информация. Напомним, что под информацией понимаются сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Защите подлежит любая зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу.
Законодательством России выделяются три основных вида информации, доступ к которой ограничивается и которая одновременно подлежит защите, а именно:
1) сведения, отнесенные к государственной тайне, т.е. защищаемые государством сведения в области его военной, внешне-политической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Совокупность категорий сведений, в соответствии с которыми сведения относятся к государственной тайне и засекречиваются на основаниях и в порядке, установленных федеральным законодательством;
2) сведения, содержащие служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, если к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности. К этой группе относится и банковская тайна, т.е. сведения об операциях, счетах и вкладах клиентов и корреспондентов кредитной организации;
3) сведения, составляющие личную и семейную тайну, защита которых гарантируется Конституцией РФ, а также иные сведения, имеющие статус персональных данных, т.е. информация о фактах, событиях и обстоятельствах жизни гражданина, позволяющая идентифицировать его личность.
Законом охраняется и иная информация, хотя и не являющаяся конфиденциальной, но неправомерное использование которой может нанести ущерб ее собственнику и другим лицам, например, объекты авторского права и смежных прав, сведения рекламного характера и т.д. Неохраняемой информации практически нет. Информация, зафиксированная на машинном носителе или передаваемая по телекоммуникационным каналам в форме, доступной восприятию ЭВМ, называется машинной, или компьютерной. Машинная информация оформляется в виде программ для ЭВМ и баз данных.
К программным средствам компьютерной техники относятся:
1) программное обеспечение, состоящее из: системных программ (операционные системы, программы технического обслуживания: драйверы, программы-оболочки, вспомогательные программы – утилиты); прикладных программ (комплекса специализированных программ), предназначенных для решения определенного класса задач, например, редакторы текстов, антивирусные программы и системы, программы защиты от несанкционированного доступа, табличные процессоры, системы управления базами данных, графические редакторы, системы деловой и научной графики, системы автоматизированного проектирования, интегрированные системы, программы управления технологическими процессами, автоматизированные рабочие места, бухгалтерские программы, библиотеки стандартных программ и т.п.; инструментальных программ (систем программирования), состоящих из языков программирования и трансляторов – комплекса программ, обеспечивающих автоматический перевод с алгоритмических и символических языков в машинные коды;
2) машинная информация владельца-пользователя, собственника в соответствии с Федеральным законом “Об информации, информатизации и защите информации╩.
Теперь поговорим о последствиях компьютерных преступлений, которые могут выражаться в виде уничтожения, блокирования, модификации, копирования информации, нарушения работы ЭВМ, системы ЭВМ или их сети, причинения иного существенного вреда, наступления тяжких последствий.
Уничтожение компьютерной информации – это стирание ее в памяти ЭВМ. Одновременный перевод информации на другой машинный носитель не считается в контексте уголовного закона уничтожением компьютерной информации лишь в том случае, если в результате этих действий доступ правомерных пользователей к информации не оказался существенно затруднен либо исключен. Имеющаяся у пользователя возможность восстановить уничтоженную информацию с помощью средств программного обеспечения или получить данную информацию от другого пользователя, в том числе с резервных копий, не освобождает виновного от ответственности. Переименование файла не является уничтожением информации равно как и автоматическое “вытеснение╩ старых версий файлов последними по времени.
Блокирование компьютерной информации – это искусственное затруднение доступа пользователей к компьютерной информации, не связанное с ее уничтожением. От уничтожения и блокирования компьютерной информации следует отличать вывод из строя компьютерной программы; в последнем случае программа для ЭВМ может быть доступна как организованная в виде файла информация, но не как объект взаимодействия с пользователем.
Модификация компьютерной информации – это внесение в нее любых изменений, кроме связанных с адаптацией программ для ЭВМ или базы данных, под которой понимается внесение изменений, осуществляемых исключительно в целях обеспечения функционирования программы для ЭВМ или базы данных на конкретных технических средствах пользователя или под управлением конкретных программ пользователя.
Копирование компьютерной информации – это повторение и устойчивое запечатление ее на машинном или ином носителе. Копирование компьютерной информации может быть осуществлено путем записи содержащегося во внутренней памяти ЭВМ файла на дискету, его распечатки и т.д. Копирование компьютерной информации рассматривают как неблагоприятное последствие лишь в том случае, если она охраняется законом именно от несанкционированного копирования.
Нарушение работы ЭВМ или их сети – это временное или устойчивое создание помех для их функционирования в соответствии с назначением. Это может быть следствием поражения компьютерной информации, выхода из строя программного обеспечения, нарушения целостности техники, на которой реализовано данное программное обеспечение, повреждения систем связи.
К компьютерным преступлениям также можно отнести создание, распространение и использование вредоносных программ, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети. Разберем несколько типов таких программ.
Подавляющее большинство вредоносных программ относятся к типу “троянских коней╩, который заключается в тайном введении в чужое программное обеспечение специально созданных программ, которые, попадая в информационно-вычислительную систему, начинают выполнять новые, не планировавшиеся законным владельцем принимающей “троянского коня╩ программы, с одновременным сохранением прежней ее работоспособности. По существу “троянский конь╩ – это “люк╩, который “открывается╩ не “вручную╩, а автоматически с использованием специально подготовленной для этих целей программы.
Разновидностью “троянского коня╩ является “троянская атака╩. Особенность этого способа заключается в том, что в программу потерпевшей стороны вставляются не сами команды, выполняющие вредоносные действия, а программные модули-фрагменты, формирующие такие команды и после выполнения своей функции, т.е. когда уже будет автоматически на программном уровне создан “троянский конь╩, самоуничтожающиеся.
Другая разновидность – “троянский червь╩. В этом случае в алгоритм работы вредоносной программы наряду с ее основными функциями закладывается алгоритм действий, осуществляющих автоматическое саморазмножение, т.е. программное автоматическое воспроизводство “троянского коня╩. “Программы-черви╩ автоматически копируют себя в памяти одного или нескольких компьютеров (при наличии компьютерной сети).
Иногда преступный замысел осуществляется при стечении каких-либо обстоятельств, которые обязательно должны наступить. В этих случаях используется “логическая бомба╩, т.е. тайное встраивание в программу набора команд, которые должны сработать (или срабатывать каждый раз) при определенных условиях. “Временная бомба╩ является разновидностью “логической бомбы╩, которая срабатывает по достижении определенного момента времени.
Наиболее часто встречающийся тип вредоносных программ – это так называемые “компьютерные вирусы╩. В настоящее время практически нет пользователя ЭВМ, кто хотя бы раз не встречался с ними. С программно-технической точки зрения под компьютерным вирусом понимается специальная программа, способная самопроизвольно присоединяться к другим программам (заражать их) и при запуске последних выполнять различные нежелательные действия: порчу файлов и каталогов (при файловой организации программной среды), искажение и уничтожение информации, переполнение машинной памяти, создание помех в работе ЭВМ вплоть до вывода компьютерного оборудования из строя. Свое название они получили за сходство с естественными возбудителями заболеваний: компьютерные вирусы также способны быстро размножаться и также стремятся внедриться в свою жертву – программное обеспечение ЭВМ. В самом общем виде этот способ совершения компьютерных преступлений является логической модернизацией способа “троянский конь╩, выполняющего алгоритм типа “сотри все данные этой программы, перейди в следующую и сделай то же самое╩.
Изобретателем “компьютерного вируса╩ является сотрудник Лехайского университета (США) Фред Коузн, впервые продемонстрировавший его на VII конференции по безопасности информации в августе 1984 года. Первую массовую “эпидемию╩ вызвал написанный студентом Корнеллского университета (США) Робертом Моррисом компьютерный вирус, которым в начале 1989 года были “заражены╩ свыше 6 тысяч компьютеров и 70 компьютерных систем, включая компьютерные центры НАСА, Ливерморской лаборатории ядерных исследований, Гарвардского, Питсбургского, Мэрилендского, Висконсинского, Калифорнийского, Стэнфордского университетов. Автор вируса был приговорен судом к трем месяцам тюрьмы и штрафу в 270 тысяч долларов. Наказание могло быть и более строгим, но суд учел, что вирус “не портил данные, а только размножался╩.
В Советском Союзе “вирусная эпидемия╩ началась в 1988 году, хотя отдельные случаи наблюдались и ранее. Количество компьютерных вирусов постоянно увеличивается. По оценкам специалистов, в мире ежедневно создаются от 3 до 8 новых вирусных программ. Так, на конец января 1999 года база данных известной программы-детектора Dr.Web насчитывала 10591 разновидность вирусов для IBM – совместимых компьютеров.
Компьютерные вирусы можно разбить на три обобщенные группы: загрузочные (системные) вирусы, поражающие загрузочные секторы машинной памяти; файловые, поражающие исполняемые файлы, в том числе COM, EXE, SYS, BAT – файлы и некоторые другие, и комбинированные вирусы. Заражение загрузочными вирусами происходит при загрузке компьютера с носителя машинной информации, содержащего вирус. Заражение может произойти случайно. Причем носитель машинной информации может и не быть системным, т.е. не содержать файлов операционной системы. Носитель может быть заражен, если к нему происходило обращение (чтение, запись) с зараженного компьютера. Файловые вирусы заражают компьютер, если пользователь запустил на своей ЭВМ программу, уже содержащую вирус. Многие вирусы обладают способностью переходить через коммуникационные сети из одной информационно-вычислительной системы в другую, с одного компьютера на другой (сетевые вирусы). Так, одна из последних “эпидемий╩, начавшаяся в конце марта 1999 года, вызвана вирусом под названием “Мелисса╩, распространяющимся через электронную почту международной сети Internet. Вирус не причиняет вреда компьютерам, но размножается с такой скоростью, что очень быстро перегружает компьютерные сети и серверы.
По способу заражения средств компьютерной техники вирусы подразделяются на резидентные и нерезидентные. Резидентной называется программа, которая по окончании работы оставляет свой код или часть кода в оперативной памяти. Резидентный вирус при “инфицировании╩ программных средств оставляет в оперативной памяти компьютерной системы потерпевшей стороны свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них. Резидентный вирус находится в памяти и является активным вплоть до выключения или перезагрузки компьютерной системы. В свою очередь нерезидентный вирус не заражает оперативную память и является активным ограниченное время, а затем “погибает╩, в то время как резидентный активизируется после каждого включения компьютерной системы. Рассмотрим наиболее часто встречающиеся виды компьютерных вирусов.
Так называемые “спутники╩ – это вирусы, не изменяющие программные файлы. Алгоритм их работы состоит в том, что они создают для запускающих командных файлов файлы-спутники, имеющие то же самое имя, но с расширением более высокого командного порядка. При запуске такого файла ЭВМ первым запускает файл, имеющий самый высокий уровень порядка, т.е. вирус, который затем запустит и командный файл.
“Черви╩ – вирусы, которые распространяются в компьютерной сети, и так же, как вирусы-“спутники╩, не изменяют “родительские╩ программы, файлы или секторы на дисках. Они проникают в память компьютера из компьютерной сети и, вычисляя адреса других компьютеров, рассылают по этим адресам свои копии. Такие вирусы иногда создают рабочие файлы на дисках операционной системы, но могут и вообще не обращаться к ресурсам вычислительной системы (за исключением оперативной памяти).
“Паразитические╩ – все вирусы, которые при распространении своих копий обязательно изменяют содержимое программ, файлов или дисковых секторов. К этой группе относятся все вирусы, не являющиеся “червями╩ или “спутниками╩.
“Студенческие╩ – крайне примитивные вирусы, содержащие большое количество ошибок в алгоритме их строения (безграмотно написанные) и вызывающие локальные “эпидемии╩. Как правило, такие вирусы не получают широкого распространения, быстро обнаруживаются и уничтожаются, успев, однако, причинить вред в районе своего размножения.
“Stalth╩ – вирусы-невидимки, или маскирующиеся вирусы, представляют собой весьма совершенные программы, которые при исправлении пораженных программ подставляют вместо себя здоровые программы или их части. Вирусы, использующие приемы маскировки, нельзя увидеть средствами операционной системы. Кроме того, эти вирусы при обращении к программам используют достаточно оригинальные алгоритмы, позволяющие “обманывать╩ антивирусные программы. Зато, сравнив информацию о файлах, выдаваемую операционной системой, с фактически занимаемым объемом машинного носителя, легко выявить наличие таких вирусов: несовпадение данных однозначно говорит о наличии вредоносной программы.
“Призраки╩ – достаточно трудно обнаруживаемые самокодирующиеся вирусы, не содержащие ни одного постоянного участка кода.
“Мутанты╩ содержат в себе алгоритмы шифровки-расшифровки, включающие алгоритм модификации кода программы-расшифровщика, обеспечивающие то, что два экземпляра одного и того же вируса, заразившие два файла, не имеют ни одного совпадения (ни одной повторяющейся цепочки байт).
К вредоносным программам можно также отнести специальные программы-“жучки╩, которыми продавцы программного обеспечения иногда снабжают программные пакеты (разновидность рассмотренного выше способа “подсадная утка╩). Такие программы-“жучки╩ тестируют состояние компьютерной системы покупателя и автоматически сообщают (при регистрации и с помощью модема) продавцу сведения об используемых покупателем компьютерном оборудовании и программном обеспечении. Данная программа может рассматриваться в качестве вредоносной программы, предназначенной для несанкционированного копирования информации в случае, если покупателю не сообщается об этом свойстве программного продукта.
“Жучки╩ могут засылаться специально (подбрасываться) в намеченную для несанкционированного доступа компьютерную систему, например, с помощью электронной почты. Одним из последних “достижений╩ в этой области является программа-“перехватчик╩ Back Orifice (“Обратный жиклер╩). Достаточно запустить такую программу (а в последних версиях – лишь просмотреть полученное по электронной почте “письмо╩), как преступник практически сразу же получает доступ не только к паролям и всем файлам, хранящимся в памяти “перехваченного╩ компьютера, но также и к жестким и оптическим дискам, принтерам и другому периферийному оборудованию. А если к компьютеру подключена видеокамера, то в распоряжении злоумышленника будет не только текстовая информация, но и визуальное изображение офиса потерпевшей стороны.
По оценкам специалистов, основная опасность в плане совершения компьютерного преступления исходит именно от внутренних пользователей: ими совершается 94% преступлений, тогда как внешними пользователями – только 6%; при этом 74% внутренних пользователей – это клиенты – потребители компьютерной информации, а 26% – обслуживающий персонал.
Преступниками из числа внешних пользователей, как свидетельствует практика, обычно бывают лица, хорошо осведомленные о деятельности потерпевшей стороны. Их круг настолько широк, что уже не поддается какой-либо систематизации и классификации – им может быть любой, даже случайный человек: представитель организации, занимающейся сервисным обслуживанием, ремонтом, разработкой программных средств компьютерной техники на договорной основе, представители различных контролирующих и властных органов или организаций, клиенты, хакеры (кракеры) и др.
Наталья ПУШКАРЕВА,
преподаватель информатики
лицея N 1
Усолье-Сибирское,
Иркутская область
Комментарии