V, ч V димой злоумышленнику информации и получение от них под выдуманными предлогами необходимых сведений и др.1. Вторая группа преступных действий осуществляется с использованием компьютерных и коммуникационных устройств в качестве инструмента для проникновения в информационные системы или воздействия на них. Характерной особенностью данного вида преступной деятельности является то обстоятельство, что место совершения непосредственно преступных действий и место, где наблюдаются и материализуются их результаты, могут находиться на значительном удалении друг от друга (например, в разных точках земного шара)2. Применительно к преступлениям, связанным с неправомерным доступом к компьютерной информации в сетях ЭВМ используемая классификация преступных действий, по нашему мнению, является не корректной. В частности относительно первой группы, нам представляется недопустимым отнесение таких видов преступных действий к изучению преступлений, связанных с неправомерным доступом к компьютерной информации. Это связано, прежде всего, со спецификой самого преступного действия. В нашем случае место совершения общественно опасного деяния, как правило, не совпадает с местом реального наступления общественно опасных последствий. Таких мест может быть несколько, они могут быть удалены друг от друга на значительные расстояния, находиться в различных учреждениях, на участках местности, в том числе в различных странах и континентах. Поэтому местом совершения преступления целесообразно считать тот участок местности или территорию того учреждения, организации, государства, где были совершены общественно опасные деяния независимо от места наступления преступных последствий. Неправомерный доступ к компьютерной информации в сетях ЭВМ является реализацией преднамеренной угрозы информационно-компьютерной безопасности и часто называется атакой или нападением на компьютерную систему. 1См. подробнее: Герасименко В.А. Защита информации в автоматизированных системах обработки данных: В 2 т.М., 1994. Т.1. С. 170-174. 7 Крылов В.В. Расследование преступлений в сфере информации. М , Городец. 1998. С. 227. 33 |
вий с информационным оборудованием представлена в виде схемы (рис. 19). Рассмотрим более подробно некоторые частные случаи следовых картин для выделенных нами ранее информационных преступлений. § 2. Следы криминальной деятельности на машинных носителях Так как отмечалось ранее, противоправные действия с компьютерной информацией включают в себя неправомерный доступ к ней с помощью компьютерной техники (в том числе, уничтожение, блокирование, модификацию либо копирование информации) и создание, использование и распространение вредоносных программ для ЭВМ. Характерной особенностью данного вида деятельности является то обстоятельство, что место совершения непосредственно преступных действий и место, где наблюдаются и материализуются его результаты, могут находиться на значительном расстоянии (например, в разных точках земного шара) друг от друга. Поэтому при неправомерном доступе и распространении вредоносных программ, а также при нарушении правил эксплуатации ЭВМ, системы ЭВМ или их сети, следовая картина включает в себя: а) следы на машинных носителях, посредством которых действовал преступник на своем рабочем месте; следы на «транзитных» машинных носителях, посредством которых преступник осуществлял связь с информационными ресурсами, подвергавшимися нападению; в) следы на машинных носителях информационной системы, в которую осуществлен неправомерный доступ. Следы преступной деятельности на машинных носителях, находящихся у преступника и вокруг его ЭВМ (рис. 20, 21) могут быть зафиксированы в ходе расследования. Поясним значение и содержание некоторых из них. Изменения в ОЗУ, как уже отмечалось, можно зафиксировать лишь в ходе следственного осмотра технических 14s18»22.830111 130.92.6.97.603 » eer-ver-logins S 1382726963:1382726963(0) win 4096 14:18(33.886138 130.92.6.97.604 » eer-ver-. logins S 1382726964s1382736964(0> win, 4096 14«18.32.943514 130.92.6.97.605 » ger-ver. logins S 1 38272696 5 s 1382726965 (0) win 4096 14s18«23.002715 130.92.6.97.606 > eer-ver . logins S 1382726966; 1382726966 (0) •win 4096 ' 14<18<23.103275 130.92.6.97.607 > ser-ver-. logins S 1 3 8272 6967 s 1382726967 ( О ) win 4096 14.18«23.163781 130.93-6.97.608 •> eer-vex-. login; S 1382726968 г 1382726968 < 0) win 4096 14t18i33.335384 130.92.6.97.609 » •ex-vex-, logins S 1382726969 г 1382726969 (0) win 4096 ' 14 s18i23-282625 130.93.6.97.610 > sex-ver. login: S 1382726970 s 1382726970 (0) win 4096 14 «3.S <33 .342657 130.92-6.97.611 » eel-ver. logins S 1382726971: 1382726971 <0) win 4096 14:18<23.403083 130.92.6.97.612 > .. ... . sec-vec . login; S 1382726972 s 1382726972 (0> win 4096 14:ISi23.903700 130.92.6-97.613 > ser-ver-. logins S 13 82726973 s 1382726973 <0) win 4096 Рис. 19. Пример фиксации с помощью специальной программы, разработанной экспертом по информационной безопасности, результатов наблюдения за действиями хакера, проникшего в ЭВМ возможность выделить для преступлений в сфере компьютерной информации несколько видов преступного поведения: А — получение возможности знакомиться и осуществлять операции с чужой компьютерной информацией, находящейся на машинных носителях, т.е. направленные прежде всего на нарушение конфиденциальности информации; Б — изготовление и распространение вредоносных программ («вредных и опасных инфекций»), которые приводят к нарушению целостности информации; В — изготовление и использование вредоносных программ (инфекций проникновения»), которые направлены на нарушение целостности и конфиденциальности информации; Г — действия, связанные с нарушением порядка использования технических средств, повлекшие нарушение целостности и конфиденциальности информации. Поскольку, как видно из сказанного, виды А и Б всегда связаны с нарушением порядка использования информационной системы (в том числе и составляющих ее технических средств, т.е. ЭВМ и т.п.), установленного ее собственником (владельцем), при совершении преступлений (ст. 272, 273 УК РФ) всегда присутствуют элементы преступления (ст. 274УКРФ)'. Способы преступных действий в сфере компьютерной информации могут быть разделены на две большие группы. Первая группа преступных действий осуществляется без использования компьютерных устройств в качестве инструмента для проникновения извне в информационные ' Разграничение составов при уголовно-правовой квалификации осуществляется по признаку направленности умысла преступника и его статусу в информационной системе. системы или воздействия на них. Это могут быть, например, хищение машинных носителей информации в виде блоков и элементов ЭВМ (например, флоппи-дисков); использование визуальных, оптических и акустических средств наблюдения за ЭВМ; считывание и расшифровка различных электромагнитных излучений и «паразитных наводок» в ЭВМ и в обеспечивающих системах; фотографирование, в том числе издалека, информации в процессе ее обработки; изготовление бумажных дубликатов входных и выходных документов, копирование распечаток; использование визуальных, оптических и акустических средств наблюдения за лицами, имеющими отношение к необходимой злоумышленнику информации и подслушивание их разговоров; осмотр и изучение не полностью утилизированных отходов деятельности вычислительных центров; вступление в прямой контакт с лицами, имеющими отношение к необходимой злоумышленнику информации и получение от них под выдуманными предлогами необходимых сведений и др.' Для таких действий, как правило, характерны локальная следовая картина, определяющаяся стандартным пониманием места происшествия (место совершения преступных действий и местонахождение объекта преступного посягательства находятся вблизи друг от друга или совпадают), и традиционные приемы по их исследованию. Вторая группа преступных действий осуществляется с использованием компьютерных и коммуникационных устройств в качестве инструмента для проникновения в информационные системы или воздействия на них. Характерной особенностью данного вида преступной деятельности является то обстоятельство, что место совершения непосредственно преступных действий и место, где наблюдаются и материализуются их результаты, могут находиться на ' См. подробнее: Герасименко В.А. Защита информации в автоматизированных системах обработки данных: В 2 т. М., 1994. Т. 1. С. 170-174. |