Вместе с тем из-за высокой латентности этого вида преступлений, отсутствия статистических отчетов, очень сложно определить истинные масштабы этого явления.
22 марта 1995 года неустановленный преступник, узнав пароль и используя программное обеспечение компьютера Пинского филиала БелАКБ "Магнатбанк", внедрился в компьютерную сеть ЗАО "Белорусский межбанковский расчетный центр" и перевел денежные средства с корреспондентского счета банка в размере 1 млрд. 700млн. рублей на расчетный счет ООО "Арэса ЛТД" в Советское отделение БелАКБ "Промстройбанк". На следующий день коммерческий директор ООО "Арэса ЛТД" получил выписку с указанием счета о поступлении денег с тем, чтобы перевести их на другие фирмы и обналичить, однако довести до конца свой замысел не сумел, так как был задержан работниками службы безопасности банка.
Правоохранительными органами Минска было предъявлено обвинение 22-летнему Евгению Холину в том, что он, работая старшим специалистом отдела операций с безналичной валютой Главного управления валютных операций АКБ "Приорбанк", использовал свое служебное положение для совершения преступления.
По предварительному сговору с другими лицами Холин в период с ноября 1993 г. по май 1994 г. систематически совершал хищения валютных средств из АКБ "Приорбанк", применяя компьютер на своем рабочем месте. В результате Холин перечислил за границу около 190 тыс. долларов. А всего с сообщниками с использованием поддельных платежных документов им было похищено со счетов "Приорбанка" около 230 тыс. долл.
Совершались указанные преступления в "Приорбанке" весьма просто. Используя свое служебное положение, Холин находил клиентов, имевших в банке счет, но не имевших в карточке образцов печати. С помощью сообщников он подделывал подписи клиентов, сам же подтверждал их достоверность и под паролями коллег внедрялся в компьютерную сеть "Приорбанка" с фиктивной "платежкой".
С целью сокрытия следов преступления Холин трижды уничтожал базу данных АКБ "Приорбанк". Для этих целей он купил себе компьютер и специально разработал программу для уничтожения базы данных. Прототип этой программы (программу "Киллер") он приобрел на "черном" рынке в Москве и специально адаптировал ее к базе данных "операционный день банка". В результате Холин практически уничтожил базу данных банка, но преступнику не повезло - в банке сохранились копии. После инцидента с базой данных компетентные органы и вышли на личность Е. Холина.
Изучение материалов дела Е. Холина показывает, что в АКБ "Приорбанк" сложились благоприятные условия для зондирования компьютерной системы банка, чем и воспользовался злоумышленник. Холину был разрешен доступ к сети банка по выходным дням. Ему давались ключи от комнаты с серверами, и он самостоятельно включал сервер сети и работал. Более того, Холин имел доступ к делам по открытию счетов клиентов в банке. В отделе, где работал Холин, была картотека банковских счетов и их владельцев, а также за неимением дополнительного помещения, хранились дела с заявлениями клиентов банка на открытие счетов с образцами подписей и печатей. Рядом трудились доверчивые коллеги, которые и не думали скрывать от Холина личные пароли-доступы в компьютерную сеть банка.
По приговору суда Центрального района г. Холин осужден к 10 годам лишения свободы.
Особое беспокойство вызывает усиление организованности и интернационализации этого вида преступлений. Например, согласованными действиями сотрудников МВД России, полиции Великобритании, Германии, Израиля, Нидерландов была пресечена деятельность международной преступной группы, специализирующейся на хищениях валютных средств путем незаконного проникновения в компьютерные сети иностранных банков. Активным участником и организатором этой преступной группы был В. Левин, по официальной версии укравший вместе с сообщниками 3,5 млн. долл. со счетов клиентов "Сити-банка" - крупнейшего банка США,
По данному уголовному делу Левин проходит как технический исполнитель преступной международной группировки "кибергангстеров", которые взламывали электронную защиту американского "Сити-банка", изымали крупные суммы со счетов клиентов из Аргентины, Колумбии, Мексики, Новой Зеландии, Индонезии, Уругвая, Гонконга, Канады, США и переводили их методом электронного трансферта на счета, заблаговременно открытые в банках Западной Европы, Америки, России и Израиля. Все операции со счетами "Сити-банка" производились из офиса АО "Сатурн". Эта фирма, торгующая компьютерами, принадлежала другу Левина и его сообщнику по ограблению американского банка.
1 марта 1995 года Левин был арестован английскими властями в аэропорту под Лондоном по пути следования на компьютерную выставку В Голландию. По одной из существующих версий, преступник проник в "компьютерные сейфы" "Сити-банка" по коммуникационным сетям Интернет.
К наиболее типичным способам совершения компьютерных преступлений специалисты относят следующие:
- подделка отчетов и платежных ведомостей; приписка сверхурочных часов работы; фальсификация платежных документов; хищение из денежных фондов; добывание запасных частей и редких материалов; кража машинного времени; вторичное получение уже произведенных выплат; фиктивное продвижение по службе; получение фальшивых документов; внесение изменений в программы и машинную информацию; перечисление денег на фиктивные счета; совершение покупок с фиктивной оплатой и др.
В своих преступных деяниях компьютерные преступники руководствуются следующими основными мотивами (101):
а) выйти из финансовых затруднений;
б) получить, пока не поздно, от общества то, что оно якобы задолжало преступнику;
в) отомстить фирме и работодателю;
г) выразить себя, проявить свое "я";
д) доказать свое превосходство над компьютерами.
Отличительными особенностями данных преступлений являются высокая латентность, сложность сбора доказательств, транснациональный характер (как правило, с использованием телекоммуникационных систем), значительность материального ущерба, а также специфичность самих преступников. Как правило, ими являются высококвалифицированные программисты, банковские служащие.
Высокая латентность компьютерных преступлений обусловлена тем, что многие организации разрешают конфликт своими силами, поскольку убытки от расследования могут оказаться выше суммы причиненного ущерба (изъятие файлового сервера для проведения экспертизы может привести к остановке работы на срок до двух месяцев, что неприемлемо ни для одной организации). Их руководители опасаются подрыва своего авторитета в деловых кругах и в результате - потери большого числа клиентов, раскрытия в ходе судебного разбирательства системы безопасности организации, выявления собственной незаконной деятельности.
Непосредственным предметом преступного посягательства по делам о КП являются следующие:
- компьютерная система (ЭВМ, сервер, рабочая станция);
- процесс обработки и хранения информации;
- компьютерные сети (сети ЭВМ).
Нарушение целостности информации без непосредственного участия человека включает:
- выход из строя серверов, рабочих станций;
- сбои в сети электропитания;
- выход из строя магнитных носителей информации;
- неполадки в кабельной системе, сетевом оборудовании;
- прочие аппаратные и программные сбои.
Российские исследователи отмечают следующие особенности совершения компьютерных преступлений в финансовой сфере:
· большинство злоумышленников - клерки, хотя высший персонал банка также может совершить преступление и нанести банку гораздо больший ущерб, однако такого рода случаи происходят намного реже;
· как правило, злоумышленники используют свои собственные счета, на которые переводятся похищенные суммы;
· большинство преступников не знает, как "отмыть" украденные деньги; умение совершить преступление и умение получить деньги - это не одно и тоже;
· компьютерные преступления не всегда высоко технологичны, ряд злоумышленных действий достаточно просто может быть совершен обслуживающим персоналом;
· многие злоумышленники объясняют свои действия тем, что они всего лишь берут в долг у банка с последующим возвратом; как правило, этого не происходит.
Классификация компьютерных преступлений
В зависимости от способа воздействия на компьютерную систему специалисты выделяют четыре вида компьютерных преступлений:
1. Физические злоупотребления, которые включают в себя разрушение оборудования; уничтожение данных или программ; ввод ложных данных, кражу информации, записанной на различных носителях.
2. Операционные злоупотребления, представляющие собой: мошенничество (выдача себя за другое лицо или использование прав другого лица); несанкционированное использование различных устройств.
3. Программные злоупотребления, которые включают в себя: различные способы изменения системы математического обеспечения ("логическая бомба" - введение в программу команды компьютеру проделать в определенный момент какое-либо несанкционированное действие; "троянский конь" - включение в обычную программу своего задания).
4. Электронные злоупотребления, которые включают в себя схемные и аппаратные изменения, приводящие к тому же результату, что и изменение программы.
Все способы совершения компьютерных преступлений можно объединить в три основные группы: методы перехвата, методы несанкционированного доступа и методы манипуляции.
1. Методы перехвата.
Непосредственный перехват - осуществляется либо прямо через внешние коммуникационные каналы системы, либо путем непосредственного подключения к линиям периферийных устройств. При этом объектами непосредственного подслушивания являются кабельные и проводные системы, наземные микроволновые системы, системы спутниковой связи, а также специальные системы правительственной связи.
Электромагнитный перехват. Перехват информации осуществляется за счет излучения центрального процессора, дисплея, коммуникационных каналов, принтера и т. д. Может осуществляться преступником, находящимся на достаточном удалении от объекта перехвата.
2. Методы несанкционированного доступа.
Классификация этих методов предложена (15). Поэтому считаем возможным далее по тексту настоящей работы использовать его лексический перевод оригиналов названий способов с английского языка, которые наиболее часто применяются в международной юридической практике.
"За дураком". Этот способ часто используется преступниками для проникновения в запретные зоны - электронные системы. Преступник (из числа внутренних пользователей) путем подключения компьютерного терминала к каналу связи через коммуникационную аппаратуру (обычно используются так называемые "шнурки" - шлейф, изготовленные кустарным способом, либо внутренняя электронная проводка) в тот момент времени, когда сотрудник, отвечающий за работу средства компьютерной техники, кратковременно покидает свое рабочее место, оставляя терминал или персональный компьютер в активном режиме, производит неправомерный доступ к компьютерной информации.
"За хвост". Этот способ съема компьютерной информации заключается в следующем. Преступник подключается к линии связи законного пользователя (с использованием средств компьютерной связи) и терпеливо дожидается сигнала, обозначающего конец работы, перехватывает его "на себя", а потом законный пользователь заканчивает активный режим, осуществляет доступ к системе. Этот способ технологически можно сравнить с работой двух и более неблокированных телефонных аппаратов, соединенных параллельно и работающих на одном абонентском номере: когда телефон "А" находится в активном режиме, на другом телефоне "Б" поднимается трубка, когда разговор по телефону "А" закончен и трубка положена - продолжается разговор с телефона "Б".
"Компьютерный абордаж". Данный способ совершения компьютерного преступления осуществляется преступником путем случайного подбора (или заранее добытого) абонентского номера компьютерной системы потерпевшей стороны. Преступником производится подбор кода доступа к компьютерной системе жертвы (если таковой вообще имеется) или используется заранее добытый код. Иногда для этих целей преступником используется специально созданная самодельная либо заводская (в основном, зарубежного производства) программа автоматического поиска пароля, добываемая преступником различными путями.
Стоит обратить внимание на то, что существует множество программ-"взломщиков", называемых на профессиональном языке НАСК-ТООLS (инструмент взлома). Эти программы работают по принципу простого перебора символов. Но они становятся малоэффективными в компьютерных системах, обладающих программой-"сторожем" компьютерных портов, ведущей автоматический протокол обращений к компьютеру и отключающей абонента, если пароль не верен. Поэтому в последнее время преступниками стал активно использоваться метод "интеллектуального перебора", основанный на подборе предполагаемого пароля, исходя из заранее определенных тематических групп его принадлежности. Интересны результаты экспериментов, представленные специалистами в форме таблицы (табл. 1)
Таблица 1
№ | Тематические группы паролей | % частоты выбора пароля человеком | % раскрываемости пароля |
1 | Имена, фамилии и производные | 22,2 | 54,5 |
2 | Интересы (хобби, спорт, музыка) | 9,5 | 29,2 |
3 | Даты рождения, знаки зодиака свои и близких; их комбинация с первой группой | 11,8 | 54,5 |
4 | Адрес жительства, место рождения | 4,7 | 55,0 |
5 | Номера телефонов | 3,5 | 66,6 |
6 | Последовательность клавиш ПК, повтор символа | 16,1 | 72,3 |
7 | Номера документов (паспорт, пропуск, удостоверение и т. д.) | 3,5 | 100,0 |
8 | Прочие | 30,7 | 5,7 |
"Неспешный выбор". Отличительной особенностью данного способа совершения преступления является то, что преступник осуществляет несанкционированный доступ к компьютерной системе путем нахождения слабых мест в ее защите. Однажды обнаружив их, он может, не спеша исследовать содержащуюся в системе информацию, скопировать ее на свой физический носитель и, возвращаясь к ней много раз, выбрать наиболее оптимальный предмет посягательства. Обычно такой способ используется преступником в отношении тех, кто не уделяет должного внимания регламенту проверки своей системы, предусмотренной методикой защиты компьютерной системы.
"Брешь". В отличие от "неспешного выбора", при данном способе преступником осуществляется конкретизация уязвимых мест в защите: определяются участки, имеющие ошибку или неудачную логику программного строения. Выявленные таким образом "бреши" могут использоваться преступником многократно, пока не будут обнаружены. Появление этого способа обусловлено тем, что программисты иногда допускают ошибки при разработке программных средств, которые не всегда удается обнаружить в процессе отладки программного продукта. Например, методика качественного программирования предполагает: когда программа Х требует использования программы V - должна выдаваться только информация, необходимая для вызова V, а не она сама. Для этих целей применяются программы группировки данных. Составление последних является довольно скучным и утомительным, поэтому программисты иногда сознательно нарушают методику программирования и делают различные упрощения, указывая, например, индекс места нахождения нужных данных в рамках более общего списка команд программы. Именно это и создаст возможности для последующего нахождения подобных "брешей".
"Люк". Данный способ является логическим продолжением предыдущего. В этом случае в найденной "бреши" программа разрывается и туда дополнительно преступник вводит одну или несколько команд. Такой "люк" открывается по мере необходимости, а включенные команды автоматически выполняются.
Следует обратить внимание на то, что при этом всегда преступником осуществляется преднамеренная модификация (изменение) определенной компьютерной информации.
"Маскарад". Данный способ состоит в том, что преступник проникает в компьютерную систему, выдавая себя за законного пользователя. Система защиты средств компьютерной техники, которые не обладают функциями аутентичной идентификации пользователя (например, по биометрическим параметрам: отпечаткам пальцев, рисунку сетчатки глаза, голосу и т. п.) оказываются не защищенными от этого способа. Самый простейший путь к проникновению в такие системы - получить коды и другие идентифицирующие шифры законных пользователей. Это можно сделать посредством приобретения списка пользователей со всей необходимой информацией путем подкупа, коррумпирования, вымогательства или иных противоправных деяний в отношении лиц, имеющих доступ к указанному документу; обнаружения такого документа в организациях, где не налажен должный контроль за их хранением; отбора информации из канала связи и т. д. Так, например, задержанный в декабре 1995 года сотрудниками московского РУОПа преступник похищал наличные денежные средства из банкоматов банка "Столичный" с использованием обычной электронной кредитной карточки путем подбора цифровой комбинации кода доступа в компьютерную систему управления счетами клиентов банка. Общая сумма хищения составила 400 млн. руб.
"Мистификация". Иногда по аналогии с ошибочными телефонными звонками, случается так, что пользователь с терминала или персонального компьютера подключается к чьей-либо системе, будучи абсолютно уверенным в том, что он работает с нужным ему абонентом. Этим фактом и пользуется преступник, формируя правдоподобные ответы на запросы владельца информационной системы, к которой произошло фактическое подключение, и поддерживая это заблуждение в течении некоторого периода времени, получая при этом требуемую информацию, например коды доступа или отклик на пароль.
"Аварийный". В этом способе преступником используется тот факт, что в любом компьютерном центре имеется особая программа, применяемая как системный инструмент в случае возникновения сбоев или других отклонений в работе ЭВМ (аварийный или контрольный отладчик). Принцип работы данной программы заключается в том, что она позволяет достаточно быстро обойти все имеющиеся средства защиты информации и компьютерной системы с целью получения аварийного доступа к наиболее ценным данным. Такие программы являются универсальным "ключом" в руках преступника.
"Склад без стен". Несанкционированный доступ к компьютерной информации в этом случае осуществляется преступником путем использования системной поломки, в результате которой возникает частичное или полное нарушение нормального режима функционирования систем защиты данных. Например, если нарушается система иерархичного либо категорийного доступа к информации, у преступника появляется возможность получить доступ к той категории информации, в получении которой ему ранее было отказано.
"Подмена данных". Наиболее простой и поэтому очень часто применяемый способ совершения преступления. Действия преступников в этом случае направлены на изменение или введение новых данных, которое осуществляется, как правило, при вводе/выводе информации. В частности, данный способ совершения преступления применяется для приписывания счета "чужой" истории, т. е. модификации данных в автоматизированной системе банковских операций, приводящей к появлению в системе сумм, которые реально на данный счет не зачислялись. Например, по данным зарубежной печати, одно туристическое агентство в Великобритании было разорено конкурентами. Преступники, использовав несанкционированный доступ в автоматизированную компьютерную систему продажи авиабилетов, совершили финансовую сделку - путем подмены данных они произвели закупку билетов на самолеты на всю сумму денежных средств, находящихся на счетах туристического агентства.
Особую опасность представляет несанкционированный доступ в компьютерные системы финансовых учреждений с целью хищения финансовых средств.
Методики несанкционированного доступа сводится к двум разновидностям:
"Взлом" изнутри: преступник имеет физический доступ к терминалу, с которого доступна интересующая его информация и может определенное время работать на нем без постороннего контроля.
"Взлом" извне: преступник не имеет непосредственного доступа к компьютерной системе, но имеет возможность каким-либо способом (обычно посредством удаленного доступа через сети) проникнуть в защищенную систему для внедрения специальных программ, произведения манипуляций с обрабатываемой или хранящейся в системе информацией, или осуществления других противозаконных действий.
В данной категории преступлений выделяют также:
а) преступления, совершаемые в отношении компьютерной информации, находящейся в компьютерных сетях, в том числе сети Интернет;
б) преступления, совершаемые в отношении компьютерной информации, находящейся в ЭВМ, не являющихся компьютером в классическом понимании этого слова (пейджер, сотовый телефон, кассовый аппарат и т. п.).
Отмечается тенденция к переходу от разовых преступлений по проникновению в системы со своих или соседних рабочих мест к совершению сетевых компьютерных преступлений путем "взлома" защитных систем организаций.
Хищение информации. Правонарушения, связанные с хищением информации, могут принимать различные формы в зависимости от характера системы, в отношении которой осуществляется несанкционированный доступ. Информация, являющаяся объектом преступного посягательства, может быть отнесена к одному из четырех типов:
1. персональные данные;
2. корпоративная информация, составляющая коммерческую тайну;
3. объекты интеллектуальной собственности и материалы, защищенные авторским правом;
4. глобальная информация, имеющая значение для развития отраслей промышленности, экономики отдельных регионов и государств.
Похищаются сведения о новейших научно-технических разработках, планах компании по маркетингу своей продукции и заключаемых сделках.
Типичным злоупотреблением, посягающим на объекты авторских прав, являются преступления, связанные с несанкционированным размножением компьютерных программ.
Предметом хищения может быть также другая экономически важная информация, в частности, реквизиты банковских счетов и номера кредитных карточек.
Хищение услуг. К данной группе правонарушений относится получение несанкционированного доступа к какой-то системе, чтобы бесплатно воспользоваться предоставляемыми ею услугами.
Примером преступления данной категории является фоун-фрейкинг - использование компьютера для проникновения в коммутационную телефонную систему с целью незаконного пользования услугами по предоставлению междугородной телефонной связи.
Сюда же можно отнести использование ресурсов систем - объектов несанкционированного доступа для решения задач, требующих сложных расчетов, например, для определения закодированных паролей, которые они похищают с других узлов.
Уивинг - одно из наиболее распространенных преступлений этого вида, связанное с кражей услуг, происходит в процессе "запутывания следов". Злоумышленник проходит через многочисленные системы и многочисленные телекоммуникационные сети - Интернет, системы сотовой и наземной телефонной связи, чтобы скрыть свое подлинное имя и местонахождение. При такой ситуации причиной проникновения в данный компьютер является намерение использовать его как средство для атаки на другие системы.
Повреждение системы. Данная группа объединяет преступления, совершаемые с целью разрушить или изменить данные, являющиеся важными для владельца или многих пользователей системы - объекта несанкционированного доступа.
Объектом подобных атак могут стать компьютеры, соединенные с Интернетом. Маршрутизаторы - компьютеры, определяющие путь, по которому пакеты информации перемещаются по Интернету - аналогичны телефонным коммутаторам и поэтому являются объектами для опытных хакеров, которые хотят нарушить или даже изменить маршрут "трафика" в сети.
Использование вирусов. Применение данного средства повреждения компьютерных систем доступно в настоящее время не только профессиональным программистам, но и людям, обладающим лишь поверхностными познаниями в этой сфере. Во многом это обусловлено доступностью самих вредоносных программ и наличием простой технологии их создания.
Особую опасность представляют злоупотребления, связанные с распространением вирусов через Интернет.
Методы манипуляции.
Сущность методов манипуляции состоит в подмене данных, которая осуществляется, как правило, при вводе/выводе данных. Это простейший и поэтому очень часто применяемый способ.
Вариантом подмены данных является подмена кода.
Рассмотрим некоторые конкретные методы:
Манипуляция с пультом управления. Манипуляция с пультом управления относится к злоупотреблению механическими элементами управления ЭВМ. Характеристика манипуляции с вычислительной техникой заключается в том, что в результате механического воздействия на технические средства машины создаются возможности манипуляции данными.
Некоторые из таких нарушений связаны с компьютерами телефонных сетей.
"Троянский конь"- способ, состоящий в тайном введении в чужую программу таких команд, которые позволяют осуществлять иные, не планировавшиеся владельцем программы функции, но одновременно сохранять и прежнюю работоспособность.
Действия такого рода часто совершаются сотрудниками, которые стремятся отомстить за несправедливое, по их мнению, отношение к себе, либо оказать воздействие на администрацию предприятия с корыстной целью.
"Логическая бомба" - тайное встраивание в программу набора команд, который должен сработать лишь однажды, но при определенных условиях.
"Временная бомба" - разновидность логической бомбы, которая срабатывает при достижении определенного момента времени.
"Асинхронная атака" - состоит в смешивании команд двух или нескольких пользователей, чьи команды компьютерная система выполняет одновременно.
"Моделирование" используется как для анализа процессов, в которые преступники хотят вмешаться, так и для планирования методов совершения преступления.
Реверсивная модель. Существо метода заключается в следующем. Создается модель конкретной системы. В нее вводятся реальные исходные данные и учитываются планируемые действия. Затем, исходя из полученных правильных результатов, подбираются правдоподобные желательные результаты. Затем модель прогоняется назад, к исходной точке, и становится ясно, какие манипуляции с входными данными нужно проводить. В принципе, прокручивание модели "вперед-назад" может проходить не один раз, чтобы через несколько итераций добиться желаемого. После этого остается только осуществить задуманное.
"Воздушный змей". В простейшем случае требуется открыть в двух банках по небольшому счету. Далее, деньги переводятся из одного банка в другой и обратно с постепенно повышающимися суммами. Хитрость заключается в том, чтобы до того, как в банке обнаружится, что поручение о переводе не обеспечено необходимой суммой, приходило бы извещение о переводе в тот банк, так, чтобы общая сумма покрывала требование о первом переводе. Этот цикл повторяется большое число раз до тех пор, пока на счете не оказывается приличная сумма (фактически, она постоянно "перескакивает" с одного счета на другой, увеличивая свои размеры). Тогда деньги быстро снимаются, и владелец счетов скрывается. Этот способ требует очень точного расчета, но для двух банков его можно сделать и без компьютера. На практике, в такую игру включают большое число банков: так сумма накапливается быстрее и число поручений о переводе не достигает подозрительной частоты. Но управлять этим процессом можно только с помощью компьютера.
Манипулирование данными осуществляется также и самими руководителями коммерческих структур с целью нанесения ущерба государству.
Как правило, компьютерные преступления совершаются с помощью различных комбинаций вышеописанных способов.
Таблица, составленная по результатам опроса представителей служб безопасности 492 компаний, дает представление о наиболее опасных способах совершения компьютерных преступлений.
Таблица 2
Вирус | 83% |
Злоупотребление сотрудниками компании доступом к Internet | 69% |
Кража мобильных компьютеров | 58% |
Неавторизованный доступ со стороны сотрудников компании | 40% |
Мошенничество при передаче средствами телекоммуникаций | 27% |
Кража внутренней информации | 21% |
Проникновение в систему | 20% |
Допускалось несколько вариантов ответов.
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 |
