Факторы способствующие созданию, использованию и распространению вредоносных программ

Преступления указанной категории носят в основном латентный характер. Их выявление происходит, как правило, при установлении фактов несанкционированных действий с информацией, нарушения работы компьютерной сети или ее отдельных элементов. Одной из общих версий, требующих проверки в таких случаях, является предположение о том, что эти последствия — результат использования или распространения вредоносных программ или машинных носителей с такими программами, или же внесения изменений в существующие программы с целью придания им вредоносных функций.

В ходе проверки указанной выше версии необходимо проанализировать содержание данных, подвергшихся несанкционированному воздействию и установить возможные цели, мотивы способы такого воздействия. 

Цели и мотивы совершения преступления, связанного с внедрением вредоносных программ в компьютерные сети, те же, что и при неправомерном доступе к компьютерной информации (см. п. 2.1.), и в большинстве случаев носят те же признаки, что и противоправные действия в отношении информации всех государственных органов.

Например, в ходе рассмотрения Тагилстроевским районным судом города Нижнего Тагила Свердловской области уголовного дела по обвинению Р. в совершении преступлений, предусмотренных п. «в» ч. 2 ст. 159, ч. 1 ст. 183, ч. 2 ст.272, ч. 1 ст. 273 УК РФ, было установлено, что преступления совершены им в г. Нижний Тагил при следующих обстоятельствах: Р. работая инженером-программистом в УИВТ ОАО НТМК, в целях совершения хищения денег, в период октября по ноябрь 1998 года создал компьютерные программы kadr.prg, kadrl.prg., заведомо приводящие к модификации и уничтожению компьютерной информации. 2 ноября 1998 года Р, незаконно используя права, предоставленные ему исключительно в силу выполняемой им служебной деятельности, без поручения руководства и не имея на то законного права, в целях подготовки хищения денег, используя созданную им программу kadr.prg (выполнив ее), совершил неправомерный доступ к охраняемой законом компьютерной информации и модифицировал файл с данными, представляющий собой электронную версию ведомости на выдачу зарплаты сотрудникам НТМК, передаваемую с НТМК в «Тагилбанк» и т.д.

Следует иметь в виду, что уничтожение, блокирование, модификация или копирование информации либо нарушение работы ЭВМ или же их сети может происходить не только в связи с вредоносными программами, но и по иным причинам. Например, вследствие недостаточной квалификации пользователей, как результат неумелой работы с компьютером (неправильное использование команд удаления и копирования или специальных сервисных и тестовых утилитов, непреднамеренное внесение компьютерного вируса); из-за небрежного обращения с магнитными или другими носителями (нарушение правил их хранения и использования); в результате работы технических ключей и ловушек (ограничивающих число инсталляций, привязывающих программу к определенному комплексу технических средств в системе и др.), которыми иногда производители снабжают свое программное обеспечение с це­лью охраны авторских прав.

При расследовании следует учитывать, что вышеприведенные причины уничтожения, блокирования, модификации или копирования информации либо нарушения работы ЭВМ или их сети, не несущие в себе признаков преступления, могут встречаться чаще, чем само преступное деяние, в случае, если персонал не обладает достаточной квалификацией и опытом работы с компьютерной сетью. Не исключена возможность маскировки преступления под данные действия.

Фактором, способствующим созданию, использованию и распространению вредоносных программ, является несоблюдение ряда элементарных требований по защите компьютерной информации. Это пренебрежение нормами защиты документов, отражающих процесс прохождения информации, алгоритмов работы программ, кодов, паролей и другой конфиденциальной информации; небрежное отношение к защите информационных ресурсов от неправомерного доступа, т.е. использования компьютеров персоналом не по предназначению и (или) в личных целях (написание программ служащими, в обязанность которых это не входит, или без согласования с руководством, или на не предназначенных для этого технических средствах); отсутствие защиты информационных ресурсов от неправомерного доступа; использование не сертифицированного программного обеспечения; отсутствие учета и контроля над доступом к информационным ресурсам; отсутствие контроля за содержанием информации на машинах пользователей; пренебрежение программными и аппаратными системами защиты информации; отсутствие защиты от компьютерных вирусов.

Рассмотрим способы совершения преступлений, связанных с созданием программ для ЭВМ или внесением изменений в существующие программы, заведомо приводящие к несанкционированному уничтоже­нию, блокированию, модификации либо копированию информации, нарушению работы ЭВМ или их сети, а равно использование или распространение таких программ или машинных носителей с такими программами.

Процесс создания программ с вредными функциями ничем не отличается от процесса создания любой другой программы. Раскрытие преступления на этом этапе затруднено или практически невозможно.

Признаками, по которым можно предположить, что ведется разработка таких программ, являются: излишняя заинтересованность алгоритмами функционирования программ, работой систем защиты входной и выходной информацией лицами, в круг обязанностей которых это не входит; пропажа дистрибутивных пакетов, технических описаний и другой документации; внезапное увлечение программированием лиц, в чьи функциональные обязанности это не входит.

Создание программ может производиться непосредственно на подвергшейся воздействию ЭВМ, так и в любом другом месте компьютерной сети, где преступник имеет доступ к персональному компьютеру и обладает необходимыми ресурсами времени для разработки программ.

Разработки программ, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ или их сети могут производиться двумя основными способами.

 Разработка непосредственно на рабочем месте в компьютерной сети. Данное действие обычно маскируется под повседневную работу на объекте. В силу своих служебных обязанностей автор имеет доступ (или ему не составляет особого труда получить его) к информации, функционирующей в сети, а иногда и владеет кодами, паролями, другой конфиденциальной информацией. Сокрытие преступных действий в таком случае осуществляется простым удалением компрометирующих данных или хранением их на личных носителях.

 Разработка не на объекте, для воздействия на который программы предназначены. Для этого преступнику требуется получить сведения о функционирующей в системе информации, способах доступа к ней, методах защиты. Эти знания требуются только в том случае, если предполагается, что результатом выполнения данной программы будет несанкционированная модификация, или копирование информации. В этих условиях программист должен иметь опыт эксплуатации программ, аналогичных тем, на которые намечено воздействовать. Для разработки большинства программ, приводящих к уничтожению и блокированию информации, нарушению работоспособности отдельного компьютера или всей компьютерной сети, включая подавляющее большинство компьютерных вирусов и программ с вредными функциями без способности к саморазмножению, получивших название «троянских коней», автору требуется только знание принципов программирования и функционирования компьютерных сетей.

Распространение программ, приводящих к рассматриваемым вредным последствиям, обычно маскируется.

Гораздо большую сложность представляет такой способ совершения преступления, как внесение изменений в уже существующие программы. Внесение изменений может осуществляться вручную, с клавиатуры компьютера, с использованием редакторов кода, отладчиков или другого специального программного обеспечения. Для выполнения этих действий требуются: наличие у программиста очень высокой квалификации, исчерпывающих данных о программе, подвергшейся изменениям, и достаточно длительного промежутка времени; подмена частей программы на части, заранее модифицированные методом копирования со своего носителя; запуск в работу специальной программы, которая вносит соответствующие изменения в уже существующие, а также внедрение в комплекс программного обеспечения таких программ, которые перехватывают работу исходной программы и вносят изменения непосредственно в процессе ее выполнения.

Последние два метода основаны на использовании заранее разработанных программ с вредными функциями. Другой составляющей описываемого способа является возможность доступа к компьютерной сети.

Преступление может совершаться: путем свободного доступа к компьютерной сети с использованием своего служебного положения; использования возможности свободного доступа в помещение, где установлены компьютеры; проникновения в компьютерную систему по сетям телекоммуникации.

В каждом конкретном случае способ совершения преступления определяется различными комбинациями двух составляющих. Например, внесение изменений в существующую программу совершается путем замены частей программы на заранее модифицированные, методом копирования, с использованием свободного доступа в помещение, где установлены компьютеры.

Алгоритмы, по которым работают измененные программы и программы с вредными (враждебными) функциями, подробно описаны, однако приведенный список не является исчерпывающим. С возникновением новых и развитием уже существующих программных и технических средств будут появляться новые методы воздействия на информацию.

Каждому способу присущи свои механизмы следообразования. Несмотря на их разнообразие, возможно выделить три типа следов:

- следы, оставленные человеком при проникновении на объект либо во время работы с компьютерной техникой;

- следы работы программных средств и их разработки – исходные модули программ, сами программы, оставшиеся в памяти компьютера или на машинных носителях, правила обмена по сетям телекоммуникации, отчет о работе системы защиты информации, алгоритмы программ, в том числе на бумажных носителях;

- следы некорректного поведения программного обеспечения, обусловленные воздействием вредоносных программ.

В первом случае для идентификации механизма следообразования используются методы классической трасологии.

 Во втором случае следообразование фиксируется компонентой поддержания целостности информации СЗИ «Кобра» или «Снег», обеспечивающей периодический контроль целостности информационных ресурсов компьютерной сети с целью обнаружения несанкционированных изменений в ее вычислительной среде, вызванных не только действиями лиц, получивших доступ к информации, и изменений, вызванных машинными сбоями или износом магнитных носителей, но и изменениями в вычислительной среде компьютерной сети, вызванных воздействием вредоносных программ.

Использовать и распространять вредоносные программы может любой человек, владеющий элементарными навыками работы с компьютером.

Преступления, связанные с внедрением вредоносных программ в компьютерные сети,могут совершаться и группой лиц. В этом случае основным исполнителем данного преступного деяния является квалифицированный специалист в области компьютерных технологий, а остальные члены группы обеспечивают его деятельность. В роли заказчиков могут выступать преступные сообщества. Они же обычно и обеспечивают исполнителей необходимой техникой, организуют прикрытие, выполняют другую второстепенную работу.