§ 5. Основы криминалистического исследования вредоносных программ для ЭВМ и других компьютерных устройств

В своей последующей монографической работе мы использовали определение указанной дефиниции, изложенное в ч. 1 ст. 273 Уголовного кодекса Российской Федерации: «программа для ЭВМ, приводящая к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети»³¹ . Именно с этой даты впервые в истории отечественного уголовного законодательства преступлением стали считаться следующие деяния:

1) создание вредоносных программ;

2) использование таких программ;

3) использование машинных носителей, содержащих вредоносные программы;

4) распространение таких программ;

5) распространение машинных носителей, содержащих вредоносные программы;

6) внесение в существующие (невредоносные. - В. В.) программы изменений, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети^{[310] [311] [312].}

С 1 января 1997 г. государственная статистика стала их регистрировать и отражать в ежегодных отчетах о состоянии преступности в Российской Федерации. Так, за 10 лет - с 1 января 1997 по 1 января 2007 гг. - количество преступлений рассматриваемой категории возросло в 1 тыс. 625 раз и, начиная с 1999 г., продолжает ежегодно увеличиваться в 1,8 раза (см. приложение).

По данным отдельных исследователей, в настоящее время для подготовки, совершения и сокрытия различных преступных посягательств в арсенале преступников находится более 170 тыс. вредоносных программ. При этом их количество постоянно увеличивается .

Значительный вклад в изучение проблем, связанных с механизмами следообразования по делам о создании, использовании, распространении вредоносных программ и машинных носителей с такими программами, а также с определением их понятия и криминалистической классификации, в разные годы внесли Ю. В. Гаврилин, В. В. Крылов, А. В. Остроушко, Е. Р. Россинская, Л. Н. Соловьев, А. И. Усов, А. Н. Яковлев и другие.

Так, В. В. Крылов подчеркивал, что компьютерные программы, в том числе вредоносные, являются разновидностью компьютерной информации^[313]. В своих последующих научных работах он методологически правильно предложил в рамках криминалистического исследования вредоносных программ использовать правовые определения, сформулированные в Законе Российской Федерации «О правовой охране программ для электронных вычислительных машин и баз данных» (от 23.09.1992 г. № 3523-1)^[314]. Рассмотрим их подробнее.

Как отмечалось, программа для ЭВМ - это объективная форма представления совокупности данных и команд, предназначенных для функционирования ЭВМ и других компьютерных устройств с целью получения определенного результата, а также подготовительные материалы, полученные в ходе ее разработки, и порождаемые ею аудиовизуальные отображения (ст. 1). В нашем случае таким результатом будут:

а) не санкционированные обладателем компьютерной информации ее уничтожение, блокирование, модификация либо копирование;

б) нарушение работы ЭВМ и другого компьютерного устройства, системы ЭВМ или компьютерной сети.

Создание вредоносной программы - это целенаправленная деятельность, состоящая из следующих операций:

1) постановка задачи, определение программно-технической среды существования и целей программы;

2) выбор средств реализации программы - языков программирования;

3) написание алгоритма работы программы в виде исходного текста (так называемого «исходника»), т. е. описание с помощью того или иного языка программирования порядка (последовательности) обработки данных и команд, управляющих этим процессом;

4) перевод исходного текста программы на машинный язык кодов команд - объектный код, т. е. из обычной человекочитаемой формы в ту или иную объективную форму существования компьютерной информации;

5) компилирование программы под определенную операционную систему;

6) отладка программы путем ее запуска с машинных носителей, в памяти ЭВМ или иного компьютерного устройства, в конкретной компьютерной системе или сети, для работы в которых она и была создана;

7) подготовка программы к ее использованию и распространению в конкретной программной среде и с помощью определенных материальных носителей.

Таким образом видно, что программа для ЭВМ может существовать в двух материальных формах:

- в виде исходного человекочитаемого текста на обычных, например бумажном, носителях;

- в виде объектного кода - компьютерной информации на машинных носителях, в памяти ЭВМ и других компьютерных устройств, например, сотового радиотелефона, в компьютерных системах и сетях.

Использование вредоносной программы - выпуск ее в свет, воспроизведение, распространение, копирование и иные действия по введению в хозяйственный оборот (в том числе в модифицированной форме).

Использование машинного носителя, содержащего вредоносную программу, - всякое его употребление в целях использования записанной на нем вредоносной программы.

Распространение вредоносной программы - предоставление доступа к воспроизведенной в любой материальной форме программе, в том числе сетевыми и иными способами, а также путем продажи, проката, сдачи внаем, предоставления взаймы, включая импорт для любой из этих целей.

Распространение машинных носителей, содержащих вредоносные программы, - продажа, прокат, сдача внаем, предоставление взаймы и иные возмездные действия по их введению в хозяйственный оборот, включая импорт и экспорт для любой из этих целей.

Внесение в существующие программы изменений, которые превращают их в категорию вредоносных программ, - их модификация, изменение алгоритма работы, в том числе путем удаления или добавления отдельных команд либо их блоков (модулей)^[315].

Рассматривая криминалистические признаки вредоносных программ, согласимся с С. А. Пашиным в том, что вредоносность программы для ЭВМ определяется не ее назначением, то есть способностью уничтожать, блокировать, модифицировать либо копировать информацию, нарушать работу ЭВМ, системы ЭВМ или их сети, а несанкционированным характером действия³¹⁸. Анализ материалов следственной, экспертной и судебной практики показывает, чтобы признать компьютерную программу вредоносной, необходимо доказать наличие совокупности следующих обстоятельств:

1. Программа способна уничтожать, блокировать, модифицировать либо копировать информацию, нарушать работу ЭВМ, системы ЭВМ или их сети.

2. Программа не предполагает предварительного уведомления собственника, владельца или пользователя (обладателя) компьютерной информации, ЭВМ, системы ЭВМ или их сети о характере своих действий.

3. Программа не запрашивает согласия (санкции) у собственника, владельца или пользователя (обладателя) компьютерной информации, ЭВМ, системы ЭВМ или их сети на реализацию своего назначения (алгоритма).

По нашему мнению, отсутствие у компьютерной программы хотя бы одного из этих признаков делает ее невредоносной.

Как следует из анализа п. «в» ст. 1 Соглашения о сотрудничестве государств - участников Содружества Независимых Государств в борьбе с преступлениями в сфере компьютерной информации, «вредоносная программа -это созданная или существующая программа со специально внесенными изменениями, заведомо приводящая к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети»³¹⁹.

По мнению В. В. Крылова, «программа, специально разработанная или модифицированная для несанкционированного собственником информационной системы уничтожения, блокирования, модификации либо копирования информации, нарушения обычной работы ЭВМ, является вредоносной»³²⁰. Очевидно, что в этом определении автор не учел возможность использования и распро- ^{[316] [317] [318] странения такой программы в компьютерных сетях, в том числе в сетях электросвязи.}

В своей кандидатской диссертации Л. Н. Соловьев определил исследуемую дефиницию «как программу для ЭВМ, наделенную функциями, выполнение которых может оказать неправомерное воздействие на средства компьютерной техники, приводящее к их уничтожению, блокированию или иному нарушению их работы, и на компьютерную информацию, приводящее к ее уничтожению, блокированию, модификации или копированию»^[319]. Помимо выделенного недостатка, в нем отсутствует указание на возможность использования и распространения вредоносных программ в компьютерных системах, хотя далее автор пишет, что эти программы «могут создавать свои копии (размножаться) и распространяться, то есть внедрять свои копии в файлы, системные области компьютерных систем»^[320].

С учетом изложенного вредоносная программа - это компьютерная программа, специально созданная или модифицированная для не санкционированного собственником, владельцем или пользователем (обладателем) компьютерной информации, ЭВМ, компьютерной системы или сети уничтожения, блокирования, модификации либо копирования компьютерной информации, нарушения работы ЭВМ, системы ЭВМ или их сети.

Существуют различные классификации вредоносных программ^[321]. Как писал В. В. Крылов: «Но не все они могут иметь значение для криминалистических исследований, поскольку создание таких классификаций чаще всего подчинено прикладным задачам выявления и уничтожения компьютерных вирусов. Для криминалистики же интересны данные, характеризующие последствия действий вредоносных программ и их наиболее явные проявления, позволяющие зафиксировать результаты действия этих программ»^[322].

В своих научных работах (1995 и 1996 гг.) мы предложили классифицировать вредоносные программы по типичным отражениям алгоритмов их работы - последствиям деструктивных воздействий, оказываемых на компьютерную информацию и средства ее обработки, системно проявляющиеся в окружающей обстановке на месте происшествия. По этому основанию были выделены виды и подвиды вредоносных программ^[323].

1. «Троянский конь». В криминальной практике встречаются такие его разновидности, как: «Троянская матрешка»; «Троянский червь»; «Салями»; «Логическая бомба»; «Временная бомба».

2. Компьютерные вирусы. Они были классифицированы:

2.1. По объекту поражения: «загрузочные» - поражающие загрузочные сектора машинных носителей; «файловые» - поражающие системные и иные исполняемые файлы; комбинированные вирусы.

2.2. По следам, остающимся в оперативной памяти как автономной ЭВМ, так и работающей в составе компьютерной системы или сети: резидентные; нерезидентные.

2.3. По алгоритму строения и обнаружения: написанные единым блоком и достаточно легко обнаруживаемые с помощью набора стандартных антивирусных компьютерных программ; разделенные на логические части (модули), которые по отдельности не являются вредоносными, но при заданных обстоятельствах автоматически собираются в единое целое, образуют вредоносную программу и после выполнения ею своих функций снова приходят в исходное положение - распадаются на невредоносные программные модули. Их частными модификациями являются: вирусы-«спутники»; вирусы- «черви» (спам-вирусы); «паразитические»; «студенческие»; вирусы- невидимки, или маскирующиеся вирусы; вирусы-мутанты.

В. В. Крылов «на базе представлений о цели создания программы и последствиях ее действия» предложил классифицировать вредоносные программы на три класса^[324]:

1. «Безвредные инфекции» - вредоносные программы, которые не уничтожают информацию и не всегда ее блокируют, модифицируют либо копируют, нарушают работу ЭВМ, системы ЭВМ или их сети.

2. «Опасные инфекции» - вредоносные программы, уничтожающие информацию, разрушающие информационные системы и приносящие существенный вред.

3. «Инфекции проникновения» - вредоносные программы, предназначенные для организации неправомерного доступа к чужим информационным ресурсам, а именно: «люки» («back door»), «Троянские программы (кони)», «логические бомбы» и «бомбы с часовым механизмом».

Как правильно заметил Л. Н. Соловьев, «...безвредность вредоносных программ - это очень относительное понятие и ему крайне сложно найти применение в криминалистике»^{[325] [326]. В свою очередь, проанализировав наши с В. В. Крыловым авторские классификации, он предложил с криминалистических позиций подразделить все вредоносные программы по ряду оснований32 .}

А. По особенностям их создания: на специально созданные; созданные путем внесения изменений в существующие невредоносные программы; модифицированные вредоносные программы;

Б. В зависимости от наличия функции самораспространения: на самораспространяющиеся программы (компьютерные вирусы, компьютерные черви); программные закладки - программы, не обладающие функцией самораспространения. Программные закладки он классифицировал на подвиды.

1. Осуществляющие сбор информации об информационных процессах, протекающих в компьютерной системе:

• мониторы, предназначенные для наблюдения за процессами обработки данных, протекающими в программной среде;

• сборщики информации об атакуемой программной среде, предназначенные для пассивного наблюдения за программной средой, в которую внедрена закладка.

2. Обеспечивающие неправомерный доступ:

• перехватчики паролей, предназначенные для автоматического перехвата логических имен и паролей, вводимых пользователями защищенной компьютерной системы или сети в процессе идентификации и аутентификации;

• программные закладки, повышающие полномочия пользователя;

• «логический люк», программа, предназначенная для доступа к защищенной системе, минуя программные средства ее защиты.

3. Наделенные деструктивными функциями - программы типа «логическая бомба», которые при определенных условиях оказывают разрушающее воздействие на атакованную компьютерную систему или сеть в целях их полного выведения из строя, создания устойчивых и продолжительных помех в работе.

4. Блокирующие работу средств компьютерной техники. Например, во время проведения военной операции под кодовым названием «Буря в пустыне» в Персидском заливе система ПВО Ирака была заблокирована и не смогла адекватно реагировать на вторжение военных самолетов противника в его воздушное пространство. Впоследствии оказалось, что в программное обеспечение закупленных во Франции электронно-вычислительных комплексов, обеспечивающих работу системы ПВО Ирака, были внедрены вредоносные программные закладки, активированные затем с военных

329

спутников противника .

5. Комбинированные программные закладки.

В. В зависимости от наличия во вредоносных программах открыто декларируемых функций выделяются троянские программы и скрытые вредоносные программы. Под троянской программой Л. Н. Соловьевым понимается вредоносная программа для ЭВМ, которая, помимо скрытых вредоносных функций, заложенных в ее алгоритм создателем и осуществляемых в соответствии с заранее определенными условиями, имеет и открыто декларируемые функции, не связанные с оказываемым вредоносным воздействием.

Г. По видам оказываемого воздействия выделяются вредоносные программы, оказывающие воздействие:

а) на общую работоспособность компьютерной системы, что вызывает: не предусмотренную пользователем самопроизвольную перезагрузку ЭВМ; вывод какой-либо звуковой, текстовой, графической информации на периферийные устройства; замедление работы ЭВМ и иного компьютерного устройства; блокирование коммуникационных связей; логическое переназначение функций клавиш клавиатуры; блокирование работы клавиатуры и других устройств;

б) на системную область машинных носителей информации и файловую структуру, вследствие чего происходит: логическая перестановка (смешивание) файлов; структурное нарушение работы файловой системы; переименование, шифрование, копирование, уничтожение, сокрытие от визуального просмотра, блокирование работы файлов; повреждение, шифрование, уничтожение компьютерной информации, содержащейся в загрузочном секторе диска, а также таблицы размещения файлов на нем; форматирование машинного носителя в целях полного уничтожения записанной на нем компьютерной информации; изменение содержания файлов; ^[327]

в) на конфиденциальность информации, что предопределяет: непосредственно неправомерный доступ к компьютерной информации; незаконную ее пересылку (копирование) по компьютерным сетям и сетям и сетям электросвязи; незаконное получение логических имен и паролей пользователей, а также иной конфиденциальной информации, находящейся в памяти ЭВМ, системе ЭВМ или компьютерной сети потерпевшего; незаконное расширение круга полномочий пользователя;

г) на аппаратно-технические средства компьютерной техники;

д) на здоровье человека. Речь идет о вредоносных программах, которые, используя компьютерные средства аудиовизуального отображения компьютерной информации (монитор, звуковые колонки, сотовый радиотелефон и др.), негласно осуществляют по заданному в них алгоритму психофизиологическое программирование человека - пользователя. Эта технология получила название «эффект 25-го кадра». Суть ее заключается в том, что при увеличении скорости воспроизведения видеоизображений свыше 24 кадров в секунду в подсознание (мозг) смотрящего на монитор (телевизор) человека копируются скрытые образы предметов, лиц, помещений, участков местности и иных объектов, которые размещаются на «дополнительных» кадрах. Аналогичное воздействие оказывается с помощью передаваемой и на уровне подсознания копируемой в мозг человека звуковой информации. При этом частота звуковых колебаний лежит за порогом их нормального восприятия человеком, например, на уровне ультразвука.

В абзаце 2 ст. 4 Закона Российской Федерации «О средствах массовой информации» (от 27.12.1991 г. № 2124-I) указано: «Запрещается использование в информационных компьютерных файлах и программах обработки информационных текстов, относящихся к специальным средствам массовой информации, скрытых вставок, воздействующих на подсознание людей и (или) оказывающих вредное влияние на их здоровье».

Вместе с тем полагаем, что наиболее конкретной является криминалистическая классификационная система вредоносных программ, разработанная группой специалистов в области судебной компьютерно-технической экспертизы^[328]. Расположим выделенные ими виды вредоносных программ в зависимости от частоты встречаемости в следственной, экспертной и судебной практике.