Соловьев
Леонид Николаевич
Расследование преступлений, связанных с созданием, использованием и распространением вредоносных программ для ЭВМ
Специальность 12.00.09 - «Уголовный процесс; криминалистика и
судебная экспертиза; оперативно-розыскная деятельность»
Москва - 2003
Наиболее существенные научные результаты, полученные лично диссертантом, заключаются в разработке понятийного аппарата, выделении и исследовании основных элементов криминалистической характеристики преступлений, связанных с созданием, использованием и распространением вредоносных программ, их отражения и познания, а также методики расследования таких преступлений. Так, сформулированы новые и уточнены существующие понятия, связанные с созданием, использованием и распространением вредоносных программ, раскрыты базовые элементы криминалистической характеристики преступлений, связанных с созданием, использованием и распространением вредоносных программ, показаны первоначальные ситуации расследования рассматриваемых преступлений, выделены обстоятельства, подлежащие установлению в ходе их расследования в рамках криминалистического предупреждения преступлений данной категории.
Основные положения, выносимые на защиту:
1) Определение вредоносной программы, под которой понимается программа для ЭВМ, наделенная функциями, выполнение которых может оказать неправомерное воздействие на средства компьютерной техники, приводящее к их уничтожению, блокированию или иному нарушению их работы, и на компьютерную информацию, приводящее к ее уничтожению, блокированию, модификации или копированию.
2) Криминалистическая классификация вредоносных программ. Вредоносные программы могут быть разделены по следующим основаниям: по способу создания, по способности к самораспространению, по наличию в них открыто декларируемых функций, по видам оказываемого воздействия, по направленности оказываемого воздействия.
По способу создания вредоносные программы классифицируются как: специально созданные, созданные путем, внесения изменений в существующие программы, и модифицированные.
Классификация вредоносных программ, основанная на способности программ к самораспространению, включает в себя два основных класса: самораспространяющиеся вредоносные программы, куда относятся компьютерные вирусы и компьютерные черви, и программные закладки. Программные закладки в свою очередь можно разделить на пять групп: осуществляющие сбор информации об информационных процессах, протекающих в компьютерной системе; обеспечивающие неправомерный доступ; наделенные деструктивными функциями; блокирующие работу средств компьютерной техники; комбинированные.
В зависимости от наличия открыто декларируемых функций вредоносные программы могут быть разделены на: троянские программы и скрытые вредоносные программы. По видам оказываемого воздействия вредоносные программы можно разделить на пять групп, куда наряду с воздействием на компьютерную информацию, должно войти и воздействие на аппаратно-технические средства ЭВМ, и возможное воздействие на здоровье человека. По направленности оказываемого воздействия: вредоносные программы делят на: направленные на индивидуально-определенный объект и ненаправленного действия.
3) Описание особенностей основных элементов криминалистической характеристики преступлений, связанных с созданием, использованием и распространением вредоносных программ:
а) способов совершения преступлений, связанных с созданием, использованием и распространением вредоносных программ.
По действиям, составляющим объективную сторону совершения преступлений, все способы совершения преступлений рассматриваемой категории могут быть разделены на две группы: способы создания вредоносных программ и способы их использования и распространения.
В зависимости от совпадения мест создания вредоносной программы и мест ее последующего использования способы создания можно разделить на: создание непосредственно на месте ее использования и создание вне места ее использования, а по способу возникновения, можно выделить две группы: создание программ и внесение изменений в существующие программы.
Способы использования и распространения вредоносных программ можно разделить на две большие группы: активные и пассивные. Каждая из этих групп в свою очередь делится отдельные способы или группы способов. Основное отличие пассивных способов от активных заключается в том, действия преступника не связанны с получением доступа к компьютерной информации;
б) средств создания вредоносных программ. Указанные средства можно разделить на программные и аппаратные. Программные средства делятся на четыре основные составляющие: системы программирования, специальные, отладочные и камуфлирующие (маскирующие) программные средства. Аппаратные средства создания вредоносных программ в свою очередь делятся на две группы: используемые для непосредственного создания и подготовки к распространению программ и используемые для отладки и тестирования работы создаваемой программы;
в) системы элементов, характеризующих обстановку совершения преступлений, связанных с созданием, использованием и распространением вредоносных программ. Она должна включать в себя программно-технический элемент, определяющий возможность совершения тех или иных действий преступником или самой вредоносной программой в существующей программно-технической среде, а также комплексный элемент, характеризующий используемые меры защиты информации;
г) следов внедрения, воздействия и функционирования вредоносных программ в компьютерных системах, следы воздействия оказываемого самим преступником на компьютерную информацию. Их можно разделить на пять основных групп: следы изменения файловой структуры, системных областей машинных носителей информации и постоянной энергонезависимой памяти; следы изменения настроек ЭВМ и отдельных программ; следы нарушения работы ЭВМ и отдельных программ; следы воздействия на системы защиты и конфиденциальность информации; иные проявления воздействия и функционирования вредоносных программ (аудио-, видеоэффекты и другие);
д) лица, совершающие преступления, связанные с созданием, использованием и распространением вредоносных программ. Классификация таких лиц по целям преступного посягательства должна включать в себя особую группу - «диверсантов».
4) Классификация и характеристика типичных следственных ситуаций. Типичными ситуациями первоначального этапа расследования преступлений, связанных с созданием, использованием и распространением вредоносных программ для ЭВМ являются три следующие следственные ситуации:
а) известны лишь некоторые лица (лицо), совершившие преступления, связанные с выявленным фактом создания, использования или распространения вредоносной программы;
б) известны все лица (лицо), совершившие преступления, связанные с выявленным фактом создания, использования или распространения вредоносной программы;
в) лица (лицо), совершившие преступления, связанные с выявленным фактом создания, использования или распространения вредоносной программы, неизвестны.
5) Описание особенностей подготовки и проведения отдельных следственных действий на первоначальном этапе расследования по уголовным делам о преступлениях, связанных с созданием, использованием и распространением вредоносных программ:
а) основные правила поиска, фиксации и изъятия компьютерной информации и ее машинных носителей в ходе проведения следственных действий;
б) состав программных средств компьютерной техники, используемых в ходе проведения следственных действий и требования, предъявляемые к ним;
в) система приемов цифровой фиксации доказательственной информации, в которую входят три основных приема фиксации цифровой информации: сохранение цифровой информации на машинном носителе; копирование существующих файлов на машинный носитель; создание образов машинных носителей информации;
г) обстоятельства, способствующие совершению преступлений, связанных с созданием использованием и распространением вредоносных программ, в зависимости от способа совершения преступлений могут быть отнесены к обстоятельствам, способствующим неправомерному доступу к компьютерной информации, или обстоятельствам, способствующим непосредственно созданию, использованию и распространению вредоносных программ.