Computer Crime Problems Research Center
В

В.Д. Гавловський,

    кандидат юридичних наук

 

ОСОБЛИВОСТІ МЕТОДИКИ ВИЯВЛЕННЯ ТА РОЗКРИТТЯ ЗЛОЧИНІВ, ЩО ВЧИНЯЮТЬСЯ УГРУПОВАННЯМИ З ВИКОРИСТАННЯМ КОМП'ЮТЕРНИХ ТЕХНОЛОГІЙ

 

Як свідчить історія розвитку світового науково-тех­нічного прогресу, будь-яка технічна новація, зокрема в га­лузі засобів комунікації, неминуче притягувала до себе людей, які намагалися і намагаються використати її для вчинення правопорушення, злочину. Особливо це є небезпечним, коли злочин вчиняються формуванням, що має оз­наки організованої злочинної групи. Наприклад, поява і роз­повсюдження телефонного, телеграфного та радіозв'язку дали можливість організованим злочинним угрупованням активно використовувати їх для планування і вчинення ан­тисоціальних діянь. Аудіо-, відеотехніка та телебачення використовуються не тільки як засіб забезпечення безпе­ки, а й як засіб шантажування, вимагання тощо. Не є винятком з цього також інформатизація та її складова -комп'ютеризація, тобто впровадження комп'ютерних тех­нологій в різні сфери суспільної діяльності.

Комп'ютеризація породила новий вид злочинів, які в теорії і практиці кримінології одержали умовну назву "комп'ютерні злочини". Це в свою чергу викликало по­требу осмислення комп'ютерної злочинності як соціаль­ного явища і напрацювання відповідних методик бороть­би з нею, в тому числі виявлення і розслідування злочинів, що вчиняються з використанням комп'ютерних техно­логій. Як показує практика оперативно-розшукової діяль­ності, найбільш небезпечні комп'ютерні злочини вчиняють­ся і досягають злочинної мети після попереднього згово­ру групою осіб. Проте практика попереднього слідства свідчить, що традиційними засобами без урахування спе­цифіки способу вчинення злочину довести розслідування до суду досить складно.

Виявлення та розкриття комп'ютерних злочинів, особливо таких, що вчиняються організованими злочин­ними угрупованнями, вимагає спеціальної фахової осві­ти і високого інтелектуального рівня працівників право­охоронних органів, їм потрібно мати добрі знання не тільки в галузі права, айв галузі інформатики. У зв'язку з цим виникла потреба у формуванні таких двох нових науко­вих дисциплін, як інформаційне право та правова інфор­матика. На межі цих наукових дисциплін виникла нова -захист інформації в автоматизованих (комп'ютерних) си­стемах. На жаль, система підготовки кадрів для право­охоронних органів, зокрема у вищих навчальних закла­дах МВС України, ще не готова в необхідному обсязі за­довольнити потреби практики щодо боротьби з комп'ю­терною організованою злочинністю. Причинами цього можна назвати відсутність відповідних спеціальних цільових навчальних програм, навчально-методичних матері­алів, посібників, підручників, а головне  - недостатність технічного оснащення комп'ютерною технікою і новітніми інформаційними технологіями відомчих навчальних закладів правоохоронних органів. В аспекті останнього як рудимент - у нас ще діють нормативи, за якими на­вчання передбачає одночасну роботу двох і більше слухачів (курсантів, студентів) на одному  персональному комп'ютері (автоматизованому навчальному місці). З огляду на такі обставини навчання і здобуття фахівцями навичок щодо боротьби з комп'ютерною злочинністю здійснюються фактично після закінчення навчального закладу шляхом одержання досвіду методом проб і помилок. Це, звичайно, дорого коштує суспільству і державі. Можливо, саме ці фактори є однією з причин низького рівня виявлення і розкриття комп'ютерних злочинів в Україні, особливо таких, що вчиняються організованими злочин­ними угрупованнями.          

Дослідження свідчать, що комп'ютерна організова­на злочинність визначається високою вірогідністю соц­іальної небезпеки, складністю виявлення, встановлення вини і збирання доказів. Особливістю комп'ютерних зло­чинів є й те, що вони можуть вчинятися з використанням засобів комунікацій віддаленого доступу, що не потре­бує присутності правопорушника на безпосередньому місці вчинення злочину (в традиційному розумінні). Ос­таннім часом спостерігається тенденція до зрощення ком­п'ютерної злочинності з традиційною організованою зло­чинністю, інтернаціоналізації цього виду злочинів. Це зна­ходить свій прояв у несанкціонованому проникненні в банківські кредитно-розрахункові комп'ютерні системи, електронну торгівлю, зокрема через Інтернет, в тому числі шахрайстві з магнітними картками тощо. В той же час широкий загал працівників практичних правоохорон­них органів, особливо низової ланки управління (міськрай­органів), недостатньо обізнаний з методиками виявлення і документування таких злочинів.

Особливістю комп'ютерних злочинів, що вчиняють­ся групою осіб, є обов'язкова присутність такого специфічного учасника злочинної групи як хакер (фрікер, крекер тощо). Цим жаргонним терміном називають особу, яка во­лодіє знаннями і навичками несанкціонованого проникнен­ня до комп'ютерної системи. Вона є основним виконавцем цього злочинного діяння. Останнім часом у засобах масо­вої інформації почали з'являтися повідомлення про зв'язок окремих хакерів з традиційною організованою злочинні­стю1 . В таких випадках злочини: співтовариства переваж­но виступають у ролі замовників і забезпечують вико­навців необхідною новітньою технікою, організують при­криття, через підставних осіб конвертують одержані зло­чинним шляхом "електронні" гроші з банківських рахунків у готівку чи товар, виконують іншу роботу.

Як свідчать дослідження, за змістом організації зло­чинні угруповання у сфері комп'ютерної злочинності мож­на поділити на два види.

Перший - напіворганізовані групи. Вони діють у сфері застосування електронних платежів (шахрайство за користування телефонними послугами, несанкціоноване проникнення в автоматизовані бази даних). До їх складу, як правило, входять особи, що одержали незаконним спо­собом доступ до комп'ютерної мережі (технічний, про­грамно-математичний, кредитні картки тощо). Вони на­магаються залучити в злочинну діяльність працівників легітимних організацій, які мають доступ до відповідних комп'ютерних систем (торгових підприємств, частіше касирів, працівників банків тощо). Учасники цих груп звичайно добре обізнані з основами системи розрахунків. Кількісний склад може бути різним - від двох і більше. Часом такі групи складаються тільки з працівників орган­ізацій або осіб, що працювали в них. Як показує практи­ка, ними вчиняється найбільша кількість із загального числа комп'ютерних злочинів.

Другий вид - професійні злочинні угруповання. Організатори цих угруповань володіють глибокими знан­нями у сфері інформатики, обчислювальної (комп'ютерної) техніки, а також характеризуються високим професіоналіз­мом у вчиненні таких злочинів. При цьому спостерігаєть­ся чітко спланований розподіл ролей, обов'язків між члена­ми групи. Наприклад, у сфері застосування кредитних карток одні спеціалізуються на викраданні карток, інші - на підробці підписів, треті - на реалізації - одержанні готівки чи здійсненні платежів і т. ін. Кожний учасник групи одер­жує попередньо встановлений відсоток винагороди за "вда­ле" досягнення злочинної мети.

Злочини, що вчиняються цими групами, можна умовно розділити на два підвиди:

1)      такі, що вчиняються вітчизняними організованими групами;

2)      такі, що вчиня­ються міжнародними (трансграничними, транснаціональ­ними) організованими групами. Останні, крім ролів і обо­в'язків, розподіляють також місця вчинення кримінальних дій у масштабах різних країн (сфери діяльності). Наприк­лад, крадіжка кредитних карток вчиняється в США, а пред'явлення до оплати - в Україні, чи навпаки, або ж в третій країні.

Переважно безпосередніх виконавців, причетних до вчинення комп'ютерного злочину, встановлюють у мо­мент одержання ними готівки чи товарів. При їх допиті насамперед слід з'ясувати: хто разом з ними використо­вував комп'ютерну техніку в корисливих цілях; скільки разів і з рахунків яких організацій знімалися гроші, в який спосіб; кому передавалися і як розподілялися гроші між співучасниками злочину.

Зрозуміло, не завжди затримані "з доказами" охоче називають своїх спільників. Так, по одній з кримінальних справ затриманий у момент одержання (в шістнадцятий раз!) незаконно нарахованих грошей у готівці з одного із своїх рахунків протягом усього слідства і судового розг­ляду так і не сказав, хто безпосередньо використовував банківську комп'ютерну систему для розкрадання гро­шей. При затриманні в нього було вилучено шість пас­портів на різних осіб, але з його фотографією, які він пред­'являв в банку, коли одержував гроші. Свої дії поясню­вав тим, що нібито невідомий примушував робити це і йому він віддавав усі гроші. Які-небудь стосунки з прац­івниками банку він у своїх поясненнях заперечував кате­горично. Про прикмети інших осіб, що нібито його пере­слідували, давати відомості відмовився. Затриманий по­яснював свою поведінку якимось телепатичним впливом на нього з боку позначеної ним умовно особи. Цієї версії він додержувався до кінця судового процесу. І в резуль­таті засуджений був тільки він один.

Судово-психіатрична експертиза встановила, що дані обвинуваченим пояснення носять симулятивний ха­рактер. Висновки про його осудність і наявність корисли­вих мотивів базувалися на вилучених при обшуку за місцем проживання чорнових записів. Це не залишало сумнівів у тому, що саме він тривалий час тренувався в підробленні підписів певних осіб (це підтверджували ви­явлені в нього паспорти), а також вилучених бланків різних організацій, що використовувалися як фіктивні докумен­ти, необхідні для одержання грошей у банку.

Організатора цього злочину допомогли встанови­ти лише комплексна судово-бухгалтерська експертиза та експертиза комп'ютерного програмного забезпечення. Саме вони привели до висновку - найбільшою інформа­цією, а отже, і можливостями щодо внесення змін у дані, збережені в пам'яті ЕОМ, володіє начальник відділу ав­томатизації операцій. До речі, він сховався від слідства і суду відразу ж після затримання з доказами згаданої осо­би. Його було оголошено в розшук [2].

У разі, коли підозрювані або обвинувачувані не ба­жають називати співучасників, рекомендується викорис­товувати поліграф за допомогою спеціаліста. Це дає мож­ливість одержати орієнтовну інформацію для плануван­ня наступних слідчих дій з метою одержання на цій ос­нові офіційних процесуальних доказів. Висновок про на­явність наміру на заволодіння чужим майном, заздалегідь обдуманого наміру вчинити розкрадання коштів через використання комп'ютерної системи може бути зробле­ний на основі аналізу всієї множини доказів.

Факт неправомірного доступу до інформації в автоматизованій (комп'ютерній) системі чи мережі, як правило, виявляється: користувачами автоматизованої інформаційної системи, що стали жертвою цього правопорушення; в результаті оперативно-розшукової діяльності правоохоронних органів; при проведенні ревізій, інвентаризацій та перевірок; при проведенні судових експертиз та слідчих дій з кримінальних справ по інших злочинах; за інших обставин.   

Для встановлення фактів неправомірного доступу в комп'ютерну систему до складу робочої групи доціль­но залучати фахівців, які мають відповідні знання та навички в галузі комп'ютерних технологій: ревізорів, спеціально підготовлених працівників оперативно-розшукових апаратів, інженерів-програмістів (системних про­грамістів), інженерів-електронників.

Ознаками несанкціонованого доступу або підготовки до нього можуть бути такі обставини: поява у комп'ютері неправдивих даних; неоновлення тривалий час в ав­томатизованій інформаційній системі кодів, паролів та інших захисних засобів; часті збої в процесі роботи комп­'ютерів; часті скарги користувачів комп'ютерної систе­ми чи мережі на збої в її роботі; робота декого з персона­лу понад норми робочого часу без поважних на те при­чин; немотивовані відмови від відпусток окремих співро­бітників, які обслуговують комп'ютерні системи чи ме­режі; раптове придбання співробітником у власність до­рогого комп'ютера чи іншого дорогого майна ("не по за­робітку"); часті випадки перезапису окремих даних без поважних на те підстав; надмірна зацікавленість окремих співробітників змістом документів (листингів), що вихо­дять з принтерів, роздруковуються на папері після комп­'ютерної (машинної) обробки тощо.

Окремо слід виділити ознаки неправомірного досту­пу, які стосуються ухилення від встановлених порядку і правил роботи з документами: порушення встановлених правил оформлення документів, у тому числі виготовлення машинограм, роздрукування на папері інформації з ком­п'ютерної системи; повторне введення однієї й тієї ж самої інформації до бази даних автоматизованих (комп'ютерних)систем; наявність зайвих документів серед тих, що підго­товлені для обробки на комп'ютері; відсутність первинних документів, що стали підставою для запису повторної документації (вторинних документів); умисна втрата чи до строкове знищення первинних документів та машинних носіїв інформації; внесення недостовірної інформації (дезінформації) у реєстраційні документи.           

Для фактів несанкціонованого доступу до інфор­мації, що стосуються внесення неправдивих відомостей у документи, в автоматизованих (комп’ютерних) систе­мах характерні такі ознаки: суперечності (логічного чи арифметичного змісту) між реквізитами того чи іншого бухгалтерського документа; невідповідність даних, що містяться у первинних документах, даним машинограм та автоматизованій базі даних; суперечності між різними примірниками бухгалтерських документів або докумен­тами, що відображують взаємопов'язані господарські опе­рації; невідповідність взаємопов'язаних облікових даних у різних машинограмах чи в базах даних; невідповідність між даними бухгалтерського та іншого виду обліку.

При цьому слід мати на увазі, що зазначені ознаки можуть бути наслідком не тільки зловживання, а й інших причин, зокрема випадкових помилок чи збоїв комп'ютер­ної техніки.

Вирішення завдання встановлення місця несанкціо­нованого доступу до комп'ютерної системи чи мережі вик­ликає певні труднощі, бо таких місць може бути декіль­ка. При встановленні факту неправомірного доступу до інформації у комп'ютерній системі чи мережі слід вияви­ти місця, де розміщені комп'ютери, що мають єдиний ко­мунікаційний зв'язок.

Простіше це завдання вирішується у разі несанкці­онованого доступу до окремих комп'ютерів, що знахо­дяться в одному приміщенні. Однак при цьому необхідно враховувати, що інформація на машинних носіях може знаходитися в іншому приміщенні (за наявності локаль­ної комп'ютерної мережі), що теж слід встановлювати.

Складніше встановити місце безпосереднього зас­тосування технічних засобів несанкціонованого доступу, який був здійснений за межами організації, через систему електронної комунікації тощо. Для цього необхідно за­лучати фахівців, що мають спеціальні прилади та комп'­ютерні програмні засоби виявлення несанкціонованого доступу. Встановленню підлягає також місце зберігання інформації на машинних носіях або у вигляді роздруквок, одержаних у результаті неправомірного доступу до комп'ютерної системи чи мережі.

За допомогою комп'ютерних програм загальносистемного призначення у працюючому комп'ютері звичайно встановлюється поточний час роботи комп'ютерної системи. Це дозволяє за відповідною командою вивести на екран дисплею інформацію про день і час виконання тієї чи іншої операції. Якщо ці дані введені, то при вході до системи чи мережі (у тому числі й несанкціоновано­му), час роботи на комп'ютері будь-якого користувача і час виконання конкретної операції автоматично фіксу­ються в оперативній пам'яті та відображуються (фіксу­ються), як правило, у вихідних даних на дисплеї, листінгу, дискеті чи вінчестері.

З огляду на це час несанкціонованого доступу мож­на встановити шляхом огляду комп'ютера, роздруківок чи змісту інформації на дискетах. Огляд доцільно вико­нувати за участю фахівця у галузі комп'ютерної техніки та технологій (програміст-математик, інженер-електронник). Необережне поводження або дії недосвідченої особи можуть випадково знищити інформацію, яка знаходить­ся в оперативній пам'яті комп'ютера або на дискеті. Слід також враховувати, що в деяких комп'ютерних системах (за відсутності досвідченого фахівця - системного адмі­ністратора комп'ютерної системи) не стежать за корегу­ванням часу у вмонтованому в комп'ютер електронному годиннику. Це є характерним тоді, коли користувачі ком­п'ютерної системи не обізнані з тим, як це робиться і коли час роботи комп'ютера не грає ролі в роботі організації.

В такому разі час неправомірного доступу до ком­п'ютерної системи можна встановити шляхом опитуван­ня свідків з числа співробітників організації, де було вста­новлено цей факт. При цьому потрібно з'ясувати, в який час кожний з них працював на комп'ютері, якщо це не було зафіксовано автоматично чи в журналі обліку ро­боти на комп'ютері (якщо він є).

Для вчинення несанкціонованого доступу в комп'­ютерну систему застосовуються різноманітні способи: ви­користання чужого імені; підбирання паролю; знаходжен­ня і використання прогалин у комп'ютерній програмі; інші способи подолання захисту комп'ютерної системи. Не­рідко злочинні формування для одержання інформації про доступ до комп'ютерної системи використовують підкуп, шантаж працівників організації-жертви або здійснюють комплекс розвідувальних заходів. Такі факти можуть слу­гувати сигналом про підготовку до вчинення злочину.

Конкретний спосіб несанкціонованого доступу мож­на встановити таким чином: шляхом опитування свідків (очевидців) з числа осіб, що обслуговують систему; при можливості - опитати розробників комп'ютерного про­грамного забезпечення, технології комп'ютерної системи. У зазначених осіб з'ясовується: яким чином правопоруш­ник міг подолати засоби захисту цієї системи; яким чи­ном він міг дізнатися про ідентифікаційний номер закон­ного користувача, код, пароль доступу; з яких можливих джерел він міг одержати відомості про засоби захисту (із наукових публікацій, Інтернету тощо).

Спосіб несанкціонованого доступу може бути вста­новлений також у ході проведення досліджень спеціаліста­ми, інформаційною техніко-технологічною експертизою.

Для з'ясування цих питань експерту надаються такі матеріали: проектна документація на систему, що дослі­джується (якщо така є); наявні дані про її сертифікацію; інші матеріали на його запит. При проведенні таких видів експертиз рекомендується використовувати комп'ютер­не обладнання тієї ж системи, до якої проник правопоруш­ник, а також такі ж спеціальні комп'ютерні програми.

При вирішенні завдання щодо встановлення способу несанкціонованого доступу до комп'ютерної системи може бути проведено відтворення обстановки та обставин події відповідно до Кримінально-процесуального кодексу Украї­ни з метою перевірки можливості подолання засобів захис­ту комп'ютерної системи одним із передбачуваних спо­собів. Його метою може стати й перевірка можливості по­яви на екрані дисплею інформації з обмеженим доступом або її роздруківка внаслідок помилкових (неумисних) дій оператора чи в результаті випадкового технічного збою роботи комп'ютерного устаткування.

Осіб, які стали співучасниками злочину, в першу чергу рекомендується шукати серед працівників органі­зації, що зазнала несанкціонованого проникнення до її ком­п'ютерної системи, мережі, а саме: технічного персоналу організації, в тому числі фахівців по ремонту техніки; роз­робників відповідних систем; керівного складу організації;

операторів, адміністраторів автоматизованої системи, програмістів, інженерів зв'язку; фахівців по захисту інфор­мації; охоронців; інших осіб, що могли мати або мають доступ до комп'ютерної системи.

Практика свідчить, що чим складніший у технічному відношенні спосіб проникнення до комп'ютерної системи (мережі), тим легше виділити підозрювану особу, оскільки коло фахівців, які мають відповідні знання та здібності, як правило, досить обмежене.      

 

Встановленню причетності конкретної особи, яка вчинила несанкціонований доступ до комп'ютерної систе­ми, можуть сприяти різноманітні матеріально фіксовані відображення, які виявляються іноді при огляді комп'юте­ра та його компонентів. Для цього необхідно здійснити такі заходи: зняти відбитки пальців рук у персоналу організації; вилучити і дослідити окремі записи, в тому числі на зов­нішній упаковці дискет; за допомогою фахівця та відпові­дних комп'ютерних програм перевірити записи на диске­тах і дисках (вінчестері), стримері (якщо він застосовувався для створення копій даних з вінчестера) тощо.

Можуть призначатися також такі криміналістичні експертизи: дактилоскопічна, почеркознавча, технічна.

Для встановлення осіб, зобов'язаних забезпечувати додержання режиму доступу до комп'ютерної системи чи мережі, слід насамперед ознайомитися з наявними інструк­ціями щодо її експлуатації, функціональних прав та обо­в'язків, котрі передбачають повноваження посадових осіб, відповідальних за захист інформації. Після цього слід про­вести їх опитування (допити). В ході зазначених дій щодо осіб, які обслуговують комп'ютерну систему, встановлю­ються: можливі факти та особи, які здійснювали чи могли здійснити запуск позаштатних комп'ютерних програм; чи було це зафіксовано будь-яким засобом (приладами, відпо­відною комп'ютерною програмою). Слід також з'ясувати: хто має навички створення комп'ютерних програм; хто зай­мається створенням комп'ютерних програм; хто навчається на курсах створення комп'ютерних програм.

У осіб, які підозрюються у неправомірному доступі до комп'ютерної системи, за наявності достатніх підстав робиться обшук, в результаті якого можуть бути виявлені: комп'ютери різних конфігурацій, принтери, засоби теле­комунікаційного зв'язку з комп'ютерними мережами (мо­деми) тощо; записні книжки (в тому числі сучасні елект­ронні - органайзери) із записами, які можуть служити до­казами у справі); магнітні диски, що містять записи, які можуть мати значення у справі. До відомостей, що можуть мати значення для слідства, можуть належати записи кодів, паролі, ідентифікаційні номери користувачів конкретної комп'ютерної системи, а також дані про її користувачів.

У ході обшуку слід звертати увагу на літературу, методичні матеріали щодо комп'ютерної техніки та про­грамування. До проведення обшуку і подальшого огляду речових доказів доцільно залучати фахівця, який володіє знаннями і може прочитати інформацію, що міститься на машинних носіях або у пам'яті вилученого комп'ютера, записи символів, в тому числі на паперових носіях інфор­мації.

В Україні не існує офіційної функціональної струк­тури, яка б проводила інформаційно-технологічну експер­тизу комп'ютерних систем на зразок, наприклад, судово-медичної чи інших. Це в свою чергу обумовлює відсутність методик проведення експертизи щодо використання ком­п'ютерних технологій в злочинних цілях, підготовки відповідних фахівців-експертів. А звідси - і низька якість розслідувань комп'ютерних злочинів. Ця проблема потре­бує вирішення на державному рівні.

Практика показує, що нерідко організована комп'­ютерна злочинність має транскордонний характер. Для розкриття таких злочинів потрібна оперативна (швидка) взаємодія на високому технічному і технологічному рівнях правоохоронних органів різних країн. В контексті цього як особливу проблему слід зазначити, що в різних країнах існують розбіжності щодо кваліфікації злочинів і процесуальної процедури провадження. У зв'язку з цим постає проблема міжнародної уніфікації законодавства щодо боротьби з комп'ютерною злочинністю (на зразок Європейського співтовариства) у всьому світі та створення спеціальних підрозділів боротьби з організованою комп'ютерною злочинністю.        

 

1.Какоткин А Компьютерные взломщики //АиФ. -1997. -№8; Кузнецов Л. Компьютерные мошенничества // Цо оперативним сводкам УВД. -1996. -№19.

2.Пособие для следователя. Расследование преступ-лений повьішенной общественной опасности/ Под ред. Н.А. Селиванова й А.Й. Деоркина. - М., 1998. -С.398.


Главная | Библиотека | Статьи | Форум
Ссылки | Команда | Контакты
Copyright © Центр исследования проблем компьютерной преступности, 2001-2002 Все права защищены.
При публикации информации взятой в нашем каталоге ссылка на http://www.crime-research.org обязательна.