1) Подмена данных – наиболее простой и поэтому очень часто применяемый способ совершения преступления. Действия пре­ступников в этом случае направлены на изменение или введение новых данных, которое осуществляется, как правило, при вво­де-выводе информации. В частности, данный способ соверше­ния преступления применяется для приписывания счету «чужой» истории, т. е. модификации данных в автоматизированной сис­теме банковских операций, приводящей к появлению в системе сумм, которые реально на данный счет не зачислялись.

2) Подмена кода. Это частный вариант способа подмены данных. Он заключается в изменение кода данных, например бухгалтерского учета.

3) «Люк». Про­изводится поиск уязвимых мест в защите компьютерной системы и в найденной «бреши» про­грамма «разрывается» и туда дополнительно преступник вво­дит одну или несколько команд. Такой «люк» «открывается» по мере необходимости, а включенные команды автоматически выполняются.

4) «Троянский конь». Данный способ заключается в тайном введении в чужое программное обеспечение специально создан­ных программ, которые, попадая в информационно-вычислительные системы (обычно выдавая себя за известные сервисные про­граммы), начинают выполнять новые, не планировавшиеся за­конным владельцем действия, с одновременным сохранением прежней работоспособности системы.

5) «Троянская матрешка». Является разновидностью «троянского коня». Особенность этого способа заключается в том, что во фрагмент программы потерпевшей стороны вставляются не ко­манды, собственно выполняющие незаконные операции, а ко­манды, формирующие эти команды и после выполнения своей функции самоуничтожающиеся. Иначе говоря, это программные модули-фрагменты, которые создают «троянского коня» и самоликвидируются на программном уров­не по окончании исполнения своей задачи.

6) «Троянский червь». Еще одна разновидность способа «троянский конь». Данный способ совершения преступления характеризуется тем, что в алгоритм работы программы, ис­пользуемой в качестве орудия совершения преступления, на­ряду с ее основными функциями, уже рассмотренными нами выше, закладывается алгоритм действий, осуществляющих са­моразмножение, программное автоматическое воспроизводство «троянского коня».

7) «Салями». Такой способ совершения преступления стал возможным лишь благодаря использованию компьютерной технологии в бухгалтерских операциях. Раньше он не использо­вался преступниками по причине его «невыгодности». Данный способ основан на методике проведения операций перебрасыва­ния на подставной счет мелочи – результата округления, которая на профессиональном бухгалтерском языке называется «салями».

8) «Логическая бомба». Иногда из тактических соображений хищения удобнее всего совершать при стечении каких-либо обстоятельств, которые обязательно должны наступить. В этих случаях преступниками используется рассматриваемый способ совершения преступления, основанный на тайном внесении из­менений в программу потерпевшей стороны набора команд, которые должны сработать (или срабатывать каждый раз) при наступлении определенных обстоятельств через какое-либо время. Далее включается алгоритм программы «троянского коня».

9) «Троянский конь» в электронных цепях. В отличие от «троянских коней» программных, которые представляют собой совокупность команд, внедряемых в программные средства, этот способ предполагает создание определенных логических связей в электронных цепях аппаратных средств компьютер­ной техники для автоматического выполнения незаконных ма­нипуляций по аналогии с программным способом. «Троянский конь» в электронных цепях компьютеров – очень редкий спо­соб совершения компьютерного преступления. Особенность его заключается в том, что подоб­ные преступные действия возможны лишь путем внесения кон­струкционных изменений в топологию интегральных микросхем при их заводском изготовлении.

Компьютерные вирусы.

Для понимания способа совершения преступления все вирусы можно подробно классифицировать по определенным основаниям и разбить на несколько обобщенных групп. Выделяются:

1) загрузочные (системные) вирусы (поражающие загрузоч­ные секторы машинной памяти);

2) файловые вирусы (поражающие исполняемые файлы, в том числе СОМ, EXE, SYS, ВАТ-файлы и некоторые другие);

3) комбинированные вирусы.

Вопросами научного изучения компьютерных вирусов в на­стоящее время занимается специально созданная новая наука – компьютерная вирусология. С точки зрения этой науки все программы-вирусы подразделяются на две группы, имеющие подгрупповое деление, а именно:

1) по способу заражения средств компьютерной техники ви­русы подразделяются на резидентные и нерезидентные;

2) по алгоритму их строения и обнаружения на «вульгарный вирус» и «раздробленный вирус».

Резидентный вирус при «инфицировании» программных средств оставляет в оперативной памяти компьютерной системы потерпевшей стороны свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам за­ражения и внедряется в них. Резидентный вирус находится в памяти и является активным вплоть до выключения или пере­загрузки компьютерной системы.

Нерезидент­ный вирус не заражает оперативную память и является актив­ным ограниченное время, а затем «погибает», в то время как резидентный активируется после каждого включения компью­терной системы.

Программа «вульгарного вируса» написана единым блоком и достаточно легко обнаруживается специалистами в самом начале ее активных проявлений с помощью набора стандарт­ных антивирусных программных средств.

Программа «раздробленного вируса» разделена на части, на первый взгляд, неимеющие между собой логической связи. Эти части содержат инструкции, которые указывают компью­теру, как собрать их воедино, в какой последовательности, в каком случае или в какое время воссоздать «вирус» и когда размножить его (принцип «троянского коня»). Таким образом, вирус почти все время находится в «распределенном» состоя­нии, лишь на короткое время своей работы собираясь в единое целое. Как правило, создатели «вируса» указывают ему число репродукций, после достижения которого он либо вымирает, либо становится агрессивным и совершает заранее заданные незаконные манипуляции.

Наиболее часто встречаются следующие вирусные модификации.

А) Вирусы-«спутники» – это вирусы, не из­меняющие программные файлы. Алгоритм работы этих вирусов состоит в том, что они создают для запускающих командных файлов файлы-спутники, имеющие то же самое имя, но с рас­ширением более высокого командного порядка. При запуске такого файла ЭВМ первым запускает файл, имеющий самый высокий уровень порядка, т. е. вирус, который затем запустит и командный файл.

Б) Вирусы-«черви» – вирусы, которые распро­страняются в компьютерной сети и, так же как и вирусы-»спутники», не изменяют «родительские» программы, файлы или секторы на дисках. Они проникают в память компьютера из компьютер­ной сети и, вычисляя адреса других компьютеров, рассылают по этим адресам свои копии.

В) «Паразитические» – все вирусы, которые при распро­странении своих копий обязательно изменяют содержимое программ, файлов или дисковых секторов. В эту группу относятся все вирусы, которые не являются «червями» или «спутниками».

Г) «Студенческие» – крайне примитивные простые ви­русы, содержащие большое число ошибок в алгоритме их строения (безграмотно написанные) и вызывающие локальные «эпидемии».

Д) «Вирусы-невидимки» или маскирую­щиеся вирусы, представляющие собой весьма совершенные про­граммы, которые при исправлении пораженных программ под­ставляют вместо себя здоровые программы или их части. Кроме того, эти вирусы при обращении к программам используют достаточно оригинальные алгоритмы, позволяющие «обманывать» антивирус­ные программы.

Способность к маскировке оказалась слабым местом «вирусов-невидимок», позволяющим легко обнаружить их наличие в про­граммной среде компьютера. Достаточно сравнить информацию о файлах, выдаваемую DOS, с фактической, содержащейся на диске: несовпадение данных однозначно говорит о наличии ви­руса, т. е. способность к маскировке демаскирует эти вирусы.

Е) Вирусы-«призраки» (мутанты) – достаточно трудно обнаруживаемые самокодирующиеся вирусы, не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же вируса – «призрака» не будут иметь ни одного совпадения. Это достигается не только шифрованием ос­новного тела вируса, но и модификациями кода программы-рас­шифровщика. Иными словами, вирусы-мутанты содержат в себе алгоритмы шифровки-расшифровки, обеспечивающие то, что два экземпляра одного и того же вируса, заразившие два фай­ла, не имеют ни одной повторяющейся цепочки байт (ни одного совпадения).

Ж) Комбинированные вирусы. Вирусы, имеющие отдель­ные признаки вирусов, рассмотренных нами выше, в опреде­ленной алгоритмической совокупности.

Специалисты приходят к единому мнению о том, что, по-видимому, в перспективе будут появляться принципиально новые виды «вирусов». Например, такие, как «троянский конь» в электронных цепях вирусного типа. В данном случае будет иметь место уже не вирусное программное средство, а вирус­ное микроэлектронное изделие, которым является интеграль­ная микросхема.

З) «Асинхронная атака». Этот способ совершения преступления основан на со­вмещении команд двух и более пользователей, чьи программы ЭВМ выполняет одновременно (параллельно) и одной из кото­рых является программа преступника.

11) Моделирование. Для совершения компьютерных преступ­лений все более характерным становится использование пре­ступником способа компьютерного моделирования: моделирования поведения устройства или системы с помощью программного обеспечения. Моделируются как те процессы, в ко­торые преступники хотят вмешаться, так и планируемые спо­собы совершения преступления. Например, так называемая «черная» или «двойная» бухгалтерия, основанная на существовании двух одновременно работающих программ автоматизированного бухгалтерского учета с взаимоперетекающими контрольными данными. В данном случае одна из них функционирует в легальном (законном) ре­жиме, а другая – в нелегальном для проведения незаконных (теневых) бухгалтерских операций. Иногда одновременно с этими программами существует и третья, которая используется только одним лицом, входящим в состав преступных групп и сообществ, выполняющим роль бухгалтера по ведению общест­венной кассы преступной группировки («общака»).

А) Реверсивная модель. Разновидность способа моделиро­вания. Заключается в следующем. Создается модель конкрет­ной системы, на которую планируется совершить нападение. В нее вводятся реальные исходные данные и учитываются планируемые действия. Затем, исходя из полученных данных, подбираются максимально приближенные к действительности желаемые результаты. После чего модель совершения преступ­ных действий «прогоняется» назад, к исходной точке, и преступнику становится ясно, какие манипуляции с входными-выходными данными нужно совершить, чтобы достичь желаемого корыстного результата.

Б) «Воздушный змей». Данный способ используется пре­ступником для начисления и получения незаконных избыточных денежных сумм на счетах при автоматическом пересчете руб­левых остатков за счет предварительного увеличения остаточных сумм, что достигается посредством временного переноса средств со счетов с другим кодом и их последующего возвращения на ис­ходные счета.

По мнению специалистов, управлять подобным процессом можно только с помощью компьютерной системы, используя элементы моделирования преступной ситуации.

В) «Ловушка на живца» («подсадная утка»). Еще одна разновидность способа моделирования. Заключается в том, что преступником создается специальная программа, которая затем записывается на физический носитель и под любым предлогом вручается или подкидывается потерпевшей стороне с расчетом на то, что ее по каким-либо причинам заинтересует данная программа и она постарается ознакомиться с ней. Алгоритм программы построен таким образом, что при ее работе в опре­деленный момент времени автоматически моделируется сис­темная поломка компьютерной системы, на которой был запущен данный программный продукт с целью проверки его качества и работоспособности. После чего указанная программа записыва­ет данные и информацию, которые могут заинтересовать пре­ступника. После того как программа выполнила заданные ей функции, она изымается у потерпевшей стороны с использова­нием различных способов.

12) Копирование (тиражирование). Этот способ совершения преступления заключается в действиях преступника, направ­ленных на незаконное копирование (тиражирование) программных средств компьютерной техники, а также топологий интегральных микросхем.

Под топологией интегральной микросхемы с уголовно-правовой точки зрения понимается зафиксированное на материальном носителе пространственно-геометрическое рас­положение совокупности элементов интегральной микросхемы (ИМС) и связей между ними, а под самой ИМС понимается микроэлектронное изделие окончательной или промежуточной формы, предназначенное для выполнения функций электронной схемы, элементы и связи которой неразрывно сформированы в объеме и на поверхности материала, на основе которого изготовлено изделие.

Существуют две разновидности применения преступником указанного способа. В первом случае копирование осуществляется посредством законного (санкционированного) доступа к средствам компьютерной техники, во втором – посредством несанкциони­рованного доступа с использованием способов, рассмотренных на­ми выше. В последнем случае будет иметь место применение комплексного метода совершения преступления (совокупность двух и более способов совершения преступления).

13) Преодоление программных средств защиты. Этот способ является вспомогательным и предназначен для подготовки совершения компьютерного преступления. Он заключается в действиях преступника, на­правленных на умышленное преодоление программных средств защиты компьютерной техники и имеет несколько разновидностей.

14) Незаконное создание копии ключевой дискеты. Является одним из способов преодоления средств защиты компьютерной техники. Осуществляется преступником путем электромагнит­ного переноса всей структуры и информации, расположенных на ключевой дискете-оригинале, защищенной от копирования программными средствами, на дискету-копию, в результате чего система защиты воспринимает копию ключевой дискеты как оригинал.

15) Модификация кода системы защиты. Заключается в модификации (изменении) кода модуля системы защиты, вы­полняющего следующие функции:

1) проверку ключевой дискеты;

2) корректировку счетчика установок на жесткий магнитный диск, защищенного от копирования программного средства с ключевой дискеты;

3) проверку санкционированного запуска защищенного информационного ресурса.

Обычно модификация сводится к простому обходу кода мо­дуля, выполняющего перечисленные выше функции. В некото­рых случаях модуль подвергается существенным изменениям, позволяющим обойти проверки систем защиты. Основная задача заключается в определении логики работы модуля. Последую­щее же внесение изменений в него остается «делом техники» и не представляет особого труда для преступника, разгадавшего логику построения защиты.

16) Моделирование обращений к ключевой дискете. Многие программные средства защиты информации логически исполь­зуют не прямую, как это принято, работу с контроллером, предназначенным для управления внешними (периферийными) устройствами, а средства системы BIOS – базовой системы ввода-вывода информации, пред­ставляющей собой часть программного обеспечения, входящего в состав компьютерной системы, отвечающей за тестирование и начальную загрузку, поддержание стандартного интерфейса ЭВМ с периферийными устройствами и аппаратно воплощен­ную в постоянном запоминающем устройстве (ПЗУ). Этим и пользуются преступники, программно моделируя результат обращения ЭВМ к ключевой дискете. Время преодоления защиты составляет при этом от одного дня до одной недели.

17) Использование механизма установки/снятия программ­ных средств защиты информации. Используя функцию снятия защищенной программы с винчестера, можно получить возмож­ность незаконного тиражирования защищенных программных продуктов в корыстных целях. Для этого преступником осуще­ствляется следующий алгоритм действий:

1) получается санкционированный или несанкционирован­ный доступ к защищенному программному средству, располо­женному на винчестере;

2) анализируется структура размещения и содержание всех файлов (в том числе скрытых), созданных на винчестере про­граммой установки;

3) выполняется копирование защищенной программы с вин­честера (при этом восстанавливается исходный счетчик установок);

4) восстанавливаются сохраненное состояние системы и ее содержимое.

В результате всех этих действий получается ключевая дискета с исходным счетчиком установок и нелегальная копия про­граммного продукта на винчестере.

18) Снятие системы защиты из памяти ЭВМ. Данный спо­соб заключается в следующем. Система защиты через опреде­ленное время автоматически загружает в память ЭВМ защи­щаемое программное средство, расшифровывает его и передает управление расшифрованному коду. В этот момент в оператив­ной памяти компьютерной системы находится полностью рас­шифрованная программа и для получения несанкционирован­ной копии остается только сохранить ее в каком-либо файле. Этим и пользуются преступники.