автордың кітабын онлайн тегін оқу Теория информационно-компьютерного обеспечения криминалистической деятельности. Монография
Теория информационно-компьютерного обеспечения криминалистической деятельности
Монография
Под редакцией
доктора юридических наук, профессора, заслуженного деятеля науки РФ
Е. Р. Россинской
Информация о книге
УДК 343.98:004
ББК 67.52:32.81
Т33
Авторы:
Россинская Е. Р., доктор юридических наук, профессор, заслуженный деятель науки РФ, почетный работник высшего профессионального образования РФ, академик РАЕН, заведующая кафедрой судебных экспертиз Московского государственного юридического университета имени О. Е. Кутафина (МГЮА);
Семикаленова А. И., кандидат юридических наук, доцент кафедры судебных экспертиз Московского государственного юридического университета имени О. Е. Кутафина (МГЮА);
Рядовский И. А., заместитель руководителя юридического департамента, руководитель отдела расследования компьютерных инцидентов АО «Лаборатория Касперского» (Россия);
Сааков Т. А., кандидат юридических наук, старший преподаватель кафедры судебно-экспертной и оперативно-разыскной деятельности Московской академии Следственного комитета РФ.
Рецензенты:
Волчецкая Т. С., доктор юридических наук, профессор, заслуженный работник высшей школы РФ, заведующая кафедрой уголовного процесса, криминалистики и правовой информатики Балтийского федерального университета имени Иммануила Канта;
Грибунов О. П., доктор юридических наук, профессор, проректор по научной работе Байкальского государственного университета.
Монография является результатом трехлетнего научного исследования. Работа посвящена инновационной криминалистической теории – информационно-компьютерного обеспечения криминалистической деятельности как теоретической основы расследования компьютерных преступлений. Представлены концептуальные принципы теории, ее дефиниции и система, включающая учения о способах компьютерных преступлений; о цифровых следах как источниках криминалистически значимой компьютерной информации; об информационно-компьютерных криминалистических моделях компьютерных преступлений; о криминалистическом исследовании компьютерных средств и систем как новом разделе криминалистической техники; об информационно-компьютерном криминалистическом обеспечении тактики следственных и судебных действий; об информационно-компьютерном криминалистическом обеспечении методик расследования компьютерных преступлений.
Законодательство приведено по состоянию на 15 декабря 2021 г.
Для ученых, аспирантов и студентов, а также практических работников: следователей, оперативных сотрудников, экспертов, судей и адвокатов.
Исследование выполнено при финансовой поддержке Российского фонда фундаментальных исследований (РФФИ) в рамках научного проекта № 18-29-16003.
Монография подготовлена с использованием справочно-правовой системы «КонсультантПлюс».
Текст представлен в авторской редакции.
УДК 343.98:004
ББК 67.52:32.81
© Коллектив авторов, 2022
© ООО «Проспект», 2022
Глава 1.
КОНЦЕПТУАЛЬНЫЕ ОСНОВЫ ТЕОРИИ ИНФОРМАЦИОННО-КОМПЬЮТЕРНОГО ОБЕСПЕЧЕНИЯ КРИМИНАЛИСТИЧЕСКОЙ ДЕЯТЕЛЬНОСТИ: ПРЕДМЕТ, ЗАДАЧИ, ОБЪЕКТЫ, СИСТЕМА
§ 1.1. Представления о развитии криминалистической науки на рубеже XX–XXI веков
Криминалистика — юридическая наука синтетической природы, постоянно интегрирующая и преобразующая для решения своей общей задачи — борьбы с преступностью и частных задач все новые достижения естественных, технических гуманитарных наук.
Криминалистическая наука базируется на принципах объективности, историзма и системности науки.
Законы развития криминалистики основаны на общих законах развития науки, к которым относятся:
– закон непрерывности накопления научного знания;
– закон интеграции и дифференциации научного знания;
– закон связи и взаимного влияния науки и практики;
– закон ускорения развития науки в условиях научно-технического прогресса1.
Рассмотрим детальнее законы развития криминалистики в современных условиях в свете общих законов науки.
Закону непрерывности накопления научного знания отвечает в криминалистике закон связи и преемственности между существующими и возникающими криминалистическими концепциями. Наука развивается непрерывно, постепенно накапливая знания, опираясь на достигнутое. Именно в силу кумулятивного характера процесса познания в силу того, что научная мысль не может двигаться по воле случая, хаотически, а идет вперед строго логическим путем, от простого к сложному, каждая возникающая научная концепция опирается на предшествующие. Криминалистические концепции не являются исключением. Свидетельством этого может служить известный процесс формирования предмета криминалистики, представления о котором складывались и уточнялись по мере развития самой науки. Роль этого закона заключается также и в том, что его действие обеспечивает поступательное движение криминалистической мысли от явления к сущности последующего порядка, сохраняя в то же время все накопленные наукой ценности.
Закон интеграции и дифференциации научного знания воплощается в криминалистике через активное творческое приспособление для целей судопроизводства достижений различных наук. Криминалистика возникла в результате того, что наука должна была отвечать на вопросы судебно-следственной практики. Задача максимально полного удовлетворения этих потребностей стала одной из тенденций, определяющих пути развития криминалистики. Заметим, что если для периода накопления эмпирического материала внешне более заметной была дифференциация наук, соответствующая тому уровню познания, при котором явления преимущественно описывались и классифицировались, то для этапа построения развитых теорий характерной оказалась интеграция научного знания. На современном этапе обе эти противоречивые тенденции проявляются в диалектическом единстве. В развитии криминалистики эти тенденции проявились весьма своеобразно. На этапе ее становления дифференциация, с одной стороны, выражала отношение криминалистики к другим юридическим наукам, а с другой — отношение консолидированных криминалистических знаний к данным других наук, обслуживающих потребности уголовного судопроизводства: судебной медицины, судебной психиатрии, судебной химии и т. п. Этот процесс привел к определению места криминалистики в системе юридических наук и к ее отмежеванию от родственных областей естественных наук. Интеграция знаний на этом этапе выражалась преимущественно в приспособлении криминалистикой для нужд судопроизводства данных естественных и технических наук, становившихся в преобразованном виде частью содержания криминалистической науки. Так возникли дактилоскопия, судебная фотография, трасология, судебное почерковедение и др.
На современном этапе процессы дифференциации и интеграции научного знания приобрели качественно иной характер. Дифференциация оказалась направленной не столько вовне, сколько внутрь самой криминалистики, что привело к возникновению на стыках между нею и смежными науками новых областей знания. Интеграция знания получила двоякое выражение. Она по-прежнему обнаруживается преимущественно в активном творческом использовании криминалистикой данных иных наук и привнесении их в уголовное судопроизводство, но к этому добавились процессы, которые в конечном счете привели к изменению самой природы криминалистики, превращению ее в науку синтетической природы.
Явления интеграции обнаруживаются и в возросшем числе объектов исследования, общих как для криминалистики, так и для других юридических наук. Здесь прежде всего можно указать на процесс информатизации и компьютеризации криминалистики.
Закон связи и взаимного влияния науки и практики выражается в обусловленность криминалистических рекомендаций потребностями практики борьбы с преступностью и совершенствование этой практики на основе криминалистики. В процессе развития любой науки то теория опережает практику научных исследований, когда собранный практикой материал уже осмыслен и на его базе возникло представление о сущности предмета исследования, что открывает перспективы для дальнейших практических научных изысканий, для новых научных экспериментов, то, наоборот, результаты научных разработок опережают теорию, т. е. не укладываются в существующие теоретические объяснения. Это закономерно для развития любой науки.
Причинами ускорения темпов развития криминалистики в условиях научно-технического прогресса являются: а) возрастающий объем фундаментальных и частнотеоретических исследований в криминалистике; б) ускоренное развитие тех областей знания, данные которых творчески используются в криминалистике; в) повышение общественной значимости криминалистики в связи с актуальностью проблемы борьбы с преступностью; г) растущий под влиянием объективных факторов научно-технического прогресса потенциал криминалистики как науки.
В начале XXI века были сформулированы основные направления развития криминалистики2.
Рассмотрим основные тенденции развития криминалистической науки, опираясь на современные представления о ее природе.
Тенденции развития общей теории криминалистики включают:
– дальнейшее изучение закономерностей, составляющих ее предмет, т. е. закономерностей механизма преступления, закономерностей движения потоков криминалистически значимой информации (и в этой связи возможности информационных технологий) и другие;
– развитие методологических основ криминалистики — изучение возможностей интеграции в криминалистику новых научных методов и разработка на этой основе криминалистических методик;
– совершенствование криминалистической систематики и унификация языка науки на основе интеграции в нее новых научных достижений, например, информационных технологий;
– пополнение системы частных криминалистических теорий новыми за счет творческого использования ею достижений фундаментальных и прикладных наук.
Включения в криминалистическую технику новых разделов, что вызывает обычно бурную дискуссию: является ли это направление криминалистическим или нет. Безусловно, криминалистическая техника не беспредельна. Новые разделы, чтобы быть включенными в нее, должны реально существовать, а добавление слова «криминалистическая» к какому-то разделу науки еще не значит, что такое направление уже имеется.
Направление криминалистической техники можно считать сформировавшимся, если оно отвечает следующим критериям:
– решение специфических криминалистических задач, которые не ставятся при исследовании подобных объектов в других сферах человеческой деятельности;
– специфика объектов исследования — вещественных доказательств и, в то же время, их распространенность, частая встречаемость в уголовном и гражданском судопроизводстве;
– методологическая и методическая разработанность данного направления.
Безусловно, в дальнейшем будет происходить пополнение появление новых разделов криминалистической техники за счет появления новых объектов и задач криминалистического исследования, а также развитие уже существующих направлений криминалистической техники за счет расширения арсенала методов и средств, разработки новых методик собирания и исследования вещественных доказательств в судопроизводстве.
Технико-криминалистические средства и методы собирания (обнаружения, фиксации, изъятия) и исследования материальных носителей информации, а также криминалистические подходы оценки результатов исследований и использования этих результатов в доказывании могут с успехом применяться (и специально разрабатываться) при производстве по гражданским делам и делам об административных правонарушениях. Данное направление отражает еще одну тенденцию развития криминалистической техники.
Криминалистическая тактика развивается по следующим направлениям:
– теоретическое уточнение содержания криминалистической тактики (в соответствии с современными представлениями о природе криминалистики), ее границ, связей с иными областями научного знания. Углубленное исследование особенностей следственных ситуаций с использованием современных информационных технологий. Будучи подсистемой криминалистики, криминалистическая тактика претерпевает изменения, связанные с расширением возможностей предварительных и экспертных исследований и разработкой научно обоснованных рекомендаций по этому направлению. В связи с интенсивной разработкой научных основ оперативно-розыскной деятельности все более насущной становится проблема установления границ между криминалистической и оперативно-розыскной тактикой. Испытывая влияние других подсистем криминалистики, криминалистическая тактика, в свою очередь воздействует на их развитие и совершенствование:
– «технизация» и «психологизация» криминалистической тактики, т. е. тенденция к использованию точных экспериментальных методов естественных, технических, экономических наук и, прежде всего, судебной психологии (совершенствование психологических основ следствия, разработка различных вариантов линии поведения следователя, оперативного работника, судьи в процессе доказывания). Другим направлением является использование положений математической логики для оптимизации и алгоритмизации производства конкретного следственного действия; теории информации — для изучения процессов возникновения и передачи информации, разработки новых эффективных тактических приемов допроса и других следственных действий;
– совершенствование существующих и разработка новых тактических приемов и типичных тактических комбинаций. Эта тенденция обусловлена непрерывным совершенствованием практики борьбы с преступностью, а также влиянием на тактику других разделов криминалистики или иных наук. Необходимость в новых тактических приемах возникает еще и как результат изменений процессуального законодательства, определяющего процедуру собирания, исследования и использования доказательств;
– разработка путей и форм использования рекомендаций криминалистической тактики в гражданском и арбитражном процессе, производстве по делам об административных правонарушениях. В первую очередь это касается рекомендаций по получению и проверке вербальной информации и тактических приемов, связанных с применением технико-криминалистических средств и методов.
Тенденции развития методики расследования отдельных видов преступлений, в первую очередь, связаны с корректировкой существующих и разработкой новых методик расследования отдельных видов преступлений.
Весьма перспективным является использование при формировании криминалистических методик информационных и, в частности, компьютерных технологий, которые позволяют произвести информатизацию и алгоритмизацию самого процесса расследования преступления. Конечно, в обозримом будущем нельзя говорить о замене следователя неким совершенным компьютером, в который на входе подаются различные данные, а на выходе печатается фамилия обвиняемого и текст обвинительного заключения. Однако, анализируя меняющуюся следственную ситуацию, следователь должен переработать огромный массив информации, вычленить из нее криминалистически значимую и не допустить при этом ошибок, связанных как с недостатком этой информации и трудностями в ее получении, так и с дефицитом времени и часто невысоким профессиональным уровнем. При этом весьма значительное время тратится на рутинную работу по составлению различных документов процессуального и непроцессуального характера: протоколов, постановлений, запросов и др.
§ 1.2. Вектор инновационного развития криминалистической науки в условиях глобальной цифровизации
Криминалистика — наука синтетической природы, постоянно интегрирующая и преобразующая для решения своей общей задачи — борьбы с преступностью и частных задач все новые достижения естественных, технических гуманитарных наук. Причем процессы синергии в криминалистике постоянно вызывали дискуссии о необходимости ее коренного изменения.
Приведем несколько примеров. Более 50 лет назад возникла идея о необходимости расчленения криминалистики и передачи криминалистической экспертизы медикам, биологам, химикам, физикам и другим представителям технических и естественных наук, которые в силу своей подготовки, в отличие от юристов, якобы лучше могли производить исследование вещественных доказательств3, фактически проповедовалось разделение криминалистики на «науку для экспертов» и «науку для следователей». Профессор А. И. Винберг, раскритиковав эту концепцию, доказав единство криминалистической техники как раздела криминалистической науки, и обосновал существование в криминалистике общей теории криминалистической экспертизы4, которую профессор А. Р. Шляхов выделил из криминалистики как самостоятельную науку, имеющую свой предмет, метод и систему5. Однако большинство ученых не поддержали данную точку зрения. Общее мнение большинства криминалистов того времени выразил профессор С. П. Митричев, указав, что «криминалистическая экспертиза в составе науки криминалистики имеет все возможности для своего дальнейшего развития…»6.
С середины 60-х гг. XX в. приоритетное направление в криминалистике получило исследование общетеоретических проблем. Возникли эмпирические и теоретические предпосылки формирования общей теории науки, объединяющей частные криминалистические теории, по-новому, исходя из требований времени и достижений науки, определяющей предмет криминалистики. Соответственно дискуссия, касающаяся появления в криминалистике новой части — «общей теории криминалистики»7 (профессора Р. С. Белкин, А. А. Винберг), против которой категорически возражал профессора А. Н. Васильев и С. П. Колмаков8.
Еще одна дискуссия, длившаяся в криминалистике более 40 лет, связана с противопоставлением категорий «идентификация» и «диагностика» (профессора В. Я. Колдин, В. А. Снетков, Ю. Г. Корухов и другие9) категории распознавание (профессора О. Е. Баев, В. А. Образцов10).
Этот список можно продолжать, упомянув о проблеме включения в криминалистическую технику новых разделов. Следует подчеркнуть, что эти попытки вызывают обычно бурную дискуссию: является ли это направление криминалистическим. Безусловно, криминалистическая техника не беспредельна. Новые разделы, чтобы быть включенными в нее, должны реально существовать, а добавление слова «криминалистическая» к какому-то разделу науки еще не значит, что такое направление уже имеется.
Как мы неоднократно указывали в своих работах11, направление криминалистической техники можно считать сформировавшимся, если оно отвечает следующим критериям:
– решение специфических криминалистических задач, которые не ставятся при исследовании подобных объектов в других сферах человеческой деятельности;
– специфика объектов исследования — вещественных доказательств и, в то же время, их распространенность, частая встречаемость в уголовном, гражданском и административном судопроизводстве;
– методологическая и методическая разработанность данного направления.
Так в криминалистическую технику были включены разделы «криминалистическое исследование веществ, материалов и изделий» профессора В. С. Митричев12, Е. Р Россинская13); «криминалистическая ольфакторика (одорология) (профессора А. И. Винберг14, Т. Ф. Моисеева, доцент В. И. Старовойтов15); криминалистическая фоноскопия (профессор Е. И. Галяшина и др.16)
В 70-е — 80-е годы ХХ века в криминалистике начали использоваться математические и кибернетические методы, автоматизированные дактилоскопические идентификационные системы (профессора Н. С. Полевой17, В. В. Крылов18, Л. Г. Эджубов19, С. С. Самищенко20).
В начале XXI века в связи с очередным этапом научно-технического прогресса, процессов интеграции и дифференциации научного знания дискуссии в криминалистической науке продолжились, в том числе и по корректировке предмета науки, но анализ позиций большинства ученых показывает, что все они так или иначе согласуется с определением предмета науки Р. С. Белкина. По этому классическому определению (которое с некоторыми вариациями, связанными с перечнем основных закономерностей, признается большинством ученых-криминалистов21) криминалистика — наука о закономерностях механизма преступления, возникновения информации о преступлении и его участниках, закономерностях собирания, исследования, оценки и использования доказательств и основанных на познании этих закономерностей специальных методах и средствах судебного исследования и предотвращения преступлений. Причем под судебным исследованием понимается вся юрисдикционная деятельность компетентных органов по расследованию преступлений, судебному рассмотрению уголовных, гражданских, административных дел, дел об административных правонарушениях.
В ХХI веке, когда резко возросли процессы развития новых родов и видов судебных экспертиз, снова возникли попытки ревизии самого понятия криминалистики в отрыве от ее предмета и системы, что было обусловлено появлением качественно новых классов и родов судебных экспертиз: речеведческих, экологических, молекулярно-генетических, а также бурное развитие новых родов в уже существующих классах судебных экспертиз (судебной экономической экспертизы операций с активами, созданными на основе технологии блокчейн и др.). Заметим, что новые экспертизы вначале проводятся не в судебно-экспертных учреждениях, а, как правило, лицами весьма далекими от судопроизводства. Ученые и специалисты, привлекаемые для производства этих новых видов судебных экспертиз, не знают даже основ судебной экспертологии, азов материального и процессуального права. Они не понимают отличия научных исследований от практической экспертной деятельности, не представляют возможных последствий их выводов.
Лица, которые занялись производством новых родов и видов судебных экспертиз, не имеют представления о предмете, задачах, системе криминалистической науки, игнорируют ее общую и частные теории. Их представление о науке криминалистике обычно ограничивается знаниями, почерпнутыми из случайных источников, даже из детективной литературы, художественных фильмов.
Печально, что несмотря на то, что уже более 20 лет в Российской Федерации существуют Федеральные государственные образовательные стандарты высшего образования по специальности «судебная экспертиза» (сейчас это ФГОС ВО 40.05.03 3++22), целый ряд экономических, филологических и других вузов пытаются готовить судебных экспертов не по данной специальности, а изобретая собственные. Для этого в ряде вузов, зачастую не имеющих никакого отношения к юриспруденции, образованы даже кафедры лингвистической криминалистики23, экономической криминалистики24. В медицинских вузах, где в рамках клинических ординатур готовят судебно-медицинских экспертов25, введены курсы медицинской криминалистики!!!26 Понятно, что вред наносится судебной экспертизе, но вдобавок происходит смешение понятий криминалистики и судебной экспертизы.
Нет и не может быть никакой медицинской криминалистики, лингвистической криминалистики, экономической криминалистики, молекулярно-генетической криминалистики, технической криминалистики и пр. Криминалистика едина! Это наука, имеющая свой предмет, систему, задачи, объекты и закономерности. Криминалистика — обосновывающее знание для всех родов и видов судебных экспертиз.
Предметом судебной экспертологии являются методологические, правовые и организационные закономерности функционирования судебно-экспертной деятельности в целом; закономерности возникновения, формирования и развития классов, родов и видов судебных экспертиз и их частных теорий на основе единой методологии, унифицированного понятийного аппарата и с учетом постоянного обновления и видоизменения судебно-экспертных знаний. Предмет криминалистики был нами определен выше.
Основанием разграничения двух родственных, но самостоятельных наук является различие их целей и функций. Предметом криминалистики служат, в том числе закономерности деятельности по собиранию, исследованию, оценке и использованию доказательств. Предметом судебной экспертологии являются закономерности судебно-экспертной деятельности, как единого целого. Каждый вид деятельности имеет своего основного субъекта: соответственно следователя (дознавателя) и судебного эксперта, обладающих процессуальной самостоятельностью и кругом прав и обязанностей.
Проанализируем методологические функции криминалистики и судебной экспертологии: в криминалистике — методологическое обеспечение следственной практики; в экспертологии — методологическое обеспечение экспертной практики. Частично эти функции перекрываются, поскольку исследование доказательств происходит и в ходе следственных действий и при производстве судебных экспертиз.
Очередной этап научно-технической революции в России в конце первой четверти XXI века сопровождается всеобъемлющим проникновением современных цифровых технологий практически во все области человеческой деятельности. Но наряду с неоспоримыми достижениями цифровизация принесла с собой целый ряд сложных негативных явлений, связанных с противоправным использованием этих новаций. Криминальные структуры в полной мере приняли на вооружение цифровые технологии для совершения «высокотехнологичных» преступлений и обеспечения своей «традиционной» преступной деятельности, создания систем конспирации и скрытой связи, для оказания активного противодействия правосудию. Происходит слияние уголовной и экономической преступности, отмечается интеллектуализация преступной деятельности, ее ужесточение, проникновение ее во многие жизненно важные сферы общества и государства, попытки установить контроль над финансово-промышленными группами, отдельными предприятиями. Значительные изменения произошли в способах, так называемых, «традиционных» преступлений: присвоениях, кражах, мошенничестве, фальшивомонетничестве, преступлениях в банковской и кредитной сфере, сфере страхования, даже преступлениях против жизни и здоровья людей и многих других, которые в настоящее время совершаются с использованием компьютерных средств и систем.
С использованием информационных компьютерных технологий в большинстве своем совершаются несанкционированные проникновения в компьютерные сети и внедрение вредоносных программ с целью хищения наличных и безналичных денежных средств, например, путем перечисления на фиктивные счета; «отмывание» денег; покупки с использованием фальсифицированных или похищенных электронных платежных средств; фиктивные продажи через интернет; клевета; призывы и пропаганда расовой, религиозной и национальной розни; распространение наркотиков; незаконная реклама и многие другие.
Широкое использование средств мобильной коммуникации спровоцировало создание и распространение вирусных и вредоносных программ для мобильных телефонов, использование мобильных средств связи для совершения мошенничеств, вымогательств, поджогов, взрывов, террористических актов и пр. Следует подчеркнуть, что в силу специфики компьютерных систем и сетей, многие из перечисленных преступлений носят транснациональный характер и совершаются сходными способами.
В криминалистике принято объединять преступления, совершаемые с использованием компьютерных средств и систем, используя дефиницию «компьютерные преступления», которая употребляется не в уголовно-правовом аспекте, где это только затрудняет квалификацию деяния, а в криминалистическом, поскольку связана не с квалификацией, а со способом преступления и, соответственно, с методикой его раскрытия и расследования27.
Процессы цифровизации в раскрытии и расследовании преступлений проявляются через широкое использование цифровых средств фиксации, сохранения, автоматизированной обработки и исследования доказательственной и ориентирующей информации, а также через новые виды криминалистически значимой информации, фиксируемой на компьютерных носителях.
В связи с активизацией компьютерной преступности процессы синергии в криминалистике, имевшие до этого достаточно плавный поступательный характер, резко возросли. Однако как мы уже неоднократно отмечали28, а с нами солидарны и другие исследователи29, к сожалению, закономерности возникновения, движения и видоизменения потоков криминалистически значимой информации с использованием компьютерных средств и систем пока не нашли достойного места в криминалистической науке. Несмотря на то, что первая информация о совершении хищения денежных средств с применением средств электронно-вычислительной техники относится еще к 1979 году, когда путем манипуляции данными на входе в компьютерную систему в Вильнюсе было похищено 78584 рубля30 — сумма огромная по тем временам, работы, повещенные криминалистическому обеспечению расследования компьютерных преступлений, хотя и достаточно многочисленные, носят в основном неупорядоченный фрагментарный характер.
Насущная необходимость разработки криминалистического обеспечения расследования компьютерных преступлений подвигла ряд авторов на пересмотр подходов к криминалистической науке и выделение новых дефиниций «электронная криминалистика»31, «цифровая криминалистика»32 и другие подобные. Необходимо еще раз подчеркнуть, что мы категорически выступаем против размывания предмета криминалистической науки и утверждаем, что криминалистика должна оставаться единой., поскольку это наука, имеющая свой предмет, систему, задачи, объекты и закономерности. Нет оснований каждый раз при появлении новых объектов или методов менять название и определение предмета науки. Развитие идет за счет изучения новых закономерностей, новых механизмов следообразования, новых технологий собирания (выявления, фиксации, изъятия), исследования, оценки и использования криминалистически значимой информации, новаций в области криминалистической тактики и методики33. Исходя из целостности предмета и системы криминалистики полагаем, что для исследования компьютерных систем и средств необходим особый комплекс специальных знаний, сформированный на основе разработки частной криминалистической теории информационно-компьютерного обеспечения криминалистической деятельности, рассмотрению которой будут посвящены следующие разделы и главы34.
§ 1.3. Концепция теории информационно-компьютерного обеспечения криминалистической деятельности: предмет, закономерности, объекты, система
Предметом теории информационно-компьютерного обеспечения криминалистической деятельности являются закономерности возникновения, движения, собирания, исследования и использования компьютерной информации при раскрытии и расследовании преступлений и судебном рассмотрении уголовных, гражданских (в том числе арбитражных), административных дел. Объектами теории информационно-компьютерного обеспечения криминалистической деятельности являются, с одной стороны, сами компьютерные средства и системы как носители розыскной и доказательственной криминалистически значимой информации, а с другой — система действий и отношений в механизмах преступлений с использованием компьютерных средств и систем, а также криминалистических компьютерных технологий выявления, фиксации, изъятия, сохранения, исследования и использования криминалистически значимой доказательственной и ориентирующей информации.
Основой для нашего исследования послужила криминалистическая методология, включающая методы диалектической и формальной логики, общенаучные и специальные методы криминалистики, общеэкспертные методы, частноэкспертные методы судебной компьютерно-технической экспертизы, а также мониторинг следственной и оперативно-розыскной практики, результаты опросов и анкетирования специалистов в области IT-технологий, которые показали, что сегодня помимо участия в расследовании преступлений, сопряженных с неправомерным доступом к компьютерной информации, а также разработкой и использованием вредоносных программ, указанные специалисты были наиболее востребованы при проведении следственных действий и оперативно-розыскных мероприятий по делам о традиционных видах мошенничества, незаконной организации азартных игр, незаконном обороте наркотических средств, убийствах, сообщениях о заведомо ложных актах терроризма.
Рассмотрим подробнее закономерности, составляющие предмет данной теории, которые выше были только обозначены. К ним относятся:
– закономерности возникновения, существования и исчезновения (утраты) в компьютерных средствах и системах цифровых следов, содержащих криминалистически значимую информацию;
– закономерности отражения в компьютерных средствах и системах криминалистически значимой информации — цифровых следов — о событии преступления/правонарушения;
– закономерности отражения в компьютерных средствах и системах информации о формировании и реализации способа преступления, о связях действий и их результатов, повторяемости действий в похожих ситуациях, стереотипов действий субъектов при совершении преступлений/правонарушений;
– закономерности создания и функционирование информа-ционно-компьютерных технологий, обеспечивающих процессы выявления, фиксации, изъятия, сохранения, исследования криминалистически значимой компьютерной информации;
– закономерности возникновения и развития обстоятельств, связанных с преступлением/правонарушением, сопряженным с использованием компьютерных средств и систем (как до, так и после его совершения) и значимых для расследования;
– закономерности оценки и использования криминалистически значимой компьютерной информации, имеющей розыскное и доказательственное значение;
– закономерности информационно-компьютерного криминалистического обеспечения тактики и технологии производства следственных и судебных действий;
– закономерности информационно-компьютерного криминалистического обеспечение методик расследования преступлений и, в первую очередь, создания информационно-компьютерных моделей компьютерных преступлений, совершаемых с использованием компьютерных средств и систем;
– закономерности информационно-компьютерного криминалистического обеспечение гражданского и административного судопроизводства.
Частная теория информационно-компьютерного обеспечения криминалистической деятельности входит как одна из теорий в общую теорию криминалистики и в свою очередь состоит из ряда учений.
1. Концептуальные основы теории информационно-компьютер-ного обеспечения криминалистической деятельности, включая предмет теории, ее объекты, изучаемые закономерности. Основные криминалистические дефиниции теории это: следы в информационно-компьютерном пространстве; носители криминалистически значимой компьютерной информации; компьютерные системы; программные продукты, в том числе вредоносные программы; контрофактные информационно-компьютерные продукты.
2. Учение о способах компьютерных преступлений.
3. Учение о цифровых следах как источниках криминалистически значимой компьютерной информации.
4. Учение о криминалистическом исследовании компьютерных средств и систем.
5. Учения о цифровизации системы криминалистической регистрации.
6. Учение об информационно-компьютерных криминалистических моделях компьютерных преступлений.
7. Учение об информационно-компьютерном криминалистическом обеспечении тактики следственных и судебных действий.
8. Учение об информационно-компьютерном криминалистическом обеспечении методик расследования компьютерных преступлений.
Частично поддерживая нашу позиции о необходимости криминалистической теории информационно-компьютерного обеспечения криминалистической деятельности, В. Б. Вехов предлагает несколько иной подход к проблеме и обозначает частную теорию как «Криминалистическое исследование компьютерной информации, средств ее обработки и защиты», определяя ее как «систему научных положений и разрабатываемых на их основе технических средств, приемов, методик и рекомендаций по собиранию, исследованию и использованию компьютерной информации, средств ее обработки и защиты в целях раскрытия, расследования и предупреждения преступлений»35. При этом он выделяет в ней следующие направления:
1. Криминалистическое учение о компьютерной информации — это подраздел криминалистического исследования компьютерной информации, средств ее обработки и защиты, который занимается изучением закономерностей возникновения и сокрытия электронных следов и разработкой на этой основе технических средств, приемов и методов по их обнаружению, фиксации, изъятию и исследованию в целях раскрытия, расследования и предупреждения преступлений.
2. Криминалистическое исследование компьютерных устройств, информационных систем и информационно-телекоммуникационных сетей, которое «представляет собой систему научных положений и разрабатываемых на их основе технических средств, приемов и методов по исследованию компьютерных устройств, информационных систем и информационно-телекоммуникационных сетей как материальных носителей криминалистически значимой компьютерной информации в целях раскрытия, расследования и предупреждения преступлений».
3. Криминалистическое использование компьютерной информации, средств ее обработки и защиты — «система научных положений и разрабатываемых на их основе специальных программно-технических средств, а также приемов, методов и рекомендаций по использованию компьютерных технологий и средств защиты информации для раскрытия, расследования и предупреждения преступлений».
Полагаем, что подобная структура вполне обоснована и заслуживает дальнейшего развития. Она вполне укладывается в нашу теорию, однако является только ее частью, поскольку относится, в первую очередь, к развитию информационно-компьютерного обеспечения криминалистической техники и технологии.
[29] Вехов В. Б. Электронная криминалистика: понятие и система. // Криминалистика: актуальные вопросы теории и практики. Сборник трудов участников Международной научно-практической конференции, Ростов-на-Дону, 2017. С. 40–46.
[28] Россинская Е. Р. К вопросу о частной теории информационно-компьютерного обеспечения криминалистической деятельности. // Известия ТулГУ. Экономические и юридические науки Вып. 3. ч.II. Юридические науки. 2016. С. 109–117; Россинская Е. Р. Информационно-компьютерное обеспечение криминалистической деятельности как частная криминалистическая теория // Воронежские криминалистические чтения № 2 (19), 2017. С. 168–176.
[27] Россинская Е. Р. Криминалистика. Учебник для вузов. М., Норма, 2016. С. 440–442.
[26] Рабочая программа дисциплины Медицинская криминалистика (основная профессиональная образовательная программа высшего образования — программа ординатуры 31.08.10 Судебно-медицинская экспертиза. ФГАОУ ВО Первый МГМУ им. И. М. Сеченова Минздрава России, 2019, https://www.sechenov.ru/univers/structure/department/otdel-ordinatury-i-internatury/programmy-ordinatury/ посл. посещ. 15.11.2021.
[25] Приказ Минобрнауки России от 30.06.2021 № 558 «Об утверждении федерального государственного образовательного стандарта высшего образования — подготовка кадров высшей квалификации по программам ординатуры по специальности 31.08.10 Судебно-медицинская экспертиза».
[24] Голубятников С. П. Экономическая криминалистика: фантом или реальность //Вестник Нижегородской академии МВД России, 2017, № 4 (40). С. 118–121.
[23] Тольяттинский государственный университет. Гуманитарно-педагогический институт. Кафедра «Русский язык, литература и лингвокриминалистика»; Грачев М. А., Грачев А. М. Современные проблемы лингвокриминалистики как науки // Вестник Череповецкого госуниверситета 2015, № 1. С. 26–29.
[22] Приказ Минобрнауки России от 31.08.2020 № 1136 (ред. от 26.11.2020) «Об утверждении федерального государственного образовательного стандарта высшего образования — специалитет по специальности 40.05.03 Судебная экспертиза».
[21] Эксархопуло А. А. Криминалистика: учебник, СПб, 2009. С. 23–24; Ищенко Е. П. Криминалистика: учебник. 3-е издание испр. и доп. М., 2011. С. 4; Криминалистика. Учебник / Под ред. Л.Я Драпкина, В. Н. Карагодина. М., 2004. С. 10; Баев О. Я. Основы криминалистики: курс лекций. 3-е издание перераб. и доп. М., 2009. С. 37; Криминалистика: учебник/ под общей редакцией А. Г. Филиппова. 4-е издание испр. и доп. М., 2009. С. 16; Яблоков Н. П. Криминалистика: учебник. 2-е изд., перераб. и доп. М., 2011; Порубов Н. И., Грамович Г. И., Порубов А. Н. Криминалистика: учебное пособие. / под ред. Н. И. Порубова. Минск, 2007. С. 6.
[31] Вехов В. Б. Указ. соч.
[30] Батурин Ю. М. Проблемы компьютерного права. М.: Юрид. лит., 1991. С. 126.
[19] Эджубов Л. Г. и др. Статистическая дактилоскопия: (Методол. проблемы) / Под ред. Л. Г. Эджубова. М.: Городец: Формула права, 1999. 4
[18] Крылов В. В. Информационные компьютерные преступления: Учебное и практическое пособие. М.: Инфра-М; Норма, 1997.
[17] Полевой Н. С. Криминалистическая кибернетика: теория информационных процессов и систем в криминалистике. М.: МГУ, 1982.
[16] Азарченкова Е. И. (Галяшина Е. И.), Женило В. Р., Ложкевич А. А., Шаршунский В. Л. Экспертная идентификация человека по фонограммам его речи. М.: ВНИИ МВД СССР, 1986.
[15] Старовойтов В. И., Моисеева Т. Ф., Сергиевский Д. А. и др. Физико-химические и биосенсорные методы в собирании пахнущих следов и установлении пола человека: Методические рекомендации. М.: ЭКЦ МВД России, 2003.
[14] Винберг А. Криминалистическая одорология // Социалистическая законность. М., 1971, № 11. С. 52–57;
[13] Россинская Е. Р. Криминалистическое исследование веществ и материалов как раздел криминалистической техники. М.: Академии управления МВД РФ, кафедра КОД ОВД. Информационный бюллетень № 3, 1997.
[12] Митричев В. С. Криминалистическая экспертиза материалов, веществ и изделий. Саратов: Изд-во Сарат. ун-та, 1980.
[11] Россинская Е. Р. Система криминалистической техники в свете современных представлений о природе криминалистики // Современные проблемы криминалистики. Сб. трудов Академии управления МВД РФ, 1998. С. 3–8.
[10] Баев О. Я. Основы криминалистики: Курс лекций. М.: Экзамен, 2000; Образцов В. А. Выявление и изобличение преступника. М.: Юристъ, 1997.
[20] Самищенко С. С. Современная дактилоскопия: основы и тенденции развития. М.: ПолиграфПрофи, 2004.
[35] Вехов В. Б. Указ. соч.
[34] Россинская Е. Р. К вопросу о частной теории информационно-компьютерного обеспечения криминалистической деятельности» // Известия ТулГУ. Экономические и юридические науки Вып. 3. ч. II. Юридические науки. 2016. С. 109–117.
[33] Россинская Е. Р. Ревизия определения предмета криминалистики: за и против // Библиотека криминалиста. Научный журнал, № 4, 2012. С. 328–335.
[32] Яковлев А. Н. Цифровая криминалистика и ее значение для расследования преступлений в современном информационном обществе. // Совершенствование следственной деятельности в условиях информатизации: сб. материалов междунар. науч.-практ. конф. (Минск, 12–13 апреля 2018 г.), 2018. С. 357–362.
[9] Колдин В. Я. Идентификация и ее роль в установлении истины по уголовным делам. М., 1969; Снетков В. А. Проблемы криминалистической диагностики. Труды ВНИИ МВД СССР, № 23. М., 1972, сс. 103–106; Корухов Ю. Г. Криминалистическая диагностика при расследовании преступлений. М., 1998.
[4] Винберг А. И. О сущности криминалистической техники и криминалистической экспертизы // Сов. государство и право. 1955. № 8. С. 83.
[3] Тарасов-Родионов П. И. Советская криминалистика // Соц. законность. 1951. № 7; Кубицкий Ю. М. Пограничные вопросы судебной медицины и криминалистической экспертизы // Вопросы криминалистики и судебной экспертизы. Алма-Ата, 1959.
[2] Россинская Е. Р. Криминалистика. Курс лекций. М.: НОРМА, 2003. С. 29–31 (203 с.)
[1] Белкин Р. С. Курс криминалистики. 3-е изд, доп. М.: ЮНИТИ-ДАНА, Закон и Право, 2001. С. 169–178. (837 с).
[8] Васильев А. Н. Предмет криминалистики. Соц. законность, 1967, № 1; Васильев А. Н. О задачах криминалистики в деле усиления борьбы с преступностью и повышения раскрываемости преступлений // Ленинский принцип неотвратимости наказания и задачи советской криминалистики: Материалы научной конференции (Свердловск, сентябрь 1970 г.). Свердловск, 1972; Колмаков В. П. Введение в курс науки советской криминалистики. Одесса, 1973.
[7] Белкин Р. С., Краснобаев Ю. И. О предмете советской криминалистики. Правоведение, 1967, № 4; Белкин Р. С. Ленинская теория отражения и методологические проблемы советской криминалистики. М., 1970; Белкин Р. С., Винберг А. И. Криминалистика. Общетеоретические проблемы. М., 1973.
[6] Митричев С. П. Криминалистика и криминалистическая экспертиза // Соц. законность. 1966. № 5. С. 14.
[5] Шляхов А. Р. Предмет, метод и система советской науки криминалистической экспертизы // Вопросы криминалистики и судебной экспертизы. Алма-Ата, 1959. С. 12–13.
Глава 2.
СПОСОБЫ СОВЕРШЕНИЯ КОМПЬЮТЕРНЫХ ПРЕСТУПЛЕНИЙ/ПРАВОНАРУШЕНИЙ
§ 2.1. Детерминирующее влияние информационно-коммуникационных технологий на формирование способов совершения преступлений на современном этапе
Новые информационно-коммуникационные технологии (ИКТ), масштабно внедряемые в жизнь современного общества, ожидаемо оказались широко востребованными преступным сообществом, что наряду с другими факторами, напрямую либо косвенно связанными с цифровизацией всех сторон жизни человека, общества и государства, привело к появлению такого негативного социального феномена как киберпреступность, а также к тому, что такие понятия как «киберпреступление» либо «компьютерное преступление» вошли в массовое употребление.
Надо признать, упомянутые термины являются дискуссионными, не имеют четких и устоявшихся дефиниций, а их содержание зачастую зависит от национальных законодательств и международных правовых актов, в которых они упоминаются.
Но основная тенденция в толковании прослеживается достаточно отчетливо — данными понятиями охватываются не только киберзависимые преступления, то есть те, которые могут быть совершены исключительно с использованием ИКТ36, но и традиционные преступления, при совершении которых также используются компьютерные системы.
Компьютерные преступления имеют общую родовую криминалистическую характеристику, включающую сведения о способах преступлений, лицах, совершивших их, сведения о потерпевшей стороне и обстоятельствах, способствующих и препятствующих данным преступлениям37. В этой связи дефиниция «компьютерное преступление» должна употребляться не в уголовно-правовом аспекте, где это только затрудняет квалификацию деяния, а в криминалистическом, поскольку связана не с квалификацией, а именно со способом преступления и, соответственно, с методикой его раскрытия и расследования.
В этом смысле к компьютерным отнесем не только преступления, объектом которых выступают общественные отношения в сфере обработки, хранения и передачи компьютерной информации (т. е. киберзависимые преступления), а любые преступные посягательства, совершаемые с применением ИКТ, или, если использовать недавно приведенный в законе термин, — преступления в сфере информационных технологий38.
Компьютерная информация применительно к процессу доказывания может быть определена как фактические данные, обработанные компьютерной системой и (или) передающиеся по телекоммуникационным каналам, а также доступные для восприятия, на основе которых в определенном законом порядке устанавливаются обстоятельства, имеющие значение для правильного разрешения уголовного, гражданского или административного дела39.
Необходимо отметить, что криминалистические методы и средства широко востребованы и гражданским, и административным судопроизводством, где также в процесс доказывания широко интегрированы компьютерные средства и системы в целях получения участниками процесса доказательственной и ориентирующей информации. Необходимо включить в предмет данной теории и закономерности, связанные с рассмотрением дел в гражданском, арбитражном, административном процессе, производстве по делам об административных правонарушениях. Однако приоритет, по нашему мнению, должен быть отдан раскрытию и расследованию преступлений, поскольку общей и главной задачей криминалистической науки является борьба с преступностью40.
Для исследования закономерностей возникновения и движения криминалистически значимой компьютерной информации обратимся к криминалистической дефиниции механизма преступления, который представляет собой сложную динамическую систему, определяющую содержание преступной деятельности. Элементами механизма преступления являются: субъекты преступления; отношение субъекта преступления к своим действиям, их последствиям, соучастникам; предмет посягательства; способ преступления; преступный результат; обстановка преступления (место, время и другие относящиеся к ней обстоятельства); поведение и действия лиц, оказавшихся случайными участниками события, и др.41
Одним из важнейших элементов механизма преступления является способ преступления.
Способ преступления по классическому определению Зуйкова Г. Г. «представляет собой систему объединенных единым замыслом действий преступника (преступников) по подготовке, совершению и сокрытию преступления, детерминированных объективными и субъективными факторами, действий, сопряженных с использованием соответствующих орудий и средств»42. Другими словами, способ преступления — это детерминированная личностью, предметом и обстоятельствами преступного посягательства система действий субъекта, направленная на достижение преступной цели и объединенная единым преступным замыслом. В этой системе могут быть выделены действия по подготовке, совершению и сокрытию следов преступления43. В зависимости от этого способы преступления делят на полноструктурные и неполноструктурные. Полноструктурный способ включает действия, относящиеся ко всем его элементам: подготовке, совершению и сокрытию. В тех случаях, когда преступление совершается без предварительной подготовки или когда субъект преступления не планирует действий по его сокрытию, налицо неполноструктурный способ совершения преступления. При этом возможно формирование самостоятельного способа сокрытия преступления44.
Как отмечал Белкин Р. С., способ совершения преступления, понимаемый как система действий преступника по подготовке, совершению и сокрытию преступления, будучи в целом отражаемым объектом, как элемент объективной стороны преступления, в то же время своими составляющими (действия, средства действий) служит средством отражения в среде события преступления45. Кроме того, «следы определенного способа совершения преступления указывают не только на совершенные действия, но и на обстоятельства, детерминировавшие способ совершения преступления, определившие состав и характер совершенных действий, в частности, по характеру совершенных действий представляется возможным предположительно судить об определивших способ совершения преступления качествах личности»46.
На формирование способа преступления оказывают влияние объективные и субъективные факторы, что определяет детерминированность и повторяемость способов преступления. Зуйков Г. Г. отмечает, что «абсолютная повторяемость способов преступлений во всех их признаках полностью исключена. Способы преступлений повторяются, если сохраняется действие определенных факторов, их детерминирующих (мотив и цель преступления, объективная обстановка его совершения, качества личности преступника, особенности предмета преступного посягательства и т. д.), а так как детерминирующие факторы изменяются и в количественном и в качественном отношениях, то неизбежно изменяются и способы совершения преступлений, сохраняя, однако, некоторую совокупность повторяющихся признаков»47.
Как отмечает Чулахов В. Н., среди факторов, определяющих способ преступления, значительную роль играют психофизиологические свойства личности преступника, в частности навыки и привычки. В способе преступления отражаются два вида навыков — общего значения, возникшие вне связи с совершением преступления, и преступные, сформированные в процессе противоправной деятельности. Навыки преступного характера формируются в ходе подготовки к преступлению и совершенствуются при повторных аналогичных преступлениях48. Превращение некоторых самостоятельных элементов способа в навык и переход их на уровень автоматизированных, подсознательных актов является одной из закономерностей формирования способа неоднократно совершаемых однородных преступлений, т. е. формируется «преступный почерк».
§ 2.2. Способы совершения киберзависимых компьютерных преступлений
Описание способов компьютерных преступлений начнем с действий по сокрытию преступниками своих данных при использовании сети Интернет с целью предотвращения идентификации их личности. Для сокрытия своего адреса преступники используют различные анонимные компьютерные сети и сервисы, специально созданные для этих целей.
Одним из таких способов является использование VPN-сервисов (англ. Virtual Private Network — виртуальная частная сеть)49. Технологии VPN обеспечивают шифрование сетевого трафика между компьютером пользователя и VPN-прокси-сервером, который является шлюзом выхода в сеть Интернет и, соответственно, скрывает реальный IP-адрес пользователя. Если им требуется высокий уровень конспирации, преступники арендуют у провайдеров хостинговых услуг вычислительные мощности практически в любой точке мира, на которых настраивают собственные VPN-серверы либо виртуальные машины, с которых, используя сторонние VPN-сервисы, выходят в сеть Интернет.
Другой способ, использование которого позволяет скрыть свой IP-адрес, — The Onion Routing, TOR (луковая маршрутизация второго поколения) — технология и программное обеспечение для реализации обмена данными с многослойным шифрованием с помощью системы прокси-серверов, обеспечивающих анонимное сетевое подключение50.
Троянская программа, обладающая функциональными возможностями VPN-прокси-сервера, также позволяет преступникам создать бот-сеть из компьютеров, зараженных такой программой, и использовать ее для сокрытия своего IP-адреса.
Помимо упомянутых способов анонимизации своих действий в сети Интернет путем построения цепочки прокси-серверов преступники для этих целей применяют и другие криминальные либо полукриминальные схемы, например, через несанкционированное подключение к сторонним беспроводным точкам доступа — Wi-Fi роутерам, либо с помощью беспроводных модемов мобильной связи с SIM-картами, оформленными на посторонних лиц.
Выбор безопасных способов оплаты сервисов и вычислительных мощностей для осуществления преступной деятельности также является мерой конспирации преступной деятельности. Для этих целей широко используется так называемая криптовалюта, например, биткоины, правовой режим которой во многих странах мира, в том числе в России, остается неопределенным.
Разработка планов преступной деятельности, координация мероприятий на стадии подготовки к совершению преступления, согласование совместных действий осуществляются соучастниками с применением сетевых протоколов обмена сообщениями, обеспечивающих безопасность передачи данных. Одной из востребованных реализаций коммуникации в криминальной среде является XMPP-протокол (eXtensible Messaging and Presence Protocol) обмена мгновенными сообщениями, известный еще как Jabber-протокол (буквально — болтовня), который предоставляет возможность настроить свой собственный Jabber-сервер, обеспечивающий шифрование канала51. Вместе с тем в настоящее время широчайшее распространение в криминальной среде получили программы-мессенджеры, обеспечивающие стойкое шифрование между устройствами пользователей, так называемое end-to-end шифрование (Telegram, Signal, VIPole и др.).
К мерам по сокрытию следов преступления можно отнести также способы, с помощью которых преступники оказывают противодействие осмотру и изъятию компьютерной информации, содержащейся в их компьютерных средствах и системам, имеющей криминалистическое значение. Эти цели достигаются шифрованием компьютерных данных с помощью специализированного программного обеспечения либо возможностью быстрого уничтожения таких данных с использованием специальных программ или устройств.
Для сокрытия следов несанкционированного доступа и вредоносной активности на компьютере пользователя применяются различные меры технического характера, как прошедшие проверку временем технологии шифрования и обфускации (obfuscate — делать неочевидным, запутанным), так и новые приемы и методы.
Способы сокрытия вредоносной активности в системе:
– технологии Bootkit;
– технологии Rootkit;
– «бестелесная» технология;
– технологии криптования, обфускации и т. п.
В процессе криптования исполняемый код вредоносной программы шифруется, а при обфускации приводится к виду, затрудняющему анализ и понимание алгоритмов его работы. Это осложняет выявление таких программ антивирусным программным обеспечением и их исследование специалистами информационной безопасности.
Вредоносные программы, функционирующие только в оперативной памяти компьютера и не сохраняющиеся на энергонезависимые запоминающие устройства, именуют «бестелесными». При отключении питания компьютера, например, при его перезагрузке, программа стирается. Такие программы применяются преступниками для сокрытия их активности от антивирусного программного обеспечения52.
Технология Bootkit применяется для сокрытия вредоносного кода от антивирусного программного обеспечения и получения максимальных привилегий в системе. Для реализации этого способа вредоносной программой модифицируется, например, главная загрузочная запись (англ. master boot record, MBR), которая считывается процессором еще до начала загрузки операционной системы, а вредоносный код в зашифрованном виде записывается в неиспользуемую операционную систему область дискового пространства. При включении компьютера загрузчик еще до старта операционной системы расшифровывает и загружает в оперативную память вредоносный код53.
Максимальные права пользователя позволяют применить набор программ Rootkit, которые скрывают вредоносную активность в системе: сетевые подключения, процессы, файлы и т. д.
Как видно из перечисленных мер, предпринимаемых преступниками с целью сокрытия следов несанкционированного доступа к компьютерным системам и информации пользователя, весьма значительное количество таких деяний совершается с помощью вредоносного программного обеспечения. Преступники используют вредоносные программы для значительного усиления своих возможностей, то есть в криминалистическом плане вредоносная программа является орудием совершения преступления54.
В уголовно-правовом смысле определение вредоносной программы изложено в ст. 273 УК РФ, согласно которой под вредоносной программой понимается компьютерная программа либо иная компьютерная информация, заведомо предназначенная для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации. К таким программам следует отнести не только специально разработанное, но и модифицированное легальное программное обеспечение, дополнительные функциональные возможности которого вследствие модификации наделяют его признаками вредоносности.
Заметим, что в качестве орудия совершения преступления может быть использована и легальная программа, функциональность которой предоставляет преступникам возможность достижения своих целей. Большинство легальных программ, используемых преступниками в противоправной деятельности, предназначены для удаленного несанкционированного доступа к компьютеру, управления системой и ее администрирования, например: RMS, Ammyy Admin, TeamViewer и LiteManager. Эти программы обладают функциональными возможностями достаточными для достижения преступных целей и определяются антивирусным программным обеспечением с менее критичным именем как условно-опасные, в связи с чем пользователи не видят в них особой угрозы. Кроме того, многие из этих программ являются доверенными программами пользователя, установлены с его ведома и не вызывают у него подозрений.
В последние годы особой популярностью у преступников, промышляющих получением несанкционированного доступа к компьютерным системам и информации, пользуется легальный программный инструментарий, предназначенный для проведения тестов на проникновение, например ПО CobaltStrike.
В определенных случаях, например, когда необходимо отключить оповещение пользователя о работе программы либо ее модулей, такие программы подвергаются незначительной модификации, которая может привести к изменению их поведения (набора действий) в системе, которое будет соответствовать другому классу определяемых антивирусным программного обеспечения объектов — Malware (категории вредоносных программ).
Один из таких способов реализуется с помощью технологии DLL Hijacking55, эксплуатирующей особенности функционирования операционной системы (ОС) Windows. Способ заключается в помещении в одну папку с файлом программы удаленного управления вредоносного библиотечного файла (dll-библиотеки), причем с таким же именем, что и расположенная в другой директории легальная библиотека. При запуске программа вместо легальной библиотеки загружает вредоносную, которая размещена «ближе». Например, для сокрытия от пользователя отображаемых на экране графических признаков работы программы TeamViewer (значка, окна сообщений) преступники осуществляют подмену библиотеки msvfw32.dll.
Самая общая классификация, широко применяемая в настоящее время для их систематизации, выделяет из класса вредоносных программ (Malware) следующие подклассы: программы-вирусы (Virus), программы-черви (Worm) и троянские программы (Trojan)56.
К первым двум подклассам вредоносных программ относятся вирусы и черви, которые без ведома пользователя саморазмножаются на компьютерах и в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению.
Проиллюстрируем это на примере. В мае 2017 г. была осуществлена одна из наиболее масштабных за обозримое время атака с применением программы-шифровальщика WannaCry. Только за один день вредоносная программа атаковала компьютеры пользователей более чем в 74 странах. По своему основному предназначению WannaCry имеет те же функциональные возможности, что и другие шифровальщики, — модификация пользовательских данных на компьютере и последующее требование выкупа за их восстановление, но столь массовые случаи заражения были связаны со способом распространения.
Первичное заражение осуществлялось посредством эксплуатации уязвимости ОС Windows. После успешного проникновения хотя бы на один компьютер, подключенный к локальной сети, шифровальщик WannaCry распространялся по сети на другие устройства как червь (Worm). По этой причине наибольший ущерб от шифровальщика WannaCry был причинен организациям, имеющим крупные корпоративные компьютерные сети57.
Программы, относящиеся к третьему подклассу, — троянские программы (Trojan programs) не умеют создавать свои копии и не способны к самовоспроизведению. В этом случае распространение копий по сети и заражение удаленных компьютеров происходит по команде с сервера управления.
Основным признаком, который служит для дифференцирования троянских программ, является вид действия (поведение), которое они выполняют на компьютере, например:
– программы-шпионы (Trojan-Spy) предназначаются для ведения электронного шпионажа за пользователем, в том числе перехвата вводимых с клавиатуры данных, изображений экрана, списка активных приложений;
– программы-банкеры (Trojan-Banker) создаются с целью поиска и копирования пользовательской информации, относящейся к банковским счетам, системам электронных денег и пластиковым картам;
– программы-шифровальщики (Trojan-Ransom) модифицируют пользовательские данные на компьютере либо блокируют работу компьютера с целью получения выкупа за восстановления доступа к информации;
– программы для удаленного управления (Trojan-Backdoor) обеспечивают скрытое удаленное управление компьютером и полный доступ к пользовательской информации;
– программы-загрузчики (Trojan-Downloader, Trojan-Dropper) осуществляют загрузку и установку на компьютер вредоносных программ и их новых версий;
– программы для эксплуатации программных уязвимостей (Exploit) эксплуатируют уязвимости программного обеспечения пользователя.
Большинство современных троянских программ сочетают в себе не одно поведение, а целый набор видов деятельности, предоставляющий преступникам самые широкие возможности для манипулирования пользовательской информацией. Например, программа-банкер, определяемая антивирусным программным обеспечением Лаборатории Касперского с именем Trojan-Banker.Win32.RTM, помимо присущей только этому виду троянских программ функциональности поиска и копирования пользовательской информации, относящейся к банковским счетам, системам электронных денег и пластиковым картам, обладает и многими другими возможностями — поиска файлов по именам, записи истории нажатий клавиш клавиатуры, записи видео и создании снимков экрана, копирования буфера обмена, блокирования и нарушения работы операционной системы, получения от сервера управления команд на запуск дополнительных программных модулей, отправки собранной информации на сервер управления и т. п.
Для загрузки троянских программ в компьютерную систему без ведома пользователя применяют различные способы.
Способы проникновения в систему:
– рассылка электронных писем, содержащих вредоносное вложение;
– применение связок эксплойтов при веб-серфинге пользователей в сети Интернет;
– внедрение вредоносного кода в распространяемое легальное программное обеспечение;
– распространение в локальной сети посредством применения штатных программных средств;
– физический доступ к целевой системе.
Для проникновения в систему с помощью сообщений электронной почты преступники осуществляют целевую либо массированную рассылку писем, содержащих в качестве вложения специальным образом, сформированный документ. Открытие пользователем данного документа приводит к скрытой загрузке вредоносной программы и установке ее в систему.
В другом варианте вредоносное письмо содержит не вложение, а ссылку на внешний Интернет-ресурс, при переходе по которой компьютер пользователя подвергается атаке набором эксплойтов (exploits). При успешном срабатывании одного из эксплойтов на компьютер пользователя загружается вредоносное программное обеспечение. При необходимости, когда возможности совершения несанкционированных действий на компьютере пользователя ограничены правами его учетной записи, преступниками может быть применен локальный эксплойт для повышения привилегий.
Для заражения компьютеров может быть использован так называемый метод drive-by загрузки, когда в процессе перемещения пользователя по сайтам в сети Интернет его компьютер скрыто перенаправляется с легитимной, но скомпрометированной страницы на криминальный ресурс, где подвергается атаке набором эксплойтов.
Описанные способы наиболее распространены и хорошо известны. В более редких случаях преступники предварительно получают несанкционированный доступ к сетевым ресурсам разработчика легальных программ, после чего внедряют в распространяемое им программное обеспечение свой вредоносный код.
При наличии у преступников доступа хотя бы к одному компьютерному устройству локальной сети организации дальнейшее распространение вредоносных программ на другие компьютеры и серверы может осуществляться с помощью штатных программных средств и протоколов. Например, н
...
