Образы типичных компьютерных преступников

Когда квалификация подозреваемого неизвестна, ее следует предполагать высокой. 

С той же целью специалисту или следователю имеет смысл до поры скрывать свой собственный уровень познаний в ИТ перед подозреваемым. 

Приведем пример

Изымая компьютер во время обыска (если застали его включенным), специалист должен решить, следует ли применить штатную процедуру выключения или выключить компьютер грубым прерыванием электропитания. С одной стороны, при грубом обесточивании может пропасть некоторое количество данных, как правило, не очень существенных. Но лучше бы их сохранить. С другой стороны, у некоторых хакеров* (в дурном значении этого слова) есть противная привычка оснащать свой компьютер логической бомбой*, срабатывание которой связано с командой выключения компьютера (shutdown). Поэтому при использовании штатного выключения есть риск уничтожить все улики собственными руками. Какой вариант выбрать, зависит от того, как мы оцениваем уровень квалификации владельца компьютера. При невозможности оценить этот уровень компьютер выключается прерыванием электропитания, то есть в расчете на наличие логической бомбы. 

Далее приведем описание нескольких типичных образов компьютерных преступников

«Хакер» 

Основной мотивацией этого типа нарушителей являются: исследовательский интерес, любопытство, стремление доказать свои возможности, честолюбие. Средства защиты компьютерной информации, ее недоступность они воспринимают как вызов своим способностям. Некоторые исследователи полагают необходимой чертой этого типа хорошие знания в области ИТ и программирования. Однако практика опровергла это предположение. Среди обвиняемых по соответствующим составам средний уровень знаний оказался невысок. Другие исследователи наряду с многознающими «хакерами» вводят отдельную категорию «script kiddies*». Это те, кто движим теми же мотивами, но не в состоянии придумать свое и поэтому просто бездумно используют готовые инструменты, сделанные другими. Автор полагает возможным объединить их в единую категорию, поскольку мотивы одинаковы, а знания - вещь наживная. 

Первой чертой личностью «хакера» является эскапизм - бегство от действительности, стремление уйти от реальности, от общепринятых норм общественной жизни в мир иллюзий, или псевдодеятельность. Компьютерный мир, особенно вместе с Интернетом, является прекрасным альтернативным миром, в котором возможно найти интересное занятие, защиту от нежелательных социальных контактов, реализовать креативный потенциал и даже заработать денег. С другой стороны, человек, который чем-то сильно увлечен в реальном мире, вряд ли сможет найти достаточное количество времени и сил, чтобы стать хорошим специалистом в специфических областях ИТ. 

Эскапизм является предрасполагающим фактором для возникновения компьютерной или сетевой зависимости . Такая зависимость (в слабой или сильной форме) является второй чертой личности вероятного преступника. Компьютерная зависимость (аддикция) может начаться с обычного увлечения, которое аддикцией не является. Зависимость в более тяжелой форме ближе к психической девиации, а в тяжелой форме некоторые полагают такую аддикцию болезнью (причем эпидемического характера), которую следует лечить. Исследованию феномена компьютерной/сетевой зависимости посвящены десятки научных работ, как из области медицины, так и социологии. Компьютерная, или сетевая аддикция характеризуется неспособностью человека отвлечься от работы в Сети, раздражительностью при вынужденных отвлечениях, готовностью пренебречь ценностями (материальными и социальными) реального мира ради мира виртуального, пренебрежением своим здоровьем. Исследования показывают, что страдающие сетевой зависимостью люди в то же время отличаются высоким уровнем абстрактного мышления, индивидуализмом, интрове-ртностью, эмоциональной чувствительностью и некоторой степенью нонконформизма. 

Эти черты приводят к тому, что «хакер» имеет узкий круг общения и предпочитает всем другим контактам сетевые. Искать его сообщников и источники информации о нем следует прежде всего среди его виртуальных знакомых. Контакты и социальные связи в реальном мире «хакер» субъективно оценивает как менее комфортные и не склонен доверять своим офлайновым* знакомым. 

Другое следствие эскапизма - неуделение внимания многому, что существует лишь в реальном мире и никак не отражено в Сети. Например, такой специалист может довольно чисто уничтожить следы, оставляемые на компьютерных носителях (всевозможные компьютерные логи, временные файлы, информацию в свопе и т.д.), но ему даже не придет в голову мысль про логи телефонных соединений, с помощью которых он выходил в Сеть. Один знакомый автору подозреваемый вполне серьезно утверждал, что его преступление «абсолютно недоказуемо», поскольку все мыслимые следы уничтожены. Но преступление оказалось «абсолютно доказуемым», поскольку подозреваемый отчего-то совершенно забыл про существование пяти свидетелей, которым сам же всё подробно описывал и показывал. 

Второй чертой личности является некриминальная в общем направленность мыслей «хакера». Исследовательский интерес и честолюбие редко сочетаются с антиобщественными установками, предельной опасливостью, боязнью правоохранительных органов. Это, как правило, выливается в уделение малого внимания заметанию следов, непринятие мер конспирации. Часто у него даже отсутствует само осознание того факта, что совершается уголовное преступление. 

«Инсайдер»

Несколько более распространенным типом компьютерного злоумышленника является человек, не слишком хорошо владеющий знаниями в области ИТ, зато владеющий доступом в информационную систему (ИС) в силу служебного положения. Уже стало общим местом утверждение, что большая часть «взломов» компьютерных систем совершается изнутри. Это действительно так. Поэтому при расследовании неправомерного доступа «инсайдер» - первая версия, которую следует рассматривать. Даже если неправомерный доступ был явно снаружи, скорее всего, он стал возможным из-за сговора с местным сотрудником. 

Если для «внешнего» хакера обнаружить уязвимость в информационной системе представляет собой задачу, то для сотрудника предприятия почти все уязвимости видны с самого начала. И если информационная система (ИС) имеет отношение к деньгам, ценностям или платным услугам, то сотрудник постоянно пребывает под искушением. Однако руководители и даже сотрудники службы безопасности, чьим попечениям доверена такая ИС, часто страдают странным дефектом зрения: они опасаются и уделяют внимание защите от внешних злоумышленников и в то же время слепо доверяют собственным сотрудникам, забывая, что разница между первыми и вторыми - только в их возможностях. У сотрудников возможностей напакостить несравненно больше. 

Итак, типичный «инсайдер» совершает компьютерное преступление (лично или в форме подстрекательства, совместно с «внешним» соучастником) с использованием сведений, полученных в силу служебного положения. Такие сведения - пароли, знания о конфигурации ИС, знания о ее уязвимостях, о принятых процедурах. В ряде случаев этими сведениями он владеет «официально», то есть они ему необходимы для выполнения работы. Но чаще бывает, что реальный доступ сотрудников к конфиденциальной информации значительно шире, чем формальный или чем необходимый. То есть «инсайдер» знает об ИС больше, чем ему положено. 

Например, в одной компании-операторе связи имел место инцидент с неправомерным доступом в базу данных. Были изменены данные об объеме оказанных клиенту услуг, от чего компания понесла существенные убытки. Как оказалось, преступником являлся один из сотрудников, вступивший в сговор с клиентом, с которого и «списал» часть задолженности за услуги. Он имел свой собственный логин* в указанную базу данных, но предпочел воспользоваться логином своего начальника. Это не составило особого труда, поскольку тот держал пароль на листочке, приклеенном к монитору. Свалить вину на коллег - характерное поведение для «инсайдера». 

Указать иные признаки личности вероятного преступника типа «инсайдер» автор не берется. Некоторые исследователи полагают, что «инсайдер» непременно должен считать себя обиженным, обойденным по службе, недостойно вознаграждаемым. Как ни странно, но среди современного «офисного планктона» таковыми считают себя почти все. А среди так называемых «топ-менеджеров» (а равно «стук-менеджеров» и «гарк-менеджеров») - через одного. Если есть искушение украсть, и человек этому искушению поддался, он сам себе осознанно или неосознанно найдет «обиды», вспомнит о «недоплате», о социальной розни и сочинит другие оправдания. Поэтому автор полагает, что такая черта личности вероятного преступника, как наличие обид, в криминалистической характеристике является излишней.

Продолжение следует... 

Источник: Николай Николаевич ФЕДОТОВ "Форензика - компьютерная криминалистика".