 |
 |
 |
 |
|
 |
 |
385
Разработка вредоносных программ для ЭВМ обычно осуществляется одним из двух способов.
1. Вредоносная программа разрабатывается прямо на одном из рабочих мест компьютерной системы,
что, как правило, маскируется под правомерную повседневную работу. В силу своих служебных
обязанностей разработчик имеет доступ к системе и обрабатываемой в ней информации, в том числе
нередко к кодам и паролям. Сокрытие преступного характера своих действий разработчик осуществляет
путем удаления компрометирующих данных или их хранения на собственных дискетах.
2. Программа создается вне сферы обслуживания компьютерной системы, для воздействия на
которую она ориентирована. Злоумышленнику необходимы сведения о функционирующей в системе
информации, способах доступа к ней, методах ее защиты. Для получения этих сведений он
устанавливает связи с кем-либо из пользователей системы либо внедряется в нее посредством взлома.
Иногда вредоносная программа создается путем внесения изменений в действующую программу.
Например, на Волжском автозаводе оказалось умышленно расстроенной работа трех линий главного
сборочного конвейера, управляемого компьютером. Произошло это по вине инженера-программиста
Урозбаева, который из низменных побуждений пять месяцев назад ввел в одну из взаимодействующих
программ управления накопителем механических узлов заведомо неправильную последовательность
команд счета подвесок и подачи шасси на главный конвейер. Тем самым предприятию был причинен
крупный материальный ущерб, а кроме того, из-за сверхнормативного простоя главного сборочного
конвейера не было собрано около 500 автомобилей «Жигули».
На факт создания вредоносной программы могут косвенно указывать следующие обстоятельства: а)
повышенная заинтересованность посторонних лиц алгоритмами функционирования программ, работой
системы блокировки и защиты, входной и выходной информацией; б) внезапный интерес к
программированию лиц, в круг обязанностей которых оно не входит. Эти обстоятельства выявятся как в
ходе оперативно-розыскных мероприятий, так и при производстве следственных действий, в частности
допросов пользователей компьютерной системы, в которой обнаружились признаки действия
вредоносной программы.
О создании вредоносной программы свидетельствуют факты ее использования и распространения,
особенно данные, позволяющие заподозрить конкретное лицо в такой противоправной деятельности.
При этом необходимы своевременные и тщательно произведенные обыски в местах работы и
жительства подозреваемого, а также там, откуда он мог наладить доступ к компьютерной системе. К
обыску целесообразно привлечь специалиста-программиста, который поможет обнаружить все
имеющее отношение к созданию вредоносной программы для ЭВМ.
Факты использования и распространения вредоносной программы нередко обнаруживаются с
помощью антивирусных программ. В ходе расследования такие факты можно установить при осмотре
следующих документов: а) журналов учета рабочего времени, доступа к вычислительной технике, ее
сбоев и ремонта, регистрации пользователей компьютерной системы или сети, проведения
регламентных работ; б) лицензионных соглашений и договоров на пользование программными
продуктами и их разработку; в) книг паролей; приказов и других документов, регламентирующих
работу учреждения и использование компьютерной информации. Эти документы нередко ведутся в
электронной форме, поэтому к ознакомлению с ними необходимо привлекать специалиста. При
изучении журналов, книг, соглашений и другой документации следователь может выяснить законность
использования того или иного программного обеспечения, систему организации работы учреждения и
использования в нем информации, доступа к ней и компьютерной технике, круг лиц, имевших на это
право.
Проводя допрос подозреваемого, нужно выяснить уровень его профессиональной подготовки
программиста, опыт работы по созданию программ данного класса на конкретном языке
программирования, знание алгоритмов их работы, но особенно тех, которые подверглись
неправомерному воздействию.
Допрос обвиняемого преследует цель выяснить обстоятельства подготовки и совершения
преступления, алгоритм функционирования вредоносной программы, и то, на какую информацию и как
она воздействует.
Проводя допросы свидетелей, необходимо выяснять, какая информация подвергалась вредоносному
воздействию, ее назначение и содержание; как осуществляется доступ к ресурсам ЭВМ, их системе или
сети, кодам, паролям и другим закрытым данным; как организованы противовирусная защита и учет
пользователей компьютерной системы.
В ходе допросов свидетелей нужно иметь в виду, что практикуется множество способов