Эксплойты. Анализ состава преступления

С каждым годом происходит увеличение количества объектов и источников информации. Для организаций и отдельных лиц становится необходимостью обеспечение трех базовых принципов информационной безопасности: целостности, доступности, конфиденциальности. Обеспечение правовой защиты компьютерной информации выходит на первый план в деятельности любой организации. Поэтому компьютерные преступления, любое противоправное действие, при котором компьютер выступает либо как объект, против которого совершается преступление, либо как инструмент, используемый для совершения преступных действий, могут привести к серьезным убыткам и к другим негативным последствиям.

Дарья Устюгова

by Sparky ustyugova90@mail.ru

Введение

Необходимо отметить, что количество компьютерных преступлений в России растет. По данным Главного информационного центра МВД России в 2009 году было совершено 7053 тыс. правонарушений попадающих под статью 272* УК РФ [1].

В последнее время все большую популярность при совершении компьютерных преступлений приобретают эксплойты. Это компьютерные программы, фрагменты программного кода или последовательности команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на вычислительную систему [2]. Популярность применения эксплойтов связана с тем, что мы используем программное обеспечение со сложной внутренней логикой, это приводит к появлению в нем ошибок.

Соответственно, при нахождении уязвимости в каком-либо популярном программном продукте, появляется возможность использовать эту уязвимость массово.

В УК РФ существует 28 глава, предполагающая наступление уголовной ответственности за совершение компьютерных преступлений (272-274 статьи). Сегодня мы проанализируем возможность применения статьи 272 УК РФ к компьютерным преступлениям, использующим эксплойты. Сначала нужно провести анализ состава преступления. Это необходимо, для того чтобы выявить признаки, характеризующие общественно опасное поведение в качестве преступления. То есть, о возможности применения статьи к конкретному правонарушению стоит говорить в том случае, когда оно обладает признаками, описанными в составе преступления конкретной статьи. Состав преступления включает в себя следующие компоненты: объективная сторона, субъективная сторона, объект и субъект.

Состав преступления. Статья 272 УК РФ

Объект преступления: отношения, возникающие в сфере охраны компьютерной информации, которые регулируются ФЗ «Об информации, информационных технологиях и защите информации» от 27 июля 2006г № 149-ФЗ.
Объективная сторона преступления: для того, чтобы сформировать определение неправомерного доступа, нужно ответить на ряд вопросов. Необходимо-ли для признания доступа неправомерным – преодоление некоторых преград? Или неправомерным доступ будет признаваться даже тогда, когда информация находится на общедоступном компьютере?
Согласно статье 6 ФЗ «Об информации информационных технологиях и защите информации», обладатель информации, если иное не предусмотрено федеральными законами, вправе разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа.

Также из статьи 9 указанного ФЗ следует, что безусловным характером правовой охраны пользуется информация, относящаяся к государственной тайне, тайне следствия, личной и семейной тайне, тайне телефонных переговоров, переписки, почтовых, телеграфных и иных сообщений, а также персональные данные граждан и сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

В результате под неправомерным доступом к компьютерной информации – следует понимать несанкционированное собственником информации ознакомление лица с данными, содержащимися на машинных носителях или в ЭВМ, и имеющих уровень защиты в соответствии с законодательством РФ. Кроме того, если происходит неправомерный доступ к охраняемой законом информации, неправомерность доступа к ней потребителя характеризуется еще и нарушением установленного порядка доступа к этой информации. Если нарушен установленный порядок доступа к охраняемой законом информации, согласие ее собственника не исключает неправомерности доступа к ней.

Обязательными элементами объективной стороны данного состава являются последствия: удаление, модификация, блокирование и копирование информации, нарушение работы ЭВМ (систем ЭВМ, их сетей).

Субъект преступления: вменяемое физическое лицо, достигшее 16-летнего возраста. Частью 2 статьи 272 УК РФ установлено совершение преступления специальным субъектом, совершившим данное преступление с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети.

Особенности квалификации преступления, предусмотренного статьей 272 УК РФ, совершенного группой лиц по предварительному сговору или организованной группой, не отличаются от изложенных в статье 35 УК РФ.

Субъективная сторона преступления: характеризуется виной в форме прямого умысла. Косвенный умысел и неосторожная форма вины могут иметь место по отношению к наступлению вредных последствий неправомерного доступа.

Также необходимо отметить важное обстоятельство – момент окончания преступления: осуществление неправомерного доступа к информации, повлекшего ее уничтожение, модификацию, блокирование, копирование либо нарушение работы ЭВМ (систем ЭВМ, их сети). Если этого не произошло, преступление считается не оконченным.

Экспойты. Есть-ли примеры?

Эксплойт (англ. exploit, эксплуатировать) – это компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на вычислительную систему. Целью атаки может быть: как захват контроля над системой (повышение привилегий), так и нарушение ее функционирования (DoS-атака) [1].

Приведем пример двух эксплойтов, использование которых отлично иллюстрирует возможность применения данной статьи УК РФ к компьютерным преступлениям, использующим эксплойты.

1. Эксплойт, приводящий к повреждению памяти, в браузере Mozilla Firefox был сознательно помещен владельцем домена на сайт. Пользователь, используя Mozilla Firefox, зашел на данную web-страницу, что привело к нарушению работы браузера. Субъект, объект и субъективная сторона данного действия соответствует субъекту, объекту и субъективной стороне состава преступления статьи 272 УК РФ. Объективная сторона данного действия не соответствует объективной стороне состава преступления статьи 272 УК РФ. Хотя действия данного эксплойта приводят к: блокированию информации: действия данного эксплойта привели к ограничению и временному закрытию доступа к компьютерной системе и предоставляемым ею информационным ресурсам, так как выполнение данного эксплойта приводит к блокированию работы браузера; нарушению работы ЭВМ (систем ЭВМ, их сети): нарушение работы как отдельных программ, баз данных действительно имеет место быть в данной ситуации, так как после выполнения данного эксплойта произошло нарушение работы браузера. Данный эксплойт не производит никаких действий по ознакомлению лица с данными, содержащимися на машинных носителях или в ЭВМ. Соответственно объектная сторона данного действия не соответствует объективной стороне состава преступления статьи 272 УК РФ. Из этого вытекает, что данное действие не может быть квалифицировано как правонарушение, попадающее под статью 272 УК РФ.
2. Пользователь имеет интернет-магазин. Данные о продажах и клиентах хранятся в БД под управлением СУБД MySQL. Собственник разграничил доступ к данным, хранящимся в этой БД. Субъект, используя SQL-инъекцию, умышленно получил доступ к паролю и e-mail другого пользователя, затем произвел модификацию данной информации с целью ее дальнейшего использования.

Как и в предыдущем случае, объект, субъект и субъективная сторона данного действия совпадает с объектом, субъектом и субъективной стороной состава преступления статьи 272 УК РФ. Объективная сторона данного действия будет совпадать с объективной стороной, так как собственник информации, а именно владелец данного интернет – магазина, разграничил доступ к информации о пользователях, а именно информацию об их паролях и e-mail, то данное действие будет квалифицированно как неправомерный доступ к информации. Данное действие приводит к модификации информации, а именно внесение изменений в базу данных, находящуюся на материальном носителе.

Выводы

Проанализировав ряд экспойтов можно сделать следующие выводы: эксплойт является всего лишь шлюзом, позволяющим другим вредоносным программам проникать в ЭВМ. К наступлению последствий описанных в статье 272 УК РФ приведут уже вредоносные программы, которые при помощи эксплойта будут запущены на компьютере пострадавшего. Следовательно, использование эксплойта можно расценивать как приготовление к совершению преступления. эксплойт является вредоносной программой, осуществляющей неправомерный доступ к информации, хранящейся на ЭВМ. Кроме того, он производят определенные действия, приводящие к модификации, уничтожению, копированию, блокированию информации и нарушению работы ЭВМ (систем ЭВМ, их сети). Следовательно, преступление, в котором используются эксплойты, может быть квалифицировано, как преступление, попадающее под статью 272 УК РФ. Но необходимо отметить, что если эксплойт выполняет определенные действия над данными находящимися в открытом доступе и эти данные не охраняются законом, то применение эксплойта не попадает под статью 272 УК РФ.

Библиографический список

• Статистика компьютерных преступлений в России http://www.securitylab.ru/news/213781.php 07/06/10
• Exploit Classification/Shellcode (computer security) http://inj3ct0r.com/exploits/10991 06/06/2010
• Богомолов М. В. Уголовная ответственность за неправомерный доступ к охраняемой законом компьютерной информации http://pu.boom.ru/book/index.html#soder 06/06/2010
• Мосин О. В. Компьютерная преступность в России. Как с ней бороться? http://zhurnal.lib.ru/o/oleg_….nostxwrossiirtf.shtml 07/06/2010
• Российское законодательство об уголовной ответственности за преступления в сфере компьютерной информации http://www.lawmix.ru/comm/4715 04/06/2010
• Сайт Федеральная служба по техническому и экспортному контролю (ФСТЭК России) http://www.fstec.ru 07/06/10
• Словарь-справочник Уголовного права http://www.info-law.ru 20/05/10
• Конституция РФ http://www.constitution.ru 06/05/10
• Доктрина информационной безопасности Российской Федерации, утвержденная Президентом Российской Федерации 9 сентября 2000 г. № Пр-189
• ГОСТ Р 50922-2006. Защита информации. Основные термины и определения.
• Закон Российской Федерации от 5 марта 1992 г. № 2446-1. О безопасности
• Рекомендации по стандартизации Р 50.1.056 – 2005 Техническая защита информации. Основные термины и определения
• Руководящий документ. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники. Гостехкомиссия России, 1992
• Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. Гостехкомиссия России, 1992
• Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. Гостехкомиссия России, 1992
• Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Гостехкомиссия России, 1992
• Уголовный кодекс РФ http://www.ug-kodeks.ru 01/05/10
• Федеральный закон от 27 июля 2006 г. № 149-ФЗ. Об информации, информационных технологиях и о защите и информации.

Статья из восьмого выпуска журнала «ПРОграммист».