§ 3. Признаки воздействия на информацию

Воздействия злоумышленников, направленные на про­никновение в информационные системы, осуществляются прежде всего на программно-технические устройства; уп­равления связью с другими пользователями; управления устройствами ЭВМ; управления файлами (копирование, удаление, модификация).

Именно устройства управления связью с другими поль­зователями являются «воротами», открыв которые можно получить доступ к компьютерной информации. Распро­странены попытки несанкционированного входа в систему путем проверки всех телефонных номеров организации для определения места присоединения модема или создание специальной программы, автоматически подбирающей код входа в систему. Такая программа, перебирая возможные варианты, «дозванивается» до входа в систему. Иначе и проще поступал известный хакер Кевин Митник. Он Дозванивался до интересующей его организации и по голосовой связи, представляясь вымышленным именем и Должностью, уточнял номер телефонного канала по кото­рому осуществлялся вход в систему.

Первичное обнаружение признаков неправомерных дей­ствий с компьютерами и информацией посторонними ли-

Действия по незаконному прослушиванию телефонных перегово­ров и иных сообщений (радиообмена, пейджинговых, радио, модемных, и перехват информации с иных каналов связи), перехват и регистрация "нформации с технических каналов связи, неправомерный контроль почтовых сообщений и отправлений см. ранее.

Рис. 23. Виды следов преступной деятельности на  транзитных машинных носителях

цами осуществляется, как правило, специалистами и поль­зователями, работающими с конкретными ЭВМ. Косвен­ными признаками постороннего вмешательства в работу ЭВМ и доступа к информации, вызывающими подозре­ния, являются:

а) изменения заданной в предпоследнем сеансе работы с ЭВМ структуры файловой системы, в том числе: пере­именование каталогов и файлов; изменения размеров и содержимого файлов; изменения стандартных реквизи­тов файлов; появление новых каталогов и файлов и т.п.;

б) изменения в заданной ранее конфигурации' компьюте­ра, в том числе: изменение картинки и цвета экрана при включении; изменение порядка взаимодействия с пери­ферийными устройствами (например, принтером, моде­мом и т.п.)появление новых и удаление прежних сетевых устройств и др.;

в) необычные проявления в работе ЭВМ: замедленная или неправильная загрузка операционной системы; замедле­ние реакции машины на ввод с клавиатуры; замедление работы машины с дисковыми устройствами (загрузка и запись информации); неадекватные реакции ЭВМ на команды пользователя; появление на экране нестандарт­ных символов и т.п.

Признаки групп а) — б) могут свидетельствовать об имевших место фактах неправомерного доступа к ЭВМ или

1.Термин «конфигурация компьютера» имеет несколько наиболее употребительных значений. Одно из них означает сочетание различных, в том числе периферийных, электронных устройств ЭВМ. Другим сходным значением может считаться состав и сочетание электронных Устройств конкретного компьютера, часто встречающееся в объявлениях об их продаже, например (п скобках — пояснения), Pentium 150 MHz (название процессора и его «скорость»), 1й MB (объем оперативной памяти), HDD 1,3 GB (объем жесткого диска), CD-ROM 8 Speed (установлен 8-скоростной проигрыватель компакт дисков), и т.д. Под этим термином понимается также сочетание свойств отдельных УСТ­РОЙСТВ и программ ЭВМ. Следует учитывать, что соответствующим Программным обеспечением предусмот

о нарушении правил ее эксплуатации. Признаки группы в) кроме того могут быть свидетельством о появлении в ЭВМ вредоносных программ (ВП).

Помимо очевидных, связанных с демонстрационным эффектом, характерным для конкретной ВП, признаки указывающие на поражение программы могут быть также следующими: изменение длины командного процессора (COMMAND.СОМ); выдача сообщений об ошибках чтения (записи) при чтении информации, при загрузке программ с дискет и других внешних устройств; изменение длины и (или) даты создания программы; программа выполняется медленнее чем обычно; возрастание времени загрузки, зацикливание при загрузке: необъяснимые обращения к дискетам и файлам на защищенных дисках; потеря работо­способности некоторых резидентных программ и драйве­ров; аварийное завершение ранее нормально функциони­ровавших программ; необъяснимое зависание или переза­грузки системы; уменьшение объема системной памяти или свободной памяти после загрузки; резкое уменьшение объема системной памяти или свободной памяти после загрузки; резкое уменьшение доступной дисковой памяти, хотя файлы не добавлялись и не удалялись; появление новых сбойных кластеров, дополнительных скрытых фай­лов или других изменений файловой системы'.

Стандартной реакцией пользователя в таких случаях является повторный запуск ЭВМ, т.е. выключение и новое включение ЭВМ. При возникновении после этого тех же или иных признаков пользователь в зависимости от уровня своей компетентности и установленного владельцем или собственником информационных ресурсов порядка пользо­вания ЭВМ либо пытается устранить проблемы сам, либо обращается к администратору системы. Понятно, что в этот момент пользователь и администратор системы более заинтересованы в восстановлении работоспособности сис­темы и устранении потерь информации, чем в фиксации признаков противоправных действий с ЭВМ. Поэтому обстоятельства обнаружения первичных признаков ком-

' Безруков Н.Н. Указ. соч. С. 105.

пьютерных преступлений в дальнейшем могут в ходе следствия найти отражение лишь в свидетельских показаниях (за исключением случаев, когда имеют физические по­вреждения устройства ЭВМ)' .

Обычно первые случаи проникновения в ЭВМ, где хранится не слишком важная информация, посторонних лиц или ВП не вызывает у администратора активных дей­ствий. Лишь повторение таких случаев инициирует актив­ный поиск источника проблем и осуществление мер по противодействию. Большинство современных операцион­ных систем обеспечивают режим коллективного доступа к ресурсам отдельной ЭВМ и присоединение локальной ЭВМ к другим ЭВМ, периферийным устройствам и сетям ЭВМ. Как правило, в составе таких операционных систем существуют как средства разделения ресурсов между от­дельными пользователями (категориями пользователей), так и средства контроля за действиями конкретного поль­зователя в области выделенных ему ресурсов со стороны администратора системы.

• Признаки действия

вредоносных программ

Вызываемые ВП эффекты могут быть классифицирова­ны по следующим основным категориям:

• отказ компьютера от выполнения стандартной функции;

выполнение компьютером действий, не предусмотрен­ных программой;

• разрушение отдельных файлов, управляющих блоков и программ, а иногда и всей файловой системы (в том числе путем стирания файла, форматирования диска, стирания таблицы расположения файлов и др.);

Между тем. целесообразно было бы всем владельцам либо собст­венникам информационных ресурсов внутренними актами, определяю­щими порядок действий пользователей в подобных ситуациях, устано­вить обязанность фиксации таких признаков.

• выдача ложных, раздражающих, неприличных или от­влекающих сообщений1;

• создание посторонних звуковых и визуальных эффектов-

• инициирование ошибок или сбоев в программе или опе­рационной системе, перезагрузка или «зависание» про­грамм или систем;

• блокирование доступа к системным ресурсам;

• имитация сбоев внутренних и периферийных аппаратных устройств;

• ускорение износа оборудования или попытки его порчи2.

При возникновении «вирусных» проблем с отдельной ЭВМ, входящей в состав сети, администратор сети обычно пытается локализовать эту ЭВМ с целью недопущения распространения ВП по сети, выявления и ликвидации этой ВП. Одновременно осуществляется поиск источника проникновения ВП в ЭВМ. Наиболее частый случай про­никновения «вируса» в систему — работа пользователя с инфицированными дискетами. Поэтому адекватной реак­цией администратора системы — физическое прекращение работы всех пользователей системы с дисководами и требо­вание о проверке всех пользовательских дискет. Иногда последнее действие дает результат и по пояснениям добро­совестного пользователя, принесшего инфицированную «вирусом» дискету, удается установить, где именно про­изошло заражение. Учитывая, что с помощью специаль­ных «антивирусных» программ ВП идентифицируются, т.е. устанавливается тип, а иногда и наименование ВП, в

' Так, например, вирус AntiC.1000 считается опасным нерезидент­ным вирусом. Он заражает *.СОМ и *.ЕХЕ-файлы, причем ЕХЕ- файлы делает неработоспособными. Удаляет файлы •.MS, *.C, *.Н. Если вирусу удается удалить 4 и более таких файлов, то он выводит текст «Ты па С не пиши!!! Это «непечатн."!!! Я вот пишу на Paskale!!!», затем выводит строку «Слушай...» и исполняет мелодию. Другой вирус — Веег.645 Неопасный резидентный вирус. Ничего не уничтожает и не изменяет, но иногда выводит на экран текст «Сейчас бы пивка».

2 Безрукое Н.Н. Указ. соч. С. 106-107.

дальнейшем имеется абстрактная возможность проследить шаг за шагом пути его «доставки» в конкретную ЭВМ.

В случаях «вирусной атаки» следует различать последст­вия этой атаки и действий по ее отражению. Обычно в подобных случаях используются антивирусные программы, подразделяющиеся на;

• «детекторы» — программы, определяющие, заражена ли программа тем или иным вирусом;

• «ревизоры» — программы, определяющие, внесены ли какие-либо изменения в текст программы или нет;

• «фаги» — программы, вырезающие компьютерные виру­сы из зараженных программ;

• «вакцины» — программы, делающие компьютер в целом или отдельные программы невосприимчивыми к тому или иному типу компьютерного вируса;

• «сторожа» — программы, выявляющие попытки выпол­нить «незаконные» операции с файлами'.

• Действия

с коммуникационным оборудованием

Коммуникационные преступления и противоправные действия с информационным оборудованием наименее изученные в России виды криминальной деятельности. Противоправные действия в области телекоммуникаций включают в себя, как говорилось ранее, действия по незаконному получению информации с технических и радиотехнических средств связи.

Коммуникационные преступления имеют распростране­ние как у нас, так и за рубежом. Однако если в России о них известно пока еще не достаточно, за рубежом комму­никационные преступления превратились в развитую преступную деятельность и правоохранительными органами

Там же. С. 5.

им уделяется большое внимание'. Хотя в старом У^ РСФСР и была установлена ответственность за нарушение тайны переписки, телефонных переговоров и телеграфных сообщений (ст. 135 УК РСФСР), фактически частная методика расследования подобного рода преступлений не существовала. Это было связано главным образом с отсут­ствием широкого распространения, доступности соответ­ствующей специальной техники и в связи с этим не­распространенностью таких преступлений.

Коммуникационные преступления могут включать:

• противоправные действия по прослушиванию и прибор­ной фиксации информации в виде акустических сигна­лов — телефонных переговоров и иных сообщений (ра­диообмена, пейджинговых, радио, модемных, и пере­хват информации с иных каналов связи), а также усиле­ние сигнала на выходе, его фильтрация и иные специ­альные методы обработки;

• противоправные действия по визуальному наблюдению и приборное документирование его результатов, в том числе увеличение, уменьшение, наблюдение в условиях плохой видимости и иные специфические методы на­блюдения;

• противоправные действия по перехвату и регистрация информации в виде электромагнитных колебаний с тех­нических каналов и аппаратов связи;

противоправный приборный контроль почтовых сообще­ний и отправлений.

Этот, возможно, неполный обобщенный перечень пре­ступных действий получил широкое распространение, од­нако в силу ряда исторических, политических и экономи­ческих причин, о которых уже было сказано, не нашел

   ' Так, в Секретной службе Министерства финансов США, которая, как известно, занимается и охраной Президента США, создан в составе подразделения по борьбе с финансовыми преступлениями (Financial Crimes Division) специальный отдел по борьбе с электронными преступ­лениями (Electronic crimes branch).

адекватного отражения в следственной и судебной практи­ке. О распространенности данного явления в России пока свидетельствует только пресса.

Нами уже приводилось описание обстоятельств проти­воправного сбора и использования информации о долж­ностных лицах в Рязанской области. Судя же по другой свежей публикации*, такое собирание и коммерческое применение данных распространено и в Москве, имеется ряд негосударственных предприятий, основная функция которых прослушивание эфира столицы. Одна специаль­ная компьютерная программа обеспечивала с помощью радиоприемных устройств постоянную фиксацию пейд­жинговых сообщений и разговоров по сотовым телефонам, другая их сортировку и запоминание. Для получения данных в компании обращаются жены, проверяющие не­верных мужей, бизнесмены для выяснения намерений конкурентов, наемные убийцы для установления маршру­тов жертв и т.д. Как поведал источник журналиста его компания контролирует все пейджинговые сообщения и больше половины сотовых переговоров в Москве.

Способом совершения преступлений данной разновид­ности является неправомерные сбор, поиск, накопление и хранение конфиденциальной информации, которая может относиться к разряду различных тайн, в том числе к личной конфиденциальной информации, конфиденциаль­ной информации юридических лиц, государственной кон­фиденциальной информации. Указанные действия реали­зуются с помощью специально приспособленных или адап­тированных для преступных целей технических средств.

Для осуществления действий по перехвату информации применяются:

' средства акустического контроля (в том числе направ­ленные, резонансные, лазерные и иные микрофоны, радиозакладки и т.д.);

' устройства перехвата телефонных сообщений;

Блоцкий О. Слухачи. Тайная война радиокомпроматов // Совер­шенно секретно. 1977. № 9. С. 6-7.

• устройства перехвата радиосообщений;

• системы и устройства видеоконтроля'.

Перехваченная информация может анализироваться группироваться и храниться с использованием специализи­рованного программного обеспечения, установленного на ЭВМ или технических средствах звукозаписи.

Известные факты свидетельствуют, что преступная дея­тельность подобного рода осуществляется лицами, имею­щими профессиональные навыки работы с информацион­ной техникой, нередко прошедших специальное обучение. В литературе отмечалось, что шансы противодействующих друг другу сторон по нейтрализации усилий каждой из них (органы уголовной юстиции и профессиональная крими­нальная среда) в современных условиях практически урав­новесились2. Данная деятельность осуществляется, как правило, из корыстных побуждений, поскольку информа­ция, являясь товаром, имеет высокую ценность.

Так, у задержанного ФСБ Феофанова была обнаружена аппаратура для перехвата и обработки пейджинговых сооб­щений, позволяющая обрабатывать до 4000 сообщений в час. За каждый поставленный на контроль номер Феофа-нову платили до 300 дол.3

Поскольку активная борьба с преступной деятельностью в данной области пока не ведется, выявленные правоохра­нительными органами факты носят случайный характер. Существенно, что меры контроля в виде постановления Правительства Российской Федерации от 1 июля 1996 г. № 770 «Об утверждении Положения о лицензировании деятельности физических и юридических лиц, не уполно­моченных на осуществление оперативно-розыскной дея­тельности, связанной с разработкой, производством, реа-

 ' См. подробнее: Андрианов В.И., Бородин В.А., Соколов А.В. «Шпи­онские штучки» и устройства для защиты объектов и информации. СПб., 1996; Ярочкин В.И. Указ. соч.

2 Горяинов К.К., Кваша Ю.Ф.. Сурков К. В. Федеральный закон «Об оперативно-розыскной деятельности». Комментарий. М., 1997. С. 222.

3 Горинова Е. Этот прозрачный, прозрачный, прозрачный мир теле­коммуникаций // Сегодня. 1997. 31 марта.

лизацией, приобретением в целях продажи, ввоза в Рос­сийскую Федерацию и вывоза за ее пределы специальных технических средств» появилось лишь в 1996г. Важно, что в момент изъятия информации у ее собственника, послед­ний часто не подозревает о совершаемых в отношении него противоправных действиях и о причиненном ему ущербе может судить лишь по последствиям, связанным с распро­странением этой информации, например, при нарушении неприкосновенности частной жизни (ст. 137 УК РФ), при разглашении сведений, составляющих коммерческую или банковскую тайну (ст. 183УКРФ) и др.

Изъятие информации имеет ряд весьма важных и специ­фических особенностей. В тех случаях, когда эта инфор­мация в момент изъятия содержалась в линиях электросвя­зи или в физических полях, в которых сведения, состав­ляющие тайну, находят свое отображение в виде символов, образов, сигналов, технических решений и процессов, доказательством действий по ее изъятию в том виде, в котором эта информация была включена в информацион­ные процессы собственником, будут являться лишь копии этой информации, обнаруженные у преступника в ходе расследования. Подтверждением факта изъятия информа­ции будет являться и специальная аппаратура, с помощью которой могло быть осуществлено изъятие.

Для данной разновидности преступлений характерно, что информация в момент завладения ею злоумышленни­ками. часто не является документированной, и приобрета­ет этот вид уже при ее фиксации в ходе преступных или даже следственных действий.

Важной проблемой является также и оценка в процессе расследования значения полученной в ходе преступной Деятельности аналитической информации. Речь идет о выводах, которые могли быть сделаны на основе анализа Полученной информации. Представим себе, что получен­ные неправомерно данные не носят сами по себе характера Конфиденциальных. Однако их анализ в совокупности боздает новое знание, которое, безусловно, является для собственника данных конфиденциальным. Такими данны­ми могут быть, например, сведения об отдельных статьях баланса банка. Собранные в совокупности и предостав­ленные, скажем, гласности, они могут составлять банков­скую тайну, разглашение которой может нанести крупный ущерб их собственнику.

Трудным вопросом в ходе расследования, не решаемым без участия специалистов и экспертов, является отнесение конкретного технического средства к категории устройств, обеспечивающих возможность изъятия информации. По­скольку описания и назначения таких устройств не слиш­ком широко известны, криминалистической практике важна проблема их выявления, «опознания» и изъятия в ходе проведения соответствующих следственных действий. Представляется, что при производстве расследования дан­ной разновидности преступлений можно использовать от­дельные элементы тактики проведения следственных дей­ствий, описанные в разделе о расследовании преступлений в области компьютерной информации.

Противоправные действия с иным

информационным оборудованием

Противоправные действия с информационным оборудо­ванием включают в себя нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети. изготовление в целях сбыта или сбыт поддельных кредитных либо расчетных карт (в случаях, когда такие карты обеспечивают неправомер­ный доступ к информационному оборудованию), незакон­ные производство, сбыт или приобретение в целях сбыта специальных технических средств, предназначенных для негласного получения информации; «телефонное мошен­ничество».

О распространенности конкретных общественно опас­ных действий с кредитными карточками свидетельствуют данные, опубликованные С.М. Астапкиной:

1) преступные действия с утраченными и похищенными карточками составляют 72,2 %;

2) преступные действия с поддельными карточками — 20,5%;

3) преступные действия с карточками, не полученными законным держателем, — 2.8%,

4) преступные действия с использованием счета — 1,4%;

5) другие формы преступных действий — 1,4%;

Если проанализировать соотношение преступных дейст­вий с кредитными карточками по сервисным предприяти­ям, то выясняется, что чаще всего совершается мошенни­чество через рестораны — 26.4%; отели (мотели) — 25;

магазины — 20,7; бары — 10,6; телефонные услуги — 7,4, т.е. предприятия коммерческой сети, обслуживающие пластиковые карточки. В этой же публикации имеются криминалистические рекомендации, относительно рассле­дования подобных действий'.

Ответственность за незаконные производство, сбыт или приобретение в целях сбыта специальных технических средств, предназначенных для негласного получения ин­формации, установленная УК РФ пока. по нашим дан­ным, на практике не применялась.

Следует кратко (в связи с недостаточностью отечествен­ной практики) остановиться на пока еще мало известном в нашей стране так называемом «телефонном мошенничест­ве» — разновидности информационных преступлений — преступных действий с информационной техникой.

Западная криминалистическая практика показывает, что существует несколько разновидностей таких действий:

а) установка телефона на основе ложной информации о его владельце с целью получения необходимого сервиса без оплаты;

6) кража и подделка телефонных карточек, обеспечиваю­щих безвозмездное получение услуг телефонной связи;

в) неправомерное получение кодов доступа к телефонным линиям с целью бесплатного получения услуг телефон­ной связи;

г) перекодирование сотовых телефонов для бесплатного получения услуг связи;

Астапкина С.М. Криминальные расчеты: уголовно-правовая охр. инвест. М., 1995.

д) неправомерное получение серийных и идентификацион­ных номеров сотовых телефонов для невозможности их идентификации и бесплатного получения услуг связи.

Сотовые телефоны широко используются организован­ными преступными группами, в частности, российскими. Недавние случаи такой преступной деятельности были от­мечены в штате Калифорния. Отделение Секретной служ­бы США арестовало семерых граждан Армении, которые проводили три различные махинации по «торговле теле­фонными звонками» с использованием сотовых телефонов.

В махинации по «торговле телефонными звонками» преступники перепрограммируют микросхемы сотовых те­лефонов и затем продают телефонное время на междуна­родные разговоры. Это расследование началось после по­лучения от телефонной компании «Селлулар-Уан» инфор­мации о том, что в районе г. Фресно орудуют мошенники, торгующие «телефонными звонками» с использованием клонированных сотовых телефонов. Расследование показа­ло, что основная часть звонков была сделана из Лос-Анд­желеса в Россию и Армению. По оценке компании «Сел­лулар-Уан», убытки в результате этой махинации состави­ли свыше 350 000 дол'.

Для «телефонного мошенничества» характерно, что пре­ступные манипуляции с данной техникой часто соверша­ются вместе с преступлениями в области компьютерной информации. Дальнейшее развитие мобильной телефон­ной связи обеспечивает лицам, осуществляющим крими­нальную деятельность с использованием ЭВМ, возмож­ность эффективного доступа к чужим информационным ресурсам. Имея «перекодированный» мобильный телефон, преступник может рассчитывать на анонимность и сравни­тельно беспрепятственно с минимальными затратами по­лучать доступ к компьютерной информации практически без ограничения расстояния.

1.Отчет о командировке профессора кафедры криминалистики и уголовного процесса Московского института МВД России докт. юрид-наук, полковника милиции С.И. Цветкова в Секретную службу Минис­терства финансов США ( г. Вашингтон ) с 29 июля по 13 августа 1995 г.