§ 3. Признаки воздействия на информацию
Воздействия злоумышленников, направленные на проникновение в информационные системы, осуществляются прежде всего на программно-технические устройства; управления связью с другими пользователями; управления устройствами ЭВМ; управления файлами (копирование, удаление, модификация).
Именно устройства управления связью с другими пользователями являются «воротами», открыв которые можно получить доступ к компьютерной информации. Распространены попытки несанкционированного входа в систему путем проверки всех телефонных номеров организации для определения места присоединения модема или создание специальной программы, автоматически подбирающей код входа в систему. Такая программа, перебирая возможные варианты, «дозванивается» до входа в систему. Иначе и проще поступал известный хакер Кевин Митник. Он Дозванивался до интересующей его организации и по голосовой связи, представляясь вымышленным именем и Должностью, уточнял номер телефонного канала по которому осуществлялся вход в систему.
Первичное обнаружение признаков неправомерных действий с компьютерами и информацией посторонними ли-
Действия по незаконному прослушиванию телефонных переговоров и иных сообщений (радиообмена, пейджинговых, радио, модемных, и перехват информации с иных каналов связи), перехват и регистрация "нформации с технических каналов связи, неправомерный контроль почтовых сообщений и отправлений см. ранее.
Рис. 23. Виды следов преступной деятельности на транзитных машинных носителях
цами осуществляется, как правило, специалистами и пользователями, работающими с конкретными ЭВМ. Косвенными признаками постороннего вмешательства в работу ЭВМ и доступа к информации, вызывающими подозрения, являются:
а) изменения заданной в предпоследнем сеансе работы с ЭВМ структуры файловой системы, в том числе: переименование каталогов и файлов; изменения размеров и содержимого файлов; изменения стандартных реквизитов файлов; появление новых каталогов и файлов и т.п.;
б) изменения в заданной ранее конфигурации' компьютера, в том числе: изменение картинки и цвета экрана при включении; изменение порядка взаимодействия с периферийными устройствами (например, принтером, модемом и т.п.)появление новых и удаление прежних сетевых устройств и др.;
в) необычные проявления в работе ЭВМ: замедленная или неправильная загрузка операционной системы; замедление реакции машины на ввод с клавиатуры; замедление работы машины с дисковыми устройствами (загрузка и запись информации); неадекватные реакции ЭВМ на команды пользователя; появление на экране нестандартных символов и т.п.
Признаки групп а) — б) могут свидетельствовать об имевших место фактах неправомерного доступа к ЭВМ или
1.Термин «конфигурация компьютера» имеет несколько наиболее употребительных значений. Одно из них означает сочетание различных, в том числе периферийных, электронных устройств ЭВМ. Другим сходным значением может считаться состав и сочетание электронных Устройств конкретного компьютера, часто встречающееся в объявлениях об их продаже, например (п скобках — пояснения), Pentium 150 MHz (название процессора и его «скорость»), 1й MB (объем оперативной памяти), HDD 1,3 GB (объем жесткого диска), CD-ROM 8 Speed (установлен 8-скоростной проигрыватель компакт дисков), и т.д. Под этим термином понимается также сочетание свойств отдельных УСТРОЙСТВ и программ ЭВМ. Следует учитывать, что соответствующим Программным обеспечением предусмот
о нарушении правил ее эксплуатации. Признаки группы в) кроме того могут быть свидетельством о появлении в ЭВМ вредоносных программ (ВП).
Помимо очевидных, связанных с демонстрационным эффектом, характерным для конкретной ВП, признаки указывающие на поражение программы могут быть также следующими: изменение длины командного процессора (COMMAND.СОМ); выдача сообщений об ошибках чтения (записи) при чтении информации, при загрузке программ с дискет и других внешних устройств; изменение длины и (или) даты создания программы; программа выполняется медленнее чем обычно; возрастание времени загрузки, зацикливание при загрузке: необъяснимые обращения к дискетам и файлам на защищенных дисках; потеря работоспособности некоторых резидентных программ и драйверов; аварийное завершение ранее нормально функционировавших программ; необъяснимое зависание или перезагрузки системы; уменьшение объема системной памяти или свободной памяти после загрузки; резкое уменьшение объема системной памяти или свободной памяти после загрузки; резкое уменьшение доступной дисковой памяти, хотя файлы не добавлялись и не удалялись; появление новых сбойных кластеров, дополнительных скрытых файлов или других изменений файловой системы'.
Стандартной реакцией пользователя в таких случаях является повторный запуск ЭВМ, т.е. выключение и новое включение ЭВМ. При возникновении после этого тех же или иных признаков пользователь в зависимости от уровня своей компетентности и установленного владельцем или собственником информационных ресурсов порядка пользования ЭВМ либо пытается устранить проблемы сам, либо обращается к администратору системы. Понятно, что в этот момент пользователь и администратор системы более заинтересованы в восстановлении работоспособности системы и устранении потерь информации, чем в фиксации признаков противоправных действий с ЭВМ. Поэтому обстоятельства обнаружения первичных признаков ком-
' Безруков Н.Н. Указ. соч. С. 105.
пьютерных преступлений в дальнейшем могут в ходе следствия найти отражение лишь в свидетельских показаниях (за исключением случаев, когда имеют физические повреждения устройства ЭВМ)' .
Обычно первые случаи проникновения в ЭВМ, где хранится не слишком важная информация, посторонних лиц или ВП не вызывает у администратора активных действий. Лишь повторение таких случаев инициирует активный поиск источника проблем и осуществление мер по противодействию. Большинство современных операционных систем обеспечивают режим коллективного доступа к ресурсам отдельной ЭВМ и присоединение локальной ЭВМ к другим ЭВМ, периферийным устройствам и сетям ЭВМ. Как правило, в составе таких операционных систем существуют как средства разделения ресурсов между отдельными пользователями (категориями пользователей), так и средства контроля за действиями конкретного пользователя в области выделенных ему ресурсов со стороны администратора системы.
• Признаки действия
вредоносных программ
Вызываемые ВП эффекты могут быть классифицированы по следующим основным категориям:
• отказ компьютера от выполнения стандартной функции;
выполнение компьютером действий, не предусмотренных программой;
• разрушение отдельных файлов, управляющих блоков и программ, а иногда и всей файловой системы (в том числе путем стирания файла, форматирования диска, стирания таблицы расположения файлов и др.);
Между тем. целесообразно было бы всем владельцам либо собственникам информационных ресурсов внутренними актами, определяющими порядок действий пользователей в подобных ситуациях, установить обязанность фиксации таких признаков.
• выдача ложных, раздражающих, неприличных или отвлекающих сообщений1;
• создание посторонних звуковых и визуальных эффектов-
• инициирование ошибок или сбоев в программе или операционной системе, перезагрузка или «зависание» программ или систем;
• блокирование доступа к системным ресурсам;
• имитация сбоев внутренних и периферийных аппаратных устройств;
• ускорение износа оборудования или попытки его порчи2.
При возникновении «вирусных» проблем с отдельной ЭВМ, входящей в состав сети, администратор сети обычно пытается локализовать эту ЭВМ с целью недопущения распространения ВП по сети, выявления и ликвидации этой ВП. Одновременно осуществляется поиск источника проникновения ВП в ЭВМ. Наиболее частый случай проникновения «вируса» в систему — работа пользователя с инфицированными дискетами. Поэтому адекватной реакцией администратора системы — физическое прекращение работы всех пользователей системы с дисководами и требование о проверке всех пользовательских дискет. Иногда последнее действие дает результат и по пояснениям добросовестного пользователя, принесшего инфицированную «вирусом» дискету, удается установить, где именно произошло заражение. Учитывая, что с помощью специальных «антивирусных» программ ВП идентифицируются, т.е. устанавливается тип, а иногда и наименование ВП, в
' Так, например, вирус AntiC.1000 считается опасным нерезидентным вирусом. Он заражает *.СОМ и *.ЕХЕ-файлы, причем ЕХЕ- файлы делает неработоспособными. Удаляет файлы •.MS, *.C, *.Н. Если вирусу удается удалить 4 и более таких файлов, то он выводит текст «Ты па С не пиши!!! Это «непечатн."!!! Я вот пишу на Paskale!!!», затем выводит строку «Слушай...» и исполняет мелодию. Другой вирус — Веег.645 Неопасный резидентный вирус. Ничего не уничтожает и не изменяет, но иногда выводит на экран текст «Сейчас бы пивка».
2 Безрукое Н.Н. Указ. соч. С. 106-107.
дальнейшем имеется абстрактная возможность проследить шаг за шагом пути его «доставки» в конкретную ЭВМ.
В случаях «вирусной атаки» следует различать последствия этой атаки и действий по ее отражению. Обычно в подобных случаях используются антивирусные программы, подразделяющиеся на;
• «детекторы» — программы, определяющие, заражена ли программа тем или иным вирусом;
• «ревизоры» — программы, определяющие, внесены ли какие-либо изменения в текст программы или нет;
• «фаги» — программы, вырезающие компьютерные вирусы из зараженных программ;
• «вакцины» — программы, делающие компьютер в целом или отдельные программы невосприимчивыми к тому или иному типу компьютерного вируса;
• «сторожа» — программы, выявляющие попытки выполнить «незаконные» операции с файлами'.
• Действия
с коммуникационным оборудованием
Коммуникационные преступления и противоправные действия с информационным оборудованием наименее изученные в России виды криминальной деятельности. Противоправные действия в области телекоммуникаций включают в себя, как говорилось ранее, действия по незаконному получению информации с технических и радиотехнических средств связи.
Коммуникационные преступления имеют распространение как у нас, так и за рубежом. Однако если в России о них известно пока еще не достаточно, за рубежом коммуникационные преступления превратились в развитую преступную деятельность и правоохранительными органами
Там же. С. 5.
им уделяется большое внимание'. Хотя в старом У^ РСФСР и была установлена ответственность за нарушение тайны переписки, телефонных переговоров и телеграфных сообщений (ст. 135 УК РСФСР), фактически частная методика расследования подобного рода преступлений не существовала. Это было связано главным образом с отсутствием широкого распространения, доступности соответствующей специальной техники и в связи с этим нераспространенностью таких преступлений.
Коммуникационные преступления могут включать:
• противоправные действия по прослушиванию и приборной фиксации информации в виде акустических сигналов — телефонных переговоров и иных сообщений (радиообмена, пейджинговых, радио, модемных, и перехват информации с иных каналов связи), а также усиление сигнала на выходе, его фильтрация и иные специальные методы обработки;
• противоправные действия по визуальному наблюдению и приборное документирование его результатов, в том числе увеличение, уменьшение, наблюдение в условиях плохой видимости и иные специфические методы наблюдения;
• противоправные действия по перехвату и регистрация информации в виде электромагнитных колебаний с технических каналов и аппаратов связи;
противоправный приборный контроль почтовых сообщений и отправлений.
Этот, возможно, неполный обобщенный перечень преступных действий получил широкое распространение, однако в силу ряда исторических, политических и экономических причин, о которых уже было сказано, не нашел
' Так, в Секретной службе Министерства финансов США, которая, как известно, занимается и охраной Президента США, создан в составе подразделения по борьбе с финансовыми преступлениями (Financial Crimes Division) специальный отдел по борьбе с электронными преступлениями (Electronic crimes branch).
адекватного отражения в следственной и судебной практике. О распространенности данного явления в России пока свидетельствует только пресса.
Нами уже приводилось описание обстоятельств противоправного сбора и использования информации о должностных лицах в Рязанской области. Судя же по другой свежей публикации*, такое собирание и коммерческое применение данных распространено и в Москве, имеется ряд негосударственных предприятий, основная функция которых прослушивание эфира столицы. Одна специальная компьютерная программа обеспечивала с помощью радиоприемных устройств постоянную фиксацию пейджинговых сообщений и разговоров по сотовым телефонам, другая их сортировку и запоминание. Для получения данных в компании обращаются жены, проверяющие неверных мужей, бизнесмены для выяснения намерений конкурентов, наемные убийцы для установления маршрутов жертв и т.д. Как поведал источник журналиста его компания контролирует все пейджинговые сообщения и больше половины сотовых переговоров в Москве.
Способом совершения преступлений данной разновидности является неправомерные сбор, поиск, накопление и хранение конфиденциальной информации, которая может относиться к разряду различных тайн, в том числе к личной конфиденциальной информации, конфиденциальной информации юридических лиц, государственной конфиденциальной информации. Указанные действия реализуются с помощью специально приспособленных или адаптированных для преступных целей технических средств.
Для осуществления действий по перехвату информации применяются:
' средства акустического контроля (в том числе направленные, резонансные, лазерные и иные микрофоны, радиозакладки и т.д.);
' устройства перехвата телефонных сообщений;
Блоцкий О. Слухачи. Тайная война радиокомпроматов // Совершенно секретно. 1977. № 9. С. 6-7.
• устройства перехвата радиосообщений;
• системы и устройства видеоконтроля'.
Перехваченная информация может анализироваться группироваться и храниться с использованием специализированного программного обеспечения, установленного на ЭВМ или технических средствах звукозаписи.
Известные факты свидетельствуют, что преступная деятельность подобного рода осуществляется лицами, имеющими профессиональные навыки работы с информационной техникой, нередко прошедших специальное обучение. В литературе отмечалось, что шансы противодействующих друг другу сторон по нейтрализации усилий каждой из них (органы уголовной юстиции и профессиональная криминальная среда) в современных условиях практически уравновесились2. Данная деятельность осуществляется, как правило, из корыстных побуждений, поскольку информация, являясь товаром, имеет высокую ценность.
Так, у задержанного ФСБ Феофанова была обнаружена аппаратура для перехвата и обработки пейджинговых сообщений, позволяющая обрабатывать до 4000 сообщений в час. За каждый поставленный на контроль номер Феофа-нову платили до 300 дол.3
Поскольку активная борьба с преступной деятельностью в данной области пока не ведется, выявленные правоохранительными органами факты носят случайный характер. Существенно, что меры контроля в виде постановления Правительства Российской Федерации от 1 июля 1996 г. № 770 «Об утверждении Положения о лицензировании деятельности физических и юридических лиц, не уполномоченных на осуществление оперативно-розыскной деятельности, связанной с разработкой, производством, реа-
' См. подробнее: Андрианов В.И., Бородин В.А., Соколов А.В. «Шпионские штучки» и устройства для защиты объектов и информации. СПб., 1996; Ярочкин В.И. Указ. соч.
2 Горяинов К.К., Кваша Ю.Ф.. Сурков К. В. Федеральный закон «Об оперативно-розыскной деятельности». Комментарий. М., 1997. С. 222.
3 Горинова Е. Этот прозрачный, прозрачный, прозрачный мир телекоммуникаций // Сегодня. 1997. 31 марта.
лизацией, приобретением в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы специальных технических средств» появилось лишь в 1996г. Важно, что в момент изъятия информации у ее собственника, последний часто не подозревает о совершаемых в отношении него противоправных действиях и о причиненном ему ущербе может судить лишь по последствиям, связанным с распространением этой информации, например, при нарушении неприкосновенности частной жизни (ст. 137 УК РФ), при разглашении сведений, составляющих коммерческую или банковскую тайну (ст. 183УКРФ) и др.
Изъятие информации имеет ряд весьма важных и специфических особенностей. В тех случаях, когда эта информация в момент изъятия содержалась в линиях электросвязи или в физических полях, в которых сведения, составляющие тайну, находят свое отображение в виде символов, образов, сигналов, технических решений и процессов, доказательством действий по ее изъятию в том виде, в котором эта информация была включена в информационные процессы собственником, будут являться лишь копии этой информации, обнаруженные у преступника в ходе расследования. Подтверждением факта изъятия информации будет являться и специальная аппаратура, с помощью которой могло быть осуществлено изъятие.
Для данной разновидности преступлений характерно, что информация в момент завладения ею злоумышленниками. часто не является документированной, и приобретает этот вид уже при ее фиксации в ходе преступных или даже следственных действий.
Важной проблемой является также и оценка в процессе расследования значения полученной в ходе преступной Деятельности аналитической информации. Речь идет о выводах, которые могли быть сделаны на основе анализа Полученной информации. Представим себе, что полученные неправомерно данные не носят сами по себе характера Конфиденциальных. Однако их анализ в совокупности боздает новое знание, которое, безусловно, является для собственника данных конфиденциальным. Такими данными могут быть, например, сведения об отдельных статьях баланса банка. Собранные в совокупности и предоставленные, скажем, гласности, они могут составлять банковскую тайну, разглашение которой может нанести крупный ущерб их собственнику.
Трудным вопросом в ходе расследования, не решаемым без участия специалистов и экспертов, является отнесение конкретного технического средства к категории устройств, обеспечивающих возможность изъятия информации. Поскольку описания и назначения таких устройств не слишком широко известны, криминалистической практике важна проблема их выявления, «опознания» и изъятия в ходе проведения соответствующих следственных действий. Представляется, что при производстве расследования данной разновидности преступлений можно использовать отдельные элементы тактики проведения следственных действий, описанные в разделе о расследовании преступлений в области компьютерной информации.
Противоправные действия с иным
информационным оборудованием
Противоправные действия с информационным оборудованием включают в себя нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети. изготовление в целях сбыта или сбыт поддельных кредитных либо расчетных карт (в случаях, когда такие карты обеспечивают неправомерный доступ к информационному оборудованию), незаконные производство, сбыт или приобретение в целях сбыта специальных технических средств, предназначенных для негласного получения информации; «телефонное мошенничество».
О распространенности конкретных общественно опасных действий с кредитными карточками свидетельствуют данные, опубликованные С.М. Астапкиной:
1) преступные действия с утраченными и похищенными карточками составляют 72,2 %;
2) преступные действия с поддельными карточками — 20,5%;
3) преступные действия с карточками, не полученными законным держателем, — 2.8%,
4) преступные действия с использованием счета — 1,4%;
5) другие формы преступных действий — 1,4%;
Если проанализировать соотношение преступных действий с кредитными карточками по сервисным предприятиям, то выясняется, что чаще всего совершается мошенничество через рестораны — 26.4%; отели (мотели) — 25;
магазины — 20,7; бары — 10,6; телефонные услуги — 7,4, т.е. предприятия коммерческой сети, обслуживающие пластиковые карточки. В этой же публикации имеются криминалистические рекомендации, относительно расследования подобных действий'.
Ответственность за незаконные производство, сбыт или приобретение в целях сбыта специальных технических средств, предназначенных для негласного получения информации, установленная УК РФ пока. по нашим данным, на практике не применялась.
Следует кратко (в связи с недостаточностью отечественной практики) остановиться на пока еще мало известном в нашей стране так называемом «телефонном мошенничестве» — разновидности информационных преступлений — преступных действий с информационной техникой.
Западная криминалистическая практика показывает, что существует несколько разновидностей таких действий:
а) установка телефона на основе ложной информации о его владельце с целью получения необходимого сервиса без оплаты;
6) кража и подделка телефонных карточек, обеспечивающих безвозмездное получение услуг телефонной связи;
в) неправомерное получение кодов доступа к телефонным линиям с целью бесплатного получения услуг телефонной связи;
г) перекодирование сотовых телефонов для бесплатного получения услуг связи;
Астапкина С.М. Криминальные расчеты: уголовно-правовая охр. инвест. М., 1995.
д) неправомерное получение серийных и идентификационных номеров сотовых телефонов для невозможности их идентификации и бесплатного получения услуг связи.
Сотовые телефоны широко используются организованными преступными группами, в частности, российскими. Недавние случаи такой преступной деятельности были отмечены в штате Калифорния. Отделение Секретной службы США арестовало семерых граждан Армении, которые проводили три различные махинации по «торговле телефонными звонками» с использованием сотовых телефонов.
В махинации по «торговле телефонными звонками» преступники перепрограммируют микросхемы сотовых телефонов и затем продают телефонное время на международные разговоры. Это расследование началось после получения от телефонной компании «Селлулар-Уан» информации о том, что в районе г. Фресно орудуют мошенники, торгующие «телефонными звонками» с использованием клонированных сотовых телефонов. Расследование показало, что основная часть звонков была сделана из Лос-Анджелеса в Россию и Армению. По оценке компании «Селлулар-Уан», убытки в результате этой махинации составили свыше 350 000 дол'.
Для «телефонного мошенничества» характерно, что преступные манипуляции с данной техникой часто совершаются вместе с преступлениями в области компьютерной информации. Дальнейшее развитие мобильной телефонной связи обеспечивает лицам, осуществляющим криминальную деятельность с использованием ЭВМ, возможность эффективного доступа к чужим информационным ресурсам. Имея «перекодированный» мобильный телефон, преступник может рассчитывать на анонимность и сравнительно беспрепятственно с минимальными затратами получать доступ к компьютерной информации практически без ограничения расстояния.
1.Отчет о командировке профессора кафедры криминалистики и уголовного процесса Московского института МВД России докт. юрид-наук, полковника милиции С.И. Цветкова в Секретную службу Министерства финансов США ( г. Вашингтон ) с 29 июля по 13 августа 1995 г.
«все книги «к разделу «содержание Глав: 27 Главы: < 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. >