2.3.1. Признаки вторжения в ЭВМ
Злоумышленники, стремящиеся проникнуть в информационные системы, осуществляют воздействие прежде всего на программно-технические устройства:
управления связью с другими пользователями;
управления устройствами ЭВМ;
управления файлами (копирование, удаление, модификация).
Именно устройства управления связью с другими пользователями являются "воротами", открыв которые можно получить доступ к компьютерной информации. Распространены попытки несанкционированного входа в систему путем проверки всех телефонных номеров организации для определения места присоединения модема или создания специальной программы, автоматически подбирающей код входа в систему. Такая программа, перебирая возможные варианты, "дозванивается" до входа в систему. Иначе и проще поступал известный "хакер" Кевин Митник. Он дозванивался до интересующей его организации и по голосовой связи, представляясь вымышленным именем и должностью, уточнял номер телефонного канала, по которому осуществлялся вход в систему.
2. Преступления в сфере компьютерной информации
Первичное обнаружение признаков неправомерных действий посторонних лиц с компьютерами и информацией осуществляется, как правило, специалистами и пользователями, работающими с конкретными ЭВМ.
Косвенными признаками постороннего вмешательства в работу ЭВМ и доступа к информации, вызывающими подозрения, являются:
а) изменения заданной в предпоследнем сеансе работы
с ЭВМ структуры файловой системы, в том числе:
переименование каталогов и файлов;
изменения размеров и содержимого файлов;
изменения стандартных реквизитов файлов;
появление новых каталогов и файлов и т. п.;,
б) изменения в заданной ранее конфигурации компьютера, в том числе:
изменение картинки и цвета экрана при включении;
изменение порядка взаимодействия с периферийными устройствами (например, принтером, модемом и т. п.);
появление новых и удаление прежних сетевых устройств и др.;
в) необычные проявления в работе ЭВМ; замедленная или неправильная загрузка операционной системы;
замедление реакции машины на ввод с клавиатуры;
замедление работы машины с дисковыми устройствами (загрузка и запись информации);
неадекватные реакции ЭВМ на команды пользователя;
появление на экране нестандартных символов и т. п. Признаки групп "а" и "б" могут свидетельствовать об имевших место фактах неправомерного доступа к ЭВМ или о нарушении правил ее эксплуатации. Признаки группы "в", кроме того, могут являться свидетельством о появлении в ЭВМ вредоносных программ — "вирусов" (далее для удобства изложения будем использовать этот термин).
Помимо очевидных признаков, связанных с демонстрационным эффектом, характерным для конкретного вируса, на поражение программы, могут указывать также следующие: изменение длины командного процессора (COMMAND. СОМ); выдача сообщений об ошибках чтения/записи при чтении информации, при загрузке программ с дискет и других внешних устройств; изменение длины и/или даты создания программы; программа выполняется медленнее, чем обычно; возрастание времени загрузки, зацикливание при загрузке: необъяснимые обращения к дискетам и файлам на защищенных дисках; потеря работоспособности некоторых резидентных программ и драйверов; аварийное завершение ранее нормально функционировавших программ;
необъяснимое "зависание" или перезагрузки системы; уменьшение объема системной памяти или свободной памяти после загрузки; резкое уменьшение объема системной памяти или свободной памяти после загрузки; резкое уменьшение доступной дисковой памяти, хотя файлы не добавлялись и не удалялись; появление новых сбойных кластеров, дополнительных скрытых файлов или других изменений файловой системы.
Стандартной реакцией пользователя в таких случаях является повторный запуск ЭВМ, т. е. выключение и новое включение ЭВМ. При появлении после этого тех же или иных признаков пользователь в зависимости от уровня своей компетентности и установленного владельцем или собственником информационных ресурсов порядка пользования ЭВМ либо пытается устранить проблемы сам, либо обращается к администратору системы.
Понятно, что в этот момент пользователь и администратор системы более заинтересованы в восстановлении работоспособности системы и устранении потерь информации, чем в фиксации признаков противоправных действий с ЭВМ.
Поэтому обстоятельства обнаружения первичных признаков компьютерных преступлений в дальнейшем, в ходе следствия, могут найти отражение лишь в свидетельских показаниях (за исключением случаев, когда имеют физические повреждения устройства ЭВМ).
Обычно первые случаи проникновения в ЭВМ, где хранится не слишком важная информация, посторонних лиц или "вирусов" не вызывает у администратора активных действий. Лишь повторение таких случаев инициирует активный поиск источника проблем и осуществление мер по противодействию.
Именно на этом этапе целесообразно подключение к проведению дознания компетентных органов.
Большинство современных операционных систем обеспечивают режим коллективного доступа к ресурсам отдельной ЭВМ и присоединение локальной ЭВМ к другим ЭВМ, периферийным устройствам и сетям ЭВМ. Как правило, в составе таких операционных систем существуют как средства разделения ресурсов между отдельными пользователями (категориями пользователей), так и средства контроля за действиями конкретного пользователя в области выделенных ему ресурсов со стороны администратора системы.
«все книги «к разделу «содержание Глав: 83 Главы: < 19. 20. 21. 22. 23. 24. 25. 26. 27. 28. 29. >