2.3.1. Признаки вторжения в ЭВМ

Злоумышленники, стремящиеся проникнуть в информационные системы, осуществляют воздействие прежде всего на программно-технические устройства:

управления связью с другими пользователями;

управления устройствами ЭВМ;

управления файлами (копирование, удаление, модификация).

Именно устройства управления связью с другими пользователями являются "воротами", открыв которые можно получить доступ к компьютерной информации. Распространены попытки несанкционированного входа в систему путем проверки всех телефонных номеров организации для определения места присоединения модема или создания специальной программы, автоматически подбирающей код входа в систему. Такая программа, перебирая возможные варианты, "дозванивается" до входа в систему. Иначе и проще поступал известный "хакер" Кевин Митник. Он дозванивался до интересующей его организации и по голосовой связи, представляясь вымышленным именем и должностью, уточнял номер телефонного канала, по которому осуществлялся вход в систему.

2. Преступления в сфере компьютерной информации

Первичное обнаружение признаков неправомерных действий посторонних лиц с компьютерами и информацией осуществляется, как правило, специалистами и пользователями, работающими с конкретными ЭВМ.

Косвенными признаками постороннего вмешательства в работу ЭВМ и доступа к информации, вызывающими подозрения, являются:

а) изменения заданной в предпоследнем сеансе работы

с ЭВМ структуры файловой системы, в том числе:

переименование каталогов и файлов;

изменения размеров и содержимого файлов;

изменения стандартных реквизитов файлов;

появление новых каталогов и файлов и т. п.;,

б) изменения в заданной ранее конфигурации компьютера, в том числе:

изменение картинки и цвета экрана при включении;

изменение порядка взаимодействия с периферийными устройствами (например, принтером, модемом и т. п.);

появление новых и удаление прежних сетевых устройств и др.;

в) необычные проявления в работе ЭВМ;     замедленная или неправильная загрузка операционной системы;

замедление реакции машины на ввод с клавиатуры;

замедление работы машины с дисковыми устройствами (загрузка и запись информации);

неадекватные реакции ЭВМ на команды пользователя;

появление на экране нестандартных символов и т. п. Признаки групп "а" и "б" могут свидетельствовать об имевших место фактах неправомерного доступа к ЭВМ или о нарушении правил ее эксплуатации. Признаки группы "в", кроме того, могут являться свидетельством о появлении в ЭВМ вредоносных программ — "вирусов" (далее для удобства изложения будем использовать этот термин).

Помимо очевидных признаков, связанных с демонстрационным эффектом, характерным для конкретного вируса, на поражение программы, могут указывать также следующие: изменение длины командного процессора (COMMAND. СОМ); выдача сообщений об ошибках чтения/записи при чтении информации, при загрузке программ с дискет и других внешних устройств; изменение длины и/или даты создания программы; программа выполняется медленнее, чем обычно; возрастание времени загрузки, зацикливание при загрузке: необъяснимые обращения к дискетам и файлам на защищенных дисках; потеря работоспособности некоторых резидентных программ и драйверов; аварийное завершение ранее нормально функционировавших программ;

необъяснимое "зависание" или перезагрузки системы; уменьшение объема системной памяти или свободной памяти после загрузки; резкое уменьшение объема системной памяти или свободной памяти после загрузки; резкое уменьшение доступной дисковой памяти, хотя файлы не добавлялись и не удалялись; появление новых сбойных кластеров, дополнительных скрытых файлов или других изменений файловой системы.

Стандартной реакцией пользователя в таких случаях является повторный запуск ЭВМ, т. е. выключение и новое включение ЭВМ. При появлении после этого тех же или иных признаков пользователь в зависимости от уровня своей компетентности и установленного владельцем или собственником информационных ресурсов порядка пользования ЭВМ либо пытается устранить проблемы сам, либо обращается к администратору системы.

Понятно, что в этот момент пользователь и администратор системы более заинтересованы в восстановлении работоспособности системы и устранении потерь информации, чем в фиксации признаков противоправных действий с ЭВМ.

Поэтому обстоятельства обнаружения первичных признаков компьютерных преступлений в дальнейшем, в ходе следствия, могут найти отражение лишь в свидетельских показаниях (за исключением случаев, когда имеют физические повреждения устройства ЭВМ).

Обычно первые случаи проникновения в ЭВМ, где хранится не слишком важная информация, посторонних лиц или "вирусов" не вызывает у администратора активных действий. Лишь повторение таких случаев инициирует активный поиск источника проблем и осуществление мер по противодействию.

Именно на этом этапе целесообразно подключение к проведению дознания компетентных органов.

Большинство современных операционных систем обеспечивают режим коллективного доступа к ресурсам отдельной ЭВМ и присоединение локальной ЭВМ к другим ЭВМ, периферийным устройствам и сетям ЭВМ. Как правило, в составе таких операционных систем существуют как средства разделения ресурсов между отдельными пользователями (категориями пользователей), так и средства контроля за действиями конкретного пользователя в области выделенных ему ресурсов со стороны администратора системы.