§ 5. Данные о следах

неправомерного доступа

к компьютерной информации

Следы (см. приложение 7) неправомерного дос­тупа к компьютерной информации, в силу специфики рас­сматриваемого вида преступлений, редко остаются в виде изменений внешней среды. Однако это не означает, что ма­териальных следов не остается вообще. Прежде всего они остаются на магнитных носителях информации и отра-

| хают изменения в хранящейся в них информации (по | сравнению с исходным состоянием). Речь идет о следах • модификации информации (баз данных, программ, тек-

стовых файлов), находящейся на жестких дисках ЭВМ, | дискетах, магнитных лентах, лазерных и магнитоопти­ческих дисках. Кроме того, магнитные носители могут нести следы уничтожения или модификации информа­ции (удаление из каталогов имен файлов, стирание или добавление отдельных записей, физическое разрушение или размагничивание носителей).

Следами могут являться какие-либо рукописные запи­си, распечатки и т. п., свидетельствующие о приготовлении и совершении преступления. Следы могут остаться и на са­мой вычислительной технике (следы пальцев рук, микроча-стицы на клавиатуре, дисководах, принтере и т. д.), а также на магнитных носителях и CD-ROM дисках. Следами, кро­ме того, являются результаты работы антивирусных и тес­товых программ. Данные следы могут быть выявлены при изучении компьютерного оборудования, рабочих записей программистов, протоколов работы антивирусных про­грамм⁸³, а также программного обеспечения. Для выявления подобных следов необходимо участие специалистов.

Следы могут оставаться и при опосредованном (удален­ном) доступе через компьютерные сети, например, через ^\ Internet. Они возникают в силу того, что система, через ко­торую производится доступ, обладает некоторой информа­цией, которую она запрашивает у лица, пытающегося соеди­ниться с другим компьютером. Система определяет элект­ронный адрес, используемое программное обеспечение и его версию. Кроме того, при доступе в сеть обычно запрашива­ется адрес электронной почты, реальное имя и другие дан­ные. Эту информацию запрашивает системный админист­ратор (провайдер) для контроля обращений на его сервер, и это также позволяет идентифицировать личность лица, проникающего в сеть.

Следами, указывающими на посторонний доступ к ин­формации, могут являться:

переименование каталогов и файлов;

изменение размеров и содержимого файлов;

⁸³ Например, результаты работы широко распространенной антивирусной программы «DrWeb» отражаются в файле «report.web», содержимое которого можно легко просмотреть.

изменение стандартных реквизитов файлов⁸⁴, даты и времени их создания;

появление новых каталогов, файлов и пр. Перечисленное может свидетельствовать об изменени­ях в заданной структуре файловой системы, а также об из­менении содержимого файлов.

Кроме того, на неправомерный доступ к компьютерной информации могут указывать изменения в заданной ранее конфигурации⁸⁵ компьютера, в том числе:

изменение картинки и цвета экрана при включении;

изменение порядка взаимодействия с периферийным оборудованием (принтером, модемом и др.);

появление новых и удаление прежних сетевых устройств. На неправомерный доступ к компьютерной информа­ции могут указывать и необычные проявления в работе ЭВМ, как-то:

замедленная или неправильная загрузка операционной системы⁸⁶;

замедленная реакция машины на ввод с клавиатуры;

замедленная работа машины с дисковыми накопителя­ми при записи и считывании информации;

неадекватная реакция ЭВМ на команды пользователя;

появление на экране нестандартных символов, знаков и пр.

⁸⁴ Например, изменение статуса файла (только чтение, ар­хивный, скрытый, системный).

⁸⁵ Под конфигурацией компьютера понимается сочетание свойств отдельных устройств ЭВМ. Программным обеспечени­ем может предусматриваться возможность изменения конфигу­рации. К примеру, «в системе Windows может быть изменена кон­фигурация экрана (цвет, разрешение, расположение пиктограмм и т. п.), конфигурация клавиатуры (изменение значения и фун­кций клавиш и их сочетаний) и др. В системах Windows и MS-DOS существуют специальные файлы настройки конфигурации, считываемые операционной системой при загрузке и восстанав­ливающие «рабочую среду» пользователя, а также «запоминаю­щие» сделанные пользователем в ходе сеанса работы изменения в конфигурации устройств». См.: Крылов В. В. Информацион­ные компьютерные преступления,— М., 1997.— С. 108.

⁸⁶ «Операционная система — специальная программа, обес­печивающая взаимодействие всех устройств ЭВМ между собой и с оператором (пользователем). Это единственная программа, которая хранится в ОЗУ компьютера в течение всего времени ра­боты с ним до выключения питания». См. там ж е.— С. 95.

§ б. Даете о цреджге преступного посягательства

При неправомерном доступе к компьютерной информации предметом преступного посягательства явля­ется компьютерная информация. Понятие «компьютерная информация» и ее признаки нами уже рассматривались в гл. 1 и 2. Напомним, что вообще под информацией пони­маются определенные сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Компьютерная информация, как вид инфор­мации, представляет собой сведения, знания или набор ко­манд (программа), предназначенные для использования в ЭВМ или управления ею, находящиеся в ЭВМ или на ма­шинном носителе — идентифицируемый элемент информа­ционной системы⁸⁷, имеющий собственника, установивше­го правила ее использования⁸⁸.

Компьютерная информация, как разновидность кри­миналистической, имеет специфику, которая сводится к следующему⁸⁹:

1) компьютерная информация, как правило, очень объемна и быстро обрабатываема. Современный компью­тер с процессором Pentium (наиболее распространенный в настоящее время) с жестким диском 1 Гигабайт может хра­нить информацию, равную тысяче 500-страничных томов;

2) компьютерная информация очень легко и, как пра­вило, бесследно уничтожаема. Для уничтожения компьютер­ной информации, равной 500 страницам текста, необходи­мы два нажатия клавиши клавиатуры, после чего через три секунды вся она будет стерта. В то время как для сжига-

⁸⁷ Информационная система — организационно упорядочен­ная совокупность документов (массивов документов) и инфор­мационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информацион­ные процессы (сбор, обработка, накопление, хранение, поиск и распространение информации).

⁰⁸ См.: Крылов В. В. Указ. соч.— С. 23.

⁸⁹ Шурухнов Н. Г., Левченко И. П., Лучин И. Н. Специ­фика проведения обыска при изъятии компьютерной инфор­мации // Актуальные проблемы совершенствования деятельно­сти ОВД в новых экономических и социальных условиях.— М., 1997.- С. 208.

ния 500 страниц машинописного или рукописного текста необходимы специальные условия и значительный проме­жуток времени;

3) компьютерная информация обезличена, т. е., меж­ду ней и лицом, которому она принадлежит, нет жесткой связи;

4) данный вид информации может находиться лишь на машинном носителе (дискете, магнитной ленте, лазерном диске, полупроводниковых схемах и др.), в самой ЭВМ (опе­ративной памяти — ОЗУ);

5) рассматриваемый вид информации может создавать­ся, изменяться, копироваться, применяться (использовать­ся) только с помощью ЭВМ при наличии соответствующих периферийных устройств чтения машинных носителей ин­формации (дисководы, устройства чтения лазерных дисков (CD-ROM), стриммеры, устройства чтения цифровых ви­деодисков, и др.);

6) эта информация легко передается по телекоммуни­кационным каналам связи компьютерных сетей, причем практически любой объем информации можно передать на любое расстояние.

Помимо названного выше можно отметить относитель­ную простоту в пересылке, преобразовании, размножении . компьютерной информации; при изъятии информации, в отличие от изъятия вещи, она легко сохраняется в первоис­точнике; доступ к одному и тому же файлу, содержащему информацию, могут одновременно иметь несколько пользо­вателей.

Предметом преступного посягательства при неправо­мерном доступе к компьютерной информации может яв­ляться конфиденциальная информация. Последней являет­ся документированная информация, доступ к которой огра­ничивается в соответствии с законодательством российской Федерации. Особым видом конфиденциальной информации является информация, составляющая государственную тай­ну. Для сведений, отнесенных к государственной тайне, су­ществуют особые требования по защите, изложенные в ряде ГОСТов, ОСТов и иных нормативных документах.

Кроме того, защищаемая информация должна являться предметом собственности и подлежать защите в соответ­ствии с требованиями правовых документов или требовани­ями, устанавливаемыми собственником информации (соб­ственником информации может быть государство, юриди­

ческое лицо, группа физических лиц, отдельное физичес­кое лицо).

Компьютерную информацию, определяемую как ин­формацию, зафиксированную на машинном носителе или передаваемую по телекоммуникационным каналам в фор­ме, доступной восприятию ЭВМ⁹⁰, можно классифициро­вать по следующим основаниям:

по ее носителям: зафиксированная на магнитной лен­те, дискетах (Floppy Disk), лазерных дисках, магнитоопти­ческих дисках, на жестком диске ЭВМ (Hard Disk), памяти ЭВМ, системы ЭВМ или сети;

по виду: текстовая, графическая, звуковая, программная, файлы данных;

по атрибутам файлов: архивная, только для чтения, си­стемная, скрытая.

Возможны классификации и по другим основаниям.