Электромагнитный (пассивный) перехват.


    Не все перехватывающие устройства требуют непосредственного подключения к системе. Данные и информация могут быть перехвачены не только в канале связи, но и в помещениях, в которых находятся средства коммуникации, а также на значительном удалении от них. Так, без прямого контакта можно зафиксировать и закрепить на физический носитель электромагнитное излучение, возникающее при функционировании многих средств компьютерной техники, включая и средства коммуникации. Это физическое явление привлекает особо пристальное внимание специалистов различных профессий из-за все более широкого применения компьютерных систем обработки данных. Ведь работа всех без исключения электронных устройств сопровождается электромагнитным излучением, в результате чего в различных электронных приемных устройствах возникают нежелательные помехи.
    Электронно-лучевая трубка, являющаяся центральным элементом компьютерного устройства для видеоотображения информации на экране (дисплее) излучает в окружающее пространство электромагнитные волны, несущие в себе определенную информацию, данные ("электронный смог"). Волны, излучаемые этим прибором, примерно так же, как при телевизионном вещании, проникают сквозь различные физические преграды с некоторым коэффициентом ослабления, например через стекло оконных проемов и стены строений, а принимать их можно, как показывают данные многочисленных экспериментов, на расстоянии до 1000 м. Как только эти сигналы приняты соответствующей аппаратурой и переданы на другой компьютер (преступника), можно получить изображение, идентичное изображению, возникающему на мониторе "передающего" компьютера, для чего достаточно настроиться на его конкретную индивидуальную частоту. Каждый компьютер возможно идентифицировать по конкретным параметрам: рабочей частоте, интенсивности электромагнитного излучения и т. д. Так, благодаря излучению дисплейных терминалов, можно считывать с них данные при помощи различных технических средств, приобретаемых преступником как легальным путем, так и с использованием различных способов совершения преступлений, в том числе и выделенных нами в первой группе. Например, для осуществления преступных целей иногда достаточно смонтировать приемную антенну по типу волнового канала и имеющую более острую, чем у обычной дипольной антенны, несимметричную диаграмму направленности. После чего разработать (или использовать готовую) программу расшифровки "снятых" данных. Изготовление и подбор указанных орудий подготовки преступления могут быть осуществлены любыми лицами, имеющими средний профессиональный уровень подготовки по соответствующим специальностям.
    Впервые дистанционный перехват информации с дисплея компьютера открыто был продемонстрирован в марте 1985 г. в Каннах на Международном конгрессе по вопросам безопасности ЭВМ. Сотрудник голландской телекоммуникационной компании РТТ Вим-Ван-Эк шокировал специалистов тем, что с помощью разработанного им устройства из своего автомобиля, находящегося на улице, "снял" данные с экрана дисплея персонального компьютера, установленного на восьмом этаже здания, расположенного в ста метрах от автомобиля.
    При совершении компьютерного преступления указанным способом преступниками в ходе осуществления криминальной "операции" используются приемы и методы оперативно-розыскной деятельности, в том числе и специальная техника. Например, различные сканирующие устройства, функционирующие на базе приемников электромагнитных сигналов типа AR-3000A, ICOM 7100/9000 и STABO XR-100 зарубежного производства, позволяющие принимать и демодулировать радиосигнал в широком диапазоне частот (стоимостью около 400 долл. США).
    С исследовательской точки зрения интересен тот факт, что специалистам во время практических экспериментов удавалось принимать информацию одновременно с 25 дисплейных терминалов, расположенных в непосредственной близости друг от друга и разделять (сортировать) данные, выведенные на каждый экран из общего "электронного шума". По мнению экспертов, теоретически возможно извлекать данные одновременно даже с 50 терминалов. Иногда преступники подключают к своему телевизионному приемнику видеомагнитофон (в обычном бытовом или портативном варианте исполнения), который позволяет им зафиксировать и накопить необходимую информацию на физическом носителе с целью ее дальнейшего анализа в стационарных условиях.

Аудиоперехват или снятие информации по виброакустическому каналу.


    Данный способ совершения преступления является наиболее опасным и достаточно распространенным. Защита от утечки информации по этому каналу очень сложна. Поэтому рассмотрим его более детально.
    Этот способ съема информации имеет две разновидности: заходовую (заносную) и беззаходовую. Первая заключается в установке инфинитивного телефона (подслушивающего устройства, "таблетки", "клопа", "жучка" и т. п.) в аппаратуру средств обработки информации, в различные технические устройства, на проводные коммуникационные линии (радио, телефон, телевизионный кабель, охранно-пожарной сигнализации, электросеть и т. п.), а также в различные конструкции инженерно-технических сооружений и бытовых предметов, находящихся на объекте с целью перехвата разговоров работающего персонала и звуковых сигналов технических устройств (определение номера вызываемого абонента АТС и т. п.).
    Установка "клопа" или иной разведывательной аппаратуры на объект возможна тремя способами. В первом - необходимо скрытное или легендированное проникновение в помещение; во втором случае - радиопередающая и звукозаписывающая аппаратура устанавливается во время постройки или ремонта помещения; в третьем, приобретается или заносится самой потерпевшей стороной (монтируется в приобретаемую аппаратуру или предметы). Например, только в 1993 г. по данным отечественной фирмы "Анкорт", специализирующейся в области защиты информации, на территории России было продано свыше 70000 специальных устройств перехвата информации зарубежного производства стоимостью от 500 до 2000 долл. США. Наиболее часто закупалась следующая специальная техника:
    - спецмикрофоны с рабочим диапазоном свыше 400 МГц (заносные и закладные, с прикрытием сигнала и без, с возможным дистанционным управлением);
    - диктофоны с длительной записью различных модификаций;
    - цифровые адаптивные фильтры типа АФ-512, DAC-256 и DAC-1024, позволяющие проводить обработку зашумленных речевых сигналов в реальном масштабе времени с эффективным подавлением помех.
    Обнаружить аппаратуру съема информации крайне трудно и технически сложновыполнимо, так как она, обычно, очень хорошо камуфлируется преступником (под микросхему, зажигалку, булавочную головку и т. д.) и может устанавливаться как внутри зоны контролируемого помещения, так и за ее пределами, а в ряде случаев - на значительном расстоянии.
    Вторая, беззаходовая разновидность, наиболее опасна, (заключается она в следующем. Акустические и вибрационные датчики съема информации устанавливают на инженерно-технические конструкции, находящиеся за пределами охраняемого помещения, из которого необходимо принимать речевые сигналы. Выделяют следующие типовые конструкции инженерно технических сооружений, по которым передаются речевые сигналы: несущие стены зданий, перегородки, перекрытия, окна, оконные рамы, двери и дверные коробки, вентиляционные воздуховоды, короба коммуникационных систем, трубопроводы. При этом необязательно проникать внутрь помещения, достаточно приблизиться к нему снаружи. Датчик устанавливается либо непосредственно, либо дистанционно. В последнем, используются различные выстреливающие устройства и специальное автоматическое крепление (захват) для удержания датчика на конструкции.
    Иногда на более высокопрофессиональном уровне преступником могут использоваться направленные спецмикрофоны и дорогостоящие лазерные устройства, предназначенные для дистанционного снятия речевой информации через открытые сквозные проемы (двери, окна, форточки, мусора - и воздухопроводы и т. п.) и оконные (автомобильные) стекла. Естественно, что при использовании подобной аппаратуры, которая помещается в маленьком дипломате, чемодане, коробке, установка, датчика на объект не требуется.

Компьютерные вирусы.


  *Данная статья была написана в 2001 году, но принцип работы компьютерных вирусов актуален и по сей день.

  С программно-технической точки зрения под компьютерным вирусом понимается специальная программа, способная самопроизвольно присоединяться к другим программам ("заражать" их) и при запуске последних выполнять различные нежелательные действия: порчу файлов и каталогов (при файловой организации программной среды), искажение и стирание (уничтожение) данных и информации, переполнение машинной памяти и создание помех в работе ЭВМ. Такие программы обычно составляются (исполняются, пишутся) преступниками на языке программирования "ассемблер" и не выдают при своей работе никаких аудиовизуальных отображений в компьютерной системе. Переносятся при копировании информации и ценных данных с одного материального носителя на другой, либо по компьютерной сети с использованием средств телекоммуникации. С уголовно-правовой точки зрения, согласно ст. 273 Уголовного кодекса Российской Федерации, под компьютерным вирусом следует понимать вредоносную программу для ЭВМ, определение которой было приведено нами выше.
    В самом общем виде этот способ совершения компьютерных преступлений является ничем иным, как логической модернизацией способа "троянский конь", выполняющего алгоритм, например типа "сотри все данные этой программы, перейди в следующую и сделай то же самое". Этот способ широко распространен по своему применению. Например, как свидетельствуют материалы одного уголовного дела, сотрудник Игналинской АЭС из корыстных побуждений разработал и использовал в информационно-вычислительных системах первого и второго блоков атомной электростанции несанкционированные программные модули, что привело к искажению информации, поступающей на средства отображения рабочего места управления атомным реактором, повлекшему за собой возникновение аварийной (нештатной) ситуации, последствия которой не нуждаются в пояснении. Рассмотрим данный способ более подробно.
    В настоящее время в мире существует уже более 2000 вирусов, и это только для одной, наиболее популярной и широко используемой на практике операционной системы МS-DOS. Количество вирусов постоянно увеличивается. Однако для понимания способа совершения преступления все вирусы можно подробно классифицировать по определенным основаниям и разбить на несколько обобщенных групп. Нами выделяются:
    1) загрузочные (системные) вирусы (поражающие загрузочные секторы машинной памяти);
    2) файловые вирусы (поражающие исполняемые файлы, в том числе COM, EXE, SYS, ВАТ - файлы и некоторые другие);
    3) комбинированные вирусы.
    Заражение загрузочными вирусами происходит при загрузке компьютера с носителя машинной информации, содержащего вирус. Заражение может произойти как случайно, например, если потерпевший сам, не подозревая о наличии вируса на носителе, запустил с него компьютерную систему, так и преднамеренно, если преступник знал о его существовании и последствиях, которые наступят после запуска системы с вирусоносителя. Причем носитель машинной информации может и не быть системным, т.е. не содержать файлов операционной системы. Заразить носитель достаточно просто.
    На него вирус может попасть, если пользователь просто вставил его в приемное устройство (дисковод) зараженного компьютера и, например, прочитал его оглавление. При этом вирус автоматически внедряется в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий системный загрузчик винчестера (Master Boot Reckord - MBR), т.е. первый сектор логического диска (на флоппи-дисках он совпадает с первым физическим сектором), который содержит программу-загрузчик, отвечающую за запуск операционной системы, необходимой для поддержания дружественного интерфейса пользователя с ЭВМ. Сектором магнитного диска (минимальной единицей его разбиения) называется участок дорожки, образующийся при форматировании диска и являющийся минимальной физически адресуемой единицей памяти.
    Файловые вирусы заражают компьютер, если пользователь запустил на своей ЭВМ программу, уже содержащую вирус. В этом случае возможно заражение других исполняемых файлов. Рассмотрим этот процесс более детально.
    Многие вирусы обладают свойством переходить через коммуникационные сети из одной системы в другую, с одного компьютера на другой, распространяясь как вирусное заболевание (сетевые вирусы). Выявляется вирус не сразу: первое время компьютер "вынашивает инфекцию", поскольку для маскировки этот способ нередко используется преступником в комбинации с приемами "логической" или "временной бомбы", рассмотренных выше.
    "Вирус" как бы наблюдает за всей обрабатываемой в системе потерпевшего информацией и может перемещаться вместе с ней, благодаря ее постоянному движению. Начиная действовать (перехватывая управление средствами компьютерной техники "на себя"), вирус дает команду компьютеру, чтобы тот записал зараженную версию программы. После этого он возвращает программе управление. Потерпевший ничего не заметит, т.к. его компьютерная система находится в состоянии "Здорового носителя вируса". Обнаружить последнее может только специалист, обладающий чрезвычайно развитой программистской интуицией, поскольку никакие нарушения в работе средств компьютерной техники в данный момент активно не проявляют себя. Далее, через некоторое время происходит нарушение нормального режима функционирования СКТ: компьютер отказывается нормально загружаться или не загружается совсем, по неизвестным причинам исчезают из памяти файлы, некоторые программные средства самопроизвольно стираются, на экране дисплея, например, начинают опадать или геометрически перемешиваться буквы и символы (вирус "листопад", "змейка", "червячок", "мозаика"), исчезают системные файлы или файлы с каким-либо определенным расширением (например, .com, .bat, .exe, .dbf, .txt и т.д.), либо резко на 180 градусов переворачивается изображение, периферийные устройства отказывают в работе, неожиданно на экране дисплея появляется реклама чего-либо или светящаяся точка ("итальянский попрыгунчик") и т.д. и т.п.
    Вопросами научного изучения компьютерных вирусов в настоящее время занимается специально созданная новая наука - компьютерная вирусология. С точки зрения этой науки все программы-вирусы подразделяются на две группы, имеющие подгрупповое деление, а именно:
    1). по способу заражения средств компьютерной техники вирусы подразделяются на резидентные и нерезидентные;
    2). по алгоритму их строения и обнаружения на "вульгарный вирус" и "раздробленный вирус".
    Все запускаемые на выполнение программные средства делятся на резидентные - TSR (Terminate and Stay Resident) и нерезидентные - NTSR (Not Terminate and Stay Resident). Резидентной называется программа, которая по окончании работы оставляет свой код или часть кода в оперативной памяти: программно адресуемая память, быстродействие которой соизмеримо с быстродействием центрального процессора и предназначенная для хранения исполняемых в данный момент программ и оперативно необходимых для этого данных. Одновременно с этим операционная система резервирует необходимый для работы этой программы участок памяти. После этого резидентная программа работает параллельно другим программам.
    Доступ к резидентной программе осуществляется либо через подмену прерываний, либо непосредственной адресацией. Нерезидентной называется программа, которая при завершении работы не оставляет своего кода или его части в оперативной памяти. При этом, занимаемая ею память освобождается. Так как вирус представляет собой программное средство, то он обладает этими свойствами.
    Резидентный вирус при "инфицировании" программных средств оставляет в оперативной памяти компьютерной системы потерпевшей стороны свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них. Резидентный вирус находится в памяти и является активным вплоть до выключения или перезагрузки компьютерной системы. В свою очередь, нерезидентный вирус не заражает оперативную память и является активным ограниченное время, а затем "погибает", в то время как резидентный активизируется после каждого включения компьютерной системы. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не имеют алгоритма распространения вируса. Такие вирусы являются нерезидентными.
    Программа "вульгарного вируса" написана единым блоком и достаточно легко обнаруживается специалистами в самом начале ее активных проявлений с помощью набора стандартных антивирусных программных средств. В случае же проведения программно-технической экспертизы эта операция требует, в частности, очень тщательного анализа всей компьютерной системы на предмет обнаружения в ней посторонних программных продуктов или их компонентов.
    Программа "раздробленного вируса" разделена на части, на первый взгляд не имеющие между собой логической связи. Эти части содержат инструкции, которые указывают компьютеру, как собрать их воедино, в какой последовательности и в каком случае или в какое время воссоздать "вирус" и когда размножать его (принцип "троянского коня"). Таким образом, вирус почти все время находится в "распределенном" состоянии, лишь на короткое время своей работы собираясь в единое целое. Как правило, создатели "вируса" указывают ему число репродукций, после достижения которого он либо вымирает, либо становится агрессивным и совершает заранее заданные незаконные манипуляции.
    Наиболее часто встречаются следующие вирусные модификации.
    Вирусы-"спутники" (companion)
    - это вирусы, не изменяющие программные файлы. Алгоритм работы этих вирусов состоит в том, что они создают для запускающих командных файлов файлы-спутники, имеющие то же самое имя, но расширением более высокого командного порядка. При запуске такого файла ЭВМ первым запускает файл, имеющий самый высокий уровень порядка, т.е. вирус, который затем запустит и командный файл.
     
    Вирусы-"черви" (worm)
    - вирусы, которые распространяются в компьютерной сети и, так же как и вирусы -"спутники", не изменяют "родительские" программы, файлы или секторы на дисках. Они проникают в память компьютера из компьютерной сети и, вычисляя адреса других компьютеров, рассылают по этим адресам свои копии. Такие вирусы иногда создают рабочие файлы на дисках операционной системы, но могут и вообще не обращаться к ресурсам вычислительной системы (за исключением оперативной памяти).
    "Паразитические"
    - все вирусы, которые при распространении своих копий обязательно изменяют содержимое программ, файлов или дисковых секторов. В эту группу относятся все вирусы, которые не являются "червями" или "спутниками".
    "Студенческие"
    - крайне примитивные простые вирусы, содержащие большое число ошибок в алгоритме их строения (безграмотно написанные) и вызывающие локальные "эпидемии". Как правило, такие вирусы не получают широкого распространения, быстро обнаруживаются и уничтожаются однако, успев причинить вред в районе своего размножения.
    "Stealth"
    - вирусы (вирусы-невидимки или маскирующиеся вирусы), представляющие собой весьма совершенные программы, которые при исправлении пораженных программ подставляют вместо себя здоровые программы или их части. Кроме того, эти вирусы при обращении к программам используют достаточно оригинальные алгоритмы, позволяющие "обманывать" антивирусные программы. Эти алгоритмы, скрывающие (маскирующие) присутствие вируса на зараженной машине, нельзя обнаружить, например, просто просматривая файлы на диске. Их создатели применяют весьма разнообразные способы маскировки, начиная от простейшего перехвата более 20 функций DOS (вирус "V-4096") и кончая маскировкой на уровне дискового драйвера, на уровне прерывания Int 13h (вирус -"EXE-222") или даже на уровне контроллера винчестера. Заметим, что первые вирусы не обладали такими возможностями и их легко можно было обнаружить при визуальном просмотре исполняемых файлов в зараженной компьютерной среде, применение даже простейших антивирусных средств немедленно останавливало распространение таких вирусов, и они в последующем перестали использоваться преступниками. Появление антивирусных программ привело к новому витку в развитии технологии написания вирусов, где появление вирусов-невидимок стало естественным шагом в таком развитии. Вирусы, использующие приемы маскировки, нельзя увидеть средствами операционной системы. Например, если просмотреть зараженный файл, нажав клавишу F3 в системе Norton Commander, то на экране будет показан файл, не содержащий вируса. Это происходит потому, что вирус активно работающий вместе с операционной системой, при открытие файла на чтение немедленно удалил свое тело из зараженного файла, а при закрытии файла заразил его опять. Это только один из возможных приемов маскировки, существуют и другие. Таким же способом маскируются и загрузочные вирусы. При попытке прочитать зараженный BOOT сектор они подсовывают оригинальный, незараженный.
    Способность к маскировке оказалась слабым местом Stealcth-вирусов, позволяющим легко обнаружить их наличие в программной среде компьютера. Достаточно сравнить информацию о файлах, выдаваемую DOS, с фактической, содержащейся на диске: несовпадение данных однозначно говорит о наличии вируса, т.е. способность к маскировке демаскирует эти вирусы.
    Вирусы-"призраки" (мутанты)
    - достаточно трудно обнаруживаемые самокодирующиеся вирусы, не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же вируса "призрака" не будут иметь ни одного совпадения. Это достигается не только шифрованием основного тела вируса, но и модификациями кода программы-расшифровщика. Иными словами, вирусы-мутанты содержат в себе алгоритмы шифровки-расшифровки, обеспечивающие то, что два экземпляра одного и того же вируса, заразившие два файла, не имеют ни одной повторяющейся цепочки байт (ни одного совпадения)! Проблема поиска и удаления этого и предыдущего классов вирусов заставляют вирусологов отходить от классических антивирусных программных средств, анализирующих сигнатуры известных вирусов, и искать новые методы борьбы с ними.
    Комбинированные вирусы
    - вирусы, имеющие отдельные признаки вирусов, рассмотренных выше, в определенной алгоритмической совокупности. Например, к той группе относятся вирусы : OneHalf ("половинка") и его разновидности OneHalf.3544 и OneHalf.3577, которые представляют собой категорию очень опасных полиморфных файлово-загрузочных стелсвирусов.
    Специалисты приходят к единому мнению о том, что, по-видимому, в перспективе будут появляться принципиально новые виды "вирусов". Например, такие, как "троянский конь" I электронных цепях вирусного типа. В данном случае будет иметь место уже не вирусное программное средство, а вирусное микроэлектронное изделие, которым является интегральная микросхема ("чип"), которая является неотъемлемой частью любого компьютерного устройства. Конечно, ничто не может непосредственно "заразить" микросхему, но ведь можно "заразить" компьютерную систему, используемую для программирования и серийного производства микросхем.
    Рассмотрим более детально пути распространения компьютерного "вируса". Они основываются на способности "вируса" использовать любой носитель передаваемых данных в качестве "средства передвижения", т. е. с начала заражения имеется опасность, что ЭВМ может создать большое число средств передвижения и в последующие часы вся совокупность файлов и программных средств окажется зараженной. Таким образом, дискета или магнитная лента, перенесенная на другие ЭВМ, способны "заразить" их. И наоборот, "заражение" происходит, когда "здоровая" дискета или магнитная лента вводится в "зараженный" компьютер. Удобными для распространения обширных "эпидемий" оказываются телекоммуникационные сети. Достаточно одного контакта, чтобы персональный компьютер был "заражен" или "заразил" тот, с которым контактировал. Однако самый частый способ "заражения" - это копирование программ, что является обычной практикой у пользователей персональных компьютеров. Скопированными оказываются и "зараженные" программы.
    Как правило, с первой компьютерной "эпидемией" многие авторы научно-популярной литературы связывают имя Роберта Морриса, студента Корнельского университета США, в результате действий которого "зараженными" оказались важнейшие компьютерные сети восточного и западного побережий США. "Эпидемия" охватила более 6 тыс. компьютеров и 70 компьютерных систем. Пострадавшими оказались, в частности, компьютерные центры НАСА, Ливерморской лаборатории ядерных исследований, Гарвардского, Питсбургского, Мэрилендского, Висконсинского, Калифорнийского, Стэндфордского университетов. Однако изобретателем "вируса" является другой человек. В августе 1984 г. сотрудник Лехайского университета (США) Фрэд Коуэн, выступая на VII конференции по безопасности информации, рассказал про свои опыты с тем, что один его друг назвал "компьютерным вирусом". Когда началось практическое применение "вирусов", неизвестно, поскольку банки, страховые компании, предприятия, учреждения, организации, обнаружив, что их компьютеры "заражены вирусом" и опасаясь потери клиентов, не допускали при этом утечки информации и не обращались в правоохранительные органы.
    В заключение отметим, что способ совершения преступлений посредством компьютерного вируса может применяться преступником как самостоятельно, так и в составе комплексных способов, которые будут рассмотрены нами далее по тексту. В последнем случае при сочетании этого способа с другими он всегда будет выполнять роль маскирующего фактора в преступлении с целью его сокрытия (как, например, поджог хранилища материальных ценностей после их частичного или полного похищения).

Преступления направленные на получение несанкционированного доступа к средствам компьютерной техники.

 

К третьей группе способов совершения компьютерных преступлений нами относятся действия преступника, направленные на получение несанкционированного доступа к средствам компьютерной техники. К ним относятся нижеследующие:

    1. "За дураком". Этот способ часто используется преступниками для проникновения в запретные зоны - как производственные помещения, так и электронные системы.
    Типичный прием физического проникновения хорошо известен специалистам, занимающимся вопросами совершенствования оперативно-розыскной деятельности. Он заключается в следующем: держа в руках предметы, связанные с работой на компьютерной технике (элементы маскировки), нужно ожидать кого-либо, имеющего санкционированный доступ, возле запертой двери, за которой находится предмет посягательства. Когда появляется законный пользователь, остается только войти внутрь вместе с ним или попросить его помочь донести якобы необходимые для работы на компьютере предметы. Этот вариант способа рассчитан на низкую бдительность сотрудников организации и лиц, ее охраняющих. При этом преступниками может быть использован прием легендирования.
    На таком же принципе основан и электронный вариант несанкционированного доступа. В этом случае он используется преступником из числа внутренних пользователей путем подключения компьютерного терминала к каналу связи через коммуникационную аппаратуру (обычно используются так называемые "шнурки - шлейф", изготовленные кустарным способом, либо внутренняя телефонная проводка) в тот момент времени, когда сотрудник, отвечающий за работу средства компьютерной техники, выбранной в качестве предмета посягательства, кратковременно покидает свое рабочее место, оставляя терминал или персональный компьютер в активном режиме.

    2. "За хвост". Этот способ съема информации заключается в следующем.
    Преступник подключается к линии связи законного пользователя (с использованием средств компьютерной связи) и терпеливо дожидается сигнала, обозначающего конец работы, перехватывает его "на себя", а потом, когда законный пользователь заканчивает активный режим, осуществляет доступ к системе. Этот способ технологически можно сравнить с работой двух и более неблокированных телефонных аппаратов, соединенных параллельно и работающих на одном абонентном номере: когда телефон "А" находится в активном режиме, на другом телефоне "Б" поднимается трубка, когда разговор по телефону "А" закончен и трубка положена, продолжается разговор с телефона "Б". Подобными свойствами обладают телефонные аппараты с функцией удержания номера вызываемого абонента, телефон или персональный компьютер.

    3. "Компьютерный абордаж". Данный способ совершения компьютерного преступления осуществляется преступником путем случайного подбора (или заранее добытого) абонентного номера компьютерной системы потерпевшей стороны с использованием, например, обычного телефонного аппарата. После успешного соединения с вызываемым абонентом и появления в головном телефоне преступника специфического позывного сигнала, свидетельствующего о наличии модемного входа/выхода на вызываемом абонентном номере, преступником осуществляется механическое подключение собственного модема и персонального компьютера, используемых в качестве орудия совершения преступления, к каналу телефонной связи. После чего преступником производится подбор кода доступа к компьютерной системе жертвы (если таковой вообще имеется) или используется заранее добытый код. Иногда для этих целей преступником используется специально созданная самодельная, либо заводская (в основном, зарубежного производства) программа автоматического поиска пароля, добываемая преступником различными путями. Алгоритм ее работы заключается в том, чтобы, используя быстродействие современных компьютерных устройств, перебирать все возможные варианты комбинаций букв, цифр и специальных символов, имеющихся на стандартной клавиатуре персонального компьютера, и в случае совпадения комбинации символов с оригиналом производить автоматическое соединение указанных абонентов. Самодельная программа автоматического поиска пароля достаточно проста в плане ее математической и программной реализации. Иногда преступниками специально похищается носитель машинной информации с уже имеющимся паролем доступа, как это видно из примера, приведенного нами при рассмотрении первой группы способов совершения преступления. После удачной идентификации парольного слова преступник получает доступ к интересующей его компьютерной системе.
    Стоит обратить внимание на то, что существует множество программ "взломщиков", называемых на профессиональном языке HACKTOOLS (инструмент взлома). Эта программы работают по принципу простого перебора символов, которые возможно ввести через клавиатуру персонального компьютера. Но они становятся малоэффективными в компьютерных системах, обладающих программой - "сторожем" компьютерных портов (данные средства будут подробно рассмотрены нами в четвертой главе работы), ведущей автоматический протокол обращений к компьютерной системе и отключающей абонентов в случае многократного некорректного доступа (набор ложного пароля). Поэтому в последнее время преступниками стал активно использоваться метод "интеллектуального перебора", основанный на подборе предполагаемого пароля, исходя из заранее определенных тематических групп его принадлежности. В этом случае программе - "взломщику" передаются некоторые исходные данные о личности автора пароля, добытые преступником с помощью других способов совершения компьютерного преступления. По оценкам специалистов, это позволяет более чем на десять порядков сократить количество возможных вариантов перебора символов и на столько же - время на подбор пароля. Как показывают многочисленные эксперименты, вручную с использованием метода "интеллектуального перебора" вскрывается 42% от общего числа паролей, составленных из 8 символов (стандартная величина названия файла).
    В ходе проникновения в информационные сети преступники иногда оставляют различные следы, заметив которые подвергшиеся нападению субъекты нападения меняют систему защиты информации. В ответ на это некоторые преступники намеренно сохраняют следы в первом персональном компьютере информационной сети, вводя таким способом в заблуждение сотрудников служб компьютерной безопасности, которые начинают считать, что имеют дело с неопытным любителем-дилетантом. Тем самым теряется бдительность при контроле за другими системами, к которым преступники получают последующий доступ с помощью применения другого способа.
    По существу, "компьютерный абордаж" является подготовительной стадией компьютерного преступления.

"Асинхронная атака".


    Такой способ совершения преступления очень сложен и требует хорошего знания операционной системы. Операционная (мониторная) система (operating system (OS)) это комплекс программных средств, обеспечивающих управление информационными процессами при функционировании компьютерной системы. Основная задача операционной системы состоит в обеспечении максимальной производительности компьютерной системы путем реализации различных кибернетических функций: планирования, управления, коммуникации и т. д.
    В зависимости от модели и специфики компьютера используют те или иные операционные системы. Организация последних настолько сложна, что они не могут быть созданы одним, даже весьма квалифицированным программистом. Их разработкой занимаются авторские коллективы профессиональных программистов, иногда в течение нескольких лет. Поэтому столь сложные программные продукты практически ни при каких условиях невозможно проверить на предмет достоверности их работы и логической завершенности. Иначе говоря, особенности функционирования операционной системы при всех условиях остаются неизвестными. Этим и пользуются преступники при организации "асинхронных атак".
    Используя асинхронную природу функционирования операционной системы, преступник заставляет последнюю работать при ложных условиях, из-за чего управление обработкой информации частично или полностью нарушается. Если преступник, совершающий "асинхронную атаку", достаточно искусен, то он может использовать данную ситуацию, чтобы внести изменение в операционную систему или направить ее функционирование на выполнение своих корыстных целей, причем вне операционной системы эти изменения не будут заметны. Один из простейших способов "асинхронной атаки" основан на том, что при обработке любого шага задания возможно обнаружение ошибок, допущенных при программировании. В этом случае выполнение задачи заканчивается, и на печатающее устройство или дисплей выводится сообщение об ошибке: происходит процесс автоматического прерывания (interrupt), представляющий собой совершение операции процессором, при которой регистрируется его состояние, предшествующее прерыванию, и устанавливается новое его состояние.
    То есть в компьютерной системе активируется сигнал, по которому процессор прерывает выполнение текущей последовательности команд и передает управление на программу - обработчик прерывания. После устранения ошибки вся процедура прохождения задачи повторяется. Различают 23 основных прерывания в работе средств компьютерной техники. Например:
    1) аппаратное прерывание (hardware interrupt) - заключается в прерывании по ошибке при выполнении команды или в прерывании от внешнего устройства;
    2) асинхронное прерывание (asynchronous system trap) - прерывание, возникновение которого не привязано к определенной точке программы: внешнее прерывание и прерывание, связанное с работой другого процесса;
    3) программное прерывание (software interrupt) прерывание, вызванное управляющей машинной командой: причинами прерывания могут быть ошибки в программе (например, деление на нуль, переполнение, нарушение защиты);
    4) внешнее прерывание (external interrupt) - прерывание, инициируемое внешним устройством, не входящим в состав центрального процессора; прерывание от внешнего устройства.
    Объемные, хорошо спроектированные программы обычно устроены так, что через определенное время обработки задачи соответствующий этап ее прохождения со всей вспомогательной информацией записывается на физический носитель. Тогда в случае ошибки нет необходимости задачу "прогонять" сначала; это делается лишь с последнего безошибочного этапа. "Асинхронная атака" здесь состоит в обеспечении доступа (санкционированного и несанкционированного) к таким промежуточным записям и внесении в них различных изменений, а также в намеренном создании ошибки (чтобы решение вернулось к прежнему этапу и включало в себя произведенные изменения). Это лишь простейшие варианты использования "асинхронной атаки". Для квалифицированного специалиста - преступника выбор здесь достаточно широк.
    Иногда, чтобы внести изменения в операционную систему, преступникам приходится похищать физические носители машинной информации и работать с ними на другом персональном компьютере, а затем тайно возвращать их на место. Иными словами, этот способ совершения преступления основан на совмещении команд двух и более пользователей, чьи программы ЭВМ выполняет одновременно (параллельно) и одной из которых является программа преступника.