Особенности расследования преступлений в сфере компьютерной информации

Можно выделить следующие типичные следственные ситуации. Компьютерное преступление произошло:

в условиях очевидности — характер и его обстоятельства известны (например, какой вирус и каким способом введен в компьютерную сеть) и выявлены потерпевшим собственными силами, преступник известен и задержан (явился с повинной);

известен способ совершения, но механизм преступления в полном объеме неясен (например, произошел несанкционированный доступ к файлам законного пользователя через Интернет, через слабые места в защите компьютерной системы), преступник известен, но скрылся;

налицо только преступный результат (например, дезорганизация компьютерной сети банка), механизм преступления и преступник неизвестны.

В первом случае необходимо установить, имелась ли причинно-следственная связь между несанкционированным проникновением в компьютерную систему и наступившими последствиями (сбоями в работе, занесением компьютерного вируса и проч.), определить размеры ущерба.

Во втором случае первоочередной задачей наряду с указанными выше являются розыск и задержание преступника.

В наименее благоприятной третьей ситуации необходимо установить механизм преступления.

Особенности тактики следственных действии, направленных на собирание компьютерной информации. Перед началом обыска (осмотра) принимаются меры к предотвращению повреждения или уничтожения информации:

осуществляется контроль за бесперебойным электроснабжением ЭВМ в момент осмотра;

удаляются все посторонние лица с территории, на которой производится обыск (осмотр), и прекращается доступ на нее;

оставшиеся на территории лица лишаются доступа к средствам вычислительной техники и к источникам электропитания;

эвакуируются находящиеся на объекте взрывчатые, легковоспламеняющиеся, едкие вещества, посторонние источники излучения и другие предметы и аппаратура, способные привести к аварии ЭВМ.

Обыск (осмотр) целесообразно производить с участием специалиста в области судебной компьютерно-технической экспертизы и специалиста-криминалиста, поскольку на компьютерных средствах зачастую оказываются следы рук, а также обнаруживаются рукописные и печатные документы. Желательно в качестве понятых приглашать квалифицированных пользователей ЭВМ.

Не следует ограничиваться поиском информации только в компьютере; необходимо внимательно осмотреть имеющуюся документацию, вплоть до записей на клочках бумаги. Поэтому любые обнаруженные носители информации должны быть изъяты и изучены.

Производство обыска (осмотра) в помещениях, где находится много компьютерных устройств, работает множество людей, сопряжено со значительными трудностями. Для проведения такого объемного и крупномасштабного следственного действия зачастую необходимо привлечение большого количества работников правоохранительных органов, включая сотрудников силовых подразделений, поскольку лица, в отношении которых расследуется уголовное дело, часто оказывают серьезное сопротивление. Число участников такого объемного следственного действия достигает нескольких десятков, а подчас и сотен, поэтому главным элементом его проведения является четкая организация, инструктаж каждого участника о целях и задачах следственного действия.

Важнейшими условиями успеха в этом случае являются: собирание информации об объекте осмотра или обыска; составление плана осмотра или обыска с детальной регламентацией задач каждого участника; определение состава следственно- оперативной группы; обеспечение оперативной группы необходимыми техническими средствами.

При подготовке к осмотру или обыску необходимо определить: количество компьютеров и их типы; организацию электропитания и наличие автономных источников питания; используемые носители компьютерных данных; наличие локальной сети и выхода в другие сети с помощью модема, радиомодема или выделенных линий; используемое системное и прикладное программное обеспечение; наличие систем защиты информации, их типы; возможности использования средств экстренного уничтожения компьютерной информации; квалификацию пользователей, а также взаимоотношения в коллективе сотрудников, обслуживающих технику.

Полезно допросить (опросить) администратора системы (системного администратора) и выяснить: какие операционные системы установлены на каждом из компьютеров; какое используется программное обеспечение; какие применены системы защиты и шифрования; где хранятся общие файлы данных и резервные копии; каковы пароли супервизора и администраторов системы; какие зарегистрированы имена и пароли пользователей.

Для успешного проведения обыска (осмотра) особое значение имеет фактор внезапности. В противном случае подозреваемый (обвиняемый) может быстро уничтожить изобличающие его материалы, находящиеся в ЭВМ или на магнитных носителях. Если получены сведения о том, что компьютеры организованы в локальную сеть, по возможности следует установить местонахождение всех компьютерных устройств, подключенных к этой сети. При этом проводится групповой обыск (осмотр) одновременно во всех помещениях, где установлены компьютерные средства.

Рабочий этап обыска (осмотра) включает обзорную и детальную стадии. На обзорной стадии следователь корректирует и пополняет данные об объекте, фиксирует участки, требующие особого внимания. Следует обратить внимание на неподключенные разъемы на коаксиальном кабеле и свободные розетки (розетки для подключения компьютеров в локальную сеть, использующие витую пару). В этих местах, возможно, находились компьютеры или подключались портативные компьютеры, которые в момент проведения следственного действия могут находиться в другом месте или быть спрятаны. На этой стадии уточняется распределение объектов между участниками обыска.

На детальной стадии осуществляются непосредственный поиск, обнаружение и изъятие объектов обыска (осмотра) — компьютерных средств и криминалистически значимой компьютерной информации. Может быть использован как последовательный, так и выборочный методы обследования. При большом сосредоточении компьютерных устройств последовательный поиск занимает слишком много времени. Поэтому необходимо в первую очередь осматривать те компьютерные средства, которые выбраны на подготовительном этапе. Другой причиной выбора того или иного компьютерного средства является подозрительное поведение обыскиваемого, его неубедительные объяснения поданному устройству, файлу, программе, несоответствие обнаруженных компьютерных средств или программ личности обыскиваемого.

Для сокрытия информации на компьютерах могут быть установлены специальные защитные программы, которые при определенных условиях автоматически производят полное или частичное стирание информации. Это высокая степень защищенности компьютерной информации. Низкая степень защищенности определяется наличием простого алгоритма ограничения доступа (например, данные защищены только паролем), получением достоверных данных о его преодолении.

Включать и выключать компьютеры, производить с ними какие-то манипуляции может только специалист, участвующий в производстве данного следственного действия. Если на объекте было отключено электроснабжение (например, в связи с пожаром или взрывом), до его включения следует проверить, всели компьютеры и периферийные устройства находятся в отключенном состоянии.

Если компьютер на момент начала обыска (осмотра) оказался включен, необходимо оценить информацию, отображенную на мониторе, и определить, какая программа выполняется в данный момент. В случае работы стандартного программного обеспечения нельзя приступать к каким-либо манипуляциям на входе без предварительного визуального осмотра технических средств. Экран монитора нужно сфотографировать, а также отключить все телефонные линии, подключенные к компьютеру.

В протоколе необходимо описать все соединения на задней стенке системного блока. Если это признано целесообразным, вскрывается кожух системного блока и визуально определяется конфигурация ЭВМ, описывается месторасположение электронных плат.

В случае если при осмотре аппаратных средств выявлены неизвестные участникам следственного действия устройства (платы расширения, нестандартные соединения и т. д.), компьютер необходимо сразу выключить. При этом следует не отключать тумблер блока питания, а вынимать вилку из розетки.

Затем следует промаркировать всю систему подключения до того, как провода будут отсоединены; промаркировать все порты и разъемы с тем, чтобы потом можно было осуществить точную реконструкцию расположения кабелей, плат расширения и других устройств. Если конфигурация процессора стандартна, следует корректно завершить работу исполняемой в данный момент программы либо дождаться завершения се работы для получения дополнительных, возможно искомых, данных.

Если для поиска информации залействуется программное обеспечение, не находящееся в компьютере, это необходимо отмстить в протоколе. Такие программы должны быть стандартны и лицензированы, а контроль за их работой нагляден.

Особого внимания требуют места хранения носителей информации. Если при внешнем осмотре компьютеров в их составе обнаружены устройства типа стримера, магнитооптического накопителя и им подобные, то необходимо найти места хранения носителей информации к соответствующим накопителям. Кроме того, в организациях с развитой локальной сетью, как правило, производится регулярное архивирование информации на какой-либо носитель. Только после выполнения указанных выше мероприятий специалист, участвующий в следственном действии, может произвести изъятие носителей информации.

В протоколе следственного действия следователь описывает основные физические характеристики изымаемых устройств, их видимые индивидуальные признаки, конфигурацию компьютерных средств (их комплектацию); номера моделей и серийные номера каждого из устройств; инвентарные номера, присваиваемые бухгалтерией при постановке средства на баланс организации; иную информацию, имеющуюся на фабричных ярлыках фирмы-изготовителя.

Осмотр документов (источников и носителей криминалистически значимой компьютерной информации, документации, различных записей, даже на клочках бумаги) может иметь значение для успешного достижения цели. На начальном этапе следователь получает общее представление о документе, выясняя следующие обстоятельства:

что представляет собой документ; у кого и где он хранится; внешний вид документа и его реквизиты; происхождение документа, от кого поступил адресату. При осмотре документа — вещественного доказательства следователь доступными ему средствами решает вопрос о его подлинности, изучая содержание и форму документа, материал и его отдельные части, подписи, оттиски печатей и штампов и др.

Выемка электронных документов и иной информации из вычислительных сетей. Законодатель пока не предложил детальной регламентации этого процесса, поэтому если необходимо произвести выемку электронной почты из домашнего компьютера, то это можно сделать путем изъятия самого компьютерного средства или жесткого диска. Как правило, операторы связи (провайдеры, предоставляющие абоненту услуги телематических служб сети Интернет) не хранят на своих серверах электронную почту абонентов, т. е. речь идет о еще не полученной электронной почте. В договорах о предоставлении Интернет- услуг обычно предусмотрены обязательства провайдера предпринимать общепринятые в Интернете технические и организационные меры для обеспечения конфиденциальности информации, получаемой или отправляемой абонентом. Доступ третьим лицам к информации, получаемой или отправляемой абонентом, обеспечивается исключительно в соответствии с законодательством Российской Федерации.

Собирание криминалистически значимой информации в вычислительной сети имеет свои особенности. В первую очередь необходимо установить общее количество компьютеров и их распределение ио другим помещениям, а также количество и тип используемых серверов и рабочих мест. Далее важно выяснить тип используемой сетевой операционной системы и состав прикладного программного обеспечения, используемого в вычислительной сети. Следует также установить факт наличия резервных копий данных и места их хранения. Особое внимание должно уделяться выявлению выхода в другие, в том числе и глобальные, сети; установлению возможностей использования коммуникационных средств для связи с удаленными пользователями, другими организациями (фирмами), частными лицами.

В это же время определяются принятые в организации мероприятия по защите информации и наличие выхода в Интернет. В случае использования телефонной линии для связи с другими сетями обеспечить отключение телефона; по возможности удалить из помещения все взрывчатые, едкие и легковоспламеняющиеся материалы.

Для обеспечения сохранности информации необходимо: предотвратить отключение энергоснабжения организации, обеспечив охрану распределительного щита;

запретить работникам организации и прочим лицам производить какие-либо манипуляции с компьютерными средствами;

предупредить всех участников следственного действия о недопустимости самостоятельных манипуляций с компьютерными средствами;

точно установить местоположение серверов; определить местоположение компьютеров, подключенных к вычислительной сети (иногда помогает электропроводка: достаточно проследить трассы кабелей или специальных коробов для защиты кабелей).

Следственная группа должна иметь физическую возможность одновременно занять все помещения, в которых находятся компьютеры, входящие в сеть. Наличие средств удаленного доступа позволяет оперативно манипулировать информацией в сети любым компьютером, входящим в нее.

Завершающим этапом осмотра, обыска или выемки по делам, сопряженным с использованием компьютерных технологий, являются фиксация и изъятие компьютерных средств. От того, как произведены изъятие, транспортировка и хранение этих объектов, часто зависит их доказательственное значение. Все изъятые системные блоки и другие устройства должны быть упакованы и опечатаны таким образом, чтобы исключить возможность их повреждения, включения в сеть и разборки. В протоколе должны быть точно отражены место, время и внешний вид изымаемых предметов и документов. При изъятии компьютеров и носителей данных их следует упаковывать и опечатывать.

При допросах подозреваемых и обвиняемых необходимо учитывать данные криминалистической характеристики о личности предполагаемого преступника.

При первоначальном допросе, побуждая лицо к деятельному раскаянию, необходимо выяснить:

какие изменения в работу компьютерных систем были внесены;

какие вирусы использовались;

есть ли, с точки зрения подозреваемого (обвиняемого), возможность быстро устранить или уменьшить вред, причиненный несанкционированным проникновением в систему; какие сведения и кому передавались.

При допросах свидетелей и потерпевших необходимо выяснить:

назначение и функции компьютерной системы; кто имел доступ к ней и в помещения, где располагалась компьютерная техника;

не появлялись ли там посторонние лица; какие средства защиты использовались; кто санкционировал доступ к информации (если она была закрытой) и кто реально был допущен;

какой вред (имущественный, неимущественный) причинен преступлением и имеются ли способы его уменьшить.

Судебные экспертизы при расследовании преступлений в сфере компьютерной информации

Основной род судебных экспертиз по делам этой категории - судебные компьютерно-технические, в рамках которых выделяют четыре вида:

а) судебная аппаратно-компьютерная экспертиза, заключающаяся в проведении исследования:

технических (аппаратных) средств компьютерной системы: персональных компьютеров;

периферийных устройств, сетевых аппаратных средств (серверы, рабочие станции, активное оборудование, сетевые кабели и т. д.);

интегрированных систем (органайзеры, пейджеры, мобильные телефоны и т. п.);

встроенных систем (иммобилайзеры, транспондсры, круиз- контроллеры и др.);

любых комплектующих всех указанных компонентов (аппаратные блоки, платы расширения, микросхемы и т. д.).

При этом решаются задачи:

классификации и определения свойств аппаратного средства; выяснения фактического и первоначального состояния;

диагностики технологии изготовления, причин и условий изменения свойств (эксплуатационных режимов);

определения структуры механизма и обстоятельства события за счет использования выявленных аппаратных средств как по отдельности, так и в комплексе в составе компьютерной системы;

б) судебная программно-компьютерная экспертиза, назначаемая для исследования программного обеспечения. Объекты включают: системное программное обеспечение; прикладное программное обеспечение (текстовые и графические редакторы, системы управления базами данных, электронные таблицы); авторское программное обеспечение потребительского назначения.

Задачами экспертизы являются:

классификация и определение основных характеристик операционной системы, используемых технологий системного программирования;

выявление, исследование функциональных свойств и состояния программного обеспечения;

исследование алгоритма программного продукта, типов поддерживаемых аппаратных платформ;

определение причин, целей и условий изменения свойств и состояния программного обеспечения;

индивидуальное отождествление оригинала программы (инсталляционной версии) и ее копии на носителях данных компьютерной системы;

установление групповой принадлежности программного обеспечения;

выявление индивидуальных признаков программы, позволяющих впоследствии идентифицировать ее автора, а также взаимосвязи с информационным обеспечением исследуемой компьютерной системы;

в) судебная информационно-компьютерная экспертиза, имеющая цель поиск, обнаружение, анализ и оценку информации, подготовленной пользователем или порожденной программами для организации информационных процессов в компьютерной системе.

Информационные объекты (данные) включают:

текстовые и графические документы (в бумажной и электронной формах), изготовленные с использованием компьютерных средств;

данные в форматах мультимедиа;

базы данных и другие приложения, имеющие прикладной характер.

Экспертными задачами здесь являются: установление вида, свойств и состояния информации (фактического и первоначального, в том числе до ее удаления и модификации) в компьютерной системе;

определение причин и условий изменения свойств исследуемой информации;

определение механизма, динамики и обстоятельств события по имеющейся информации на носителе данных или ее копиям;

установление участников события, их роли, места, условий, при которых была создана (модифицирована, удалена) информация;

установление соответствия либо несоответствия действий с информацией специальному регламенту (правилам), например, правомерно ли конкретное использование информации, защищенной паролем, и др.;

г) судебная компьютерно-сетевая экспертиза, основывающаяся прежде всего на функциональном предназначении компьютерных средств, реализующих какую-либо сетевую информационную технологию. Задачи этой экспертизы включают практически все основные задачи рассмотренных выше видов экспертизы. Это объясняется тем, что ее объекты интегрированы из объектов рассмотренных выше видов экспертиз (аппаратные, программные и данные), но лишь с той разницей, что они все функционируют в определенной сетевой технологии.

По делам данной категории могут назначаться судебные экспертизы других классов и родов:

судебно-трасологические — для анализа следов взлома, следов рук как на внешних, так и на внутренних поверхностях компьютеров и их комплектующих;

судебно-экономические, в частности финансово-экономические и бухгалтерские, если преступления совершаются в кредитно-финансовой сфере;

судебно-технические экспертизы документов, когда компьютер используется как средство для изготовления поддельных документов, фальшивых денежных билетов и проч.;

фоноскопические экспертизы — при использовании средств прослушивания переговоров и др.

Кафедра криминологии и уголовно-исполнительного права

Дата добавления: 2015-06-04; Просмотров: 1034; Нарушение авторских прав?; Мы поможем в написании вашей работы!