Читайте также:
|
■ Привлечение к расследованию специалистов. Спецификой дел данной категории является то, что с самого начала расследования следователю необходимо плотно взаимодействовать со специалистами в области информационных технологий. Специалисты крайне необходимы для участия в большинстве первоначальных следственных действий. Поиск таких специалистов следует проводить на предприятиях и в учреждениях, осуществляющих обслуживание и эксплуатацию компьютерной и коммуникационной техники, в учебных и научно-исследовательских организациях. В крайнем случае могут быть привлечены сотрудники организации, компьютеры которой подверглись вторжению (при установлении их непричастности к расследуемому событию). Большую помощь в расследовании могут оказать специалисты зональных информационно-вычислительных центров МВД, ГУВД, УВД субъектов Российской Федерации.
Специалисты в ходе следственных действий могут оказать действенную помощь при предварительном решении следующих вопросов:
Компьютерные преступления 597
• какова конфигурация и состав ЭВМ и можно ли с помо
щью этой ЭВМ осуществить исследуемые действия;
• какие информационные ресурсы находятся в данной
ЭВМ;
• не являются ли представленные файлы с программами,
зараженными вирусом, и если да, то каким именно;
• подвергалась ли данная компьютерная информация из
менению и, если да, то какому именно;
• какие правила эксплуатации ЭВМ существуют в данной инфор
мационной системе и были ли нарушены эти правила;
• находится ли нарушение правил эксплуатации ЭВМ в
причинной связи с изменениями данной компьютерной
информации и др.
■ Соблюдение правил работы с компьютерной информацией на машинных носителях. Специфической особенностью расследования дел данной категории является необходимость соблюдения правил работы с машинными носителями компьютерной информации. При планировании следственных мероприятий, связанных с исследованием компьютерной информации и машинных носителей, необходимо предусмотреть меры нейтрализации средств и приемов, предпринимаемых преступниками с целью уничтожения вещественных доказательств. Ими может, например, использоваться специальное оборудование, в критических случаях создающее сильное магнитное поле, стирающее магнитные записи. Преступник может включить в состав программного обеспечения своей машины программу, которая заставит компьютер требовать пароль периодически, и если в течение несколько секунд правильный пароль не введен, данные в компьютере автоматически уничтожатся. Следует учитывать и возможность возрастания в ходе обыска напряжения статического электричества, которое может повредить данные и магнитные носители. Желательно иметь с собой и использовать устройство для определения и измерения магнитных полей (например, компас). Вещественные доказательства — машинные носители требуют особой аккуратности при транспортировке и хранении. Им противопоказаны резкие броски, удары, повышенные температуры, влажность, задымленность (в том числе табачный дым) и запыленность.
Как правильно указывается в методических рекомендациях «Подготовка и назначение программно-технической эксперти-
598________ Методика расследования отдельных видов преступлений
зы» (Катков С.А., Собецкий И.В., Федоров А.Л. Бюллетень ГСУ МВД СССР №4, 1995), по прибытии на место проведения следственного действия следует принять меры к обеспечению сохранности информации на находящихся здесь машинных носителях. Для этого необходимо:
• не разрешать кому бы то ни было из лиц, работающих на
месте производства следственного действия или находя
щегося здесь по другим причинам (в дальнейшем персо
налу), прикасаться к работающим ЭВМ;
• не разрешать кому бы то ни было выключать электро
снабжение объекта;
• в случае, если на момент начала действия электроснабже
ние объекта выключено, то до восстановления электро
снабжения следует отключить от электросети все имеющие
ся здесь компьютеры и периферийные устройства;
• самому следователю не производить никаких манипуля
ций с ЭВМ, если результат этих манипуляций заранее не
известен;
• при наличии в помещении, где находятся ЭВМ или маг
нитные носители информации, взрывчатых, легковос
пламеняющихся, едких и токсичных веществ и/или мате
риалов, как можно скорее удалить эти вещества и/или
материалы в другое помещение;
• при невозможности удалить опасные материалы из по
мещения, где находятся ЭВМ или магнитные носители
информации, а также при непрекращающихся попытках
персонала получить доступ к ЭВМ, принять меры для
удаления персонала в другое помещение.
■ Особенности осмотров, обысков и выемок. Осмотр и обыск (выемка) особенно в начале расследования являются важнейшими инструментами установления обстоятельств расследуемого события. При анализе хода и результатов этих действий можно воссоздать механизм действий злоумышленников и получить важные доказательства.
В любом случае изъятия с ЭВМ и машинных носителей информации необходимым условием является фиксация носителей и их конфигурации на месте обнаружения, а также упаковка, обеспечивающая правильное и точное соединение в лабораторных условиях или в месте производства следствия с участием специалистов, как на месте обнаружения.
Компьютерные п ре ступления
Следует иметь в виду, что конкретная программно-техническая конфигурация позволяет производить с ЭВМ определенные действия и нарушения конфигурации или отсутствие данных о точной ее фиксации (так же как на месте обнаружения) может повлиять на возможность выполнения на ней не только опытных действий в ходе следствия, но и на оценку в суде возможности совершения преступления. Так, тип программного обеспечения, загруженного в момент следственного осмотра в ЭВМ, может показывать задачи, для которых ЭВМ использовалась. Если, например, имеется программное обеспечение для связи, и ЭВМ соединена с модемом, то это явно свидетельствует о возможности данной ЭВМ осуществлять связные функции и доступ к компьютерной информации.
В ходе обнаружения машинных носителей информации могут быть две ситуации: носители могут на момент обнаружения работать или не работать. Признаками работающей ЭВМ могут быть подключение ее проводами к сети, шум работающих внутри ЭВМ вентиляторов, мигание или горение индикаторов на передних панелях системного блока, наличие на экране изображения. Если ЭВМ работает, ситуация для следователя, проводящего следственное действие без помощи специалиста, существенно осложняется, однако и в этом случае не следует отказываться от оперативного изъятия необходимых данных. В этом случае следует:
• определить, какая программа выполняется. Для этого не
обходимо изучить изображение на экране дисплея и по
возможности детально описать его. Иногда можно вывес
ти изображение экрана на печать нажатием клавиши
PrintScrn. После остановки программы и выхода в опера
ционную систему иногда при нажатии функциональной
клавиши F3 можно восстановить наименование вызы
вавшейся последний раз программы;
• осуществить фотографирование или видеозапись изобра
жения на экране дисплея;
• остановить исполнение программы. Остановка исполне
ния многих программ осуществляется одновременным
нажатием клавиш Ctrl-C, либо Ctrl-Break, либо Ctrl-Q.
600
Методика расследования отдельных видов преступлений
Часто для окончания работы с программами следует ввести с клавиатуры команды EXIT или QUIT, иногда достаточно нажать клавишу Esc или указать курсором на значок прекращения работы программы;
• зафиксировать (отразить в протоколе) результаты своих
действий и реакции на них ЭВМ;
• определить наличие у ЭВМ внешних устройств-накопи
телей информации на жестких магнитных дисках (вин
честера) и виртуального диска;
• определить наличие у ЭВМ внешних устройств удален
ного доступа (например, модемов) к системе и опреде
лить их состояние (отразить в протоколе), после чего
разъединить сетевые кабели так, чтобы никто не мог мо
дифицировать или уничтожить информацию в ходе обы
ска (например, отключить телефонный шнур);
• скопировать программы и файлы, хранимые на возможно
существующем «виртуальном» диске, на магнитный но
ситель;
• выключить подачу энергии в ЭВМ и далее действовать
по схеме «компьютер не работает».
Если ЭВМ не работает, следует:
• точно отразить в протоколе и на прилагаемой к нему
схеме местонахождение ЭВМ и ее периферийных уст
ройств (печатающее устройство, дисководы, дисплей,
клавиатуру и т.п.);
• точно описать порядок соединения между собой этих
устройств с указанием особенностей (цвет, количество
соединительных разъемов, их спецификация) соедини
тельных проводов и кабелей; перед разъединением лю
бых кабелей полезно осуществить видеозапись или фо
тографирование мест соединения. Удачным решением
является точная маркировка, например с помощью над
писанных листочков с липкой поверхностью, каждого
кабеля и устройства, а также порта, с которым кабель со
единяется перед разъединением. Следует маркировать
каждый незанятый порт как «незанятый»;
• разъединить устройства ЭВМ с соблюдением всех воз
можных мер предосторожности, предварительно обесто
чив устройства. Следует помнить, что матричные прин
теры оставляют следы на красящей ленте, которая может
быть восстановлена в ходе ее дальнейшего экспертного
исследования;
Компьютерные преступления_______________________________ 601
• упаковать раздельно (указать в протоколе и на конверте
места обнаружения) носители на дискетах, компактные
диски и магнитные ленты (индивидуально или группами)
и поместить их в оболочки, не несущие заряда статиче
ского электричества;
• упаковать каждое устройство и соединительные кабели,
провода для обеспечения аккуратной транспортировки
ЭВМ;
• защитить дисководы гибких дисков согласно рекоменда
циям изготовителя (некоторые изготовители предлагают
вставлять новую дискету или кусок картона в щель дис
ковода).
Если в ходе осмотра и изъятия все же в крайнем случае понадобится запуск ЭВМ, это следует делать во избежание запуска программ пользователя с помощью собственной загрузочной дискеты.
Более сложной задачей осмотра ЭВМ является поиск содержащейся в ней информации и следов воздействия на нее. Ее решение всегда требует специальных познаний. Существует фактически два вида поиска:
первый — поиск, где именно искомая информация находится в компьютере;
второй — поиск, где еще разыскиваемая информация могла быть сохранена.
Как указывалось ранее, в ЭВМ информация может находиться непосредственно в ОЗУ при выполнении программы, в ОЗУ периферийных устройств и на ВЗУ. Наиболее эффективным и простым способом фиксации данных из ОЗУ является распечатка на бумагу этой информации. Если ЭВМ не работает, информация может находиться на машинных носителях, других ЭВМ информационной системы, в «почтовых ящиках» электронной почты или сети ЭВМ. Детальный осмотр файлов и структур их расположения (которые сами по себе могут иметь существенное доказательственное значение, отражая группировку информации) целесообразно осуществлять с участием специалистов в лабораторных условиях или на рабочем месте следователя. Предпочтительно изучать не подлинники изъятых машинных носителей, а их копии.
Следует обращать внимание на поиск так называемых «скрытых» файлов и архивов, где может храниться важная ин-
Методика расследования отдельных видов преступлений
формация. При обнаружении файлов с зашифрованной информацией или требующих для просмотра стандартными программами ввода паролей, следует направлять такие файлы на расшифровку и декодирование соответствующим специалистам. Периферийные устройства ввода-вывода могут так же некоторое время сохранять фрагменты программного обеспечения и информации, однако для вывода этой информации необходимы специальные познания. Так же как и в случае с ОЗУ, данные, найденные на машинных носителях, целесообразно в ходе осмотра выводить на печатающие устройства и хранить на бумажных носителях в виде приложений к протоколу осмотра. Изъятие данных в «почтовых ящиках» электронной почты может при необходимости осуществляться по правилам наложения ареста и выемки почтово-телеграфной корреспонденции с предъявлением соответствующих требований к владельцу почтового узла, где находится конкретный «ящик».
В ходе осмотров по делам данной категории могут быть обнаружены и изъяты следующие виды важных документов, которые могут стать вещественными доказательствами по делу:
• носящие следы совершенного преступления — телефонные
счета, телефонные книги, которые доказывают факты
контакта преступников между собой, в том числе и по
сетям ЭВМ, пароли и коды доступа в сети, дневники
связи и пр.;
• со следами действия аппаратуры — всегда следует искать
в устройствах вывода (например, в принтерах) бумажные
носители информации, которые могли остаться внутри
них в результате сбоя в работе устройства;
• описывающие аппаратуру и программное обеспечение (пояс
нение к аппаратным средствам и программному обеспе
чению) или доказывающие нелегальность их приобретения
(например, ксерокопии описания программного обеспече
ния в случаях, когда таковые предоставляются изготови
телем);
• нормативные акты, устанавливающие правила работы
с ЭВМ, регламентирующие правила работы с данной
ЭВМ, системой, сетью, доказывающие, что преступник
их знал и умышленно нарушал; личные документы по
дозреваемого или обвиняемого и др.
Компьютерные преступления______________________________ 603
Не следует забывать при осмотрах и обысках о возможностях сбора традиционных доказательств, например, скрытых отпечатков пальцев на клавиатуре, выключателях и тумблерах и др., рукописных, в том числе шифрованных записей и пр. В связи с тем, что при осмотре ЭВМ и носителей информации производится изъятие различных документов, в ходе расследования может возникнуть необходимость в назначении криминалистической экспертизы для исследования документов. Дактилоскопическая экспертиза позволяет выявить на документах, частях ЭВМ и машинных носителях следы пальцев рук причастных к делу лиц.
■ Особенности допросов причастных к делу лиц. Основные тактические задачи допроса при расследовании дел рассматриваемой категории являются:
• выявление элементов состава преступления в наблюдав
шихся очевидцами действиях;
• установление обстоятельства, места и времени соверше
ния значимых для расследования действий, способа и
мотивов его совершения и сопутствующих обстоятельств,
признаков внешности лиц, участвовавших в нем;
• определение предмета преступного посягательства;
• определение размера причиненного ущерба;
• детальные признаки похищенного;
• установление иных свидетелей и лиц, причастных к со
вершению преступления.
Первичное обнаружение признаков неправомерных действий посторонних лиц с компьютерной информацией осуществляется, как правило, сотрудниками собственника информационной системы и ее пользователями. Описание этих признаков может найти отражение в показаниях очевидцев.
Для расследования дел данной категории важно хорошо подготовиться к предстоящим допросам. Целесообразно собрать максимально возможную в имеющемся у следствия промежутке времени информацию о допрашиваемом лице. Для этого целесообразно обеспечить получение данных о нем с места жительства, учебы, работы, досуга. Источниками сведений могут быть налоговые инспектора, работники милиции по месту жительства, коллеги по работе, соседи, знакомые. Важные данные могут быть получены из личных дел по месту рабо-
Методика расследования отдельных видов преступлений
ты. Из централизованных учетов могут стать известны сведения о судимости и данные из архивных уголовных дел. В ходе такой подготовки могут быть выяснены сведения о состоянии здоровья и психики допрашиваемого, наличии у него специальных и профессиональных навыков и другие существенные данные.
Настойчивый поиск данных о личности допрашиваемого обычно приводит к расширению представлений о круге лиц, имеющих отношение к расследуемому событию, а также дает основание для отнесения лица к соответствующей референтной группе, обобщенное мнение которой может быть использовано для правомерного психологического воздействия при допросе. Эти данные позволят сделать допрос более эффективным.
Проблемой фиксации показаний по делам о преступлениях в области компьютерной информации является их «перегрузка» специальной терминологией и жаргонной лексикой. Целесообразно в протоколах более подробно акцентировать внимание и фиксировать значения терминов, используемых допрашиваемым при описании известных ему фактов. При описании конфигураций систем или схем движения информации могут оказаться крайне полезными рукописные схемы, составляемые допрашиваемым и приобщаемые к протоколу допроса.
При расследовании данной категории дел осуществляются и иные следственные действия (опознание, очная ставка и т.п.). Тактика их проведения определяется с учетом конкретных обстоятельств дела и характеристики лиц — непосредственных участников этих следственных действий. Существенной спецификой отличается, конечно, назначение и проведение экспертиз. По этой категории дел зачастую назначаются криминалистические экспертизы (техническое исследование документов, почерковедческая, дактилоскопическая и др.), однако наиболее характерна и специфична — программно-техническая экспертиза, назначаемая в целях исследования компьютеров, их комплектующих, периферийных устройств и программного обеспечения.
Процесс накопления эмпирических данных о способах расследования преступлений в области компьютерной информации продолжается. Личная инициатива следователя в применении многообразия предлагаемых криминалистикой тактических приемов и аккуратность работы с вещественными доказательствами — залог успешного расследования.
Список рекомендуемой литературы
Дата добавления: 2015-09-11; просмотров: 72 | Поможем написать вашу работу | Нарушение авторских прав |