- •1. Поняття і сутність комп'ютерної інформації
- •2. Поняття комп’ютерних злочинів та їх кримінально-правова характеристика
- •3. Способи вчинення комп’ютерних злочинів
- •4. Характеристика особистості комп’ютерного злочинця
- •7. Поняття та криміналістична класифікація слідів комп’ютерних злочинів
- •8. Слідчий огляд під час розслідування комп’ютерних злочинів
7. Поняття та криміналістична класифікація слідів комп’ютерних злочинів
При розслідуванні комп’ютерних злочинів рекомендується виявляти такий комплекс слідів: сліди пальців рук та ніг; мікрочастинки; біологічні сліди людини; сліди-предмети (різного роду пристрої перехоплення, комп’ютерно-технічні засоби); сліди несанкціонованого підключення до лінії зв’язку; сліди, пов’язані зі зміною комп’ютерної інформації; сліди комп’ютерного злочину, що залишилися в пам’яті свідків, потерпілих, злочинців, тобто ідеальні сліди.
Механізм вчинення комп’ютерного злочину відрізняється від звичайного тим, що та його частина, яка найтісніше пов’язана зі способом і засобами, відбувається в особливому навколишньому середовищі – кіберпросторі.
Кіберпростір (віртуальний простір) – це область знаходження комп’ютерної інформації, яка утворена із застосуванням комп’ютерних технологій і в якій створюється, зберігається, оброблюється, передається комп’ютерна інформація.
Слідами комп’ютерних злочинів іноді є файли, що не зазнали змін, викликаних подією злочину, але зберігають криміналістично значущу інформацію. Це можуть бути:
- графічні файли порнографічних зображень, зображень грошової купюри, печатки, штампа, документа тощо;
- текстові файли підроблених документів;
- аудіо- та відеофайли, текстові файли, файли програм та баз даних, що вміщують об’єкти інтелектуальної власності;
- текстові файли, бази даних та інші файли, що зберігають інформацію про злочинну діяльність.
Комп’ютерні сліди злочину являють собою зміни комп’ютерної інформації, які відбулися в результаті вчинення злочину із застосуванням комп’ютерних технологій, і можуть бути:
а) якісними – зміни вмісту або атрибутів комп’ютерної інформації;
б) кількісними – зміни кількості одиниць або розміру одиниць комп’ютерної інформації.
У віртуальному просторі механізм слідоутворення відображається на рівні взаємодії таких елементів:
- комп’ютерна технологія як засіб вчинення злочину;
- комп’ютерна інформація як безпосередній предмет посягання.
Специфіка механізму утворення «комп’ютерних» слідів визначається особливостями:
а) середовища, в якому проходить процес відображення (кіберпростору);
б) слідоутворюючого об’єкта – комп’ютерної технології;
в) слідосприймаючого об’єкта – комп’ютерної інформації (програм та даних).
Комп’ютерні сліди можна розподілити на дві великі групи: локальні (на носіях комп’ютерної інформації, що використовувались при вчиненні злочину або були предметом посягання) і мережні (на серверах і комунікаційному обладнанні, що створюють канал зв’язку між засобом та предметом злочину).
1. Локальні сліди:
а) за характером впливу на комп’ютерну інформацію:
- сліди прямого впливу на комп’ютерну інформацію. Як засіб учинення злочину елементи комп’ютерної технології несуть у собі сліди прямої дії зловмисника на комп’ютерну інформацію, що виражається в кількісних та якісних змінах відповідно до способу, який вибрав зловмисник;
- сліди опосередкованого впливу. Через складність процесів обробки інформації комп’ютерними технологіями дії зловмисника залишають у комп’ютерній інформації свої опосередковані сліди у вигляді записів у службових файлах програм, у файлах реєстраційних журналів операційної системи, порушень роботи комп’ютерної системи. Елементи комп’ютерної технології – засобу вчинення злочину – будуть містити сліди зворотної взаємодії із комп’ютерною системою – предметом злочину;
б) за характером якісних та кількісних змін:
- негативні зміни:
1) перекручення комп’ютерної інформації як результат дії на носій комп’ютерної інформації, що полягає в зміні без відома власника змісту відомостей, відображених на носії, що робить інформацію тимчасово, повністю або частково не придатною для задоволення інформаційної потреби особою, яка володіє правом власності на таку інформацію;
2) знищення комп’ютерної інформації як результат дії на носій комп’ютерної інформації, що виражається в тому, що вона перестає існувати у формі, яка дозволяє її обробку за допомогою комп’ютерної техніки, стає не придатною для задоволення інформаційної потреби, особою, що повністю або частково володіє правом власності на таку інформацію;
3) блокування доступу до інформації – результат дії на носій, яка призвела до тимчасової або постійної неможливості здійснювати будь-які операції з комп’ютерною інформацією;
4) порушення конфіденційності комп’ютерної інформації, що проявляється у слідах дії на системи захисту й порушення порядку обмеження доступу до інформації;
5) порушення роботи комп’ютерної системи, що виражається в нефункціонуванні або неправильній роботі технічних пристроїв, які є складовими елементами ЕОМ (їх системи або мережі), а також програм для ЕОМ, що забезпечують обробку та використання комп’ютерної інформації1. Це призводить до перебоїв у виробничій діяльності, необхідності складного або тривалого ремонту засобів обчислювальної техніки, їх переналагодження, тривалого розриву зв’язків між ЕОМ, з’єднаними в систему або мережу;
- позитивні зміни:
1) збільшення розміру файлів;
2) поява нових файлів;
3) поява нового програмного забезпечення;
4) поява нових файлів серед відзначених як видалені;
5) підключення нових пристроїв;
6) поява в програмах інформації про роботу з новими файлами тощо.
2. Мережні сліди.
Мережні сліди є відомостями про проходження інформації по дротовій, радіо-, оптичній та інших електромагнітних системах зв’язку (електрозв’язку), що зберігаються постачальниками послуг (провайдерами).
Указані відомості про повідомлення, що передаються по мережах електрозв’язку, акумулюються в спеціальних файлах реєстрації (т.зв. log-файлах, «реєстраційних журналах»). У більшості комп’ютерних систем ведення файлів реєстрації – частина повсякденної діяльності. Коли б певна подія не відбулася в системі, інформація про неї реєструється (протоколюється) в даних файлах. Виділяють два види такої інформації, а отже, дві групи слідів:
а) сліди, які відображають дані про користувача: ім’я, адреса, дата народження, адреса електронної пошти, ідентифікаційні ознаки певного номера або рахунку, що використовується для здійснення платіжних операцій по розрахунках за послуги провайдера тощо;
б) сліди, які відображають дані про повідомлення: первинний номер телефону, що використовувався для зв’язку з log-файлом реєстрації, дата сеансу зв’язку, інформація про час зв’язку (час початку, закінчення і тривалість сеансу зв’язку), статична або динамічна IP-адреса, швидкість передачі повідомлення тощо.
Використовуючи наведені дані про сліди, можна визначити загальні особливості слідової картини комп’ютерних злочинів, учинених певним способом.
На використання способів перехоплення інформації можуть указувати традиційні сліди (наявність пошкодження дротів зв’язку, наявність спеціального обладнання тощо), а також комп’ютерні сліди на комп’ютерному носії інформації зловмисника: комп’ютерна інформація, що була предметом злочину, спеціальне програмне забезпечення для перетворення (перекодування, розшифрування) сигналу.