Криминалистика учебник (Под общ. ред. засл. юриста РФ, д-ра юрид. наук etc
.).pdfисамоутверждения.Обычносвоимидействиямионисоздаютсерьезныепомехи в работе сетей и компьютеров. Вторую группу составляют лица в возрасте 16–25 лет. Это преимущественно студенты, которые в целях повышения своего «познавательного» уровня устанавливают тесные отношения схакерами других стран. Третья группа – лица в возрасте 30–45 лет, которые умышленно совершают компьютерные преступления с целью получения материальной выгоды, а также ради уничтожения или повреждения компьютерных сетей. Наиболее опасные компьютерные преступления совершают лица в возрасте 25–35 лет, имеющие инженерное образование и продолжительный опыт работывобластиинформационныхтехнологий,неправомернаядеятельностькоторых практически никогда не бывает наказана.
Как правило, хакеры создают свои объединения (группы), издают свои электронные средства массовой информации (газеты, журналы, электронные доски объявлений и др.), проводят электронные конференции, имеют свой жаргонный словарь, который распространяется с помощью компьютерных бюллетеней, где имеются все необходимые сведения для повышения мастерства начинающего хакера.
Внастоящее время крупные компании стремятся привлечь наиболее опытных хакеров на работу с целью создания систем защиты информации
икомпьютерных систем.
Помимопрофессиональныхвзломщиковкомпьютерныхсетейипрограмм
вчисло лиц, совершающих компьютерные преступления, входят лица:
–не обладающие серьезными познаниями в области программирования и компьютерной техники, имеющие лишь некоторые пользовательские навыки работы с ЭВМ;
–имеющие психические отклонения. К их числу относят лиц, страдающих различными компьютерными фобиями.
36.2.Особенности организации и тактики производства отдельных следственных действий при расследовании преступлений в сфере компьютерной информации
Особенностями расследования преступлений в области компьютерной информации являются:
1)широкое использование при проведении следственных действий
иоперативно-розыскных мероприятий лиц, сведущих в области применения информационных технологий;
471 
2)особый алгоритм расследования;
3)специфические приемы работы (осмотры, изъятие, хранение и т.п.)
смашинными носителями информации в ходе производства следственных действий;
4)организационные и тактические особенности проведения отдельных следственных действий.
Поскольку информационные технологии достаточно разнообразны, выбор специалиста для решения конкретных задач весьма сложен. При изъятии технических средств необходим специалист по аппаратному устройству вычислительной техники. Для установления фактов проникновения извне в информационные системы специалист должен обладать дополнительно знаниями в области информационной безопасности. При исследовании систем ЭВМ и их сетей специалист должен иметь специализацию в области программного обеспечения вычислительных комплексов, систем и сетей.
Поиск таких специалистов следует проводить заблаговременно на предприятиях и в учреждениях, осуществляющих обслуживание и экс-
плуатацию компьютерной и коммуникационной техники, в учебных
инаучно-исследовательских учреждениях. В крайнем случае могут быть привлечены сотрудники организации, компьютеры которой подверглись вторжению.
Алгоритм расследования преступлений в сфере компьютерной информации складывается в зависимости от состава совершенного преступления
иследственной ситуации. Рассмотрим его на примере неправомерного доступа к компьютерной информации, совершенного в условиях неочевидности, когда личность подозреваемого неизвестна.
Основанием для возбуждения уголовного дела, как правило, служат заявления потерпевших – законных пользователей, работающих в сети на основании договора с фирмой-провайдером. Организация предварительной проверки по поступившему заявлению чаще всего поручается специальным подразделениям МВД России по борьбе с преступлениями в сфере высоких технологий. В ходе предварительной проверки берутся объяснения у заявителя, где отражается, что послужило выводом о том, что с реквизитами (именем и паролем) законного пользователя в сети работали посторонние лица, размер материального ущерба. Обязательно выясняется, с каким провайдером заключен договор, а также присвоенное пользователю имя для работы в сети.
472 
Далее у провайдера истребуется протокол работы в сети данного абонента за период времени, указанный заявителем, с обозначением даты, времени начала сессии, продолжительности работы, суммы денежных средств, списанных со счета клиента. На основании собранных данных в местном узле электросвязи выясняется, с каких номеров телефонов осуществлялся доступ в Интернетвуказанноевремя.Поуказаннымномерамтелефоновустанавливаются адреса, откуда производилась связь, и кто по этим адресам проживает.
Обыск |
На основе совокупности собранных данных следователь (до- |
|
знаватель) имеет основания после возбуждения уголовного |
||
|
дела произвести обыск по месту жительства «заподозренного». К работе необходимо привлечь специалиста в области электронно-вычислительной техники и программного обеспечения; определить возможные меры безопасности, предпринимаемые преступниками с целью уничтожения доказательств по делу. Кроме того, необходимо привлечь сотрудника ГТС для определения возможности несанкционированного подключения к телефонной линии посторонних лиц с целью работы в сети Интернет с данного телефонного номера, подобрать понятых, которые разбираются в компьютерной технике (основных операциях, названиях компьютерных программ и т.п.), с тем чтобы исключить возможность оспаривания в суде правильности проведенного следственного действия и его результатов.
Идеальным можно считать проведение обыска в момент совершения преступления, устанавливаемый по предварительной договоренности с провайдером,который можетсообщить омоментевыходаабонента в сеть Интернет. В этом случае необходимо осуществить максимально быстрый доступ к компьютеру (без предварительного обесточивания квартиры), отстранить пользователя от работы и с помощью видеолибо фототехники зафиксировать изображение на мониторе с указанием даты и времени фиксации, после чего произвести осмотр компьютера.
При проведении обыска следует обращать внимание на наличие рукописных записей в ежедневниках, телефонных и записных книжках, посколькувбольшинствеслучаевпреступникиведутзаписиполученныхими сетевых реквизитов. Также необходимо установить, заключался ли ранее пользователем договор на предоставление доступа в Интернет, если да, то изъять соответствующие документы.
Обязательными являются изъятие в ходе обыска компьютерной техники и ее осмотр, а также осмотр изъятых предметов, документов и назначение компьютерно-технической экспертизы для получения ответов на вопросы:
473 
1.Был ли на данной ЭВМ установлен модем?
2.Осуществлялся ли при помощи данной ЭВМ доступ в глобальную компьютерную сеть Интернет? Если да, то через каких провайдеров, при помощи каких имен пользователей (имя пользователя – логин).
3.Имеется ли на жестком диске данной ЭВМ следующая информация:
– имя пользователя (логин) и пароли к нему;
–фамилии, имена, телефонные номера и другие сведения, представляющие интерес по делу;
–программа для работы с электронной почтой (E-mail) и почтовые архивы, если да, то имеются ли среди архивов такие, которые могут представлять интерес в рамках настоящего уголовного дела;
–какой адрес электронной почты принадлежал лицу, которое пользовалось этим экземпляром почтовой программы;
–другие программы для общения через Интернет и архивы принятых
ипереданных сообщений;
–какой адрес электронной почты принадлежал лицу, которое пользовалось указанными экземплярами программ?
4.ИмеютсялинапредставленномПКидискепрограммы,заведомоприводящие к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети?
5.Какой квалификацией обладал человек, проводивший инсталляцию – процедуру установки программного обеспечения, его настройку на данной ЭВМ?
Допрос |
Основная цель допроса свидетелей – максимально сузить круг |
|
лиц, имеющих возможность выхода в Интернет с данного ком- |
||
|
пьютера. При допросе подозреваемого необходимо получить ответы на следующие вопросы:
1.Каким образом были получены идентификационные данные? Если они получены у третьих лиц, то установить, у кого, где, при каких обстоятельствах и на каких условиях; если самостоятельно, – то каким образом (с подробным описанием последовательности действий)?
2.Где, когда получены навыки («стаж») работы на персональном компьютере и в Интернете (с подробным описанием процесса получения доступа в Интернет, а также основных целей работы в сети)? Необходимо установить наличие знания порядка официального заключения договора,
474 
порядка оплаты и возможных последствий использования непринадлежащих идентификационных данных.
3. Каковы характеристики используемого компьютера, а также программного обеспечения, установленного на нем? Это позволит конкретизировать вопросы при назначении экспертизы, а также определить познания подозреваемого в компьютерной технике.
Одним из ключевых следственных действий является допрос представителя фирмы-провайдера. Перед допросом необходимо довести до его сведения основные понятия и определения, используемые в юридической терминологии, поскольку они могут не совпадать с технической, что может вызвать недопонимание и разночтения. У представителя провайдера необходимо получить копии учредительных документов и лицензии на право предоставления услуг связи. Это можно оформить протоколом выемки. Также необходимо получить протоколы работы в сети Интернет абонента с именем, присвоенным потерпевшему, с указанием времени работы и суммы денежных средств, списанных со счета указанного абонента. Эти данные сопоставляются с заключением компьютерно-тех- нической экспертизы. При совпадении протоколов работы в сети, ведущихся у провайдера и на компьютере подозреваемого, последнему предъявляется обвинение.
В процессе подготовки к осмотру места происшествия еще до выезда необходимо:
1)пригласить специалистов;
2)пригласить понятых;
3)подготовить соответствующую компьютерную технику, которая будет использоваться для считывания и хранения изъятой информации;
4)провести инструктаж членов СОГ;
5)проконсультироваться со специалистами (в случаях, когда до осмотра места происшествия известно, какая компьютерная техника будет осматриваться).
По прибытии на место происшествия необходимо: зафиксировать обстановку, сложившуюся на момент осмотра места происшествия; исключить возможность посторонним лицам (участникам СОГ) соприкасаться с оборудованием; определить, соединены ли находящиеся в помещении компьютеры в локальную вычислительную сеть; установить, имеются ли соединения компьютера с оборудованием или вычислительной техникой вне осматриваемого помещения; выяснить, подключен ли
475 
компьютер к телефонной или телетайпной линии; определить, запущены ли программы на ЭВМ и какие именно.
На рабочей (исследовательской) стадии осмотра места происшествия каждый объект подлежит тщательному обследованию. Специалист проводит анализ компьютерной информации путем просмотра содержимого дисков, в необходимых случаях восстанавливает стертые файлы. Внимание обращается не только на наличие (отсутствие) физических повреждений компьютерной техники, магнитных носителей и т.п., но и на состояние окон, дверей и запорных устройств на них. Наблюдается действие программ, содержимое текстовых файлов и база данных. Ведется поиск следов пальцев рук, микрочастиц на клавиатуре, корпусе ЭВМ, мониторе, принтере и т.п.
Целесообразно просмотреть результаты работы программ контроля доступа к ЭВМ, системам протоколирования действий оператора и при наличии воздействий на них изъять.
При осмотре должны быть установлены: конфигурация компьютера (с четким описанием всех устройств); номера моделей и серийные номера каждого из устройств; инвентарные номера; прочая информация, имеющаяся на фабричных ярлыках.
При изъятии компьютеров необходимо: путем опроса персонала порознь выяснить сетевые имена пользователей и их пароли; изъять все компьютеры и магнитные носители; при осмотре документов обратить особое внимание на рабочие записи сотрудников, где могут содержаться пароли и коды доступа; составить список всех нештатных и временно работающих специалистов фирмы с целью обнаружения программистов и других специалистов по вычислительной технике, работающих на данную фирму, по возможности установить их паспортные данные, адреса и места постоянной работы.
В тех случаях, когда изъять компьютеры для их изучения и исследования невозможно, необходимо руководствоваться следующими рекомендациями:
1)после осмотра средств компьютерной техники следует блокировать соответствующее помещение, отключить источники энергопитания аппаратуры с одновременным опечатыванием всех узлов, деталей и частей компьютерной системы;
2)магнитные носители машинной информации перемещать в пространстве и хранить только в специальных контейнерах, исключающих
476 
разрушающее воздействие различных электромагнитных полей и направленных излучений;
3)информацию из оперативной памяти компьютера (оперативного запонимающего устройства – ОЗУ) изъять путем ее копирования на физический носитель с использованием стандартных паспортизированных программных средств. В таких случаях они снабжаются соответствующим документальным приложением. В протоколе осмотра места происшествия указываются:
– программа, исполняемая компьютером на момент проведения следственного действия;
– результат действия обнаруженной программы;
– манипуляции со средствами компьютерной техники, произведенные
впроцессе проведения следственного действия, и их результат (например, при копировании программ и файлов, определении их атрибутов, даты, времени создания и записи, а также при включении и выключении аппаратуры, отсоединении ее частей);
4)изъятие средств компьютерной техники производить только в выключенном состоянии. При этом в протоколе отражаются:
– порядок отключения оборудования;
– точное местонахождение изымаемых предметов и их расположение относительно друг друга и окружающих предметов (с приложением необходимых схем и планов);
– порядок соединения между собой всех устройств с указанием особенностей соединения (цвет, количество, размеры, характерные индивидуальные признаки соединительных проводов, кабелей, шлейфов, разъемов, штекеров и их спецификация);
– отсутствие либо наличие компьютерной сети, используемый канал связи. В последнем случае указываются тип связи, используемая аппаратура, абонентский номер;
– порядок разъединения устройств с одновременным опечатыванием их технических входов и выходов;
– вид упаковки и транспортировки изъятых предметов.
При проведении таких следственных действий, как осмотр места происшествия, обыск, следователь (дознаватель) и участники следственной оперативной группы (СОГ) должны предельно четко соблюдать общие правила обращения с вычислительной техникой и носителями информации. Несоблюдение этих правил может привести к потере важной для
477 
расследования информации и нанесению материального ущерба, вызванного этими действиями.
Общими правилами обращения с вычислительной техникой и носителями информации являются следующие:
–все включения (выключения) компьютеров и других технических средств, а также использование криминалистической техники (магнитных кистей, металлоискателей и др.) производятся только специалистом или под его руководством;
–необходимо исключить попадание мелких частиц и порошков на рабочие части компьютеров (разъемы, дисковод, вентилятор и др.);
–при работе с магнитными носителями информации запрещается прикасаться руками к рабочей поверхности дисков, подвергать их электромагнитному воздействию, сгибать диски, хранить без специальных конвертов (пакетов, коробок);
–диапазон допустимых температур при хранении и транспортировке должен варьироваться в температурных пределах от 0 до +50 °С;
–со всеми непонятными вопросами, затрагивающими терминологию, устройствоифункционированиевычислительнойтехники,необходимообращаться только к специалисту.
При расследовании преступлений в сфере компьютерной информации назначаются и проводятся различные экспертизы, в том числе традиционные криминалистиче-
ские экспертизы, экспертизы веществ и материалов, экономические экспертизы и др. Назначение и проведение перечисленных экспертиз особых затруднений не вызывают, что касается экспертиз собственно компьютер- но-технических, то они относятся к разряду новых и представляют значительные сложности.
Комплекс экспертиз, назначаемых при расследовании неправомерного доступа к компьютерной информации, будет меняться и зависеть от способа совершения и механизма преступления.
В компьютерно-технической экспертизе как самостоятельном роде су-
дебных экспертиз, относящемся к классу инженерно-технических, выделяют следующие виды: аппаратно-компьютерную экспертизу, программнокомпьютерную экспертизу, компьютерно-сетевую экспертизу.
Сущность судебной аппаратно-компьютерной экспертизы заключается в проведении исследования технических (аппаратных) средств компьютерной системы. Ее предметом являются факты и обстоятельства,
478 
устанавливаемые на основе исследования закономерностей эксплуатации аппаратных средств компьютерной системы – материальных носителей информации о факте или событии уголовного или гражданского дела.
Для проведения экспертного исследования программного обеспечения предназначен такой вид компьютерно-технической экспертизы, как про- граммно-компьютерная экспертиза. Ее видовым предметом являются закономерности разработки (создания) и применения (использования) программного обеспечения компьютерной системы, представленной на исследование в целях установления истины по гражданскому или уголовному делу. Целью программно-компьютерной экспертизы является изучение функционального предназначения, характеристик и реализуемых требований, алгоритма и структурных особенностей, текущего состояния представленного на исследование программного обеспечения компьютерной системы.
Информационно-компьютерная экспертиза (данных) является ключевым видом судебной компьютерно-технической экспертизы, так как позволяет завершить целостное построение доказательственной базы путем окончательного разрешения большинства диагностических и идентификационных вопросов, связанных с компьютерной информацией. Целью этого вида являются поиск, обнаружение, анализ и оценка информации, подготовленной пользователем или порожденной (созданной) программами для организации информационных процессов в компьютерной системе.
Отдельный вид компьютерно-технической экспертизы – судебная компьютерно-сетевая экспертиза, которая, в отличие от предыдущих, основывается прежде всего на функциональном предназначении компью- терныхсредств,реализующихкакую-либосетевуюинформационнуютех- нологию. Ее предмет составляет исследование фактов и обстоятельств, связанных с использованием сетевых и телекоммуникационных технологий.Онавыделенавотдельныйвидвсвязистем,чтолишьиспользование специальных познаний в области сетевых технологий позволяет соединить воедино полученные объекты, сведения о них и эффективно решить поставленные экспертные задачи. Особое место в компьютерно-сетевой экспертизе занимают экспертные исследования, связанные с интернеттехнологиями.
Объект применения специальных познаний судебной компьютерно-се- тевой экспертизы может быть разным – от компьютеров пользователей,
479 
подключенных к Интернету, до различных ресурсов поставщика сетевых услуг (интернет-провайдера) и предоставляемых им информационных услуг (электронная почта, служба электронных объявлений, телеконференции, www-сервис и др.). По причине стремительного развития современных телекоммуникаций и связи в судебной компьютерно-сетевой экспертизе можно выделить судебную телематическую экспертизу, предметом которой являются фактические данные, устанавливаемые на основе применения специальных познаний при исследовании средств телекоммуникаций и подвижной связи как материальных носителей информации о ка- ком-либо факте или событии.
Вопросы для самопроверки
1.Каково содержание элементов криминалистической характеристики преступлений в сфере компьютерной информации?
2.Каковы особенности организации и тактики следственных действий при расследовании преступлений в сфере компьютерной информации?
480 
