Билет 15
1.Криминалистическое автороведение и судебно-лингвистическое исследование документов: понятие, задачи, методы. Общие и частные признаки письменной речи (грамматические, лексикофразеологические, стилистические). Отбор образцов, требования к ним
2.Допрос потерпевших: особенности формирования их показаний, тактические приемы его проведения.
3.Расследование преступлений в сфере компьютерной информации: криминалистическая
характеристика, типовые следственные ситуации, основные методы расследования.
1. Криминалистическое автороведение и судебно-лингвистическое исследование документов: понятие, задачи, методы. Общие и частные признаки письменной речи (грамматические, лексикофразеологические, стилистические). Отбор образцов, требования к ним.
Понятие и компоненты письменной речи.
Письменная речь имеет внешнюю двигательную (артикуляция, движения руки) и внутреннюю содержательную стороны (грамматика, лексика, стиль, информативность).
В отличие от почерковедческого исследования – автороведческое исследование опирается на исследование содержательной стороны рукописи, и оно дополняет исследование почерка. Также оно может иметь самостоятельное значение – в случае когда автор и исполнитель рукописи являются разными лицами, а также в случаях выполнения рукописи на печатающих устройства.
Письменная речь – это совокупность явлений, связанных с письменным обменом информацией посредством языка.
Это деятельность человека, опосредованная системой графических языковых знаков.
Цель крим. автороведения (и судебной-автороведческой экспертизы в частности) – установление конкретного автора документа, а также установление принадлежности автора к определенной группе лиц в зависимости от его образовательного уровня, профессии, ЕТС.
Письменная речь состоит из двух компонентов:
1– Языковые навыки:
-Пунктуационные
-Орфографические
-Лексико-фразеологические
-Синтаксические
-Стилистические
2– Интеллектуальные:
-Навыки мышления
-Навыки памяти
Комплекс индивидуальных языковых и интеллектуальных навыков конкретной личности уникален и неповторим в каждой речевой ситуации и позволяет идентифицировать автора того или иного текста. Признаки письменной речи.
Они также делятся на общие и частные.
Общие признаки:
Степень развития каждого навыка (навыки указаны выше)
-Высокая
-Средняя
-Низкая
-«Нулевая»
Частные признаки – отображают разные свойства, проявляющиеся в определенных нарушениях правильности речи, в использовании определенных языковых средств, в устойчивых соотношениях языковых средств, используемых индивидом в ситуациях письменного общения.
Выделяют также:
1 – Стиль изложения
-Бытовой (письма, записки, дневники)
-Официально-деловой (НПА, Документы, рапорты, заявления)
-Публицистическией (очерки, журнальные статьи)
-Литературно-художественный (романы, повести, рассказы)
-Научный 9монографии, методические и учебные пособия)
2– Лексика – т.е. словарный состав письменной речи, используемые автором слова:
-Профессионализмы
-Диалектизмы (слова для жителей определенной местности)
-Вульгаризмы
-Жаргонизмы (употребляются определенными социальными группами – «легавый», «Мусор», «чувиха», «Чувачок»)
-Варваризмы – заимствованные слова (имидж, спонсор)
-Неологизмы, продукты словотворчества)
-Слова-паразиты.
3 – Архитектоника речи – структура речи
-Порядок слов в предложении, расположение подлежащего, сказуемого, дополнения, определения.
-Употребление сказуемого без подлежащего (живу в палатке, никого не трогаю)
-Нарушение общепринятого порядка слов (гулять со мной пойдешь ли ты?)
-Повествование в форме автодиалога (И что вы думаете он мне сказал? Привет!)
4– Рационально-эмоциональный строй речи (тон высказываний, восклицательные знаки, преувеличения)
5– Многословность или лаконизм.
Автороведческая экспертиза (судебно-автороведческая экспертиза)
Объект ее – тексты – то есть сложные структурные образования, элементы которого находятся в определенных закономерных отношениях связи.
Для решения задач необходимо минимум 500 слов. Подготовка.
Также, как и в почерковедческой экспертизе необходимо иметь образцы, которые также могут быть свободными, экспериментальными и условно-экспериментальными.
Свободные образцы – вне связи с расследуемым событием и до его возникновения. Требования:
-Такой же язык, что и в исследуемом документе
-Такой же период времени, так как человек развивается и деградирует (кому как повезет).
-Текст должен быть такого же стиля (бытовой, деловой, публицистический).
-Одно и то же состояние автора (пьяный, под наркотиками).
Экспериментальные образцы – тексты, полученные специально для автороведческой экспертизы. Образцы выполняются в виде сочинения на заданную тему.
Условно-экспериментальные – тексты в период расследования. Это дополнительный сравнительный материал.
Стадии.
Подготовительная: эксперт знакомится с постановлением (определением суда – если судебно-автороведческая) о назначении экспертизы, оценивает поступившие ему материалы с точки зрения количества и качества Аналитическая стадия: раздельный анализ исследуемого текста и образцов речи проверяемого. Выявляются признаки (указанные выше)
Сравнительное исследование: выявляются совпадающие и различные признаки.
Синтезирующая стадия – оценка установленных совпадений, формирование окончательного вывода.
*Есть также классификационно-диагностическое исследование – где анализу подвергается текст, а не проверяемое лицо. И по данному тексту (навыкам письменной речи) определяется групповая принадлежность автора к определенным группам лиц (профессиональным, социальным, етс
2. Допрос потерпевших: особенности формирования их показаний, тактические приемы его проведения.
Специфика формирования показаний.
У потерпевшего особый характер формирования показаний, так как психические переживания, обусловленные совершенным преступлением и его последствиями.
Психическое состояние характеризуется следующими признаками:
-Страх, боль, физические страдания.
-Желание освободиться от преступного посягательства или скорее его прекратить.
-Возбуждение и напряжение, обусловленные борьбой.
-В случае половых посягательств, личностные интимные посягательства. Как правило, показания полные и достоверные, но возможны дефекты:
1 – Ретроактивное торможение.
Невозможность вспомнить на первых допросах обстоятельств, которые предшествовали событию преступления.
2 – Проактивное торможение Невозможность вспомнить на первых допросах обстоятельства, которые последовали после события преступления.
3 – Амнезия.
Она наступает вследствие чрезмерных переживаний и выражается в частичном или необратимом выпадении из памяти переживаемого события. Особенно часто она наступает вследствие грубых физических воздействий (нанесений ударов в область головы, лица, носа, которые сопровождаются контузиями и сотрясениями мозга, шоковыми состояниями).
4 – Преувеличения о некоторых моментах события.
5 – Обобщенность в первоначальных объяснениях и показаниях о действиях виновных лиц («били все», «участвовали все»).
6– Пробелы, пропуски, при описании некоторых важных моментов.
7– Заблуждения относительно последовательности развития, путаница, перестановка.
Тем не менее, как правило, показания являются доказательственными и изъяны в них не носят всеобъемлющего характера.
Приемы допроса.
1 – Рекомендуется не торопиться с первым допросом в силу шокового состояния.
2 – Если отложить невозможно, то первый допрос надо провести поверхностно, а основные вопросы предусмотреть на повторном допросе.
Повторный допрос порой более важен, так как потерпевший не раз возвращается между допросами к событию и припоминает все больше фактов.
3 – Разъяснить важность получения как можно более полной информации, дабы доказать виновность преступника.
4 – Необходимо учитывать, что потерпевший может в ряде случаев умалчивать, давать ложные показания. В силу особых отношений с виновным лицом, боязни мести с его стороны, с целью сокрытия неблаговидного поведения (трусости, интимной связи). Может сказать неверие в действия правоохранительных органов.
5 – применение общих приемов, указанных в вопросах выше.
3. Расследование преступлений в сфере компьютерной информации: криминалистическая характеристика, типовые следственные ситуации, основные методы расследования.
Преступления в сфере компьютерной информации Мошенничество в сфере компьютерной информации, то есть хищение чужого имущества или
приобретение права на чужое имущество путем ввода, удаления, блокирования, модификации компьютерной информации либо иного вмешательства в функционирование средств хранения, обработки или передачи компьютерной информации или информационно-телекоммуникационных сетей (ст. 159.6 УК РФ).
o |
Значительный ущерб гражданину определяется с учетом его имущественного |
положения, но не может составлять менее пяти тысяч рублей. |
|
o |
Крупным размером признается стоимость имущества, превышающая один |
миллион пятьсот тысяч рублей, а особо крупным - шесть миллионов рублей.
Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации (ст. 272 УК РФ).
Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации (ст. 273 УК РФ).
Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб (ст. 274 УК РФ).
o |
Крупным ущербом признается ущерб, сумма которого превышает один |
миллион рублей. |
|
Под компьютерной информацией понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи.
Криминалистическую характеристику преступлений в сфере компьютерной информации составляют:
Примечание! Это не нужно диктовать, это для понимания диктовщику структуры ответа на вопрос!!
данные о способах совершения и сокрытия преступления
предмете преступного посягательства и орудиях (средствах) совершения противоправного деяния;
следах преступления
лицах, совершающих преступления в сфере компьютерной информации.
Способы неправомерного доступа к компьютерной информации
непосредственные
o |
|
|
отдача соответствующих команд непосредственно с того компьютера, на |
|||
котором находится информация |
||||||
o |
|
|
обследование рабочих мест программистов с целью поиска черновых записей |
|
||
o |
|
|
проникновение в закрытые зоны и помещения, где производится обработка |
|||
информации для совершения неправомерного доступа к ней |
||||||
o |
|
|
восстановление и просмотр стертых программ |
|
||
|
опосредованные |
|
|
|
||
o |
|
|
способы преодоления парольной |
, а также иной программной или технической |
||
защиты |
и последующего подключения к чужой системе |
|||||
|
|
|
путем автоматического перебора абонентских номеров |
|||
|
|
|
с использованием чужих паролей |
|||
|
|
|
простым перебором |
|||
|
|
|
на основе «словарей» |
|||
|
|
|
«социальный инженеринг» |
|||
o |
|
|
способы перехвата информации |
|||
|
|
|
электромагнитный перехват |
|||
|
|
|
за счет перехвата излучений центрального процессора, дисплея, |
|||
коммуникационных каналов, принтера и т.д |
||||||
|
|
|
непосредственный перехват |
|||
|
|
|
подключение к линиям связи законного пользователя |
|||
смешанные
o |
с помощью «троянского коня» |
|
o |
путем нахождения слабых мест в системе защиты |
|
Способы и механизм создания, использования и распространения вредоносных программ для ЭВМ обладают определенной спецификой, которая определяется прежде всего особенностями вредоносных программ.
Виды вредоносных программ |
|
1. |
по способности самовоспроизводиться |
a. |
самовоспроизводящиеся |
b. |
несамовоспроизводящиеся |
2. |
по способу действия |
a. |
резидентные |
i.оставляют в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения
b. нерезидентные
i.не заражают память компьютера и являются активными только во время их непосредственной работы
3. |
в зависимости от среды обитания |
a. |
сетевые |
i.распространяются по различным компьютерным сетям |
|
b. |
файловые |
i.внедряются главным образом в исполняемые модули программ, т. е. в файлы, имеющие расширения СОМ и
ЕХЕ |
|
c. |
загрузочные |
i.внедряются в загрузочный сектор диска или в сектор, содержащий программу загрузки системного диска d. файлово-загрузочные
i.заражают как файлы, так и загрузочные сектора дисков
4. |
по степени воздействия |
a. |
неопасные |
i.не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, их действия проявляются в каких-либо графических или звуковых эффектах
b. опасные
i.которые могут привести к различным нарушениям в работе компьютера c. очень опасные
i.воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в
системных областях диска |
|
5. |
По особенностям алгоритма |
a. |
Простейшие вирусы, изменяющие содержимое файлов и секторов диска, могут |
быть достаточно легко обнаружены и уничтожены |
|
b. |
Вирусы-решикаторы, распространяясь по компьютерным сетям, вычисляют |
адреса сетевых компьютеров и записывают по этим адресам свои копии.
c. |
Вирусы-невидимки перехватывают обращения операционной системы к |
пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска. |
|
d. |
Вирусы-мутанты, содержащие алгоритмы шифровки-расшифровки, благодаря |
которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов. |
|
e. |
Квазивирусные программы, не способные к самораспространению, но |
разрушающие загрузочный сектор и файловую систему дисков. |
|
f. |
«Полиморфный вирус», модифицирующий свой код в зараженных программах |
так, что два экземпляра одного и того же вируса могут не совпадать ни в одном бите. Основные пути проникновения вирусов в компьютер
внешние накопители информации: CD, DVD и Blu-Ray-диски, USB-флешки, жесткие диски твердотельного типа или SSD
компьютерные сети
Сокрытие следов преступления
Предмет преступного посягательства и орудия (средства) совершения противоправного деяния
|
компьютер — устройство или система, способное выполнять заданную чётко определённую |
||
изменяемую последовательность операций |
|
|
|
o |
Виды по функциям и внешним параметрам |
|
|
|
Персональный компьютер |
|
|
|
Автоматизированное рабочее место (АРМ) - |
этот вид компьютеров |
|
подразумевает компьютер или группу объединенных компьютеров, являющихся частью одной системы управления чем-либо.
|
Сервер - мощный компьютер, настроенный надлежащим образом для |
предоставления сервисных функций другим компьютерам сети |
|
|
Мейнфрейм - компьютер высокой производительности, обладающий |
огромным объемом памяти, как внешней, так и оперативной |
|
|
Суперкомпьютер - монструозный компьютер, состоящий из объединенных |
скоростной локальной сетевой магистралью, высоко мощных серверных машин
компьютерная периферия (периферийное оборудование) это устройства, взаимодействующие с компьютером. С помощью периферии информация вводится в компьютер или выводится из него. К периферийному оборудованию информационной системы относятся устройства ввода (мышка и клавиатура), мониторы, принтеры, сканеры, МФУ, модемы, аудиоустройства (колонки, наушники), мобильные приспособления и прочие гаджеты.
ПО - все или часть программ, процедур, правил и соответствующей документации системы обработки информации. Программное обеспечение делает компьютеры универсальными, позволяя использовать типовую вычислительную машину для решения самых разнообразных задач.
o |
По степени тиражируемости |
|
программное обеспечение, разрабатываемое на заказ |
|
программное обеспечение для крупных корпораций и организаций |
|
программное обеспечение для массового потребителя |
o |
по степени переносимости |
|
платформозависимые |
|
кроссплатформенные |
o |
по способу распространения и использования |
|
несвободные (закрытые) |
|
свободные |
|
открытые |
o |
по назначению |
|
смешанные |
|
прикладные |
o |
по объему |
|
компонент — программа, рассматриваемая как единое целое, выполняющая |
законченную функцию и применяемая самостоятельно или в составе комплекса |
|
|
комплекс — программа, состоящая из двух или более компонентов и (или) |
комплексов, выполняющих взаимосвязанные функции, и применяемая самостоятельно или в составе другого комплекса
Сетевое оборудование - устройства, необходимые для работы компьютерной сети.
o |
Активное сетевое оборудование – оборудование, за которым следует некоторая |
||||
«интеллектуальная» особенность: маршрутизатор, коммутатор (свитч) и т.д. |
|
|
|
||
o |
Пассивное |
сетевое оборудование – |
оборудование, не |
наделенное |
|
«интеллектуальными» особенностями: кабель (коаксиальный и витая |
пара |
(UTP/STP)), |
вилка/розетка |
||
(RG58, RJ45, RJ11, GG45), |
повторитель |
(репитер), патч-панель, концентратор |
(хаб), балун (balun) для |
||
коаксиальных кабелей (RG-58), монтажные шкафы и стойки, телекоммуникационные шкафы и т.д. Следы преступления
Традиционные следы
o |
следы пальцев рук, одежды и ног |
|
|
o |
микрочастицы |
|
|
o |
рукописные записи, распечатки и т.п. |
||
o |
Они могут остаться в помещении, где размещалось оборудование, на самой |
||
компьютерной технике (на клавиатуре, дисководах, принтере и т.д.), а также на внешних накопителях информации.
|
Информационные следы образуются в результате уничтожения, модификации, копирования, |
|
блокирования компьютерной информации |
|
|
o |
Компютеры |
|
o |
Компьютерная периферия |
|
o |
Сетевое оборудование |
|
o |
Следами, указывающими на посторонний доступ к информации, могут |
|
являться: переименование каталогов и файлов; изменение размеров и содержимого файлов; изменение стандартных реквизитов файлов, даты и времени их создания; появление новых каталогов, файлов и пр.
o На неправомерный доступ к компьютерной информации могут указывать и необычные проявления в работе ЭВМ: замедленная или неправильная загрузка операционной системы; замедленная реакция машины на ввод с клавиатуры; замедленная работа машины с дисковыми накопителями при записи и считывании информации; неадекватная реакция ЭВМ на команды пользователя; появление на экране нестандартных символов, знаков и пр.
Типичные данные о преступнике Неправомерный доступ к компьютерной информации совершают лица:
состоящие в трудовых отношениях с организацией, где совершено преступление (55%)
не состоящие в правоотношениях с организацией, где совершено преступление (45%)
Подростки в возрасте 11 - 15 лет. В основном они «взламывают» коды и пароли больше из-за любознательности и самоутверждения. Своими действиями они создают серьезные помехи в работе сетей и компьютеров.
Лица в возрасте 16 - 25 лет. В основном это студенты, которые в целях повышения своего «познавательного» уровня устанавливают тесные отношения с хакерами других стран.
Лица в возрасте 30 - 45 лет, которые умышленно совершают компьютерные преступления с целью получения материальной выгоды, а также ради уничтожения или повреждения компьютерных сетей.
Мотивы КП: |
|
1. |
корыстные соображения (66%) |
2. |
политические цели |
3. |
исследовательский интерес |
4. |
хулиганство |
5. |
месть |
Хакеры создают свои объединения (группы), издают свои электронные средства массовой информации (газеты, журналы, электронные доски объявлений и пр.), проводят электронные конференции, имеют свой жаргонный словарь, который распространяется с помощью компьютерных бюллетеней, где имеются все необходимые сведения для повышения мастерства начинающего хакера.
В настоящее время крупные компании стремятся привлечь наиболее опытных хакеров на работу с целью создания систем защиты информации и компьютерных систем.
Типичные следственные ситуации при расследовании преступлений в сфере компьютерной информации:
Признаки преступления выявлены пользователем (потерпевшим), но сведений о подозреваемом нет.
Признаки преступления выявлены пользователем (потерпевшим), есть некоторые сведения о подозреваемом (например, в организации «полетела» система бухгалтерского учета͵ до этого работодатель рассчитал программиста͵ отвечающего за эту систему, который пригрозил ему, что он об этом пожалеет).
Признаки преступления выявлены органом, осуществляющим оперативно-разыскную деятельность Особенностями расследования преступлений в области компьютерной информации:
а) широкое использование при проведении следственных действий и оперативно-разыскных мероприятий специалистов в области применения информационных технологий; б) особый алгоритм расследования
в) специфические приемы работы (осмотры, изъятие, хранение и т.п.) с машинными носителями информации в ходе производства следственных действий г) организационные и тактические особенности проведения отдельных следственных действий.
Программа (алгоритм) расследования в первой следственной ситуации:
осмотр места происшествия
o |
Записать данные всех лиц, находящихся в помещении на момент появления |
следственной группы, независимо от объяснения причин их пребывания в данном помещении |
|
o |
Первое и основное правило: никогда и ни при каких условиях не работать на |
осматриваемом компьютере. Компьютер – объект работы специалиста |
|
o |
Допуск к компьютеру владельца (пользователя) компьютера для оказания |
помощи в осмотре является серьезной ошибкой. |
|
o |
При противодействии следственной группе, необходимо отключить |
электропитание всех компьютеров на объекте, опечатать их и изъять вместе с носителями для исследования информации в лабораторных условиях
o Перед выключением компьютера необходимо по возможности закрыть все используемые на компьютере программы. Некорректный выход с некоторых программ может вызвать уничтожение информации или испортить саму программу
o |
Изымать все компьютеры (системные блоки) и магнитные носители. |
o |
При изъятии технических средств, целесообразно изымать не только |
системные блоки, но и дополнительные периферийные устройства (принтеры, стримеры, модемы, сканеры и т.п.).
o |
Фотографирование и маркирование элементов компьютерной системы. |
o |
Тщательно осмотреть документацию, обращая внимание на рабочие записи |
операторов ЭВМ, ибо часто именно в этих записях неопытных пользователей можно обнаружить коды, пароли и другую полезную информацию.
o |
С целью проверки компьютера на наличие вирусов и программных закладок, |
необходимо загрузить компьютер не с его операционной системы, а с носителя специалиста. |
|
o |
В первую очередь следует сделать резервную копию информации. |
o |
Найти и сделать копии временных файлов. |
o |
Необходимо обязательно проверить Swap File |
o |
Необходимо сравнивать дубли текстовых документов |
допрос потерпевшего (пользователя) или его представителя. Выясняется:
o |
на основании чего сделан вывода о том, что был доступ постороннего лица к |
компьютерной информации; |
|
o |
размер причиненного материального ущерба |
o |
кого и на каком основании он в этом подозревает |
o |
список всех сотрудников предприятия, имеющих доступ к компьютерной |
технике, либо часто пребывающих в помещении, где находятся ЭВМ |
|
o |
список всех внештатных и временных работников организации (предприятия) |
с целью выявления программистов и других специалистов в области информационных технологий. Желательно установить их паспортные данные, адреса и места постоянной работы;
o |
с каким провайдером заключен договор; |
o |
присвоенное пользователю имя для работы в сети и пароль доступа к нему; |
o |
пароли доступа к защищенным программам и др. |
допрос в качестве свидетеля представителя фирмы-провайдера. Выясняется:
o основные понятия и определения, используемые в технической терминологии, поскольку они могут не совпадать с юридической, что может вызвать недопонимание и разночтения;
o |
как обслуживается потерпевший: по |
постоянному каналу или |
в |
режиме |
телефонных звонков (dial-up); |
|
|
|
|
o |
время и продолжительность работы в |
сети Интернет абонента |
с |
именем, |
присвоенным потерпевшему с указанием суммы денежных средств, списанных со счета указанного абонента.
выемка документов у пользователя (потерпевшего) и провайдера;
o |
копия договора потерпевшего с провайдером |
|
|
|
o |
копии документов оплаты услуг провайдера; |
|
|
|
o |
копии учредительных |
документов провайдера |
и |
лицензии на право |
предоставления услуг связи |
|
|
|
|
o |
протоколы работы в |
сети Интернет абонента |
с |
именем, присвоенным |
потерпевшему с указанием времени работы и суммы денежных средств, списанных со счета указанного абонента.
назначение экспертиз
o При расследовании преступлений в сфере компьютерной информации назначаются и проводятся различные экспертизы, в том числе традиционные криминалистические экспертизы, экспертизы веществ и материалов, экономические экспертизы и др.
o |
Назначение и проведение компьютерно-технических экспертиз, по делам |
||||||||||||||
данной категории, является обязательным |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
o |
Судебная компьютерно-техническая экспертиза (СКТЭ) – |
самостоятельный |
|||||||||||||
род экспертиз, относящийся к классу инженерно-технических экспертиз, осуществляемый с целью: |
|
||||||||||||||
|
определения статуса объекта как компьютерного средства; |
|
|
|
|
||||||||||
|
выявления |
и |
изучения |
роли компьютерных |
средств |
в |
расследуемом |
||||||||
преступлении; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
получения доступа к информации на электронных носителях с последующим |
||||||||||||||
всесторонним её исследованием. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Объекты компьютерно-технической экспертизы |
|
|
|
|
|
|
||||||||
|
аппаратные; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
программные; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
информационные |
|
|
|
|
|
|
|
|
|
|
|
|
||
|
Виды компьютерно-технических экспертиз: |
|
|
|
|
|
|
|
|||||||
|
аппаратно-компьютерная экспертиза |
|
|
|
|
|
|
|
|
|
|
||||
o |
К какому типу (марке, модели) относится аппаратное средство? |
|
|
|
|||||||||||
o |
Каковы его технические характеристики и параметры? |
|
|
|
|
||||||||||
o |
Каково функциональное предназначение аппаратного средства? |
|
|
||||||||||||
o |
Какова роль и функциональные возможности данного аппаратного средства в |
||||||||||||||
конкретной компьютерной системе? |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
o |
Относится ли данное аппаратное средство к представленной компьютерной |
||||||||||||||
системе? |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
o |
Используется |
ли |
данное |
аппаратное |
средство |
для решения |
конкретной |
||||||||
функциональной задачи? |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
o |
Какое первоначальное состояние (конфигурацию, |
характеристики) имело |
|||||||||||||
аппаратное средство? |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
o |
Доступен ли для чтения представленный носитель информации? |
|
|
||||||||||||
o |
Каковы причины отсутствия доступа к носителю информации? |
|
|
|
|||||||||||
o |
Другие вопросы, исходя из обстоятельств дела. |
|
|
|
|
|
|
||||||||
|
программно-компьютерная экспертиза |
|
|
|
|
|
|
|
|
|
|||||
o |
Какова общая характеристика представленного программного обеспечения, из |
||||||||||||||
каких компонент (программных средств) оно состоит? |
|
|
|
|
|
|
|
|
|
|
|
||||
o |
Каковы реквизиты разработчика и владельца данного программного средства? |
||||||||||||||
o |
Каков состав соответствующих файлов программного обеспечения, каковы их |
||||||||||||||
параметры (объемы, даты создания, атрибуты)? |
|
|
|
|
|
|
|
|
|
|
|
|
|
||
o |
Какое общее функциональное предназначение имеет программное средство? |
||||||||||||||
Какова хронология внесения изменений в программном средстве? |
|
|
|
|
|
|
|
|
|||||||
o |
С какой |
целью |
было |
произведено |
изменение |
|
каких-либо |
функций |
в |
||||||
программном средстве? |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
o |
Направлены ли внесенные изменения в программное средство на преодоление |
||||||||||||||
его защиты? |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
o |
Какова хронология использования программного |
средства |
(начиная с |
ее |
|||||||||||
инсталляции)? |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
o Имеются ли в программном средстве враждебные функции, которые влекут уничтожение, блокирование, модификацию либо копирование информации, нарушение работы компьютерной
системы? |
|
|
o |
Другие вопросы, исходя из конкретных обстоятельств дела. |
|
|
информационно-компьютерная экспертиза; |
|
o |
Как отформатирован носитель информации и в каком виде на него записаны |
|
данные? |
|
|
o |
Какого вида (явный, скрытый, удаленный, архив) информация имеется на |
|
носителе? |
|
|
o |
Каким образом организован доступ (свободный, ограниченный и проч.) к |
|
данным на носителе информации и каковы его характеристики? |
||
o |
Какие признаки преодоления защиты (либо попыток несанкционированного |
|
доступа) имеются на носителе информации? |
||
o |
Каково содержание защищенных данных? |
|
o |
Каково фактическое состояние выявленных данных и соответствует ли оно |
|
типовому состоянию на соответствующих носителях данных? |
||
o |
Какая хронологическая последовательность действий (операций) с |
|
выявленными данными имела место при решении конкретной задачи (например, подготовки изображений денежных знаков, ценных бумаг, оттисков печатей и т. п.)?
o Какая причинная связь имеется между действиями (вводом, модификацией, удалением и проч.) с данным и произошедшим событием (например, нарушением в работе компьютерной системы, в том числе сбоями в программном и аппаратном обеспечении)?
|
компьютерно-сетевая экспертиза |
|
|
|
|
|
|
||||
o |
Имеются ли признаки работы |
данного компьютерного средства |
в сети |
||||||||
Интернет? |
|
|
|
|
|
|
|
|
|
|
|
o |
Какие аппаратные средства использовались для подключения к Интернету? |
||||||||||
o |
Имеются ли заготовленные соединения с узлом сети Интернет и каковы их |
||||||||||
свойства (номера телефонов провайдера, имена и пароли пользователя, даты создания)? |
|
|
|||||||||
o |
Каково |
содержание установок программы удаленного доступа |
к |
сети и |
|||||||
протоколов соединений? |
|
|
|
|
|
|
|
|
|
|
|
o |
Какие имеются адреса Интернета, по которым осуществлялся доступ с данного |
||||||||||
компьютерного средства? |
|
|
|
|
|
|
|
|
|
|
|
o |
Имеется ли какая-либо информация о проведении электронных платежей и |
||||||||||
использовании кодов кредитных карт? |
|
|
|
|
|
|
|
|
|
||
o |
Имеются ли почтовые сообщения, полученные (а также отправленные) по |
||||||||||
электронной почте? |
|
|
|
|
|
|
|
|
|
|
|
o |
Имеются ли сообщения, полученные (отправленные) посредством |
||||||||||
использования программ персональной связи через Интернет, и каково их содержание? |
|
|
|||||||||
o |
Другие вопросы, исходя из конкретных обстоятельств дела. |
|
|
||||||||
|
Вопросы комплексного исследования при судебной экспертизе целостной |
||||||||||
компьютерной системы |
(устройства): |
|
|
|
|
|
|
|
|
|
|
|
Является ли представленное оборудование компьютерной системой? |
|
|||||||||
|
Является ли представленное оборудование целостной компьютерной системой |
||||||||||
или же ее частью? |
|
|
|
|
|
|
|
|
|
|
|
|
К какому типу (марке, модели) относится компьютерная система? |
|
|
||||||||
|
Каковы общие характеристики сборки компьютерной системы и изготовления |
||||||||||
ее компонент? |
|
|
|
|
|
|
|
|
|
|
|
|
Какой |
состав |
(конфигурацию) |
и |
технические |
характеристики |
имеет |
||||
компьютерная система? |
|
|
|
|
|
|
|
|
|
|
|
|
Является ли конфигурация компьютерной системы типовой или расширенной |
||||||||||
под решение конкретных задач? |
|
|
|
|
|
|
|
|
|
|
|
|
Какое функциональное предназначение имеет компьютерная система? |
|
|||||||||
|
Имеются |
ли |
в компьютерной |
системе наиболее |
выраженные |
функции |
|||||
(потребительские свойства)? |
|
|
|
|
|
|
|
|
|
|
|
|
Решаются ли с помощью представленной компьютерной системы |
||||||||||
определенные функциональные (потребительские) задачи? |
|
|
|
|
|
||||||
|
Находится ли компьютерная система в рабочем состоянии? |
|
|
||||||||
|
Имеет |
ли |
компьютерная система |
какие-либо отклонения от |
типовых |
||||||
(нормальных) параметров, в том числе физические (механические) дефекты?
|
Какой |
перечень |
эксплуатационных |
режимов имеется |
в компьютерной |
системе? |
|
|
|
|
|
|
Какие |
эксплуатационные режимы |
задействованы |
(установлены) в |
|
компьютерной системе? |
|
|
|
|
|
|
Существуют ли в компьютерной системе недокументированные (сервисные) |
||||
возможности, если да, то какие? |
|
|
|
|
|
|
Какие носители информации имеются в данной компьютерной системе? |
||||
|
Реализована ли |
в компьютерной системе какая-либо |
система защиты |
||
информации? |
|
|
|
|
|
|
Какая система защиты информации имеется в данной компьютерной системе? |
||||
Каковы тип, вид и характеристики этой системы защиты? Каковы возможности по ее преодолению? |
|||||
|
Другие вопросы, исходя из конкретных обстоятельств дела. |
|
|||
Управлению «К» (Бюро специальных технических мероприятий) МВД России (его подразделению) поручается:
на основании собранных данных выяснить, с каких абонентских номеров осуществлялся доступ в Интернет в указанное время и по указанному адресу
по указанным абонентским номерам установить адреса, откуда производилась связь, и кто по этим адресам проживает
выявить среди них лиц, осуществивших несанкционированный доступ к компьютерной информации. Программа (алгоритм) расследования при второй следственной ситуации:
обыск по месту нахождения компьютера, с которого осуществлен несанкционированный доступ;
o |
Особенности производства обыска |
|
Идеальным можно считать проведение обыска в момент совершения |
преступления, устанавливаемого по предварительной договоренности с провайдером, который может сообщить о моменте выхода абонента в сеть Интернет.
|
В этом случае необходимо осуществить максимально |
быстрый доступ к |
компьютеру (без предварительного обесточивания квартиры). |
|
|
|
Отстранить пользователя от работы и с помощью видео- |
либо фототехники |
зафиксировать изображение на мониторе с указанием даты и времени фиксации, после чего произвести осмотр компьютера.
При проведении обыска необходимо обращать внимание на наличие рукописных записей в ежедневниках, телефонных и записных книжках, поскольку в большинстве случаев преступники ведут записи полученных ими сетевых реквизитов.
Установить, заключался ли пользователем договор на предоставление доступа в Интернет, и если да, то изъять соответствующие документы.
допросы в качестве свидетелей, проживающих там лиц
o Основная цель допроса свидетелей - максимально сузить круг лиц, имеющих возможность выхода в Интернет с данного компьютера.
допрос подозреваемого
o Каким образом были получены идентификационные данные. Если они получены у третьих лиц, то установить у кого, где, при каких обстоятельствах и на каких условиях. Если самостоятельно, то каким образом, с подробным описанием последовательности действий.
o Где, когда получены навыки («стаж») работы на персональном компьютере и в Интернете с подробным описанием процесса получения доступа в Интернет, а также основных целей работы в сети. Необходимо установить наличие знания порядка официального заключения договора, порядка оплаты и возможных последствий использования непринадлежащих идентификационных данных
o Каковы характеристики используемого компьютера, а также программного обеспечения, установленного на нем. Это позволит конкретизировать вопросы при назначении экспертизы, а также определить познания подозреваемого в компьютерной технике
назначение компьютерно-технической экспертизы по обнаруженной при обыске компьютерной технике
o |
Осуществлялся ли при помощи данной ЭВМ доступ в сеть Интернет. Если да, |
то через каких провайдеров, при помощи каких имен пользователей (имя пользователя - логин). |
|
o |
Имеется ли на жестком диске данной ЭВМ: |
|
имя пользователя (логин) и пароли к нему; |
|
фамилии, имена, телефонные номера и другие сведения, представляющие |
интерес по делу; |
|
|
программа для работы с электронной почтой (E-mail) и почтовые архивы, если |
да, то имеются ли среди архивов такие, которые могут представлять интерес в рамках настоящего уголовного
дела; |
|
|
какой адрес электронной почты принадлежал лицу, которое пользовалось этим |
экземпляром почтовой программы;
|
другие |
программы для общения |
через |
Интернет и |
архивы принятых и |
|
переданных сообщений; |
|
|
|
|
|
|
|
какой |
адрес |
электронной почты |
принадлежал лицу, |
которое пользовалось |
|
указанными экземплярами программ. |
|
|
|
|
|
|
|
Имеются ли |
на представленном |
ПК и |
носителях |
программы, заведомо |
|
приводящие к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети.
|
Какой квалификацией обладал человек, проводивший инсталляцию - |
процедуру установки программного обеспечения, его настройку на данной ЭВМ. |
|
|
При совпадении протоколов работы в сети, ведущихся у провайдера и на компьютере подозреваемого, |
последнему предъявляется обвинение.
Программа (алгоритм) расследования в третьей следственной ситуации:
осмотр места происшествия
допрос потерпевшего (пользователя) или его представителя
допрос в качестве свидетеля представителя фирмы-провайдера
выемка документов у пользователя (потерпевшего) и провайдера;
обыск по месту нахождения компьютера, с которого осуществлен несанкционированный доступ;
допросы свидетелей в качестве свидетелей, проживающих там лиц
допрос подозреваемого
назначение компьютерно-технической экспертизы по обнаруженной при осмотре и обыск компьютерной технике
При совпадении протоколов работы в сети, ведущихся у провайдера и на компьютере подозреваемого, последнему предъявляется обвинение