Экзамен зачет учебный год 2023 / Криминалистика под ред. Яблочкова

ливающих ее отличие от той, которую включил в систему и которой владеет собственник информационного ресурса. Ко пирование информации без явно выраженного согласия собст венника информационного ресурса независимо от способа ко пирования также является преступлением. Под понятием нарушение работы ЭВМ следует понимать создание правонару шителем любой нестандартной (нештатной) ситуации с ЭВМ или ее устройствами, повлекшей уничтожение, блокирование, моди фикацию или копирование информации.

Операции, производимые компьютерной техникой, осуще ствляются, главным образом, над файлами, являющимися но сителями информации. Для файлов характерны следующие стандартные свойства: тип информации (текстовая, числовая, графическая, программный код и др.); местонахождение ин формации (описание места расположения на временном или постоянном носителе и указание типа носителя); наименование (символьное описание названия); размер (объем) хранимой ин формации (количество страниц, абзацев, строк, слов, символов или байт); время создания, время изменения; атрибуты инфор мации (архивная, скрытая, системная, только для чтения идр.).

При передаче файлов и сообщений (информации) в других формах (в виде сигналов) по системам, например электросвязи, они не теряют своих индивидуальных свойств. Именно поэтому в числе носителей сведений, составляющих государственную тайну, указаны и физические поля, в которых сведения, состав ляющие государственную тайну, находят свое отображение в виде символов, образов, сигналов, технических решений и про цессов..

Способы преступной деятельности в сфере компьютерной ин формации включают в себя:

1) неправомерный доступ к компьютерной информации (рис. 31) — получение возможности знакомиться и осуществ лять операции с чужой информацией, находящейся в ЭВМ и на машинных носителях, т.е. действия, направленные прежде все го на нарушение конфиденциальности информации;

2)изготовление и распространение ВП как таких, которые приводят к нарушению целостности, так и таких, которые на правлены на нарушение конфиденциальности информации;

3)действия, связанные с нарушением порядка использова ния технических средств, повлекшие нарушение целостности и конфиденциальности информации.

682 Глава 35. Расслед. преступлений в сфере компьютерной информации

Рис. 31. Общая схема местонахождения компьютерной информации

Неправомерный доступ к компьютерной информации мо жет включать в себя: хищение и (или) копирование, подмену машинных носителей информации; копирование документов с исходными данными и выходных документов; использование визуальных, оптических и акустических средств наблюдения за ЭВМ; считывание и расшифровку различных электромаг нитных излучений и «паразитных наводок» в ЭВМ и в обеспе чивающих системах; запоминание информации; фотографиро вание информации в процессе ее обработки; изготовление дубликатов входных и выходных документов; копирование распечаток; использование недостатков программного обеспе чения, операционных систем; несанкционированное подключе ние к основной и вспомогательной аппаратуре ЭВМ, внешним запоминающим устройствам, периферийным устройствам, ли ниям связи и др.

Вредоносной является любая программа, специально разра ботанная или модифицированная для несанкционированного собственником информационной системы уничтожения, блоки

рования, модификации либо копирования информации, наруше ния обычной работы ЭВМ.

Существует как минимум два вида правил эксплуатации ЭВМ, которыми должны руководствоваться в своей деятельности лица, работающие с ЭВМ. Первый вид правил — инструкции по работе с ЭВМ и машинными носителями информации, разработан ные изготовителем ЭВМ и периферийных технических устройств, поставляемых вместе с данным экземпляром ЭВМ. Эти правила обязательны к соблюдению пользователем ЭВМ под угрозой, как минимум, потери прав на гарантийный ремонт и обслуживание. Второй вид правил — правила, установленные собственником или владельцем информационных ресурсов, информационных систем, технологий и средств их обеспечения, определяющие порядок пользования ЭВМ, системой ЭВМ и сетью ЭВМ, а также иными машинными носителями информации.

Обстановка совершения преступлений в сфере компьютер ной информации характеризуется рядом существенных фак торов. Для нее характерно несовпадение между местом совер шения противоправных действий и местом наступления общественно опасных последствий. Рассматриваемые преступле ния совершаются, как правило, в специфически интеллектуаль ной области профессиональной деятельности и с использованием специализированного оборудования. Все эти преступления обыч но совершаются в условиях различных нарушений установлен ного порядка работы с ЭВМ, о которых лицам становится извест но в ходе их соответствующей профессиональной подготовки. Для правонарушителей в данной области обычно достаточно ясен механизм возможных нарушений правил пользования ин формационными ресурсами и связь с событиями, повлекшими наступление криминального результата.

Субъекты данных преступлений нередко владеют специальны ми навыками не только в области управления ЭВМ и ее устройст вами, но и специальными знаниями в области обработки инфор мации в информационных системах в целом. При этом для корыстных преступлений, связанных с использованием информа ционных систем, характерны и специальные познания в соответ ствующих финансовых и иных информационных технологиях. Для нарушений правил эксплуатации ЭВМ и действий с ВП ха рактерны специальные познания в узкой предметной профессио нальной области устройств ЭВМ и программного обеспечения.

Субъекты преступлений в сфере компьютерной информации могут различаться как по уровню их профессиональной подго

684 Глава 35. Расслед. преступлений в сфере компьютерной информации

товки, так и по социальному положению. В частности, выделя ют следующие их виды:

1)«хакеры» — лица, рассматривающие защиту компьютер ных систем как личный вызов и взламывающие их для получе ния полного доступа к системе и удовлетворения собственных амбиций;

2)«шпионы» — лица, взламывающие компьютеры для полу чения информации, которую можно использовать в политиче ских, военных и экономических целях;

3)«террористы» — лица, взламывающие информационные системы для создания эффекта опасности, который можно ис пользовать в целях политического воздействия;

4)«корыстные преступники» — лица, вторгающиеся в ин формационные системы для получения личных имущественных или неимущественных выгод;

5)«вандалы» — лица, взламывающие информационные сис темы для их разрушения;

6)психически больные лица, страдающие новым видом пси хических заболеваний — информационными болезнями или компьютерными фобиями.

§2. Типовые следственные ситуации и общие направления

и методы расследования

Для преступлений в области компьютерной информации типич ны три ситуации первоначального этапа расследования:

Ситуация 1 — собственник информационной системы само стоятельно выявил нарушения целостности и (или) конфиденци альности информации в системе, обнаружил причастное лицо и заявил об этом в правоохранительные органы;

Ситуация 2 — собственник самостоятельно выявил назван ные нарушения в системе, однако не смог обнаружить виновное лицо и заявил об этом в правоохранительные органы;

Ситуация 3 — данные о нарушении целостности и (или) кон фиденциальности информации в информационной системе и ви новном лице стали общеизвестны или непосредственно обнару жены органом дознания (например, в ходе проведения оперативно розыскных мероприятий по другому делу).

Во всех этих ситуациях первоначальной задачей расследова ния является выявление данных о способе нарушения целостно сти и (или) конфиденциальности информации; порядка регла ментации собственником работы информационной системы;

круга лиц, имеющих возможность взаимодействовать с инфор мационной системой, в которой произошли нарушения целост ности и (или) конфиденциальности информации. Решение этих задач позволяет определить свидетельскую базу и выявить круг лиц, причастных к данному деянию, определить размер причи ненного собственнику информации ущерба. Эти задачи решают ся и достигаются в ходе допросов свидетелей и очевидцев, а так же осмотра ЭВМ и машинных носителей и выемок необходимой документации. Важной спецификой первоначальных следствен ных действий является необходимость привлечения к участию в деле специалистов.

Первичное обнаружение признаков (рис. 32) неправомерных действий посторонних лиц с компьютерной информацией осуще ствляется, как правило, сотрудниками собственника информа ционной системы и ее пользователями. Косвенными признаками постороннего вторжения в ЭВМ, вызывающими подозрения и находящими отражение в показаниях очевидцев, являются:

—изменения заданной в предыдущем сеансе работы с ЭВМ структуры файловой системы, в том числе: переименование ка талогов и файлов; изменения размеров и содержимого файлов; изменения стандартных реквизитов файлов; появление новых каталогов и файлов и т.п.;

—изменения в заданной ранее конфигурации компьютера, в том числе: изменение картинки и цвета экрана при включении; изменение порядка взаимодействия с периферийными устройст вами (например, принтером, модемом и т.п.); появление новых и удаление прежних сетевых устройств и др.;

—необычные проявления в работе ЭВМ: замедленная или неправильная загрузка операционной системы; замедление ре акции машины на ввод с клавиатуры; замедление работы маши ны с внешними устройствами; неадекватные реакции ЭВМ на команды пользователя; появление на экране нестандартных символов и т.п.

Признаки первых двух групп могут свидетельствовать об имевших место фактах неправомерного доступа к ЭВМ или о нарушении правил ее эксплуатации; признаки третьей груп пы, кроме того, могут являться свидетельством о появлении в ЭВМ ВП.

Наряду с показаниями очевидцев большое значение имеют результаты осмотра ЭВМ и машинных носителей компьютерной информации, в ходе которого фиксируются следы нарушения целостности (конфиденциальности) информационной системы и

686 Глава 35. Расслед. преступлений в сфере компьютерной информации

Рис. 32. Виды следов преступной деятельности в ЭВМ

ина машинных носителях, принадлежащих преступнику

ееэлементов. Анализ первичных данных о расследуемом собы тии позволяет конкретизировать характер преступления и опре делить дальнейшие направления расследования и розыскных мероприятий.

Важную роль в сборе данных о совершенном преступлении играют действия должностных лиц собственника информацион ной системы, осуществляющих процедуры, обеспечивающие целостность (конфиденциальность) информации в системе, кото рые в отдельных случаях могут выступать в качестве специали стов при производстве следственных действий.

Если преступник задержан на месте совершения преступле ния или сразу же после его совершения, для данной ситуации характерны следующие первоначальные следственные действия: личный обыск задержанного; допрос задержанного; обыск по месту жительства задержанного.

К типичным следственным действиям на данной стадии можно отнести осмотр и фиксацию состояния ЭВМ, машинных носителей (рис. 33), допросы очевидцев, а также лиц, обеспечи вающих работу информационной системы, в том числе должно стных лиц, представляющих собственника системы.

Рис. 33. Виды следов преступной деятельности вокруг ЭВМ и на машинных носителях, принадлежащих преступнику

Важнейшим элементом работы является выемка (предпочти тельно с участием специалиста) документов, в том числе на ма шинных носителях, фиксировавших состояния информацион ной системы в момент вторжения в нее злоумышленника или его программ и отражающих последствия вторжения.

Одновременно следует принять меры к фиксации состояния рабочего места заподозренного, откуда он осуществил вторжение в информационную систему и где могут сохраняться следы его действий (их подготовки и реализации). Такое место может быть как по месту его службы, так и дома, а также в иных местах, где установлена соответствующая аппаратура, например студенче ские вычислительные центры и др.).

Полученные в результате доказательства могут обеспечить основания для принятия решения о привлечении лица к делу в качестве подозреваемого или сразу в качестве обвиняемого.

При отсутствии заподозренного виновного лица первоначаль ная задача следствия заключается в сборе с помощью собствен

688 Глава 35. Расслед. преступлений в сфере компьютерной информации

ника информационной системы и процессуальной фиксации до казательств.

Следует принять меры к розыску виновного и поиску его ра бочего места, откуда осуществлялось вторжение в информацион ную систему. При этом осуществляется поиск: места входа в данную информационную систему и способа входа в систему — вместе и с помощью должностных лиц собственника информа ционной системы; путей следования, через которые вошел в «атакованную» систему злоумышленник или проникли его про граммы — вместе и с помощью должностных лиц иных инфор мационных и коммуникационных систем — до рабочего места злоумышленника.

Круг типовых общих версий сравнительно невелик: преступ ление действительно имело место при тех обстоятельствах, кото рые вытекают их первичных материалов; преступления не было, а заявитель добросовестно заблуждается; ложное заявление о преступлении.

Типовыми частными версиями являются: версии о личности преступника(ов); версии о местах внедрения в компьютерные системы; версии об обстоятельствах, при которых было соверше но преступление; версии о размерах ущерба, причиненного пре ступлением.

§ 3. Особенности расследования на начальном

и последующих этапах

Спецификой дел данной категории является то, что с самого на чала расследования следователю приходится взаимодействовать со специалистами в области компьютерной техники. Понятно, что при современном и интенсивном развитии компьютерных и информационных технологий юрист следователь не в состоянии отслеживать все технологические изменения в данной области. Специалисты крайне необходимы для участия в обысках, осмот рах и выемках. Поиск таких специалистов следует проводить в предприятиях и учреждениях, осуществляющих обслуживание и эксплуатацию компьютерной и коммуникационной техники, в учебных и научно исследовательских организациях. В крайнем случае могут быть привлечены сотрудники организации, компь ютеры которой подверглись вторжению (при их непричастности к расследуемому событию), а также специалисты зональных информационно вычислительных центров региональных УВД МВД России. В ряде регионов страны начали действовать под

§ 3. Особенности расследования на начальном и последующих этапах 689

разделения ЭКЦ МВД России, осуществляющие экспертную поддержку следствия, в том числе и в области исследования компьютерной информации и ее носителей. Соответственно

компьютерно техническая экспертиза может оказать действен ную помощь при выяснении следующих вопросов: какова кон фигурация и состав ЭВМ и можно ли с помощью этой ЭВМ осу ществить исследуемые действия; какие информационные ресурсы находятся в данной ЭВМ; не являются ли обнаружен ные файлы копиями информации, находившейся на конкретной ЭВМ; не являются ли представленные файлы с программами, за раженными вредоносными программами и если да, то какими именно; не являются ли представленные тексты на бумажном носителе записями исходного кода программы и каково назначе ние этой программы; подвергалась ли данная компьютерная ин формация изменению и если да, то какому именно и др.

В связи с тем что при осмотре ЭВМ и носителей информации производится изъятие различных документов, в ходе расследо вания может возникнуть необходимость в назначении кримина листической экспертизы для исследования документов. Дакти лоскопическая экспертиза позволит выявить на документах, частях ЭВМ и машинных носителях следы пальцев рук причаст ных к делу лиц.

Осмотр и обыск (выемка) особенно в начале расследования являются важнейшими инструментами установления обстоя тельств расследуемого события. В ходе этих действий следует де тально фиксировать не только факт изъятия того или иного объ екта, но и фиксировать процесс обыска и результаты осмотра места происшествия для точного отражения местонахождения этого объекта во взаимосвязи с другими найденными на месте обыска объектами.

Для осмотров, обысков и выемок, сопряженных с изъятием ЭВМ, машинных носителей и информации, характерен ряд об щих проблем, связанных со спецификой изымаемых техниче ских средств. Так, необходимо предусмотреть меры нейтрализа ции средств и приемов, предпринимаемых преступниками с целью уничтожения вещественных доказательств. Ими может, например, использоваться специальное оборудование, в крити ческих случаях создающее сильное магнитное поле, стирающее магнитные записи. Преступник может включить в состав про граммного обеспечения своей машины программу, которая за ставит компьютер требовать пароль периодически и, если в тече ние нескольких секунд правильный пароль не будет введен,

690 Глава 35. Расслед. преступлений в сфере компьютерной информации

данные в компьютере автоматически уничтожатся. Изобрета тельные владельцы компьютеров устанавливают иногда скры тые команды, удаляющие или архивирующие с паролями важ ные данные, если некоторые процедуры запуска машины не сопровождаются специальными действиями, известными только им. Следует учитывать и возможность возрастания в ходе обы ска напряжения статического электричества, которое может по вредить данные и магнитные носители. Желательно иметь с со бой и использовать устройство для определения и измерения магнитных полей (например, компас). Вещественные доказа тельства в виде ЭВМ, машинных носителей требуют особой ак куратности при транспортировке и хранении. Им противопока заны резкие броски, удары, повышенные температуры (выше комнатной), влажность, задымленность (в том числе табачный дым) и запыленность.

Не следует забывать при осмотрах и обысках о возможностях сбора традиционных доказательств, например, скрытых отпе чатков пальцев на клавиатуре, выключателях и тумблерах, ру кописных, в том числе шифрованных записей и проч.

Осмотру подлежат все устройства конкретной ЭВМ. Этот ос мотр при анализе его результатов с участием специалистов помо жет воссоздать картину действий злоумышленников и получить важные доказательства. Фактически оптимальным вариантом изъятия ЭВМ и машинных носителей информации является должная фиксация их и их конфигурации на месте обнаруже ния и упаковка таким образом, чтобы их можно было сразу пра вильно и точно так, как на месте обнаружения, соединить в ла бораторных условиях или в месте производства следствия с участием специалистов.

Следственные действия могут производиться в целях осмотра и изъятия ЭВМ и ее устройств; поиска и изъятия информации и следов воздействия на нее в ЭВМ и ее устройствах; поиска и изъ ятия информации и следов воздействия на нее вне ЭВМ. В зави симости от этих целей могут использоваться различные приемы исследования.

Осмотр и изъятие ЭВМ и ее устройств. Признаками работаю щей ЭВМ могут быть подключение ее проводами к сети, шум ра ботающих внутри ЭВМ вентиляторов, мигание или горение ин дикаторов на передних панелях системного блока, наличие на экране изображения. Если ЭВМ работает, ситуация для следова теля, проводящего следственное действие без помощи специали ста, существенно осложняется, однако и в этом случае не следу