методика расследования
.pdfсы установления и изъятия средств вычислительной техники, которые, возможно, были использованы при совершении преступления. Это связано с угрозой частичного или полного уничтожения документов на машинных магнитных носителях информации лицом, противодействующим расследованию.
2.Изучение документов на машинных магнитных носителях информации может предоставить ценную информацию об объективной стороне преступления, но осложнено действием многих факторов. Так, в большинстве случаев к компьютерной системе имеют доступ несколько человек, компьютер входит в состав локальной или глобальной сети, не применяются процедуры разграничения доступа к ресурсам, не ведутся протоколы работы пользователей на компьютере.
3.Обстоятельства, влияющие на степень и характер ответственности обвиняемого, а также иные обстоятельства, характеризующие его личность. Эти обстоятельства могут быть выяснены в ходе осмотра всех документов, имеющихся на машинных магнитных носителях информации. Нередко подобные документы содержат подробности подготовки и осуществления выявленной преступной деятельности, доказательства подготовки к другим преступлениям, а совокупность документов, накапливающаяся в течение длительного времени, позволяет создать психологический портрет преступника.
4.Характер и размер ущерба, причиненного преступлением. В отно-
шении компьютерных преступлений значительную сложность представляет определение степени нарушения работоспособности аппаратных и программных компонентов компьютерной системы, влияния конкретных данных и их определенной совокупности на работоспособность вычислительного средства, определение целесообразности и объективности затрат на восстановление работоспособности системы, выражение ущерба в денежной форме.
5.Причины и условия, способствующие совершению преступления,
находятся в тесной взаимосвязи с уровнем программной и аппаратной защиты компьютерной системы, уровнем квалификации персонала организации и профессиональной подготовки пользователей компьютерной си-
290
стемы, а также с проведенными организационными мероприятиями по защите информации.
В преступлениях, совершенных с использованием документов на машинных магнитных носителях информации, возможно выделить наиболее часто встречающиеся причины и условия, способствующие совершению преступления: предоставление комплекта техники, обладающего мощными полиграфическими возможностями, в бесконтрольное пользование сотруднику; отсутствие контроля за содержанием создаваемых в течение рабочего дня документов на машинных магнитных носителях информации; неофициальное предоставление сотруднику возможности выполнения посторонней работы, игр во внерабочее время; отсутствие разграничения доступа к компьютерной информации; предоставление неконтролируемого доступа в сеть Интернет; отсутствие структурного подразделения или сотрудника, обязанностью которого являются установка программного обеспечения, контроль работоспособности программ, обеспечение антивирусной защиты организации; использование контрафактных компьютерных программ, не обеспеченных технической поддержкой фирм-произ- водителей.
Вероятные мотивы и цели преступлений рассматриваемой категории могут быть следующими:
1.Компроментация отдельных лиц и организаций. Мотив имеет два аспекта: а) политический, приводящий к попытке дискредитации политических противников; б) экономический, приводящий к попытке получения преимуществ в ходе конкуренции.
2.Экономические мотивы (корыстные соображения). Наиболее часто встречающиеся мотивы при совершении преступлений с использованием документов на машинных магнитных носителях информации. В большинстве случаев они приводят к подделке с помощью компьютерной техники документов правоустанавливающего характера либо денежных купюр. Исполнитель, как правило, в течение некоторого времени пользуется мощными и разнообразными компьютерными программами, оставляя большое количество криминалистически значимых информационных «следов» на машинном носителе информации.
291
3.Промышленный шпионаж. Особый случай экономических мотивов, выделяемый в отдельную позицию в связи с использованием в преступных целях возможностей локальных или глобальных компьютерных сетей. Принятие указанного мотива в качестве рабочей версии связано с необходимостью выявления «дыры» в программном обеспечении, через которую открыт доступ к документам, с необходимостью установления списка похищенных (измененных) документов, а также выявления компьютеров, которые использовались для совершения преступного действия.
4.Противодействие деятельности правоохранительных органов. Мо-
тив имеет два возможных целевых аспекта. Первый – нарушение работоспособности вычислительных средств (систем) правоохранительных органов. Второй – преднамеренное уничтожение документов на машинных носителях информации, принадлежащих преступнику, с целью противодействия проводимому или предполагаемому расследованию. Второй случай наиболее распространен и требует применения специальных познаний для выявления (при возможности) на машинных магнитных носителях информации указанных документов (частей документов) и определения их характеристик.
5.Исследовательский интерес. Мотив связан с наличием в свободной продаже контрафактных экземпляров программ различного, в том числе деструктивного, назначения, свободным распространением подобных программ в сети Интернет, возможностью бесконтрольно устанавливать неизвестное программное обеспечение на компьютерах организации, отсутствием у пользователя компьютера навыков обращения с программами неизвестного назначения и происхождения. Возможны неумышленные действия, подпадающие под действие ст. 272-274 УК РФ.
Преступления, совершаемые в сфере экономической деятельности с использованием компьютерной техники и технологий, в зависимости от способа их совершения различны, поэтому их следует разделить на две большие группы: незаконные операции, сопряженные с неправомерным доступом в компьютерные сети; незаконные операции с использованием пластиковых карт.
С учетом указанных способов в качестве первостепенных элементов
292
криминалистической характеристики преступлений в сфере экономической деятельности с использованием компьютерной технологии и пластиковых карт необходимо выделить следующие: механизм следообразования и сокрытия преступлений и взаимосвязанный с ним элемент; место преступления, компьютеры; машинные носители информации как место нахождения компьютерной информации, а также средства осуществления преступной деятельности и личность преступника.
Следовая картина в ходе расследования является важным элементом механизма преступления.
Важнейшим машинным носителем компьютерной информации является внешняя память, реализуемая на различных устройствах. В момент, когда компьютер выключен, информация в виде файлов хранится в различных устройствах внешней памяти, которые находятся в неактивном состоянии и не могут использоваться данной ЭВМ для манипуляции с информацией, записанной на них.
Под файлом принято понимать ограниченный объем информации, существующей физически в устройствах внешней памяти ЭВМ, системе ЭВМ или сетях ЭВМ. Все операции, производимые компьютерами, осуществляются над файлами. Для файлов, обрабатываемых ЭВМ, характерны следующие стандартные свойства: тип содержащейся в нем информации (текстовая, числовая, графическая, программный код и др.); местонахождение информации (описание места расположения на временном или постоянном носителе и указание типа носителя); наименование (символьное описание названия); размер (объем) хранимой информации (количество страниц, абзацев, строк, слов, символов или байт); имя создания, время изменения; атрибуты информации (архивная, скрытая, системная только для чтения и др.).
Другим местом нахождения компьютерной информации является
оперативное запоминающее устройство (ОЗУ) и постоянное запоми-
нающее устройство (ПЗУ). Все преобразования информации в ЭВМ и ее устройствах осуществляет центральный процессор, включающий в свой состав постоянное ОЗУ и ПЗУ. В англоязычной литературе ПЗУ называется Read-Only Memory (ROM) – «только читаемая память». В ПЗУ изгото-
293
вителем процессора записаны данные и команды, обеспечивающие запуск компьютера после включения питания. Это так называемая базовая систе-
ма ввода-вывода (Basic Input/Output System – BIOS). Как указывается в специальной литературе, BIOS является частью ПЗУ, которая активно используется в течение всего времени работы компьютера. Назначение ВIOS
– обеспечить выполнение всех основных служебных функций, необходимых для работы компьютера, в том числе и управление периферийными устройствами компьютера, такими как экран, клавиатура и дисководы.
При запуске компьютера (включении электропитания) в ОЗУ (или Random Access Memory – RAM) в определенном порядке загружаются операционная система (ОС), файлы с командами (программы) и данными пользователя. Именно прикладные программы (программы пользователя) обеспечивают обработку информации на ЭВМ в интересах пользователя. Последовательность и характер такой обработки задается центральным процессором (ЦП) сначала по командам операционной системы, а затем командами программ пользователя. Важно знать, что при отключении электропитания ОЗУ утрачивает свое содержание, т. е. информация в нем стирается. Устройство управления, расположенное в нем, выдает команды на электрическом уровне на различные устройства ЭВМ в соответствии с определенным решаемой задачей порядком обработки данных – управляет памятью, вводом-выводом, периферийными устройствами и др.
Фактически к моменту окончания процесса запуска ЭВМ ее ОЗУ содержит набор команд и данных, в дальнейшем при работе прикладными программами данные в виде файлов или их частей перемещаются из ОЗУ назад на внешние запоминающие устройства или направляются в блоки памяти устройств вывода либо иным пользователям компьютерной сети с помощью устройств связи. Это перемещение обусловлено либо командами операционной системы, либо командами программы пользователя, либо прямыми командами пользователя.
Сведения о том, где и какая информация хранится или какими командами обрабатывается в ОЗУ в каждый конкретный момент времени, доступны опытному пользователю и при необходимости могут быть им получены немедленно с помощью стандартных инструментов, существую-
294
щих, например, в операционной системе WINDOWS 95, 98 и 2000. Другое дело, что большинство пользователей не интересуются этим вопросом и не осуществляют текущего контроля за состоянием обработки информации в ОЗУ, рассматривая только конечный результат обработки своих данных. Лишь в случаях, когда нормальный процесс обработки данных прерывается или внешне необоснованно задерживается, пользователь приступает к выяснению причин возникновения критической ситуации всеми доступными ему средствами. Находящаяся в ОЗУ информация может быть всегда индивидуально определена, так как, при нахождении в ОЗУ она не теряет своих типовых свойств, местоположение и порядок ее движения в ОЗУ достаточно жестко упорядочен командами операционной системы и программами пользователя.
Оперативное запоминающее устройство ЭВМ фактически является также машинным носителем компьютерной информации, неправомерный доступ к которой наказывается уголовным законом.
В процессе обработки информации ЭВМ ведет активный обмен данными со своими периферийными устройствами, в том числе с устройствами управления, ввода и вывода информации, которые, в свою очередь, нередко имеют собственные ОЗУ, где временно хранятся массивы информации, предназначенные для обработки этими устройствами. Примером такого устройства является, в частности, лазерный принтер, где могут стоять «в очереди» на печать несколько документов, и др.
Создание у самостоятельных компьютерных периферийных устройств собственного ОЗУ – тенденция развития их производства. Передача в такие ОЗУ порций, или «страниц», информации из ОЗУ основного компьютера увеличивает его быстродействие за счет увеличения ресурсов памяти. Периферийное ОЗУ сходно с ОЗУ ЭВМ. Оно поддается контролю и управлению и, следовательно, может рассматриваться как реальный машинный носитель компьютерной информации.
Таким образом, к машинным носителям компьютерной информации относят устройства непосредственно ЭВМ, ее периферийные устройства, компьютерные и иные устройства связи, сетевые устройства и сети электросвязи.
295
Рассмотрим более подробно некоторые частные случаи следовых картин для выделенных нами ранее информационных преступлений.
Следы на машинных носителях. Как отмечалось, противоправные действия с компьютерной информацией включают в себя неправомерный доступ к ней с помощью компьютерной техники (в том числе уничтожение, блокирование, модификацию либо копирование информации), создание, использование и распространение вредоносных программ для ЭВМ. Характерной особенностью данного вида деятельности является то, что место совершения непосредственно преступных действий и место, где наблюдаются и материализуются его результаты, могут находиться на значительном расстоянии (например, в разных точках земного шара) друг от друга. При неправомерном доступе и распространении вредоносных программ, а также при нарушении правил эксплуатации ЭВМ, системы ЭВМ или их сети следовая картина включает в себя: следы на машинных носителях, посредством которых действовал преступник на своем рабочем месте; следы на «транзитных» машинных носителях, посредством которых преступник осуществлял связь с информационными ресурсами, подвергавшимися нападению; следы на машинных носителях информационной системы, в которую осуществлен неправомерный доступ.
Следы преступной деятельности на машинных носителях, находящихся у преступника и вокруг его ЭВМ, могут быть зафиксированы в ходе расследования.
Явными следами криминальных действий являются обнаруженные на конкретном машинном носителе копии «чужих» файлов, специализированное программное обеспечение, предназначенное для «взлома» систем и файлов и др. Сходные следы могут быть обнаружены и на машинных носителях, в которые проник преступник.
Особую группу следов, могущих стать важными доказательствами по делу, образуют материалы и устройства, которые могут быть обнаружены возле ЭВМ, использующейся для преступной деятельности. Из приведенного нами перечня многие материалы могут стать как прямыми, так и косвенными данными, устанавливающими факты неправомерного доступа, изготовления и распространения вредоносных программ и др.
296
Признаки воздействия на информацию. Воздействия злоумыш-
ленников, направленные на проникновение в информационные системы, осуществляются прежде всего на программно-технические устройства: управления связью с другими пользователями; управления устройствами ЭВМ; управления файлами (копирование, удаление, модификация).
Признаки действия вредоносных программ. Вызываемые вредонос-
ными программами (ВП) эффекты могут быть классифицированы по следующим основным категориям: отказ компьютера от выполнения стандартной функции; выполнение компьютером действий, не предусмотренных программой; разрушение отдельных файлов, управляющих блоков и программ, а иногда и всей файловой системы (в том числе путем стирания файла, форматирования диска, стирания таблицы расположения файлов и др.); выдача ложных, раздражающих, неприличных или отвлекающих сообщений; создание посторонних звуковых и визуальных эффектов; инициирование ошибок или сбоев в программе или операционной системе, перезагрузка или «зависание» программ или систем; блокирование доступа к системным ресурсам; имитация сбоев внутренних и периферийных аппаратных устройств; ускорение износа оборудования или попытки его порчи.
При возникновении «вирусных» проблем с отдельной ЭВМ, входящей в состав сети, администратор сети обычно пытается локализовать эту ЭВМ с целью недопущения распространения ВП по сети, выявления и ликвидации этой ВП. Одновременно осуществляется поиск источника проникновения вредоносной программы в ЭВМ. Наиболее частый случай проникновения «вируса» в систему – работа пользователя с инфицированными дискетами, поэтому адекватной реакцией администратора системы является физическое прекращение работы всех пользователей системы с дисководами и требование о проверке всех пользовательских дискет. Иногда последнее действие дает результат, и по пояснениям добросовестного пользователя, принесшего инфицированную «вирусом» дискету, удается установить, где именно произошло заражение. Учитывая, что с помощью специальных «антивирусных» программ ВП идентифицируются, т. е. устанавливается тип, а иногда и их наименование, в дальнейшем имеется абстрактная возможность проследить шаг за шагом пути его «доставки» в конкретную ЭВМ.
297
В случаях «вирусной атаки» следует различать последствия этой атаки и действий по ее отражению. Обычно в подобных случаях используются антивирусные программы, подразделяющиеся на следующие: «детекторы» – программы, определяющие, заражена ли программа тем или иным вирусом; «ревизоры» – программы, определяющие, внесены ли ка- кие-либо изменения в текст программы или нет; «фаги» – программы, вырезающие компьютерные вирусы из зараженных программ; «вакцины» – программы, делающие компьютер в целом или отдельные программы невосприимчивыми к тому или иному типу компьютерного вируса; «сторожа» – программы, выявляющие попытки выполнить «незаконные» операции с файлами.
Действия с коммуникационным оборудованием. Коммуникационные преступления и противоправные действия с информационным оборудованием – наименее изученные в России виды криминальной деятельности. Противоправные действия в области телекоммуникаций включают в себя действия по незаконному получению информации с технических и радиотехнических средств связи.
Коммуникационные преступления могут включать: противоправные действия по прослушиванию и приборной фиксации информации в виде акустических сигналов – телефонных переговоров и иных сообщений (радиообмен, пейджинговые, радио, модемные, перехват информации с иных каналов связи), а также усиление сигнала на выходе, его фильтрация и иные специальные методы обработки; противоправные действия по визуальному наблюдению и приборное документирование его результатов, в том числе увеличение, уменьшение, наблюдение в условиях плохой видимости и иные специфические методы наблюдения; противоправные действия по перехвату и регистрации информации в виде электромагнитных колебаний с технических каналов и аппаратов связи; противоправный приборный контроль почтовых сообщений и отправлений.
Способом совершения преступлений данной разновидности являются неправомерные сбор, поиск, накопление и хранение конфиденциальной информации, которая может относиться к разряду различных тайн, в том числе к личной конфиденциальной информации, конфиденциальной ин-
298
формации юридических лиц, государственной конфиденциальной информации. Указанные действия реализуются с помощью специально приспособленных или адаптированных для преступных целей технических средств.
Перехваченная информация может анализироваться, группироваться и храниться с использованием специализированного программного обеспечения, установленного на ЭВМ или технических средствах звукозаписи.
Противоправные действия с иным информационным оборудованием.
Противоправные действия с информационным оборудованием включают в себя нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети; изготовление в целях сбыта или сбыт поддельных кредитных либо расчетных карт, когда карты обеспечивают неправомерный доступ к информационному оборудованию; незаконные производство, сбыт или приобретение в целях сбыта специальных технических средств, предназначенных для негласного получения информации; «телефонное мошенничество».
Судебная и следственная практика показывает, что существует несколько разновидностей таких действий: установка телефона на основе ложной информации о его владельце с целью получения необходимого сервиса без оплаты; кража и подделка телефонных карточек, обеспечивающих безвозмездное получение услуг телефонной связи; неправомерное получение кодов доступа к телефонным линиям с целью бесплатного получения услуг телефонной связи; перекодирование сотовых телефонов для бесплатного получения услуг связи; неправомерное получение серийных и идентификационных номеров сотовых телефонов для невозможности их идентификации и бесплатного получения услуг связи.
Для «телефонного мошенничества» характерно, что преступные манипуляции с данной техникой часто совершаются вместе с преступлениями в области компьютерной информации. Дальнейшее развитие мобильной телефонной связи обеспечивает лицам, осуществляющим криминальную деятельность с использованием ЭВМ, возможности эффективного доступа к чужим информационным ресурсам. Имея «перекодированный» мобильный телефон, преступник может рассчитывать на анонимность и сравнительно беспрепятственно с минимальными затратами получать доступ к компьютерной информации практически без ограничения расстояния.
299