- •Лекция 2 . Уголовно-правовые и процессуальные основы использования специальных познаний при раскрытии и расследовании преступлений, сопряженных с применением компьютерных средств
- •§1.1. Уголовно-правовая характеристика и особенности юридической квалификации преступлений, сопряженных с применением компьютерных средств
- •1.1.1. Уголовно-правовые аспекты преступлений, сопряженных с применением компьютерных средств
- •1.1.2. Особенности квалификации преступлений и административных правонарушений, сопряженных с применением компьютерных средств
- •§1.2. Криминалистическая характеристика компьютерных преступлений
- •1.2.1. Структура криминалистической характеристики преступлений в сфере компьютерной информации
- •1.2.2. Механизм следообразования в компьютерных средствах и системах
- •§1.3. Особенности собирания криминалистически значимой компьютерной информации
- •1.3.1. Обнаружение и фиксация компьютерных средств
- •1.3.2. Изъятие, транспортировка и хранение компьютерных средств
- •1.3.3. Предложения по совершенствованию уголовно-процессуаль-ного законодательства с учетом особенностей предварительного расследования преступлений в сфере компьютерной информации
- •Глава 25. Обыск. Выемка. Наложение ареста на почтово-телеграфные и электронно-почтовые отправления, локальные вычислительные сети. Контроль и запись переговоров
- •§1.4. Формы использования в уголовном и гражданском судопроизводстве специальных познаний в сфере современных информационных технологий
- •1.4.1. Понятие специальных познаний и основного их носителя в сфере современных информационных технологий
- •1.4.2. Особенности использования специальных познаний при проведении следственных и судебных действий
- •1.4.3. Непроцессуальные формы использования специальных познаний в сфере компьютерных технологий
§1.3. Особенности собирания криминалистически значимой компьютерной информации
1.3.1. Обнаружение и фиксация компьютерных средств
Преступления, сопряженные с использованием компьютерных средств, носят зачастую латентный характер, не оставляют видимых следов и сложны с точки зрения раскрытия и собирания доказательственной информации в связи со сложностью объектов – носителей этой информации, широким применением средств удаленного доступа и рядом других причин. При расследовании по делам указанной категории участие специалиста в сфере разработки и использования современных информационных технологий необходимо, поскольку, даже малейшие неквалифицированные действия с компьютерной системой зачастую заканчиваются безвозвратной утратой ценной розыскной и доказательственной информации.
Отмеченные уже ранее новые положения УПК РФ (ст.70), не препятствующие производства судебной экспертизы специалистом, участвующем в проведении следственного действия, имеют большое значение для собирания доказательств по делам, сопряженным с использованием компьютерных средств.
Практика показывает, что наиболее полезно участие специалиста в следственном осмотре, обыске и выемке. Собирание доказательств из автономных компьютерных систем, компьютеров, входящих в вычислительную сеть, а также других компьютерных средств в процессе следственного осмотра состоит в следующем.
Объектами осмотра по делам, связанным с компьютерными преступлениями, являются место происшествия и его обстановка, отдельные компьютерные средства и комплектующие, иные предметы, документы. При расследовании компьютерных преступлений производятся, как правило, следующие виды следственного осмотра:
осмотр места происшествия или помещений, не являющихся местом преступления (офис или производственное помещение организации любой из форм собственности, квартира, частный дом, компьютерный класс учебного заведения, Интернет-кафе и пр.);
осмотр предметов (компьютеров, органайзеров, мобильных телефонов, их комплектующих, носителей компьютерной информации и пр.);
осмотр документов (описаний к компьютерным системам, производственно-эксплуатационной документации, документов финансовой отчетности, телефонных счетов и др.).
Осмотр места происшествия по делам, сопряженным с использованием компьютерных технологий – неотложное следственное действие, направленное на установление, фиксацию и исследование обстановки места происшествия, следов преступления и преступника, отобразившихся в компьютерном устройстве или вычислительной сети и иных фактических данных, позволяющих в совокупности с другими доказательствами сделать вывод о механизме компьютерного преступления и иных обстоятельствах расследуемого события.
Известно, что место происшествия (в пределах которого обнаружены следы совершенного преступления) может не совпадать с местом преступления. Это особенно характерно для преступлений в сфере компьютерной информации, например, когда вредоносная программа заносится в компьютерную сеть в одном городе, а преступный результат наступает в другом или даже в другой стране.
Осмотр предметов – компьютерных средств – позволяет устанавливать состояние предмета, наименование и назначение, выявить индивидуальные признаки компьютера, дискеты или носителя данных, его дефекты и особенно признаки, свидетельствующие о том, по какому назначению он использовался и как интенсивно, а также признаки, указывающие на связь предмета, с расследуемым событием. В процессе осмотра компьютерных средств необходимо сосредоточить свои усилия на выявлении тех следов и признаков, которые впоследствии станут объектами экспертного исследования, и строго соблюдать правила обращения с этими объектами, чтобы обеспечить их сохранность и доказательственную силу. Все это возможно только при участии специалиста.
Осмотр документов – источников и носителей криминалистически значимой компьютерной информации – имеет своей целью выявление и фиксацию таких их признаков, которые придают документам значение вещественных доказательств, а также установление удостоверенных документами или изложенных в них обстоятельств и фактов, имеющих значение для дела. Тщательный осмотр документации, распечаток с принтеров, листингов программ, различных записей, даже на клочках бумаги, может иметь значение для успешного достижения цели. Сделать это необходимо и потому, что программисты часто не надеются на свою память и оставляют записи о паролях, изменениях конфигурации системы, особенностях построения информационной базы, комментариях к используемым идентификаторам и пр.
С целью обнаружения и осуществления фиксации следов преступлений, сопряженных с использованием компьютерных средств, рекомендуется наличие комплекта средств, включающего в себя как специальные аппаратно-программные средства, так и традиционные средства видеозаписи (фотографирования) и упаковочный материал.
Участие специалиста в осмотре или обыске (выемке) в помещениях, где находится много компьютерных устройств, работает множество людей сопряжено со значительными трудностями. Важнейшими условиями успеха в обнаружении криминалистически значимой компьютерной информации является установление следующих данных:
количество установленных компьютеров и их типы (сервера, рабочие станции и т.п.);
места расположения компьютерных средств (в т.ч. периферийных устройств);
схема организации электропитания и наличия автономных источников питания;
перечень используемых носителей компьютерных данных;
наличие локальной сети и выхода в другие сети с помощью модема, радиомодема или выделенных линий;
используемое системное и прикладное программное обеспечение;
наличие систем защиты информации, их типы; возможности использования средств экстренного уничтожения компьютерной информации;
уровень квалификации пользователей, а также особенности взаимоотношений среди сотрудников, обслуживающих вычислительную технику.
Выявление указанных данных позволит не только в минимальные сроки обнаружить и зафиксировать всю криминалистически значимую информацию, хранящуюся в компьютерных системах и средствах, но и максимально повысить ее доказательственное значение. Для специалиста также являются важными любые данные, которые могут быть получены при допросе администратора системы (системного администратора).
Помимо специалистов в области компьютерных технологий к участию в следственных действиях обычно привлекается специалист-криминалист, поскольку на компьютерных средствах зачастую оказываются следы рук, металлообрабатывающих инструментов, ручной пайки различных элементов аппаратных средств, а также обнаруживаются рукописные и печатные документы. Поэтому, во избежание потерь криминалистически значимой информации и нанесения материального ущерба должны строго выполняться соответствующие предупреждающие правила.
Рабочий этап следственного действия обычно включает обзорную и детальную стадии. На обзорной стадии специалист, помимо предварительного выявления мест расположения компьютерных средств, должен особо обратить внимание на неподключенные разъемы на коаксиальном кабеле и свободные розетки (розетки для подключения компьютеров в ЛВС, использующие витую пару). В этих местах, возможно, находились компьютеры или подключались портативные компьютеры, которые в момент проведения следственного действия могут находиться в другом месте или быть спрятаны.
На детальной стадии осуществляются непосредственный поиск, обнаружение, фиксация и изъятие компьютерных средств (в т.ч. криминалистически значимой компьютерной информации). Может быть использован как последовательный, так и выборочный методы обследования. Первый заключается в том, что поиск осуществляется в избранном направлении и обследуются смежные участки и предметы, переходя последовательно от одного к другому. При втором очередность определяется не территориальным расположением, а иными соображениями, в том числе оперативно- тактическими.
В случае обнаружения компьютерных средств, фиксации могут подлежать:
аппаратная конфигурация компьютерного средства;
выявленные носители компьютерной информации;
установленное системное и прикладное программное обеспечение;
файлы с данными;
специализированные компьютерные программы, предназначенных для осуществления несанкционированного доступа (программы для подбора пароля, программы тестирования программного обеспечения для поиска «слабых» мест в его защите и т.п.);
список паролей для осуществления санкционированного и несанкционированного входа в различные компьютерные системы;
электронная переписка;
файлов протоколов работы компьютера (лог-файлы) и др.
Тактика поиска и обнаружения компьютерной информации должна избираться исходя из степени защищенности данных, функционального состояния компьютерного средства на момент проведения следственного действия. Тактические особенности собирания доказательств зависят от того, насколько сложно организована защита компьютерной системы от несанкционированного доступа.
Если компьютер на момент начала осмотра оказался включен, необходимо оценить информацию, изображенную на экране монитора и определить, какая программа исполняется на данный момент. В случае работы стандартного программного обеспечения (например, на экране изображены стандартные окна операционных оболочек Norton Commander или Windows) нельзя приступать к каким-либо манипуляциям без предварительного визуального осмотра аппаратных средств.
С помощью видео- или фотосъемки рекомендуется зафиксировать информацию на экране монитора, положение переключателей, кнопок, места подключения различных шнуров и состояние индикаторных ламп всех устройств компьютерной системы, о чем сделать соответствующие записи в следственном протоколе.
По возможности следует отключить все телефонные линии и коаксиальные кабели, подключенные к компьютеру (если таковые соединения имеются). В исключительных случаях, если это признано целесообразным, вскрывается кожух системного блока и визуально определяют конфигурацию компьютера, описывают месторасположение электронных плат. Данная рекомендация выполняется только тогда, когда есть реальная угроза повреждения или уничтожения как аппаратных средств, так и информационной базы различного рода специальными устройствами. Такими устройствами могут быть электронные ключи, радиозакладки и др.
После фиксации первичного содержания экрана монитора компьютер может быть либо выключен корректным способом и подготовлен к изъятию, либо использован специалистом для поиска криминалистически значимой информации. Если для поиска компьютерной информации задействуются программное обеспечение, не находящееся в обнаруженном компьютере, это необходимо отметить в протоколе. Такие программы должны быть стандартны и лицензированы, а контроль за их работой – нагляден. Максимально активное участие понятых при поиске компьютерной информации важно еще и потому, что результатом выполнения искомой программы может явиться не текстовый или графический документ, а аудио- или видео ряд. Такой итог работы программы будет уникальным (неповторимым) и зафиксировать эту информацию можно только запротоколировав ее, а также использовав фото- или видеоаппаратуру.
В ходе следственного действия может быть принято решение о фиксации содержимого жесткого диска обнаруженного компьютера. По нашему мнению, совпадающему с мнением большинства специалистов в сфере современных информационных технологий, эту процедуру необходимо проводить только в ходе производства судебной экспертизы в лабораторных условиях. Однако, если этого требуют обстоятельства, данная процедура фиксации может быть выполнена во время проведения следственного действия. Следует учитывать, что такую операцию специалист может осуществить только для компьютеров с установленной файловой системой FAT16 или FAT32, не являющихся выделенными серверами в сети. Действия специалиста в данной ситуации имеют ряд особенностей и обусловлены степенью предварительной подготовки специальных аппаратно-программных средств для фиксации компьютерной информации.
При обнаружении и фиксации следов преступления на компьютерных средствах, находящихся в помещении и соединенных в ЛВС, их осмотр целесообразно начать с сервера. Как правило, под помещение с сервером выделена специальная комната, вход в которую ограничен. Однако помимо центральной серверной комнаты могут находиться местные локальные серверы. Определить местоположение компьютеров при наличии локальной сети поможет проводка. Достаточно проследить трассы кабеля или коробов (в случае, когда кабель спрятан в специальный короб). Во всех обнаруженных компьютерах фиксируется наличие устройств удаленного доступа к системе и определяется их состояние (подключение к локальной сети посредством сетевой карты, наличие модема).
Особого внимания требует определение наличия у компьютера внешних устройств-накопителей информации на жестких магнитных дисках (винчестере), на дискетах, устройствах типа ZIP, магнитооптике и пр., наличия виртуального диска (временный диск, который создается при запуске компьютера для ускорения его работы). Все эти установленные данные отражаются в следственном протоколе.
В завершении своей работы по поиску криминалистически значимой информации специалист (перед выключением питания) должен корректно завершить все исполняемые в данный момент программы, по возможности сохранить всю промежуточную информацию (тексты, информацию состояния, содержание буферов обмена и др.) в специальных файлах, располагаемых на средствах фиксации. В протоколе необходимо указать имена этих файлов, вид сохраняемой информации, расположение файлов (наименование дискет и их маркировку или логический диск и каталог на винчестере компьютера), а также все изменения в файловой системе, происшедшие в результате выполнения определенных действий специалиста.
После выключения компьютера следует промаркировать всю систему подсоединения проводов, идущих к его корпусу. Маркировке подлежат все порты и разъемы с тем, чтобы потом можно было осуществить точную реконструкцию расположения кабелей, плат расширения и других устройств. После проведенной маркировки внешний вид, а также схема расположения компьютерной системы и ее составляющих компонент должны быть зафиксированы с помощью видео- и фототехники (рис.1.2).
Особого внимания требуют места хранения носителей компьютерной информации. Если при внешнем осмотре компьютеров в их составе обнаружены устройства типа стримера, магнитооптического накопителя и им подобные, то необходимо найти места хранения носителей информации к соответствующим накопителям. Кроме того, в учреждениях (фирмах, компаниях) с развитой ЛВС, как правило, производится регулярное архивирование информации на какой-либо носитель. Поэтому очень важно выявить данное место хранения данных копий.
При осмотре документов следует обратить особое внимание на рабочие записи сотрудников, где могут содержаться пароли, коды доступа и прочие вспомогательные данные.
Только после выполнения указанных выше мероприятий, специалист, участвующий в следственном действии, может произвести изъятие компьютерных средств (в т.ч. носителей информации).