Семикаленова
.pdf71 ИЗЪЯТИЮ и закреплению полученной информации о программных щюдуктах. Остальных участников следственной группы шмю привлекать исклю чительно к выполнению задач, обеспечивающих бесхфепятственную рабо ту специалистов. Выполнение данных требований гарантирует, что не бу дет по невнимательности или по неосторожности совершены действия, ко торые повлекут за собой невосполни^опю потерю данных. К таким дейст-
miuBu мояжо отамгга некорректи1^1 ЮШЕ»Д из щютрвтиш^ moffjKmoi^emie шшя
отключение дополнительных аппаратных средств и т.п. Для успешного выполнения задачи всеми участни]»ми группы нужно, по возможности, всех обеспечить техническими q>ewTBaMH, к которым относятся псфтативные переносные компыотеры, внешние носители информации, переходни ки и адаптеры, предназначенные для коммутации аппаратнокомпыотертых средств, ж^польэуемых следственной 1|^псй.
Третья особенность напрямую зависит от наличия нес^ходимой тех ники. Хотелось бы отметать, что проведение следственных действий по делам, связанным с необходимостыо сбора криминалистически значимой информации о протраммных продуктах, как ни квоте иные следственные действия по «компьюте^жым» преступлениям, требуют наличия у оп^>а- тивной п^гппы техни1ш, позволяюп^й обследовать вычислительные ма шины, расположенные на месте происшествия (обыска, пыюмки), ие 1фИбегая к внутренним средствам их самих. Эта требовгшия возникают потому, что модули исследуемого программного обеспечения или ж« иные про граммные продукты, уничтожающие информацию, могут быть привяжикы к выполнению подчас «безобидных» действий именно на конкреттюм ап паратном обеспечении и могут не позволять копировать именно с него данные на иные носители информащ1и. К рва^^тду такой техники относят ся: портативные компьютеры, переносные винчестеры, иные юешние но сители информации, позволяющие производить с них эшруз!^ необходи мых программ.
72 В хфоцеосе хфоизводства осмотра и обыска в случае расследования преступлений, ч^вязвнных с компьютерными технологиями, необходимым действием является осмотр не только профаммных, но и аппаратных средств компьютерной системы. Поскольку известно, что место происше ствия (место - в пределах которого обнаружены следы совершенного пре ступления) может не совпадать с местом преступления «(место - сов^шенж1 преступлежп шш вшступлешн i^wcTywioro результата), а в шшши
случае это чаще всего именно так и происходит, то необходимо обратить внимание, каким образом следы преступления могли ока:%Т11Ся в данж»! месте (модемная связь, локальные и региональные сети, используюище не модемные и иные соединения), и куда может вывести следствие истсфня их возникновения. Яркими примерами тому могут служить проникновение «вирусных» (€М.§1.2) 1фограмм, *тсщ»1пяс» кс^ш<^>атиш1ых компьютер ных сетей и изменение хранящейся в них инф<фмации.
Еще одной особенностью, котс^ую непременно надо учитывать щи проведении рассматриваемых следственных действий, является то, что все действия с исследуемыми программными продуктами, в том числе и ощ)е- деление их ¥№аяжщея№л надо проводить исключителыю с их копиями, пе ренесенными на отдельный носитель информации, а лучию на портатив ный компьютер. Необходимо отметить, что помимо самих программ 1ш технику оперативной группы нужно 1Юренесп1 и вое файлы настроек и системные журналы, которые содержат большое количество данных о ра боте всего информационно-программного сбсжпечения в целом, а, следо вательно, и того, которое представляет интерес для следствия.
Проанализировав тактические и процессуальные особенности осмот ра, обыска и выемки, которые ужс^ши «юстично рассмотрены в работах Российской Е.Р., Усова А.Ип Васильева А.А. и др^ mi щтахт к вытщу о том, что существует еще два следственных действия, не рибсщпрлтасыык ранее с ярко выраженными особешюстями их проведения в процессе соби-
73 ршшя криминалистически значимой инфо1»ю1Ц1и о 1ф01рамм1&1х прсщук- тах. Это до11р<к; и следсгаенный экспе]шмент.
Допрос (стЛ87 - стЛ90) - следственное действие, включающееся в получении и закреплении (фиксщщи) устных сведений - повазгший - о существенных для данного дела обстоятельствах^.
Ш стад^ 1Кщготс^кн к допф^су специалист в 0$ша&т щ^огртвшяро- вания и алгоритмизащ1и может помочь следователю сфс^шулироватъ во просы, требующие познаний в отделенных областях науки, техники, нюкусства, ремесла. На этой же стадии он, по указанию следователя, может приготоыпъ технические средства для предъявления в ходе допроса веще ственных доказательств, наприм^), текстов щюг^шммных продуктов, про демонстрировать работу програкошого модуля.
На основной стадии специалист включается в допрос nocj№ того, как следователь выяснил все интересующие его о^поятельства. С ра^>ешения следователя задает допрашиваемому вопросы, котс^ые каесякпся деталей, связанных со специальными знаниями, требующих уточнения. Участвую щий в до1фОсе спец№шнсг также 1юмогает сдедаж1тешо точнее уяснять об стоятельства расследуемого дела.
При допросе свидетелей совершенж>го преступлюння, ломимо об стоятельств, связанных с условиями ж^людення совершаемого iq}ectynления или оказываемого им воздейстши, и других общих обстоятельств, особое внимание уделяется выяс1юнию^':
1) особенностей действий преступника на месте 1ф^пгуш1е-
ния;
^ Ю1И1дачбский Ж1щкжм1ед1пес1сий сшятрь // гя. рт AM. Су1со|мяц ММ. Бшуслаоскшх) идр,-2-е та., тт. - М.: Ссяпскм Эшцаслопедня, 19%7, с.120.
^' Соловьев В.Н. Вредо1юс1ше прогрвммы: раеслсяюкпяе м щк^/уйреждеяте щт- ступлений. - М.: Со^мюне,2004.
74 2)х{факкриютики апш1|)атяо-1ф01раммных <^)едотв, находя
щихся в расга>ряжении преступнию1;
3)действий, предпринятых свидетелем и другими лицами, на месте происшествия;
4)признаков, по которым свидетель выявил функционирова ние или воздействие вредоносных программ или неправом^>ный дост)Ф к ксшпы0т^яЫ1 ш^^ормащт.
5)профессиональных навыков св1здетеля и его квалификации, стаж работы с к<жкретными средствами компыото>ной техники, что определяет квалифицированность даваемых им оценок;
6)ус1Ш10вленных и реально реализуемых м ^ защиты инфор мации в компьютерной системе;
1}ущер6л, нш!есенного щхутвопраюн^ дю1тея1^остью, свя занной с использованием программных средств, возможности и срока восстановления утраченных данных; вероятного последствия от оказанного преступного возд^ствия;
8)обстоятельств, которые могли спосо1бствовать сов^шению
исо1д>ытшо престуттеняя, свяэоннсиго с использованием i^orpaifMных средств;
9)xapaxrqim возникавших ранее нештатных ситушдий, свя^ш- ных с комп1«>терными системами, подвергштлж:я атакам, пред принимавшихся мер для их устранения, и причин их возникнове ния;
10)перечня лиц, имевших доступ к конкретным про граммным средствам, их пользовательские пргюа;
И) посторонних лиц (родотвеннит или знакомые лиц, работающих на объекте), имевших доступ к комп1>101Срн1|Ш «исте- ияи и для каких цея^1;
12) порядка закупки, заьюгал, технического обслужива ния средств ш1Шфатньос и 1фограммных средств, включая раэ|^от-
75 ку и создание программного обеспечения, Х1фак1>^)а последних осуществлявшихся изменений;
13) наличия среди сотрудников 1федприят11я, информа ционные системы которого подверглись атакам, работников, имеющих достаточную квалификащно для создания прикладных программ; наличия среди них работников с^ганижции и их знако- ыых. тщ, тшторы» могли и имели мхтожиость ^«м^шешм шрепт- воправных действий в отношении или посредством прикладных программ.
При допросе подозреваемого, помимо других феистов, устанавливаются обстоятельства, связш1ные с криминалистически значимой инфс^Ш£ищей о программных продуктах:
\)о6сп»пеяьст9л соаеражтт 1феступных ^^ствий, связан ных с использованием, применением прохраммных про^цуктов;
2)х1ф{истеристики используемых прикладных и системных программ;
3)место хранения машинных носителей с пр01раммш1И и ра бочими мат^жаямми к ней, а гакже иные ре^яьтаты 1Ц)еступной деятельности (поддельные деныги, ценные бумаги, носители с контрафактпынт прсираммными продуктами и Т41.);
4)механизм осуществления предщжнятой атаки №i иифс^мационные системы и меры, которые могутбыть пред1финяты для яокализахщи ее вреднсих> воздейстШ1я и дфугое.
После завершения допроса специалист может оказать помсш^ь следова телю в анализе полученной информации, в выборе направления ее дальней шего использования. Например, рекомендовать проведение технических экс пертиз, и, в случае сог1Шсия следователя, воно^ сфор1^ли|)Овать во11росы 3Kcnqxiy (н. 1 ст. 58 УПК России)^.
'' Зинин А.М. Кр1Ш1шал11С1ика в следапенвшс тЛсгттх: Учсбно-^фшсппеское посвбее. - М.: Издкгелылво «Зкявшен», издательство ^SipsBo яuaasm», 2004.
16
Таким образом, как отмечает П.П. Ищенко, -специалисты 1фи допросе могут содействовать следователю в обнаружении и фиксации доказа тельств, в частности, помочь ему: лучше, точнее и полнее понять допраши ваемого, употребляющего в показаниях специальные термины; разобраться в действующих специальных правилах, инструкциях и других документах; установить способ совершения преступных действий; пресечь ложные по- 1»з^01я, касшоощтоя специая1«1>т вотфосов^^.
Следственный эксперимент (стЛ81) - это следственное действие, проводимое в целях проверки и уточнения данных, имсяощих значение для дела или получения ноылс данных, путем воспроизведания действий, об становки и иных обстоятелылв определенного сс^ыгия и соверпюния необ ходимых опытных ;^йствий. Чаще всего он проводится для проверки дан ных, уже имеющихся в деле, а также для провертси во:шик1Ш1х по делу версий^^. При расследовании уголошпых дел, связанных с созданием и исполь зованием программных продуктов, следственные эксперименты проводятся и для установления возможностей лица работы с 01федепенными програм мами, подключения к сетам ЭВМ (вкшочая глобальную «еть), осуществле нию удаленжмго доступа, возможности 1фоижодства поддельных денег, создания прикладных и системных лфюграмм, манипул]ф(»ания программ ными средствами иданнымис исполыованием имевшихся у него на момент совершения преступления кон1фетных аш1{фатно-техни«кских и программ ных средств, 1фи воздействии иных, установленных в ходе расследования, факторов и др. Одшисо необходимо отметить, что в большинстве случаев при его проведении проверяются IK физичесюю, а интеллектуальные спо собности KOHiqperaoro человека или фуппы лиц, а это значительно услож-
^Ищенко П.П. Cn^HajracT в следкте^шкдействиях(уголсяннмфоцеесуальвьй
и1ця1мнвалиетическне аспект). - М.: 1990.
^^ См., -ащрюк^: Упмктно-процеостшвьиое щяао: Уче^шк сюд с^цей редакцией професс(фа, заслуженного де]Пеля наук РФ П.А. Лупинской. - 2-« изд., яврер1аб. и дет. - М.: Юрист 1997.
77 няет задачу таких следственных деШггвий. Экспфимент, которым проверя ется возможность выполнения лицом тех или иных действий, щюводикя лишь с его согласия. При этом, если положительные результаты этого след ственного действия оцениваются достаточно просто, то отрицателы1ые ре зультаты не всегда свидетельствуют о том, что подозреваемый не мог соверштъ определенные действия.
ПомюкЮ следствентлс экспер1»|^ггсш по установяеншо к>:»южиостей выполнения определенных действий могут щюводшься эксперимен ты по установлению возможностей наступления определенных последст вий. Основная масс» этих экспериментов нщравлсна на провожу возмож ностей и функциональных харшстеристик вредоносных прогршям^.
Совершенно оче1Щ2ЦЮ, что при наукоемкостн и стремительных тем пах разшгтия информационно-вычислительной промышленности возмож ность находиться в курсе всех изменений и нововведений в данной области представляет большую сложность для следователя. Именно 1Юэтому при проведении следстаенного эксперимента и дощюсе о6виняемшх>, подозре ваемого, сшздетеяя по делам, связанным с использованием пр01раммных средств, 1р^уется щякутсгвш» спецшшнста. Даже тщатеяышя подготов!» этого следственного дейспшя совм^ггао с ним, но без его участая iie дает гаранпш, что не будут встречаться разночтения в трактоюсе терминов, процессов и действий допрашиваемым и следователем. В процесс такснх) проведения допроса возможно упущение ряда нестыковок и важных дета лей, которые являются очевидными для профессио1шла в области инф<^ мационных технологий и nvl6o совсем не знакомы, либо не кажутся важ ными для простого пользователя, даже если он «продвинутый». То же са мое можно заметить и по отношению к следственно»^ эксперименту, кор ректность предпринимаемых в его процееое дс^сптй и вершш t>iieHKa их
^^ Сожжьев В.Н. Вредоносные 1фограммы: расследование ипредущкжтт»» престушкний. - М.: Собрание, 2004.
78 результатов всецело заюисят от квалификации у<шствующего в следствен ном AdicTBHH специалиста.
Также хотелось бы отметшъ, что при собирании инфсфмации о про граммных продуктах по различным областям информационных технологий необходимо привлекать специалистов именно кошфетной рассматриваемой обласш. Это объясняется тем, что профессионала, обладающего глубо1Шми кюзнаииямн во веек сферах инфс^тацшошю-кш!ткюте|:^№с тсхщшотяА щт их современном росте и многообразии, на сегодняшний день уже не суще ствует.
Еще одним необходимым процессуальным действием при расследо вании компьютерных преступлений, на ншо взглдц, является арест вы числительной сетн^, к сожалению псжа t№ получившим от^тжение в за конодательстве Российской Федерации. С№ наиболее актуален HMMIHO для сохранения криминалистиче(жи значимой инф<фмации о компьютфных программах, поскольку в результате него блокируется работа всей вычис лительной сети (ВС), следовательно, нскшочается возможность изменить виртуальную следовую картину как на рабочих станцнях^^, так и на cq»e - fiwC* с использованием удаленного доступа или достукш из локаяыюй сети.
^ 11редпоз1Жно в пермае Российской Е.Р., сы., шоцжмер, Россяж:юш Е.Р. №>вое процессуальное saKOHOABiejobcno: Реаяю! и перслекшвы нсшиозся^шж С1жциальиых знаний. - Вс^хжеж : 2004.
^^ Рабочая станция [work staticm]. 1. ЭВМ, рассчитанная на одного по1аз(»ателя, но более мощная, чем персональный компьютер. (Холчно используется как профессионально (фиентированнос автоматиз1фош1ниое рвб&чее место. 2. ЭВМ, вклоч^ишя в локалаьиую ю1числитеШ|Ную сел».
"* Сервер [servo]. I. Щ>щттш, прт>сптятстт ощтшштм усну» тгш*
программ»!, кторыс шоываются кянентамх. Прс«рам11»-«с|явф и Уф1жрпшы шятеты могут выполняться на однсш или Ш1 разных ктшыоф^тх. 2. Э Е ^ на KOTO^K^I вьоюшиется прогрюша-чхрв^р.
79 Арест вычислительной сети наиболее актуален для разветвленной сети с большим количеством серверов и р{|бочих стнций, поскольку
именно в таких сетях бывает трудно сразу ощ>еделить, где именно можно обнаружить криминалистичесюи значимую информацию, связанную с рас следуемым преступлением. Это связано с тем, что при таком построении ВС возможно распределенное хранение данных; протокол]фование совер1ШЮМЫХ в сети прогрвммтхх дейстм1Й как централжюванное, так и ло кальное (на каждЫ! машине пользователя); протраммно- и апп^>атноорганизованное разп)аничение щтв доступа, связанное как с авторизацией пользователя, тшс и ЭВМ. Все это определяет необходимость создания полной изоляции сети до завершения исследования всех ее составляющих на предмет обн^ужения необходимой следствию информации о проГ1»ммных продуктах.
Подводя итог всему вышесказанному, необходимо отметить две основ ные особенности проведения следственных действий, связанных счх1бщ)аннем криминалиспрюски значивши информации о программных продукшх:
первая - следственные действия по данным делам требуют участия в них специалистов в области инфс^мациош1ых т&шоаоп^;
вторая - необходимость использования спедиальной техники не только на стадии проведения судебной 1цюграммно-тюи1Ической экспертизы, но и при проведении иных действий по собирш!шо и проверке до1^зательств.
80
Глава 2. Производство судебной программно-компьютерной экспертизы, оценка и использование ее результатов.
§ 2.1. Особенности назначения судебной программно-компьютерной эксперггкэы
В соответствии с действующим законодательством Российской Фе дерации экспертиза назначается, если при производстве следственных или судебных действий возникает необходимость решения вопросов, связан ных с областями специальных знаний в науке, технике, искусстве или ре месле. В нашем случае эти специальные знания могут содержаться, напри мер, в таких отраслях нг^ного знания, как программирование, системная электроника, вычислительная техника, системотехника и т^.
Необходимость назначения судебной программно-компыот^ной экс пертиза (СПКЭ) сшределяется следователем или судом.
При 1фоияводстве СПКЭ нужно учитывать, что эксп^>т вправе: потре бовать, помимо представленных следователем объектов, материалы уголов ного де^ш, относящиеся к предмету Э1№п^ртюы; жшвлять ходатайство о пре доставлении ему необходимых дополнительных материалов; щжсутетвоватъ при производстве следств»1ных действий^. Для рассматриваемого вцда экс пертиз это связано с тем, что корректное проведение исследования программ ных средств, представленных в виде исполняемых модулей, листингов 1фограмм, алгоритмов, выполненных на специализированном программном обеспечении, требует внимательного изучения материалов дела (для установ ления шгех фактов, касающихся создания, копировшпм, усганомя и модифи кации исследуемого 1ЮХ сопутствующей тюшической докумешшдан, ис-
^ Усова А.И. Концептуальные основы судебной пикшыоггерно-техничккой экспер тизы: Дисс...докт. юрнц. тсук. М.: МИ^1ВД Россия, 20(^