- •Глава 1.Уголовно-правовая характеристика преступлений в сфере компьютерной информации
- •Глава 2. Криминалистическая характеристика преступлений в сфере компьютерной информации 26
- •Глава 3. Типичные исходные следственные ситуации и особенности первоначального этапа расследования преступлений в сфере компьютерной информации 43
- •1. Общие положения
- •2. Неправомерный доступ к компьютерной информации
- •3. Создание, использование и распространение вредоносных программ для эвм
- •4. Нарушения правил эксплуатации эвм, системы эвм или их сети
- •Глава 2. Криминалистическая характеристика преступлений в сфере компьютерной информации
- •1. Данные о способах совершения преступления
- •2. Данные о способах сокрытия преступлений в сфере компьютерной информации
- •3. Данные об орудиях и средствах совершения преступлений в сфере компьютерной информации
- •4. Данные об обстановке совершения преступления
- •5. Данные о следах совершения преступления в сфере компьютерной информации
- •6. Данные о предмете преступного посягательства
- •7. Данные о личностных свойствах субъектов преступлений в сфере компьютерной информации
- •Глава 3. Типичные исходные следственные ситуации и особенности первоначального этапа расследования преступлений в сфере компьютерной информации
- •1. Первоначальный этап расследования неправомерного доступа к компьютерной информации
- •Варианты следственных ситуаций в зависимости от наличия исходных данных о следах, подозреваемых и свидетелях
- •2. Первоначальный этап расследования создания, использования и распространения вредоносных программ
- •3. Первоначальный этап расследования нарушения правил эксплуатации эвм, системы эвм или их сети
- •Глава 4. Особенности тактики отдельных следственных действий
- •1. Тактика осмотра места происшествия
- •2. Тактика допроса свидетелей
- •3. Тактика производства обыска
- •4. Допрос подозреваемого и обвиняемого
- •5. Следственный эксперимент
- •6. Назначение экспертиз
- •7. Предъявление для опознания
- •8. Проверка и уточнение показаний на месте
- •Глава 5. Розыскная деятельность следователя по делам о преступлениях в сфере компьютерной информации
- •1. Объекты розыска по делам о преступлениях в сфере компьютерной информации
- •2. Тактико-организационные основы розыскной деятельности следователя по делам о преступлениях в сфере компьютерной информации
- •3. Установление и розыск лиц, совершивших преступления в сфере компьютерной информации
- •Глава 6. Международное сотрудничество в борьбе с преступлениями в сфере компьютерной информации
Варианты следственных ситуаций в зависимости от наличия исходных данных о следах, подозреваемых и свидетелях
Рассмотрим основные направления действий следователя по расследованию неправомерного доступа к компьютерной информации, совершенного в условиях неочевидности. В качестве примера используем реальную ситуацию, связанную с неправомерным подключением к сети Интернет за счет законных пользователей.
Однако сначала необходимо рассмотреть основные понятия и технические термины, используемые при работе в Интернете и организацию работы сети.
С технической точки зрения Интернет - объединение транснациональных компьютерных сетей, работающих по самым разнообразным протоколам, связывающих всевозможные типы компьютеров, физически передающих данные по телефонным кабелям и волоконной оптике через спутники и радиомодемы. В Интернете используются два основных понятия: адрес и протокол.
Под адресом, применительно к компьютерным телекоммуникациям, понимается конкретное местонахождение компьютера внутри сети или ее отрезке (страна, город, здание). Свой адрес имеет любой компьютер, подключенный к Интернету. Даже при временном соединении по коммутируемому каналу компьютеру выделяется конкретный адрес, который однозначно определяет его местонахождение.
Протокол - устанавливает правила взаимодействия. Стандартные протоколы заставляют разнотипные компьютеры, в т.ч. работающие под управлением различных операционных систем, «говорить на одном языке». Таким образом, осуществляется возможность их подключения к Интернету. Учитывая невозможность описать в одном протоколе все правила взаимодействия, сетевые протоколы строятся по многоуровневому принципу. На нижнем уровне используются два основных протокола: IP -Internet Protocol (Протокол Интернета) и TCP - Transmission Control Protocol (Протокол управления передачей). Так как эти два протокола тесно взаимосвязаны, то часто их объединяют и говорят, что в Интернете базовым протоколом является TCP/IP.
Сети, работающие по протоколам tcp/ip, родились как проект агентства «DARPA» Министерства обороны США. Сеть создавалась на случай ядерной войны и предполагала, что любой компьютер в сети может перестать функционировать в любой момент, равно как и линии связи между компьютерами. Именно такая постановка задачи привела к рождению сетевой технологии, которая дефакто стала технологией всемирной сети - технологии tcp/ip.
Протокол ip - это протокол, описывающий формат пакета данных, передаваемого по сети. Например, когда Вы получаете телеграмму, весь текст в ней (и адрес, и сообщение) написаны на ленте подряд, но есть правила, позволяющие понять, где тут адрес, а где сообщение. Аналогично пакет в компьютерной сети представляет собой поток битов, а протокол ip определяет, где адрес и прочая служебная информация, а где сами передаваемые данные, а протокол tcp призван контролировать саму передачу и целостность передаваемой информации. Например, если Вы не расслышали, что сказал Вам собеседник в телефонном разговоре, то Вы просите его повторить сказанное. Примерно этим занимается протокол tcp применительно к компьютерным сетям. Компьютеры обмениваются пакетами протокола ip, контролируют их передачу по протоколу tcp и, объединяясь в глобальную сеть, образуют Интернет.
Протоколы tcp/ip для компьютеров - это как правила общения для людей. Пользуясь этими правилами, люди спорят, рассказывают, записывают сообщения на автоответчик т.д. Аналогичным образом обстоят дела и с компьютерами - протокол tcp/ip позволяет передавать информацию, а его, в свою очередь, используют разнообразные сервисы, или услуги, по-разному обращающиеся с информацией.
Наиболее подходящим для классификации сервисов Интернет является деление на сервисы интерактивные, прямые и отложенного чтения. Сервисы, относящиеся к классу отложенного чтения, наиболее распространены, наиболее универсальны и наименее требовательны к ресурсам компьютеров и линиям связи.
Основным признаком этой группы является та особенность, что запрос и получение информации могут быть достаточно сильно (что, в общем-то, ограничивается только актуальностью информации на момент получения) разделены по времени. Сюда относится, например, электронная почта (более подробно отдельные сервисы будут рассмотрены ниже).
Сервисы прямого обращения характерны тем, что информация по запросу возвращается немедленно. Однако от получателя информации не требуется немедленной реакции. Сервисы, где требуется немедленная реакция на полученную информацию, т.е. получаемая информация, является, по сути дела, запросом, относятся к интерактивным сервисам. Для пояснения вышесказанного можно заметить, что в обычной связи аналогами сервисов интерактивных, прямых и отложенного чтения являются, например, телефон, факс и письменная корреспонденция.
Электронная почта (E-mail) - типичный сервис отложенного чтения (offline). Пользователь посылает свое сообщение, как правило, в виде обычного текста, адресат получает его на свой компьютер через какой-то, возможно, достаточно длительный, промежуток времени, и читает поступившее сообщение тогда, когда ему будет удобно.
E-mail очень похожа на обычную бумажную почту, обладая теми же достоинствами и недостатками. Обычное письмо состоит из конверта, на котором написан адрес получателя и стоят штампы почтовых отделений, пути следования, и содержимого - собственно письма. Электронное письмо также состоит из заголовков, содержащих служебную информацию (об авторе письма, получателе, пути прохождения по сети и т.д.), играющих роль конверта, и собственно содержимого письма. Существует возможность вложить в обычное письмо что-нибудь, например, фотографию; аналогично, можно послать файл с данными электронным письмом. Пользователь может подписать обычное письмо, можно подписать и электронное письмо. Обычное письмо может не дойти до адресата или дойти слишком поздно -как и электронное письмо. Обычное письмо весьма дешево, и электронная почта - самый дешевый вид связи.
Сетевые новости (Usenet), или, как их принято называть в российских сетях, телеконференции - это, пожалуй, второй по распространенности сервис Интернет. Если электронная почта передает сообщения по принципу «от одного - одному», то сетевые новости передают сообщения «от одного -многим». Механизм передачи каждого сообщения похож на передачу слухов: каждый узел сети, узнавший что-то новое (т.е. получивший новое сообщение), передает новость всем знакомым узлам, т.е. всем тем узлам, с кем он обменивается новостями. Таким образом, посланное сообщение распространяется, многократно дублируясь, по сети, достигая за довольно короткие сроки всех участников телеконференций Usenet во всем мире. При этом в обсуждении интересующей пользователя темы может участвовать множество людей, независимо от того, где они находятся физически, и пользователь может найти собеседников для обсуждения самых необычных тем.
Новости разделены по иерархически организованным тематическим группам, и имя каждой группы состоит из имен подуровней иерархии, разделенных точками, причем более общий уровень пишется первым. Рассмотрим, например, имя группы новостей comp.sys.sun.admin. Эта группа относится к иерархии верхнего уровня согпр, предназначенной для обсуждения всего, связанного с компьютерами. В иерархии сотр есть подуровень sys, предназначенный для обсуждения различных компьютерных систем. Далее, sun означает компьютерные системы фирмы Sun Microsystems, a admin обозначает группу, предназначенную для обсуждения вопросов администрирования таких компьютерных систем. Итак, группа comp.sys.sun.admin предназначена для обсуждения вопросов администрирования компьютерных систем фирмы Sun Microsystems.
К интерактивным сервисам, предназначенным для общения людей через Интернет, относится IRC - Internet Relay Chat, разговоры через Интернет. В Интернете существует сеть серверов IRC. Пользователи присоединяются к одному из каналов (тематических групп) и участвуют в разговоре, который ведется не голосом, но текстом. Узлы IRC синхро-низованы между собой, так что, подключившись к ближайшему серверу, пользователь подключаетеся ко всей сети IRC. Подобную функцио-нальность несут еще два сервиса - MUD и МОО. Расшифровываются эти аббревиатуры как Multi User Dungeon (многопользовательская игра) и Object-Oriented MUD (объектно-ориентированный многопользовательский мир).
Система гипермедиа WWW (World Wide Web - всемирная паутина) - самый популярный и интересный сервис Интернет, самое популярное и удобное средство работы с информацией. WWW работает по принципу клиент-сервер, точнее, клиент-серверы: существует множество серверов, которые по запросу клиента возвращают ему гипермедийный документ - документ, состоящий из частей с разнообразным представлением информации (текст, звук, графика, трехмерные объекты и т.д.), в котором каждый элемент может служить ссылкой на другой документ или его часть. Ссылки эти в документах WWW организованы таким образом, что каждый информационный ресурс в глобальной сети Интернет однозначно адресуется, и документ, который Вы читаете в данный момент, способен ссылаться как на другие документы на этом же сервере, так и на документы (и вообще на ресурсы Интернета) на других компьютерах в Интернете. Причем пользователь не замечает этого, и работает со всем информационным пространством Интернета как с единым целым. Ссылки WWW указывают не только на документы, специфичные для самой WWW, но и на прочие сервисы и информационные ресурсы Интернета. Более того, большинство программ - клиентов WWW (browsers, навигаторы) не просто понимают такие ссылки, но и являются программами-клиентами соответствующих сервисов: ftp, сетевых новостей Usenet, электронной почты и т.д. Таким образом, программные средства WWW являются универсальными для различных сервисов Интернета, а сама информационная система WWW играет интегрирующую роль.
Рассмотрим некоторые термины, наиболее часто использующиеся в WWW.
HTML (hypertext markup language, язык разметки гипертекста). Это формат гипермедийных документов, использующихся в WWW для предоставления информации. Формат этот описывает не то, как документ должен выглядеть, а его структуру и связи. Внешний вид документа на экране пользователя определяется навигатором. Если Вы работаете за графическим или текстовым терминалом, то в каждом конкретном случае документ будет выглядеть по-своему, однако структура его останется неизменной, поскольку она задана форматом html. Имена файлов в формате html обычно оканчиваются на html (или имеют расширение htm в случае, если сервер работает под MS-DOS или Windows).
URL (uniform resource locator, универсальный указатель на ресурс). Так называются те самые ссылки на информационные ресурсы Интернет.
HTTP (hypertext transfer protocol, протокол передачи гипертекста). Это название протокола, по которому взаимодействуют клиент и сервер WWW.
WWW - сервис прямого доступа, требующий полноценного подключения к Интернет, и более того, часто требующий быстрых линий связи, в случае, если документы, которые Вы читаете, содержат много графики или другой нетекстовой информации.
Пользователи Интернета подключаются к сети через компьютеры специальных организаций, называемые поставщиками услуг Интернета или провайдерами. Подключение к Интернету с помощью поставщика услуг означает, что с помощью модема пользователя устанавливается соедине-ние с компьютером поставщика, который и связывает пользователя с Ин-тернетом. Сам Интернет не является коммерческой организацией и никому не принадлежит.
Компьютерная сеть провайдерской компании создается для обеспечения работ по предоставлению доступа в Интернет в соответствии с действующим законодательством, учредительными документами и лицензией на право предоставления услуги передачи данных и услуги телематических служб. Кроме того, работа сети организована таким образом, чтобы производить в автоматизированном режиме расчеты с клиентами за предоставляемые им услуги в зависимости от времени их использования и в соответствии с установленным прейскурантом цен. Для этих целей в сети провайдера имеется информация о присвоенном пользователю «имени» и «пароле», которая является коммерческой тайной (на основании ст. 139 ГК РФ) и сообщается пользователю при заключении договора с ним для обеспечения его работы в сети Интернет. Таким образом, правомерно использовать ее может либо пользователь, заключивший договор, либо технический персонал компании. При обращении к подобной информации третьих лиц происходит нарушение работы сети ЭВМ, вследствие чего в учетно-статистические данные сети поступает искаженная информация о пользователе, времени начала и продолжительности его работы и, как результат, происходит списание денежных средств со счета клиента за услуги, которые он фактически не получал.
Кроме того, при использовании третьими лицами не принадлежащего им имени и пароля зарегистрированный пользователь лишается возможности воспользоваться этой информацией для доступа в сеть Интернет и соответственно лишается возможности работы в ней.
Физически процесс доступа к сети Интернет осуществляется разли-чными способами в зависимости от используемого оборудования и программного обеспечения. Один из вариантов происходит следующим образом.
Пользователь «дозванивается» со своего компьютера, подключенного к телефонной линии при помощи модема, до модема (модемного пула) провайдера, сообщает маршрутизатору свои идентификационные данные (идентификация - присвоение имени субъекту или объекту), маршрутизатор переправляет их на сервер авторизации, на котором находится файл «users» (тот самый файл являющийся коммерческой тайной), со списком идентификаторов пользователей и после процесса аутентификации (аутентификация - проверка подлинности субъекта или объекта) разрешает выход в Интернет, переправляя информацию о начале работы пользователя в сети в «logfile», находящийся на том же сервере. После завершения работы пользователя данный момент также фиксируется в «logfile» и на его основании формируется файл «billing» т.е. счёт за предоставленные услуги.
При вводе ложных идентификационных данных происходит нарушение работы всей этой системы в целом, поскольку даже правильная обработка искаженной входящей информации приводит к выдаче искаженной исходящей информации.
Расследование незаконного подключения к сети Интернет за счет других абонентов осуществляется следующим образом:
Основанием для возбуждения уголовного дела, как правило, служат заявления потерпевших - законных пользователей, работающих в сети на основании договора с фирмой-провайдером. Организация предварительной проверки по поступившему заявлению чаще всего поручается специальным подразделениям по борьбе с преступлениям в сфере высоких технологий Министерства внутренних дел. В ходе предварительной проверки берутся объяснения с заявителя по существу заявления, в частности что послужило основанием для решения о работе в сети посторонних лиц с реквизитами (именем и паролем) законного пользователя, а также размер материального ущерба. Обязательно выясняется, с каким провайдером заключен договор, а так же присвоенное пользователю имя для работы в сети.
Далее, у провайдера истребуется протокол работы в сети данного абонента за определенный период времени (соответственно периоду, указанному заявителем) с указанием даты, времени начала сессии, продолжительности работы, суммы денежных средств, списанных со счета клиента. На основании данных о дате, времени и продолжительности работы в сети, в местном узле электросвязи выясняется, с каких номеров телефонов осуществлялся доступ в сеть Интернет в определенное время. По указанным номерам телефонов устанавливаются адреса, откуда производилась связь, и кто по этим адресам проживает.
На основе совокупности собранных данных следователь имеет основания после возбуждения уголовного дела произвести обыск по месту жительства «заподозренного». К работе необходимо привлечь грамотного специалиста в области средств электронно-вычислительной техники и программного обеспечения. Определить возможные меры безопасности, предпринимаемые преступниками с целью уничтожения доказательств по делу. Кроме того, необходимо привлечь сотрудника ГТС с целью определения возможности несанкционированного подключения к телефонной линии посторонних лиц с целью работы в сети Интернет с данного телефонного номера. Подобрать понятых, которые разбираются в компьютерной технике (основных операциях, названиях компьютерных программ и т.п.), с тем чтобы исключить возможность оспаривания в суде правильности проведенного следственного действия и его результатов.
Идеальным можно считать проведение обыска в момент совершения преступления, устанавливаемый по предварительной договоренности с провайдером, который может сообщит о моменте выхода в сеть Интернет абонента данного телефонного номера. В этом случае необходимо осуществить максимально быстрый доступ к компьютеру (без предварительного обесточивания квартиры). Отстранить пользователя от работы и с помощью видео либо фототехники зафиксировать изображение на мониторе с указанием даты и времени фиксации, после чего произвести осмотр компьютера.
Однако провести обыск именно в момент совершения преступления с организационной и технической точки достаточно сложно, поэтому ниже рассматривается наиболее распространенный случай. Помимо подробно изложенных в ряде методических рекомендаций особенностей проведения обыска, необходимо обратить внимание на наличие рукописных записей на рабочем столе в ежедневниках, телефонных и записных книжках, поскольку в большинстве случаев преступники ведут записи полученных ими сетевых реквизитов. Также необходимо установить заключался ли ранее пользователем договор на предоставление доступа в Интернет и если да, то изъять соответствующие документы.
При допросе свидетелей необходимо максимально сузить круг лиц, имеющих возможность выхода в Интернет с данного компьютера. Для этого необходимо установить, есть ли навыки работы с компьютером у лиц, имеющих доступ к нему, а также возможность присутствия в помещении посторонних лиц в то время, когда в распечатке зафиксирован сеанс связи с провайдером.
При допросе подозреваемого необходимо составить перечень вопросов, подлежащих установлению с учетом выбранных квалификационных признаков. В данном случае необходимо обратить внимание на следующее.
Установить, каким образом были получены идентификационные данные. Если они получены у третьих лиц, то установить, у кого, где, при каких обстоятельствах и на каких условиях. Если самостоятельно, то каким образом, с подробным описанием последовательности действий. Кроме того, в этом случае целесообразно провести следственный эксперимент (на данном этапе согласовать возможность его проведения) с целью проверки показаний и уточнения данных, имеющих значение для дела. Однако его проведение требует специальной подготовки рабочего места и целесообразно после производства экспертизы в ходе последующего допроса.
Определить навыки («стаж») работы на персональном компьютере и в Интернете с подробным описанием процесса получения доступа в Интернет, а также основных целей работы в сети. Необходимо установить, знает ли пользователь порядок официального заключения договора, порядок оплаты и возможные последствия использования не принадлежащих идентификационных данных.
Установить характеристики используемого компьютера, а также программного обеспечения, установленного на нём. Это позволит конкретизировать вопросы при назначении экспертизы, а также определить познания подозреваемого в компьютерной технике.
Обязательным является изъятие в ходе обыска компьютерной техники и ее осмотр, а также осмотр изъятых предметов и документов. Затем назначается компьютено-техническая экспертиза.
Перед экспертами могут быть поставлены вопросы:
Был ли на данной ЭВМ установлен модем?
Осуществлялся ли при помощи данной ЭВМ доступ в глобальную компьютерную сеть Интернет? Если да, то через каких провайдеров, при помощи каких имен пользователей?
Имеется ли на жестком диске данной ЭВМ следующая информация:
имя пользователя (логин) и пароли к нему;
фамилии, имена, телефонные номера и другие сведения, представляющие интерес по делу;
программа для работы с электронной почтой (e-mail) и почтовые архивы;
если да, то имеются ли среди архивов такие, которые могут представлять интерес в рамках настоящего уголовного дела;
какой адрес электронной почты принадлежал лицу, которое пользовалось этим экземпляром почтовой программы;
другие программы для общения через Интернет и архивы принятых и переданных сообщений;
какой адрес электронной почты принадлежал лицу, которое пользовалось указанными экземплярами программ.
Имеются ли на представленном ПК и дискете программы, заведомо приводящие к несанкционированному уничтожению, блокированию, модификации, либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети?
Какой квалификацией обладал человек, проводивший инсталляцию программного обеспечения, его настройку на данной ЭВМ?
Одним из ключевых следственных действий является допрос представителя фирмы-провайдера. Перед допросом провайдера необходимо довести до его сведения основные понятия и определения используемые в юридической терминологии, поскольку они могут не совпадать с технической, что может вызвать недопонимание и разночтения. У представителя провайдера необходимо получить копии учредительных документов и лицензии на право предоставления услуг связи. Это можно оформить протоколом выемки. Также необходимо получить протоколы работы в сети Интернет абонента и именем, присвоенным потерпевшему с указанием времени работы и суммы денежных средств, списанных со счета указанного абонента. Эти данные сопоставляются с заключением компьютерно-технической экспертизы по изъятому у подозреваемого компьютеру. При совпадении протоколов работы в сети, ведущихся у провайдера и на компьютере подозреваемого, последнему предъявляется обвинение.