125 Кібербезпека / 5 Курс / 5.1_Комп'ютерна криміналістика / Література / Кримiналiстика (2)
.PDF
3.Типові слідчі ситуації під час розслідування злочинів у сфері обігу наркотичних засобів, психотропних речовин, їхніх аналогів або прекурсорів.
4.Типові загальні та окремі слідчі версії під час розслідування злочинів у сфері обігу наркотичних засобів.
5.Особливості початкового етапу розслідування злочинів у сфері обігу наркотичних засобів, психотропних речовин, їхніх аналогів або прекурсорів.
6.Особливості подальшого етапу розслідування злочинів у сфері обігу наркотичних засобів, психотропних речовин, їхніх аналогів або прекурсорів.
7.Особливості завершального етапу розслідування злочинів у сфері обігу наркотичних засобів, психотропних речовин, їхніх аналогів або прекурсорів.
8.Особливості проведення окремих слідчих дій під час розслідування злочинів у сфері обігу наркотичних засобів.
Теми рефератів
1.Окрема методика розслідування схиляння до вживання наркотичних засобів, психотропних речовин або їхніх аналогів.
2.Окрема методика розслідування незаконного введення в організм наркотичних засобів, психотропних речовин або їхніх аналогів.
3.Окрема методика розслідування організації та утримання місць для незаконного вживання, виробництва чи виготовлення наркотичних засобів, психотропних речовин або їхніх аналогів.
4.Окрема методика розслідування незаконного виготовлення, підроблення, використання чи збуту підроблених документів на отримання наркотичних засобів, психотропних речовин або прекурсорів.
5.Окрема методика розслідування незаконної видачі рецепта на право придбання наркотичних засобів або психотропних речовин.
6.Типові судові експертизи, які проводяться під час розслідування злочинів у сфері обігу наркотичних засобів, психотропних речовин, їхніх аналогів або прекурсорів.
421
ТЕМА 37
РОЗСЛІДУВАННЯ ЗЛОЧИНІВ У СФЕРІ ВИКОРИСТАННЯ ЕОМ,
СИСТЕМ І КОМП’ЮТЕРНИХ МЕРЕЖ
Кримінальну відповідальність за вчинення злочинів у сфері використання ЕОМ, систем і комп’ютерних мереж передбачено у статтях 361–3631 КК України.
1. Спосіб учинення злочину.
Цей вид злочинів учиняється з попередньою підготовкою. До заходів такої підготовки слід віднести: 1) підбір знарядь і програмного забезпечення для вчинення злочину; 2) вибір об’єкта, стосовно якого буде вчинено злочин; 3) підбір співучасників і розподіл ролей; 4) встановлення спостереження за об’єктом, вивчення режиму роботи чи розпорядку дня; 5) вибір місця зберігання викраденої інформації; 6) підшукування зацікавлених в інформації осіб (юридичних осіб).
Злочини у сфері використання ЕОМ можуть учинятися такими способами:
1)способом безпосереднього доступу до комп’ютерної інфор-
мації. За його реалізації інформація знищується, блокується, модифікується, копіюється, а також може порушуватися робота ЕОМ або їхньої системи, де міститься інформація. Безпосередньо такий злочин можуть вчинити особи, які працюють з такою інформацією (працівники фірми), а також особи, що спеціально проникли в закриті зони чи приміщення (як працівники фірми, що не мають туди доступу, так і сторонні особи). Іноді така особа обстежує робочі місця програмістів, шукає і вилучає (копіює) чорнові записи, роздруківки, ділове листування. Також вона може відновлювати і здійснювати перегляд стертої інформації. Такий спосіб
єменш поширеним, оскільки зараз інформацію легше перехопити під час її передання, ніж проникати у приміщення;
2)способом віддаленого доступу до комп’ютерної інформації.
До таких способів слід віднести: 1) підімкнення до лінії зв’язку законного користувача і отримання цим доступу до його системи; 2) проникнення в чужі інформаційні системи способом перебору абонентських номерів із подальшим з’єднанням із тим або тим комп’ютером; 3) проникнення в систему з використанням чужих паролів, коли незаконний користувач видає себе за законного;
3)змішаним способом. До таких способів належать: 1) підміна даних; 2) таємне введення в чужу програму команд, що допо-
422
магають їй здійснити незаплановані, нові функції («троянський кінь»); 3) модифікація програми введенням команд, що спрацьовують за певних умов (логічна бомба); 4) здійснення доступу до баз даних і файлів за рахунок використання слабких місць у системі захисту; 5) використання помилок у логіці програми; 6) поширення неліцензійних програм, що призводять до знищення або блокування інформації, порушення працездатності ЕОМ.
До способів приховування вчинення такого виду злочинів слід віднести: 1) відтворення обстановки, що передувала вчиненню злочину (знищення слідів пальців рук на клавіатурі, системному блоці, дисководі тощо); використання програм, що утруднюють виявлення неправомірного доступу; мінімізація обсягу інформації для учасників злочину щодо справжньої його мети тощо.
2. Місце вчинення злочину.
Укриміналістичній літературі вирізняють декілька місць учинення злочину: 1) місце опрацювання і зберігання інформації, що стала предметом злочину; 2) місце використання технічних засобів для неправомірного доступу до комп’ютерної мережі; 3) місце зберігання інформації, здобутої злочинним способом; 4) місце використання результатів неправомірного доступу до комп’ютерної інформації.
3. Знаряддя і засоби вчинення злочину.
Ними виступають засоби комп’ютерної техніки та спеціальне програмне забезпечення. Крім того, до знарядь і засобів відносять носії комп’ютерної інформації (диски, флешки тощо), різноманітне периферійне обладнання (принтери, факси, сканери, модеми тощо), засоби телефонного зв’язку, електронні ключі, ідентифікаційні коди.
4. Предмет посягання.
Предметом безпосереднього посягання є сама комп’ютерна інформація, що являє собою основну цінність у комплексі засобів обчислювальної техніки, до якої входять: електронно-обчислюваль- на машина; автоматизовані комп’ютерні системи (АКС); комп’ю- терні мережі; носії комп’ютерної інформації.
5. Особа злочинця.
Уплощині криміналістики можна вирізнити такі групи злочинців:
– сторонні злочинці, які порушують роботу автоматизованої системи і не знають, якій фірмі вона належить та якою є її структура;
– злочинці, які знають фірму: як сторонні, так і колишні її працівники;
– службовці фірми, що не є програмістами;
– службовці фірми – програмісти.
423
Також існує поділ злочинців на три групи за цілями, які вони досягають:
1)пірати – порушують авторське право, створюючи незаконні копії програм та інформаційних даних (90% від усіх злочинців у цій сфері);
2)хакери – неправомірно проникають у комп’ютерні системи, можуть отримати конфіденційні дані особи, не завдаючи при цьому шкоди самим файлам (9% від усіх злочинців у цій сфері);
3)крекери (кіберзлочинці), які володіють глибокими технічними знаннями, мають у своєму розпорядженні сучасні технічні засоби і вчиняють найнебезпечніші комп’ютерні злочини: злом, крадіжку, шпіонаж тощо (1%).
6. Слідова картина.
За вчинення цього виду злочинів на місці події можуть залишатися матеріальні та ідеальні сліди злочину.
До першої групи слідів відносять: а) сліди, що залишені на засобах комп’ютерної техніки; б) сліди, що свідчать про налагодження програм проникнення (списки паролів, коди, таблиці, графіки роботи, роздруківки); в) сліди, що залишені на засобах захисту комп’ютерної інформації (відбитки на електронних картках, електронних ключах, пристроях ідентифікації). До другої групи відносять: а) сліди, що вказують на зміни в заданій файловій структурі (перейменування каталогів, зміна розміру і змісту файла, поява нових каталогів і файлів, стирання або додавання окремих записів тощо; б) сліди роботи антивірусних і тестових програм; в) сліди у зміні конфігурації комп’ютера; г) сліди, що характеризують незвичні прояви в роботі ЕОМ (зависання, уповільнене або неправильне завантаження, поява на екрані нестандартних символів тощо; д) сліди руху пакетів інформації в мережі Інтернет.
На початковому етапі розслідування цього виду злочинів трап-
ляються такі типові слідчі ситуації:
1)встановлено факт неправомірного доступу до комп’ютерної інформації, є сліди злочину, є підозрюваний, який не заперечує своєї вини;
2)встановлено факт неправомірного доступу до комп’ютерної інформації, є сліди, що прямо вказують на підозрюваного, але він заперечує свою причетність до вчинення злочину;
3)встановлено факт неправомірного доступу до комп’ютерної інформації, відомі особи, які за своїм службовим становищем несуть за це відповідальність, але характер їхньої особистої провини,
атакож обставини доступу невідомі;
424
4)встановлено факт неправомірного доступу до інформації, вчинити який та скористатися результатами могли тільки особи
зпевного кола або відомі особи (фірми чи організації), зацікавлені в отриманні цієї інформації, але недостатньо доказів, що свідчать про їхню причетність, невідомий механізм учинення злочину.
Типові слідчі версії, що висуваються в ході розслідування:
1)був факт неправомірного доступу до комп’ютерної інфор-
мації;
2)є факт інсценування злочину зметою приховати інший злочин;
3)злочин учинено особою, яка має стосунок та вільний доступ у приміщення фірми чи особи, щодо яких учинено злочин;
4)злочин учинено сторонньою особою, яка має навички роботи
зЕОМ та їхніми системами;
5)злочин учинено групою осіб;
6)злочин учинено на замовлення конкурентів у бізнесі (фізичних чи юридичних осіб).
Процес розслідування цього виду злочинів починається з установлення самого факту неправомірного доступу до інформаційної системи або мережі. Факти такого доступу зазвичай виявляють самі користувачі або відповідальні за це посадові особи підприємств, установ чи організацій (адміністратори). Процесу порушення кримінальної справи передує проведення дослідчої перевірки. На ознаки несанкціонованого доступу можуть вказувати три групи обставин: технічні, поведінкові та логіко-арифметичні.
До технічних ознак відносять: появу в комп’ютері сторонніх даних; часті збої у роботі; повільне відновлення кодів і роботи захисної системи. До поведінкових ознак відносять: понаднормову роботу окремих членів персоналу; вихід із відпустки чи відвідування роботи в час відпустки; підвищений інтерес окремих працівників до змісту чужих роздруківок тощо. До логіко-ариф- метичних ознак відносять: невідповідність даних у роздруківках
іпервинних документах, суперечності між однойменними бухгалтерськими документами тощо.
Неправомірний доступ до комп’ютерної інформації може бути виявлений: за реалізації комп’ютерної інформації незаконним користувачем; у перегляді запису, що автоматично фіксується комп’ютером у «журналі оператора»; за фіксації законним користувачем на своєму комп’ютері даних про особу, що здійснює «передання» інформації через мережу.
Для вирішення слідчих ситуацій, що складаються, провадяться такі невідкладні слідчі дії: слідчий огляд, допит підозрюваного,
425
допит свідків, обшук, пред’явлення для впізнання, призначення експертиз тощо.
Слідчий огляд. Організація і технологія проведення слідчого огляду у справах про «комп’ютерні» злочини відрізняються від аналогічної слідчої дії в розслідуванні традиційних злочинів. Це обумовлено не тільки небезпекою навмисного знищення інформації, яка має доказове значення, з боку ще не виявлених учасників злочину, інших зацікавлених осіб, а й необережним поводженням слідчого та інших членів слідчо-оперативної групи, які можуть зашкодити інформації, знищити сліди в результаті неправильного, некваліфікованого поводження з програмно-апаратними засобами.
Однією з найважливіших умов проведення огляду є суворе дотримання встановлених правил поводження з комп’ютерною технікою та носіями інформації, технічно грамотне проведення пошуку доказів, потрібної інформації. Також рекомендується обов’язково залучати до огляду спеціаліста в галузі інформатики та обчислювальної техніки.
Особливості підготовчого етапу проведення огляду поляга-
ють у виконанні таких заходів: 1) щодо забезпечення цілісності та охорони місця проведення огляду (відмова від допомоги осіб із загалу працівників постраждалої організації, блокування та охорона приміщень тощо); 2) щодо отримання інформації про комп’ютерну систему, яка підлягає огляду (один комп’ютер, робоча станція, сервер; яке програмне забезпечення використовується).
Також з’ясовується і враховується: а) яким чином комп’ютерну техніку було використано у вчиненні злочину (як знаряддя, засіб учинення злочину або є об’єктом злочинного посягання); б) яке програмне забезпечення та які носії інформації необхідно вилучати; в) дані про особу (осіб), підозрювану у вчиненні злочину, її (їхні) професійні навички з володіння комп’ютерною технікою з урахуванням засобів учинення злочину і способів подолання інформаційного захисту, можливих дій зі знищення інформації та приховання слідів злочину; г) дані про кількість і розташування приміщень, наявність мережі в місці, де має бути проведено огляд; д) відомості про види електронної інформації, яка зберігається, та її місце; 3) запрошення спеціалістів-фахівців із експлуатації програмних засобів, фахівців зі створення програм для ЕОМ, інженерів із технічної експлуатації та ремонту ЕОМ; 4) запрошення понятих (як понятих рекомендується запрошувати людей, які розуміються у комп’ютерній техніці; 5) підготування відповідної комп’ютерної техніки, яка буде використовуватися для зчитування
426
та збереження вилученої інформації; 6) проведення інструктажу членів слідчо-оперативної групи. При цьому особливу увагу слід приділяти їхнім діям під час огляду: стежити за поведінкою всіх осіб, які перебувають у приміщенні, де проводиться огляд; виявляти особливу обережність у поводженні з комп’ютерною технікою, створюючи умови для роботи з нею спеціалістові.
Особливість початкового етапу огляду полягає в тому, що на цьому етапі проводиться: 1) перевірка ефективності блокування та охорони приміщень, виведення сторонніх осіб; 2) з’ясування кількості приміщень із комп’ютерною технікою, розташування і розподіл її в різних приміщеннях; 3) опитування очевидців, осіб, які виявили наслідки комп’ютерного злочину, або працівників служби комп’ютерної безпеки (якщо такі є); 4) планування огляду (визначення послідовності і порядку власних дій, а також дійучасників огляду).
Робочий етап характеризується такими особливостями: 1) усі дії з комп’ютерною технікою проводяться в присутності спеціаліста; 2) насамперед оглядові підлягає комп’ютерна техніка, яка перебуває в робочому (увімкненому) стані; 3) необхідно встановити наявність у комп’ютера зовнішніх пристроїв віддаленого доступу до системи (підімкнення до локальної мережі, наявність модему); 4) по можливості необхідно зробити точну інформаційну копію машинного носія; 5) використання в протоколі огляду комп’ютерної термінології; 6) усі дії з комп’ютерною технікою фіксуються за допомоги фотота/або відеотехніки.
Європейські фахівці в галузі комп’ютерно-технічних технологій не рекомендують у проведенні слідчих дій безпосередньо перевіряти зміст інформації на комп’ютерному носієві, оскільки завжди існує ризик пошкодження та зміни інформації. Цілком вірно зазначено, що інформація, яка міститься в комп’ютерних засобах і на носіях, повинна залишатися незмінною. Тому й рекомендується зняти точну копію і всі дослідницькі процедури проводити з цією копією.
Особливостями проведення обшуку, пов’язаного з комп’ю- терною технікою, є: 1) використання принципу раптовості з прибуттям і входженням до приміщення, в якому буде проводитись обшук або в якому міститься комп’ютерна техніка, що підлягає обшукові; 2) неможливість використання у процесі пошуку схованок із магнітними носіями металошукачів або рентгенівської установки, оскільки їх застосування може призвести до знищення інформації на цих носіях; 3) необхідність швидко проаналізувати великий обсяг інформації, яку було виявлено у проведенні обшуку з метою встановлення її цінності для досудового слідства; 4) про-
427
ведення обшуку лише на одному або декількох комп’ютерах, які входять до складу локальної комп’ютерної мережі.
Під час допиту підозрюваного необхідно встановити такі обставини:
1)де і ким він працює;
2)до якої комп’ютерної інформації має доступ, які операції з інформацією він має право проводити;
3)який його рівень підготовки як програміста, досвід роботи зі створення програм, які мови програмування він знає;
4)які ідентифікаційні коди і паролі закріплено за ним;
5)до яких видів програмного забезпечення він має доступ;
6)які операції він виконував у досліджуваний час;
7)з якого джерела або від кого він дізнався про інформацію, що зберігається на комп’ютері;
8)від кого було отримано інформацію про засоби захисту ком- п’ютерної інформації, які способи для їх подолання;
9)яким чином здійснювався неправомірний доступ, які засоби для цього використовувалися;
10)кому було передано (або планувалося передати) отриману інформацію, з якою метою;
11)яка мета переслідувалась у вчиненні злочину, яку матеріальну вигоду за це було отримано;
12)як знищувалися сліди неправомірного доступудокомп’ютера;
13)як часто здійснювався неправомірний доступ до комп’ю- терної інформації;
14)хтосприявпідозрюваномуувчиненнізлочинуіякимспособом.
На допиті представників потерпілої сторони слід з’ясувати:
1)який на об’єкті режим і фактичний стан охорони;
2)який на об’єкті режим роботи з комп’ютерною технікою: чи
єслужба безпеки інформації; як організовано доступ до ком- п’ютерів та їхньої мережі; яка організація доступу до кодів, паролів; яка періодика створення резервних копій; як здійснюється антивірусний захист; як ведеться облік користувачів; як організовано доступ до мережі ззовні;
3)чи було порушено правила експлуатації комп’ютерної техніки з боку користувачів;
4)хто мав доступ до приміщень, де розташована комп’ютерна техніка;
5)які сліди чи предмети могли залишити злочинці на місці вчинення злочину;
6)які обставини передували вчиненню злочину, чи були спроби встановлення контакту з працівниками фірми;
428
7) яка інформація зазнала впливу, її значення та зміст; 8) які розміри збитків, спричинених незаконним вручанням
у роботу ЕОМ.
Під час розслідування злочинів у сфері комп’ютерної інформації можуть призначатися і проводитися як традиційні криміналістичні (трасологічна, почеркознавча, експертиза речовин і матеріалів), економічні, судово-бухгалтерські, так і спеціальна – ком- п’ютерно-технічна експертизи.
?Контрольні питання
1.Поняття комп’ютерних злочинів і спосіб їх учинення.
2.Особа злочинця.
3.Слідова картина у вчиненні комп’ютерних злочинів.
4.Типові слідчі ситуації та слідчі версії.
5.Особливості проведення огляду місця події в розслідуванні ком- п’ютерних злочинів.
6.Особливості проведення допиту потерпілої особи.
7.Особливості проведення допиту підозрюваної особи.
Теми рефератів
1.Криміналістична характеристика злочинів у сфері використання ЕОМ, систем і комп’ютерних мереж.
2.Слідчі ситуації, що виникають у розслідуванні злочинів у сфері використання ЕОМ.
3.Особливості порушення кримінальних справ і початкового етапу розслідування злочинів у сфері використання ЕОМ.
4.Тактика проведення окремих слідчих дій у розслідуванні злочинів у сфері використання ЕОМ.
ТЕМА 38
РОЗСЛІДУВАННЯ ХАБАРНИЦТВА
У кримінальному праві України поняття хабарництва об’єднує три кримінально карних діяння, що пов’язані між собою спільністю об’єкта злочину: одержання хабара (ст. 368 КК України), давання хабара (ст. 369 КК України) і провокація хабара (ст. 370 КК України). Хабарництво співвідноситься з поняттям корупції, яке за своєю суттю є більш широким. Досить часто цей вид злочину буває пов’язаний із вчиненням інших злочинів – ухиленням від сплати податків, привласненням чи розтратою майна, шахрайством.
429
Одержання хабара передбачає отримання службовою особою в будь-якому вигляді хабара за виконання чи невиконання в інтересах того, хто дає хабара, чи в інтересах третьої особи будь-якої дії з використанням наданої їй влади чи службового становища.
Давання хабара передбачає передавання особисто або через посередників службовій особі матеріальних цінностей, права на майно, вчинення дій майнового характеру за здійснення або нездійснення дій в інтересах хабародавця чи третіх осіб із використанням влади або службового становища.
Розслідування кримінальних справ про хабарництво має свою специфіку, і їх можна назвати одними з найскладніших з погляду доказування вини особи. Серед причин, що впливають на важкість доказування факту одержання і давання хабара, можна назвати:
1)конфіденційність спілкування двох осіб (відсутність свідків);
2)відсутність традиційних слідів злочину (або їхню недостатність);
3)завуальованість предмета хабара;
4)складність фіксації дій хабародавця й хабарника;
5)складність отримати від них правдиві показання, оскільки кримінальну відповідальність несуть як хабароотримувач, так і хабародавець;
6)нерідко хабар отримують за вчинення законних дій, що ускладнює пошук доказів;
7)порівняно з іншими злочинами тут можна зібрати досить невеликий об’єм доказів, у більшості випадків усе базується на непрямих доказах та оперативно-розшукових матеріалах, які досить важко оцінити об’єктивно.
До важливих елементів криміналістичної характеристики цього виду злочинів належить: спосіб учинення злочину; місце, час та обстановка події злочину; предмет хабара; особа злочинця; слідова картина.
1. Спосіб вчинення злочину. Розрізняють кілька видів хабарництва:
1)без участі посередників і за участі таких;
2)без змови та за попередньою змовою групою осіб;
3)поєднане з вимаганням хабара та без такого.
Хабар може даватися за певні конкретні дії (бездіяльність)
увигляді:
1)хабара-підкупу (дається до вчинення дії);
2)хабара-подяки (дається після вчинення дії);
3)систематичних винагород (хабар за заступництво, за «дах»).
430