- •Частина 1. Поняття і сутність комп'ютерної інформації, основні засоби і методи її захисту
- •1.1. Поняття і сутність комп'ютерної інформації. Інформація, як об'єкт захисту
- •1.2. Інформація як об'єкт права власності
- •1.3. Основні засоби і методи захисту комп'ютерної інформації
- •1.4. Наслідки злочинів у сфері використання електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж
- •Частина 2. Теоретико-правові питання кваліфікації злочинів у сфері використання електронно-обчислювальних машин
- •2.1. Поняття правового забезпечення комп'ютерної безпеки
- •2.2. Основні напрямки державної політики і стан правового регулювання захисту інформації в Україні
- •2.3. Аналіз розділу XVI кк України "Злочини у сфері використання електронно-обчислювальних машин (комп'ютерів), систем та комп'ютерних мереж".
- •2.4. Питання кримінально-правової відповідальності за злочини у сфері використання комп'ютерних технологій
- •Частина 3. Криміналістична характеристика незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж
- •3.1. Об'єкт незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем та комп'ютерних мереж
- •3.2. Предмет незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем та комп'ютерних мереж
- •3.3. Суб'єкт незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем та комп'ютерних мереж
- •3.4. Дані про способи вчинення злочину [75] і механізм протиправного діяння
- •3.5. Дані про способи приховання незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж.
- •3.6. Дані про знаряддя (засоби) незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж
- •3.7. Дані про обстановку і місце скоєння незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж
- •3.8. Дані про сліди незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж
- •Частина 4. Особливості первісного етапу розслідування незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж
- •4.1. Особливості провадження перевірочних дій на стадії порушення кримінальної справи
- •4.1.1. Отримання пояснень
- •4.1.2. Огляд місця події
- •4.1.3. Витребування необхідних матеріалів
- •4.2. Слідчі ситуації та особливості тактики окремих слідчих дій на первісному етапі розслідування
- •4.2.1. Допит свідків
- •4.2.2. Обшук приміщень
- •4.2.3. Допит підозрюваного
- •4.2.4. Призначення експертиз
- •4.2.5. Загальні рекомендації щодо проведення слідчих дій на первісному етапі розслідування
- •Частина 5. Особливості розслідування незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж на наступному етапі
- •5.1. Допит обвинуваченого
- •5.2. Допит свідків
- •5.3. Очні ставки
- •5.4. Пред'явлення для впізнавання
- •5.5. Слідчий експеримент
- •5.6. Перевірка й уточнення свідчень на місці
- •Висновки
- •Додатки
- •Відповідальність за злочини в сфері комп'ютерної інформації, передбачена кримінальним законодавством країн снд та Прибалтики
- •Кримінальний кодекс Республіки Казахстан
- •Глава 7. Злочини у сфері економічної діяльності Стаття 227. Неправомірний доступ до комп'ютерної інформації, створення, використання і розповсюдження шкідливих програм для
- •Глава 33. Злочини у сфері комп'ютерної інформації
- •Бібліографія та посилання:
- •Глава 28. Злочини у сфері комп'ютерної інформації 242
- •Глава 30. Злочини у сфері комп'ютерної інформації 243
- •Глава 33. Злочини в сфері комп'ютерної інформації 257
- •Глава X. Розкрадання чужого майна.. 258
- •Розслідування комп'ютерних злочинів
- •69002 М. Запоріжжя, вул. Жуковського, 70-6
4.1.2. Огляд місця події
Огляд місця події до порушення кримінальної справи, згідно ст. 190 КПК України, може проводитися у виключних випадках [114]. Обов'язковими підготовчими заходами, що проводяться до виїзду на місце події, є такі [115]:
113
Особливості первісного етапу розслідування незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж_________________________________________________________
-
З'ясувати у поінформованої особи відомості про подію (де, коли, за якими ознаками стало відомо про вже скоєний комп'ютерний злочин, або який скоюється в даний час, хто виявив ці ознаки, хто повідомив про подію).
-
Довести інформацію про подію і викликати співробітників відповідних зацікавлених служб (СБУ, МВС та ін.).
-
Запросити для участі в огляді спеціалістів, бажано із сторонньої організації; пояснити їм їх права та обов'язки (ст. 128, 128-1 КПК України; попередити про відповідальність за відмову або ухилення від своїх обов'язків. Характерною рисою розслідування незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж є те, що при проведенні більшості слідчих дій необхідна участь спеціаліста. Це особливо важливо при огляді місця події [116]. 92% з числа опитаних програмістів вважають, що на сучасному рівні розвитку обчислювальної техніки без участі професіонала складно знайти "заховану" в комп'ютері інформацію, не ризикуючи її знищити [117]. При цьому слідчому кожного разу необхідно впевнитися в компетентності спеціаліста. Зважаючи на швидкоплинність таких злочинів і складність їх виявлення та розслідування, бажано мати заздалегідь складений список спеціалістів, які можуть надати слідству реальну допомогу.
4. Запросити понятих, пояснити їм їх обов'язки (ст. 127 КПК України) та попередити про недопустимість розголошення даних попереднього слідства, що стали їм відомими (ст.121 КПК України) [118]. Понятими слід також запрошувати людей, обізнаних з комп'ютерною технікою. Нерозуміння сенсу того, що відбувається 114
Особливості первісного етапу розслідування незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж_________________________________________________________
для людини, запрошеної понятим, а пізніше - допитаної у суді, може це переконати суд у визнанні тих чи інших обставин доказами. Бажано запрошувати понятими службовців того підприємства, організації, закладу, фірми, компанії, в якій проводиться огляд місця події, за умови, що вони не зацікавлені в наслідках справи.
5. Підготувати науково-технічні засоби. З метою оперативного перегляду машинних носіїв інформації, до складу науково-технічних засобів необхідно включати й портативні комп'ютери. Це може бути IBM PC, виконаний у переносному варіанті Note book. Крім комп'ютера, потрібен кабель, а також спеціальне програмне забезпечення, що дозволяє здійснити копіювання та експрес-аналіз інформації на місці. Слід мати на увазі, що для повного і якісного копіювання інформації необхідна відповідність не марок комп'ютерів, а обсягів жорстких дисків (обсяг персонального комп'ютера має бути не меншим, а в ідеалі - дорівнювати обсягові диска, комп'ютера, що оглядається). Сучасні технічні засоби дають змогу проводити відеозапис і фотографування, одночасно перетворюючи їх у цифрову (комп'ютерну) форму, при цьому якість зображення та його збереження залишаються постійними, тобто, не старіють навіть від багатократного копіювання. Отже, спеціально підібране програмне забезпечення також є невід'ємною частиною науково-технічних засобів, необхідних для провадження слідчих дій, Що розглядаються.
6. Провести інструктаж членів слідчо-оперативної групи. При Цьому звернути їх увагу на поведінку всіх осіб, які можуть перебувати У приміщенні, де проводиться огляд; створити умови спеціалістові Для роботи з комп'ютерною технікою. Слід пам'ятати, що
115
Особливості первісного етапу розслідування незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж_________________________________________________________
комп'ютерна техніка - це завжди недешеве обладнання і вимагає обережності при поводженні з нею, в тому числі і при її вилученні До того ж, вона може зберігати значну кількість інформації, яка є власністю як окремої особи, так і фірми. Єдина помилка може призвести до мільйонних збитків.
7. Проконсультуватися зі спеціалістами (мова йде про ті випадки, коли до огляду місця події відомо, яка комп'ютерна техніка оглядатиметься). Така консультація має містити інформацію про загальну будову комп'ютера, системи ЕОМ або їх мережі, правилах роботи на них, обробку інформації і т.п.
Після прибуття на місце події необхідно:
-
зафіксувати обстановку, яка склалася на момент огляду місця події, перевірити ефективність блокування й охорони приміщень, вивести сторонніх осіб, з'ясувати кількість приміщень з комп'ютерною технікою, розташування і розподіл її в різних приміщеннях; опитати очевидців, осіб, які виявили наслідки комп'ютерного злочину, або співробітників служби комп'ютерної безпеки (якщо такі є);
-
виключити можливість стороннім особам (та й учасникам слідчо-оперативної групи) торкатися обладнання. Бажано позбавити їх можливості користуватися телефоном, а в разі гострої необхідності робити це лише з дозволу слідчого. "Не допускайте, аби будь-хто здійснював будь-які дії з комп'ютером. Ризик, пов'язаний з безпосереднім втручанням у систему, значно більший, ніж невеликий шанс дистанційного впливу на систему з іншого приладу" [1.19]- Необхідно організувати охорону кожного комп'ютера (терміналу), для чого можливе залучення додаткових сил: підрозділів загону 116
Особливості первісного етапу розслідування незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж_________________________________________________________
міліції особливого призначення, спеціального загону швидкого реагування та ін.;
-
з'ясувати, чи сполучені комп'ютери, які знаходяться в приміщенні, в локальну обчислювальну мережу. Про це можуть свідчити коаксіальні кабелі, що йдуть від комп'ютера до комп'ютера, чи просто телефонні шнури. За наявності локальної комп'ютерної мережі на найбільшу увагу заслуговує центральний комп'ютер, так званий "сервер", на якому зберігається більша частина інформації і до якого мають доступ усі ЕОМ. Цей комп'ютер необхідно дослідити більш ретельно й обережно;
-
встановити, чи є сполучення комп'ютера з обладнанням чи обчислювальною технікою поза приміщенням, що оглядається. Про це можуть свідчити кабелі й шнури, що йдуть від комп'ютера до інших приміщень чи будівель. Якщо ці сполучення є, то існує реальна можливість безпосереднього обміну інформацією, її зміни чи знищення з віддалених робочих місць, які знаходяться за декілька метрів або навіть кілометрів від приміщення, яке обшукується. Щоб цього уникнути, на час вилучення інформації обчислювальну мережу слід відключити від "зовнішнього світу" програмно або фізичним відключенням кабелів. Цю роботу кваліфіковано може виконати лише спеціаліст в області обчислювальної техніки;
5) з'ясувати, чи підключений комп'ютер до телефонної або телетайпної лінії. В разі підключення, на нього можуть надходити виклики (дзвінки) з подальшим прийомом чи передачею інформації. Слід мати на увазі, що встановити, чи запрограмований комп'ютер на передачу, може тільки спеціаліст. Якщо інформація, що надходить На комп'ютер електронною поштою, факсимільним або телетайпним
117
Особливості первісного етапу розслідування незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж_________________________________________________________
зв'язком може викликати цікавість, то відключати телефонну чи телетайпну лінії немає сенсу, але необхідно утримуватися від телефонних розмов даною лінією;
6) з'ясувати, чи запущені програми на ЕОМ і які саме. Для цього необхідно вивчити зображення на екрані, і якомога детальніше описати його в протоколі. Якщо спеціалістові вдасться визначити, що на комп'ютері працює програма знищення інформації або її шифрування, то такі програми варто призупинити і обстеження почати саме з цього комп'ютера. Якщо до моменту огляду в комп'ютер оператором вводився текст, і цей текст може зацікавити слідство, то вихід з редактора треба здійснювати лише після збереження набраного тексту на жорсткому дискові шляхом вибору відповідного пункту меню. Встановити назву програми, яка останньою виконувалася на комп'ютері, операційна система MS-DOS може шляхом одночасного натискування клавіш Ctrl-E. Багаторазове натискування цієї комбінації надасть можливість прослідкувати за всіма програмами, що запускалися з часу останнього перезавантаження комп'ютера. Важливо відзначити, що в будь-якому разі слідчому не варто самому здійснювати які-небудь маніпуляції з обчислювальною технікою. їх має робити спеціаліст. На робочій (дослідницькій) стадії огляду місця події кожен об'єкт підлягає ретельному обслідуванню. В цей період важливо встановити, чи міститься в комп'ютері інформація, яка може сприяти плідному і цілеспрямованому оглядові (різні плани приміщень, ділянок місцевості, паролі, коди доступу, шифри і т.п.). Для з'ясування спеціаліст проводить експрес-аналіз комп'ютерної інформації шляхом огляду вмісту дисків. Інтерес можуть викликати також файли з текстовою або графічною інформацією.
118
Особливості первісного етапу розслідування незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж_________________________________________________________
У цей період звертається увага не тільки на наявність (відсутність) фізичних пошкоджень комп'ютерної техніки, магнітних носіїв і т. п., але й на стан вікон, дверей і запираючих їх пристроїв. Сліди можуть бути виявлені при наявності спеціальних засобів розпізнавання користувача персонального комп'ютера (ПК). До таких засобів належать [120]:
-
спеціальні електронні картки (наприклад, "Micro Card Technologies"), до яких заноситься інформація про власників, їх паролі і ведеться облік усіх операцій, що виконуються користувачем;
-
електронні ключі доступу до ПК (ключ "Активатор" фірми "Software Security Inc."), в яких міститься мікропроцесор, до запам'ятовуючого пристрою якого заноситься унікальна для кожного користувача інформація;
-
пристрої ідентифікації користувачів за відбитками пальців (фірма "Calspan")
- пристрої розпізнавання користувача за геометричними ознаками руки. Користувач кладе руку до фотоприладу, який визначає інформацію про довжину пальців та їх світлопровідність, а потім проводить порівняння з еталоном, що зберігається в ПК;
пристрої розпізнавання користувача за почерком, для чого використовуються динамічні характеристики процесу підпису: швидкість, тиск на папір і статичні - форма і розмір підпису;
- пристрої розпізнавання користувачів за голосом. Є приклади використання спеціальних багатоканальних фільтрів (фірма "Philips").
Подібні пристрої, підключені до комп'ютера, автоматично фіксують усі незаконні спроби вторгнення. Наприклад, такі системи зчитують інформацію з магнітних карток незаконних власників, записують їх голос, відбитки пальців. Ці дані в подальшому можуть бути використані для ідентифікації особи злочинця.
На робочій стадії огляду фіксується вид незаконного доступу (знищення, блокування, модифікація, копіювання інформації,
119
Особливості первісного етапу розслідування незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж_________________________________________________________
порушення роботи ЕОМ). Для цього спеціаліст спостерігає за роботою програм, вмістом текстових файлів і баз даних. Якщо з'ясовується, що мав місце несанкціонований доступ, то необхідно відшукувати сліди пальців рук, мікрочастки на клавіатурі, корпусі ЕОМ, моніторі, принтері і т.п. Доцільно проглянути результати роботи програм контролю доступу до ЕОМ, систем протоколювання дій оператора і за наявності впливу на них, вилучити. Результати такої роботи виводяться на друк і долучаються до справи в якості документів у порядку ст. 190 КПК України.
Варто мати на увазі, що дослідження великих обчислювальних систем вимагає часу - не лише годин, але й днів. До цього треба бути готовим. У процесі розслідування незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж можливі ситуації, коли фізично неможливо перевезти комп'ютери для їх вивчення і дослідження. У таких випадках необхідно керуватися наступними рекомендаціями:
1) після огляду засобів комп'ютерної техніки (сервера, робочої станції комп'ютерної мережі) в обов'язковому порядку необхідно блокувати не лише відповідні приміщення, але й відключати джерела енергоживлення апаратури чи, в крайньому разі, створити умови лише для прийому інформації поряд з опломбуванням усіх необхідних вузлів, деталей, частин і механізмів комп'ютерної системи;
2) магнітні носії машинної інформації мають переміщуватися у просторі і зберігатися лише у спеціальних опломбованих і екранованих контейнерах або в стандартних дискетних чи інших алюмінієвих футлярах заводського виготовлення, які виключають руйнівний вплив різних електромагнітних і магнітних полів, спрямованих випромінень;
3) інформацію з оперативної пам'яті комп'ютера (ОЗП), необхідно вилучати шляхом копіювання відповідної машинної
120
Особливості первісного етапу розслідування незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж_________________________________________________________
інформації на фізичний носій, використовуючи стандартні паспортизовані програмні засоби. В таких випадках вони забезпечуються відповідним документальним додатком. У протоколі огляду місця події необхідно зафіксувати наступне:
. - програму, яка виконується (або виконувалась) комп'ютером на момент проведення (або до проведення) слідчої дії. Для цього варто детально вивчити і описати зображення на екрані монітора
комп'ютера, всі функціонуючі при цьому периферійні пристрої і результат їх діяльності. Багато сервісних програмних засобів дозволяють визначити і проглянути найменування всіх програм, які викликалися раніше, і ту, яка виконувалась в останню чергу. Наприклад, в разі використання NORTON COMMANDER, остання виконувана програма визначається за положенням курсора (виділеною світловою рискою);
- результат дії виявленої програми;
- маніпуляції з пристроями комп'ютерної техніки (включаючи натискування на клавіші клавіатури), зроблені в процесі проведення слідчої дії та їх результат (наприклад, при копіюванні програм і файлів, визначенні їх атрибутів, дати, часу створення і запису), а також при вімкненні та вимиканні апаратури, від'єднанні її частин;
4) вилучення засобів комп'ютерної техніки здійснюється тільки у вимкненому стані. При цьому мають бути виконані та зафіксовані в протоколі наступні дії:
- установлено вімкнений стан обладнання і зафіксовано порядок його вимикання;
- описане точне місцезнаходження предметів, що вилучаються, і їх розміщення відносно один одного і оточуючих предметів (з додаванням необхідних схем і планів);
- описаний порядок з'єднання між собою всіх пристроїв із зазначенням особливостей сполучення (колір, кількість, розміри, характерні індивідуальні ознаки з'єднувальних проводів, кабелів, Шлейфів, роз'ємів, штекерів і їх специфікація);
121
Особливості первісного етапу розслідування незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж_________________________________________________________
-
визначена відсутність або наявність мережі, задіяні канали зв'язку і телекомунікацій. В останньому випадку встановлено тип зв'язку, апаратура, що використовується, абонентський номер, позивний або робоча частота;
-
проведене роз'єднання (з дотриманням усіх необхідних заходів безпеки) апаратних частин (пристроїв) з одночасним опломбуванням їх технічних входів і виходів;
-
визначено вид упаковки і транспортування вилучених предметів. Оскільки магнітні носії чутливі до різних видів електромаг- нітних впливів, після зняття з них копій, необхідно забезпечити особливі умови їх зберігання. Ці умови мають виключити вплив електромагнітних полів, рентгенівських та інших видів випромінень. Для цього вони поміщаються до спеціальних контейнерів. Зберігати магнітні носії слід при кімнатній температурі (від 15-20°С) і вологості повітря від 50-70%. Недопустимо піддавати носії безпосередньому впливові сонячного світла, робити на них надписи (допускається тільки м'яким олівцем або фломастером). Жорсткі магнітні диски розміром 5,25 необхідно зберігати лише в захисному конверті. Категорично забороняється торкатися магнітної поверхні диску.