 |
Особенности организации и тактики производства отдельных следственных действий
|
|
|
|
Особенностями расследования преступлений в области компьютерной информации являются:
а) широкое использование при проведении следственных действий и оперативно-розыскных мероприятий лиц, сведущих в области применения информационных технологий;
б) особый алгоритм расследования;
в) специфические приемы работы (осмотры, изъятие, хранение и т.п.) с машинными носителями информации в ходе производства следственных действий;
г) организационные и тактические особенности проведения отдельных следственных действий.
Поскольку информационные технологии достаточно разнообразны, то выбор специалиста для решения конкретных задач весьма сложен. При изъятии технических средств необходим специалист по аппаратному устройству вычислительной техники. Для установления фактов проникновения извне в информационные системы специалист должен обладать дополнительно знаниям в области информационной безопасности. При исследовании систем ЭВМ и их сетей специалист должен иметь специализацию в области программного обеспечения вычислительных комплексов, систем и сетей.
Поиск таких специалистов следует проводить заблаговременно в предприятиях и учреждениях, осуществляющих обслуживание и эксплуатацию компьютерной и коммуникационной техники, в учебных и научно-исследовательских учреждениях. В крайнем случае, могут быть привлечены сотрудники организации, компьютеры которой подверглись вторжению.
Алгоритм расследования преступлений в сфере компьютерной информации складывается в зависимости от состава совершенного преступления и следственной ситуации. Рассмотрим его на примере неправомерного доступа к компьютерной информации, совершенного в условиях неочевидности, когда личность подозреваемого неизвестна.
|
|
|
Основанием для возбуждения уголовного дела, как правило, служат заявления потерпевших – законных пользователей, работающих в сети на основании договора с фирмой-провайдером. Организация предварительной проверки по поступившему заявлению чаще всего поручается специальным подразделениям МВД по борьбе с преступлениями в сфере высоких технологий. В ходе предварительной проверки берутся объяснения у заявителя, где отражается, что послужило выводом о том, что с реквизитами (именем и паролем) законного пользователя в сети работали посторонние лица, размер материального ущерба. Обязательно выясняется, с каким провайдером заключен договор, а также присвоенное пользователю имя для работы в сети.
Далее, у провайдера запрашивается протокол работы в сети данного абонента за период времени, указанный заявителем с обозначением даты, времени начала сессии, продолжительности работы, суммы денежных средств, списанных со счета клиента. На основании собранных данных в местном узле электросвязи выясняется, с каких номеров телефонов осуществлялся доступ в Интернет в указанное время. По указанным номерам телефонов устанавливаются адреса, откуда производилась связь, и кто по этим адресам проживает.
На основе совокупности собранных данных следователь имеет основания после возбуждения уголовного дела произвести обыск по месту жительства «заподозренного». К работе необходимо привлечь специалиста в области электронно-вычислительной техники и программного обеспечения. Определить возможные меры безопасности, предпринимаемые преступниками с целью уничтожения доказательств по делу. Кроме того, необходимо привлечь сотрудника ГТС для определения возможности несанкционированного подключения к телефонной линии посторонних лиц с целью работы в сети Интернет с данного телефонного номера. Подобрать понятых, которые разбираются в компьютерной технике (основных операциях, названиях компьютерных программ и т.п.), с тем, чтобы исключить возможность оспаривания в суде правильности проведенного следственного действия и его результатов.
|
|
|
Идеальным можно считать проведение обыска в момент совершения преступления, устанавливаемый по предварительной договоренности с провайдером, который может сообщить о моменте выхода абонента в сеть Интернет. В этом случае необходимо осуществить максимально быстрый доступ к компьютеру (без предварительного обесточивания квартиры). Отстранить пользователя от работы и с помощью видео либо фототехники зафиксировать изображение на мониторе с указанием даты и времени фиксации, после чего произвести осмотр компьютера.
При проведении обыска необходимо обращать внимание на наличие рукописных записей в ежедневниках, телефонных и записных книжках, поскольку в большинстве случаев преступники ведут записи полученных ими сетевых реквизитов. Также необходимо установить, заключался ли ранее пользователем договор на предоставление доступа в Интернет, и если да, то изъять соответствующие документы.
Основная цель допроса свидетелей – максимально сузить круг лиц, имеющих возможность выхода в Интернет с данного компьютера.
При допросе подозреваемого необходимо получить ответы на следующие вопросы:
1. Каким образом были получены идентификационные данные. Если они получены у третьих лиц, то установить у кого, где, при каких обстоятельствах и на каких условиях. Если самостоятельно, то, каким образом, с подробным описанием последовательности действий.
2. Где, когда получены навыки («стаж») работы на персональном компьютере и в Интернете с подробным описанием процесса получения доступа в Интернет, а также основных целей работы в сети. Необходимо установить наличие знания порядка официального заключения договора, порядка оплаты и возможных последствий использования не принадлежащих идентификационных данных.
3. Каковы характеристики используемого компьютера, а также программного обеспечения, установленного на нем. Это позволит конкретизировать вопросы при назначении экспертизы, а также определить познания подозреваемого в компьютерной технике.
|
|
|
Обязательным является изъятие в ходе обыска компьютерной техники и ее осмотр, а также осмотр изъятых предметов, документов и назначение компьютерно-технической экспертизы для получения ответов на вопросы:
1. Был ли на данной ЭВМ установлен модем.
2. Осуществлялся ли при помощи данной ЭВМ доступ в глобальную компьютерную сеть Интернет. Если да, то, через каких провайдеров, при помощи каких имен пользователей (имя пользователя – логин).
3. Имеется ли на жестком диске данной ЭВМ следующая информация:
– имя пользователя (логин) и пароли к нему;
– фамилии, имена, телефонные номера и другие сведения, представляющие интерес по делу;
– программа для работы с электронной почтой (E-mail) и почтовые архивы, если да, то имеются ли среди архивов такие, которые могут представлять интерес в рамках настоящего уголовного дела;
– какой адрес электронной почты принадлежал лицу, которое пользовалось этим экземпляром почтовой программы;
– другие программы для общения через Интернет и архивы принятых и переданных сообщений;
– какой адрес электронной почты принадлежал лицу, которое пользовалось указанными экземплярами программ.
4. Имеются ли на представленном ПК и дискете программы, заведомо приводящие к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети.
5. Какой квалификацией обладал человек, проводивший инсталляцию – процедуру установки программного обеспечения, его настройку на данной ЭВМ.
Одним из ключевых следственных действий является допрос представителя фирмы-провайдера. Перед допросом необходимо довести до его сведения основные понятия и определения, используемые в юридической терминологии, поскольку они могут не совпадать с технической, что может вызвать недопонимание и разночтения. У представителя провайдера необходимо получить копии учредительных документов и лицензии на право предоставления услуг связи. Это можно оформить протоколом выемки. Также необходимо получить протоколы работы в сети Интернет абонента с именем, присвоенным потерпевшему с указанием времени работы и суммы денежных средств, списанных со счета указанного абонента. Эти данные сопоставляются с заключением компьютерно-технической экспертизы. При совпадении протоколов работы в сети, ведущихся у провайдера и на компьютере подозреваемого, последнему предъявляется обвинение.
|
|
|
При проведении таких следственных действий, как осмотр места происшествия, обыск, следователь и участники следственно-оперативной группы должны предельно четко соблюдать общие правила обращения с вычислительной техникой и носителями информации. Несоблюдение этих правил может привести к потере важной для расследования информации и нанесению материального ущерба, вызванного этими действиями.
Общими правилами обращения с вычислительной техникой и носителями информации являются следующие:
– все включения (выключения) компьютеров и других технических средств, а также использование криминалистической техники (магнитных кистей, металлоискателей и пр.) производятся только специалистом или под его руководством;
– необходимо исключить попадания мелких частиц и порошков на рабочие части компьютеров (разъемы, дисковод, вентилятор и др.);
– при работе с магнитными носителями информации запрещается прикасаться руками к рабочей поверхности дисков, подвергать их электромагнитному воздействию, сгибать диски, хранить без специальных конвертов (пакетов, коробок);
– диапазон допустимых температур при хранении и транспортировке должен варьироваться в температурных пределах от 0 до +50 градусов Цельсия;
– со всеми непонятными вопросами, затрагивающими терминологию, устройство и функционирование вычислительной техники, необходимо обращаться только к специалисту.
В процессе подготовки к осмотру места происшествия еще до выезда необходимо: 1) пригласить специалистов; 2) пригласить понятых; 3) подготовить соответствующую компьютерную технику, которая будет использоваться для считывания и хранения изъятой информации; 4) провести инструктаж членов следственно-оперативной группы; 5) проконсультироваться со специалистами (в случаях, когда до осмотра места происшествия известно, какая компьютерная техника будет осматриваться).
По прибытии на место происшествия необходимо: зафиксировать обстановку, сложившуюся на момент осмотра места происшествия; исключить возможность посторонним лицам (да и участникам следственно-оперативной группы) соприкасаться с оборудованием; определить, соединены ли находящиеся в помещении компьютеры в локальную вычислительную сеть; установить, имеются ли соединения компьютера с оборудованием или вычислительной техникой вне осматриваемого помещения; выяснить, подключен ли компьютер к телефонной или телетайпной линиям; определить, запущены ли программы на ЭВМ и какие именно.
|
|
|
На рабочей (исследовательской) стадии осмотра места происшествия каждый объект подлежит тщательному обследованию. Специалистом проводится анализ компьютерной информации путем просмотра содержимого дисков, в необходимых случаях восстанавливаются стертые файлы. Обращается внимание не только на наличие (отсутствие) физических повреждений компьютерной техники, магнитных носителей и т.п., но и на состояние окон, дверей и запорных устройств на них. Наблюдается действие программ, содержимое текстовых файлов и баз данных. Ведется поиск следов пальцев рук, микрочастиц на клавиатуре, корпусе ЭВМ, мониторе, принтере и т.п.
Целесообразно просмотреть результаты работы программ контроля доступа к ЭВМ, системам протоколирования действий оператора и, при наличии воздействий на них, изъять.
При осмотре должны быть установлены: конфигурация компьютера (с четким описанием всех устройств); номера моделей и серийные номера каждого из устройств; инвентарные номера; прочая информация, имеющаяся на фабричных ярлыках.
При изъятии компьютеров необходимо: путем опроса персонала порознь выяснить сетевые имена пользователей и их пароли; изъять все компьютеры и магнитные носители; при осмотре документов обратить особое внимание на рабочие записи сотрудников, где могут содержаться пароли и коды доступа; составить список всех нештатных и временно работающих специалистов фирмы с целью обнаружения программистов и других специалистов по вычислительной технике, работающих на данную фирму. По возможности установить их паспортные данные, адреса и места постоянной работы.
В тех случаях, когда изъять компьютеры для их изучения и исследования невозможно, необходимо руководствоваться следующими рекомендациями:
а) после осмотра средств компьютерной техники необходимо блокировать соответствующее помещение, отключить источники энергопитания аппаратуры с одновременным опечатыванием всех необходимых узлов, деталей и частей компьютерной системы;
б) магнитные носители машинной информации перемещать в пространстве и хранить только в специальных контейнерах, исключающих разрушающее воздействие различных электромагнитных полей и направленных излучений;
в) информацию из оперативной памяти компьютера (ОЗУ) изъять путем ее копирования на физический носитель с использованием стандартных паспортизированных программных средств. В таких случаях они снабжаются соответствующим документальным приложением.
В протоколе осмотра места происшествия указывается:
– программа, исполняемая компьютером на момент проведения следственного действия;
– результат действия обнаруженной программы;
– манипуляции со средствами компьютерной техники, произведенные в процессе проведения следственного действия и их результат (например, при копировании программ и файлов, определении их атрибутов, даты, времени создания и записи, а также при включении и выключении аппаратуры, отсоединении ее частей);
Изъятие средств компьютерной техники производить только в выключенном состоянии. При этом в протоколе отражается:
– порядок отключения оборудования;
– точное местонахождение изымаемых предметов и их расположение относительно друг друга и окружающих предметов (с приложением необходимых схем и планов);
– порядок соединения между собой всех устройств с указанием особенностей соединения (цвет, количество, размеры, характерные индивидуальные признаки соединительных проводов, кабелей, шлейфов, разъемов, штекеров и их спецификация);
– отсутствие либо наличие компьютерной сети, используемый канал связи. В последнем случае указывается тип связи, используемая аппаратура, абонентский номер;
– порядок разъединения устройств с одновременным опечатыванием их технических входов и выходов;
– вид упаковки и транспортировки изъятых предметов.
При расследовании преступлений в сфере компьютерной информации назначаются и проводятся различные экспертизы, в том числе традиционные криминалистические экспертизы, экспертизы веществ и материалов, экономические экспертизы и др. Назначение и проведение перечисленных экспертиз особых затруднений не вызывает, что касается экспертиз собственно компьютерно-технических, то они относятся к новому роду и представляют значительные сложности.
Комплекс экспертиз, назначаемых при расследовании неправомерного доступа к компьютерной информации, будет меняться, и зависеть от способа совершения и механизма преступления.
В компьютерно-технической экспертизе как самостоятельном роде судебных экспертиз, относящемся к классу инженерно-технических, выделяют следующие виды: аппаратно-компьютерная экспертиза; программно-компьютерная экспертиза; компьютерно-сетевая экспертиза.
Сущность аппаратно-компьютерной экспертизы заключается в проведении исследования технических (аппаратных) средств компьютерной системы. Ее предметом являются факты и обстоятельства, устанавливаемые на основе исследования закономерностей эксплуатации аппаратных средств компьютерной системы – материальных носителей информации о факте или событии уголовного или гражданского дела.
Для проведения экспертного исследования программного обеспечения предназначен такой вид компьютерно-технической экспертизы, как программно-компьютерная экспертиза. Ее видовым предметом являются закономерности разработки (создания) и применения (использования) программного обеспечения компьютерной системы, представленной на исследование в целях установления истины по гражданскому или уголовному делу. Целью программно-компьютерной экспертизы является изучение функционального предназначения, характеристик и реализуемых требований, алгоритма и структурных особенностей, текущего состояния представленного на исследование программного обеспечения компьютерной системы.
Информационно-компьютерная экспертиза (данных) является ключевым видом судебной компьютерно-технической экспертизы, так как позволяет завершить целостное построение доказательственной базы путем окончательного разрешения большинства диагностических и идентификационных вопросов, связанных с компьютерной информацией. Целью этого вида является поиск, обнаружение, анализ и оценка информации, подготовленной пользователем или порожденной (созданной) программами для организации информационных процессов в компьютерной системе.
Отдельный вид компьютерно-технической экспертизы – судебная компьютерно-сетевая экспертиза (СКТЭ), в отличие от предыдущих основывается, прежде всего, на функциональном предназначении компьютерных средств, реализующих какую-либо сетевую информационную технологию. Ее предмет составляет исследование фактов и обстоятельств, связанных с использованием сетевых и телекоммуникационных технологий. Она выделена в отдельный вид в связи с тем, что лишь использование специальных познаний в области сетевых технологий позволяет соединить воедино полученные объекты, сведения о них и эффективно решить поставленные экспертные задачи. Особое место в компьютерно-сетевой экспертизе (СКТЭ) занимают экспертные исследования, связанные с Интернет-технологиями.
Объект применения специальных познаний этой СКТЭ может быть разным – от компьютеров пользователей, подключенных к Internet, до различных ресурсов поставщика сетевых услуг (провайдера Internet) и предоставляемых им информационных услуг (электронная почта, служба электронных объявлений, телеконференции, WWW-сервис и пр.). По причине стремительного развития современных телекоммуникаций и связи в судебной компьютерно-сетевой экспертизе можно выделить судебную телематическую экспертизу, предметом которой являются фактические данные, устанавливаемые на основе применения специальных познаний при исследовании средств телекоммуникаций и подвижной связи как материальных носителей информации о каком-либо факте или событии.
|
|
|
