Компьютерная информация как объект криминалистического исследования
Академия МВД Кыргызской Республики
имени генерал-майора милиции Э.А. Алиева
Кафедра Криминалистики и специальной техники
ДИПЛОМНАЯ РАБОТА
на тему: «Компьютерная информация как объект криминалистического исследования»
Выполнил: слушатель ФЗО (2,5 г.о)
КВ н. 2012г. Эсенбаев А.А
Научный руководитель
начальник кафедры КиСТ
полковник милиции Д.А.Писарев
Бишкек 2015г.
Введение
Современный этап развития Кыргызстана характеризуется стратегическим курсом на создание правового государства. В стране осуществляются радикальные социально-экономические реформы, идет процесс демократизации всех сторон общественной жизни, который невозможен без укрепления законности и правопорядка, обеспечения надежной охраны конституционных прав и свобод граждан.
Вместе с тем в последние годы произошло резкое ухудшение криминальной обстановки, которая в настоящее время оценивается как чрезвычайно острая и сложная.
Отмечается резкое нарастание криминального профессионализма, множатся дерзкие по замыслу и квалифицированные по исполнению преступления.
Набирает силу организованная преступность, которая в последнее время наряду с совершением общеуголовных преступлений интенсивно интегрируется в экономическую сферу с целью получения сверхвысоких незаконных доходов, сливаясь при этом с конгломератом экономической преступности.
Развертывание научно-технической революции, которая, наконец, докатилась и до нашей страны, обусловливает не только коренные прогрессивные изменения в составе факторов экономического развития Кыргызстана, но и негативные тенденции развития преступного мира, приводит к появлению новых форм и видов преступных посягательств.
Преступные группы и сообщества начинают активно использовать в своей деятельности новейшие достижения науки и техники. Для достижения корыстных целей преступники все чаще применяют системный подход для планирования своих действий, создают системы конспирации и скрытой связи, используют современные технологии и специальную технику, в том числе и всевозможные компьютерные устройства и новые информационно-обрабатывающие технологии.
Вызывает особую тревогу факт появления и развития в Кыргызстане нового вида преступных посягательств, ранее неизвестных отечественной юридической науке и практике и связанный с использованием средств компьютерной техники и информационно-обрабатывающей технологии, - компьютерных преступлений.
Не исключено, что в Кыргызской Республике компьютерная преступность имеет высокую степень латентности в связи с общей криминогенной обстановкой и отсутствием до недавнего времени соответствующих норм уголовного законодательства, а также специфичностью самой компьютерной сферы, требующей специальных познаний.
Компьютеризация ознаменовала современную эпоху научно-технического прогресса. Но наряду с бесспорными положительными сторонами компьютеризации, охватившей практически все сферы нашего общества, она имеет и негативные стороны, в частности появление новых видов преступлений - преступлений в сфере компьютерной информации. По своему механизму, способам совершения и сокрытия эти преступления имеют определенную специфику, характеризуются высочайшим уровнем латентности и низким уровнем раскрываемости.
Это явление потребовало от законодателя принятия срочных адекватных мер противодействия этому новому виду преступности.
Отсутствие отечественной судебной практики существенно затрудняет проведение глубокого анализа данного вида преступной деятельности, проведение криминологической экспертизы норм о преступлениях.
Трудности в ряде случаев вызваны сложностью, а подчас недостаточной продуманностью некоторых законодательных решений. Так, с провозглашением гуманизации уголовного законодательства Кыргызской Республики, из УК КР были исключены статьи 289. «Неправомерный доступ к компьютерной информации» (Исключена в соответствии с Законом КР от 25 июня 2007 года N 91) и 291 «Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети» (Утратила силу в соответствии с Законом КР от10 февраля 2010 года N 27). Таким образом, законодатель оставил только одну статью в УК КР предусматривающую наказание за создание, использование и распространение вредоносных программ для ЭВМ. (статья 290 УК в редакции Закона КР от 25 июня 2007 года N 91).
При подготовке работы были изучены и проанализированы: нормы действующего уголовного и уголовно-процессуального законодательства Кыргызской Республики; нормативные акты МВД, аналитические материалы, относящиеся к исследуемой проблематике; соответствующая отечественная и зарубежная литература; материалы международных конференций по проблемам правового обеспечения процессов информатизации и формирования единого информационно-правового пространства.
Цель работы заключается в комплексном уголовно-правовом и криминалистическом научном исследовании понятия компьютерной информации, ее значение как объект криминалистических исследований, состояния, тенденций, характерных черт и предупреждения преступлений в сфере компьютерной информации в Кыргызской Республике. Цель опосредует более конкретизированные задачи исследования:
проанализировать средства и методы исследования компьютерной информации;
исследовать проблемы расследования преступления и проблемы доказывания фактов противоправной деятельности;
установить основные особенности использования преступниками компьютерной информации;
раскрыть основные причины и условия, способствующие совершению преступления в сфере компьютерной информации;
представить общие рекомендации по защите компьютерной информации на объектах информатизации и рекомендации по защите компьютерной информации;
определить роль организационно-правовых мер предупреждения неправомерного доступа к компьютерной информации;
подготовить предложения по совершенствованию системы мер предупредительного характера - уголовно-правовых и организационно-технических, направленных на улучшение их применения в противостоянии преступлениям в сфере компьютерной информации.
ГЛАВА 1. Криминалистическая характеристика компьютерной информации
§1.1 Понятие и сущность компьютерной информации, ее отличие от других видов информации
В истории развития цивилизации выделяют несколько важных периодов становления информационных технологий, которые приводили к существенному изменению жизни человека.
На первых этапах развития человеческого общества общение между людьми носило примитивный характер. С возникновением различных ремесел и торговли между людьми начинает осуществляться обмен не только материальными ценностями, но и навыками, знаниями, идеями. Главными «инструментами» общения в этот период были язык и слух человека, а его мозг являлся естественным хранилищем знаний. Не случайно в период первобытно-общинного строя особая роль принадлежала людям преклонного возраста, как наиболее опытным и мудрым. Информация формировалась в устных преданиях, рассказах, песнях и с помощью речи передавалась из поколения в поколение.
Первые изменения в информационном обмене между людьми произошли с появлением письменности. Информация стала накапливаться не только в человеческой памяти. Она регистрировалась на камне, папирусе, бересте и бумаге. Переворот в накоплении и распространении информации произошел с изобретением книгопечатания. Знания отдельных людей, перенесенные на бумагу, становились достоянием многих. Это привело к интенсификации информационных обменов, возникновению новых идей в науке, способствовало ускорению роста промышленного производства. Книгопечатание явилось переломным моментом в сфере накопления и распространения знаний, открыло новую эпоху в жизни человечества, которую исследователи называют эпохой бумажной информатики.
Развитие человеческого общества сопровождалось ростом объема накопленных знаний и сведений, как о самом человеке, так и об окружающем его мире. Начиная с начала XX в. темпы роста информации резко возросли. Так, если в XIX в. общая сумма человеческих знаний удваивалась через каждые 50 лет, то к 1950 г. - через 10 лет, а к 1970 г. - через каждые 5 лет. За последние два десятилетия с развитием средств массовых коммуникаций (печать, радио, телевидение, кино) объем информации резко возрос. Последнее наблюдается в науке и технике, экономике и политике, в других областях человеческой деятельности, в том числе и в правоохранительной. Это привело к возникновению противоречия, при котором производство информации стало значительно опережать возможности ее усвоения и использования. Сложившаяся ситуация характеризуется двумя положениями: с одной стороны, избыточным информационным потоком, с другой - информационным голодом. В первом случае потребитель буквально «захлебывается» и «тонет» в огромном объеме интересующей его информации. Во втором - потребитель не успевает отслеживать нужную ему информацию.
В условиях традиционных методов (ручных, механизированных) переработка больших объемов информации в приемлемые сроки становится затруднительной, а подчас и невозможной. Остро встал вопрос об изменении технологии обработки информации, привлечении таких средств, которые освободили бы человека от трудоемкой работы, связанной с поиском, передачей, преобразованием, хранением и выдачей информации.
Появление вычислительной техники, и, прежде всего электронно-вычислительных машин (ЭВМ), стало основой новой информационной технологии. Они стали применяться для создания комплексных автоматизированных систем информационного обеспечения, сводящих участие человека в этом процессе к минимуму (ЭВМ в автоматизированном режиме собирает, передает, обрабатывает, хранит и по запросу выдает необходимую информацию). Сегодня ЭВМ становятся основным инструментом для управления информацией и ее обработки, а человечество вплотную приблизилось к новому этапу своего развития - этапу безбумажной информатики.
Появление ЭВМ и их широкое использование в повседневной человеческой деятельности сравнимо по значению с двумя величайшими техническими свершениями - овладением огнем и использованием силы пара. Каждое такое свершение, как известно, явилось переворотом в жизни человечества.
Стремительное развитие науки и техники позволит в обозримом будущем преобразовать традиционные информационные технологии, создать информационную индустрию и освободить человека от рутинных операций по сбору, обработке и хранению информации.
Дальнейшее накопление информации на машиночитаемых носителях (магнитные и оптические диски, флэш-память), глобальный охват населения средствами связи, позволяющими доставлять информацию в любую точку нашей планеты, автоматизированная обработка информации с использованием компьютера - вот те основные технические достижения, которые являются основой современной информационной технологии.
В самом общем виде информация (от лат. informatio - разъяснение, изложение) - это сведения о предметах, явлениях и процессах окружающего нас мира.
Законодательство определяет информацию как «сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы представления, т.е. документированная информация, информация о гражданах и конфиденциальная информация». К первой относится «зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать». Под второй понимаются «сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность». Конфиденциальной информацией считается «документированная информация, доступ к которой ограничивается в соответствии с законодательством Кыргызской Республики. Законодатель, не сформулировав понятия компьютерной информации, привел несколько отправных терминов и определений, которые позволили исследователям определиться с анализируемой дефиницией.
Одно из первых определений компьютерной информации принадлежит Н. Винеру. Он определял ее как «обозначение содержания, полученного из внешнего мира в процессе нашего приспособления к нему и приспособления к нему наших чувств. Процесс получения и использования информации является процессом нашего приспособления к случайностям внешней среды и нашей жизнедеятельности в этой среде». Другими словами, под компьютерной информацией понималось средство, позволяющее снять неопределенность в познании того или иного объекта. Отталкиваясь от средства хранения и передачи, можно говорить о том, что компьютерная информация - это информация, которая передается, обрабатывается и хранится с использованием электронно-вычислительной техники. Компьютерная информация может быть перенесена в пространстве, сохранена во времени, передана другому субъекту или техническому устройству (например, другому компьютеру), подвергнута иным операциям.
Как представляется, наиболее удачное определение сформулировано В. В. Крыловым. Он пишет: «Компьютерная информация есть сведения, знания или набор команд (программ), предназначенных для использования в ЭВМ или управления ею, находящиеся в ЭВМ или на машинных носителях, - идентифицируемый элемент информационной системы, имеющей собственника, установившего правила ее использования».
При исследовании данной темы моего диплома необходимо ввести понятие электронного вещественного доказательства.
Под электронным вещественным доказательством понимается электронное техническое устройство, которое благодаря своим индивидуальным или системным (проявляющимся только при одновременном использовании с иными объектами) свойствам служило орудием преступления или сохранило на себе следы преступления, а также может служить средством для обнаружения преступления или установления обстоятельств уголовного дела.
Проанализировав встречающиеся в литературе понятия электронного документа и уточнив введенное ранее В.А. Мещеряковым понятие электронно-цифрового объекта, делается вывод о целесообразности следующего понимания электронного документа.
Электронный документ - один или несколько взаимосвязанных по
установленному правилу файлов, содержащих совокупность электронно-цифровых объектов:
отражающих сведения о лицах, предметах, фактах, событиях, явлениях и процессах,
отражающих реквизиты, позволяющие подтвердить ее подлинность и целостность;
имеющих возможность представления в форме, пригодной для восприятия человеком.
Под электронно-цифрового объектом понимается помеченная система дискретных электронных сигналов, несущих какую-либо информацию, параметры которой представлены в форме пригодной для ее автоматизированной обработки, хранения и передачи с использованием средств вычислительной техники (компьютеров).
Автором подчеркивается, что введенное определение наиболее полно отражает криминалистическую сущность электронного документа и те его признаки, которые позволяют судить о возможности его использования в качестве доказательства в уголовном процессе.
С точки зрения совершенствования методики расследования рассматриваемых преступлений, по мнению автора целесообразно классифицировать компьютерные объекты по объектам-носителям криминалистически значимой информации.
В соответствии с этим в состав компьютерных объектов входят: информационные, программные и аппаратные элементы.
Аппаратные элементы представляют собой технические средства: электрические, электронные, электромеханические, механические, используемые для хранения, обработки, передачи информации.
Информационные элементы представляют собой компьютерную информацию, содержанием которой являются подготовленные и зафиксированные па физическом носителе материалы пользователя: цифровые фотоснимки, видеозаписи, аудиозаписи, базы данных, сайты Интернет, текстовые документы.
Программные элементы представляют собой компьютерную информацию, содержанием которой являются программы.
Информационные и программные элементы хранятся и обрабатываются компьютерными средствами в виде одного или нескольких файлов (системы файлов), которые на более низких уровнях представления компьютерной информации хранятся в виде кластеров и записей и на самом нижнем уровне в виде машинных слов, байтов и битов информации.
Информация измеряется в битах. Например, переводя выключатель из положения «выключено» в положение «включено» посылают управляющий сигнал, содержащий информацию в 1 бит. Информационная запись в виде одного бита - это минимально возможная информационная запись. Однако, если бы компьютер оперировал только такими минимальными информационными записями, то его реальное быстродействие было бы недопустимо низким. Для представления информации в компьютере используется 8-битовая запись, называемая байтом. С помощью одного байта обычно кодируется один символ информации: буква, цифра, специальный символ и т. п. В памяти компьютера хранятся не сами символы (буквы), а наборы битов (нулей и единиц) из восьми штук (байты). Емкость памяти компьютера выражается в байтах, килобайтах (Кб), мегабайтах (Мб), гигабайтах (Гб). За единицу измерения принимают 1 байт - объем, необходимый для хранения одного символа или буквы. 1 килобайт равен 1024 байтам, 1 мегабайт - 1024 килобайтам, 1 гигабайт- 1024 мегабайтам. Таким образом, например страница машинописного текста (60 символов в строке, 30 строк) состоит из 1800 символов (в том числе пробелов), т. е. 1,8 Кб, 100 страниц текста - 180 Кб, 200 страниц - 360 Кб и т. д.
Под собственником информационных ресурсов, информационных систем, технологий и средств их обеспечения понимается субъект, в полном объеме реализующий полномочия владения, пользования и распоряжения указанными объектами.
Владельцем информационных ресурсов, информационных систем, технологий и средств их обеспечения является субъект, осуществляющий владение и пользование указанными объектами и реализующий полномочия распоряжения ими в пределах, установленных законом.
И, наконец, пользователем (потребителем) информации признается субъект, обращающийся к информационной системе или посреднику за получением необходимой ему информации и пользующийся ею.
Действия других лиц, не являющихся собственником или владельцем информационных ресурсов, информационных систем, средств и технологий их обеспечения, а равно не являющихся законными пользователями информации, признаются нарушением и, следовательно, должны повлечь юридическую ответственность. В отдельных случаях действия таких лиц содержат признаки преступления.
К уголовной ответственности по ст. 290 УК Кыргызской Республики следует, например, привлекать лицо, за создание, использование и распространение вредоносных программ для ЭВМ.
допрос компьютерный вредоносный преступление
§ 1.2 Основные способы хранения компьютерной информации
Основные способы хранения компьютерной информации следует рассматривать в двух аспектах: логическом и техническом. Логический аспект имеет в виду организацию и хранение данных в компьютере. Технический - основные устройства персонального компьютера, в которых хранится информация и которые могут стать объектом преступного посягательства при неправомерном доступе к компьютерной информации.
Для представления любой информации в компьютерах используются двоичные числа (двоичные коды). При вводе информации в компьютер специальными аппаратными и программными средствами каждый символ преобразуется в соответствующий двоичный код и записывается в память для последующей обработки. При выводе информации осуществляется обратное преобразование: двоичный код каждого символа преобразуется в привычный пользователю символ (например, букву или цифру). За основу кодирования символов в компьютерах взят код ASCII (Американский стандартный код для обмена информацией). При этом любой символ представляет собой набор из 8 нулей или единиц, каждый из которых является одним битом информации.
Следует сказать, что прописные и строчные буквы различаются в кодировке. Подобным же образом представляются цифры, знаки препинания и другие символы. При несанкционированном доступе к компьютерной информации достаточно поменять один из битов информации и вся информация будет иметь совершенно другой смысл. Например, производится перечисление 500 000 сом. со счета предприятия на счет физического лица. В компьютере данная сумма хранится в следующем виде:
Достаточно поменять один бит информации- и на счет будет перечислено, например 500 000 сом.
Рост объемов перерабатываемой с помощью вычислительной техники информации требует четкой организации процессов хранения, обработки и передачи данных. Поэтому вся компьютерная информация должна быть упорядочена определенным образом и иметь стройную структуру. Самый простой способ упорядочения данных может быть избран с помощью последовательной нумерации целыми числами (например, первое, второе, третье и т. д.). Подобный набор данных называют одномерным массивом. Примером такого массива может быть колонка цифр меню, указывающих на стоимость тех или иных блюд. В повседневной жизни часто приходится иметь дело с двумерными массивами, например, расписание движения поездов между городами. При этом сами города представляют собой один массив, а поезда, приходящие в каждый город, - второй. Встречаются массивы и большей размерности. Примером может служить массив, связывающий сведения об анкетных данных сотрудников предприятия или организации, их зарплате, месте жительства, движении по служебной лестнице, психологических особенностях их личности и т. п.
Для пользователя компьютером основной структурной единицей информационной записи является файл. Если попытаться ранжировать основные элементы хранения информации в памяти компьютера, то в порядке возрастания они располагаются следующим образом:
) бит - минимальная единица информационной записи, принимающая значение ноль или единица;
) байт - информационная запись, состоящая из восьми битов;
) файл - информационная запись, состоящая из произвольного числа байтов и находящаяся на каком-либо магнитном носителе информации типа дискеты, винчестера, магнитной ленты и т. д.
Существует формальное определение файла - это «поименованная целостная совокупность данных на внешнем носителе». Исходя из этого определения видно, что только записи на внешних носителях называются файлами, а если они перенесены и обрабатываются в памяти компьютера, то обычно файлами уже не называются.
В файле могут храниться тексты документов, коды программ, рисунки и многое другое. Каждый файл имеет имя, состоящее из двух частей: собственно имени и расширения (типа). В одних операционных системах в имени файла может быть от 1 до 8 символов (например, в операционной системе MS-DOS), в других, например, Windows 7, имя файла может иметь до 256 символов. Расширение (тип) файла начинается с точки, за которой следуют от 1 до 3 символов. Расширение (тип) является необязательным. Если в процессе присвоения имени пользователь может использовать практически любой набор символов, то при указании расширения (типа) различных вариантов не так много. Конкретный тип расширения указывает на вид хранимой в файле информации. Например, если файл содержит текстовую информацию, то он может иметь расширение ЛХГ, .DOC, если графическую - то .PCX, JPG, файлы со звуковой информацией имеют расширение .WAV, AVI и т. д.
Системные файлы, т. е. файлы, управляющие работой компьютера, имеют расширение .СОМ, .ЕХЕ, .ВАТ, .SYS и т. п. Примерами имен файлов могут быть: text, command.com, plan.txt.
Имя и расширение могут состоять из букв латинского и русского алфавитов (прописные и строчные буквы являются эквивалентными) и специальных символов: _$*©!(){} &%-".
Некоторые имена являются запрещенными, так как операционная система воспринимает их в качестве имен устройств компьютера. К ним относятся: AUX, COM1, COM2, COM3, LPT1, LPT2, LPT3, CON, PRN, NUL.
В процессе работы с компьютером обычно используется значительное число программных файлов и файлов с данными. Для того чтобы осуществлять их быстрый поиск на магнитных дисках, создаются разделы, называемые директориями, или каталогами (для операционной системы MS-DOS). Для операционной системы Windows вместо понятия «каталог введено понятие «папка».
Каталог (папка) - это специальное место на диске, в котором хранятся имена файлов, сведения о размере файлов, времени их последнего обновления, атрибуты (свойства) файлов и т. д. Если в каталоге хранится имя файла, то говорят, что этот файл находится в данном каталоге.
На каждом магнитном диске может быть несколько каталогов. В каждом каталоге может быть много файлов, но каждый файл регистрируется всегда только в одном каталоге. Каждый каталог имеет имя и может быть зарегистрирован в другом каталоге. Требования к именам каталогов те же, что к именам файлов. Как правило, расширение (тип) для имени каталога не используется.
Структура каталогов воспроизводит структуру книги. Книга содержит определенное число разделов и глав (каталогов). Сами главы для удобства пользования могут быть разбиты на параграфы (подкаталоги), которые уже содержат непосредственно тексты (файлы). Создание каталогов и подкаталогов осуществляется в соответствии с потребностями пользователя. При этом следует отметить, что в различных каталогах могут храниться файлы с одинаковыми названиями. Такое схематическое изображение называется деревом каталога. Разделы, главы, параграфы - это подкаталоги, О или каталоги 1-го, 2-го и 3-го уровней, а сама книга - это корневой каталог. Так же как параграфы входят в главы, а главы - в разделы, каталоги 3-го уровня входят в каталоги 2-го уровня, которые в свою очередь входят в каталоги 1 -го уровня. Такая структура каталогов очень похожа на матрешку: каталоги вкладываются друг в друга, а файл - это самая маленькая фигурка.
При форматировании диска (подготовке его к работе) на нем формируется один главный, или корневой, каталог. В нем регистрируются файлы и подкаталоги - каталоги 1-го уровня. В каталогах 1-го уровня регистрируются файлы и каталоги 2-го уровня и т. д. Получается иерархическая древообразная структура каталогов на магнитном диске.
Каталог, с которым в настоящий момент работает пользователь, называется текущим. Число уровней подкаталогов - до 256.
В компьютере обычно имеется несколько накопителей на магнитных дисках (дисководов), на которых хранится в виде файлов информация. Накопители на магнитных дисках именуются латинскими буквами А:, В:, С: и т. д. (обязательно с двоеточием). Например, в компьютере могут быть два накопителя на гибких магнитных дисках А: и В: и один накопитель на жестком магнитном диске (винчестер) С:. Чтобы указать точное местоположение файла на диске, используют так называемый путь к файлу последовательность имен всех подкаталогов, содержащих данный файл. Имена подкаталогов разделяются наклонной линией (\).
Например, полное имя файла, включая путь к нему, может выглядеть так: C:\NC\NU\scan.exe
В данном случае файл scan.exe находится в каталоге 2-го уровня NU, для которого каталогом 1-го уровня является NC, последний, в свою очередь, находится в корневом каталоге диска С: (жесткого диска компьютера).
В настоящее время наиболее распространены три основных формы информации: символьная (или текстовая), звуковая и графическая.
При организации массивов с помощью символьной информации в компьютере существует следующая иерархия: элементарное данное, агрегат данных, запись, совокупность записей, база данных. Каждая из перечисленных иерархий хранится в виде файла.
Элементарное данное представляет собой наименование конкретного объекта (предмета) и его значения. Например, данное - «улица Горького» является элементарным. Здесь слово «улица» является наименованием данного, а его значение - «Горького» Агрегат данных - это совокупность элементарных данных. Он может быть простым, т. е. состоящим только из элементарных данных.
Агрегат данных может быть и составным, включающим в себя как элементарные данные, так и простые агрегаты. Совокупность составных агрегатов образует запись. Совокупность таких записей, как было сказано ранее, носит название файла. Например, массив анкет, содержащих данные на всех нотариусов области, образует кадровый файл. База данных - это множество логически совместимых файлов. Например, в одной базе данных можно хранить информацию с 4 файлов, характеризующих кадровую политику предприятия или организации. В первом файле хранится информация о кадровом составе данной организации, во втором - сведения о заработной плате сотрудников, в третьем - информация о потребности организации в кадровых ресурсах, в четвертом - данные о сотрудниках, уволившихся из данной организации.
База данных или объединение из нескольких баз данных в совокупности со специальными программами управления ими образует банк данных. Примером банка данных может служить банк данных организации, учреждения, в котором хранится информация о всех вопросах финансово-хозяйственной деятельности.
Кроме этого, в компьютере может храниться графическая и звуковая информация. При этом она преобразуется в электрический сигнал, который разбивается на элементарные дискретные элементы, каждый из которых кодируется с помощью одного или двух байтов. В свою очередь каждый байт представляет собой также вышеописанную совокупность нулей и единиц (битов). Данная информация не теряет со временем своих свойств (цвет, качество звучания и т. д.), поэтому ее можно копировать множество раз. Копии всякий раз будут полностью идентичны с оригиналом.
Информационная емкость разных форм представления о информации различна. На одну стандартную дискету емкостью 1,44 Мбайта можно записать или около 700 страниц стандартного машинописного текста, или около одной минуты звука хорошего качества, или одну качественную цветную фотографию. Этим и объясняется причина того, что до настоящего времени одной из основных форм хранения и обработки информации в компьютере является символьная информация. По мере совершенствования средств обработки и хранения информации становится практически возможной работа с другими видами компьютерной информации.
Кратко изложив содержание основных способов хранения компьютерной информации в логическом аспекте, необходимо рассмотреть эти вопросы и в техническом аспекте. Это связано с тем, что необходимо знать об устройствах, в которых при работе на компьютере может находиться информация и которые могут выступать в качестве орудия преступления при расследовании неправомерного доступа к компьютерной информации.
В минимальный состав любого компьютера входят три устройства: системный блок, клавиатура, монитор (дисплей). Системный блок является одним из главных, в нем находятся основные узлы и детали компьютера.
Самым главным элементом, находящимся в системном блоке персонального компьютера, его «мозгом» является микропроцессор. Он осуществляет выполнение всех программ и управляет работой остальных устройств компьютера. Микропроцессор представляет собой небольшую интегральную схему с микропрограммным управлением, которая выполняет различные арифметические и логические операции со скоростью в несколько сотен миллионов операций в секунду. В основном это арифметические операции (сложение, вычитание, умножение, деление и т. д.), а также логические операции (сравнение и т. п.).
Основными характеристиками микропроцессора являются его тип (модель) и тактовая частота. Наиболее распространены (в порядке возрастания производительности и цены) модели INTEL 80386, 80486, 80586 (или Pentium). Одинаковые модели могут иметь разную тактовую частоту, чем она выше (т. е. чем больше элементарных операций или тактов выполняется в одну секунду), тем выше производительность и цена компьютера. Измеряется тактовая частота в мегагерцах (МГц).
Начиная с 1993 года в компьютерах стали использоваться новые микропроцессоры Pentium, их тактовая частота составляет от 60 до 200 ГГц и выше. Сегодня они являются одними из самых мощных микропроцессоров. Микропроцессор Pentium устанавливается в компьютерах, используемых для воспроизведения видеоизображения в реальном масштабе времени, решения больших задач трехмерного проектирования и моделирования, создания мощных файл-серверов и многопроцессорных систем.
Центральный процессор может работать только с целыми числами, операции с дробными он выполняет заметно медленнее. Чтобы устранить этот недостаток, в компьютер устанавливается сопроцессор, единственная задача которого - быстро производить вычисления с дробными числами. В современных моделях компьютеров процессор и сопроцессор функционально объединяются между собой.
Память компьютера (в техническом исполнении - это набор микросхем), как правило, включает в себя оперативное запоминающее устройство (ОЗУ) и постоянное запоминающее устройство (ПЗУ). Оперативное запоминающее устройство является очень важным элементом компьютера. Именно отсюда процессор и сопроцессор берут программы и исходные данные для обработки, в нее же они записывают полученные результаты. При расследовании неправомерного доступа к компьютерной информации следует иметь в виду, что содержащиеся в ОЗУ данные сохраняются только тогда, когда компьютер включен, после отключения электропитания все, что хранилось там, уничтожается.
В оперативной памяти хранятся два вида информации, которые имеют идентичное цифровое представление. Первая - это программы, под управлением которых работает центральный процессор. Вторая - данные, которые обрабатываются в соответствии с загруженными в память программами.
В памяти компьютера одновременно записано несколько программ, каждая из которых в определенном порядке получает управление. Получение управления заключается в том, что центральный процессор переключается на последовательное выполнение какой-либо одной программы. При этом все остальные программы находятся в режиме ожидания до тех пор, пока исполняемая программа не «отпустит» управление, т. е. не позволит центральному процессору перейти на выполнение команд другой программы.
Передачей управления между прикладными программа-0 ми распоряжается самая главная программа компьютера, которая называется операционной системой (в современных компьютерах наиболее распространены две из них - MS-DOS и Windows).
В каждом компьютере существует сравнительно небольшой по объему, недоступный для пользователя участок памяти, называемый, как уже говорилось, постоянным запоминающим устройством. Постоянное запоминающее устройство представляет собой одну или несколько микросхем, предназначенных для постоянного хранения программ, управляющих периферийными устройствами.
Для передачи информации внутри компьютера (в процессе работы) предназначена так называемая системная шина - совокупность каналов обмена информацией (системная магистраль).
Важной составной частью компьютера являются накопители информации - электромеханические устройства, являющиеся внешней, долговременной памятью компьютера. В современных компьютерах используются несколько видов накопителей, использующих магнитные носители информации: накопители на гибких магнитных дисках (НГМД) и накопители на жестких магнитных дисках (НЖМД), которые также называются винчестерами. В последнее время начали активно применяться накопители на электронных средствах мобильного типа (так называемая «Флэш» память или просто флэшка). При проведении осмотров и обысков следует иметь в виду, что с помощью накопителей на гибких магнитных дисках производится перенос программ с одного компьютера на другой, запись на магнитные носители той информации, которая не должна храниться в компьютере постоянно, создание архивных копий данных, содержащихся на жестком диске. Наиболее распространенным магнитным носителем для НГМД являются дискеты, или флоппи-диски, диаметром 5,25 и 3,5 дюйма (133 и 89 мм соответственно), которые заключены в пластиковый конверт или пластмассовый корпус, предохраняющий рабочую поверхность от загрязнения и механических повреждений. В последнее время наблюдается тенденция к более активному применению трехдюймовых дискет.
Накопители на жестком магнитном диске (винчестеры) предназначены для постоянного хранения информации, используемой при работе с компьютером. С точки зрения пользователя, накопители на жестком диске отличаются друг от друга прежде всего своей емкостью. Объем современных винчестеров - от 100 Мбайт до нескольких тысяч Гбайт.
Жесткие диски обозначаются латинскими буквами С:, D: и т. д.
Кроме этого, в настоящее время все более широкое распространение получают накопители информации на магнитооптических дисках (DVD) и оптических дисках (CD-ROM). Они могут хранить гораздо большие объемы информации, чем стандартные дискеты.
Важнейшими элементами современного компьютера являются периферийные устройства. К ним относятся всевозможные устройства обмена информацией между памятью компьютера и его «внешним» миром.
Обязательными элементами периферийных устройств являются дисплей и клавиатура. Это основные устройства ввода и вывода информации символьного типа.
Кроме них в состав компьютера могут входить следующие устройства:
принтер, предназначенный для вывода информации на бумажный носитель;
графопостроитель - устройство для вывода графической информации на бумагу,
сканер - устройство для оптического считывания текстовой и графической информации;
манипуляторы (джойстик, мышь, трекбол), облегчающие ввод информации в компьютер;
электронные цифровые оптические устройства, предназначенные для ввода фото- и видеоизображений;
сетевые адаптеры - устройства для объединения компьютеров в сеть.
Особую ценность компьютеру придает не только его аппаратная часть, являющаяся его материальной базой, но и программы, которые установлены на эту базу. Такое разделение на аппаратную и программную части позволило превратить компьютер в универсальное средство обработки информации. На одной и той же базе можно получить компьютеры с самыми различными возможностями именно благодаря замене на них программных компонентов.
Под программой понимают некоторое описание действий, воспринимаемое ЭВМ и достаточное для решения на ней определенной задачи. Для составления программ используют искусственные языки, называемые языками программирования. Под программным обеспечением понимается совокупность программ, языков программирования, процедур, правил и документации, необходимых для использования и эксплуатации программных продуктов на данной ЭВМ.
Программное обеспечение ЭВМ по функциональному признаку делится на системное и прикладное.
. Системным называется программное обеспечение, используемое для выполнения программ, а также для предоставления пользователю определенных услуг. Оно является необходимым дополнением к техническим средствам ЭВМ.
Системное программное обеспечение включает в себя:
. Операционные системы.
. Сервисные системы.
Операционной системой называется комплекс программ, обеспечивающий управление вычислительным процессом, распределением памяти, внешними устройствами и другими ресурсами ЭВМ.
С помощью операционной системы можно осуществить вызов и исполнение программы пользователя, пополнение и преобразование дисковой памяти, подготовку к работе гибких дисков, организацию связи между различными компьютерами в сети, управление режимом работы компьютера с помощью клавиатуры. Если в процессе работы необходимо использовать национальный алфавит, не предусмотренный в стандартной конфигурации, то в операционную систему включаются программы знакогенерации, с помощью которых обеспечивается формирование и вывод изображений соответствующих символов.
Операционная система выполняет следующие задачи:
предоставление пользователю возможности управления компьютером (процесс включения, программное подключение внешних устройств и т. п.);
распределение ресурсов между программами (памяти, очередности, времени);
выявление непредвиденных ситуаций и соответствующее реагирование на них (сбои в работе устройств, программ, выключение электропитания). Наиболее распространенными в настоящее время являются системы MS-DOS и Windows.
К операционным системам относятся и сервисные системы. Сервисными принято называть системы, дополняющие и расширяющие возможности пользователя по использованию средств операционной системы, например, ускорение работы жесткого диска, проверка устройств на сбои, введение различных паролей и кодов.
. Прикладным называется программное обеспечение, предназначенное для решения определенной целевой задачи или класса таких задач. К этим задачам относятся: производство вычислений по заданному алгоритму, поиск нужной информации в специализированной информационно-справочной системе и др. В настоящее время для персональных ЭВМ предлагается широкое разнообразие прикладных программных продуктов, автоматизирующих различные виды (сферы) человеческой деятельности.
Все прикладное обеспечение делится на два больших класса:
. Инструментальные системы.
. Системы технического обслуживания.
Системы технического обслуживания - это различные программы для обслуживания технических устройств, так называемые тестовые программы.
Инструментальные системы. К ним относятся системы программирования, системы управления базами данных, программы искусственного интеллекта, текстовые редакторы и интегрированные системы.
Система программирования включает совокупность языка программирования и программного комплекса, обеспечивающего выполнение на ЭВМ программ, составленных на этом языке.
Прежде чем ввести понятие системы управления базой данных (СУБД), дадим общее представление о базе данных (БД), для создания которой она используется и основным компонентом которой она является. Программную систему, предоставляющую услуги по хранению, а также поиску данных определенной группе пользователей по определенной тематике называют базой данных. Для управления базой данных используется система управления базами данных.
Программы искусственного интеллекта образно называют наукой о знаниях, о том, как их добывать, представлять в искусственных системах, перерабатывать внутри системы и использовать для решения практических задач. К ним относятся программы, позволяющие обрабатывать естественный язык и моделировать диалог (ЭВМ, понимающие естественный язык), помогающие принимать решения (экспертные системы), производить автоматическое доказательство теорем, использовать робототехнику, осуществлять автоматическое программирование, распознавать образы (отпечатки, фонограммы) и решать комбинаторные задачи (головоломки, игры).
Текстовым редактором (или просто редактором) называется программный продукт, служащий для создания и изменения целевого документа. При этом целевой документ записывается на диск для последующего использования (обновления, вывода на печать и т. п.). Использование редактора по сравнению, например, с пишущей машинкой имеет неоспоримые преимущества, так как документы можно легко изменять (редактировать), печатать в любом количестве экземпляров, применяя различные шрифты, осуществляя выравнивание и т. д. Современные редакторы обладают удобным пользовательским интерфейсом и позволяют отображать требуемую часть обрабатываемого документа на экране дисплея.
Интегрированной системой называют программный продукт, представляющий собой совокупность функционально различных компонентов, способных взаимодействовать между собой путем передачи информации и объединенных единым унифицированным пользовательским интерфейсом. Такие системы обеспечивают различные информационные и вычислительные потребности пользователя и служат главным образом для автоматизации административной деятельности. Интегрированные системы в идеале претендуют на решение всех задач определенной группы пользователей с тем, чтобы им не нужно было обращаться к другим программным продуктам.
Современные интегрированные системы, как правило, содержат следующие пять функциональных компонентов:
электронную таблицу, текстовой редактор, систему управления базами данных, графический редактор, коммуникационный модуль.
Электронная таблица - это программа, служащая для обработки прямоугольных таблиц, ячейки которых могут содержать произвольные объекты (среди них числа, строки, формулы, задающие зависимость значения ячейки от содержимого других ячеек). Изменение пользователем содержимого ячейки приводит к изменению значений в зависящих от нее ячейках. Эти изменения осуществляются автоматически или по специальному запросу. Например, при изменении оклада сотрудника автоматически изменяются размеры всех видов начислений и удержаний с него.
Коммуникационный модуль - это техническое устройство, которое служит для связи пользователя через оборудование ЭВМ с внешней средой, т. е. с другими компьютерами, телефонными линиями и т. п. В качестве такого устройства обычно используется модем.
ГЛАВА 2. Методика расследования преступлений в сфере компьютерной информации и организация расследования на первоначальном этапе.
§1. Создание, использование и распространение вредоносных программ для ЭВМ
Под вредоносными программами в смысле комментируемой статьи понимаются программы, специально созданные для нарушения нормального функционирования компьютерных программ. Под нормальным функционированием понимается выполнение операций, для которых эти программы предназначены, что определено в документации на программу.
В настоящее время самыми распространенными являются программы, предназначенные для сбора информации, и программы для несанкционированного доступа к ЭВМ либо другим программам.
"Компьютерные вирусы" - это программы, которые умеют воспроизводить себя в нескольких экземплярах, модифицировать (изменять) программу, к которой они присоединились и тем самым нарушать ее нормальное функционирование.
"Логические бомбы" - это умышленное изменение кода программы, частично или полностью выводящее из строя программу либо систему ЭВМ при определенных заранее условиях, например наступлении определенного времени.
Принципиальное отличие "логических бом" от "компьютерных вирусов" состоит в том, что они изначально являются частью программы и не переходят в другие программы, а "компьютерные вирусы" являются динамичными программами и могут распространяться даже по компьютерным сетям.
Объективную сторону данного преступления составляет факт создания программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети (см. коммент. к ст. 290 ), а равно использование либо распространение таких программ или машинных носителей с такими программами.
Под использованием программы понимается выпуск в свет, воспроизведение, распространение и иные действия по их введению в оборот. Использование может осуществляться путем записи программы в память ЭВМ, на материальный носитель, распространение по сетям либо путем иной передачи другим лицам.
Данный состав является формальным и не требует наступления каких-либо последствий, уголовная ответственность возникает уже в результате создания программы, независимо от того, использовалась эта программа или нет. По смыслу комментируемой статьи наличие исходных текстов вирусных программ уже является основанием для привлечения к ответственности. Однако следует учитывать, что в ряде случаев использование подобных программ не будет являться уголовно наказуемым. Это относится к деятельности организаций, осуществляющих разработку антивирусных программ и имеющих лицензию на деятельность по защите информации.
Формой совершения данного преступления может быть только действие, выраженное в виде создания вредоносных программ для ЭВМ, внесения изменений в уже существующие программы, а равно использование либо распространение таких программ. Распространение машинных носителей с такими программами полностью покрывается понятием "использование".
С субъективной стороны преступление, может быть совершено только с прямым умыслом, так как в этой статье определено, что создание вредоносных программ заведомо для создателя программы должно привести к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ.
Использование или распространение вредоносных программ тоже может осуществляться только умышленно. Совершенное по неосторожности, признается преступлением только в том случае, когда это специально предусмотрено соответствующей статьей Особенной части УК.
В качестве квалифицирующего признака предусматривает наступление тяжких последствий по неосторожности. Разработка вредоносных программ доступна только квалифицированным программистам, которые в силу своей профессиональной подготовки должны предвидеть возможные последствия использования этих программ.
В случае если установлен прямой умысел, охватывающий и наступление тяжких последствий, квалификация данного преступления должна основываться на цели, которая стояла перед виновным. В этом случае создание программы либо внесение изменений в программу будут являться только способом совершения преступления.
§2. Особенности возбуждения уголовного дела
Раскрывать преступления, совершенные с использованием ЭВМ, сложно, поскольку преступники прибегают к действиям, направленным на сокрытие события преступления, направление подозрений в совершении преступления на невиновное лицо, на разработку ложного алиби, на сокрытие и уничтожение важных для доказывания вины следов.
В соответствии со ст. 150 УПК КР поводами к возбуждению уголовных дел, в том числе о преступлениях в сфере компьютерной информации, являются: заявления и письма, оформленные и зарегистрированные в установленном порядке, граждан, являющихся владельцами и законными пользователями компьютерной информации, подвергшейся преступному воздействию; непосредственное обнаружение органами дознания признаков преступления, предусмотренного ст. 290 УК КР; сообщения предприятий, учреждений, организаций всех форм собственности и должностных лиц; статьи, заметки и письма, опубликованные в печати; явка с повинной.
Для выявления преступлений в сфере так называемых «высоких технологий», а также для установления лиц и преступных группировок, занимающихся преступной деятельностью в этой области, создаются Управление «Р» МВД. Эти оперативные подразделения, занимающиеся выявлением, пресечением компьютерных преступлений и составлением материалов доследственных проверок.
Решение вопроса о возбуждении уголовного дела, как правило, требует тщательной проверки и оценки имеющихся данных. Исключение составляют редкие случаи задержания правонарушителей с поличным, например, при работе на компьютере в момент несанкционированного копирования конфиденциальной информации. В этих случаях для проведения неотложных следственных действий (личного обыска задержанного, обыска по месту его работы и жительства, где находится его персональный компьютер), а также других проводимых оперативно-следственных мероприятий «по горячим следам», во избежание утраты и уничтожения доказательств совершенного преступления, уголовное дело необходимо возбудить немедленно.
Во всех других случаях при получении следователем или иным уполномоченным на то лицом сообщения о совершении преступления в сфере компьютерной информации должна быть проведена, как правило, органами дознания, доследственная проверка в порядке и в сроки, предусмотренные УПК КР.
При этом типичными являются следующие проверочные ситуации.
1. Собственник информационной системы собственными силами выявил нарушение целостности и конфиденциальности информации в системе, обнаружил виновное лицо и заявил об этом в правоохранительные органы.
2. Собственник информационной системы собственными силами выявил нарушение целостности и конфиденциальности информации в системе, не смог обнаружить виновное лицо и заявил об этом в правоохранительные органы.
. Данные о нарушении целостности и конфиденциальности информации в информационной системе и о виновном лице стали общеизвестными или непосредственно обнаружены органом дознания, следствия (например, в ходе проведения оперативно-розыскных мероприятий по другому делу).
. Данные о нарушении целостности и конфиденциальности информации в информационной системе выявлены правоохранительными органами, виновное лицо неизвестно, но заявитель не обратился в правоохранительные органы.
Доследственная проверка проводится в целях объективного подтверждения фактов, изложенных в заявлениях, материалах ведомственной и иной проверки, а именно: о нарушении целостности информации в компьютерной системе, сети; о наличии причинной связи между неправомерными действиями и наступившими последствиями, предусмотренными диспозицией ст. 290 УК КР; а также о предварительном размере ущерба, причиненного в результате преступных действий.
В процессе доследственной проверки необходимо принять меры к установлению таких необходимых для возбуждения уголовного дела данных, как: следы преступления; место неправомерного проникновения в компьютерные сети (внутри потерпевшей организации или извне); способы совершения неправомерного доступа и его последствия; средства, использованные при совершении преступления; способы преодоления информационной защиты.
В ходе проведения доследственной проверки по рассматриваемой категории дел проводится осмотр места происшествия, опрос персонала потерпевшей организации, показания которых составят в дальнейшем свидетельскую базу по уголовному делу. В процессе получения объяснений выясняются обстоятельства, предшествовавшие совершению преступления с целью установления круга подозреваемых лиц, обстоятельства обнаружения факта преступления, наличия и функционирования информационной защиты, ее недостатках, сведения об иных причинах и условиях, которые могли быть использованы для совершения противоправных действий.
В тех случаях, когда персоналом потерпевшей организации, как правило, ее службой безопасности, самостоятельно проведена проверка по установлению лиц, причастных к совершению преступления, и выявлен подозреваемый или круг подозреваемых лиц, в ходе предварительной проверки проводится комплекс оперативно-розыскных и иных мероприятий по проверке заподозренного лица (лиц) и, по возможности, задержание его (их) с поличным. Иногда при задержании изымается компьютерная техника, при этом специалистами проводится анализ изъятого в условиях экспертного исследования.
Помимо указанных могут проводиться иные действия, направленные на установление события преступления и изобличение виновного лица, к числу которых относятся требования, поручения, запросы.
В целях проверки поступивших сообщений о преступлении и решении вопроса о наличии или отсутствии оснований для возбуждения уголовного дела орган дознания, прокурор могут использовать имеющиеся в их распоряжении средства административной, оперативной, прокурорской проверки, применение которых не обусловлено наличием производства по уголовному делу.
Решение о возбуждении уголовного дела принимается не только на основании материалов предварительных проверок заявлений потерпевших, организаций и должностных лиц, но и по материалам органов дознания при реализации оперативных разработок, результатов оперативно-розыскных действий по выявлению преступлений в сфере компьютерной информации и лиц, их совершивших.
Имеющиеся в оперативных службах материалы, полученные в результате оперативно-розыскных мероприятий, могут представляться в легализованной в соответствии с требованиями закона форме прокурору, начальнику Следственного комитета по линии МВД, следователю для предварительного ознакомления и определения достаточности данных для возбуждения уголовного дела, а при положительном решении этого вопроса - возможности задержания правонарушителя, оформления и закрепления полученных оперативных данных процессуальным путем в качестве доказательств.
Теперь перейдем непосредственно к оперативно-розыскным мероприятиям*, которые играют большую роль при выявлении признаков преступления, предусмотренного ст. 290 УК КР. Благодаря проведению ОРМ становится известен механизм преступления, способ его совершения, иногда и лица, совершившие преступление.
Ст. 7 Закона КР «Об оперативно-розыскной деятельности» содержит закрытый перечень ОРМ. Рассмотрим методы проведения такого ОРМ, как снятие информации с технических каналов связи:
) перехват и исследование трафика. В судебной практике результаты трафика почти не используются в качестве доказательства. Для ведения ОРД трафик также используется крайне редко. Однако на основе анализа содержимого и статистики сетевого трафика можно определить и доказать совершение пользователем многих действий в сети, а также получить информацию об устройстве программ, информационных систем и сетей. Кроме этого, сбор и анализ сетевого трафика может в некоторых случаях заменить изъятие и экспертизу компьютера пользователя и сервера (КТЭ*), поскольку может дать содержимое электронной почты, информацию о посещении тех или иных сайтов преступником, о несанкционированном доступе к удаленным узлам (ресурсам). Данные результатов перехваченного трафика могут усилить доказательственную базу;
) исследование статистики трафика. Статистика прошедшего трафика собирается на многих компьютерных устройствах, в том числе на всех маршрутизаторах, коммуникационных устройствах и т.д. Часто эта статистика ведется по формату «netflow», предусматривающему запись сведений о каждом потоке, т.е. серии пакетов, объединенных совокупностью IP-адресов, портов и номером протокола. В результате исследования статистики можно зафиксировать факт обращения преступника к информационным ресурсам, время обращения с точностью интервала от 5 минут до 1 часа, количество переданного и полученного трафика, сам протокол, номера портов с обеих сторон для TCP и для UDP
Кроме того, исследование статистики трафика позволяет обнаружить источник DoS-атаки или иных атак с переписанными IP-адресами путем установления контакта с несколькими провайдерами;
) перехват сведений о сетевых соединениях или перехват трафика на основе сигнатур. Иногда содержимое трафика может оказаться чересчур объемным, а статистика по объему мала, тогда прибегают к использованию промежуточных вариантов ОРМ. Сведения о сетевых соединениях или о заголовках пакетов представляют собой, с одной стороны, урезанный перехват трафика (без сохранения сведений о содержимом пакетов, сохраняются лишь их заголовки), с другой стороны, развернутый вариант статистики (когда записывается не агрегированная по времени информация о переданных пакетах). При помощи данного мероприятия, зная IP-адрес интересующего нас компьютера, можно установить наличие на данном компьютере той или иной программы, как часто она используется и некоторые другие ее данные.
Перехват по сигнатурам используется для защиты информации при обнаружении атак. Она ищет в передаваемых пакетах заранее определенные последовательности байтов, соответствующие попыткам несанкционированного доступа, активности вредоносных программ, иным подозрительным действиям.
Следующее ОРМ, которое имеет важное значение ходе расследования НДКИ, - это наведение справок. При его проведении можно определить преступника, совершившего НДКИ, а также установить иные обстоятельства, имеющие значение для следствия. Данное ОРМ осуществляется по следующим направлениям.
. Установление принадлежности и расположения IP-адреса.
В уголовном деле по НДКИ перед лицами, ведущими следствие, ставится задача определения компьютера и его местоположения по известному и оставленному IP-адресу. IP-адрес фиксируется каждый раз при выходе в Интернет при помощи различных технических средств. По зафиксированному IP-адресу (данные о нем находятся в лог-файлах на сервере у провайдера) устанавливается компьютер, с которого был осуществлен несанкционированный доступ. Установив компьютер, следователю необходимо будет доказать, что именно подозреваемый в момент осуществления преступной деятельности находился за компьютером. При этом надо помнить, что содержимое лог-файлов сервера, в которых отражаются настройки, использованные преступником при осуществлении несанкционированного доступа, их корректность и неизменность, должно быть подтверждено КТЭ.
Установить принадлежность IP-адреса можно через whois-клиент. Данный клиент доступен в Интернете любому пользователю. При запросе пользователя whois-клиент обращается к базе данных регистраторов IP-адресов.
Тот же результат можно получить, если сделать запрос через веб-форму на веб-сайте Европейского регистратора IP-адресов. Однако таким данным всецело доверять не следует. Сведения о местном регистраторе будут верными, поскольку он является членом регионального регистратора, имеет с ним договор, постоянно взаимодействует. Сведения о клиенте местного регистратора, непосредственного пользователя IP, подлежат в дальнейшем проверке.
Для уголовного дела будет недостаточно распечатки ответа whois-сервера, она должна быть заверена местным оператором связи, являющимся одновременно местным регистратором. Кроме того, получение сведений о принадлежности IP-адреса может быть оформлено рапортом оперуполномоченного, который прямо в него переписывает сведения из базы данных регистратора. Есть и другие варианты документирования: нотариальное заверение, справка от региональной организации IP-адресов. Впоследствии эти данные должны быть подтверждены КТЭ этого компьютера и показаниями сотрудников оператора связи.
Сделав запрос к клиенту whois-сервера, можно узнать, за кем закреплена соответствующая подсеть и диапазон IP-адресов. Обычно таковым является оператор связи. Получить и уточнить данные о непосредственном пользователе, а также установить его местоположение можно у оператора связи, на которого зарегистрирован соответствующий диапазон IP-адресов. Если между пользователем и оператором находится оператор - посредник или оператор последней мили, то необходимо проверить всех операторов. Сложность в проведении данной операции заключается в том, что на сегодняшний день отсутствует единый и систематический учет всех операторов.
. Установление принадлежности адреса ЭП*. Сообщения ЭП фигурируют во многих уголовных делах. При помощи ЭП происходит, например, сговор о совершении преступления. В большинстве случаев адрес ЭП связан с почтовым ящиком. Однако из каждого правила есть исключения:
групповые и коллективные адреса, которые представляют собой адрес списка рассылки: все поступающие на этот адрес письма рассылаются определенной группе адресатов, таковыми выступают часто ролевые адреса;
технические адреса: все поступающие письма на эти ящики обрабатываются программой, которая отсылает их потом по назначению;
адреса для пересылки сообщения: все сообщения перенаправляются на другой, заранее заданный адрес.
Зная адрес ЭП, можно установить почтовый ящик, с которым связан этот адрес, затем выяснить, кто пользуется этим почтовым ящиком. Таким способом будет установлен владелец адреса.
Для установки места расположения ящика специалист (эксперт) устанавливает первичный MX домена. Во многих случаях ящик, принадлежность которого устанавливается, находится на этом же сервере, отвечающий его настройкам. В других случаях почтовый сервер пересылает почту на иной сервер, указанный в его настройках. В обоих случаях требуется узнать эти настройки. Для этого потребуется содействие провайдера, обслуживающего сервер. Расположение почтового ящика документируется протоколом осмотра сервера или заключением эксперта в ходе проведения КТЭ.
Доказательствами факта использования почтового ящика определенным лицом могут быть:
·наличие на компьютере у лица настроек для доступа к ящику ЭП, в том числе и пароль к этому ящику;
·наличие на компьютере у лица полученных сообщений ЭП со служебными заголовками, свидетельствующими о прохождении сообщений через этот ящик;
·наличие на сервере, где расположен ящик, логов об успешном соединении и аутентификации пользователя данного почтового ящика;
·наличие у других абонентов сообщений от этого лица, написанных в ответ на сообщения, отправленные на этот почтовый ящик.
Помимо рассмотренных проводятся и другие ОРМ, указанные в ст. 7 Закона КР «Об ОРД».
Как отмечалось выше, осмотр места происшествия может проводиться до возбуждения уголовного дела. Особо следует отметить осмотр, проводимый в отношении сервера провайдера в целях исследования находящихся на нем лог-файлов, а также логов мейл-сервера и заголовков ЭП.
Логирование событий определяет политику безопасности компьютера, а именно одну из ее составляющих - аудит. Ведение процесса логирования повышает вероятность выявления преступника, а также его изобличение. В любой операционной системе ведется журнал регистрации событий, который фиксируется в рамках какой-либо программы. Каждому событию соответствует своя запись. Записи откладываются в отдельный файл, назначаемый самой программой. В логах могут храниться любые сведения. Форма записи остается на усмотрение автора программы. Есть логи целевые, которые ориентированы на цели безопасности и расследования инцидентов. Следует иметь в виду, что логи могут вестись разными программами. В этом случае все эти и другие места должен указать специалист, участвующий в осмотре места происшествия, в том числе не исключено, что придется приглашать не одного, а двух и более специалистов.
Чаще всего в логах откладываются данные об IP-адресе клиента; времени запроса, включая часовой пояс; поля HTTP-запроса клиента; код ответа веб-сервера; ошибки, происшедшие при загрузке веб-странице и др.
При исследовании логов надо помнить, что поля HTTP-запроса могут быть фальсифицированы преступником, т.к. формируются они на его стороне. Зафиксированному в логе IP-адресу можно доверять, но надо помнить, что этот адрес может оказаться IP прокси-сервера или иного посредника. Внутренние поля веб-сервера не могут быть фальсифицированы.
Для проверки достоверности данных логов веб-сервера применяется сопоставление записей между собой, а также с иными логами.
Сообщение ЭП создается на компьютере отправителя в программе, называемой клиентом ЭП. Затем оно отправляется на сервер ЭП отправителя. Оттуда - на сервер ЭП получателя сразу либо же через промежуточный сервер ЭП (релей). На сервере получателя сообщение помещается в почтовый ящик соответствующего пользователя. Из этого ящика при посредстве сервера доставки пользователь забирает сообщение. Сообщение сохраняется в клиенте отправителя и получателя. При прохождении через сервер отправителя копия сообщения не сохраняется, но делается запись в логе о его получении и отправке. При этом в сообщение вставляется служебный заголовок «Received» - маршрутный заголовок.
При прохождении сообщения остаются следующие следы:
·копия сообщения на компьютере отправителя;
·запись в логе каждого сервера ЭП отправителя;
·копия сообщения на компьютере получателя с добавленными по пути заголовками;
·следы на компьютере отправителя в результате работ антивирусных программ, сетевых соединений, относящихся к сообщению ЭП;
·следы в логах провайдера, через которые осуществлялось соединение компьютера преступника и сервером отправителя;
·записи в логах антиспамовых программ на всех серверах ЭП отправителя, через которые прошло сообщение;
·следы серверов ЭП отправителя в результате их обращения к DNS-серверам во время приема и передачи сообщения;
·следы в логах провайдера серверов ЭП получателя;
·иные следы на компьютере получателя.
В случае использования вместо программы веб-клиента веб-интерфейс сервера ЭП добавляются следы, характерные для просмотра веб-страниц.
Для признания результатов ОРМ, проведенных в ходе осмотра места происшествия, доказательствами, помимо протокола осмотра, прикладывается впоследствии заключение эксперта, проводящего КТЭ сервера, подтверждающего результаты осмотра.
В настоящее время поисковые системы в Интернете стали широко применяться не только обычными пользователями, специалистами по информационным технологиям и преступниками, но и оперативными работниками. Для криминалистики поисковые системы представляют большой интерес, потому что в них можно обнаружить следы. Очень многие виды сетевой активности оставляют след в поисковых системах, и он может храниться в базе данных поисковика. Помимо этого со стороны поисковой системы можно вести ОРД или получать данные в ходе следственных действий. Поисковая система может протоколировать события и действия пользователя в сети. Все эти сведения могут послужить косвенными доказательствами по уголовному делу.
Итогом разрешения проверочной ситуации должно стать принятие процессуального решения. Если в ходе доследственной проверки были выявлены достаточные данные, указывающие на признаки преступления, то уполномоченное лицо выносит постановление о возбуждении уголовного дела.
Исходя из вышесказанного, следует, что проведение полноценных ОРМ и выявление признаков преступления, предусмотренного ст. 290 УК КР, возможно только при взаимодействии правоохранительных органов с операторами связи и специалистами в сфере информационных технологий.
§3. Типичные следственные ситуации первоначального этапа расследования компьютерных преступлений
Под организацией расследования понимается деятельность следователя, направленная на создание наиболее оптимальных условий для всего хода расследования и действий в каждой следственной ситуации в целях успешной реализации плана расследования.
На первоначальном этапе расследования компьютерных преступлений успех в собирании доказательств зависит от взаимодействия правоохранительных органов со специалистами и операторами связи. Это объясняется тем, что специальные знания в области информационных технологий потребуются как в ходе проведения ОРМ и при первичной проверке материала, так и на стадиях предварительного расследования и судебного разбирательства. Содействие провайдера (оператора связи) также является обязательным элементом расследования на первоначальном этапе, поскольку он выступает «полновластным хозяином» своего участка в сети Интернет. Без содействия со стороны провайдера пока невозможно проводить ОРМ или следственные действия.
Во многих случаях для расследования преступления по ст. 290 УК КР бывает полезно привлечь потерпевшего. Современная виктимология рассматривает потерпевшего как опору следствия и источник информации о преступлении. Жертва преступления имеет хороший потенциал и мотивацию для активных действий. Потерпевшие или работники предприятия - потерпевшего имеют достаточно высокую квалификацию в области информационных технологий. Часто эта квалификация выше, чем у сотрудников правоохранительных органов, занимающихся расследованием.
В ходе расследования необходимо создать следственно-оперативную группу для проведения процессуальных действий, которая должна состоять, как считают российские авторы по информационным технологиям, из следователя СК при МВД, сотрудника отдела «К», оперуполномоченного, специалиста. Определяющая роль в создании следственно-оперативной группы принадлежит следователю. Указанные лица помогут следователю зафиксировать цифровые доказательства. Если в деле будут выявлены обстоятельства, носящие угрозу национальной безопасности государства, то, помимо названных лиц, к делу подключаются сотрудники ГКНБ и уведомляется прокурор.
Практика показывает, «отрыв» следователя от проведения ОРМ, которые проводятся сотрудниками отдела «К», приводит к тому, что процесс расследования уголовного дела замедляется. Помимо того, что следователь еще не в полной мере осознает информацию, находящуюся у него к моменту возбуждения уголовного дела, он, кроме того, не прислушивается к мнению оперативных сотрудников о последовательности и целесообразности проведения следственных действий. Помимо этого, «камнем преткновения» здесь стоят ст. 15 и 17 Закона «Об ОРД», в соответствии с которыми оперативный сотрудник обязан действовать в условиях строгой конспирации: он не всегда сможет выдать следователю всю информацию, полученную в ходе проведения ОРМ. Поэтому следователю необходимо принимать участие в проведении ОРМ при расследовании НДКИ для получения информации, достаточной для возбуждения уголовного дела и планирования расследования преступления в будущем.
Обеспечивающую функцию в работе по раскрытию и расследованию преступлений на первоначальном этапе выполняют криминалистические информационные системы. Это не только средства связи, навигации и системы криминалистической регистрации, но также подразделения ГИТКС НЦБ Интерпола и технические службы ОВД.
В настоящее время преступлений, возбужденных по признакам ст. 290 УК КР, зарегистрировано мало, тем не менее, в такой ситуации органам следствия необходимо сосредоточиться на фактах приоритетности расследования. Эти факты зависят от вида и размера ущерба, наступившего в результате создания и использования вредоносных программ, количества и квалификации персонала и юрисдикции государства.
В ходе расследования преступлений подлежат установлению следующие обстоятельства:
факт создания и использования вредоносных программ;
место и время несанкционированного проникновения в систему или сеть;
надежность средств защиты компьютерной информации;
способ совершения несанкционированного доступа;
лица, совершившие, их виновность и мотивы;
вредоносные последствия неправомерного доступа к компьютерным системам и сетям;
обстоятельства, способствовавшие созданию и использованию вредоносных программ.
Типичные следственные ситуации по рассматриваемой категории преступлений можно классифицировать по различным основаниям.
По источнику информации выделяют ситуации, когда:
·неправомерный доступ обнаружен самим пользователем;
·неправомерный доступ обнаружен в ходе оперативно-розыскной деятельности;
·неправомерный доступ обнаружен в ходе прокурорских проверок;
·неправомерный доступ выявлен при проведении ревизии;
·неправомерный доступ обнаружен в ходе производства следственных действий по другому уголовному делу.
С учетом объема исходной информации, полученной при проведении проверочных действий на первоначальном этапе расследования, возможны следующие типичные следственные ситуации.
. Отсутствует информация о способе, мотивах, личности преступника, известны только последствия неправомерного доступа.
. Известны способ, мотивы и последствия неправомерного доступа, но неизвестна личность преступника.
. Имеется информация и о способе, и о мотивах, и о личности преступника.
В первых двух ситуациях целесообразно строить расследование по следующей схеме: опрос заявителя и свидетелей, осмотр места происшествия с участием специалистов, проведение ОРМ для установления причин преступления, выявления преступников, допрос свидетелей и потерпевших, выемка и изучение компьютерной техники и документации, задержание преступника, допрос подозреваемого, обыски по месту жительства и работы, назначение и производство судебных экспертиз.
В третьей (максимально информативной) ситуации расследование строится по следующей схеме: изучение материалов предварительной проверки и возбуждение уголовного дела, осмотр места происшествия, задержание преступника, допрос подозреваемого, обыски по месту жительства и работы подозреваемого, допросы потерпевших и свидетелей, выемка компьютерной техники и документации, назначение судебных экспертиз.
Общие версии, которые выдвигаются на первоначальном этапе расследования следующие: преступление действительно имело место при тех обстоятельствах, которые вытекают из первичных материалов; ложное заявление о преступлении либо имела место инсценировка преступления.
Частные версии выдвигаются в отношении личности преступника, мотивов совершения преступления, способов создания и использования вредоносных программ, размера причиненного ущерба и т.д.
При расследовании неправомерного доступа к закрытой системе (организации, фирмы) первая версия, которая выдвигается следователем, эта версия о личности преступника: неправомерный доступ совершен сотрудником потерпевшей организации или лицом, не имеющим отношений с потерпевшей организацией. В первом случае выдвигается версия об инсайдере (внутренний неправомерный доступ), вторая - неправомерный доступ совершен хакером (неправомерный доступ снаружи). Однако надо иметь в виду, что если признаки преступления указывают на то, что создание и использование вредоносных программ был совершено хакером (снаружи), то скорее всего он стал возможным в результате сговора с сотрудником потерпевшей организации, поскольку для хакера обнаружить уязвимости в информационной системе - это сложная задача с учетом новейших программных средств, а вот сотрудник потерпевшей организации знаком со всеми ее проблемами.
Следственная практика показывает, что, чем сложнее в техническом отношении способ проникновения в компьютерную систему или сеть, тем легче выявить подозреваемого, поскольку круг специалистов, обладающих соответствующими способностями, обычно весьма ограничен.
Таким образом, для того, чтобы возбудить уголовное дело по созданию и использованию вредоносных программ и организовать расследование на первоначальном этапе, необходимо грамотное и четкое взаимодействие следственно-оперативных органов с операторами связи и специалистами в сфере информационных технологий. Это взаимодействие должно быть отражено в ходе планирования расследования уголовного дела.
ГЛАВА 3.Особенности производства первоначальных следственных действий при расследовании компьютерных преступлений
§1. Особенности проведения осмотра места происшествия, обыска (выемки), допроса подозреваемого (обвиняемого)
На первоначальном этапе расследования компьютерных преступлений проводятся следующие следственные действия: осмотр места происшествия, обыск (выемка), допрос, КТЭ. Сложность проведения следственных действий заключается в том, что в УПК КР не закреплены правила сбора и фиксации цифровых доказательств, поскольку в силу быстрой изменчивости компьютерных систем это сделать невозможно, а разработка методик затруднена отсутствием грамотных специалистов в ведомствах. Столкнувшись с такой проблемой, специалисты предлагают использовать рекомендации научных профессиональных организаций.
Одним из важных следственных действий, проводимых на первоначальном этапе расследования, является осмотр места происшествия. Данное процессуальное действие может быть произведено до возбуждения уголовного дела и после него (ст. 177 УПК КР).
Осмотр по делам, касающимся Создание, использование и распространение вредоносных программ для ЭВМ, - это осмотр в первую очередь компьютерной информации. Однако осмотр компьютерной информации - это не вполне осмотр, а скорее инструментальная проверка, требующая определенных знаний об используемых технических средствах, принцип действия которых не всегда очевиден. Дело в том, что органы чувств человека не в состоянии воспринимать компьютерную информацию без взаимодействия «технических посредников». Компьютерная информация, которая предстает перед нами в своей исходной форме на мониторе ЭВМ, претерпевает количественные преобразования, которые порой переходят в качественные. И ни в одном техническом устройстве или программном обеспечении нельзя быть уверенным. Соответственно, вместо настоящего файла (его содержимого), участники осмотра места происшествия могут видеть сильно искаженную картину. Недаром существует точка зрения, что осмотр компьютерной информации вообще недопустим, а следует проводить экспертизу. Но практика никак не позволяет принять это утверждение.
Подготовка к осмотру места происшествия по делам данной категории включает необходимость решения ряда организационных вопросов как общих для любого следственного осмотра, так и специфических, приемлемых только для преступлений в сфере компьютерной информации. К общим относится приглашение понятых, сведущих в компьютерной технике, инструктаж участников осмотра, к специфическим - обязательное участие в осмотре специалистов в области компьютерной техники. Иногда требуется пригласить не одного специалиста, а даже нескольких. Выбор специалиста будет зависеть от способа совершения преступления и от объема первоначальной информации о совершенном преступлении.
Перед началом осмотра места происшествия необходимо принять меры по подготовке с помощью специалиста соответствующей компьютерной техники, которая будет использоваться для считывания и хранения изъятой информации. Также потребуется программное обеспечение, позволяющее осуществлять копирование и анализ информации на месте.
Сразу по прибытии на место происшествия необходимо принять меры к обеспечению сохранности информации в подлежащих осмотру компьютерах и на съемных носителях, для чего необходимо:
·не разрешать лицам, работающим в это время или находящимся в помещении по другим причинам, прикасаться к компьютерному оборудованию, а также пользоваться телефоном;
·не разрешать никому выключать электроснабжение объекта;
·не разрешать никому производить манипуляции с компьютерной техникой, если их результат заранее не известен, в том числе и следователю;
·определить, соединены ли находящиеся в осматриваемом помещении компьютеры в локальную вычислительную сеть*. При наличии ЛВС наибольший интерес должен представлять сервер, на котором хранится большая часть информации и к которому имеют доступ все подключенные к сети ЭВМ. Этот компьютер рекомендуется обследовать особенно. Вместе с тем, надо иметь в виду, что сервером может являться не один, а несколько компьютеров, расположенных в разных помещениях;
·установить, имеются ли соединения компьютера с оборудованием или вычислительной техникой вне осматриваемого помещения;
·выяснить, подключен ли компьютер к телефонной линии. В случае подключения на него могут поступать вызовы к продолжению приема или передачи информации. Если информация, поступающая на компьютер по электронной почте и иной связи, может иметь интерес для следствия, то отключать его не следует;
·определить, какая операционная система загружена, какие прикладные программы запущены и какие данные введены в компьютер. Одновременно следует обратить внимание на дату и текущее время на дисплее компьютера. Все отображенное на экране необходимо описать в протоколе и по возможности зафиксировать с помощью фото- или видеозаписи.
При проведении осмотра необходимо учитывать вероятность принятия лицами, заинтересованными в сокрытии преступления, мер по уничтожению информации и других ценных данных; вероятность установки в осматриваемые ЭВМ специальных средств защиты от несанкционированного доступа, которые, не получив в установленное время специального сигнала или кода, автоматически уничтожают всю хранящуюся в ЭВМ информацию, либо интересующую следствие наиболее важную ее часть; вероятность установки в осматриваемые ЭВМ иных средств защиты информации от несанкционированного доступа.
В этой связи чрезвычайно важно участие специалистов уже на первом этапе производства осмотра места происшествия: они помогут разобраться в особенностях компьютерного оборудования, укажут, что подлежит изъятию и предотвратят умышленное или случайное уничтожение информации.
Объекты, подлежащие осмотру, можно условно подразделить на четыре основные группы: служебные помещения; средства вычислительной техники; носители машинной информации; документы.
Осмотр служебного помещения необходим для общего обзора, определения границ осмотра места происшествия, количества и схемы расположения рабочих мест, уточнения порядка размещения компьютерного оборудования и мест хранения машинных носителей информации. Это позволит в дальнейшем изучить возможность несанкционированного проникновения посторонних лиц в помещение, где находится ЭВМ.
В ходе осмотра целесообразно начертить схему осматриваемых территорий, зданий и помещений с обозначением на ней мест расположения оборудования. Кроме того, осматриваемые объекты должны быть сфотографированы по правилам судебной фотографии, т.е. сначала общий вид здания, помещения, затем по правилам узловой фотосъемки отдельные компьютеры и подключенные к ним устройства, а в случае вскрытия системного блока по правилам детальной съемки отдельные его узлы, особенно те, которые согласно инструкции по эксплуатации не должны устанавливаться на материнской плате или в корпусе блока, что должен определить специалист.
При осмотре помещения необходимо обращать внимание на небольшие листки, клочки, обрывки бумаги с полезной для следствия информацией, которые нередко прикрепляются к компьютеру или находятся в непосредственной близости от него; на возможные остатки следов на столе, где была установлена ЭВМ, загрязнения, следы вдавливания и другие признаки, свидетельствующие о перемещении, переподключении ЭВМ и периферийных устройств.
При осмотре средств вычислительной техники непосредственными объектами могут быть отдельные компьютеры, не являющиеся составной частью локальных или глобальной сетей; рабочие станции, входящие в сеть; серверы; сетевые линии связи; соединительные кабели; периферийные устройства. При этом должны быть установлены конфигурация компьютера с описанием всех устройств, номера моделей и серийные номера каждого из устройств, инвентарные номера, присваиваемые бухгалтерией при постановке на баланс предприятия, прочая информация на фабричных ярлыках.
При осмотре работающего компьютера с участием специалиста следует установить, какая программа выполняется, тип программного обеспечения, загруженного в момент осмотра в компьютер, что может свидетельствовать о задачах, для которых использовался данный компьютер; по мере необходимости и возможности остановить исполнение программы и установить, какая информация получена после окончания ее работы; определить и восстановить наименование и назначение вызывавшейся перед осмотром программы; установить наличие в компьютере накопителей информации, их тип и количество; при наличии технической возможности скопировать информацию, которая может иметь значение для дела.
Если компьютер подключен к локальной сети, необходимо установить количество подключенных к серверу рабочих станций, вид связи сети, количество серверов в сети; по возможности организовать одновременный осмотр включенных в локальную сеть рабочих станций и компьютеров. Если такая возможность отсутствует, следует обеспечить их остановку и далее производить осмотр в режиме неработающего компьютера.
При осмотре неработающего компьютера с участием специалиста следует определить место нахождения компьютера и его периферийных устройств с обязательным указанием в протоколе наименования, номера, модели, формы, цвета и индивидуальных особенностей каждого из них; установить порядок соединения между собой вышеуказанных устройств, количество соединительных разъемов, их спецификации, а при наличии проводов и кабелей - их вид, цвет и количество, выяснить, подключен ли данный компьютер в сеть, каковы способ и средство его подключения. Необходимо также визуально и на ощупь проверять признаки недавней работы ЭВМ (нагрев блока питания, принтера).
Осмотр носителей компьютерной информации (лазерные диски, съемные Usb-устройства и т.д.) производится с целью установления содержания самой компьютерной информации и обнаружения внешних следов, в том числе следов пальцев рук, которые могут быть выявлены на упаковках и местах хранения машинной информации.
В ходе осмотра места происшествия могут быть обнаружены и изъяты документы, которые впоследствии могут быть признаны вещественными доказательствами по делу:
·носящие следы совершенного преступления (шифрованные, рукописные записи, пароли и коды доступа в сети, дневники связи);
·содержащие следы действия компьютерной техники. В этой связи следует искать в устройствах вывода бумажные носители информации, которые могли остаться внутри их в результате сбоя в работе устройства;
·описывающие аппаратуру и программное обеспечение;
·устанавливающие правила работы с компьютером, нормативные правовые акты, регламентирующие правила работы с данным компьютером, системой, сетью;
·журналы учета работы на компьютере, листинги, техническая, технологическая, кредитно-финансовая, бухгалтерская и т.п. документация.
При осмотре документов особое внимание следует обращать на подчистки и исправления в тексте, дополнительные записи; отсутствие либо нарушение нумерации страниц, а также вклеенные страницы, листки, бланки; распоряжения на исполнение определенных работ по изменению программ для ЭВМ, вводу дополнительной информации, не предусмотренной технологическим процессом; несоответствия ведущихся в системе форм регистрации правилам, установленным технической и технологической документацией.
В процессе осмотра необходимо помнить о соблюдении элементарных правил обращения с вычислительной техникой, а при изъятии отдельных устройств вычислительной техники и носителей компьютерной информации соблюдать правила их упаковки и транспортировки.
Особо следует остановиться на осмотре лог-файлов. Логи не являются непосредственным источником доказательств. В качестве посредника выступает мнение специалиста, облекаемое в законную процессуальную форму, или заключение эксперта.
Доказательственная сила логов базируется на корректности и неизменности. Эти два свойства должны соблюдаться при следующих событиях: корректности фиксации событий и генерации записей в генерирующую программу, неизменность при передаче записей от генерирующей к логирующей программе, корректность обработки записей в логирующей программе, неизменность при хранении логов до момента изъятия, корректность процедуры исследования, неизменность при хранении после изъятия до осмотра или передачи на экспертизу, корректность интерпретации логов. При несоблюдении одного действия, лог перестает быть доказательством.
Процедура приобщения логов к доказательствам следующая: следователь со специалистом в присутствии представителя, обслуживающего провайдер, и двух понятых проводит осмотр содержимого сервера. При этом используются штатные программные и аппаратные средства. Составляется протокол, в котором отражается характеристика сервера, версия ОС, состояние генерирующей и логирующей программы, наличие файлов с логами, их временные метки, права доступа к лог-файлам, учетные записи пользователей, имеющих права на запись в лог-файлы. Нужные записи из логов выбираются, распечатываются на принтере, на диск копируются все осмотренные логи, который опечатывается и отправляется на экспертизу, и все это прилагается к протоколу осмотра. Все листы протокола подписываются участниками осмотра.
Стоит заметить, что операторы связи небрежно относятся к хранению логов, хотя это их обязанность. При возникновении инцидента многие из них ссылаются на незнание правил сбережения логов. В связи с этим необходимо ввести административную ответственность операторов связи за ненадлежащее исполнение своих обязанностей вплоть до отзыва лицензии.
Обыск и выемка в отличие от осмотра места происшествия производятся только по возбужденному уголовному делу. Кроме того, если при осмотре фиксируется состояние места происшествия с изъятием обнаруженных следов и предметов, то при обыске и выемке идет поиск и изымаются конкретные предметы и документы, имеющие доказательственное значение по делу, а также ценности, добытые преступным путем (ст. ст. 184 УПК КР).
Применительно к ст. 290 УК КР обыск и выемка производятся, когда имеются сведения о лицах, причастных к совершению преступления, способах, средствах или месте преступного посягательства с использованием компьютерных технологий и вероятном местонахождении доказательств. Тактика проведения обыска и выемки при расследовании преступления имеет свои особенности. Это обусловлено не только умышленным уничтожением информации, имеющей доказательственное значение, еще не выявленными соучастниками преступления либо иными заинтересованными лицами среди персонала по месту работы подозреваемого или его близких по месту жительства, но и вероятностью неосторожного поведения следователя и других членов следственно-оперативной группы, которые в результате неквалифицированного обращения с программно-аппаратными средствами могут повредить информацию или уничтожить следы.
При проведении обыска необходимо руководствоваться следующими принципами:
во время изъятия компьютерной техники, съемных носителей и при последующем их хранении не должна изменяться информация;
доступ к информации и ее исследование на месте допустимы тогда, когда невозможно изъять носитель и отправить его на экспертизу;
все действия с компьютерной техникой протоколируются.
На подготовительном этапе обыска при подборе специалистов необходимо учитывать особенности компьютерной техники и способа неправомерного доступа, использованного при совершении преступления; оценить с участием специалистов данные, полученные в ходе расследования уголовного дела; обеспечить участие понятых, обладающих хотя бы минимальными знаниями о компьютерных технологиях; принять меры к обеспечению безопасности места проведения обыска с точки зрения сохранности доказательств; определить время проведения и меры по обеспечению внезапности предстоящего обыска (выемки) как для подозреваемых, так и иных лиц, которые могут находиться на месте проведения следственного действия; решить вопрос обеспечения транспортом, упаковочным материалом для вывоза изъятого оборудования и носителей информации.
Если обыск планируется провести у физического лица на квартире, и у следователя есть основания полагать, что собственник квартиры предпримет меры, направленные на воспрепятствование проведению этого следственного действия, то в этом случае рекомендуется привлекать соседей для проникновения в квартиру обыскиваемого лица. В любом случае следователь должен обеспечить внезапность обыска в целях недопущения уничтожения информации, а также физического уничтожения носителей машинной информации подозреваемым. Обыск в организации лучше всего проводить в середине рабочего дня, если имеются основания для его отложения.
Что касается тактики и общих правил изъятия компьютерной техники при обыске, то их можно свести к следующим положениям:
·обыскиваемое помещение, в том числе электрощит, берется под контроль следователем и иными сотрудниками. Если местный персонал от техники отстранить не удается, то необходимо фиксировать все их действия в протоколе. В редких случаях, когда о проведении обыска стало известно сообщникам, находящимся вне контроля от следователя, например, в той же организации, но этажом выше, то необходимо, как можно быстрее, отключить сетевые соединения и модемы;
·все включенные устройства, в том числе периферийные, в момент проведения обыска не выключаются;
·далее фотографируется или снимается на видео компьютерная техника. Особое внимание уделяется кабелям, какой куда подключен. Для удобства фиксирования и протоколирования, необходимо снабдить их ярлычками;
·на компьютерах, которые находятся в рабочем состоянии, фиксируется изображение на мониторе, отмечаются, какие программы загружены в этот момент;
·обследование рабочих мест в поисках записок с паролями и иных данных, необходимых для поиска;
·если принтер что-то печатает, то необходимо дождаться окончания печати. Все, что находится на выходном лотке принтера, описывается и изымается;
·после проведенных выше действий компьютеры выключаются специалистом. Если специалиста нет по причине неотложности проведения обыска, то настольный компьютер выключается вытаскиванием шнура из блока питания системного блока. У ноутбука, помимо отключения от сети, извлекается аккумулятор без закрывания крышки. Изымается вся компьютерная техника и носители, находившиеся на момент проведения обыска независимо от их юридической принадлежности;
·всю изъятую технику необходимо упаковать: каждое техническое устройство в отдельный пакет с последующей нумерацией;
·поскольку компьютерная информация имеет свойство легко и быстро удаляться, то следователь должен опросить отдельно всех пользователей на предмет паролей и сетевых имен пользователей, не дожидаясь допроса. Пароли допустимо не вносить в протокол допроса или объяснение. Также на этом этапе надо составить список всех нештатных и временно работающих специалистов фирмы с целью обнаружения программистов и других лиц, состоящих в трудовых отношениях с потерпевшей организацией, для последующего их допроса.
При проведении обыска следователь должен иметь представление о личности преступника, а также об уровне его познаний в сфере информационных технологий. Знание о личности преступника позволяет специалисту, например, принять правильное решение о выключение ЭВМ. Как известно, есть два метода выключения компьютера: «холодный» и по штатной команде. При применении первого (он происходит путем извлечения шнура из блока питания или розетки) пропадет информация, находящаяся в ОЗУ и иных местах, т.е. та, которая «живет» до выключения компьютера, и содержимое временных файлов, загруженных текущими процессами на ЭВМ. Если перед следователем подозреваемый - специалист среднего или высокого уровня, то надо учитывать, что на компьютере пользователя может находиться программа, срабатывание которой при выключении ПК штатным методом приведет к уничтожению информации на ЭВМ (обычно хакеры оснащают свои компьютеры «логической бомбой»). В любом случае применить тот или иной вариант специалист должен, исходя из обстоятельств дела: какая информация нужнее для следователя.
В продолжение темы выключения ЭВМ при проведении обыска, хотелось бы отметить следующее. Когда в ходе обыска дело доходит до изъятия компьютера, то иногда подозреваемый пытается всячески навязать следователю тот или иной метод выключения компьютера в надежде на то, что при использовании рекомендованного им метода произойдет автоматическое уничтожение информации (как, например, в ситуации с логической бомбой). Все эти действия необходимо фиксировать в протоколе. Если в дальнейшем, в ходе проведения КТЭ ЭВМ подозреваемого, выяснится, что способ, рекомендованный им, привел бы к уничтожению информации на компьютере, то это косвенно подтверждает вину лица в совершении преступления.
Если проведение обыска не терпит отлагательств, то в этом случае у следователя может не хватить времени для подбора специалиста, который будет участвовать в данном процессуальном действии. Поэтому излагаемая информация, касающаяся особенностей носителей компьютерной информации, ориентирована на ситуацию проведения обыска следователем без специалиста.
Иногда при обыске, в процессе копирования и снятия специалистом информации, полезными могут оказаться данные, которые существуют до момента выключения компьютера или завершения сеанса программы, но еще не сохраненные, например, содержимое ОЗУ. Такие данные специалист снимает на месте происшествия. Применительно к неправомерному доступу, предположительно осуществленному с исследуемого компьютера, следует собрать список процессов, информацию о текущих сетевых соединениях, образец трафика.
При подготовке, планировании и в ходе проведения допросов подозреваемых и обвиняемых (ст. 189-193 УПК КР) по уголовному делу, возбужденному по ст. 290 УК КР, следует учитывать обстоятельства совершенного преступления, субъект и субъективную сторону. Перед проведением допроса следователю необходимо проконсультироваться со специалистом, а при необходимости пригласить его для участия в допросе, а также составить детальный план допроса.
В начальной стадии допроса выясняются следующие обстоятельства общего характера:
·имеет ли подозреваемый (обвиняемый) навыки обращения с компьютером, где, когда и при каких обстоятельствах он освоил работу с компьютерной техникой и с конкретным программным обеспечением;
·место его работы и должность, работает ли он на компьютере по месту работы, имеет ли правомерный доступ к компьютерной технике и к каким видам программного обеспечения; какие операции с компьютерной информацией выполняет на рабочем месте;
·имеет ли правомерный доступ к глобальной сети Интернет, работает ли в Интернете; закреплены ли за ним по месту работы идентификационные коды и пароли для работы в компьютерной сети; если не работает, то какие операции выполняет на своем персональном компьютере либо персональных компьютерах других лиц из своего ближайшего окружения, где и у кого приобрел программы для своей ЭВМ;
·каковы обстоятельства, предшествовавшие совершению преступления (когда возникло намерение совершить преступление, что повлияло на принятие такого решения, почему выбран данный объект посягательства, мотивы совершения преступления, его цель и т.д.).
При допросах подозреваемых (обвиняемых) очень важно детально уточнить технологию совершенного преступления или преступлений, получить сведения о том, какие электронные и вещественные доказательства содеянного имеются или могли сохраниться, где можно обнаружить интересующую следствие информацию.
На последующей стадии допроса у подозреваемого (обвиняемого) выясняются конкретные обстоятельства НДКИ:
·место неправомерного проникновения в компьютерную систему, т.е. внутри потерпевшей организации или извне;
·каким образом произошло проникновение в помещение, где установлена компьютерная техника;
·как осуществлен неправомерный доступ в компьютерную сеть, каковы способы преодоления информационной защиты;
·от кого им получены данные об используемых в потерпевшей организации мерах защиты информации и способах ее преодоления;
·какие средства использованы при совершении преступления;
·способы сокрытия неправомерного доступа;
·количество фактов незаконного вторжения;
·использование для неправомерного доступа своего служебного положения.
Важнейшей задачей в ходе допросов подозреваемых (обвиняемых) об обстоятельствах совершения компьютерных преступлений является установление формы и степени их вины в содеянном, а также их отношения к наступившим вредным последствиям. При этом в ходе допросов подозреваемых (обвиняемых) устанавливаются обстоятельства совершения ими не только преступления, предусмотренного ст. 290 УК КР, но и других преступлений, ради которых такой доступ осуществлялся.
§2. Особенности назначения компьютерной экспертизы (компьютерно-технологической и компьютерно-технической)
При расследовании преступлений по созданию и использованию вредоносных программ для ЭВМ должны проводиться как традиционные виды экспертиз, так специальные судебные экспертизы - компьютерно- технологическая и компьютерно-техническая.
Проведение компьютерных судебных экспертиз необходимо как для исследования собственно информационно-технологических процессов сбора (накопления, хранения, поиска, актуализации, распространения) информации и представления ее потребителю в условиях функционирования автоматизированных информационных систем и сетей, так и отдельно взятых технических и иных средств обеспечения этих процессов.
Непосредственными объектами исследования компьютерно-технологической экспертизы могут быть проектная документация на разработку и эксплуатацию компьютерных систем и сетей, отражающая процессы сбора, обработки, накопления, хранения, поиска и распространения информации; документированная информация; материалы сертификации информационных систем, технологий и средств их обеспечения и лицензирования деятельности по формированию и использованию информационных ресурсов; приказы и распоряжения администрации, инструкции, протоколы, договоры, положения, уставы и методики по эксплуатации компьютерных систем и сетей; схемы движения информации от источников к потребителю с указанием пунктов ее сбора и т.д.
Компьютерно-технологическая экспертиза назначается в тех случаях, когда для разрешения возникающих в ходе расследования вопросов требуются специальные познания в технологии информационных процессов. С помощью компьютерно-технологической экспертизы можно определить, например, соответствие существующего технологического процесса компьютерной обработки информации с проектной и эксплуатационной документацией на конкретную информационную систему либо сеть; конкретные отклонения от установленной информационной технологии; непосредственных исполнителей, допустивших нарушение установленной информационной технологии; надежность организационно-технологических мер защиты компьютерной информации; вредные последствия, наступившие вследствие неправомерного нарушения установленной технологии компьютерной обработки информации; обстоятельства, способствовавшие преступному нарушению технологии электронной обработки информации и т.д.
При расследовании преступлений по ст. 290 УК КР надо учитывать то, что практически любое обращение с компьютерной информацией требует специальных познаний. Источником таких знаний выступают специалист и эксперт. Отсюда следует, что особая роль в ходе расследования принадлежит компьютерно-технической экспертизе (далее - КТЭ), поскольку установить факты, касающиеся компьютерной информации, можно только на основании экспертизы.
Объекты КТЭ - все орудия, с помощью которых осуществляется доступ к информационным ресурсам. Когда в качестве объекта исследования выступает носитель информации, то лучше проводить исследования с его копией, чтобы избежать повреждения оригинала. В УПК КР и Законе «О СЭД» нет нормы, которая запрещает проводить исследования с копией носителя. Эксперт может сделать копию на таком носителе, с которым ему будет удобнее и быстрее работать. Оригинал может потребоваться в дальнейшем: непосредственно в суде как вещественное доказательство или при проведении повторной или дополнительной экспертизы. Однако есть методы КТЭ, хотя они используются редко, которые при исследовании требуют применения оригинала. Соответственно, если специалист в ходе обыска изъял, например, копию диска сервера по причине невозможности изъятия сервера или его диска в натуре, а потом выясняется, что для ответа на поставленный в постановлении о назначении КТЭ вопрос, необходимо исследование оригинала, то следователь попадает «в неловкое положение». Поэтому многие исследователи предлагают такой выход, что специалист должен предположить, какие вопросы поставит следователь перед экспертом, и какие методы впоследствии будут применяться при исследовании.
К основным задачам КТЭ относятся определение технического состояния компьютерного оборудования и пригодности его для решения задач, предусмотренных проектной и эксплуатационной документацией на данную автоматизированную систему; техническое исполнение конкретных технологических информационных процессов и отдельных операций, ставших предметом предварительного следствия; восстановление содержания поврежденных информационных массивов, отдельных файлов на носителях; выявление технических причин сбойных ситуаций в работе компьютера; установление подлинности информации, записанной на машинных носителях и внесенных в них изменений; выявление в программе для ЭВМ разного рода неправомерных изменений, дополнений, вставок преступного характера; установление соответствия средств защиты информации от несанкционированного доступа и т.п.
При выборе организации (среди гражданских), которая будет проводить КТЭ, предпочтение отдается опыту работы представителей организации. Когда у следователя есть выбор между государственным и гражданским экспертным учреждением, то лучше принять решение в пользу второго.
В зависимости от объекта исследования можно выделить четыре вида КТЭ:
·аппаратно-техническая (предполагает проведение диагностического исследования технических (аппаратных) средств компьютерной системы, определение функциональных возможностей, фактического и начального состояния, технологии изготовления, эксплуатационных режимов и т.п.);
·программно-техническая (состоит в изучении функционального предназначения, характеристик и реализуемых требований, алгоритма и структурных особенностей, пользовательского (потребительского) состояния представленного на исследование системного, прикладного и авторского программного обеспечения компьютерной системы как видовых объектов экспертизы);
·информационно-техническая (предполагает разрешение диагностических и идентификационных вопросов, связанных с компьютерной информацией);
·компьютерно-сетевая (предполагает исследование функционального предназначения компьютерных средств, реализующих какую-либо сетевую информационную технологию).
Сложность КТЭ состоит в ее понимании другими участниками процесса, поскольку лицо, проводившее экспертизу, порой затрудняется объяснить простыми словами механизм произошедшего преступления и сделанные им на основе исследования выводы. Иногда бывает сложно перевести тот или иной технический термин на язык, доступный обывателю, а тем более на юридический. Некоторые понятия вообще не объяснить, не используя технический словарь. В итоге, когда идет стадия судебного разбирательства, только два участника понимают, о чем идет речь на заседании: это специалист или эксперт и, конечно же, подсудимый.
Сложность КТЭ состоит и в неоднозначности ответов, которые получает следователь, судья, прокурор, адвокат на поставленные ими вопросы перед экспертом или специалистом на стадии судебного заседания. Например, на вопрос, идентифицирует ли IP-адрес компьютер в сети Интернет однозначным образом, можно получить два разных ответа. Можно ответить отрицательно, имея в виду абстрактный компьютер и любой IP-адрес, но можно ответить утвердительно применительно к конкретному компьютеру и конкретному адресу, если при этом ознакомиться с материалами дела. Таким образом, эксперты и специалисты теперь не только разъясняют вопросы, но и по сути делают выводы о виновности или невиновности лица.
Следователь должен четко представлять возможности КТЭ для того, чтобы корректно сформулировать вопросы и получить на них ожидаемые ответы. Как бы это ни звучало парадоксально, но чтобы правильно задать вопрос, надо знать на него большую часть ответа, а где-то и полный ответ. Одним словом, следователь должен иметь базовые знания по информационным технологиям. Понятно, что для формулировки вопросов для КТЭ лучше всегда привлекать специалиста или эксперта, который будет проводить исследование.
При формулировании вопросов следователю не стоит конкретизировать вид и содержание информации, которую необходимо найти, исследовать и приложить к делу, поскольку эксперт сам решит, какие сведения относятся к делу. Для этого его надо ознакомить с уголовным делом в той части, которая относится к предмету экспертизы либо фабулу дела можно изложить в постановлении о назначении КТЭ. При дефиците информации эксперт может ходатайствовать о предоставлении дополнительных материалов.
При поиске цифровых следов различного рода действий на компьютере, с которого предположительно был осуществлен неправомерный доступ, лучше формулировать вопросы не про следы, а про действия. При этом надо помнить, что эксперт может определить, когда, каким образом осуществлялся неправомерный доступ, а вот кто его совершил, это возможно установить только в редких случаях, когда на исследуемом компьютере имеются некоторые сведения о пользователе.
При исследовании отдельных файлов, дисков и иных носителей следователю имеет смысл поставить вопрос касательно не только наличия на носителе того или иного содержимого, но и обнаружения и расшифрования скрытой, служебной и иной информации, предусмотренной соответствующим форматом файла (по обстоятельствам дела), а также восстановления стертых файлов, даже если при этом носитель информации был отформатирован несколько раз. При этом необходимо выяснить, каким путем информация оказалась на носителе. Когда файл невозможно восстановить, то можно доказать факт его присутствия в прошлом по информации об этом файле, которая может храниться в различных местах.
При исследовании программы, которая послужила инструментом для осуществления внедрения вредоносных программ, средством преодоления ТСЗАП* и иных технических средств, предназначенных для негласного получения информации, требуется иногда изучить не только ее свойства и функциональность, но и происхождение, процесс создания, сопоставление версий. В этом случае рекомендуется проводить в рамках программно-технической экспертизы две отдельные экспертизы: первая изучает содержимое компьютерных носителей, вторая - особенности обнаруженных программ.
При изучении архивов ЭП и ICQ надо иметь в виду, что в любом случае при получении или отправке сообщения информация о нем записывается на диск хотя бы раз. А это значит, что если не в явном, то в скрытом виде она может «всплыть» при экспертизе. В архиве на ЭВМ у пользователя может храниться большое количество сообщений, в том числе и их копий. Поэтому перед экспертом лучше поставить вопрос об обнаружении всей переписки, как в явном, так и в удаленном виде и, соответственно, не следует давать задание, найти и отпечатать всю переписку, либо сводить работу к обнаружению одного письма. Те сообщения, которые имеют отношение к делу, эксперт распечатает и приложит к заключению, остальные запишет на компакт-диск, потому что может потребоваться дополнительная экспертиза.
Вопрос об отнесении той или иной переписки к материалам уголовного дела лучше поручить эксперту. Для этого его нужно ознакомить с материалами уголовного дела. Кроме обнаружения архива надо поставить вопрос о том, принимались или отправлялись обнаруженные сообщения. Для этого надо знать, куда отправлялось сообщение, т.е. второго корреспондента. Если он не известен следователю, то надо поставить вопрос о том, где еще можно обнаружить копию данного сообщения или следы его пребывания.
При изучении печатных документов надо иметь в виду, что все распечатки рассматриваются наравне с электронными носителями, т.к. информация на них представлена в цифровом виде. На распечатках содержится не только информация, ориентированная на человека, но и машинная. Изготовители принтеров из США, например, закладывают в них печать на каждой странице скрытых данных о дате, времени и заводском номере принтера. Кроме этих данных, у принтера есть свои индивидуальные особенности, присущие каждой модели. Поэтому экспертиза может не только «привязать» печатный документ к конкретному принтеру, но и установить, на принтере какой модели он был напечатан.
Изучение личности пользователя исследуемого компьютера проводится с учетом интенсивности использования компьютера человеком. Документы, фотографии, музыка, переписка, настройки, наличие программ и другое - все это индивидуализирует информационное содержимое компьютера, отражает интеллект, способности, наклонности пользователя. Поэтому для оценки личности пользователя исследуемого компьютера необходимо провести комплексную экспертизу, компьютерно-психологическую. При этом надо помнить, что для оценки квалификации личности, необходимо нахождение на ЭВМ пользователя результатов его интеллектуальной деятельности, т.е. программ, написанных им.
В литературе отмечается такая возможность КТЭ, как подтверждение или опровержение «цифрового алиби» подозреваемого, который утверждает, что в определенное время работал за компьютером. В этом случае, хотя речь не идет о компьютерном преступлении, но для проверки алиби обязательно назначение КТЭ.
В общем виде перед экспертом, проводящим КТЭ, ставятся вопросы, касающиеся наличия на исследуемых объектах информации, относящейся к делу; о пригодности использования исследуемых объектов для определенных целей; о действиях, совершенных с использованием объектов, их времени и последовательности; об идентификации электронных документов, программ для ЭВМ; о свойствах программ для ЭВМ.
Исходя из вышесказанного, следует, что для проведения любого следственного действия, проводимого на первоначальном этапе расследования, потребуются специальные знания. Эти знания в первую очередь нужны для того, чтобы знать, где искать следы преступления, а впоследствии для правильного закрепления и оформления доказательств. Особо следует подчеркнуть роль КТЭ. Благодаря ее современным возможностям, она позволяет обнаружить фальсификацию лог-файлов, являющихся опорным пунктом для следствия в выявлении преступника.
§ 3 Особенности проведения допросов при расследовании преступлений, совершенных в сфере использования компьютерной информации
Одним из основных следственных действий при расследовании всех видов преступлений, а также, совершаемых с использованием компьютерной техники и новых информационных технологий является допрос.
Однако, для рассматриваемой категории преступлений характерно то, что в ходе проведения допроса должна быть получена информация, касающаяся предмета доказывания по уголовному делу, носящая специфический характер, в виду того, что дополнительным объектом преступлений, совершаемых с использованием компьютерной техники и информации, являются правоотношения по поводу владения, пользования и распоряжения компьютерной информацией.
По указанным выше причинам особое значение приобретает подготовка к допросам, в частности, такой ее этап как изучение личности допрашиваемого. Целесообразно собрать максимально возможную в имеющемся у следствия промежутке времени информацию о допрашиваемом лице. Тщательно проведенный поиск данных о личности допрашиваемого обычно приводит к расширению представлений о круге лиц, имеющих отношение к расследуемому событию. Эти данные позволят сделать допрос более эффективным.
Для рассматриваемой категории преступлений также существенным является получение данных о наличии у допрашиваемого специальных и профессиональных навыков владения компьютерной техникой. Представление о квалификации подлежащих допросам обвиняемым способствует правильной оценке их показаний и, в дальнейшем решению вопроса о возможности совершения тех или иных действий с компьютерными объектами.
Для того, чтобы наиболее эффективно провести допрос, следователь должен четко определить, какую и от кого он может получить информацию. Однако, при расследовании преступлений, при совершении которых использовалась компьютерная техника большая часть информации, относящейся к предмету допроса, носит специальный характер, поэтому перед проведением допроса необходима подготовка, в ходе которой следователю необходимо уяснить для себя все непонятные вопросы, касающиеся общих принципов функционирования фигурирующих в деле компьютерных объектов. В этих целях наиболее эффективными будут консультации специалиста.
При расследовании преступлений, совершенных в сфере использования компьютерной информации допросы осуществляются с использованием тактических рекомендаций, разработанных в криминалистике. Основные тактические задачи допроса при расследовании дел рассматриваемой категории являются:
выявление элементов состава преступления;
установления обстоятельства, места и времени совершения значимых для расследования действий, способа и мотивов его совершения и сопутствующих обстоятельств, признаков внешности лиц, участвовавших в нём;
определение предмета преступного посягательства;
определение размера причиненного ущерба;
установление иных свидетелей и лиц, причастных к совершению преступления.
Первичное обнаружение признаков неправомерных действий посторонних лиц с компьютерной информацией осуществляется, как правило, сотрудниками собственника информационной системы и её пользователями. Описание этих признаков может найти отражение в показаниях очевидцев.
Особое значение здесь приобретает подготовка к допросам и всестороннее изучение личности допрашиваемого. Целесообразно собрать максимально возможную в имеющемся у следствия промежутке времени информацию о допрашиваемом лице. Для этого целесообразно обеспечить получение данных о нём с места жительства, учёбы, работы, досуга. Источниками сведений могут быть налоговые инспектора, работники милиции по месту жительства, коллеги по работе, соседи, знакомые. Важные данные могут быть получены из личных дел по месту работы. При этом следует учесть, что свидетелями по данной категории дел чаще всего выступают лица с высшим образованием, обладающие высоким интеллектом, в совершенстве владеющие специальной терминологией, зачастую не вполне понятной следователю. В связи с этим следователю необходимо детализировать показания допрашиваемого постановкой уточняющих вопросов, раскрывающих содержание тех или иных терминов и определений, употребляемых допрашиваемым. При описании конфигураций систем или схем движения информации могут оказаться крайне полезными рукописные схемы, составляемые допрашиваемым к протоколу допроса . Для участия в допросе может быть приглашен специалист в области вычислительной техники (как минимум, необходимо предварительное согласование с ним формулировок задаваемых вопросов).
Для решения указанных задач в процессе допроса свидетелей необходимо выяснить:
не проявлял ли кто-либо интереса к компьютерной информации, программному обеспечению, компьютерной технике данного предприятия, организации, учреждения, фирмы или компании;
не появлялись ли в помещении, где расположена компьютерная техника, посторонние лица, не зафиксированы ли случаи работы сотрудников с информацией, не относящейся к их компетенции:
не было ли сбоев в работе программ, хищений носителей информации и отдельных компьютерных устройств;
зафиксированы ли сбои в работе компьютерного оборудования, электронных сетей, средств защиты компьютерной информации;
как часто проверяются программы на наличие вирусов, каковы результаты последних проверок;
как часто обновляется программное обеспечение, каким путем, где и кем оно приобретается;
каким путем, где и кем приобретается компьютерная техника, как осуществляется ее ремонт и модернизация;
каков на данном объекте порядок работы с информацией, как она поступает, обрабатывается и передается по каналам связи;
кто еще является абонентом компьютерной сети, к которой подключены компьютеры данного предприятия, организации, учреждения или фирмы, каким образом осуществляется доступ в сеть, кто из пользователей имеет право на работу в сети, каковы их полномочия;
как осуществляется защита компьютерной информации, применяемые средства и методы защиты и др.
имели ли место случаи неправомерного доступа к компьютерной информации ранее, если да, то, как часто;
могли ли возникшие последствия стать результатом неосторожного действия лица или неисправности работы ЭВМ, системы ЭВМ, сбоев программного обеспечения и т.п.;
каков характер изменений информации;
кто является собственником (владельцем или законным пользователем) скопированной (уничтоженной, модифицированной, блокированной) информации и др.
При расследовании неправомерного доступа к компьютерной информации на первоначальном этапе возникает необходимость допрашивать в качестве свидетелей граждан различных категорий (операторы ЭВМ; программисты; сотрудник, отвечающий за информационную безопасность или администратор; сотрудник, занимающийся техническим обслуживанием; начальник вычислительного центра или руководитель предприятия (организации), для каждой из которых существует свой предмет допроса.
При подготовке, планировании и в ходе проведения допросов подозреваемых, обвиняемых по уголовным делам о компьютерных преступлениях следует учитывать особенности составов данного вида преступлений и, прежде всего, субъективную сторону и криминалистическую характеристику личности предполагаемого преступника. Важной является подготовка к допросу, в процессе которой необходимо постараться хотя бы условно выбрать, к какой группе относится подозреваемый или обвиняемый, и на этом основывать тактику допроса. При первоначальном допросе необходимо, побуждая лицо к деятельному раскаянию, выяснить, какие изменения в работу компьютерных систем были внесены, какие вирусы использовались, если с точки зрения подозреваемого (обвиняемого) возможность быстро устранить или уменьшить вред, причиненный несанкционированным проникновением в систему. Какие сведения и кому передавались.
В начальной стадии допроса выясняются обстоятельства общего характера, интересующие следствие, касающиеся:
навыков и опыта работы с компьютерной техникой и конкретным программным обеспечением;
использования на компьютере по месту работы, правомерного доступа к компьютерной технике и конкретным видам программного обеспечения;
конкретных операций с компьютерной информацией, которые подозреваемый (обвиняемый) выполняет на своем рабочем месте, либо (если не работает) на своем персональном компьютере или компьютерах своих знакомых;
правомерного доступа к сети Интернет и работы в Интернете;
закрепления за ним по месту работы идентификационных кодов и паролей для пользования компьютерной сетью и др.
Немаловажное значение имеет выяснение обстоятельств, предшествовавших совершению преступления:
когда возникло намерение совершить преступление, кто или что повлияло на это решение;
почему выбрал именно данный объект для преступного посягательства (организацию, структуру, где сам работал или стороннее учреждение, предприятие);
каковы мотивы совершения преступления (подавляющее большинство - более 70% - совершаются по корыстным мотивам);
какова цель совершения компьютерного преступления: только ли его совершение, либо компьютерная техника являлась лишь средством, способом совершения иных, традиционных преступлений: хищения, уклонения от уплаты налогов, промышленного шпионажа и т.д. На первоначальных допросах подозреваемые нередко называют «безобидные» цели: любопытство, проверить свои способности и т.п., чтобы смягчить свою вину, либо избежать уголовной ответственности за содеянное. Особенно, когда преступный замысел еще не доведен до конца (скопированная информация еще не продана, приготовленные к хищению деньги еще не получены и т.д.).
Преступления, которые носят серийный, многоэпизодный характер, совершают многократно, обязательно сопровождают действиями по сокрытию. Это обычно высококвалифицированные специалисты, входящие в организованные преступные группы и сообщества, прекрасно оснащенные технически (нередко специальной оперативной техникой).
С учетом имеющихся данных, что преступление совершено группой лиц, в ходе допроса необходимо выяснить:
наличие сговора с другими лицами и кем являются эти лица;
кто инициатор;
время, место и иные детали состоявшейся преступной договоренности;
распределение ролей между участниками преступления;
каковы конкретные действия по подготовке преступления: предварительное изучение объекта преступного посягательства, подтверждение наличия интересующей соучастников информации, принятие мер для нелегального получения идентификационных кодов, паролей для доступа в сеть, открытие лжепредприятий, либо счетов в несуществующих банках, получение кредитных карточек (для перевода похищенных денежных средств и т.д.); и т.д.
Вторжения в компьютерные сети потерпевших организаций извне составляют половину компьютерных преступлений. Поэтому при допросах подозреваемых, обвиняемых очень важно уточнить «технологию» совершенного преступления, получить сведения, какие имеются или могли сохраниться электронные и материальные следы содеянного, где можно обнаружить интересующую следствие информацию.
При неправомерном доступе к компьютерной информации, подозреваемому (обвиняемому) необходимо задать следующие вопросы:
о месте неправомерного проникновения в компьютерную систему (сеть): внутри потерпевшей организации (путем выдачи соответствующих команд с компьютера, на котором находится информация и т.д.) или извне;
о способах проникновения в помещение, где установлена компьютерная техника (если не имел к ней доступа и не работал в данной организации) и осуществления неправомерного доступа и компьютерную систему, сеть;
о приемах преодоления информационной защиты: подбор ключей и паролей (вход в систему, сеть под именем и паролем одного из легальных пользователей, присвоение имени другого пользователя с помощью программы, которая изменяет данные, и пользователь получает другое имя и т.д.); хищение ключей и паролей (визуальным перехватом информации, выводимой на экран дисплея или вводимой с клавиатуры, о паролях, идентификаторам и процедурах доступа; перехват паролей при подключении к каналу во время сеанса связи; электронный перехват в результате электромагнитного излучения; сбор и анализ использованных распечаток документов и других, содержащих сведения о паролях и процедурах доступа и т.д.); отключение средств защиты; разрушение средств защиты; использование несовершенства защиты;
от кого подозреваемый (обвиняемый) получил данные об используемых в потерпевшей организации мерах защиты информации и способах ее преодоления;
какие средства использованы при совершении преступления: технические, программные, носители информации, комбинированные (с использованием двух или трех из указанных выше);
об иных технических уловках и ухищрениях, используемых для неправомерного доступа: считывание информации при подключении к кабелю локальной сети при приеме электромагнитного излучения сетевого адаптера; перехват электромагнитного излучения от дисплеев серверов или рабочих станций локальной сети для считывания и копирования информации; копирование данных с машинных носителей информации, оставленных без присмотра или похищенных из мест их хранения; считывание информации с жестких дисков и гибких дискет (в том числе остатков стертых и временных файлов), магнитных лент при копировании данных с оборудования потерпевшей организации; хищение портативного компьютера, машинных носителей с целью получения доступа к содержащейся в них информации и т.д.;
о способах сокрытия неправомерного доступа (программных, указании ложных данных о лице, совершившем неправомерный доступ;
о количестве фактов незаконного вторжения в информационные базы данных;
об использовании для неправомерного доступа своего служебного, должностного положения и в чем это конкретно выразилось, и т.д.
Анализ уголовных дел показывает, что при расследовании незаконного вмешательства в работу электронно-вычислительных машин (компьютеров), систем и компьютерных сетей в зависимости от того, насколько обвиняемый признает собственную вину, могут складываться следующие следственные ситуации:
. Обвиняемый признает собственную вину и дает развернутые правдивые свидетельские показания.
. Обвиняемый частично признает собственную вину, но отрицает участие в основных эпизодах преступной деятельности.
. Обвиняемый признает собственную вину, но не установлены все эпизоды преступной деятельности.
. Обвиняемые (при совершении преступления группой лиц по предварительному сговору либо организованной группой) отрицают свою причастность к преступлению, дают противоречивые свидетельские показания.
. Обвиняемый признает собственную вину, но не называет соучастников преступления.
Для успешного проведения допроса обвиняемого следователю необходимо тщательно изучить все материалы дела, особенности личности обвиняемого, способы совершения преступления, доказательства, указывающие на виновность конкретного лица и т.д. На момент привлечения лица в качестве обвиняемого следствие должно иметь все категории доказательств. Первой из них предусматривается доказательство обстоятельств, свидетельствующих о том, что расследуемое происшествие (деяние) имело место; следующей - что данное деяние совершено лицом, которое привлекается к уголовной ответственности, и оно соответствует составу преступления, предусмотренного ст.290 УК Кыргызстана. В целом следует отметить, что правдивые свидетельские показания обвиняемые дают в тех случаях, если уверены, что следствием установлен круг фактических данных.
Конкретный способ несанкционированного доступа к информации можно установить путем допроса свидетелей из числа лиц, обслуживающих компьютерную систему, и ее разработчиков. При этом следует учитывать выявленную следовую картину. У них необходимо выяснить как преступник мог проникнуть в защищенную систему, например узнать идентификационный номер законного пользователя, код, пароль для доступа, получить сведения о других средствах защиты системы или сети ЭВМ
Заключение
Оценивая современное состояние уголовной и криминалистической теории и учитывая потребности оперативно-следственной практики, надо признать, что в целом проблемы уголовно-правовой характеристики, совершенствования практики раскрытия, расследования и предупреждения компьютерных преступлений изучены явно недостаточно.
Необходимость всестороннего исследования обозначенных проблем диктуется как потребностью следственной практики, так и задачами дальнейшего совершенствования как уголовно-правовой, так и криминалистической теории, усиления их влияния на результативность борьбы с компьютерной преступностью.
Компьютеризация неизбежна. Но надо помнить, что принесет она не только благо. Мы еще не можем в полной мере оценить опасность, какую несут с собой наши "электронные братья по разуму", а потому стоит прислушаться к опытному в этих делах человеку. Директор ЦРУ Джон Дейч недавно сравнил электронную угрозу с ядерной, химической и бактериологической опасностью. Соединенные в единую сеть компьютеры становятся уязвимыми для разного рода хулиганов, террористов, преступников, а кроме того, дают возможность проведения электронных диверсий и войн.
Анализируя материал данной дипломной работы можно сделать вывод о необходимости внесения значительного массива дополнений и изменений в действующее законодательство Кыргызской Республики. Кроме того, требуется издание новых законов вносящих правовое регулирование в информационные отношения, обусловленные распространением на территории Кыргызстана глобальной сети Интернет.
Так же необходимо осуществить следующие организационные и правовые меры:
по подбору в подразделения, занимающиеся расследованием преступлений в сфере компьютерной информации только специалистов имеющих исчерпывающие знания в данной области и дальнейшее постоянное и динамичное повышение их квалификации;
закрепить, в рамках подведомственности, дела о компьютерных преступления только за этими подразделениями;
разработать научные методики, программные средства и технические устройства для получения и закрепления доказательств совершения компьютерного преступления и т.д.
БИБЛИОГРАФИЯ
1.Конституция Кыргызской Республики. Бишкек 2011г.
.Уголовно-процессуальный кодекс Кыргызской Республики. Бишкек 2011г.
.Уголовный Кодекс Кыргызской Республики. Бишкек 2011г.
.Закон Кыргызской Республики «Об органах внутренних дел Кыргызской Республики» от 11.01.1994г.
.Закон Кыргызской Республики «Об оперативно-розыскной деятельности», 1998г.
.Приказ МВД КР № 147 от 11.02.2011г. «Инструкция по организации формирования, ведения и использования экспертно-криминалистических учетов и коллекций ОВД КР».
.Приказ МВД КР № 410 от 06.08.2007г. «Положение об Экспертно-криминалистическом Центре МВД КР».
.Приказ № 300 от 30.03.2011 г. «Об организации следственной работы в ОВД КР».
.Касымов Т., Фараджиев М., Фирсов О. Учебно-практическое пособие «Работа со следами в ходе следственных действий». Бишкек 2004г.
.Исаева К.А., Конулькулов Э.Э., Сарчаев К.Н., Криминалистика. Новый цикл лекций по курсу « Криминалистика». Б.,2001 г.
.Исаева К.А. Криминалистика. Курс лекций для слушателей юридических вузов и факультетов. Б., 2001 г.
.Исаева К.А., Джумалиев Б.И. Криминалистика. Б., 2001 г.
.Исаева К.А., Гольев А.Г., Адилов А.Н. Криминалистика (курс лекций). Б.,2001 г.
14.Исаева К.А.Криминалистика. Учебное пособие в схемах (часть 1
.Айламазян А.К., Стась Е.В. Информатика и теория развития. М.: Наука, 1989.
.Батурин Ю.М. Проблемы компьютерного права. М.: Юрид. лит., 1991.
.Батурин Ю.М., Жодзишский А.М. Компьютерные преступления и компьютерная безопасность. М.: Юрид. лит., 1991.
.Вехов Б.В. Компьютерные преступления: способы совершения, методика расследования. М.: Право и Закон, 1996.
.Гудков П.Б. Компьютерные преступления в сфере экономики. М.: МИ МВД России, 1995.
.Гульбин Ю. Преступления в сфере компьютерной информации.// Российская юстиция № 10, 1997. С.24-25.
.Крупенина Я. Хакеру закон не писан. //Материалы Национальной службы новостей, 1997.
.Ляпунов Ю, Максимов В. Ответственность за компьютерные преступления.//Законность №1, 1997. С .8-15.
.Рачук Т. Компьютерные преступления - новое в уголовном законодательстве России.// Материалы Национальной службы новостей, 1997.
.Храмов Ю., Наумов В. Компьютерная информация на предварительном расследовании. М.: СПАС, 1998.
.Яблоков Н.П., Колдин В.Я. Криминалистика: Учебник. М.: МГУ, 1990.
26.Богомолов М.В. Уголовная ответственность за неправомерный доступ к охраняемой законом компьютерной информации <#"justify">33.Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы. - СПб.: Питер, 2006.
34.Полещук О.В., Шаповалова Г.М. Криминалистическое исследование следов при расследовании компьютерных преступлений. - Владивосток, 2006.
.Скуратов Ю.И., Лебедев В.М. Комментарий к УК РФ. - М., 2001.
36.Федотов Н.Н. Приемлемые и неприемлемые средства и методы исследования компьютерной информации <#"justify">37.Федотов Н.Н. Форензика - компьютерная криминалистика. - М.: Юридический мир, 2007.
38.Филиппов А.Г. Тактика допроса и очной ставки: Криминалистика / Под ред. А.Г. Филиппова, А.Ф. Волынского. - М., 1998.
39.Фурсов В.А., Агеева Н.П., Некоторые рекомендации по осмотру, фиксации и изъятию средств компьютерной техники. // Великотский Е.В. Сборник научных трудов юридического факультета СевКав ГТУ, 2005.
.Шурухнов Н.Г. Расследование неправомерного доступа к компьютерной информации: Учебное пособие. - М.: Московский университет МВД, 2004.
.Яблоков Н.П. Криминалистика. 3-е издание, переработанное и дополненное. - М.: Юристъ, 2005.
.Иванова И.Г. Выявление и расследование неправомерного доступа к компьютерной информации: Автореф. дисс. … канд. юрид. наук. - Барнаул, 2007.
.Поляков В.В. Особенности расследования неправомерного удаленного доступа к компьютерной информации: Автореф. дисс. … канд. юрид. наук. - Омск, 2008.
.Гавло В.К., Поляков В.В. Некоторые особенности расследования преступлений, связанных с неправомерным доступом к компьютерной информации // Известия АГУ. - 2006. - № 2. - С. 44-48.
.Гаврилов М., Иванов А. Следственный осмотр при расследовании преступлений в сфере компьютерной информации // Законность. - 2001. - № 4. - С. 11-14.
.Егорышев А.С. Криминалистические особенности обстановки неправомерного доступа к компьютерной информации // Актуальные проблемы криминалистики на современном этапе. Часть 2. Сборник научных статей / Под редакцией З.Д. Еникеева. - Уфа: РИО БашГУ, 2003. - С. 37 - 41.
.Комиссаров В., Гаврилов М., Иванов А. Обыск с извлечением компьютерной информации // Законность. - 1999. - № 3. - С. 12-13.
.Копырюлин А. Квалификация преступлений в сфере компьютерной информации // Законность. - 2007. - № 6. - С. 40-41.
49.Лопатина Т.М. Отдельные вопросы характеристики уголовно-правовых признаков субъекта преступлений в сфере компьютерной информации // Российский судья. - 2006. - № 1. - С. 24-25.
50.Мещеряков В.А. Механизм следообразования при совершении преступлений в сфере компьютерной информации // Известия Тульского государственного университета. Вып. 3. - Тула, 2000. - С. 170-172.
.Митрохина Е. Информационные технологии, Интернет, интернет-зависимость // Наука, политика, предпринимательство. - 2004. - № 1. - С. 83.
52.Нехорошева О. Изъятие компьютерной техники и информации // Законность. - 2004. - № 8. - С. 15-18.
.Никонов В., Панасюк А. Нетрадиционные способы собирания и закрепления доказательств // Законность. - 2001. - №4. - С. 19-24.
.Осипенко А. Уголовная ответственность за неправомерный доступ к конфиденциальной компьютерной информации // Уголовное право. - 2007. - № 3. - С. 43.
.Подольный Н.А., Ширманов А.Г. Некоторые особенности выявления, раскрытия и расследования компьютерных преступлений // Российский следователь. - 2004. - № 1. - С. 11.
56.Середа С.А., Федотов Н.Н. Расширительное толкование терминов «вредоносная программа» и «неправомерный доступ» <../Глава%201/Середа С.А.,%20Федотов Н.Н.%20Расширительное%20толкование%20терминов> // Закон. - 2007. - № 7
.Хилюта В. Можно ли похитить информацию? // Законность. -2008. - № 5. - С. 48.
Больше работ по теме:
Диплом
Конкурентоспособность региона: критерии, оценки, механизмы обеспечения (на примере Министерства сельского хозяйства и продовольствия Республики Хакасия)
Диплом
Конституции и уставы субъектов Российской Федерации
Диплом
Право собственности
Диплом
Право собственности на жилое помещение
Диплом
Предмет: Основы права
Тип работы: Диплом
Новости образования
22 Июля 2016 16:26
Более 70 представителей крупных вузов АСЕАН подтвердили участие в форуме во Владивостоке
22 Июля 2016 12:51
Абызов: публикация первичных статсведений снизит бюрократическую нагрузку на школы
22 Июля 2016 11:53
В Чечне свыше 200 школьников сдали ЕГЭ с результатом свыше 90 баллов - министр
22 Июля 2016 05:36
Замглавы Минобрнауки РФ: задача сократить число людей с высшим образованием не стоит
21 Июля 2016 20:19
КОНТАКТНЫЙ EMAIL: [email protected]
Скачать реферат © 2017 | Пользовательское соглашение
ПРОФЕССИОНАЛЬНАЯ ПОМОЩЬ СТУДЕНТАМ