Проведення окремих слідчих (розшукових) дій
Огляд місця події. Обов’язковими підготовчими заходами, що проводяться до виїзду на місце проведення огляду місця події є:
— з’ясування у поінформованої особи відомостей про подію (де, коли, за якими ознаками стало відомо про вже вчинений комп’ютерний злочин або який вчиняється в даний час, хто виявив ці ознаки, хто повідомив про подію);
— інформування про подію і виклик співробітників відповідних зацікавлених служб (наприклад, СБУ);
— вжиття заходів щодо збереження обстановки, цілісності комп’ютерної системи, запобігання спробам проникнення до приміщень, що підлягають огляду (відмова від допомоги осіб зі співробітників постра- ждалої організації, блокування й охорона приміщень тощо);
— запрошення до участі в огляді спеціалістів, бажано із сторонньої організації, спеціаліста та понятих.
Зважаючи на швидкоплинність таких злочинів і складність їх виявлення та розслідування, бажано мати заздалегідь складений список спеціалістів, які можуть надати слідству реальну допомогу;— підготовка науково-технічних засобів. З метою оперативного огляду машинних носіїв інформації, до складу науково-технічних засо-
бів необхідно включати й портативні комп’ютери. Сучасні технічні засоби дають можливість проведення відеозапису і фотографування, одночасно перетворюючи їх у цифрову (комп’ютерну) форму, при цьому якість зображення та його збереження залишаються постійними, тобто, не старіють навіть від багатократного копіювання. Отже, спеціально підібране програмне забезпечення також є невід’ємною частиною науково-технічних засобів, необхідних для проведення огляду.
Після прибуття на місце події проводяться:
— перевірка ефективності блокування й охорони приміщень, вилучення всіх сторонніх осіб;
— з’ясування кількості приміщень з комп’ютерною технікою, розташування і розподіл її в різних приміщеннях;
— опитування осіб, які виявили наслідки комп’ютерного злочину, або співробітників служби комп’ютерної безпеки (якщо такі є);
— планування огляду (визначення послідовності і порядку власних дій і дій учасників огляду).
Огляд комп’ютерної техніки необхідно розпочинати з пошуку слідів пальців рук на клавіатурі, ручному маніпуляторі (мишці), комп’ютерних пристроях, кнопках системного блоку «reset»i «power».
Виконавши це, треба обов’язково зафіксувати у протоколі огляду стан комп’ютерної техніки та периферійного устаткування (ввімкнене або вимкнуте); вказати операційну систему, яка встановлена на комп’ютерах.
Під час огляду місця події необхідно за участю спеціаліста:
— вивчити журнали системних подій, файли обліку доступу в комп’ютерну систему, файли паролів, списки доступу маршрутизатора, журнали систем виявлення вторгнень, журнали web- серверів, DNS- серверів, поштових серверів, серверів баз даних, xDSL- модемів;
— виключити або максимально знизити можливість зміни досліджуваної системи;
— максимально задокументувати всі дії кіберзлочинця шляхом створення файлів-доказів, виявлення всіх встановлених програмних засобів, а також створити файл із контрольними сумами всіх виявлених та створених речових доказів;
— записати всі створені файли-докази, виявлені програмні засоби та файл з контрольними сумами виключно на носій з можливістю однократного запису (CD-R, DVD-R);
— упакувати носій з файлами-доказами з дотриманням правил.
Допит свідків. У ході підготовки до допиту слідчий може вдатися
до допомоги спеціаліста в галузі комп’ютерної техніки, пояснення і вказівки якого сприятимуть правильному розумінню суті розслідуваного злочину, точнішому визначенню кола обставин, що підлягають доказуванню.
При підготовці до допиту необхідно:
— з’ясувати специфіку злочину, особливо, питання, що стосуються технічних аспектів підготовки й реалізації злочинних замислів;
— визначити обставини, які потребують уточнення. Такими можуть бути: відомості про потерпілу сторону, технічні та конструктивні особливості комп’ютерної системи, що піддавалася впливу, засоби комп’ютерної техніки, що використовувалися злочинцем і т.д.;
— сформулювати найскладніші запитання;
— підготувати доказові або інші матеріалі для демонстрації при допиті в разі необхідності, забезпечивши при цьому необхідний рівень їх збереження;
— особливу увагу звернути на підготовку науково-технічних засобів фіксації ходу слідчої (розшукової) дії.
Під час допиту свідків кожного разу необхідно з’ясувати:
— чи не цікавився хто-небудь комп’ютерною інформацією, програмним забезпеченням, комп’ютерною технікою даного підприємства, організації, закладу, фірми або компанії;
— чи з’являлися в приміщенні, де розміщена комп’ютерна інформація, сторонні особи, чи не зафіксовані випадки роботи співробітників з інформацією, що не належить до їх компетенції;
— чи не було збоїв у роботі програм, викрадень носіїв інформації і окремих комп’ютерних пристроїв;
— чи зафіксовані збої в роботі комп’ютерного обладнання, електронних мереж, засобів захисту комп’ютерної інформації;
— хто із співробітників працював позаурочно, хто цікавився інформацією, що не стосується їх безпосередньої діяльності;
— чи зафіксовані останнім часом випадки спрацювання засобів захисту комп’ютерної інформації;
— як часто перевіряються програми на наявність вірусів, які результати останніх перевірок;
— як часто оновлюється програмне забезпечення, яким чином його придбали;
— яким чином купується комп’ютерна техніка, як здійснюється її ремонт і модернізація;
— яким чином на підприємстві, в організації, закладі або фірмі здійснюється робота з інформацією, як вона надходить, обробляється і передається каналами зв’язку;
— хто ще є абонентом комп’ютерної мережі, до якої підключені комп’ютери даного підприємства, організації, закладу або фірми, яким чином здійснюється доступ до мережі, хто з користувачів має право на роботу в мережі, повноваження цих користувачів щодо роботи з інформацією;
— як здійснюється захист комп’ютерної інформації, які засоби і методи захисту застосовуються та ін.
Обшук. У процесі підготовки до обшуку необхідно:
— з’ясувати, яка обчислювальна техніка є в приміщенні, де буде проводитися обшук, та її кількість;
— встановити, чи використовується в комплекті з обчислювальною технікою пристрій автономного або безперебійного живлення, і до яких наслідків може призвести вимкнення електроенергії;
— запросити спеціаліста з комп’ютерних систем, оскільки його знання будуть необхідними під час підготовки до обшуку, а також для оперативного аналізу інформації і кваліфікованого її вилучення з комп’ютера;
— підготувати відповідну комп’ютерну техніку, яка буде використовуватися для зчитування і зберігання вилученої інформації;
— вивчити особу власника комп’ютера, з’ясувати його професійні навички з володіння комп’ютерною технікою;
— визначити час обшуку і заходи, які забезпечують його конфіденційність;
— спрогнозувати характер інформації, яка, можливо, знаходиться в комп’ютері, її роль у швидкому й результативному обшукові, визначити, яку комп’ютерну інформацію необхідно вивчити на місці, а яку вилучити для подальшого дослідження.
Під час обшуку необхідно, в першу чергу, організувати охорону комп’ютерів. Не можна допускати до них будь-кого з присутніх у приміщенні. Варто знати, що зміну або знищення інформації може спричинити не лише робота з клавіатурою, але й увімкнення чи вимикання комп’ютера. Тому, якщо на момент проникнення до приміщення комп’ютер був увімкнений, він має залишатися увімкненим до обстеження його спеціалістом. Всю роботу на ЕОМ має виконувати запрошений спеціаліст.
Під час огляду комп’ютерної техніки, необхідно:
1) з’ясувати, чи сполучені комп’ютери, які знаходяться в приміщенні, у локальну обчислювальну мережу;
2) встановити, чи сполучений комп’ютер з обладнанням або обчислювальною технікою за межами приміщення, що обшукується;
3) з’ясувати, чи підключений комп’ютер до модему;
4) визначити, чи запущені програми на ЕОМ і які саме. Для цього необхідно вивчити зображення на екрані, якомога детальніше описати його в протоколі. У разі встановлення, що на момент проведення слідчої (розшукової) дії на комп’ютері запущені будь-які програми, спеціалісту необхідно вжити заходів до зупинення їх роботи;
5) встановити, чи не міститься в комп’ютері інформація, яка може сприяти розслідуванню. Кваліфіковано з’ясувати це може тільки спеціаліст шляхом огляду інформації, яка зберігається на жорсткому диску.
Обшук при розслідуванні комп’ютерних злочинів вимагає високої кваліфікації не лише спеціаліста з комп’ютерних систем, а й усієї слід-
223
чо-оперативної групи. Крім спеціальних дій з комп’ютером, під час такого обшуку потрібно чітко організувати пошукові заходи, спрямовані на виявлення тайників, в яких можуть знаходитися звичайні документи і предмети. Таким тайником може бути й системний блок комп’ютера. Він має деякі особливості будови, що роблять його зручним для організації сховищ. По-перше, всередині системного блоку дуже багато вільного місця. По-друге, завдяки модульній побудові системний блок комп’ютера дуже зручний і швидкий у розбиранні-складанні, яке здійснюється, як правило, без яких-небудь додаткових пристроїв.
Це сприяє зручному доступу до вузлів комп’ютера, не залишаючи слідів. По- третє, всередині комп’ютера використовуються електронні схеми з малою напругою, що не загрожує життю людини. Це дає можливість розкрити корпус, не відключаючи його від мережі живлення. По-четверте, материнська плата, кріпиться затискувачами до стіни корпусу, між якими залишається досить великий зазор, дуже зручний для зберігання документів. Для спеціаліста доступ до подібного тайника є нескладним.Більшу частину інформації, що зберігається і обробляється комп’ютером, завжди можна скопіювати на переносні носії інформації — лазерні диски, флеш-карти тощо. Носії інформації можуть бути вилучені і приєднані до матеріалів кримінального провадження як речові докази.
У зв’язку з неможливістю швидко проаналізувати великий обсяг інформації на комп’ютері, її необхідно вилучити для подальшого дослідження. Переписати інформацію можна на жорсткий диск персонального комп’ютера оперативно-слідчої групи. Якщо в розпорядженні оперативно-слідчої групи немає переносного персонального комп’ютера, досить вилучити жорсткий диск з виявленого комп’ютера або весь системний блок комп’ютера.
Допит підозрюваного. При допиті особи в як підозрюваного в кожному конкретному випадку необхідно отримати відповіді, як мінімум, на наступні запитання:
1. Де й ким (на якій посаді) працює підозрюваний?
2. До якої комп’ютерної інформації він має доступ? Які операції з інформацією має право проводити? Якою є категорія його доступу до інформації?
3. Чи вміє підозрюваний працювати на комп’ютері? Рівень його кваліфікації?
4. Які ідентифікаційні коди й паролі за ним закріплені (в тому числі при роботі в комп’ютерній мережі)?
5. До яких видів програмного забезпечення підозрюваний має доступ?
6. З якого джерела або від кого конкретно підозрюваний дізнався про зміст інформації, до якої вчинив незаконний доступ?
7. Як підозрюваному вдалося проникнути до комп’ютерної системи (мережі)?
8. Звідки підозрюваний дізнався пароль (код) доступу до інформації?
9.
Чи має він обмеження на допуск до приміщення, де встановлена комп’ютерна техніка і які саме?10. Чи ознайомлений він з порядком роботи з інформацією, інструкціями про порядок проведення робіт?
11. Чи не надходили підозрюваному пропозиції від сторонніх осіб про передачу якої-небудь комп’ютерної інформації, програмного забезпечення?
Проведенныя експертиз. На вирішення технічної експертизи комп’ютерної техніки виносяться наступні запитання:
1. Яка модель комп’ютера представлена на дослідження, які його технічні характеристики, параметри периферійних пристроїв?
2. Чи справна представлена комп’ютерна техніка? Чи можлива її експлуатація? Якщо ні, то з яких причин?
3. Чи відповідає представлена документація даним технічним пристроям і периферійному обладнанню?
4. Які умови складання комп’ютера і його комплектуючих: фірмове збирання, збирання з комплектуючих на іншій фірмі або кустарне збирання?
5. Чи мають місце несправності окремих пристроїв комп’ютера?
6. Чи не проводилась адаптація комп’ютера для роботи специфічних користувачів (лівша, людина з дефектом зору і ін.)?
При проведенні експертизи даних і програмного забезпечення можуть вирішуватися наступні задачі:
1. Який тип операційної системи використовується в комп’ютері? Яка її версія?
2. Які програмні продукти експлуатуються на даному комп’ютері? Чи є вони ліцензійними, або «піратськими» копіями, або власними оригінальними розробками? Коли проводилася інсталяція (встановлення) даних програм?
3. Яке призначення програмних продуктів? Для вирішення яких прикладних задач вони призначені? Які способи введення і виведення інформації використовуються? Чи відповідають результати виконання програм потрібним діям?
4. Які програмні методи захисту інформації (паролі, ідентифікаційні коди, програми захисту і т.д.) використовуються?
5. Чи були спроби підбирання паролів або інші спроби незаконного втручання в роботу електронно-обчислювальних машин (комп’ютерів), систем і комп’ютерних мереж?
6. Яка інформація міститься в прихованих файлах?
7. Чи є на представленому магнітному носієві стерті (знищені) файли? Якщо так, то які їх імена, розміри і дати створення, давність знищення?
225
8. Чи можливе відновлення раніше знищених файлів і який їх зміст?
9. Чи змінювався зміст файлів (вказати, яких саме), якщо так, то в чому він виявився?
10. У якому вигляді зберігається інформація про результати роботи антивірусних програм, програм перевірки контрольних сум файлів? Який зміст даної інформації?
Список використаної та рекомендованої літератури
1. БіленчукП.Д. Криміналістична тактика і методика розслідування окремих видів злочинів : Навч. посіб. для студ. ВНЗ. / П.Д. Біленчук, А.П. Гель, Г.С. Семаков. — К : МАУП, 2θ07. — 510 с.
2. Виявлення та розслідування злочинів, що вчиняються у сфері інформаційних технологій : Наук.-практ. посіб. / Романюк Б.В., Гав- ловський В.Д., Гуцалюк М.В., Бутузов В.М. — К. : Видавець Паливода А.В., 2О04. — 144 с.
3. Голубев В.О. Розслідування комп’ютерних злочинів / В.О. Голубев ; Гуманітарний ун-т «Запорізький ін-т держ. та муніципального управління». — Запоріжжя : ЗІДМУ, 2003. — 296 с.
4. Документування злочинів у сфері використання електронно- обчислювальних машин (комп’ютерів), систем та комп’ютерних мереж і мереж електрозв’язку при проведенні дослідної перевірки : Наук.-практ. посіб. // РНБО України. МВС України ; В.М. Бутузов, В.Д. Гавловський. Л.П. Скалозуб та ін.. — К., 2010. — 196 с.
5. Комп’ютерний тероризм: практика запобігання, протидії, розслідування: кримінолого-криміналістичний аналіз та правові, управлінські і тактико-технологічні засади запобігання, протидії, розслідування комп’ютерних терористичних актів : Навч. посібник / БіленчукП.Д., Кравчук В.В., Кравчук О.В., Кулик В.М. ; П.Д. Біленчук (заг. ред.). — Хмельницький : Хм. ЦНТЕІ, 2008. — 258 с.
6. Криміналістика: Криміналістична тактика і методика розслідування злочинів : Підручник для студ. юрид. вузів і фак. / Коновалова В.О., Матусовський Г.А., Шепітько В.Ю., ГлібкоВ.М., Дудні- ков А.Л. — X. : Право, 1998. — 375 с.
7. Настільна книга слідчого : [науково-практичне видання для слідчих та дізнавачів] / [М.І. Панов, В.Ю. Шепітько, В.О. Коновалова та ін.]. — [2-ге видання, перероб. і доп.]. — К. : Вид. Дім «Ін Юре», 2008. — 728 с.
8. Паламарчук Л.П. Розслідування злочинів у сфері використання комп’ютерних технологій / Л.П. Паламарчук. — К., 2007. — 144 с.
9. Салтевський М.В. Основи методики розслідування злочинів, скоєних з використанням ЕОМ : Навч. посіб./ М.В. Салтевський. — X., 2000. — 35 с.
10. Щербаковський М.Г. Розслідування комп’ютерних злочинів : Навч. посіб. / М.Г. Щербаковський, Д.В. Пашнєв. — X. : Харк. нац. ун-т внутр. справ, 2010. — 112 с.
Еще по теме Проведення окремих слідчих (розшукових) дій:
- Проведення окремих слідчих (розшукових) дій
- Проведення окремих слідчих (розшукових) дій
- Проведення окремих слідчих (розшукових) дій
- Проведення окремих слідчих (розшукових) дій
- Проведення окремих слідчих (розшукових) дій
- Проведення окремих слідчих (розшукових) дій
- Проведення окремих слідчих (розшукових) дій
- Проведення окремих слідчих (розшукових) дій
- Проведення окремих слідчих (розшукових) дій
- Проведення окремих слідчих (розшукових) дій
- Проведення окремих слідчих (розшукових) дій
- Проведення окремих слідчих (розшукових) дій
- Проведення окремих слідчих (розшукових) дій
- Планування й проведення окремих слідчих (розшукових) та інших дій, спрямованих на швидке розкриття злочину
- Рекомендації щодо проведення слідчих дій на подальших етапах
- § 3. Застосування фотографії при проведенні окремих слідчих дій та в процесі виконання криміналістичних експертиз
- Протоколи про проведення окремих процесуальних дій
- Фотозйомка при проведенні слідчих дій
- Використання відеозапису при проведенні слідчих дій