<<
>>

§2. Особенности производства отдельных следственных действий по делам о преступлениях в сфере компьютерной информации

2.1. Обыск к выемка компьютерных объектов. Говоря о специфике производства обыска по делам о преступлениях в сфере компьютерной информации, необходимо в первую очередь остановиться на целях его проведения.

Так, целями проведения обыска при расследовании преступлений в сфере компьютерной информации являются обнаружение и изъятие (в случае необходимости и возможности его осуществления) материальных объектов, способных по своим физико-техническим свойствам содержать информацию, имеющую отношение к расследуемому преступлению. К таким объектам могут быть отнесены:
  • вычислительные комплексы и их компоненты (персональные компьютеры, модемы, принтеры т.п.);
  • различного рода носители информации, представленной в виде, пригодном для автоматизиро

    ванной обработки (магнитные, магнитно-оптические, оптические диски, бумажные перфоленты

    и перфокарты и т.п.);

  • линии коммуникаций объектов вычислительной техники, понимаемые в широком смысле дан

    ного понятия, т.е. как наличие и размещение устройства передачи информации, среды распро

    странения (передачи) и устройства приема информации;

вспомогательные системы, обеспечивающие нормальное функционирование автоматизированных информационных систем (линии электропитания, заземления и т.п.).

Существенной особенностью обыска при расследовании преступлений в сфере компьютерной информации является то, что следователь, проводящий данное следственное действие, как правило, не может оценить на месте значение обнаруживаемой информации, т.к., во-первых, он сталкивается с огромными ее объемами и, во-вторых, она представлена в специальном виде и для ее восприятия необходимы определенные специальные познания, а иногда специальные аппаратные и программные средства.

В связи с этим, как показала практика, наиболее целесообразным действием следователя при проведении обыска является изъятие всех обнаруженных носителей информации в машинном виде (магнитных дискет, лазерных компакт-дисков, магнитных лент и винчестеров из системных блоков компьютеров).

Особое внимание необходимо обратить на способы изъятия винчестеров. В настоящее время в специальной литературе встречается много рекомендаций изымать не весь компьютер целиком, а лишь его жесткие магнитные диски как основное хранилище всей обрабатываемой на компьютере информации. У такой рекомендации, наряду с очевидными положительными сторонами, есть и негативные моменты.

Положительной стороной изъятия одного винчестера (вместо всего компьютера или же системного блока), несомненно, являются его малые размеры, что весьма удобно при его транспортировке от места проведения обыска и при хранении у следователя. Однако эти удобства оборачиваются большими проблемами при проведении осмотра отдельного винчестера на рабочем месте следователя. Учитывая невысокую обеспеченность средствами вычислительной техники органов внутренних дел (как правило, устаревшими моделями на основе Pentium I и даже 80486 или 80386 процессоров), весьма непросто найти компьютер, к которому можно было бы легко подключить винчестер большой емкости. В этой ситуации у следователя возникает два пути: либо отправить все изъятое на экспертизу, либо самостоятельно экспериментировать с вариантами подключения винчестеров с помощью штатного специалиста, имеющегося в данном правоохранительном органе.

Вариант с отправкой всего изъятого на компьютерно-техническую экспертизу в ряде случаев вообще нереален из-за того, что в ряде регионов таких экспертиз не делают вообще. Более того, поручение проведения экспертизы большого объема информации на магнитных носителях приводит к резкому увеличению сроков ее завершения. Самостоятельное подключение, как правило, приводит к использованию нестандартных режимов включения винчестеров, в результате чего может быть уничтожена часть информации, либо часть информации останется недоступной для просмотра стандартными средствами (например, не будут видны последние логические диски на винчестере или логические диски, использующие другие файловые системы и т.п.).

808

Глава 49.

Расследование преступлений в сфере компьютерной информации

Ряд следователей, столкнувшихся в своей практике с такими проблемами, изымают уже не отдельные винчестеры, а целые системные блоки, т.к. в этом случае они будут гарантированно защищены от проблем, связанных с взаимодействием материнской платы и винчестера, а также получат весь спектр устройств чтения внешних носителей информации, используемых лицом, у которого проводился обыск (дисководы, устройства чтения магнито-оптических дисков, лазерных компакт-дисков и т.п.). Такой подход, кроме указанных плюсов, также имеет определенные недостатки. Во-первых, остаются проблемы, связанные с необходимостью настройки необходимого для просмотра оборудования — монитора, клавиатуры и даже мыши (особенно в операционных системах, использующих механизм-«Plug and Play»). Во-вторых, наличие «практически целого комплекта» компьютера в руках следователя подталкивает его к просмотру содержимого винчестеров с использованием этого же системного блока (особенно в условиях дефицита вычислительной техники в правоохранительных органах), т.е. под управлением операционной системы, установленной на этом же изъятом и просматриваемом винчестере и с использованием установленного здесь же программного обеспечения. Это, на наш взгляд, недопустимо по целому ряду причин.

Во-первых, при запуске операционной системы и другого программного обеспечения с исследуемого винчестера на нем же создаются временные файлы, которые размещаются в местах стертой ранее информации. И если перед проведением обыска кто-либо стер компрометирующую его информацию с использованием стандартных средств (а использование специализированных средств, гарантированно уничтожающих информацию, требует значительно большего времени, которого у обыскиваемых лиц нет), то после простого запуска операционной системы и стандартного набора программ восстановить стертые ранее файлы доступными средствами будет уже невозможно и они будут утеряны для следствия.

Во-вторых, большинство операционных систем (например, Windows NT), да и стандартных прикладных программ (например, MS Word или MS Excel) используют парольную защиту от входа постороннего лица, и система может быть настроена так, что при неполучении заданного пароля она самостоятельно уничтожит критическую информацию.

Некоторые следователи, сталкиваясь с подобной ситуацией, принимают решение изымать полный комплект вычислительной техники, включая принтеры вплоть до коврика для мыши.

Учитывая изложенное, можно сформулировать следующие рекомендации относительно изымаемого в ходе обыска комплекта оборудования:

  • следует изъять все магнитные носители информации (магнитные, магнитооптические, оптиче

    ские), в том числе и видеокассеты, если есть информация об использовании бытового видеомаг

    нитофона в качестве стриммера (такой информацией может быть, например, наличие в составе

    компьютера специализированной платы, наличие кабеля со специфическим разъемом и т.п.);

  • следует изъять все жесткие магнитные диски (винчестеры), при этом совместно с участвующим

    в обыске специалистом определить состав оборудования, необходимого для корректного вклкgt;

    чения изъятого диска на рабочем месте следователя или эксперта;

  • не следует изымать малозначимые элементы вычислительной системы и акссесуары (стандарт

    ную клавиатуру, мышь, кассетницы для дискет, коврик для мыши и т.п.).

Теперь рассмотрим основные приемы проведения обыска при расследовании преступлений в сфере компьютерной информации. При этом сразу необходимо отметить, что все основные тактические рекомендации, выработанные криминалистами, являются абсолютно справедливыми для таких «традиционных» объектов обыска, как предметы (не являющиеся носителями или источниками информации в виде, пригодном для автоматизированной обработки), и документы, и мы будем лишь рассматривать рекомендации, обусловленные спецификой преступлений в сфере компьютерной информации.

Для участия в производстве обыска следователю целесообразно пригласить соответствующего специалиста. Особенности расследования преступления в сфере компьютерной информации делают участие специалиста в проведении данного следственного действия особенно актуальным. В частности, если в осматриваемом компьютере установлен пароль на доступ в операционную систему или на загрузку и лицо, у которого производится обыск, отказалось его сообщить следователю, то без привлечения специалиста обойти данное препятствие не представляется возможным.

В случае, когда изъятие средств вычислительной техники по каким-либо причинам невозможно, а обыскиваемый или лицо, присутствующее при обыске, отказывается добровольно предоставить доступ в автоматизированную информационную систему, может быть использован тактический прием, основанный на реальной угрозе изъятия всех имеющих отношение к предмету обыска.

Например, оборудование локальной вычислительной сети фирмы провайдера, предоставляющей услуги доступа в Интернет, представляет достаточно сложную систему, состоящую, как правило, из нескольких десятков модемных пулов, локальной вычислительной сети с десятком компь-

809

Глава 49. Расследование преступлений в сфере компьютерной информации

ютеров и нескольких серверов на компьютерах повышенной мощности. При этом модемные пулы размещаются в специальных шкафах-стойках, имеющих внушительные размеры, установленные на своих местах серверы и компьютеры соединены линиями связи (коаксиальным кабелем, витой парой или оптоволокном), которые уложены в магистрали и размещены под фальш-потолком, фальшполом или в специальных пластиковых коробах. Размеры дисковой памяти, используемой в работе такой фирмы, достаточно трудно оценить даже приблизительно, но сказать, что они будут достаточно велики, можно с определенностью.

В представленных условиях принудительное проведение обыска в условиях отказа в добровольном предоставлении доступа к интересующим следователя сведениям и информации обречено на провал, т.к. для того чтобы просто просмотреть всю имеющуюся компьютерную информацию, зачастую не хватит всего установленного законом времени на предварительное следствие. Как показала практика, наиболее рациональным в данном случае оказывается демонстрация реальности намерений в изъятии всей имеющейся вычислительной техники и направлении ее на компьютерно-техническую экспертизу.

Если же точно известно, где и у кого хранятся искомые средства вычислительной техники, магнитные носители информации и другие предметы, имеющие значение для уголовного дела, их изъятие осуществляется посредством производства выемки. До начала ее проведения следователь предлагает выдать названные предметы, а в случае отказа производит выемку принудительно.

2.2. Осмотр отдельных видов компьютерных объектов. Осмотр отдельных видов компьютерных объектов (вычислительной техники), как правило, включает в себя несколько последовательных этапов:

  1. Осмотр непосредственно средства вычислительной техники как материального объекта (без

    подключения электропитания).

  1. Осмотр конфигурации и настройки средства вычислительной техники.
  1. Осмотр информации, хранимой на магнитных носителях, размещенных на осматриваемом

    средстве вычислительной техники или образующих единый с ним комплект.

  2. Осмотр доступных информационно-вычислительных ресурсов и электронной корреспонден

    ции (в случае подключения осматриваемого средства вычислительной техники к какой-либо ин

    формационной сети).

Следует заметить, что приведенная последовательность выполняемых действий представляется оптимальной и обусловлена техническими особенностями конструкции и эксплуатации средств вычислительной техники.

Общими практически для всех видов преступлений в сфере компьютерной информации задачами осмотра средств вычислительной техники, на наш взгляд, могут быть:

  • сбор «традиционных» следов пользования средством вычислительной техники: отпечатки паль

    цев, микрочастицы одежды, серийные номера комплектующих, характерные повреждения;

  • определение комплектности и состава средства вычислительной техники, а также оценка его

    потенциальных возможностей;

  • оценка состояния средства вычислительной техники (новое/бывшее в употреблении, год выпус

    ка и т.п.) и оценка его приблизительной стоимости;

  • фиксация наиболее подходящим способом (на схеме, фотографии, видеосьемке) расположения

    средства вычислительной техники на объекте информатики (в помещении) и его взаимосвязей с

    другими средствами информатики и материальными объектами.

  • оценка потенциальных возможностей использования осматриваемого средства вычислительной

    техники для работы в информационных сетях и сбор «информационных» следов этой деятель

    ности.

Осмотр персональных (настольных) и малогабаритных ЭВМ. Наиболее распространенным классом современных средств вычислительной техники являются персональные ЭВМ типа IBM PC Несмотря на свои незначительные размеры, они по всем параметрам существенно превосходят широко распространенные до недавнего времени в нашей стране большие ЭВМ серии ЕС.

При осмотре компьютера могут возникнуть следующие ситуации:

  1. компьютер осматривается непосредственно на месте совершения преступления, и при jtom

    он находится либо в рабочем состоянии либо выключен;

  2. компьютер осматривается вне места совершения преступления (в частности, осмотр изъятого

    компьютера в ходе проведения следственного действия).

При этом применительно к осмотру системного блока персонального компьютера можно предложить следующие рекомендации.

8И.

Глава 49. Расследование преступлений в сфере компьютерной информации

1.              Внешний осмотр системного блока необходимо начинать, как правило, с тыльной его сторо

ны, которая содержит все основные электрические выводы периферийных устройств, кабели элек

тропитания, сетевые кабели, провода заземления и т.п.

При этом должен быть осуществлен поиск отпечатков пальцев пользователей данного компьютера на кнопках и флажках извлечения магнитных дисков, кнопке извлечения лазерных компакт-дисков, кнопках «POWER», «TURBO» и «RESET», а также с тыльной стороны корпуса, возле краев защитного кожуха системного блока в области винтов крепления.

Во время проведения осмотра в протоколе данного следственного действия необходимо отразить следующие сведения:

  • какие разъемы были задействованы, и с какими внешними устройствами они были связаны, с

    измерением (ориентировочным) длины соответствующих соединений;

  • аккуратность подключения соединительных проводов (затянуты ли крепежные винты, исполь

    зованы ли проволочные фиксаторы соединения и т.п.);

  • наличие характерных царапин, сколов, загибов и иных повреждений на соединительных эле

    ментах и разъемах системного блока;

  • наличие свободных фрагментов для подключения внешних устройств и их защита от внешних

    воздействий (установление металлических заглушек, заклейка липкой лентой и т.п.).

Эти сведения в определенной степени характеризуют пользователя компьютера (его аккуратность, строгое следование стандартным предписаниям и т.п.) и дают информацию о типовых вариантах использования осматриваемого компьютера (служил ли он интеллектуальной печатающей машинкой, был ли почтовым сервером, или тем и другим одновременно и т.п.).

2.              Необходимо отсоединить электрические связи и вскрыть корпус системного блока, Первым

следует отсоединить провод, обеспечивающий подачу электропитания в системный блок, затем со

единения, обеспечивающие подачу электропитания от системного блока к внешним устройствам

(монитору, принтеру и т.п.). Отсоединение остальных связей системного блока следует произво

дить один за другим сверху вниз.

В протоколе осмотра в данном случае отражаются:

  • наличие механизма защиты корпуса системного блока от вскрытия и его состояние (замки, за

    порные устройства, мастичная печать, разрывные ленты и т.п.);

  • способ закрепления внешнего защитного кожуха (винты, шурупы-саморезы, клипсы и их коли

    чество) и его состояние.

3.              Осмотреть имеющиеся устройства и определить способы их подключения друг к другу и к

блоку питания. При осмотре содержимого системного блока необходимо обратить внимание на на

личие каких-либо нестандартных устройств или устройств, размещенных в нестандартных (не пре

дусмотренных для них) местах, отразив в протоколе следующие данные:

  • тип, модель и количество используемой оперативной памяти;              '
  • места размещения (номера используемых слотов материнской платы) периферийных устройств;
  • маркировку и серийные (заводские) номера (если они есть) каждого из элементов персонально

    го компьютера;

  • год выпуска и техническое состояние (наличие внешних следов доработки, навесного электри

    ческого монтажа и т.п.) каждого из элементов персонального компьютера;

  • вариант подключения электропитания и других соединений с элементами компьютера;
  • наличие перемычек (джамперов) и их расположение в момент осмотра.

Полученные на данном этапе сведения могут помочь установить ориентировочную дату комплектации осматриваемого компьютера (по дате начала выпуска соответствующих элементов), фирмы, осуществившей поставку и сборку, а также возможные места ремонта и модернизации персонального компьютера.

  1. Подключить питание и осмотреть информацию на отдельных магнитных носителях.
  2. Подключить питание и запустить персональный компьютер. При этот следует обратить вни

    мание и отразить в протоколе следственного действия:

  • порядок загрузки операционной системы и других программ, загружаемых в оперативную па

    мять при включении персонального компьютера;

  • параметры загрузки операционной системы и прикладных программ, установленные по умол

    чании, т.е. без дополнительного указания;

¦s содержание основных файлов конфигурации персонального компьютера (config.sys, autoexec.bat, win.ini, system.ini и т.п. в зависимости от используемой операционной системы и установленных прикладных программ) и в первую очередь системного реестра (для компьютеров под управлением операционных систем клона Windows);

811

Глава 49. Расследование преступлений в сфере компьютерной информации

-              установленные типовые «пути доступа» (в смысле запуска программного обеспечения) и значе

ния переменных операционной среды.

Если лицо, у которого производится следственный осмотр, отказалось назвать пароль доступа к компьютерной информации, то этот факт имеет ряд процессуальных и тактических последствий, имеющих существенное значение для дальнейшего расследования.

С процессуальной точки зрения исследование информации на данном компьютере не может быть продолжено в режиме следственного осмотра, а должен быть проведен, как минимум, обыск, т.к. возникает необходимость преодоления воли собственника (владельца) осматриваемого компьютера и размещенных на нем информационных ресурсов. Основной рекомендацией в этом случае является необходимость изъятия осматриваемого персонального компьютера и назначение компьютерно-технической экспертизы.

Весьма специфическим объектом осмотра являются линии информационного взаимодействия ЭВМ, а также устройства преобразования компьютерной информации в вид, пригодный для его передачи на значительные расстояния по этим линиям. Такими объектами, образующими распределенные автоматизированные информационные системы, являются:

  • сетевые платы для передачи информации по коаксиальному кабелю, витой паре или оптоволок

    ну;

  • модемы для передачи информации по стандартной телефонной линии;
  • маршрутизаторы и средства межсетевого взаимодействия (шлюзы, брэндмауэры);
  • соединительные кабели;
  • программное обеспечение межкомпьютерного информационного обмена.

    Основными задачами осмотра сетевых плат, на наш взгляд, являются:

  • выяснение способа подключения сетевой платы к персональному компьютеру и к линии ин

    формационного взаимодействия (кабелю или витой паре);

  • определение используемых протоколов информационного взаимодействия для образования ло

    кальной вычислительной сети;

  • способ соединения сетевой платы с другими персональными компьютерами;

-              установление модели, марки сетевой платы, а также ее серийного (заводского) номера.

Объединение отдельных локальных вычислительных систем в корпоративные автоматизиро

ванные информационные системы возможно благодаря маршрутизаторам, а также иным средствам

межсетевого взаимодействия. Эти средства представляют собой достаточно сложные программно-

технические устройства (зачастую специализированные компьютеры), которые целесообразно ос

матривать в условиях лаборатории. Однако при проведении осмотра на месте совершения преступ

ления в сфере компьютерной информации необходимо:

изготовить схему, на которой отразить места расположения маршрутизаторов и других средств межсетевого взаимодействия, а также все их информационные взаимосвязи со средствами вычислительной техники;

-              определить модель, марку и серийный (заводской) номер устройства;

-              установить способы подключения электропитания, заземления и другого вспомогательного, и

обеспечивающего оборудования.

Модемы представляют собой устройства, обеспечивающие передачу и прием цифровых данных по аналоговым телефонным линиям. Кроме того, модемы выполняют ряд вспомогательных операций (аппаратное сжатие передаваемых данных, автоматическую коррекцию ошибок, возникающих при передаче по каналам связи и т.п.), набор которых определяется поддерживаемым стандартным протоколом информационного обмена (например, V42 или V90).

Исходя из технической сущности модемов, основными задачами их осмотра, на наш взгляд, являются:

-              выяснение способа подключения модема к персональному компьютеру и к телефонной линии.

В данном случае имеется в виду: используемое аппаратное прерывание (канал IRQ), исполь

зуемый стандартный последовательный (RS-232) или параллельный порт, положение джам-

перов на плате модема, а также используемый тип разъема для подключение к телефонной

линии;

определение используемых протоколов информационного взаимодействия. Каждый модем может поддерживать один или несколько протоколов информационного взаимодействия, которые образуют иерархическую структуру, совместимую сверху вниз (протокол более высокого уровня, как правило, поддерживает практически все функции более низкого уровня). Это может быть осуществлено с использованием специализированных тестовых программ; ¦   определить модель, марку и серийный (заводской) номер модема.

812

Глава 49. Расследование преступлений в сфере компьютерной информации

Знание приведенных сведений позволит определить принципиальную возможность проведения различных сеансов информационного обмена, исходя из максимальной скорости, используемого протокола и т.п.

При осмотре магнитных носителей информации необходимо:

  • выявить «традиционные» следы (отпечатки пальцев, характерные царапины, трещины, сколы и

    т.п.), а также установить тип магнитного носителя, его производителя, серийного и индивиду

    ального номера;

  • вьивить «информационные» следы записи, хранения и использования информации на магнит

    ном носителе;

  • задокументировать полученную информацию путем распечатки на бумажном носителе важ

    нейших информационных элементов или небольших файлов; создания полной и точной копии

    информации с изъятого магнитного носителя.

2.3. Назначение компьютерно-технических экспертиз. При расследовании преступлений в сфере компьютерной информации следователь все чаще сталкивается с необходимостью выявления и изъятия следов и вещественных доказательств, представленных в виде информации в вычислительной, телекоммуникационной системе или на магнитном носителе. При этом для корректного использования имеющихся следов совершенного преступления следователю уже не хватает базовой юридической подготовки и специализации в области криминалистики. В этом случае возникает необходимость привлечения специальных познаний и навыков использования новых информационных технологий. Основной процессуальной формой привлечения специальных знаний является экспертиза.

На наш взгляд, наиболее оправданным с точки зрения требований практики расследования уголовных дел в сфере компьютерной информации и реально осуществимым в большинстве экспертных учреждений является определение компьютерно-технической экспертизы, предложенное Е.Р. Российской', которое во многом совпадает с позицией сторонников судебно-кибернетических экспертиз.

Анализ практики проведения компьютерно-технических экспертиз, а также обобщение имеющихся в специальной литературе сведений, исходя из источников и носителей компьютерной информации, позволяет выделить следующие разновидности объектов компьютерно-технических экспертиз:

  • текстовые и графические документы (стандартные и электронные), изготовленные с использо

    ванием средств автоматизации (вычислительных систем, средств передачи данных и копирова

    ния информации);

  • программы для ЭВМ и вспомогательная компьютерная информация, необходимая для их функ

    ционирования;

  • видео- и звукозаписи, визуальная и аудиальная информация, представленная в формате мульти

    медиа;

  • компьютерные данные и сведения, представленные в форматах, обеспечивающих их автомати

    зированное хранение, поиск, обработку и передачу (базы данных);

  • вычислительные системы и сети, множительная техника, средства связи и другие технические

    средства;              '              '

  • физические носители информации различной природы (магнитные, магнитно-оптические, опти

    ческие и т.п.);

-              пользователи автоматизированных информационных систем (разработчики компьютерных про

грамм, операторы вычислительных систем, администраторы вычислительных сетей и т.п.).

Одним из важнейших моментов целесообразности назначения компьютерно-технических экс

пертиз, как самостоятельного вида, является перечень вопросов, которые могут быть решены с ее

помощью.

Кроме того, судебную компьютерно-техническую экспертизу отдельные ученые подразделяют на виды по ряду направлений2. Заслуживает внимания классификация, представленная В.А. Мещеряковым, который выделяет названную выше экспертизу по следующим направлениям:

  • аппаратно-техническая экспертиза;
  • программно-технологическая экспертиза;

    ¦*   информационная экспертиза;

' Российская Е.Р. Судебная экспертиза в уголовном, гражданском, арбитражном процессе. — М., 1996. 2 Расследование неправомерного доступа к компьютерной информации / Под ред. Н.Г. Шурухнова. — М.: изд-во «Щит», 1999. С. 165; Российская Е.Р., Усов А.И. Судебная компьютерно-техническая экспертиза. — М.: Право и зак'он, 2G01.   . С. 121

и др.•. .. .   .    .    ¦       .      ¦ .     .    "  ¦"..,-..¦¦

813

Глава 49. Расследование преступлений в сфере компьютерной информации

-   интегральная компьютерно-техническая экспертиза1.

Деление понятия компьютерно-технической экспертизы на более мелкие составляющие отвечает технологическим особенностям строения и эксплуатации средств информатизации и различных автоматизированных информационных систем.

Аппаратно-тёхническая экспертиза, с помощью которой оцениваются технические возможности средств вычислительной техники, отвечает на следующие вопросы:

  1. возможно ли использование представленного технического комплекса для осуществления тех

    или иных функциональных задач (например, выхода в Интернет, создания специального механизма

    для управления комплексом других средств и т.п.)?

  1. используются ли представленные технические устройства в режимах, предусмотренных ру

    ководством по эксплуатации, либо они подключены в режимах, обеспечивающих дополнительные

    не предусмотренные стандартным вариантом возможности (например, правильно ли подключен

    блок фискальной памяти в контрольно-кассовом аппарате, построенном на основе персонального

    компьютера)?

  2. какова стоимость представленного технического комплекса?

  1. каковы ориентировочные даты создания вычислительного комплекса с заданными возможно

    стями и даты изготовления его отдельных блоков?

Программно-технологическая экспертиза проводится для оценки основных функциональных свойств программного обеспечения, установленного на том или ином вычислительном устройстве, и отвечает на следующие основные вопросы:

  1. каковы основные функции представленного программного обеспечения и является ли оно

    вредоносным?

  1. с помощью каких вычислительных (тип микропроцессора) и программных средств (исполь

    зованные языки программирования, версии компиляторов, стандартные библиотеки, режимы на

    стройки компиляторов) создано представленное программное обеспечение?

  2. находится ли представленное программное обеспечение в состоянии, обеспечивающем воз

    можность его применения на заданном комплексе технических средств или с определенным про

    граммным обеспечением (например, конкретной программой электронной почты)?

  3. какова ориентировочная дата создания представленного программного обеспечения?
  4. каково предназначение представленных программ для ЭВМ? Каковы их потребительские

    свойства?

  1. существуют ли типовые (авторские) приемы решения стандартных технологических задач

    программирования (например, используемая процедура сортировки,*запись данных в определенные

    области памяти и т.п.).

Информационная экспертиза проводится для оценки основных характеристик информационного обеспечения, хранимого на магнитном носителе или в составе технических средств вычислительной техники (ПЗУ, смарт-карты, flash-BIOS) и отвечает на следующие вопросы:

  1. размещено ли на представленном магнитном носителе или в составе технических средств вы

    числительной техники необходимое информационное обеспечение для решение какой-либо кон

    кретной функциональной задачи (например, база данных акционеров крупного предприятия, теле

    фонный справочник городских АТС и т.п.)?

  1. находятся ли на представленных магнитных носителях файлы с документами, рисунками,

    чертежами и т.п., относящиеся к той или иной сфере деятельности (например, файлы с изображе

    ниями денежных знаков, чертежей взрывных устройств, схем электропроводки в здании, бланков

    юридических лиц и оттисков печатей, исходные тексты вредоносных программ на языке высокого

    уровня и т.п.)?

  1. находится ли на представленном магнитном носителе информация, свидетельствующая об

    информационном обмене в какой-либо информационной сети (например, ФИДО или Интернет) в

    заданный период времени?

  2. каково предназначение представленных баз данных? Каковы их потребительские свойства?

Интегральная компьютерно-техническая экспертиза проводится для общей оценки возможности и действительного использования представленного вычислительного комплекса для определенных функциональных задач и отвечает на следующие вопросы:

1) возможно ли осуществление заданного вида деятельности с использованием представленных технических средств и размещенного на нем информационного и специального программного обеспечения (например, ведение «двойного» бухгалтерского учета, перехват электронной коррес-

1 См.: Мещеряков В.А. Основы методики расследования преступлении в сфере компьютерной информации: Дисс. локг

юрид. наук.     Воронеж, 2001      С 307              • ¦              ¦  ....¦.-

814

Глава 49. Расследование преступлений в сфере компьютерной информации

понденции, передаваемой по информационной сети, подготовка и изготовление поддельных денежных знаков и т.п.)?

2) каковы последствия (ущерб) применения комплекса технических средств, вредоносных программ в данной автоматизированной информационной системе, сети ЭВМ?

Не вызывает сомнения тот факт, что все рассмотренные направления компьютерно-технических экспертиз являются исключительно сложными и требуют значительных материальных, вычислительных, временных и других затрат.

2.4. Допрос. Одним из достаточно информативных следственных действий При расследовании преступлений в сфере компьютерной информации является допрос. В соответствии с УПК РФ допросу могут быть подозреваемые, обвиняемые, потерпевшие, свидетели и эксперты (ст. 72, 76, 123, 150,161,173,191,192,205, 277 УПК РФ).

При расследовании дел рассматриваемой категории важное значение имеет привлечение специалиста для проведения отдельных следственных действий, также его допрос.

Основной целью допроса специалиста является выяснение использованного им способа или метода решения задачи, которую поставил следователь при выполнении отдельного следственного действия. Дополнительными целями допроса специалиста является выяснение замеченных им особенностей построения и функционирования автоматизированной информационной системы, в которой производились следственные действия (например, определенная конфигурация и созданные наборы автоматических проводок в бухгалтерских счетах, в автоматизированных бухгалтерских системах может говорить об использовании данной системы для определенных операций и ведения «черного» учета). Полученная в результате допроса специалиста информация может быть использована следователем при назначении компьютерно-технической экспертизы для конкретизации выносимых на разрешение эксперта вопросов.

Исходя из сущности и целей, стоящих перед допросом специалиста, вытекает необходимость его проведения непосредственно после проведения отдельного следственного действия (осмотра, обыска, следственного эксперимента или выемки), пока свежи в памяти специалиста все детали и особенности проведенного мероприятия.

В связи с этим, приступая к допросам по делу о преступлении в сфере компьютерной информации, следователю необходимо в первую очередь определиться относительно возможной роли и требуемой информированности у лиц, попавших в его поле зрения.

Приняв решение о необходимости проведения допроса, следователь должен выполнить опреде

ленную совокупность действий. В частности:              ¦

  1. Изучить все имеющиеся на данный момент материалы дела и всю информацию, собранную

    иными методами и имеющую отношение к расследуемому делу.

  2. Изучить личность допрашиваемого. Это необходимо для выбора целесообразной тактики ло-

    ведения и определения возможного круга вопросов, как диагностирующих его информационное со

    стояние, так и непосредственно интересующих следователя.

Так, анализ информации, хранимой в компьютерах телефонной компании (список всех звонков с личного телефона и номера, по которым осуществлялся звонок), легко позволит установить круг друзей, знакомых, а также предположить характер проблем, стоящих в данный момент перед интересующим человеком.

3.              Подготовить доказательства и материалы, которые целесообразно использовать при допросе.

Целью данного мероприятия является сокращение временных издержек на малозначимые (техни

ческие детали) при проведении допроса.

При этом целесообразно заготовить несколько достаточно глубоких технических вопросов, которые бы могли показать допрашиваемому уровень владения следователем технической стороной вопроса и произвести на него необходимое впечатление. Для формулирования таких вопросов необходимо привлечение специалиста, который бы помог следователю разобраться в технических тонкостях расследуемого дела.

4.              Составить план допроса, обратив при этом внимание на определение конкретной информа

ции, которую следователь хочет получить от допрашиваемого, а также определить ключевые мо

менты допроса.

В частности, по делам о неправомерном доступе к компьютерной информации при допросе об-ьиняемых выясняются следующие обстоятельства:

Г. Каким образом произошло проникновение в помещение, где установлена компьютерная техника (в случае непосредственного доступа), или произошло подключение к компьютерной сети?

2. От кого и каким образом получены сведения об информации, хранимой на компьютере?

815

Глава 49. Расследование преступлений в сфере компьютерной информации

  1. От кого была получена информация об используемых мерах защиты компьютерной инфор

    мации и способах ее преодоления?

  2. Каким образом была преодолена физическая, техническая и программная защита компьютер

    ной информации?

  3. Каким образом осуществлялся неправомерный доступ к компьютерной информации? Какие

    носители информации при этом использовались?

* 6. Производилось ли незаконное копирование компьютерной информации? Какие носители информации при этом использовались?

  1. Кому были переданы сведения, подключенные в результате неправомерного доступа к ком

    пьютерной информации? С какой целью?

  2. Как осуществлялось уничтожение следов неправомерного доступа к компьютерной информа

    ции?

  3. Как часто осуществлялся неправомерный доступ к компьютерной информации?

  1. Известны ли обвиняемому лица, занимающиеся подобной деятельностью? В каких отноше

    ниях находится с ними обвиняемый, и что ему о них известно?

  2. Входит ли в круг функциональных обязанностей обвиняемого работа с компьютерной ин

    формацией? С какой именно информацией он имеет право работать?.

  3. Имеет ли обвиняемый в силу своего служебного положения право доступа к названной ин

    формации?

  4. Осознает ли обвиняемый то обстоятельство, что вызванная им информация охраняется зако

    ном (ее использование было ограничено определенным кругом лиц)?

  5. Знал ли обвиняемый о содержании информации, которую он вызвал и уничтожил, заблоки

    ровал, скопировал?

  6. Какие преследовались цели при совершении подобного деяния?
  7. Кто знал (догадывался) о совершенном деянии? Кто видел обвиняемою в момент осуществ

    ления неправомерного доступа к компьютерной информации?

  8. Знал ли обвиняемый, кто являлся законным собственником (владельцем) информации, к ко

    торой осуществлялся неправомерный доступ?

  9. Каким образом использовалась полученная информация?
  10. Кто содействовал обвиняемому в совершении этого преступления?
  11. Каким образом осуществлялось содействие со стороны других лиц в осуществлении непра

    вомерного доступа к компьютерной информации?

  12. Кто являлся инициатором совершения данного деяния?

22.              Как были распределены роли, кто конкретно эти роли исполнял? И др.

При допросе свидетелей, как правило, выясняются следующие вопросы:

'.     1. При каких обстоятельствах свидетель наблюдал преступников (процесс совершения преступления)?

  1. В чем состоял способ совершения преступления?
  2. Какую роль выполнял каждый из соучастников неправомерного доступа к компьютерной ин

    формации?

  3. Знает ли свидетель, какую цель преследовал обвиняемый, совершая неправомерный доступ к

    компьютерной информации?

  4. Кто из работников предприятия, организации, учреждения, фирмы, компании мог способст

    вовать совершению преступления?              -

  5. Имели ли место подобные проявления ранее, как на них реагировали руководители предпри

    ятия, организации, учреждения, фирмы, компании? И др.

2.5. Следственный эксперимент. Особое внимание при расследовании преступлений в сфере компьютерной информации следует уделить такому следственному действию, как следственный эксперимент.

Специфическая среда совершения преступлений в сфере компьютерной информации привнесла свои особенности в это следственное действие. Так, если одной из характерных особенностей традиционного понимания следственного эксперимента является то, что его результаты должны быть очевидны для всех участников (следователя, специалиста, понятых) и не требовать специальных познаний, то при расследовании компьютерных преступлений могут получаться неочевидные результаты, требующие дополнительной оценки и даже проведения других видов следственных действий, например, проведение допросов, назначения компьютерно-технических экспертиз и т.п.

В связи с этим под следственным экспериментом при расследовании преступлений в сфере компьютерной информации следует, понимать следственное действие, заключающееся в проведе-

81о

                   Глава 50. Расследование преступных посягательств на жизнь, здоровье, честь и достоинство lt;¦¦¦gt;

нии специальных опытов (серии испытаний) с целью получения новых или проверки имеющихся доказательств, проверки и оценки следственных версий о возможности или невозможности существования тех или иных фактов, имеющих значение для дела, а также получения новых сведений, данных и образцов, используемых для получения новых или проверки существующих доказательств.

При планировании эксперимента определяются и детализируются его цели и задачи, оценивается необходимость и возможность проведения следственного действия, вырабатываются основные этапы проведения эксперимента, определяется круг его участников, отрабатывается методика проведения эксперимента (правила выполнения и количество повторений определенных'действий для получения достоверного результата). Кроме этого, определяется место и время проведения следственного эксперимента.

Формирование организационно-технической базы следственного эксперимента включает в себя необходимое техническое (компьютеры, линии связи, модемы), математическое (операционные системы, системы управления базами данных) и информационное обеспечение (конкретные прикладные программы, объем информационного наполнения файловых систем, баз данных, установки текущих дат и времени на системных часах компьютеров). В ряде случаев проведение следственного эксперимента на тех же объектах «кибернетического пространства» не представляется возможным, так как это может привести к серьезным последствиям (причинению ущерба, сравнимого с тем, который нанесло само преступление в сфере компьютерной информации). Выходом из данной ситуации является создание специализированных моделирующих стендов, полностью воспроизводящих отдельные (наиболее важные с точки зрения целей следственного эксперимента) стороны «кибернетического пространства».

Для этого изготавливаются специальные программы, имитирующие бсновные характеристики (отдельные выполняемые функции, объем программы, формат хранения информации) программного обеспечения, фигурирующего в расследуемом уголовном деле.

При непосредственном производстве следственного эксперимента осуществляются опытные действия. Результаты следственного эксперимента оформляются путем составления соответствующего протокола.

<< | >>
Источник: В.В. Мозяков. Руководство для следователей / Под общ. ред. В.В. Мозякова. М.: Экзамен,2005. - 912 с.. 2005

Еще по теме §2. Особенности производства отдельных следственных действий по делам о преступлениях в сфере компьютерной информации:

  1. §4. Особенности производства отдельных следственных действий 4.1. Осмотр места происшествия
  2. §3. Обстоятельства, подлежащие доказыванию, и особенности проведения некоторых следственных действий
  3. §1. Уголовно-правовая характеристика преступлений в сфере компьютерной информации
  4. §2. Особенности производства отдельных следственных действий по делам о преступлениях в сфере компьютерной информации
  5. Глава 3 Способы совершения компьютерных преступлений
  6. Глава 5 Практика раскрытия и расследования компьютерных преступлений
  7. § 1. Содержание тактической операции по изобличению лица, совершившего преступление в сфере предпринимательской деятельности
  8. § 3. Тактические особенности иных следственных действий, проводимых в целях изобличения субъекта преступления в сфере предпринимательской деятельности
  9. § 2. Закономерности преступной экономической деятельности и типичные следственные ситуации расследования преступной экономической деятельности, определяющие содержание тактических комбинаций получения и проверки показаний в ходе производства следственных действий
  10. § 1. Тактические комбинации допроса подозреваемых, обвиняемых по уголовным делам о преступной экономической деятельности
- Авторское право - Аграрное право - Адвокатура - Административное право - Административный процесс - Арбитражный процесс - Банковское право - Вещное право - Государство и право - Гражданский процесс - Гражданское право - Дипломатическое право - Договорное право - Жилищное право - Зарубежное право - Земельное право - Избирательное право - Инвестиционное право - Информационное право - Исполнительное производство - История - Конкурсное право - Конституционное право - Корпоративное право - Криминалистика - Криминология - Медицинское право - Международное право. Европейское право - Морское право - Муниципальное право - Налоговое право - Наследственное право - Нотариат - Обязательственное право - Оперативно-розыскная деятельность - Политология - Права человека - Право зарубежных стран - Право собственности - Право социального обеспечения - Правоведение - Правоохранительная деятельность - Предотвращение COVID-19 - Семейное право - Судебная психиатрия - Судопроизводство - Таможенное право - Теория и история права и государства - Трудовое право - Уголовно-исполнительное право - Уголовное право - Уголовный процесс - Философия - Финансовое право - Хозяйственное право - Хозяйственный процесс - Экологическое право - Ювенальное право - Юридическая техника - Юридические лица -