Методические рекомендации. Законодателем установлено три вида преступной деятельности в сфере компьютерной информации: неправомерный доступ к компь­ютерной информации (ст

Законодателем установлено три вида преступной деятельности в сфере компьютерной информации: неправомерный доступ к компь­ютерной информации (ст. 272 УК РФ); создание, использование, распространение вредоносных программ (ст. 273 УК РФ); наруше­ние правил эксплуатации ЭВМ (ст. 274 УК РФ). Противоправны­ми последствиями этой деятельности являются уничтожение, бло­кирование, модификация либо копирование информации, наруше­ние работы ЭВМ — действия, характеризующиеся специфическими

Раздел IV. Криминалистическая методика расследования

признаками воздействия на информацию, программные и техниче­ские средства.

Разработанные в рамках криминалистики рекомендации но обна­ружению, изъятию и фиксации следов преступлений в сфере компью­терной информации позволяют применять их во всех тех случаях, ког­да противоправные действия связаны с использованием информаци­онных и телекоммуникационных технологий.

Успех в расследовании преступлений рассматриваемой категории в значительной степени связан с корректным использованием следо­вателем специальных познаний. Следователь, как лицо, призванное решать правовые задачи, может не обладать достаточными знаниями в области компьютерной техники, организации компьютерных сетей и информационной безопасности. Вместе с тем именно эти специаль­ные знания позволяют наиболее эффективно выявить и закрепить следы криминальной деятельности, правильно определить направле­ния расследования. Если следователь уверен, что его навыков доста­точно для успешного выполнения следственных и иных действий, то он может осуществить их и без помощи специалиста. Однако, если у следователя возникают сомнения в возможности самостоятельного проведения необходимых действий с компьютерной техникой с целью получения нужных доказательств, либо обстоятельства расследуемого события указывают па возможное возникновение в ходе проведения следственного действия «нештатных» ситуаций — привлечение спе­циалиста необходимо.

При проведении занятий по дайной теме ставится задача приобре­тения учащимися минимальных навыков обнаружения, изъятия и фиксации следов воздействия на компьютерную информацию. Следу-¹' ет учитывать, что для формирования указанных навыков необходимо, чтобы учащийся уже владел базовыми знаниями о правилах исполь­зования ЭВМ, имел минимальные знания о способах ввода и вывода информации с помощью устройств ЭВМ. Задача обучения кримина­листическим знаниям из рассматриваемой области не может быть ре­шена без указанной базовой подготовки, так как в рамках курса кри­миналистики невозможно восполнить все пробелы в знаниях учаще­гося но общим и специальным дисциплинам.

Практические занятия целесообразно проводить в классе, оборудо­ванном ЭВМ с операционной системой Windows и объединенных в локальную сеть. Выход в Интернет желателен, по не обязателен. Заня­тия могут носить семинарский и чисто практический характер. Каж­дое из этих видов занятий целесообразно проводить по отдельным планам.

Тема 22. Расследование преступлений в сфере компьютерной информации... 519

Контрольные вопросы

1. Какова криминалистическая характеристика преступлений в сфере компьютерной информации?

2. Назовите типовые ситуации первоначального этапа расследова­ния преступлений в сфере компьютерной информации.

3. Какие следственные и розыскные мероприятия специфичны для начального этапа расследования данного вида преступлений?

4. Каков круг обстоятельств, подлежащих установлению по делам о неправомерном доступе к компьютерной информации?

5. Каков круг обстоятельств, подлежащих установлению но делам о создании, использовании и распространении вредоносных программ для ЭВМ?

6. Каков круг обстоятельств, подлежащих установлению по делам о нарушении правил эксплуатации ЭВМ?

7. Опишите оптимальную последовательность действий следовате­ля при осмотре компьютера.

8. Опишите оптимальную последовательность действий следовате­ля при осмотре локальной компьютерной сети.

9. Каковы особенности проведения обыска ЭВМ подозреваемого и изъятия следов криминальной деятельности но делам, связанным с неправомерным доступом к компьютерной информации?

10. Каковы особенности проведения обыска ЭВМ подозреваемого и изъятия следов криминальной деятельности по делам, связанным с со­зданием, использованием и распространением вредоносных программ?

11. Опишите особенности транспортировки с места проведения осмотра (обыска) программных и аппаратных средств.

12. Назовите виды экспертных исследований, обычно проводящие­ся по делам о преступлениях в сфере компьютерной информации.

13. Сформулируйте вопросы для компьтерно-технической экспер­тизы.

14. Укажите известные вам типы субъектов преступлений в сфере компьютерной информации.

15. Какие международные акты по борьбе с преступностью могут

|быть применены для расследования преступлений в сфере компью­терной информации?

16. Из каких устройств состоит ЭВМ?

17. Что такое компьютерная информация?

18. Где и в каком виде находится компьютерная информация?

19. Какие действия с компьютерной информацией являются нака­зуемыми?

Раздел IV. Криминалистическая методика расследопания

20. Какие устройства составляют сеть ЭВМ?

21. Как с помощью стандартных средств Windows установить, включена ли данная ЭВМ в сеть ЭВМ?

22. Каковы основные свойства файла и какие из них могут быть из­менены при неправомерном доступе к компьютерной информации?

23. Какие правила работы с ЭВМ, сетью ЭВМ вам известны?

24. Каковы признаки нарушения правил эксплуатации ЭВМ и сети ЭВМ?

25. Что такое конфигурация ЭВМ и каковы признаки ее изме­нения?

Литература

1. Касперский К.В. Техника сетевых атак. М., 2001.

2. Кушниренко С.П., Панфилова Е.И. Уголовно-процессуальные способы изъя­тия компьютерной информации по делам об экономических преступлени­ях. СПб., 2001.

3. Криминалистика / Под ред. Н.П. Яблокопа. М., 2001.

4. Крылов В.В. Информационные компьютерные преступления. М., 1997.

5. Крылов В.В. Расследование преступлений в сфере информации. М., 1998.

6. Милославская Н.Г., Толстой A.M. Интрасети: обнаружение вторжения. М., 2001.

7. Норгпкптт С., НовакД., МаклахленД. Обнаружение вторжений в сеть. 2001.

8. СкембрейД., Мак-Кларк С., КурцД. Секреты хакеров. Безопасность сетей — готовые решения. 2-е изд., псрераб. и доп. М.; СПб.; Киев, 2001.

9. Шурухнов Н.Г., Пушкин А.В., Соцкоо Е.А., Гавршшн Ю.В. Расследование не­правомерного доступа к компьютерной информации. М., 1999.

Задача 1

Вредоносной программой-вирусом «Selver» были выведены из строя 1562 компьютера российского Интернета. Сумма средств за­траченных на анализ атаки, нахождение, удаление, исправление и восстановление работоспособности всех компьютеров составила примерно 400 000 долл. США. По признакам состава преступления, предусмотренного ст. 273 УК РФ, следователь возбудил уголовное дело. Анализ маршрута заражения компьютеров в сети позволил установить, что начальной точкой распространения вредоносной программы был домен¹ www.maltus.ru. Провайдер² -- владелец дан­ного домена согласился сотрудничать со следствием и представить

¹ «Домен», «доменное имя» —совокупность символьных наименований, характери­зующих адрес конкретной ЭВМ или их сети.

² «Провайдер» — физическое или юридическое лицо, предоставляющее услуги по хранению и распространению в сети информации заказчика.

Тема 22. Расследование преступлений в сфере компьютерной информации... 521

следователю любую информацию, необходимую для проведения расследования.

1. Составьте план первоначального этапа расследования.

2. Определите, какую информацию должен запросить следователь у провайдера.

3. Сформулируйте возможные пути расследования и соответствующие следственные версии.

4. Решите, как следовало бы поступить следователю, если бы про­вайдер не согласился сотрудничать со следствием.

Задача 2

В правоохранительные органы обратился гражданин В. с заявлени­ем, что не может подключиться к Интернету, используя свои иденти­фикаторы. От провайдера, к которому он обратился в связи с указан­ной проблемой, он узнал, что с использованием его имени пользовате­ля и пароля к сети кто-то подключается с другого телефонного номера.

1. Оцените сложившуюся ситуацию.

2. Составьте план первоначального этапа расследования.

3. Определите, какие обстоятельства подлежат выяснению.

4. Укажите, какие версии, по вашему мнению, следует отработать в первую очередь.

Задача 3

По делу о нарушении работы компьютеров, обеспечивающих авто­матизированную систему полетов аэропорта «В», было возбуждено уголовное дело по ст. 273 и 274 УК РФ. В ходе следствия было уста­новлено, что гражданин Р. — сотрудник администрации аэропорта за­пустил на своем рабочем компьютере вирус «WerewolF», чем вызвал сбой в работе компьютеров, обслуживающих полеты авиалайнеров. При допросе Р. пояснил, что он занимается коллекционированием ви­русных программ. В июне он познакомился в чате с неким «PoiSon», который тоже интересуется вирусами и сам их пишет, после чего их общение по Интернету приобрело постоянный характер, в ходе кото­рого они стали обмениваться вирусными программами и описаниями их работы.

Позже, в марте, «PoiSon» сообщил, что сам создал «лучший в мире вирус» и переслал его в подарок Р. в пакете с описанием его работы. Р., изучив описание действия вируса и полагая, что полностью контроли­рует ситуацию, запустил вирус на своем рабочем компьютере, под­ключенном к сети аэропорта, однако вирусная программа стала рабо-

Раздел IV. Криминалистическая методика расследования

тать несколько иным образом, чем было указано в описании, что и по­влекло выведение из строя системы компьютеров аэропорта.

Р. уточнил, что лично с «PoiSon» он никогда не встречался. Общал­ся с ним при помощи ICQ и электронной почты.

1. Решите, какие действия следует произвести следователю.

2. Определите, какие версии, по вашему мнению, следует отрабо­тать.

3. Опишите порядок проведения осмотра компьютерной сети, под­вергшейся воздействию вирусной программы.

4. В целях установления личности «PoiSon» сформулируйте зада-,, пне органу дознания с рекомендациями по тактике его выявления, за­держания и осмотра его компьютера.

5. Установите, какие вопросы должны быть поставлены перед экс­пертами при расследовании данного уголовного дела.

Задача 4

В правоохранительные органы обратился Председатель совета ди­ректоров банка «Н>> Ч. с заявлением о том, что неизвестный вымогает у банка 50 000 долл. за нераспространение информации о лицевых счетах абонентов банка. Ч. уточнил, что две педели назад в его адрес по электронной почте пришло сообщение, в котором указывалось, что некто, называющий себя «SjOsRt?», заявил, что проник в компьютер­ную систему банка и скопировал информацию о лицевых счетах наи­более известных общественных деятелей, являющихся клиентами банка. За возврат этой информации он просит вышеуказанную сумму. Если требование не будет выполнено, то информация будет широко распространена в Интернете. О способе передаче денег будет сообще­но дополнительно. В качестве подтверждения нахождения у «SjOsRt?» указанной информации в приложении к электронному пи­сьму содержались данные о движении средств по лицевому счету са­мого Ч.

1. Определите, имеются ли основания для немедленного возбужде­ния уголовного дела или сначала целесообразно провести розыскные ме­роприятия, и какие именно.

2. Решите, какие розыскные и следственные версии могут быть вы­двинуты на данном этапе.

3. Определите, какие следственные и розыскные мероприятия надо провести для их проверки и доказывания фактов совершения преступ­ления.

4. Составьте план осмотра компьютерной сети банка для поиска следов преступления.

Тема 22. Расследование преступлений в сфере компьютерной информации... 523

• 5. При установлении лиц, причастных к совершению указанного пре­ступления, опишите тактические приемы их задержания, обыска ил-служебных и домашних компьютеров.

Задача 5

В марте в результате вирусной атаки была выведена из строя кор­поративная компьютерная сеть акционерного общества «MB». В ходе атаки была уничтожена вся информация, содержащаяся па сервере общества, в связи с чем была приостановлена нормальная работа две­надцати его отделений. Общий ущерб, нанесенный обществу, составил 20 000 долл. США. Предположительно, атака была совершена путем запуска на сервере программы-вируса. В ходе следствия было уста­новлено, что к преступлению может быть причастен бывший сотруд­ник этого общества Н., уволенный три месяца назад. Н. характеризо­вался как знающий специалист, но был уволен в связи с сокращением штата компании.

Следователь принимает решение провести обыск по месту прожи­вания Н.

1. Подготовьте в порядке ст. 476 (приложение 81) УПК РФ поста­новление о возбуждении перед судом ходатайства о производстве обы­ска (выемки) в жилище.

2. Опишите приемы подготовки к обыску.

3. Решите, как надлежит провести обыск (осмотр) компьютера гражданина Н. для поиска следов криминальной деятельности.

4. Приведите последовательность действий следователя в случае, если на момент обыска компьютер включен и если он выключен.

5. Определите, что именно следует искать в компьютере Н.

6. Укажите известные вам способы изъятия следов, характерные для подобных ситуаций.

Задача 6

В правоохранительные органы обратился гражданин Д., отец 12-летпего Н. Он сообщил, что в его доме имеется компьютер с возмож­ностью выхода в Интернет. И он, и его сын активно используют компьютер. Сын пользуется компьютером, как правило, когда отец на­ходится на работе. Просматривая содержимое сообщений ICQ, посту­пающих в адрес сына, Д. обнаружил сообщения от некоего «Teddy». Содержание и характер сообщений носят явно эротический характер. Кроме того, сыну указанным лицом неоднократно направлялись ри­сунки порнографического содержания, что вызывает беспокойство Д. за нравственное здоровье сына.

Раздел IV. Криминалистическая методика расследования

1. Оцените сложившуюся ситуацию с уголовно-правовой и кримина­листической точек зрения и решите, имеются ли основания для-воз-буждения уголовного дела.

3. Определите, какие действия следователю следует произвести.

4. Установите круг возможных версий.

5. Решите, какие меры может принять следователь, если предпола­гаемый преступник находится на территории другого государства?

Задача 7

В ходе расследования убийства предпринимателя А. была выдви­нута версия о причастности к совершению данного преступления партнера убитого — предпринимателя В. Однако пи наблюдение за В., пи контроль его телефонных переговоров не дали дополнительной ин­формации. Из оперативных источников стало известно, что для «осо­бо важных разговоров» В. использует возможности компьютерной сети.

1. Оцените сложившуюся ситуацию.

2. Сформулируйте версию, вытекающую из приведенной инфор­мации.

3. Определите, какие розыскные и следственные мероприятия необ­ходимо провести для ее подтверждения или опровержения.

Задача 8

В ночном клубе «Голубая устрица» были задержаны Г. и О., осуще­ствлявшие сбыт наркотических веществ. После возбуждения дела в ходе допроса О. сообщила, что наркотические вещества для сбыта они с Г. получают от лица по кличке «Воздух». Ни она, ни Г. никогда его не видели. Встречи для передачи им наркотических веществ и получения денег он назначает при помощи электронной почты, указывая место, где будет находиться контейнер с товаром. Посте прочтения сообще­ния оно всегда сразу удаляется Г. На связь «Воздух» выходит с ними сам. Однако для экстренной связи в исключительных случаях он раз­решает использовать свой электронный адрес: [email protected]. Компь­ютер, который Г. и О. используют для связи, находится дома у Г.

Составьте план розыскных и следственных мероприятий для полу­чения доказательств, установления личности неизвестного преступ­ника и его изобличения.

Дата добавления: 2015-06-04; Просмотров: 613; Нарушение авторских прав?; Мы поможем в написании вашей работы!