Практические особенности отдельных следственных действий при расследовании компьютерных преступлений

Осмотр и обыск (выемка) по делам данной категории являются важнейшими инструментами установления об­стоятельств расследуемого события.

Известно, что главными процессуальными способами изъятия вещественных доказательств являются осмотр, обыск и выемка.

Следует напомнить, что осмотр — это непосредственное обнаружение, восприятие и исследование следователем мате­риальных объектов, имеющих отношение к исследуемому событию. Обыск — следственное действие, в процессе кото­рого производится поиск и принудительное изъятие объек­тов, имеющих значение для правильного решения задач уголовного судопроизводства. Выемка — следственное дейст­вие, в процессе которого производится изъятие объектов, имеющих значение для правильного решения задач уго­ловного судопроизводства, в тех случаях, когда их место­нахождение точно известно следователю и изъятие прямо или косвенно не нарушает прав личности.

Носители информации, имеющей отношение к рассле­дуемому событию, могут быть с соблюдением установлен­ного Уголовно-процессуальным кодексом Республики Бе­ларусь порядка изъяты и приобщены к уголовному делу в качестве вещественного доказательства.

Для участия в обыске и выемке целесообразно пригла­шать специалиста в области компьютерной техники.

При осмотрах, обысках, выемках, сопряженных с изъя­тием ЭВМ, машинных носителей и информации, возника­ет ряд общих проблем, связанных со спецификой изымае­мых технических средств.

Так, необходимо предвидеть меры безопасности, пред­принимаемые преступниками с целью уничтожения вещест­венных доказательств.

Например, они могут использовать специальное обору­дование, в критических случаях создающее сильное магнит­ное поле, стирающее магнитные записи. Известна легенда о хакере, который создал в дверном проеме магнитное поле такой силы, что оно уничтожало магнитные носители ин­формации при выносе их из его комнаты.

Преступник имеет возможность включить в состав прог­раммного обеспечения своей машины программу, которая заставит компьютер периодически требовать пароль, и, если несколько секунд правильный пароль не введен, данные в компьютере автоматически уничтожаются.

Желательно иметь с собой и использовать при обыске и осмотре устройство для определения и измерения маг­нитных полей.

Вещественные доказательства в виде ЭВМ, машинных носителей требуют особой аккуратности при транспорти­ровке и хранении. Им противопоказаны резкие броски, удары, повышенные температуры, влажность. Все эти внеш­ние факторы могут повлечь потерю данных, информации и свойств аппаратуры.

Не следует забывать при осмотрах и обысках о возмож­ностях сбора традиционных доказательств (скрытых отпе­чатков пальцев на клавиатуре, выключателях и др., шифро­ванных рукописных записей и пр.).

Осмотру подлежат все устройства конкретной ЭВМ.

Фактически оптимальный вариант изъятия ЭВМ и ма­шинных носителей информации - это фиксация их и их конфигурации на месте обнаружения и упаковка таким образом, чтобы аппаратуру можно было бы успешно, пра­вильно и точно так же, как на месте обнаружения, соеди­нить в лабораторных условиях или в месте производства следствия с участием специалистов.

Указанные следственные действия могут производиться с целями:

а) осмотра и изъятия ЭВМ и ее устройств;

б) поиска и изъятия информации и следов воздействия на нее в ЭВМ и ее устройствах;

в) поиска и изъятия информации и следов воздействия на нее вне ЭВМ.

По прибытии на место осмотра или обыска следует при­нять меры к обеспечению сохранности информации на на­ходящихся здесь компьютерах и магнитных носителях. Для этого необходимо:

1) не разрешать кому бы то ни было из лиц, работающих на объекте обыска, прикасаться к работающим компьютерам, магнитным носителям, включать и выключать компьютеры;

2) самому не производить никаких манипуляций с компью­терной техникой, если результат этих манипуляций заранее не известен;

3) при наличии в помещении, где находятся средства компьютерной техники и магнитные носители информа­ции, взрывчатых, легковоспламеняющихся, токсичных и едких веществ или материалов как можно скорее удалить эти вещества в другое помещение.

Особенности производства осмотров и обысков. Если ком­пьютер работает, ситуация для следователя, производящего следственное действие без помощи специалиста, существенно осложняется, однако и в этом случае не следует отказывать­ся от оперативного изъятия необходимых данных.

В данной ситуации следует:

а) определить, какая программа выполняется. Для этого необходимо изучить изображение на экране дисплея и по возможности детально описать его.

После остановки программы и выхода в операционную систему иногда при нажатии функциональной клавиши «РЗ» можно восстановить наименование вызывавшейся последний раз программы.

Можно осуществить фотографирование или видеозапись изображения;

б) остановить исполнение программы. Остановка осу­ществляется одновременным нажатием клавиш Сит-С либо Сдг1-Вгеак;

в) зафиксировать (отразить в протоколе) результаты своих действий и реакции компьютера на них;

г) определить наличие у компьютера внешних устройств — накопителей информации на жестких магнитных дисках и виртуального диска;

д) определить наличие у компьютера внешних устройств удаленного доступа к системе и определить их состояние (отразить в протоколе), после чего разъединить сетевые кабели так, чтобы никто не мог изменить или стереть инфор­мацию в ходе обыска (например отключить телефонный шнур из модема);

е) скопировать программы и файлы данных. Копирова­ние осуществляется стандартными средствами ЭВМ или ко­мандой Э08 СОРУ;

ж) выключить подачу энергии в компьютер и далее дейст­вовать по схеме «компьютер не работает».

Если компьютер не работает, следует:

а) точно отразить в протоколе и на прилагаемой к нему схеме местонахождение ПК и его периферийных устройств;

б) точно описать порядок соединения между собой этих устройств с указанием особенностей (цвет, количество соеди­нительных разъемов, их спецификация) соединительных проводов и кабелей; перед разъединением полезно осущест­вить видеозапись или фотографирование мест соединения;

в) с соблюдением всех мер предосторожности разъеди­нить устройства компьютера, предварительно обесточив его;

г) упаковать раздельно носители на дискетах и магнит­ных лентах и поместить их в оболочки, не несущие заряда статического электричества;

д) упаковать каждое устройство и соединительные ка­бели, провода;

е) защитить дисководы гибких дисков согласно реко­мендации изготовителя (вставить новую дискету или часть картона в щель дисковода);

ж) особой осторожности требует транспортировка вин­честера.

Поиск и изъятие информации и следов воздействия на нее в ЭВМ и ее устройствах. В компьютере информация может находиться непосредственно в оперативном запоминаю­щем устройстве (ОЗУ) при выполнении программы, в ОЗУ периферийных устройств и на внешних запоминающих устройствах (ВЗУ).

Наиболее эффективным и простым способом фикса­ции данных из ОЗУ является распечатка на бумагу инфор­мации, появляющейся на дисплее.

Если компьютер не работает, информация может на­ходиться в ВЗУ и других компьютерах информационной системы или в почтовых ящиках электронной почты или сети ЭВМ.

Необходимо произвести детальный осмотр файлов и струк­тур их расположения; лучше это осуществить с участием специалиста в лабораторных условиях или на рабочем месте следователя.

Следует обращать внимание на поиск так называемых «скрытых» файлов и архивов, где может храниться важная информация.

Периферийные устройства ввода-вывода могут также не­которое время сохранять фрагменты программного обес­печения и информации, однако для вывода этой информа­ции необходимы глубокие специальные познания.

Осмотр компьютеров и изъятие информации произво­дятся в присутствии понятых, которые расписываются на распечатках информации, изготовленных в ходе осмотра.

Поиск и изъятие информации и следов воздействия на нее вне ЭВМ. В ходе осмотров по делам данной категории мо­гут быть обнаружены и изъяты следующие виды важных документов, которые могут стать вещественными доказатель­ствами по делу:

а) документы, носящие следы совершенного преступ­ления, — телефонные счета, пароли и коды доступа, днев­ники связи и пр.;

б) документы со следами действия аппаратуры. Всегда следует искать в устройствах вывода (например, в принтерах) бумажные носители информации, которые могли остаться внутри их в результате сбоя в работе устройства;

в) документы, описывающие аппаратуру и программ­ное обеспечение;

г) документы, устанавливающие правила работы с ЭВМ, нормативные акты, регламентирующие правила работы с дан­ной ЭВМ, системой, сетью, доказывающие, что преступник их знал и умышленно нарушал;

д) личные документы подозреваемого или обвиняемого. Использование специальных познаний и назначение экспертиз.

Юрист-следователь не в состоянии отслеживать все техно­логические изменения в данной области. Поэтому специа­листы крайне необходимы для участия в обысках, осмот­рах, выемках.

Поиск таких специалистов следует проводить на пред­приятиях и в учреждениях, осуществляющих обслужива­ние и эксплуатацию компьютерной и коммуникационной техники, в учебных и научно-исследовательских органи­зациях.

Специалисты, привлекаемые в качестве экспертов, могут оказать действенную помощь при решении следующих воп­росов (примерный список):

1. Какова конфигурация и состав компьютерных средств и можно ли с помощью этих средств осуществить действия, инкриминируемые обвиняемому?

2. Какие информационные ресурсы находятся в данной ЭВМ?

3. Не являются ли обнаруженные файлы копиями ин­формации, находившейся на конкретной ЭВМ?

4. Не являются ли представленные файлы программа­ми, зараженными вирусом, и если да, то каким именно?

5. Не являются ли представленные тексты на бумажном носителе записями исходного кода программы, и каково назначение этой программы?

6. Подвергалась ли данная компьютерная информация уничтожению, копированию, модификации?

7. Какие правила эксплуатации ЭВМ существуют в дан­ной информационной системе, и были ли нарушены эти правила?

8. Находится ли нарушение правил эксплуатации в при­чинной связи с уничтожением, копированием, модифи­кацией?

Большую помощь в расследовании могут оказать специа­листы зональных информационно-вычислительных центров региональных УВД МВД. Следует иметь в виду, что в сис­теме МВД начато производство так называемых программ­но-технических экспертиз.

Программно-технической экспертизой (ПТЭ) решаются следующие задачи:

1) распечатка всей или части информации, содержащейся на жестких дисках компьютеров и на внешних магнитных носителях, в том числе из нетекстовых документов;

2) распечатка информации по определенным темам;

3) восстановление стертых файлов и стертых записей в ба­зах данных, уточнение времени стирания и внесения из­менений;

4) установление времени ввода в компьютер определен­ных файлов, записей в базы данных;

5) расшифровка закодированных файлов и другой инфор­мации, преодоление рубежей защиты, подбор паролей;

6) выяснение каналов утечки информации из локаль­ных внутренних сетей, глобальных сетей и распределен­ных баз данных;

7) установление авторства, места подготовки и способа изготовления некоторых документов;

8) выяснение технического состояния и исправности средств компьютерной техники.

Наряду с этими основными задачами при проведении ПТЭ могут быть решены и некоторые вспомогательные задачи:

1) оценка стоимости компьютерной техники, периферий­ных устройств, магнитных носителей, программных про­дуктов, а также проверка контрактов на их поставку;

2) установление уровня профессиональной подготовки отдельных лиц в области программирования и работы со сред­ствами компьютерной техники;

3) перевод документов технического содержания.

В связи с тем, что при осмотре ЭВМ и носителей ин­формации производится изъятие различных документов, в ходе расследования возникает необходимость в назначе­нии криминалистической экспертизы для исследования документов.

Дактилоскопическая экспертиза позволит выявить на до­кументах, частях ЭВМ и машинных носителях следы паль­цев рук, причастных к делу лиц.

Тема 9. ОТВЕТСТВЕННОСТЬ ЗА ПРАВОНАРУШЕНИЯ В ИНФОРМАЦИОННОЙ СФЕРЕ

Дата добавления: 2014-01-04; Просмотров: 515; Нарушение авторских прав?; Мы поможем в написании вашей работы!