Использование высоких технологий криминальной средой. Борьба с преступлениями в сфере компьютерной информации
p align="left">3. В случае оказания активного сопротивления со стороны лиц, находящихся на объекте обыска, принять меры по нейтрализации противодействия и скорейшему проникновению в обыскиваемое помещение (жилище).
4. Организовать охрану места обыска и наблюдение за ним. Охране подлежат: периметр обыскиваемых площадей; СВТ; хранилища машинных носителей информации (МНИ); все пункты (пульты) связи, охраны и электропитания, находящиеся на объекте обыска (в здании, помещении, на производственной площади); специальные средства защиты от несанкционированного доступа; хранилища ключей (кодов, паролей) аварийного и регламентного доступа к СВТ, помещениям и другим объектам (пультам, пунктам, стендам, сейфам и т. п.), попавшим в зону обыска.
По поводу дальнейших действий следователя на месте обыска в современной криминалистической литературе дискутируются различные точки зрения. Например, см.: Рогозин В.Ю. Особенности расследования и предупреждения преступлений в сфере компьютерной информации: Учеб. пособие /Под ред. А.А. Закатова. - Волгоград, 2000. С. 38-41; Шурухнов Н.Г., Левченко И.П., Лучин И.Н. Специфика проведения обыска при изъятии компьютерной информации //Актуальные проблемы совершенствования деятельности ОВД в новых экономических и социальных условиях. - М.: 1997. С. 208-216. Мы, в свою очередь, полагаем, что после реализации вышеуказанных мероприятий следователь должен перейти к обзорной стадии обыска и выполнить следующие действия:
1. Определить местонахождение подозреваемого (обвиняемого) на объекте обыска (если обыск осуществляется в его присутствии). При обнаружении - принять меры к отстранению его от пультов управления техническими устройствами, дистанцировать от них и организовать охрану.
2. Определить и отключить специальные средства защиты информации и СВТ от несанкционированного доступа, особенно те, которые автоматически уничтожают компьютерную информацию и МНИ при нарушении процедуры доступа к ним, порядка их использования и (или) установленных правил работы с ними; принять меры к установлению пароля (кода) санкционированного доступа и ключа шифрования-дешифрования информации.
3. Установить наличие телекоммуникационной связи между СВТ, СВТ и каналами электросвязи. При наличии компьютерной сети любого уровня технической организации в первую очередь должна быть осмотрена и подвергнута обыску управляющая ЭВМ - сервер, который хранит в своей оперативной и постоянной памяти наибольшую часть компьютерной информации, управляет другими СВТ, имеет с ними прямую и обратную связь. В этом случае следует учитывать то обстоятельство, что у сообщников подозреваемого (обвиняемого) или у него самого (если обыск производится в его отсутствие) имеется реальная возможность уничтожения искомой компьютерной информации дистанционно с помощью СВТ, находящихся вне периметра обыскиваемой зоны (в другом помещении, здании, населенном пункте и т. д.). Применительно к этому положению вызывает недоумение утверждение некоторых авторов о том, что «… подключением компьютера к телефонной или телетайпной линиям невозможно уничтожить или изменить информацию на нем. Эта информация может быть лишь пополнена или куда-либо передана» Расследование неправомерного доступа к компьютерной информации /Под ред. Н.Г. Шурухнова. - М., 1999..
Для предупреждения вышеуказанных негативных последствий необходимо в зависимости от ситуации и рекомендаций специалиста временно или на длительный срок, частично или полностью отключить СВТ или локальную вычислительную сеть от технических устройств, находящихся за периметром обыскиваемой зоны. Отключение может быть произведено как на программном, так и аппаратном уровне. Если СВТ работает в режиме «электронной почты», то предпочтительнее оставить его до конца обыска в работающем состоянии в режиме «приема почты», исключив возможность какой-либо обработки и обратной передачи информации. Эту работу может сделать только квалифицированный специалист. Все выполняемые им действия должны быть зафиксированы с помощью видеозаписи и отражены в протоколе рассматриваемого следственного действия.
4. Определить СВТ, находящиеся во включенном состоянии, характер выполняемых ими операций и название программ. Особое внимание необходимо уделить печатающим и видеоотображающим устройствам (принтерам и мониторам). Распечатки информации (листинги) при необходимости должны быть изъяты и приобщены к протоколу следственного действия; изображение на экране монитора - видеограмма Видеограммой документа называется его изображение на экране средства видеоотображения информации ЭВМ - см.: п. 18 ч. 2 ГОСТа Р 51141-98 «Делопроизводство и архивное дело. Термины и определения» (введен в действие с 01.01.99 г. Постановлением Госстандарта России от 27.02.98 г. № 28). изучено и детально описано в протоколе (можно также зафиксировать его на видеопленку либо сделать распечатку на бумаге с использованием специальных сканирующих программ).
Если специалист установит, что на момент обыска на каком-либо СВТ происходит уничтожение информации либо ее машинного носителя, необходимо срочно всеми возможными способами приостановить этот процесс и начать обследование с данного места или СВТ.
5. При обследовании персонального компьютера необходимо:
а) установить последнюю исполненную программу и (или) операцию, а при возможности - все, начиная с момента включения компьютера;
б) произвести экспресс-анализ компьютерной информации, содержащейся на жестком диске и в оперативной памяти с целью получения данных, имеющих значение для следствия (их скорейшее получение позволит скорректировать тактику обыска и порядок производства последующих следственных действий).
6. В случае совершения преступления выделенной категории с помощью портативного или малогабаритного (мобильного) СВТ, например, коммуникатора или сотового радиотелефона, организовать производство личного обыска подозреваемого (обвиняемого) или лиц, находящихся в обыскиваемом помещении. Это возможно лишь в тех случаях, когда у следователя имеются достаточные основания полагать, что лицо скрывает при себе предметы либо документы, которые могут иметь значение для уголовного дела (ч. 2 ст. 184 УПК РФ). Личный обыск такого лица производится по правилам, изложенным в ч. 3 ст. 184 УПК РФ.
Детальный этап обыска является очень трудоемким и требует слаженной работы всех участников следственного действия. Необходимо четко организовать поисковые мероприятия, направленные на выявление тайников, в которых могут находиться предметы и документы. Ими могут быть и сами компьютерные устройства - аппаратные и программные модули, входящие в состав ЭВМ, системы ЭВМ или их сети.
Следует также уделить внимание действиям, направленным на обнаружения записей, которые содержат сведения о чужих логинах и паролях доступа в компьютерную сеть «Интернет». Например, в 2002 году при производстве обыска у подозреваемого Б. сотрудниками Отдела «К» при УСТМ ГУВД Самарской области были изъяты листы бумаги, содержащие 19 конфиденциальных реквизитов пользователей сети Интернет (логинов и паролей), напротив каждого из которых стояли даты и время. В ходе дальнейшего расследования уголовного дела, возбужденного по ст. 165 ч. 1 и ст. 272 ч. 1 УК РФ, было установлено, что записи выполнены собственноручно Б. и полностью соответствуют реквизитам протокола провайдера, отражающим все сеансы работы пользователей в сети Интернет. Эти вещественные доказательства в совокупности с другими доказательствами, даже с учетом активного противодействия следствию со стороны Б., позволили привлечь его к уголовной ответственности за совершение 38 преступлений.
На заключительном этапе обыска составляются: протокол следственного действия и описи к нему; вычерчиваются планы обыскиваемых помещений, схемы расположения СВТ относительно друг друга, инженерно-технических коммуникаций, а также схема соединения СВТ между собой и с другими техническими устройствами; проводится дополнительная фотосъемка или видеозапись.
7.3 Осмотр средств вычислительной техники
Осмотр СВТ обычно приводит к необходимости их изъятия для последующего экспертного исследования и(или) приобщения к делу в качестве вещественного доказательства.
В протоколе осмотра СВТ фиксируют:
- его тип (назначение), марку (название), конфигурацию, цвет и заводской номер (серийный, инвентарный или учетный номер изделия);
- тип (назначение), цвет и другие индивидуальные признаки соединительных и электропитающих проводов; состояние на момент осмотра (выключено или включено);
- техническое состояние - внешний вид, целостность корпуса, комплектность (наличие и работоспособность необходимых блоков, узлов, деталей и правильность их соединения между собой), наличие расходных материалов, тип используемого машинного носителя информации;
- тип источника электропитания, его тактико-технические характеристики и техническое состояние (рабочее напряжение, частота тока, рабочая нагрузка, наличие предохранителя, стабилизатора, сетевого фильтра, количество подключенного к нему электрооборудования, количество питающих электроразъемов-розеток и т.д.);
- наличие заземления («зануления») СВТ и его техническое состояние; наличие и техническая возможность подключения к СВТ периферийного оборудования и(или) самого СВТ к такому оборудованию либо к каналу электросвязи; имеющиеся повреждения, не предусмотренные стандартом конструктивные изменения в архитектуре строения СВТ, его отдельных деталей (частей, блоков), особенно те, которые могли возникнуть в результате преступления, а равно могли спровоцировать возникновение происшествия;
- следы преступной деятельности (следы орудий взлома корпуса СВТ, проникновения внутрь корпуса, пальцев рук, несанкционированного подключения к СВТ сторонних технических устройств и др.);
- расположение СВТ в пространстве, относительно периферийного оборудования и других электротехнических устройств;
- точный порядок соединения СВТ с другими техническими устройствами;
- категорию обрабатываемой информации (общего пользования или конфиденциальная);
- наличие или отсутствие индивидуальных средств защиты осматриваемого СВТ и обрабатываемой на нем информации от несанкционированного доступа и манипулирования.
Если на момент осмотра СВТ находится в рабочем состоянии, необходимо детально описать:
- расположение его рабочих механизмов и изображение на его видеоконтрольном устройстве (экране, мониторе, дисплее);
- основные действия, производимые специалистом при осмотре СВТ (порядок корректного приостановления работы и закрытия исполняемой операции или программы, выключения СВТ, отключения от источника электропитания, рассоединения (или соединения) СВТ, отсоединения проводов, результаты измерения технических параметров контрольно-измерительной или тестовой аппаратурой и т.п.).
7.4 Осмотр документов и их носителей
Осмотр машинного носителя и компьютерной информации проводят по принципу «от общего к частному». Вначале описывают внешние индивидуальные признаки носителя: его цвет, размер, тип, вид, название, марка, заводской и индивидуальный номер, наличие наклейки и надписей на ней, наличие или отсутствие физических повреждений корпуса и следов на нем, положение элемента защиты от записи/стирания компьютерной информации. Затем переходят к осмотру компьютерной информации, содержащейся на машинном носителе информации (МНИ).
Перед началом ее осмотра необходимо указать в протоколе следственного действия:
- индивидуальные признаки используемого для осмотра средства электронно-вычислительной техники и основные реквизиты его программного обеспечения (тип, вид, марку, название, заводской или регистрационный номер, номер версии, юридический адрес и(или) автора программного продукта);
- юридические реквизиты программы, с помощью которой СВТ и его программное обеспечение в присутствии понятых было тестировано специалистом на предмет отсутствия вредоносных программно-аппаратных средств.
После этого на указанный предмет проверяется и осматриваемая компьютерная информация.
Анализируя содержащуюся на осматриваемом носителе компьютерную информацию, надо установить сведения, имеющие отношение к расследуемому событию. Для оптимизации процесса осмотра большого объема информации можно применять функции автоматизированного поиска по конкретному слову (реквизиту), входящие в состав стандартного программного обеспечения ЭВМ. Ход осмотра должен дополнительно фиксироваться на цветной фото- или видеопленке. При обнаружении следов преступления необходимо сделать распечатку всей или части компьютерной информации и приложить ее к протоколу следственного действия с указанием в протоколе индивидуальных признаков использованного для этого печатающего устройства (тип, вид, марку, название, номер).
В протоколе осмотра, также необходимо отразить:
- наличие, индивидуальные признаки защиты носителя от несанкционированного использования (голография, штрих-код, эмбоссинг, флуоресцирование, перфорация, ламинирование личной подписи и(или) фотографии владельца, их размеры, цвет, вид и т.п.);
- признаки материальной подделки МНИ и его защиты; внутреннюю спецификацию носителя - серийный номер и(или) метку тома либо код, размер разметки (для дисков - по объему записи информации, для лент - по продолжительности записи);
- размер области носителя свободной от записи и занятой под информацию;
- количество и номера сбойных зон, секторов, участков, кластеров, цилиндров;
- количество записанных программ, файлов, каталогов (структура их расположения на МНИ, название, имя и(или) расширение, размер (объем), в том числе тот, который занимают их названия, дата и время создания (или последнего изменения), а также специальная метка или флаг (системный, архивный, скрытый, только для чтения или записи и т.д.);
- наличие скрытых или ранее стертых файлов (программ) и их реквизиты (название, размер, дата и время создания или уничтожения).
Готовясь к проведению обыска, следователь должен решить, что и где он будет искать. Для этого необходимо тщательно изучить обстоятельства дела и собрать ориентирующую информацию о предмете обыска, месте его проведения и личности обыскиваемого. По делам о преступлениях в сфере компьютерной информации предметом обыска могут быть не только разнообразные СВТ, машинные носители и содержащаяся на них компьютерная информация, но и документы, средства электросвязи, разработанные и приспособленные специальные технические устройства, бытовые электротехнические устройства и оборудование, материалы и инструменты.
В ходе обыска следует обращать внимание на литературу, методические материалы и рекламные проспекты по компьютерной технике, обработке, защите, передаче и негласному получению компьютерной информации, а также на аудио-, видеокассеты, распечатки машинной информации и документы о соответствующем образовании. Особое внимание нужно уделять предметам, содержащим коды, пароли доступа, идентификационные номера, названия, электронные адреса пользователей конкретных компьютерных систем и сетей, алгоритмы входа и работы в системах и сетях. Необходимо также перлюстрировать записные (телефонные) книжки, справочники и каталоги, в том числе электронные, находящиеся в памяти телефонных аппаратов, пейджеров и других компьютерных устройств.
Ценные доказательства могут быть обнаружены и при личных обысках подозреваемых (обвиняемых).
Предметом выемки в подавляющем большинстве случаев совершения преступления в сфере компьютерной информации являются персональные компьютеры, машинные носители информации (включая распечатки на бумаге, аудио- и видеокассеты, пластиковые карты) и всевозможные документы (в том числе и электронные), отражающие и регламентирующие различные операции, технологические процессы, связанные с обработкой, накоплением, созданием, передачей и защитой компьютерной информации, использованием ЭВМ, системы ЭВМ и их сети. Последние находятся по месту работы (учебы) подозреваемого (обвиняемого), в рабочих кабинетах должностных лиц и других служебных (учебных) помещениях.
Помимо вышеуказанного, могут быть изъяты специальные технические средства для негласного получения, модификации и уничтожения информации, свободные образцы почерка, бланки и фрагменты документов, заготовки машинных носителей информации, исходные тексты программ для ЭВМ, черновики и иные образцы для сравнительного исследования. Перед изъятием магнитных носителей информации они должны быть в обязательном порядке упакованы в алюминиевый материал (алюминиевую фольгу или специальный контейнер), предохраняющий МНИ и его содержимое от внешнего электромагнитного и магнитного воздействия.
Контрольные вопросы
1. Какие основные особенности должны учитываться при проведении следственных действий по делам о преступлениях в сфере компьютерной информации?
2. Каков должен быть состав следственно-оперативной группы при осмотре места происшествия?
3. Каковы особенности тактики производства обыска при расследовании преступлений в сфере предоставления услуг сети Интернет?
4. Что фиксируют в протоколе осмотра средств вычислительной техники?
5. Что необходимо зафиксировать в протоколе при осмотре документов и их носителей?
ГЛАВА 8. НАЗНАЧЕНИЕ КОМПЬЮТЕРНО-ТЕХНИЧЕСКИХ
ЭКСПЕРТИЗ ПРИ РАССЛЕДОВАНИИ ПРЕСТУПЛЕНИЙ В СФЕРЕ
ВЫСОКИХ ТЕХНОЛОГИЙ
8.1 Механизм следообразования в компьютерных средствах и системах
Под механизмом следообразования следует понимать специфическую конкретную форму протекания процесса, конечная фаза которого представляет собой образование следа-отображения. Элементами этого механизма являются объекты следообразования - следообразующий, следовоспринимающий и вещество следа, следовой контакт как результат взаимодействия между ними вследствие приложения энергии к объектам следообразования.
Для преступлений, сопряженных с использованием компьютерных средств, одной из первых, представляющих практический интерес, была предложена следующая следовая картина:
1) следы на компьютерных средствах (в т.ч. носителях компьютерной информации), посредством которых действовал преступник на своем рабочем месте (в файловой системе, ОЗУ, аппаратно-программная конфигурация) и вне носителей информации (рукописные записи и распечатки с принтера - коды доступа, тексты программ, телефонные счета и пр.);
2) следы на «транзитных» (коммуникационных) носителях информации, посредством которых преступник осуществлял связь с информационными ресурсами, подвергавшимися неправомерному доступу (следы в линиях электросвязи: документированная информация о трафике через оператора телематических услуг, результаты наблюдения в ходе проведения ОРМ и следствия);
3) следы в компьютерной системе (в т.ч. на носителях информации компьютерной системы), в которую осуществлен неправомерный доступ, либо иные противоправные действия (изменения в файловой системе, ОЗУ, аппаратно-программной конфигурации и пр.);
4) следы на компьютерных средствах, которые сопряжены с иными (не только в сфере компьютерной информации) преступлениями - криминалистически значимая информация в компьютерах, органайзерах, мобильных телефонах, смарт-картах и пр.
8.2 Типовые следообразующие признаки преступной деятельности в
сфере телекоммуникации
Анализ преступлений, совершенных в сфере телекоммуникации, показывает, что при организации доступа к сети сотовой связи характерны следы, следообразующие и следовоспринимающие объекты, типовые для хищений, подделки документов, неправомерного доступа к охраняемой законом компьютерной информации и другие. Характерные следы преступного пользования ресурсами связи зависят от технологических особенностей их построения, например, в результате криминального пользования ресурсами сотовой связи типовые следы остаются на следующих типовых объектах Семенов Г.В., Бирюков П.Н. Ответственность за «мошенничество» в сетях сотовой связи: Учебное пособие. - Воронеж: Воронежский государственный университет, 2002.:
1. Объекты, находящиеся в ведении преступника:
- похищенная у легального пользователя подвижная абонентская станция;
- клонированная подвижная абонентская станция;
- подвижная абонентская станция, доработанная на техническом и программном уровне для осуществления сканирования идентификационных данных (номеров) легальных пользователей (ESN, MIN и др.);
- сканирующие технические устройства, мониторы сотовой связи (кустарного или промышленного изготовления) и т.д.;
- технический комплекс, представляющий собой комбинацию сканнера, компьютера и сотового телефона (так называемый сотовый кэш-бокс)
- средства компьютерной техники: гибкий (floppy) диск (дискета); дисковод; накопитель на жестких магнитных дисках («винчестер»); компактные диски (CD ROM); программаторы;
На указанных объектах возникают следующие типовые следы:
1) материальные следы:
- следы пальцев, микрочастицы и т.п. (на клавиатуре, дискетах, внутри абонентской подвижной станции и т.д.);
- установленные кустарным способом дополнительные микросхемы в абонентскую подвижную станцию;
- конструктивно-технические изменения электронных схем абонентской подвижной станции;
- инструкции, связанные с использованием технического оборудования, выступающего в качестве орудий преступления (сканирующие приемники, мониторы сотовой связи кустарного или промышленного изготовления и т.д.);
- инструкции по вводу и выводу из электронной записной книжки абонентской подвижной станции идентификационных данных (номеров) легальных пользователей и т.д.
2) виртуальные следы Мещеряков В.А. Преступления в сфере компьютерной информации: основы теории и практики расследования. - Воронеж, 2002.:
- специальное программное обеспечение и идентификационные данные (номера) легальных пользователей в энергонезависимой памяти EPROM (Erasable Programmable Read Only Memory - стираемая программируемая постоянная память) абонентской подвижной станции, сканирующего технического устройства и т.д.;
- компьютерная информация на материальных носителях компьютерной техники (программное обеспечение, с помощью которого осуществляется сканирование, декодирование, запись и хранение необходимых данных, подделка документов, продукты применения указанных специальных программ и т.п.).
3) идеальные следы, находящиеся в памяти виновного.
2. Объекты, находящиеся в ведении собственника, абонента сотовой связи:
- средства компьютерной техники коммутаторов сотовой связи;
- средства компьютерной техники сотовой связи, применяемые для выявления нелегальной абонентской активности. Системы проверки записей звонков на предмет обнаружения почти одновременных звонков из различных зон (сот), формирования профиля легального абонента и т.д. Указанные системы способны накапливать данные о вызовах каждого конкретного легального абонента и создавать на этой основе их индивидуальные профили. Они затем дополняются, анализируются по мере совершения новых звонков и способны немедленно обнаруживать аномальную активность.
К системам обнаружения криминальной абонентской активности относятся: система FraudBuster, система Signature Fraud Management System (Signature FMS), система визуального анализа информации Watson и др. Поскольку инфраструктура не связана с концепцией системы защиты, то она подходит для систем GSM, AMPS, CDMA, TDMA и др.
На указанных объектах возникают следующие типовые следы:
1) материальные следы практически отсутствуют, так как действия по пользованию ресурсами сотовой связи (абонентская активность) осуществляются «внутри» системы сотовой связи: абонентская подвижная станция - радиоинтерфейс - система базовых станций и т.д. («среда-посредник»).
2) виртуальные следы представляют собой компьютерную информацию коммутаторов сотовой связи и систем по выявлению и предотвращению «мошенничества», характеризующие абонентскую активность и, в частности, исходящие и входящие соединения.
Исходящие соединения. Легальный абонент компании сотовой связи, как правило, знает круг своих телефонных контактов, поэтому можно установить номера, на которые он соединения не производил. В частности, указывают на присутствие нелегального пользователя: трафик исходящих номеров легального абонента, когда его абонентская подвижная станция была отключена; появление в трафике иногородних и международных исходящих номеров, неизвестных легальному абоненту и другие показатели криминальной активности.
Исходящая криминальная абонентская активность может быть классифицирована по нескольким основаниям:
а) по географическому признаку:
- локальные соединения из области подключения;
- междугородние соединения из области подключения;
- международные соединения из области подключения;
- мобильные локальные соединения извне области подключения;
- мобильные междугородние соединения извне области подключения;
- мобильные международные соединения извне области подключения;
- порядок передвижения соединений в рамках одной ячейки (соты) или в рамках пространства занимаемых несколькими ячейками (сотами) за определенный интервал времени;
б) по временным факторам:
- по времени суток (например, с 7-00 до 19-00, с 19-00 до 7-00);
- по дням недели (рабочие дни, выходные дни);
- по особым периодам и событиям (Новый год, Рождество и т.д.);
- по количеству соединений за определенный интервал(ы) времени;
- по длительности соединений за определенный интервал(ы) времени;
- по общему времени соединений за определенный интервал времени (начиная с первого соединения);
в) по направленности исходящих соединений:
- повторяющиеся соединения с одними и теми же номерами проводной сети связи;
- повторяющиеся соединения с одними и теми же номерами сотовой подвижной связи;
- повторяющиеся соединения с одними и теми же номерами иных видов связи;
- повторяющиеся соединения с одними и теми же номерами льготных тарифов;
- повторяющиеся соединения с одними и теми же freefone номерами;
- общее соотношение входящих и исходящих соединений за определенный интервал времени;
г) по типу мобильного соединения:
- соединения конференции;
- активация и дезактивация дополнительных услуг.
Входящие соединения. На абонентскую подвижную станцию нелегального пользователя можно позвонить, но обычно этого не делают, так как звонок раздается у обоих абонентов (легального и нелегального), а говорить сможет тот, кто первый ответит на входящий вызов. Обычно в данном случае абонентская подвижная станция легального абонента блокируется, что может вызвать подозрение у легального абонента.
Входящая криминальная абонентская активность также может быть классифицирована по нескольким основаниям:
а) по географическому признаку:
- входящие мобильные локальные соединения (из той же области подключения);
- входящие мобильные междугородние соединения;
- входящие мобильные международные соединения;
б) по временным факторам:
- по времени суток;
- по дням недели;
- по особым периодам и событиям;
- по количеству входящих соединений за определенный интервал(ы) времени;
- по длительности входящих соединений за определенный интервал(ы) времени;
- по общему времени входящих соединений за определенный интервал времени (начиная с первого соединения в рамках определенного временного интервала);
в) по направленности входящих соединений:
- повторяющиеся соединения, исходящие от одного и того же номера проводной сети связи;
- повторяющиеся соединения, исходящие от одного и того же номера сотовой подвижной связи;
- повторяющиеся соединения, исходящие от одного и того же номера иных видов связи;
- повторяющиеся соединения, исходящие от одного и того же номера или разных номеров льготного тарифа;
- повторяющиеся соединения, исходящие от одного и того же freefone номера или разных freefone номеров;
г) по типу мобильного соединения - входящие соединения - конференции.
3. Идеальные следы остаются в памяти свидетелей и потерпевших, в числе которых сотрудники компании-оператора, легальные пользователи и др.
Следы при совершении рассматриваемого вида криминальных действий редко остаются в виде изменений внешней среды, что должно учитываться при сборе доказательств и поиске так называемых «традиционных» следов. Поэтому одной из основных задач успешного раскрытия и расследования «мошенничества» в сети сотовой связи является обеспечение следователем и другими уполномоченными лицами сохранности доказательственной информации, сбор и фиксация следов на стадии рассмотрения сообщения о возбуждении уголовного дела и первоначальном этапе расследования.
8.3 Экспертные исследования
В зависимости от стоящих перед следствием задач и спецификой объектов исследования для установления конструктивных особенностей и состояния компьютеров, периферийных устройств, магнитных носителей и пр., компьютерных сетей, причин возникновения сбоев в работе указанного оборудования, а также изучения информации, хранящейся в компьютере и на магнитных носителях, назначается компьютерно-техническая экспертиза. Рассмотрим методические рекомендации по расследованию преступлений в сфере компьютерной информации Расследование преступлений в сфере компьютерной информации: Методические рекомендации //Остроушко А.В., Прохоров А.С., Задорожко С.М., Тронин М.Ю., Гаврилюк С.В. Компьютерный ресурс. Режим доступа: http://zakon.kuban.ru/uk/272`274.htm..
8.3.1 Объекты компьютерно-технической экспертизы
К объектам компьютерно-технической экспертизы относятся:
1. Компьютеры в сборке, их системные блоки.
2. Периферийные устройства (дисплеи, принтеры, дисководы, модемы, клавиатура, сканеры, манипуляторы типа «мышь», джойстики и пр.), коммуникационные устройства компьютеров и вычислительных сетей.
3. Магнитные носители информации (жесткие и флоппи-диски, оптические диски, ленты).
4. Словари поисковых признаков систем (тезаурусы), классификаторы и иная техническая документация, например, технические задания и отчеты.
5. Электронные записные книжки, пейджеры, телефонные аппараты с памятью номеров, иные электронные носители текстовой или цифровой информации, техническая документация к ним.
В системе Министерства внутренних дел России в настоящее время нет специальных экспертных подразделений, которые производят компьютерно-технические экспертизы носителей машинной информации, программного обеспечения, баз данных и аппаратного обеспечения ЭВМ. В связи с этим они могут быть назначены специалистам соответствующей квалификации из внеэкспертных учреждений. В частности, такие специалисты могут быть в информационных центрах, учебных и научно-исследовательских заведениях МВД России. Кроме того, для производства этого вида экспертиз можно привлекать специалистов учебных и научно-исследовательских заведений, не относящихся к системе МВД России, фирм и организаций, занимающихся разработкой программного и аппаратного обеспечения для компьютеров, их эксплуатацией и ремонтом. Данный вид экспертиз может быть поручен специалистам в области эксплуатации ЭВМ (системным программистам, инженерам по обслуживанию, непосредственно работающим с данного вида носителями и др.) и программистам, которые обладают соответствующей квалификацией.
При вынесении постановления о назначении компьютерно-технической экспертизы следователем в постановлении о ее назначении обязательно указываются серийный номер компьютера и его индивидуальные признаки (конфигурация, цвет, надписи на корпусе и т.д.).
Учитывая, что компьютерно-техническая экспертиза - новый формирующийся род судебных экспертиз, необходимость в которых обусловливается широким внедрением компьютерных технологий практически во все сферы человеческой деятельности, полезным будет дать краткую характеристику ее возможностей.
В настоящее время в рамках таких экспертиз выделяются два вида:
- техническая экспертиза компьютеров и их комплектующих, которая проводится в целях изучения конструктивных особенностей и состояния компьютера, его периферийных устройств, магнитных носителей и пр., компьютерных сетей, а также причин возникновения сбоев в работе вышеуказанного оборудования;
- экспертиза данных и программного обеспечения, осуществляемая в целях изучения информации, хранящейся в компьютере и на магнитных носителях.
8.3.2 Вопросы, выносимые на разрешение компьютерно-технической
экспертизы
Вопросы, выносимые на разрешение компьютерно-технической экспертизы, в зависимости от вида экспертизы также подразделяются на следующие группы:
1. Вопросы, разрешаемые технической экспертизой компьютеров и их комплектующих (диагностические):
1. Компьютер какой модели представлен на исследование? Каковы технические характеристики его системного блока и периферийных устройств? Каковы технические характеристики данной вычислительной сети?
2. Где и когда изготовлен и собран данный компьютер и его комплектующие? Осуществлялась ли сборка компьютера в заводских условиях или кустарно?
3. Соответствует ли внутреннее устройство компьютера и периферии прилагаемой технической документации? Не внесены ли в конструкцию компьютера изменения (например, установка дополнительных встроенных устройств: жестких дисков, устройств для расширения оперативной памяти, считывания оптических дисков и пр., иные изменения конфигурации)?
4. Исправен ли компьютер и его комплектующие? Каков их износ? Каковы причины неисправности компьютера и периферийных устройств? Не содержат ли физических дефектов магнитные носители информации?
5. Не производилась ли адаптация компьютера для работы с ним специфических пользователей (левша, слабовидящий и пр.)?
6. Каковы технические характеристики иных электронных средств приема, накопления и выдачи информации (пейджер, электронная записная книжка, телефонный сервер)? Исправны ли эти средства? Каковы причины неисправностей?
2. Диагностические вопросы, разрешаемые экспертизой данных и программного обеспечения:
1. Какая операционная система установлена в компьютере?
2. Каково содержание информации, хранящейся на внутренних и внешних магнитных носителях, в том числе какие программные продукты там находятся? Каково назначение программных продуктов? Каков алгоритм их функционирования, способа ввода и вывода информации? Какое время проходит с момента введения данных до вывода результатов при работе данной компьютерной программы, базы данных?
3. Являются ли данные программные продукты лицензионными (или несанкционированными) копиями стандартных систем или оригинальными разработками?
4. Не вносились ли в программы данного системного продукта какие-либо коррективы (какие), изменяющие выполнение некоторых операций (каких)?
5. Соответствует ли данный оригинальный компьютерный продукт техническому заданию? Обеспечивается ли при его работе выполнение всех предусмотренных функций?
6. Использовались ли для ограничения доступа к информации пароли, скрытые файлы, программы защиты и пр.? Каково содержание скрытой информации? Не предпринимались ли попытки подбора паролей, взлома защитных средств и иные попытки несанкционированного доступа?
7. Возможно ли восстановление стертых файлов? Возможно ли восстановление дефектных магнитных носителей информации? Каково содержание восстановленных файлов?
8. Каков механизм утечки информации из локальных вычислительных сетей, глобальных сетей и распределенных баз данных?
9. Имеются ли сбои в функционировании компьютера, работе отдельных программ? Каковы причины этих сбоев? Не вызваны ли сбои в работе компьютера влиянием вируса (какого)? Распространяется ли негативное влияние вируса на большинство программ или он действует только на определенные программы? Возможно ли восстановить в полном объеме функционирование данной программы (текстового файла), поврежденного вирусом?
10. Каково содержание информации, хранящейся на пейджере, в электронной записной книжке и пр.? Имеется ли в книжке скрытая информация и каково ее содержание?
11. Когда производилась последняя корректировка данного файла или инсталляция данного программного продукта?
12. Каков был уровень профессиональной подготовки в области программирования и работы с компьютерной техникой лица, произведшего данные действия с компьютером и программным обеспечением?
3. Вопросы идентификационного характера, разрешаемые компьютерно-технической экспертизой:
1. Имеют ли комплектующие компьютера (печатные платы, магнитные носители, дисководы и пр.) единый источник происхождения?
2. Не написана ли данная компьютерная программа определенным лицом (решается комплексно при производстве компьютерно-технической и автороведческой экспертиз)?
Кроме приведенного выше перечня вопросов, разрешаемых компьютерно-технической экспертизой, для использования на практике, в зависимости от объекта исследования и конкретной обстановки, можно привести дополнительные примеры, расширяющие перечень вопросов, подлежащих выяснению при исследовании таких объектов, как носители информации, программное обеспечение, базы данных и аппаратное обеспечение ЭВМ.
8.3.3 Перечень вопросов, разрешаемых при исследовании носителей
машинной информации
При исследовании носителей машинной информации разрешаются следующие вопросы: