книги / Теория и практика борьбы с компьютерной преступностью
..pdfРис. 3.2.1
§ 2.1. Особенности применения специальных знаний для обнаружения следов компьютерных преступлений
впроцессе осмотра места происшествия по делам
окомпьютерных преступлениях
«Специальными являются познания, приобретенные субъектом в про цессе практической деятельности путем специальной подготовки или про фессионального опыта, основанные на системе теоретических знаний в соответствующей области» [45, с. 398].
Применительно к компьютерным преступлениям исследователи замеча ют, что для успешного выявления, быстрого и полного расследования этих преступлений необходимы новые подходы, основанные на более полном использовании достижений науки и техники, при содействии сведущих лиц [146, с. 23].
Многими авторами отмечалось, что успешное применение криминали стической и специальной техники зависит от умений и навыков применяю щих эту технику субъектов, а также четкого определения целей ее примене ния [134, с. 19].
Подавляющее большинство опрошенных нами следователей, оператив ных работников и сотрудников экспертных подразделений органов внут ренних дел (92 %) высказались за обязательное привлечение специалистов в области информатики и электроники в процессе раскрытия и расследования дел рассматриваемой категории, в том числе при проведении отдельных следственных действий.
Анализ криминалистической, специальной литературы и следственной практики показал, что помощь специалистов следователю в работе со сле дами на месте происшествия может заключаться:
■в обнаружении, фиксации и изъятии следов с помощью средств крими налистической техники;
•в описании следов в протоколе, составлении планов и схем их располо жения;
•в консультациях по вопросам изучения следов;
■ в отборе следов для криминалистического исследования [145, с. 9].
По делам о компьютерных преступлениях специалисты могут привле каться из числа:
•сотрудников экспертных подразделений всех уровней и различной ве
домственной принадлежности; " компетентных работников контролирующих органов;
■представителей научных и педагогических коллективов, обладающих глубокими познаниями в области информационных технологий;
■частных лиц, не состоящих в штате каких-либо официальных структур.
Ряд авторов отмечает, что в качестве специалистов нельзя привлекать инженерно-технический состав того субъекта хозяйствования, в котором произошло событие, так как они сами могут в той или иной мере нести от ветственность за случившееся [29, с. 120].
Следует согласиться с мнением исследователей, отмечающих, что поня тия «специалист по компьютерной технике» не существует и можно гово рить о специалисте, компетентном в конкретной компьютерной либо опе рационной системе [48, с. 157]. Данное утверждение означает, что решение следователем задачи о соответствии компетенции лиц, привлекаемых в ка честве специалистов, необходимой для проведения осмотра места происше ствия, существенно усложняется. Выход из такой ситуации автор настояще го пособия видит в специализации следователя.
В. В. Крылов предлагает отнести расследование компьютерных преступ лений к компетенции следственных аппаратов органов прокуратуры [140, с. 14]. Однако опрошенные нами следователи, оперативные работники и эксперты органов внутренних дел считают, что расследованием дел о ком пьютерных преступлениях должны заниматься следователи, специализи рующиеся на расследовании экономических преступлений (73,8 %) .
Принимая данную точку зрения, следует отметить, что специалист, ком петентный в области конкретной компьютерной системы, может не обла дать достаточными познаниями, необходимыми для проведения осмотра помещений, кабельного хозяйства. Это означает, что, планируя проведение осмотра места происшествия, следователь должен предусмотреть присутст вие специалистов, обладающих знаниями, применение которых способно обеспечить выполнение мероприятий, указанных на рис. 3.2.2.
Рис. 3.2.2
Очевидно, что при таком подходе у следователя значительно расширя ются возможности по ознакомлению со средствами компьютерной техники и программного обеспечения, используемыми субъектами хозяйствования.
Существенной может оказаться консультационная помощь в выборе специалистов, привлекаемых к участию в осмотре, сотрудников информа ционно-аналитических подразделений УВД МВД. При выборе специали стов предпочтение при равных познаниях в информатике и электронике должно отдаваться лицам, знакомым со спецификой следственной работы, что позволит более целенаправленно использовать их знания при производ стве следственных действий [25, с. 24], В ходе осмотра места происшествия специалист «изучает всю обстановку места происшествия, все следы, пред меты, вещества, имеющиеся на нем» [33, с. 33].
Нами был предложен следующий порядок проведения осмотра места происшествия по делам о компьютерных преступлениях. Следователь, при ступая к детальному осмотру компьютерных систем, их сетей и периферий ных устройств, с учетом сложившейся следственной ситуации, должен оце нить возможность изъятия ЭВМ, иных средств вычислительной техники для проведения в дальнейшем экспертного исследования в лабораторных усло виях. Возможно также проведение части экспертных исследований непо средственно на месте происшествия, когда невозможно изъять указанные технические средства.
Тактику проведения криминалистических исследований по обнаруже нию следов компьютерного преступления можно представить в виде схемы, изображенной на рис. 3.2.3.
Рис. 3.2.3
В случае, если компьютерные системы, их сети и периферийные устрой ства не являются критическими с точки зрения обработки информации и их изъятие не нанесет существенного ущерба выполнению поставленных про изводственных или иных задач, следует изъять эти устройства в соответст вии с порядком изъятия, изложенным ниже, для последующего назначения
ипроизводства экспертизы (рис. 3.2.3, вариант А).
Впротивном случае, а также если у следователя имеются основания счи тать, что отключение какой-либо части компьютерной системы может привести к утере доказательственной информации, необходимо проводить детальный осмотр указанных устройств непосредственно на месте проис шествия (рис. 3.2.3, вариант Б).
Вслучае, если в результате детального осмотра возникнет необходи мость в назначении и производстве экспертизы, следователь выносит соот ветствующее постановление.
Вкаждой конкретной следственной ситуации следователь определяет объем необходимых экспертных исследований1, исходя из которого им формулируются вопросы эксперту, например.
1 «В каждом конкретном случае следователь должен знать возможности каж дого вида экспертизы, должен четко представлять, к какой научной отрасли от
■исправна ли ЭВМ и периферийные устройства на момент ^смотра, и ес ли нет, то какова причина неисправности?
■не явилось ли расследуемое событие результатом сбоя программного обеспечения или отказом какого-либо устройства?
•не явились ли указанные сбой или отказ результатом воздействия чело века, и если да, то имело ли место нарушение средств защиты?
■имела ли место модификация компьютерной информации?
■имело ли место использование данных ЭВМ, их сетей и периферийного оборудования для совершения расследуемого деяния?
■можно ли по имеющейся в компьютерных системах следовой информа ции установить время и место совершения расследуемого события, и ес ли да, то когда и где оно произошло?
По варианту Б (рис. 3.2.3) проведение изложенных ниже мероприятий сопровождается подробной видеозаписью, включая все распоряжения, от даваемые следователем, все действия, выполняемые по его поручению спе циалистами, удостоверительную роль понятых при совершении данных действий и т. д., с подробным «проговариванием» происходящих событий в процессе видеозаписи.
Следует отметить, что по УПК Республики Беларусь 1999 г. осмотр мо жет производиться и без понятых. Однако ч. 1 ст. 202 названного кодекса гласит, что по усмотрению органа уголовного преследования понятые могут участвовать в производстве следственных действий и в случаях, не преду смотренных УПК. Решение о целесообразности присутствия понятых при нимается следователем в зависимости от складывающейся обстановки. По этому при разработке тактики проведения осмотра места происшествия мы сочли целесообразным учитывать присутствие обозначенных участников уголовного процесса.
Предлагая данный вариант тактики проведения детального осмотра ком пьютерных систем, их сетей и периферийного оборудования, автор исходит из того, что от понятых, не обладающих криминалистическими и специаль ными знаниями, нельзя требовать удостоверения в протоколе осмотра со держания и результатов применения предлагаемых исследователем специа лизированных программно-аппаратных модулей1. Очевидно, что при выбо ре варианта А (рис. 3.2 3) данная проблема не возникнет в силу того, «то
носятся обстоятельства, подлежащие исследованию по данному уголовному делу»
[29, с 250J
1 В данном случае речь идет о совмещении функций понятого и специалиста Подробнее см [137, с 241]
экспертное исследование (в экспертном подразделении, лаборатории) не 'предполагает присутствия понятых.
Последующее проведение экспертизы непосредственно на месте про исшествия целесообразно поручить специалисту, который проводил де тальный осмотр компьютерных систем, их сетей и периферийного обору дования.
§ 2.2. Особенности подготовительного этапа осмотра места происшествия по делам о компьютерных преступлениях
Осмотр места происшествия по делам о компьютерных преступлениях традиционно разделяется на три этапа: подготовительный, рабочий, заклю чительный.
После принятия решения о производстве осмотра места происшествия следователь должен совершить следующие действия:
1.Принять меры по обеспечению охраны места происшествия до своего прибытия (например, крайне негативным моментом в расследовании ком пьютерных преступлений будет приглашение пострадавшей стороной спе циалистов в области информационных технологий для аварийного восста новления компьютерных систем до прибытия следственно-оперативной группы, так как могут быть по неосторожности или незнанию уничтожены важные данные, имеющие доказательственное значение);
2.Принять меры к предотвращению или ослаблению вредных последст вий компьютерного преступления (например, для нормального функциони рования субъекта хозяйствования следователь, проконсультировавшись со специалистами, может разрешить использовать резервную компьютерную систему или ЛВС);
3.Обеспечить к моменту своего прибытия присутствие лиц, которые мо
гут дать необходимую информацию о происшествии:
■администраторов сетей;
■руководителей служб собственной безопасности предприятия;
■очевидцев преступления, если они известны;
■операторов ЭВМ;
■аналитиков, бухгалтеров и др.
4.Обеспечить присутствие специалистов на инструктаже следственно оперативной группы.
5.Поручить специалистам проверить готовность программно-техничес ких средств.
По прибытии следователя на место происшествия он должен организо вать выполнение следующих мероприятий:
1.Удалить с места происшествия всех посторонних лиц и предупредить появление таких лиц в последующем при производстве осмотра.
2.Выявить лиц, побывавших на месте происшествия до приезда след ственно-оперативной группы, а также установить изменение, внесенных в обстановку.
3.Привлечь при необходимости к участию в осмотре понятых (при прове дении осмотра места происшествия по делам о компьютерных преступлениях понятые должны удостоверить факты, относящиеся к объективным данным материальной обстановки места происшествия, а также факты, связанные с проводимыми следователем определенными действиями на месте происшест вия, например применением средств обнаружения, фиксацией и изъятием сле дов)1и окончательно определить остальных участников осмотра.
4.Отдать поручения специалистам о проверке готовности программно технических средств.
5.Собрать путем неформальной, непротоколированной беседы с сотруд никами потерпевшей организации предварительных сведений, которые должны быть приняты во внимание при осмотре.
6.Оценить возможность доступа посторонних лиц в помещения, в кото рых находятся критичные к несанкционированному доступу электронные устройства.
7.Выяснить порядок протоколирования доступа к информации, а также каким образом и кем ведется администрирование сети.
Сучетом специфики расследования данной категории дел следователь должен поручить специалистам выяснить следующие обстоятельства, влия ющие на способы и порядок обнаружения, фиксации и изъятия следов ком пьютерного преступления:
■имеет ли сетевая среда (либо при ее отсутствии персональный компью тер) выход в глобальные сети;
■наименование используемого телекоммуникационного оборудования, его характеристики; наименование используемых средств электронной почты;
■используется ли защита принимаемой и передаваемой информации, спо соб ее реализации;
1Вопросам участия понятых при проведении осмотра места происшествия посвящен ряд работ, в том числе, например[145, с. 8].
■отсутствует ли в данной обстановке оборудование, нормально функ ционирующее в системе; присутствует ли чужеродное оборудование, факт обнаружения которого в данной обстановке необычен;
■пространственное расположение помещений, занимаемых потерпевшим субъектом хозяйствования в зданиях;
■сведения о сетевых средах потерпевшего субъекта хозяйствования, их фирму-производителя, организацию, обеспечивающую поставку и со провождение сетевых операционных систем и сетевого оборудования;
■используются ли внешние магнитные, оптические и иные средства пере носа и хранения информации;
■возможно ли использование дисководов, не подключенных к сети ком пьютеров, для переноса информации;
■были ли ранее существенные сбои в функционировании компьютерных систем, как они распределялись по времени, каков был ущерб.
Указанная информация фиксируется следователем в протоколе осмотра места происшествия.
§ 2.3. Особенности осмотра помещений, зданий, кабельного хозяйства при осмотре места происшествия по делам
о компьютерных преступлениях
Рабочий этап осмотра должен производиться только в присутствии и с участием приглашенных следователем специалистов. Он начинается со сбора традиционных доказательств: невидимых и маловидимых следов пальцев рук на клавиатуре, выключателях и т, д,; рукописных записей и др.
Мы придерживаемся мнения, что при осмотре места происшествия по делам о компьютерных преступлениях следует использовать концентриче ский способ осмотра, под которым понимается порядок осмотра от перифе рии к центру1, где находится самый важный объект (объекты) - сетевой сервер (серверы) предприятия. Результаты опроса следователей, оператив ных работников и сотрудников экспертных подразделений органов внут ренних дел подтверждают данное предположение (за использование кон центрического способа осмотра места происшествия высказались 54,7 % респондентов).
Рабочий этап осмотра места происшествия по делам о компьютерных преступлениях можно представить в виде последовательности из трех важ
1 Центром места происшествия считаются ... места, на которых имеются наиболее важные следы происшедшего события См [29, с 128]
нейших мероприятий, объединенных единым замыслом и руководством (см. рис. 3.2.2). Необходимость существования определенных схем и последова тельности проведения определенных следственных действий подчеркива лась и другими исследователями [142, с. 18].
С целью выявления несанкционированных подключений к сетевым ка белям и для установления источников утечки информации, а также попыток зондирования системы (т. е. ведения электронной разведки) осуществляется исследование целостности сетевых кабельных линий связи и осмотр поме щений (рис. 3.2.4).
Рис. 3.2.4
При монтаже сети разводка сетевого кабеля, как правило, осуществляет ся магистральным коаксиальным кабелем, нелегальное подключение к ко торому может осуществляться практически в любом месте. В случае, если разводка магистрального кабеля по зданию осуществляется закрытым спо собом (в металлорукаве, в штробе, в закладных сетях здания, в коробах), ка бель недоступен без проведения соответствующих работ. Любое подключе ние к нему требует нарушения его целостности или установки соответст вующего устройства.
Поэтому специалист под руководством следователя (в присутствии по нятых) должен провести визуальный осмотр кабельного хозяйства и уст ройств его разводки. Любое нарушение целостности отмечается следовате лем в протоколе осмотра места происшествия. Большую помощь в проведе нии визуального осмотра способна оказать информация, которая может быть получена путем опроса сотрудников пострадавшего от компьютерного преступления субъекта хозяйствования; выясняется, например:
■поддерживает ли служба собственной безопасности (в ее отсутствие со трудники информационных подразделений) режимные мероприятия по защите информации и в каком объеме;
■в каком объеме она контролирует проводимые на защищаемом объекте работы;
■применяются ли пострадавшей стороной технические средства для уста новления фактов нелегального подключения, электромагнитного пере хвата и какие;
■каким образом учитывается вероятность ложных срабатываний и воз можность пропуска системой контроля истинных срабатываний.
Далее (в присутствии понятых) под руководством следователя специа листом проводится поиск возможных электронных закладок методом ра диомониторинга при помощи технических средств (электромагнитных ска неров), при этом следователь должен учитывать возможность «ложной тре воги» (случайных изменений), вызванной, например, повышением влаж ности в местах прокладки магистрального кабеля, профилактическими работами, выполняемыми в здании, и т. д.
Истребование и осмотр документов, отражающих факты установления сеансов связи, осуществляются следователем в соответствии с криминали стическими рекомендациями по работе с документами.
§ 2.4. Особенности криминалистического исследования компьютерных систем, их сетей и периферийного оборудования непосредственно на месте происшествия
Проведение детального осмотра компьютерных систем, их сетей и пе риферийного оборудования либо проведение экспертного исследования указанных устройств непосредственно на месте происшествия возможно следующим образом.
Специалистом (в присутствии понятых) (экспертом - без присутствия понятых) производится подключение своего «ноутбука» к сети субъекта хо зяйствования и получение в ней прав администратора, т. е. наивысшей при вилегии санкционированного доступа к ресурсам сетевой вычислительной среды, для проведения антивирусного тестирования системы, а затем аудита сети и сетевых ресурсов (рис. 3.2.5).
Осуществив указанное подключение, специалист (эксперт) проводит тестирование персональных компьютеров и сети на предмет обнаружения вредоносных (либо пораженных вирусом) программ. Для их обнаружения
f «О