книги / Теория и практика борьбы с компьютерной преступностью

предложить специалисту убедиться в том, что информация записывается на дискету, а не на жесткий диск (эксперт должен убедиться в этом самостоя­ тельно).

После копирования регистрационных файлов, файлов конфигураций, журналов событий защиты специалист (эксперт) должен проверить, защи­ щены ли используемые носители от случайной записи. На носители нано­ сятся ярлыки, в дальнейшем они не применяются на других компьютерах.

В ходе проведения осмотра по письменному поручению следователя специалист составляет акт о промежуточных результатах аудита компью­ терных систем на месте происшествия.

При непосредственном исследовании файловой системы ЭВМ в прото­ кол осмотра места происшествия заносятся важнейшие идентификационные признаки осматриваемых файлов [46, с. 28]:

■тип;

■местоположение;

■имя;

■размер;

*время создания;

■время изменения;

"атрибуты;

■для частей файлов должно быть указано, какими программными средст­ вами, при каких условиях удалось извлечь из них информацию.

Перечисленные признаки должны быть изложены в заключении экспер­ та при проведении экспертного исследования непосредственно на месте происшествия.

В случаях, когда неизбежно изменение некоторых данных или наложе­ ние новых данных в ходе процесса обследования (например, когда необхо­ димо дополнить временный файл, закрыть приложение либо подобрать па­ роль), следователь, учитывая последствия всех производимых действий, должен поручить специалисту вести запись последовательности всех опера­ ций для того, чтобы затем было возможно объяснить причины их возникно­ вения. Эксперт фиксирует указанную последовательность самостоятельно.

Осуществляя процессуальное закрепление следов компьютерного пре­ ступления, независимо от того, остаются следы на месте происшествия (т. е. создаются их копии) либо изымаются, следователь должен исчерпывающим образом описать их в протоколе осмотра места происшествия. При этом в протоколе должны быть отражены лишь объективно воспринимаемые все­ ми участниками осмотра признаки и свойства следов преступлений данного вида без выводов о происхождении следов компьютерного преступления и

связи их с другими обстоятельствами дела. При определении конкретных реквизитов, подтверждающих, что соблюдены необходимые условия, обес­ печивающие юридическое значение доказательств, полученных как в виде традиционных печатных документов, так и на технических носителях, сле­ дователю необходимо прибегнуть к помощи специалистов в иных областях знаний: бухгалтеров, экономистов, программистов, инженеров.

Всудебных разбирательствах компьютерных преступлений возможно возникновение проблем допустимости в качестве доказательства преступле­ ния файлов и других компьютерных документов. Поскольку в Республике Беларусь и Российской Федерации пока не накоплен опыт судебных дел о компьютерных преступлениях и не разработаны документы, регламенти­ рующие проверку, сохранение и представление на рассмотрение компью­ терных доказательств, можно воспользоваться опытом ведущих западных стран в сфере информатизации.

ВАнглии и Уэльсе закон Criminal Justice Act 1988 г. разрешает суду при­ знавать допустимым «деловой документ», если:

■он создавался или был получен человеком в ходе ведения бизнеса, тор­ говли или выполнения профессиональных обязанностей;

■информация, содержащаяся в нем, предоставлялась человеком, который персонально разбирается в предмете;

■были безуспешно предприняты все шаги для нахождения создателя до­ кумента [90, с. 127].

Один из способов доказательства правильности работы компьютерной

системы в данный период времени состоит в поддержке протокола опера­ ционной системы, регистрирующего все этапы работы.

Другой способ заключается в регистрации всех сообщений о системных сбоях или подобных инцидентах посредством системного журнала.

В США для признания судом допустимости компьютерных документов должно быть подтверждено, что они были произведены в ходе обычной практики ведения деловых операций. В качестве примера подобных доку­ ментов можно привести файлы, регистрирующие активность системы.

Представляемое суду компьютерное доказательство должно быть наи­ лучшим изо всех доступных доказательств, под этим термином понимают изъятие файлов вместе с их носителем. Закон разрешает использование в качестве «наилучшего доказательства» распечатки контрольного журнала, сделанной непосредственно после проявления фактов совершения преступ­ ления. Если нет немедленной распечатки, то суд может принять распечатки, сделанные на несколько дней позже, или даже копии этих распечаток.

ности, свидетельство того, что они являются точной копией информации, обнаруженной в компьютере, и никак не были изменены.

Если документ произведен компьютером, то сторона, представляющая доказательство, должна указать:

•средства сбора и обработки информации;

•тип используемой системы;

■средства контроля, встроенные в систему для гарантированного выяв­ ления и исправления ошибок.

Закон в Англии и Уэльсе идет дальше, чем в США, предлагая стороне, представляющей компьютерное доказательство, не только убедить суд в от­ сутствии системного сбоя, который мог бы нарушить целостность докумен­ та, но и доказать, что документ не был умышленно модифицирован или искажен.

Фиксация хода и результатов процессуальных действий призвана обес­ печить максимально полное и верное отражение всего содержания процес­ суального действия и достигнутых результатов. Приемы фиксации направ­ лены на выбор или создание условий, обеспечивающих максимально эф­ фективное применение соответствующих технико-криминалистических средств и приемов запечатления доказательственной информации в уста­ новленных законом формах.

Результатом фиксации является создание соответствующего процес­ суального документа - протокола осмотра места происшествия - источника доказательств, а также включение в систему доказательств надлежащим об­ разом оформленных материальных объектов, обладающих всеми необходи­ мыми по закону процессуальными реквизитами (вещественных доказа­ тельств), или получение для целей экспертизы сравнительных материалов (образцов).

§ 3.5. Особенности изъятия следов компьютерных преступлений

Под изъятием доказательств в криминалистике понимают обеспечение возможности их использования для доказывания, приобщение их к делу, со­ хранение для следствия и суда [11, с. 30]

Специфика изымаемых следов предопределяет активное участие спе­ циалиста в ходе их изъятия при осмотре места происшествия по делам рас­ сматриваемой категории. Следы компьютерного преступления также могут быть изъяты экспертом при проведении экспертного исследования компью­ терных систем, их сетей и периферийного оборудования.

Изъятие предварительно зафиксированных файловых следов-отображе­ ний и файловых следов-предметов возможно (в зависимости от обстоя­ тельств дела) двумя путями (рис. 3.3.12).

Рис. 3.3.12

Во-первых, путем изъятия вместе с носителем (изъятие СКТ). В этом случае на предварительно выключенной и обесточенной компьютерной системе осуществляется отсоединение интерфейсных и силовых кабелей. Порядок отсоединения разъемов фиксируется в протоколе, на разъемах до­ пустимо делать пометки с целью дальнейшего подключения устройств та­ ким же образом и для дальнейшего исследования системы в лабораторных условиях. Изъятое оборудование аккуратно упаковывается. Транспортиров­ ка его должна осуществляться бережно. Крайне нежелательно воздействие:

°сильных ударов;

а высоких температур;

кэлектромагнитных и электростатических полей.

Хранение компьютерной системы должно осуществляться в упакован­ ном виде, подготовку к включению и эксплуатацию ее недопустимо произ­ водить без участия эксперта, исследующего оборудование в лабораторных условиях.

Во-вторых:

1) путем изъятия данных, предварительно зафиксированных экспертом (специалистом) на собственных носителях информации, согласно научнообоснованным рекомендациям, изложенным нами ранее;

2) путем изъятия самих носителей информации (в том числе всех рсзервных копий данных компьютерной системы, сделанных сотрудниками пострадавшего от компьютерного преступления субъекта хозяйствования, как плановых, так и внеплановых).

Впервом случае это доказательство не изымается, а «изымаются, пере­ ходят на новый объект его доказательственные свойства. Новый объект, но­ ситель этих свойств, является производным вещественным доказательст­ вом» [И , с. 30]. Во втором - носители информации изымаются и приобща­ ются к делу в качестве вещественного доказательства с соблюдением требований уголовно-процессуального кодекса.

Вобоих случаях головки жестких дисков паркуются, съемные магнит­ ные диски необходимо поместить в металлическую коробку, которую сле­ дует оберегать от ударов, воздействия повышенной влажности и температу­ ры, запыленности, прямых солнечных лучей, вибрации, а также электромаг­ нитных и электростатических полей. В литературе описан случай создания

вдверном проеме магнитного поля, уничтожающего информацию с маг­ нитных носителей при выносе их из помещения [46, с. 75].

Входе осмотра места происшествия по делам данной категории следо­ вателем должны быть истребованы и изъяты следующие документы:

1)распечатанные на принтере и оформленные в виде протокола резуль­ таты работы экспертного программного обеспечения и аудита сети;

2)документы, носящие следы совершенного преступления:

•телефонные счета;

•телефонные книги;

•журналы установления связи;

•письма, составленные при помощи ЭВМ и др;

3)документы со следами действий операционных систем и прикладного программного обеспечения - распечатки системных журналов;

4)документы со следами действий аппаратуры - распечатки, получен­ ные на принтерах и иных устройствах вывода информации;

5)документы, описывающие аппаратуру и программное обеспечение, - техническая документация на аппаратные средства и программное обеспе­ чение;

6)документы, устанавливающие правила работы с информационной системой в целом, нормативные акты, регламентирующие правила работы и обслуживания компьютерных систем;

7)планы здания, схемы разводки коммуникаций, топологическая схема сети предприятия.

Изъятие известных криминалистике следов-отображений и следов-пред­ метов (например, отпечатков пальцев на клавиатуре, орудий и следов меха­ нического воздействия на ЭВМ, их сети и периферийные устройства, доку­ ментов), а также следов-веществ осуществляется традиционными способа­ ми [3, с. 46-55, 57-59, 77].

Следует учитывать, что изымаемые электронные системы в виде заклад­ ных устройств и устройств дистанционного съема информации весьма чув­ ствительны к воздействию электростатического поля, которое может вывес­ ти их из строя. Поэтому при их упаковывании необходимо использовать из­ делия из специального материала (специального полиэтилена).

ГЛАВА 4. ПРОВЕДЕНИЕ КОМПЬЮТЕРНОТЕХНИЧЕСКОЙ ЭКСПЕРТИЗЫ (КТЭ)1

§ 4.1. Классификация КТЭ

При совершении преступлений с использованием технических средств уче­ ные-криминалисты определяют следующий круг вопросов, подлежащих ис­ следованию и существенных для расследования преступлений [37, с. 354-355]'.

1.Какова техническая природа продуктов человеческой деятельности, которые являются объектами воздействия рассматриваемых устройств.

2.Каковы технические особенности устройства или особенности техно­ логии его использования в человеческой деятельности, которые могли по­ служить мотивами применения данного устройства в преступных целях.

3.Каковы объективные маскирующие или обезличивающие свойст­ ва технического устройства, которые могли послужить мотивами его ис­ пользования при совершении преступления. Насколько профессиональны навыки преступника по использованию этих свойств.

4.Особые криминалистически значимые признаки технического устрой­ ства, которые можно обнаружить в следах, оставляемых этим устройством

впроцессе работы; возможности обнаружения этих следов.

5.Возможности технического устройства по осуществлению тех задач, которые решались с его использованием при совершении преступления.

6.Способы использования данных устройств в преступных целях.

КТЭ как самостоятельный род экспертиз сформировалась недавно и в настоящее время находится в постоянном развитии. Расширяется перечень

ееобъектов, совершенствуются методы проведения исследований, форми­

1При написании главы использованы материалы статьи [113, с 40-77]

руются новые методики производства. Развитие и совершенствование КТЭ находится в прямой зависимости от научно-технического прогресса в сфере новых информационных технологий.

Изучение СКТ, как было отмечено выше, начинается с аппаратных средств, далее - программных, затем - работа с данными. В результате та­ кого комплексного характера исследований в рамках КТЭ достигается ре­ шение наиболее существенных экспертных задач - поиск, обнаружение, анализ и оценка криминалистически значимой компьютерной информации.

Видовую классификацию КТЭ целесообразно рассматривать на основе обеспечивающего предназначения СКТ (аппаратных, программных, инфор­ мационных) и использовать ее в виде, соответствующем процессам разра­ ботки и эксплуатации СКТ. Таким образом, можно выделить следующие пять видов экспертиз (рис. 3.4.1).

Рис. 3.4.1

При проведении любой формы исследования в ходе КТЭ полученные ре­ зультаты приводят к установлению определенных фактов и обстоятельств конкретного уголовного дела. Объективное представление этих фактов взаимосвязано с уяснением второй составляющей любой компьютерной системы - ее функциональной подсистемой, т. е. функциональным приме­ нением в различных сферах деятельности человека.

Очевидно, что исследование поставленных пограничных вопросов долж­ но осуществляться в рамках комплексной экспертизы. Таким образом, многие объекты КТЭ в то же время могут являться объектами судебных экспертиз других родов и классов. Анализ судебной экспертной практики позволяет наметить перспективы развития подобных комплексных экспер­ тиз, например комплексной компьютерно-технической и технико-кримина­ листической экспертизы документов, комплексной компьютерно-техничес­ кой и бухгалтерской экспертизы и т. д.

Ранее нами были рассмотрены следующие виды экспертиз, при их про­ ведении непосредственно на месте происшествия.

Аппаратно-компьютерная экспертиза, т. е. исследование аппаратных компонентов СКТ, магнитных носителей, документации.

Программно-компьютерная экспертиза, т. е. исследование операцион­ ных систем. В силу многих причин сложилось так, что в одних сетевых опе­ рационных системах какие-то сервисы реализованы лучше, какие-то хуже, поэтому для многих сетей, вне зависимости от их масштаба, свойственно одновременное использование различных сетевых операционных систем. Для автоматизированных систем Республики Беларусь и Российской Феде­ рации характерно доминирование сетевых операционных систем от Microsoft и Novell.

Информационно-компьютерная экспертиза - исследование прикладного программного обеспечения, СУБД и т. д.

Указанные КТЭ можно проводить как в лабораторных условиях, если при проведении осмотра места происшествия следователь положительно оценил возможность изъятия СКТ, так и непосредственно на месте проис­ шествия. Тактика производства рассматриваемых экспертиз была рассмот­ рена нами ранее.

Комплексные экспертизы проводятся на пограничных областях специ­ альных знаний. Примерами могут быть:

■комплексная компьютерно-техническая и технико-криминалистическая экспертиза документов [136];

"комплексная компьютерно-техническая и бухгалтерская экспертиза и др.

§4.2. Компьютерно-сетевая экспертиза

Впоследнее время распространились удаленные атаки на распределен­ ные вычислительные сети. Например, четыре из пяти компьютерных пре­

ступлений, которые расследовались ФБР за последние годы, совершены с доступом через Internet.

Для эффективного информационного обеспечения раскрытия и рассле­ дования преступлений комплексно используются процессуальные и непро­ цессуальные методы, так как процессуальная деятельность без применения непроцессуальных методов была бы невозможной, а непроцессуальная дея­ тельность без последующего использования ее результатов в уголовном процессе - бесполезной. В этой связи особый интерес представляет инфор­ мационно-разведывательный ресурс сети Internet, предоставляющий опера­ тивным подразделениям, осуществляющим аналитический поиск, принци­ пиально новые возможности для сбора, систематизации, накопления и изу­ чения данных оперативно-розыскного профиля [61].