книги / Теория и практика борьбы с компьютерной преступностью
..pdfТехнологическая сложность компьютерных систем, их компонентов пре допределяет широкое применение криминалистической фотографии и ви деосъемки при создании внутренней описи, фиксации исходного распо ложения компьютерной системы и ее статуса Фотоснимки желательно со проводить схемами размещения и соединения оборудования и периферий ных устройств.
; |
|
Понятые |
; |
! |
: : : : : : : : : : : : : : : : : : : : : : : : : : : : : : i: : : : : : : : : : : : : : : : : : : : : : : : : : : : : : |
< |
|
|
Удостоверяют результаты физической фиксации |
||
; |
: : : : : : : : : : : : : : : : : : : : : : : : : : : : : : г : : : : : : : : : : : : : : : : : : : : : : : : : : : : : |
; |
|
Присутствуют при аудите и удостсееряют факты, содержание и результаты действий |
|||
; |
_ |
следователя и специалистов на месте происшествия |
; |
|
|
Рис. 3.3.9 |
|
В ходе осмотра компьютерных систем, их сетей и периферийного обо рудования при определении последовательности применения способов фик сации специалистом следователю необходимо учитывать, что запуск кон трольных программ может негативно повлиять на жесткий диск исследуе мой системы.
Этот же фактор должен учитывать эксперт при проведении экспертного исследования непосредственно на месте происшествия
Рис. 3.3.10
Если программа, используемая для проверки работоспособности аппа ратных средств, помещает результат проверки в файл, следователь должен
предложить специалисту убедиться в том, что информация записывается на дискету, а не на жесткий диск (эксперт должен убедиться в этом самостоя тельно).
После копирования регистрационных файлов, файлов конфигураций, журналов событий защиты специалист (эксперт) должен проверить, защи щены ли используемые носители от случайной записи. На носители нано сятся ярлыки, в дальнейшем они не применяются на других компьютерах.
В ходе проведения осмотра по письменному поручению следователя специалист составляет акт о промежуточных результатах аудита компью терных систем на месте происшествия.
При непосредственном исследовании файловой системы ЭВМ в прото кол осмотра места происшествия заносятся важнейшие идентификационные признаки осматриваемых файлов [46, с. 28]:
■тип;
■местоположение;
■имя;
■размер;
*время создания;
■время изменения;
"атрибуты;
■для частей файлов должно быть указано, какими программными средст вами, при каких условиях удалось извлечь из них информацию.
Перечисленные признаки должны быть изложены в заключении экспер та при проведении экспертного исследования непосредственно на месте происшествия.
В случаях, когда неизбежно изменение некоторых данных или наложе ние новых данных в ходе процесса обследования (например, когда необхо димо дополнить временный файл, закрыть приложение либо подобрать па роль), следователь, учитывая последствия всех производимых действий, должен поручить специалисту вести запись последовательности всех опера ций для того, чтобы затем было возможно объяснить причины их возникно вения. Эксперт фиксирует указанную последовательность самостоятельно.
Осуществляя процессуальное закрепление следов компьютерного пре ступления, независимо от того, остаются следы на месте происшествия (т. е. создаются их копии) либо изымаются, следователь должен исчерпывающим образом описать их в протоколе осмотра места происшествия. При этом в протоколе должны быть отражены лишь объективно воспринимаемые все ми участниками осмотра признаки и свойства следов преступлений данного вида без выводов о происхождении следов компьютерного преступления и
связи их с другими обстоятельствами дела. При определении конкретных реквизитов, подтверждающих, что соблюдены необходимые условия, обес печивающие юридическое значение доказательств, полученных как в виде традиционных печатных документов, так и на технических носителях, сле дователю необходимо прибегнуть к помощи специалистов в иных областях знаний: бухгалтеров, экономистов, программистов, инженеров.
Всудебных разбирательствах компьютерных преступлений возможно возникновение проблем допустимости в качестве доказательства преступле ния файлов и других компьютерных документов. Поскольку в Республике Беларусь и Российской Федерации пока не накоплен опыт судебных дел о компьютерных преступлениях и не разработаны документы, регламенти рующие проверку, сохранение и представление на рассмотрение компью терных доказательств, можно воспользоваться опытом ведущих западных стран в сфере информатизации.
ВАнглии и Уэльсе закон Criminal Justice Act 1988 г. разрешает суду при знавать допустимым «деловой документ», если:
■он создавался или был получен человеком в ходе ведения бизнеса, тор говли или выполнения профессиональных обязанностей;
■информация, содержащаяся в нем, предоставлялась человеком, который персонально разбирается в предмете;
■были безуспешно предприняты все шаги для нахождения создателя до кумента [90, с. 127].
Один из способов доказательства правильности работы компьютерной
системы в данный период времени состоит в поддержке протокола опера ционной системы, регистрирующего все этапы работы.
Другой способ заключается в регистрации всех сообщений о системных сбоях или подобных инцидентах посредством системного журнала.
В США для признания судом допустимости компьютерных документов должно быть подтверждено, что они были произведены в ходе обычной практики ведения деловых операций. В качестве примера подобных доку ментов можно привести файлы, регистрирующие активность системы.
Представляемое суду компьютерное доказательство должно быть наи лучшим изо всех доступных доказательств, под этим термином понимают изъятие файлов вместе с их носителем. Закон разрешает использование в качестве «наилучшего доказательства» распечатки контрольного журнала, сделанной непосредственно после проявления фактов совершения преступ ления. Если нет немедленной распечатки, то суд может принять распечатки, сделанные на несколько дней позже, или даже копии этих распечаток.
Особенности фиксации следовой информации ц»и аудите компьютерных систем в ходе [фоведетя экспертного исследования непосредственно на месте цюисшествия
Энонрт
.................. I
Осущеояепй&п фиш ескую фиксэирю n9>j6om е существ енных признаков и свойств
Применяет фотосъемку и видеосъемку исходного расположения компьютерных систем, юс компонентов, а также наиболее существенных особенностей помещений и предметов внутри нюс
Изготовляет схему размещения и соединения компьютерного (при необходимости иного
________________ офисного) оборудования и периферийных устройств_________________
Копирует на собственные носители регистрационные файлы, файлы конфигурации, жур налы событий, защиты, наносит на носители ярлыки, защищает используе мые носители от случайной записи
Если программа, используемая для проверки работоспособности аппаратных средств, помещает результаты проверки в файл, убеждается, что он записывается на дискету, а не на ж естка диск
Производит распечатку на печатающем устройстве (например, принтере) результатов работы программных модулей
Осуществляет преобразование выявленных частей файлов в файлы и помещает их на собственные носители, наносят на носители ярлыки, защищают используе мые носители от случайной записи
Описывает в своем заключении исходное расположение компьютерных систем, их компо-
__________ нентов, назначения, технических характеристик, свойств и статуса___________
При налички возможности непосредственного сравнения данных с резервной копией отражает в своем заключении:
■снижение производительности компьютерных систе м;
■нарушение работоспособности операционных систем;
■отказ систем в выполнении определенных функции;
1обращение к внешним устройствам в те периоды, когда по логике работы программ ного обеспечения обращений к ним не предусмотрено или они должны быть менее продолжительны____________________________________________________________
Отражает в своем заключении иные результаты аудита; к заключению могут прилагаться отчеты, сгенерированные использованным программным обеспечением,
копии на электронных носителях, полученные при проведении физической фиксации, при этом может быть указано, для проведения каких дополнительных экспертиз произве дены фиксация и изъятие копий данных
Рис. 3.3.11
При представлении в суд компьютерных файлов, файлов регистрации, распечаток или других документов истребуется подтверждение их подлин-
ности, свидетельство того, что они являются точной копией информации, обнаруженной в компьютере, и никак не были изменены.
Если документ произведен компьютером, то сторона, представляющая доказательство, должна указать:
•средства сбора и обработки информации;
•тип используемой системы;
■средства контроля, встроенные в систему для гарантированного выяв ления и исправления ошибок.
Закон в Англии и Уэльсе идет дальше, чем в США, предлагая стороне, представляющей компьютерное доказательство, не только убедить суд в от сутствии системного сбоя, который мог бы нарушить целостность докумен та, но и доказать, что документ не был умышленно модифицирован или искажен.
Фиксация хода и результатов процессуальных действий призвана обес печить максимально полное и верное отражение всего содержания процес суального действия и достигнутых результатов. Приемы фиксации направ лены на выбор или создание условий, обеспечивающих максимально эф фективное применение соответствующих технико-криминалистических средств и приемов запечатления доказательственной информации в уста новленных законом формах.
Результатом фиксации является создание соответствующего процес суального документа - протокола осмотра места происшествия - источника доказательств, а также включение в систему доказательств надлежащим об разом оформленных материальных объектов, обладающих всеми необходи мыми по закону процессуальными реквизитами (вещественных доказа тельств), или получение для целей экспертизы сравнительных материалов (образцов).
§ 3.5. Особенности изъятия следов компьютерных преступлений
Под изъятием доказательств в криминалистике понимают обеспечение возможности их использования для доказывания, приобщение их к делу, со хранение для следствия и суда [11, с. 30]
Специфика изымаемых следов предопределяет активное участие спе циалиста в ходе их изъятия при осмотре места происшествия по делам рас сматриваемой категории. Следы компьютерного преступления также могут быть изъяты экспертом при проведении экспертного исследования компью терных систем, их сетей и периферийного оборудования.
Изъятие предварительно зафиксированных файловых следов-отображе ний и файловых следов-предметов возможно (в зависимости от обстоя тельств дела) двумя путями (рис. 3.3.12).
Рис. 3.3.12
Во-первых, путем изъятия вместе с носителем (изъятие СКТ). В этом случае на предварительно выключенной и обесточенной компьютерной системе осуществляется отсоединение интерфейсных и силовых кабелей. Порядок отсоединения разъемов фиксируется в протоколе, на разъемах до пустимо делать пометки с целью дальнейшего подключения устройств та ким же образом и для дальнейшего исследования системы в лабораторных условиях. Изъятое оборудование аккуратно упаковывается. Транспортиров ка его должна осуществляться бережно. Крайне нежелательно воздействие:
°сильных ударов;
а высоких температур;
кэлектромагнитных и электростатических полей.
Хранение компьютерной системы должно осуществляться в упакован ном виде, подготовку к включению и эксплуатацию ее недопустимо произ водить без участия эксперта, исследующего оборудование в лабораторных условиях.
Во-вторых:
1) путем изъятия данных, предварительно зафиксированных экспертом (специалистом) на собственных носителях информации, согласно научнообоснованным рекомендациям, изложенным нами ранее;
2) путем изъятия самих носителей информации (в том числе всех рсзервных копий данных компьютерной системы, сделанных сотрудниками пострадавшего от компьютерного преступления субъекта хозяйствования, как плановых, так и внеплановых).
Впервом случае это доказательство не изымается, а «изымаются, пере ходят на новый объект его доказательственные свойства. Новый объект, но ситель этих свойств, является производным вещественным доказательст вом» [И , с. 30]. Во втором - носители информации изымаются и приобща ются к делу в качестве вещественного доказательства с соблюдением требований уголовно-процессуального кодекса.
Вобоих случаях головки жестких дисков паркуются, съемные магнит ные диски необходимо поместить в металлическую коробку, которую сле дует оберегать от ударов, воздействия повышенной влажности и температу ры, запыленности, прямых солнечных лучей, вибрации, а также электромаг нитных и электростатических полей. В литературе описан случай создания
вдверном проеме магнитного поля, уничтожающего информацию с маг нитных носителей при выносе их из помещения [46, с. 75].
Входе осмотра места происшествия по делам данной категории следо вателем должны быть истребованы и изъяты следующие документы:
1)распечатанные на принтере и оформленные в виде протокола резуль таты работы экспертного программного обеспечения и аудита сети;
2)документы, носящие следы совершенного преступления:
•телефонные счета;
•телефонные книги;
•журналы установления связи;
•письма, составленные при помощи ЭВМ и др;
3)документы со следами действий операционных систем и прикладного программного обеспечения - распечатки системных журналов;
4)документы со следами действий аппаратуры - распечатки, получен ные на принтерах и иных устройствах вывода информации;
5)документы, описывающие аппаратуру и программное обеспечение, - техническая документация на аппаратные средства и программное обеспе чение;
6)документы, устанавливающие правила работы с информационной системой в целом, нормативные акты, регламентирующие правила работы и обслуживания компьютерных систем;
7)планы здания, схемы разводки коммуникаций, топологическая схема сети предприятия.
Изъятие известных криминалистике следов-отображений и следов-пред метов (например, отпечатков пальцев на клавиатуре, орудий и следов меха нического воздействия на ЭВМ, их сети и периферийные устройства, доку ментов), а также следов-веществ осуществляется традиционными способа ми [3, с. 46-55, 57-59, 77].
Следует учитывать, что изымаемые электронные системы в виде заклад ных устройств и устройств дистанционного съема информации весьма чув ствительны к воздействию электростатического поля, которое может вывес ти их из строя. Поэтому при их упаковывании необходимо использовать из делия из специального материала (специального полиэтилена).
ГЛАВА 4. ПРОВЕДЕНИЕ КОМПЬЮТЕРНОТЕХНИЧЕСКОЙ ЭКСПЕРТИЗЫ (КТЭ)1
§ 4.1. Классификация КТЭ
При совершении преступлений с использованием технических средств уче ные-криминалисты определяют следующий круг вопросов, подлежащих ис следованию и существенных для расследования преступлений [37, с. 354-355]'.
1.Какова техническая природа продуктов человеческой деятельности, которые являются объектами воздействия рассматриваемых устройств.
2.Каковы технические особенности устройства или особенности техно логии его использования в человеческой деятельности, которые могли по служить мотивами применения данного устройства в преступных целях.
3.Каковы объективные маскирующие или обезличивающие свойст ва технического устройства, которые могли послужить мотивами его ис пользования при совершении преступления. Насколько профессиональны навыки преступника по использованию этих свойств.
4.Особые криминалистически значимые признаки технического устрой ства, которые можно обнаружить в следах, оставляемых этим устройством
впроцессе работы; возможности обнаружения этих следов.
5.Возможности технического устройства по осуществлению тех задач, которые решались с его использованием при совершении преступления.
6.Способы использования данных устройств в преступных целях.
КТЭ как самостоятельный род экспертиз сформировалась недавно и в настоящее время находится в постоянном развитии. Расширяется перечень
ееобъектов, совершенствуются методы проведения исследований, форми
1При написании главы использованы материалы статьи [113, с 40-77]
руются новые методики производства. Развитие и совершенствование КТЭ находится в прямой зависимости от научно-технического прогресса в сфере новых информационных технологий.
Изучение СКТ, как было отмечено выше, начинается с аппаратных средств, далее - программных, затем - работа с данными. В результате та кого комплексного характера исследований в рамках КТЭ достигается ре шение наиболее существенных экспертных задач - поиск, обнаружение, анализ и оценка криминалистически значимой компьютерной информации.
Видовую классификацию КТЭ целесообразно рассматривать на основе обеспечивающего предназначения СКТ (аппаратных, программных, инфор мационных) и использовать ее в виде, соответствующем процессам разра ботки и эксплуатации СКТ. Таким образом, можно выделить следующие пять видов экспертиз (рис. 3.4.1).
Рис. 3.4.1
При проведении любой формы исследования в ходе КТЭ полученные ре зультаты приводят к установлению определенных фактов и обстоятельств конкретного уголовного дела. Объективное представление этих фактов взаимосвязано с уяснением второй составляющей любой компьютерной системы - ее функциональной подсистемой, т. е. функциональным приме нением в различных сферах деятельности человека.
Очевидно, что исследование поставленных пограничных вопросов долж но осуществляться в рамках комплексной экспертизы. Таким образом, многие объекты КТЭ в то же время могут являться объектами судебных экспертиз других родов и классов. Анализ судебной экспертной практики позволяет наметить перспективы развития подобных комплексных экспер тиз, например комплексной компьютерно-технической и технико-кримина листической экспертизы документов, комплексной компьютерно-техничес кой и бухгалтерской экспертизы и т. д.
Ранее нами были рассмотрены следующие виды экспертиз, при их про ведении непосредственно на месте происшествия.
Аппаратно-компьютерная экспертиза, т. е. исследование аппаратных компонентов СКТ, магнитных носителей, документации.
Программно-компьютерная экспертиза, т. е. исследование операцион ных систем. В силу многих причин сложилось так, что в одних сетевых опе рационных системах какие-то сервисы реализованы лучше, какие-то хуже, поэтому для многих сетей, вне зависимости от их масштаба, свойственно одновременное использование различных сетевых операционных систем. Для автоматизированных систем Республики Беларусь и Российской Феде рации характерно доминирование сетевых операционных систем от Microsoft и Novell.
Информационно-компьютерная экспертиза - исследование прикладного программного обеспечения, СУБД и т. д.
Указанные КТЭ можно проводить как в лабораторных условиях, если при проведении осмотра места происшествия следователь положительно оценил возможность изъятия СКТ, так и непосредственно на месте проис шествия. Тактика производства рассматриваемых экспертиз была рассмот рена нами ранее.
Комплексные экспертизы проводятся на пограничных областях специ альных знаний. Примерами могут быть:
■комплексная компьютерно-техническая и технико-криминалистическая экспертиза документов [136];
"комплексная компьютерно-техническая и бухгалтерская экспертиза и др.
§4.2. Компьютерно-сетевая экспертиза
Впоследнее время распространились удаленные атаки на распределен ные вычислительные сети. Например, четыре из пяти компьютерных пре
ступлений, которые расследовались ФБР за последние годы, совершены с доступом через Internet.
Для эффективного информационного обеспечения раскрытия и рассле дования преступлений комплексно используются процессуальные и непро цессуальные методы, так как процессуальная деятельность без применения непроцессуальных методов была бы невозможной, а непроцессуальная дея тельность без последующего использования ее результатов в уголовном процессе - бесполезной. В этой связи особый интерес представляет инфор мационно-разведывательный ресурс сети Internet, предоставляющий опера тивным подразделениям, осуществляющим аналитический поиск, принци пиально новые возможности для сбора, систематизации, накопления и изу чения данных оперативно-розыскного профиля [61].