!Учебный год 2024 / Глава XVI

5

Глава XVI. ИССЛЕДОВАНИЕ КОМПЬЮТЕРНЫХ СРЕДСТВ

§ 1. Особенности выявления и исследования криминалистически значимой компьютерной информации

Современная практика раскрытия и расследования преступлений характеризуется ростом преступлений в сфере компьютерной информации (ст. 272, 273, 274 УК РФ), т. е. преступлений, сопряженных с использованием ЭВМ, систем ЭВМ или их сети, а также преступлений, где компьютерные средства используются как элементы способа их совершения и сокрытия. Важный аспект расследования в этих случаях состоит в том, что собирание и исследование доказательств не может быть осуществлено без использования специальных познаний в области современных информационных технологий.

Особенности выявления и исследования криминалистически значимой компьютерной информации связаны, прежде всего, с тем, что данная область включает в себя ряд достаточно разнородных научных направлений: электроника, электротехника, информационные системы и процессы, радиотехника и связь, вычислительная техника (в том числе программирование) и автоматизация. Преступления рассматриваемой категории носят зачастую латентный характер, не оставляют видимых следов и сложны с точки зрения раскрытия и собирания доказательственной информации в связи с широким применением средств удаленного доступа и пр. Следователь, обладая специальными познаниями и соответствующими научно-техническими средствами, в принципе, может успешно организовать расследование, но не сможет обойтись без помощи специалиста, поскольку даже малейшие неквалифицированные действия с компьютерной системой зачастую заканчиваются безвозвратной утратой ценной розыскной и доказательственной информации.

Основной процессуальной формой использования специальных познаний по указанным делам является судебная экспертиза. Именно экспертные исследования обеспечивают получение результатов, имеющих наибольшее доказательственное значение при исследовании аппаратных средств, программного обеспечения и компьютерной информации. В этих условиях первоочередными задачами следователя являются поиск, фиксация, изъятие с помощью специалистов и представление эксперту необходимых материальных объектов — носителей компьютерной информации.

Первоначальные, следственные действия по делам рассматриваемой категории (осмотр, обыск, выемка) заключаются в выяснении факта наличия компьютерных средств в обследуемом помещении. При обнаружении таковой следует определить ряд первостепенных аспектов: количество компьютеров и их типы; организацию электропитания и наличие автономных источников питания; используемые носители информации; наличие локальной сети и выхода в другие сети с помощью модема, радиомодема или выделенных линий; используемое системное и прикладное программное обеспечение; наличие систем защиты информации, их типы; возможности использования средств экстренного уничтожения компьютерной информации.

В случае выявления наличия вычислительной сети необходимо: уяснить общее количество компьютеров и их распределение по другим помещениям; уточнить количество и типы используемых серверов, рабочих мест; выяснить тип используемой операционной сетевой системы; выявить функции прикладного программного обеспечения, используемого в вычислительной сети; установить наличие резервных копий серверных дисков, баз данных и места их хранения. Кроме того, особое внимание уделяется выявлению наличия выхода в другие, в том числе и глобальные, сети; устанавливается возможность использования коммуникационных программ для связи с удаленными пользователями, с другими организациями (фирмами), частными лицами, наличие выхода в Интернет; определяются принятые в организации мероприятия по защите информации.

В ходе следственных действий основным требованием при изъятии компьютерных средств является обеспечение сохранности имеющейся информации. Для этого необходимо: предотвратить возможность отключения энергоснабжения учреждения, обеспечив охрану распределительного щита; запретить сотрудникам организации и прочим лицам производить какие-либо манипуляции с компьютерными средствами; предупредить всех участников следственного действия о недопустимости самостоятельных манипуляций с компьютерными средствами.

В случае использования телефонной линии для связи с другими сетями обеспечить отключение телефона; по возможности удалить из помещения все взрывчатые, едкие и легковоспламеняющиеся материалы.

При установлении наличия в осматриваемом помещении локальной вычислительной сети следует точно установить местоположение серверов. Как правило, для сервера выделяется специальная комната (серверная), вход в которую ограничен. Однако помимо центральной серверной в других помещениях могут находиться местные локальные серверы. Определить местоположение компьютеров при наличии локальной сети поможет проводка. Достаточно проследить трассы кабеля или коробов, если кабель спрятан в специальный короб.

Далее следует обратить внимание на неподключенные разъемы на коаксиальном кабеле и свободные розетки (розетки для подключения компьютеров в локальную сеть, использующие витую пару, имеют вид импортных телефонных розеток), так как в этих местах, возможно, находились компьютеры или подключались портативные компьютеры, которые в момент проведения обыска могут находиться в другом месте или могут быть спрятаны.

Особого внимания требуют места хранения дискет и других носителей информации. Если при внешнем осмотре компьютеров в их составе обнаружены устройства типа стримера, магнитооптического накопителя и им подобные, то необходимо найти места хранения носителей информации к соответствующим накопителям. Кроме того, в учреждениях с развитой локальной сетью, как правило, производится регулярное архивирование информации на какой-либо носитель. Поэтому следует определить место хранения копий.

Одним из неотложных следственных действий является допрос администратора системы, в ходе которого выясняют вопросы:

- какие операционные системы установлены на каждом из компьютеров; какое используется программное обеспечение; какие применены системы защиты и шифрования;

- где хранятся общие файлы данных и резервные копии; каковы пароли супервизора и администраторов системы; какие зарегистрированы имена и пароли пользователей.

Только после выполнения указанных выше мероприятий специалист, участвующий в следственном действии, может произвести изъятие носителей информации либо, в отдельных случаях, копирование компьютерной информации на заранее приготовленные носители. Это могут быть дискеты, однако при большом объеме изымаемой информации рекомендуется использовать дополнительный жесткий диск, магнитооптические диски или диски Бернулли. Носители, на которые переписывается информация, должны быть упакованы в пластиковые коробки (если это жесткий диск, то его необходимо упаковать в антистатический, т. е. исключающий воздействие статического заряда, пакет и предохранить от свободного перемещения в упаковке при транспортировке) и опечатаны.

В случае изъятия компьютерных средств требуется учесть как все компьютеры, так и носители данных. При осмотре документов следует обратить особое внимание на рабочие записи сотрудников, где могут содержаться пароли и коды доступа. Необходимо также составить список всех нештатных и временно работающих специалистов организации с целью обнаружения программистов и других специалистов по компьютерным технологиям. По возможности, установить их паспортные данные, местожительство и места постоянной работы.

В ходе осмотра должны быть установлены: конфигурация компьютерного средства (его комплектация); номера моделей и серийные номера каждого из устройств; инвентарные номера, присваиваемые бухгалтерией при постановке средства на баланс организации; прочая информация, имеющаяся на фабричных ярлыках фирмы-изготовителя. Все изъятые системные блоки и другие устройства должны быть упакованы и опечатаны таким образом, чтобы исключить возможность их повреждения, включения в сеть и разборки. Иногда в процессе изъятия может возникнуть необходимость описания содержимого жесткого диска. Однако, по нашему мнению, эту процедуру необходимо проводить только в ходе экспертного исследования.

Все предметы и документы, выявленные в ходе следственного действия, которые могут иметь значение для следствия, должны быть изъяты в соответствии с требованиями процессуального закона. В связи с этим в протоколе обязательно должны быть точно отражены место, время и внешний вид изымаемых предметов и документов. При изъятии компьютеров и магнитных носителей их следует опечатать. Все системные блоки компьютеров должны быть пронумерованы, а все разъемы опечатаны. Следует пронумеровать все носители информации, пакеты, в которые они запакованы, проставить соответствующие опознавательные знаки на бумажных аналогах информации (при наличии таковых). Все эти действия должны быть строго зафиксированы в протоколе.

При опечатывании компьютеров не следует пользоваться жидким клеем или другими веществами, которые могут испортить техническое средство.

Наиболее просто опечатать компьютер можно так: 1) выключить компьютер; 2) отключить его от сети; 3) отсоединить все разъемы; 4) на длинной полосе бумаги следует поставить подписи следователя, специалиста, понятых, представителей персонала или администрации и номер компьютера. Такие полосы следует наложить на разъемы для подключения питания, а также на кнопки сетевого включения. В качестве клеящего средства можно использовать липкую ленту или густой клей. При использовании липкой ленты ее надо наносить так, чтобы любая попытка снять ее нарушала целостность бумажной полосы с подписями; 5) такой же бумажной полосой следует опечатать крышку корпуса таким образом, чтобы исключить возможность доступа к внутренним элементам системного блока без нарушения ее целостности; 6) при составлении протокола обыска и изъятия в нем следует указывать серийные номера всех изымаемых блоков и их балансовые номера (по документации бухгалтерии предприятия), если таковые имеются. Если номера полностью отсутствуют, следует подробно описать каждый блок в соответствии с его индивидуальными признаками.

Кроме указанного способа, в следственной практике все чаще используется другой способ опечатывания системного блока. Он помещается в полиэтиленовый пакет и далее опечатывается уже сам пакет (доступа не будет н ни к разъемам, ни к кнопкам, ни к корпусу).

Для опечатывания носителей информации необходимо: упаковать их в жесткую коробку и опечатать ее; на листе бумаги сделать описание упакованных носителей (тип каждого из них, их количество); коробку с носителями и лист с описанием положить в полиэтиленовый пакет, который нужно заклеить. В крайнем случае, для упаковки компьютерных средств могут быть использованы большие мешки или куски ткани.

Изъятие компьютерных средств должно производиться за один раз. При отсутствии транспорта следует организовать строгую охрану изъятого оборудования в специальном помещении. Недопустимо предоставление части изъятых средств в распоряжение организации по причинам «производственной необходимости», так как в процессе работы могут быть внесены изменения в файлы информации или программы. Такие действия могут повлечь за собой повреждение или уничтожение имеющейся компьютерной информации.

При перевозке компьютерных средств необходимо исключить их механические повреждения и взаимодействие с химически активными веществами. Стараться не допускать магнитных воздействий как на компьютеры, так и на магнитные носители информации, так как это может привести к порче или уничтожению информации путем размагничивания. Особое внимание следует уделить предохранению изъятых объектов от воздействия магнитосодержащих средств криминалистической техники (например, магнитных подъемников, магнитных кисточек для выявления следов рук и пр.).

При размещении изъятых объектов на хранение соблюдать установленные правила хранения и складирования электронных технических средств. Нельзя ставить системные блоки компьютеров в штабель выше трех штук, а также ставить их на какие-либо другие вещи. Помещение для хранения должно быть отапливаемым, без грызунов. Кроме того, категорически не рекомендуется курить, принимать пищу и содержать животных в помещениях, предназначенных для хранения компьютерной техники и магнитных носителей.