Компьютерная информация как объект криминалистического исследования

Для выявления преступлений в сфере так называемых «высоких технологий», а также для установления лиц и преступных группировок, занимающихся преступной деятельностью в этой области, создаются Управление «Р» МВД. Эти оперативные подразделения, занимающиеся выявлением, пресечением компьютерных преступлений и составлением материалов доследственных проверок.

Решение вопроса о возбуждении уголовного дела, как правило, требует тщательной проверки и оценки имеющихся данных. Исключение составляют редкие случаи задержания правонарушителей с поличным, например, при работе на компьютере в момент несанкционированного копирования конфиденциальной информации. В этих случаях для проведения неотложных следственных действий (личного обыска задержанного, обыска по месту его работы и жительства, где находится его персональный компьютер), а также других проводимых оперативно-следственных мероприятий «по горячим следам», во избежание утраты и уничтожения доказательств совершенного преступления, уголовное дело необходимо возбудить немедленно.

Во всех других случаях при получении следователем или иным уполномоченным на то лицом сообщения о совершении преступления в сфере компьютерной информации должна быть проведена, как правило, органами дознания, доследственная проверка в порядке и в сроки, предусмотренные УПК КР.

При этом типичными являются следующие проверочные ситуации Под проверочными ситуациями в данном случае понимается обстановка, сложившаяся на момент возбуждения уголовного дела..

1. Собственник информационной системы собственными силами выявил нарушение целостности и конфиденциальности информации в системе, обнаружил виновное лицо и заявил об этом в правоохранительные органы.

2. Собственник информационной системы собственными силами выявил нарушение целостности и конфиденциальности информации в системе, не смог обнаружить виновное лицо и заявил об этом в правоохранительные органы.

3. Данные о нарушении целостности и конфиденциальности информации в информационной системе и о виновном лице стали общеизвестными или непосредственно обнаружены органом дознания, следствия (например, в ходе проведения оперативно-розыскных мероприятий по другому делу).

4. Данные о нарушении целостности и конфиденциальности информации в информационной системе выявлены правоохранительными органами, виновное лицо неизвестно, но заявитель не обратился в правоохранительные органы.

Доследственная проверка проводится в целях объективного подтверждения фактов, изложенных в заявлениях, материалах ведомственной и иной проверки, а именно: о нарушении целостности информации в компьютерной системе, сети; о наличии причинной связи между неправомерными действиями и наступившими последствиями, предусмотренными диспозицией ст. 290 УК КР; а также о предварительном размере ущерба, причиненного в результате преступных действий.

В процессе доследственной проверки необходимо принять меры к установлению таких необходимых для возбуждения уголовного дела данных, как: следы преступления; место неправомерного проникновения в компьютерные сети (внутри потерпевшей организации или извне); способы совершения неправомерного доступа и его последствия Следует отметить, что копирование, уничтожение, модификация информации могут быть вызваны не только неправомерными действиями, но и ошибками, неумышленным неправильным поведением персонала потерпевшей организации, в т.ч. при профилактике, ремонте ЭВМ, при ошибочных действиях оператора в процессе работы и т.п; средства, использованные при совершении преступления; способы преодоления информационной защиты.

В ходе проведения доследственной проверки по рассматриваемой категории дел проводится осмотр места происшествия, опрос персонала потерпевшей организации, показания которых составят в дальнейшем свидетельскую базу по уголовному делу. В процессе получения объяснений выясняются обстоятельства, предшествовавшие совершению преступления с целью установления круга подозреваемых лиц, обстоятельства обнаружения факта преступления, наличия и функционирования информационной защиты, ее недостатках, сведения об иных причинах и условиях, которые могли быть использованы для совершения противоправных действий.

В тех случаях, когда персоналом потерпевшей организации, как правило, ее службой безопасности, самостоятельно проведена проверка по установлению лиц, причастных к совершению преступления, и выявлен подозреваемый или круг подозреваемых лиц, в ходе предварительной проверки проводится комплекс оперативно-розыскных и иных мероприятий по проверке заподозренного лица (лиц) и, по возможности, задержание его (их) с поличным. Иногда при задержании изымается компьютерная техника, при этом специалистами проводится анализ изъятого в условиях экспертного исследования.

Помимо указанных могут проводиться иные действия, направленные на установление события преступления и изобличение виновного лица, к числу которых относятся требования, поручения, запросы В соответствии с 157 УПК КР по требованию прокурора, следователя или органа дознания лица обладающие соответствующей информацией обязаны передать имеющиеся в их распоряжении документы и материалы, подтверждающие сообщение о преступлении, а также данные о лице, предоставившем указанную информацию, за исключением случаев, когда это лицо поставило условие о сохранении в тайне источника информации. Предметы и документы могут быть предоставлены также потерпевшим, его адвокатом и другими лицами на основании ст. 91УПК КР..

В целях проверки поступивших сообщений о преступлении и решении вопроса о наличии или отсутствии оснований для возбуждения уголовного дела орган дознания, прокурор могут использовать имеющиеся в их распоряжении средства административной, оперативной, прокурорской проверки, применение которых не обусловлено наличием производства по уголовному делу Шурухнов Н.Г. Расследование неправомерного доступа к компьютерной информации. Учебное пособие. - М.: Московский университет МВД, 2004. - С. 175-176..

Решение о возбуждении уголовного дела принимается не только на основании материалов предварительных проверок заявлений потерпевших, организаций и должностных лиц, но и по материалам органов дознания при реализации оперативных разработок, результатов оперативно-розыскных действий по выявлению преступлений в сфере компьютерной информации и лиц, их совершивших В соответствии со ст. 14 Закона «Об оперативно-розыскной деятельности» результаты этой деятельности могут служить поводом и основанием для возбуждения уголовного дела и использоваться в доказывании по уголовным делам в соответствии с положениями уголовно-процессуального законодательства, регламентирующими собирание, проверку и оценку доказательств..

Имеющиеся в оперативных службах материалы, полученные в результате оперативно-розыскных мероприятий, могут представляться в легализованной в соответствии с требованиями закона форме прокурору, начальнику Следственного комитета по линии МВД, следователю для предварительного ознакомления и определения достаточности данных для возбуждения уголовного дела, а при положительном решении этого вопроса - возможности задержания правонарушителя, оформления и закрепления полученных оперативных данных процессуальным путем в качестве доказательств.

Теперь перейдем непосредственно к оперативно-розыскным мероприятиям Оперативно-розыскные мероприятия - далее ОРМ., которые играют большую роль при выявлении признаков преступления, предусмотренного ст. 290 УК КР. Благодаря проведению ОРМ становится известен механизм преступления, способ его совершения, иногда и лица, совершившие преступление Подольный Н.А., Ширманов А.Г. Некоторые особенности выявления, раскрытия и расследования компьютерных преступлений // Российский следователь. - 2004. - № 1. - С. 11..

Ст. 7 Закона КР «Об оперативно-розыскной деятельности» Закон КР «Об оперативно-розыскной деятельности» от 5.10.1998 № 131 содержит закрытый перечень ОРМ. Рассмотрим методы проведения такого ОРМ, как снятие информации с технических каналов связи Федотов Н.Н. Форензика - компьютерная криминалистика. - М.: Юридический мир, 2007. - С. 121-139.:

1) перехват и исследование трафика. В судебной практике результаты трафика почти не используются в качестве доказательства. Для ведения ОРД трафик также используется крайне редко. Однако на основе анализа содержимого и статистики сетевого трафика можно определить и доказать совершение пользователем многих действий в сети, а также получить информацию об устройстве программ, информационных систем и сетей. Кроме этого, сбор и анализ сетевого трафика может в некоторых случаях заменить изъятие и экспертизу компьютера пользователя и сервера (КТЭ КТЭ - компьютерно-техническая экспертиза.), поскольку может дать содержимое электронной почты, информацию о посещении тех или иных сайтов преступником, о несанкционированном доступе к удаленным узлам (ресурсам). Данные результатов перехваченного трафика могут усилить доказательственную базу;

2) исследование статистики трафика. Статистика прошедшего трафика собирается на многих компьютерных устройствах, в том числе на всех маршрутизаторах, коммуникационных устройствах и т.д. Часто эта статистика ведется по формату «netflow», предусматривающему запись сведений о каждом потоке, т.е. серии пакетов, объединенных совокупностью IP-адресов, портов и номером протокола. В результате исследования статистики можно зафиксировать факт обращения преступника к информационным ресурсам, время обращения с точностью интервала от 5 минут до 1 часа, количество переданного и полученного трафика, сам протокол, номера портов с обеих сторон для TCP и для UDP Порт - системный ресурс, выделяемый приложению для связи с другими приложениями, выполняемыми на хостах, доступных через сеть. TCP - один из основных сетевых протоколов Интернет, предназначенный для управления передачей данных в сетях и подсетях TCP/IP. UDP - транспортный протокол для передачи данных в сетях IP без установления соединения, который, в отличие от TCP, не гарантирует доставку пакета.

Кроме того, исследование статистики трафика позволяет обнаружить источник DoS-атаки или иных атак с переписанными IP-адресами путем установления контакта с несколькими провайдерами;

3) перехват сведений о сетевых соединениях или перехват трафика на основе сигнатур Сигнатура - это строка (образец), указывающая на принадлежность данного пакета к вредному трафику.. Иногда содержимое трафика может оказаться чересчур объемным, а статистика по объему мала, тогда прибегают к использованию промежуточных вариантов ОРМ. Сведения о сетевых соединениях или о заголовках пакетов представляют собой, с одной стороны, урезанный перехват трафика (без сохранения сведений о содержимом пакетов, сохраняются лишь их заголовки), с другой стороны, развернутый вариант статистики (когда записывается не агрегированная по времени информация о переданных пакетах). При помощи данного мероприятия, зная IP-адрес интересующего нас компьютера, можно установить наличие на данном компьютере той или иной программы, как часто она используется и некоторые другие ее данные.

Перехват по сигнатурам используется для защиты информации при обнаружении атак. Она ищет в передаваемых пакетах заранее определенные последовательности байтов, соответствующие попыткам несанкционированного доступа, активности вредоносных программ, иным подозрительным действиям.

Следующее ОРМ, которое имеет важное значение ходе расследования НДКИ, - это наведение справок. При его проведении можно определить преступника, совершившего НДКИ, а также установить иные обстоятельства, имеющие значение для следствия. Данное ОРМ осуществляется по следующим направлениям.

1. Установление принадлежности и расположения IP-адреса IP-адрес - уникальный идентификатор компьютера в сети. Выделением и регистрацией IP-адресов занимаются специальные организации, образующие трехуровневую иерархию: IANA-RIR-LIR. Организация IANA - главный регистратор - выделяет крупные блоки IP-адресов региональным регистраторам и большим организациям. Региональных организаций пять (делятся они по континентам), они выделяют блоки IP-адресов местным регистраторам. Последние выделяют мелкие блоки IP-адресов операторам связи (провайдерам), а провайдеры - своим потребителям. На каждом уровне ведется своя база данных IP-адресов..

В уголовном деле по НДКИ перед лицами, ведущими следствие, ставится задача определения компьютера и его местоположения по известному и оставленному IP-адресу. IP-адрес фиксируется каждый раз при выходе в Интернет при помощи различных технических средств. По зафиксированному IP-адресу (данные о нем находятся в лог-файлах на сервере у провайдера) устанавливается компьютер, с которого был осуществлен несанкционированный доступ. Установив компьютер, следователю необходимо будет доказать, что именно подозреваемый в момент осуществления преступной деятельности находился за компьютером. При этом надо помнить, что содержимое лог-файлов сервера, в которых отражаются настройки, использованные преступником при осуществлении несанкционированного доступа, их корректность и неизменность, должно быть подтверждено КТЭ.

Установить принадлежность IP-адреса можно через whois-клиент Daigle L. RFC-3912 «WHOIS Protocol Specification». - 2004. // URL: http://www.rfc-editor.org/rfc/rfc3912.txt (дата обращения - 10.02.2010).. Данный клиент доступен в Интернете любому пользователю. При запросе пользователя whois-клиент обращается к базе данных регистраторов IP-адресов.

Тот же результат можно получить, если сделать запрос через веб-форму на веб-сайте Европейского регистратора IP-адресов. Однако таким данным всецело доверять не следует. Сведения о местном регистраторе будут верными, поскольку он является членом регионального регистратора, имеет с ним договор, постоянно взаимодействует. Сведения о клиенте местного регистратора, непосредственного пользователя IP, подлежат в дальнейшем проверке.

Для уголовного дела будет недостаточно распечатки ответа whois-сервера, она должна быть заверена местным оператором связи, являющимся одновременно местным регистратором. Кроме того, получение сведений о принадлежности IP-адреса может быть оформлено рапортом оперуполномоченного, который прямо в него переписывает сведения из базы данных регистратора. Есть и другие варианты документирования: нотариальное заверение, справка от региональной организации IP-адресов. Впоследствии эти данные должны быть подтверждены КТЭ этого компьютера и показаниями сотрудников оператора связи.

Сделав запрос к клиенту whois-сервера, можно узнать, за кем закреплена соответствующая подсеть и диапазон IP-адресов. Обычно таковым является оператор связи. Получить и уточнить данные о непосредственном пользователе, а также установить его местоположение можно у оператора связи, на которого зарегистрирован соответствующий диапазон IP-адресов. Если между пользователем и оператором находится оператор - посредник или оператор последней мили, то необходимо проверить всех операторов. Сложность в проведении данной операции заключается в том, что на сегодняшний день отсутствует единый и систематический учет всех операторов.

2. Установление принадлежности адреса ЭП ЭП - электронная почта.. Сообщения ЭП фигурируют во многих уголовных делах. При помощи ЭП происходит, например, сговор о совершении преступления. В большинстве случаев адрес ЭП связан с почтовым ящиком. Однако из каждого правила есть исключения:

- групповые и коллективные адреса, которые представляют собой адрес списка рассылки: все поступающие на этот адрес письма рассылаются определенной группе адресатов, таковыми выступают часто ролевые адреса;

- технические адреса: все поступающие письма на эти ящики обрабатываются программой, которая отсылает их потом по назначению;

- адреса для пересылки сообщения: все сообщения перенаправляются на другой, заранее заданный адрес.

Зная адрес ЭП, можно установить почтовый ящик, с которым связан этот адрес, затем выяснить, кто пользуется этим почтовым ящиком. Таким способом будет установлен владелец адреса.

Для установки места расположения ящика специалист (эксперт) устанавливает первичный MX домена Для функционирования домена необходимы DNS-серверы, которые могли бы отвечать в Интернете на запросы о домене (зоне) пользователя. DNS-сервер, на котором хранится полная исходная информация о зоне, называется первичным DNS-сервером. Все остальные DNS-серверы называются вторичными, если получают полную информацию о зоне с первичного или другого вторичного DNS-сервера. MX-записи для данного домена указывают серверы, на которые нужно отправлять ЭП, предназначенную для адресов в данном домене. Во многих случаях ящик, принадлежность которого устанавливается, находится на этом же сервере, отвечающий его настройкам. В других случаях почтовый сервер пересылает почту на иной сервер, указанный в его настройках. В обоих случаях требуется узнать эти настройки. Для этого потребуется содействие провайдера, обслуживающего сервер. Расположение почтового ящика документируется протоколом осмотра сервера или заключением эксперта в ходе проведения КТЭ.

Доказательствами факта использования почтового ящика определенным лицом могут быть:

· наличие на компьютере у лица настроек для доступа к ящику ЭП, в том числе и пароль к этому ящику;

· наличие на компьютере у лица полученных сообщений ЭП со служебными заголовками, свидетельствующими о прохождении сообщений через этот ящик;

· наличие на сервере, где расположен ящик, логов об успешном соединении и аутентификации пользователя данного почтового ящика;

· наличие у других абонентов сообщений от этого лица, написанных в ответ на сообщения, отправленные на этот почтовый ящик.

Помимо рассмотренных проводятся и другие ОРМ, указанные в ст. 7 Закона КР «Об ОРД».

Как отмечалось выше, осмотр места происшествия может проводиться до возбуждения уголовного дела. Особо следует отметить осмотр, проводимый в отношении сервера провайдера в целях исследования находящихся на нем лог-файлов, а также логов мейл-сервера и заголовков ЭП.

Логирование событий определяет политику безопасности компьютера, а именно одну из ее составляющих - аудит. Ведение процесса логирования повышает вероятность выявления преступника, а также его изобличение. В любой операционной системе ведется журнал регистрации событий Например, в Windows XP предусмотрено три журнальных лога: прикладных программ, системы и безопасности - application, system, security с расширением log., который фиксируется в рамках какой-либо программы. Каждому событию соответствует своя запись. Записи откладываются в отдельный файл, назначаемый самой программой. В логах могут храниться любые сведения. Форма записи остается на усмотрение автора программы. Есть логи целевые, которые ориентированы на цели безопасности и расследования инцидентов. Следует иметь в виду, что логи могут вестись разными программами. В этом случае все эти и другие места должен указать специалист, участвующий в осмотре места происшествия, в том числе не исключено, что придется приглашать не одного, а двух и более специалистов.

Чаще всего в логах откладываются данные об IP-адресе клиента; времени запроса, включая часовой пояс; поля HTTP-запроса клиента; код ответа веб-сервера; ошибки, происшедшие при загрузке веб-странице и др.

При исследовании логов надо помнить, что поля HTTP-запроса могут быть фальсифицированы преступником, т.к. формируются они на его стороне. Зафиксированному в логе IP-адресу можно доверять, но надо помнить, что этот адрес может оказаться IP прокси-сервера или иного посредника. Внутренние поля веб-сервера не могут быть фальсифицированы.

Для проверки достоверности данных логов веб-сервера применяется сопоставление записей между собой, а также с иными логами.

Сообщение ЭП создается на компьютере отправителя в программе, называемой клиентом ЭП. Затем оно отправляется на сервер ЭП отправителя. Оттуда - на сервер ЭП получателя сразу либо же через промежуточный сервер ЭП (релей). На сервере получателя сообщение помещается в почтовый ящик соответствующего пользователя. Из этого ящика при посредстве сервера доставки пользователь забирает сообщение. Сообщение сохраняется в клиенте отправителя и получателя. При прохождении через сервер отправителя копия сообщения не сохраняется, но делается запись в логе о его получении и отправке. При этом в сообщение вставляется служебный заголовок «Received» - маршрутный заголовок.

При прохождении сообщения остаются следующие следы:

· копия сообщения на компьютере отправителя;

· запись в логе каждого сервера ЭП отправителя;

· копия сообщения на компьютере получателя с добавленными по пути заголовками;

· следы на компьютере отправителя в результате работ антивирусных программ, сетевых соединений, относящихся к сообщению ЭП;

· следы в логах провайдера, через которые осуществлялось соединение компьютера преступника и сервером отправителя;

· записи в логах антиспамовых программ на всех серверах ЭП отправителя, через которые прошло сообщение;

· следы серверов ЭП отправителя в результате их обращения к DNS-серверам во время приема и передачи сообщения;

· следы в логах провайдера серверов ЭП получателя;

· иные следы на компьютере получателя.

В случае использования вместо программы веб-клиента веб-интерфейс сервера ЭП добавляются следы, характерные для просмотра веб-страниц.

Для признания результатов ОРМ, проведенных в ходе осмотра места происшествия, доказательствами, помимо протокола осмотра, прикладывается впоследствии заключение эксперта, проводящего КТЭ сервера, подтверждающего результаты осмотра.

В настоящее время поисковые системы в Интернете стали широко применяться не только обычными пользователями, специалистами по информационным технологиям и преступниками, но и оперативными работниками. Для криминалистики поисковые системы представляют большой интерес, потому что в них можно обнаружить следы. Очень многие виды сетевой активности оставляют след в поисковых системах, и он может храниться в базе данных поисковика. Помимо этого со стороны поисковой системы можно вести ОРД или получать данные в ходе следственных действий. Поисковая система может протоколировать события и действия пользователя в сети. Все эти сведения могут послужить косвенными доказательствами по уголовному делу.

Итогом разрешения проверочной ситуации должно стать принятие процессуального решения. Если в ходе доследственной проверки были выявлены достаточные данные, указывающие на признаки преступления, то уполномоченное лицо выносит постановление о возбуждении уголовного дела.

Исходя из вышесказанного, следует, что проведение полноценных ОРМ и выявление признаков преступления, предусмотренного ст. 290 УК КР, возможно только при взаимодействии правоохранительных органов с операторами связи и специалистами в сфере информационных технологий.

§3. Типичные следственные ситуации первоначального этапа расследования компьютерных преступлений

Под организацией расследования понимается деятельность следователя, направленная на создание наиболее оптимальных условий для всего хода расследования и действий в каждой следственной ситуации в целях успешной реализации плана расследования Яблоков Н.П. Криминалистика. - М.: Юристъ, 2001. - С. 52-53..

На первоначальном этапе расследования компьютерных преступлений успех в собирании доказательств зависит от взаимодействия правоохранительных органов со специалистами и операторами связи. Это объясняется тем, что специальные знания в области информационных технологий потребуются как в ходе проведения ОРМ и при первичной проверке материала, так и на стадиях предварительного расследования и судебного разбирательства. Содействие провайдера (оператора связи) также является обязательным элементом расследования на первоначальном этапе, поскольку он выступает «полновластным хозяином» своего участка в сети Интернет Федотов Н.Н. Реликтовое право // Закон и право. - 2007. - № 4. - С. 18-20.. Без содействия со стороны провайдера пока невозможно проводить ОРМ или следственные действия.

Во многих случаях для расследования преступления по ст. 290 УК КР бывает полезно привлечь потерпевшего. Современная виктимология рассматривает потерпевшего как опору следствия и источник информации о преступлении. Жертва преступления имеет хороший потенциал и мотивацию для активных действий. Потерпевшие или работники предприятия - потерпевшего имеют достаточно высокую квалификацию в области информационных технологий. Часто эта квалификация выше, чем у сотрудников правоохранительных органов, занимающихся расследованием.

В ходе расследования необходимо создать следственно-оперативную группу для проведения процессуальных действий, которая должна состоять, как считают российские авторы по информационным технологиям, из следователя СК при МВД, сотрудника отдела «К», оперуполномоченного, специалиста. Определяющая роль в создании следственно-оперативной группы принадлежит следователю. Указанные лица помогут следователю зафиксировать цифровые доказательства Турута А. Тактика собирания и исследования доказательственной информации с компьютера, подключенного к сети // crime-research.ru. // URL: http://www.crime-research.ru/articles/1764 (дата обращения - 11.02.2014).. Если в деле будут выявлены обстоятельства, носящие угрозу национальной безопасности государства, то, помимо названных лиц, к делу подключаются сотрудники ГКНБ и уведомляется прокурор.

Практика показывает, «отрыв» следователя от проведения ОРМ, которые проводятся сотрудниками отдела «К», приводит к тому, что процесс расследования уголовного дела замедляется. Помимо того, что следователь еще не в полной мере осознает информацию, находящуюся у него к моменту возбуждения уголовного дела, он, кроме того, не прислушивается к мнению оперативных сотрудников о последовательности и целесообразности проведения следственных действий Подольный Н.А., Ширманов А.Г. Некоторые особенности выявления, раскрытия и расследования компьютерных преступлений // Российский следователь. - 2004. - № 1. - С. 10-11.. Помимо этого, «камнем преткновения» здесь стоят ст. 15 и 17 Закона «Об ОРД», в соответствии с которыми оперативный сотрудник обязан действовать в условиях строгой конспирации: он не всегда сможет выдать следователю всю информацию, полученную в ходе проведения ОРМ. Поэтому следователю необходимо принимать участие в проведении ОРМ при расследовании НДКИ для получения информации, достаточной для возбуждения уголовного дела и планирования расследования преступления в будущем.

Обеспечивающую функцию в работе по раскрытию и расследованию преступлений на первоначальном этапе выполняют криминалистические информационные системы. Это не только средства связи, навигации и системы криминалистической регистрации, но также подразделения ГИТКС НЦБ Интерпола и технические службы ОВД Глобальная информационно-телекоммуникационная система (ГИТКС НЦБ Интерпола)..

В настоящее время преступлений, возбужденных по признакам ст. 290 УК КР, зарегистрировано мало, тем не менее, в такой ситуации органам следствия необходимо сосредоточиться на фактах приоритетности расследования. Эти факты зависят от вида и размера ущерба, наступившего в результате создания и использования вредоносных программ, количества и квалификации персонала и юрисдикции государства.

В ходе расследования преступлений подлежат установлению следующие обстоятельства Более подробно обстоятельства, подлежащие установлению, отражены в Приложении № 3. :

- факт создания и использования вредоносных программ;

- место и время несанкционированного проникновения в систему или сеть;

- надежность средств защиты компьютерной информации;

- способ совершения несанкционированного доступа;

- лица, совершившие, их виновность и мотивы;

- вредоносные последствия неправомерного доступа к компьютерным системам и сетям;

- обстоятельства, способствовавшие созданию и использованию вредоносных программ.

Типичные следственные ситуации по рассматриваемой категории преступлений можно классифицировать по различным основаниям.

По источнику информации выделяют ситуации, когда:

· неправомерный доступ обнаружен самим пользователем;

· неправомерный доступ обнаружен в ходе оперативно-розыскной деятельности;

· неправомерный доступ обнаружен в ходе прокурорских проверок;

· неправомерный доступ выявлен при проведении ревизии;

· неправомерный доступ обнаружен в ходе производства следственных действий по другому уголовному делу.

С учетом объема исходной информации, полученной при проведении проверочных действий на первоначальном этапе расследования, возможны следующие типичные следственные ситуации.

1. Отсутствует информация о способе, мотивах, личности преступника, известны только последствия неправомерного доступа.

2. Известны способ, мотивы и последствия неправомерного доступа, но неизвестна личность преступника.

3. Имеется информация и о способе, и о мотивах, и о личности преступника.

В первых двух ситуациях целесообразно строить расследование по следующей схеме: опрос заявителя и свидетелей, осмотр места происшествия с участием специалистов, проведение ОРМ для установления причин преступления, выявления преступников, допрос свидетелей и потерпевших, выемка и изучение компьютерной техники и документации, задержание преступника, допрос подозреваемого, обыски по месту жительства и работы, назначение и производство судебных экспертиз.

В третьей (максимально информативной) ситуации расследование строится по следующей схеме: изучение материалов предварительной проверки и возбуждение уголовного дела, осмотр места происшествия, задержание преступника, допрос подозреваемого, обыски по месту жительства и работы подозреваемого, допросы потерпевших и свидетелей, выемка компьютерной техники и документации, назначение судебных экспертиз.

Общие версии, которые выдвигаются на первоначальном этапе расследования следующие: преступление действительно имело место при тех обстоятельствах, которые вытекают из первичных материалов; ложное заявление о преступлении либо имела место инсценировка преступления.

Частные версии выдвигаются в отношении личности преступника, мотивов совершения преступления, способов создания и использования вредоносных программ, размера причиненного ущерба и т.д.

При расследовании неправомерного доступа к закрытой системе (организации, фирмы) первая версия, которая выдвигается следователем, эта версия о личности преступника: неправомерный доступ совершен сотрудником потерпевшей организации или лицом, не имеющим отношений с потерпевшей организацией. В первом случае выдвигается версия об инсайдере (внутренний неправомерный доступ), вторая - неправомерный доступ совершен хакером (неправомерный доступ снаружи). Однако надо иметь в виду, что если признаки преступления указывают на то, что создание и использование вредоносных программ был совершено хакером (снаружи), то скорее всего он стал возможным в результате сговора с сотрудником потерпевшей организации, поскольку для хакера обнаружить уязвимости в информационной системе - это сложная задача с учетом новейших программных средств, а вот сотрудник потерпевшей организации знаком со всеми ее проблемами.

Следственная практика показывает, что, чем сложнее в техническом отношении способ проникновения в компьютерную систему или сеть, тем легче выявить подозреваемого, поскольку круг специалистов, обладающих соответствующими способностями, обычно весьма ограничен.

Таким образом, для того, чтобы возбудить уголовное дело по созданию и использованию вредоносных программ и организовать расследование на первоначальном этапе, необходимо грамотное и четкое взаимодействие следственно-оперативных органов с операторами связи и специалистами в сфере информационных технологий. Это взаимодействие должно быть отражено в ходе планирования расследования уголовного дела.



ГЛАВА 3.Особенности производства первоначальных следственных действий при расследовании компьютерных преступлений

§1. Особенности проведения осмотра места происшествия, обыска (выемки), допроса подозреваемого (обвиняемого)

На первоначальном этапе расследования компьютерных преступлений проводятся следующие следственные действия: осмотр места происшествия, обыск (выемка), допрос, КТЭ. Сложность проведения следственных действий заключается в том, что в УПК КР не закреплены правила сбора и фиксации цифровых доказательств Нехорошева О. Изъятие компьютерной техники и информации // Законность. - 2004.  - № 8. - С. 15-18., поскольку в силу быстрой изменчивости компьютерных систем это сделать невозможно, а разработка методик затруднена отсутствием грамотных специалистов в ведомствах Михайлов И.Ю. Носители цифровой информации (обнаружение, изъятие, назначение компьютерно-технической экспертизы). Методические рекомендации. - Курган: ЭКЦ при УВД Курганской области, 2003. [Электронный вариант].. Столкнувшись с такой проблемой, специалисты предлагают использовать рекомендации научных профессиональных организаций.

Одним из важных следственных действий, проводимых на первоначальном этапе расследования, является осмотр места происшествия. Данное процессуальное действие может быть произведено до возбуждения уголовного дела и после него (ст. 177 УПК КР).

Осмотр по делам, касающимся Создание, использование и распространение вредоносных программ для ЭВМ, - это осмотр в первую очередь компьютерной информации. Однако осмотр компьютерной информации - это не вполне осмотр, а скорее инструментальная проверка, требующая определенных знаний об используемых технических средствах, принцип действия которых не всегда очевиден Федотов Н.Н. Форензика - компьютерная криминалистика. - М.: Юридический мир, 2007. - С. 196.. Дело в том, что органы чувств человека не в состоянии воспринимать компьютерную информацию без взаимодействия «технических посредников» Например, при изучении записи в лог-файле потребуется взаимодействие следующих «технических посредников»: жесткий диск, контроллер жесткого диска с внутренней микропрограммой (firmware), внешний контроллер, BIOS, операционная система, файловая система, программное обеспечение для просмотра содержимого лог-файла, драйвер для монитора, программный экранный шрифт, клавиатура и т.д.. Компьютерная информация, которая предстает перед нами в своей исходной форме на мониторе ЭВМ, претерпевает количественные преобразования, которые порой переходят в качественные. И ни в одном техническом устройстве или программном обеспечении нельзя быть уверенным. Соответственно, вместо настоящего файла (его содержимого), участники осмотра места происшествия могут видеть сильно искаженную картину. Недаром существует точка зрения, что осмотр компьютерной информации вообще недопустим, а следует проводить экспертизу. Но практика никак не позволяет принять это утверждение.

Подготовка к осмотру места происшествия по делам данной категории включает необходимость решения ряда организационных вопросов как общих для любого следственного осмотра, так и специфических, приемлемых только для преступлений в сфере компьютерной информации. К общим относится приглашение понятых, сведущих в компьютерной технике Гаврилин Ю.В. Расследование неправомерного доступа к компьютерной информации. - М., 2000. - С. 73., инструктаж участников осмотра, к специфическим - обязательное участие в осмотре специалистов в области компьютерной техники. Иногда требуется пригласить не одного специалиста, а даже нескольких. Выбор специалиста будет зависеть от способа совершения преступления и от объема первоначальной информации о совершенном преступлении.

Перед началом осмотра места происшествия необходимо принять меры по подготовке с помощью специалиста соответствующей компьютерной техники, которая будет использоваться для считывания и хранения изъятой информации. Также потребуется программное обеспечение, позволяющее осуществлять копирование и анализ информации на месте Гаврилов М., Иванов А. Следственный осмотр при расследовании преступлений в сфере компьютерной информации // Законность. - 2001. - № 9. - С. 11-12..

Сразу по прибытии на место происшествия необходимо принять меры к обеспечению сохранности информации в подлежащих осмотру компьютерах и на съемных носителях, для чего необходимо:

· не разрешать лицам, работающим в это время или находящимся в помещении по другим причинам, прикасаться к компьютерному оборудованию, а также пользоваться телефоном;

· не разрешать никому выключать электроснабжение объекта;

· не разрешать никому производить манипуляции с компьютерной техникой, если их результат заранее не известен, в том числе и следователю;

· определить, соединены ли находящиеся в осматриваемом помещении компьютеры в локальную вычислительную сеть ЛВС - далее локальная вычислительная сеть.. При наличии ЛВС наибольший интерес должен представлять сервер, на котором хранится большая часть информации и к которому имеют доступ все подключенные к сети ЭВМ. Этот компьютер рекомендуется обследовать особенно. Вместе с тем, надо иметь в виду, что сервером может являться не один, а несколько компьютеров, расположенных в разных помещениях Шурухнов Н.Г. Расследование неправомерного доступа к компьютерной информации. Учебное пособие. - М.: Московский университет МВД, 2004. - С. 206-207.;

· установить, имеются ли соединения компьютера с оборудованием или вычислительной техникой вне осматриваемого помещения;

· выяснить, подключен ли компьютер к телефонной линии. В случае подключения на него могут поступать вызовы к продолжению приема или передачи информации. Если информация, поступающая на компьютер по электронной почте и иной связи, может иметь интерес для следствия, то отключать его не следует;

· определить, какая операционная система загружена, какие прикладные программы запущены и какие данные введены в компьютер. Одновременно следует обратить внимание на дату и текущее время на дисплее компьютера. Все отображенное на экране необходимо описать в протоколе и по возможности зафиксировать с помощью фото- или видеозаписи.

При проведении осмотра необходимо учитывать вероятность принятия лицами, заинтересованными в сокрытии преступления, мер по уничтожению информации и других ценных данных; вероятность установки в осматриваемые ЭВМ специальных средств защиты от несанкционированного доступа, которые, не получив в установленное время специального сигнала или кода, автоматически уничтожают всю хранящуюся в ЭВМ информацию, либо интересующую следствие наиболее важную ее часть; вероятность установки в осматриваемые ЭВМ иных средств защиты информации от несанкционированного доступа.

В этой связи чрезвычайно важно участие специалистов уже на первом этапе производства осмотра места происшествия: они помогут разобраться в особенностях компьютерного оборудования, укажут, что подлежит изъятию и предотвратят умышленное или случайное уничтожение информации.

Объекты, подлежащие осмотру, можно условно подразделить на четыре основные группы: служебные помещения; средства вычислительной техники; носители машинной информации; документы.

Осмотр служебного помещения необходим для общего обзора, определения границ осмотра места происшествия, количества и схемы расположения рабочих мест, уточнения порядка размещения компьютерного оборудования и мест хранения машинных носителей информации. Это позволит в дальнейшем изучить возможность несанкционированного проникновения посторонних лиц в помещение, где находится ЭВМ.

В ходе осмотра целесообразно начертить схему осматриваемых территорий, зданий и помещений с обозначением на ней мест расположения оборудования Гаврилов М., Иванов А. Следственный осмотр при расследовании преступлений в сфере компьютерной информации // Законность. - 2001. - № 9. - С. 13.. Кроме того, осматриваемые объекты должны быть сфотографированы по правилам судебной фотографии, т.е. сначала общий вид здания, помещения, затем по правилам узловой фотосъемки отдельные компьютеры и подключенные к ним устройства, а в случае вскрытия системного блока по правилам детальной съемки отдельные его узлы, особенно те, которые согласно инструкции по эксплуатации не должны устанавливаться на материнской плате или в корпусе блока, что должен определить специалист.

При осмотре помещения необходимо обращать внимание на небольшие листки, клочки, обрывки бумаги с полезной для следствия информацией, которые нередко прикрепляются к компьютеру или находятся в непосредственной близости от него; на возможные остатки следов на столе, где была установлена ЭВМ, загрязнения, следы вдавливания и другие признаки, свидетельствующие о перемещении, переподключении ЭВМ и периферийных устройств Фурсов В.А., Агеева Н.П., Некоторые рекомендации по осмотру, фиксации и изъятию средств компьютерной техники // Великотский Е.В. Сборник научных трудов юридического факультета Северо-Кавказского ГТУ, 2005. [Электронный вариант].

При осмотре средств вычислительной техники непосредственными объектами могут быть отдельные компьютеры, не являющиеся составной частью локальных или глобальной сетей; рабочие станции, входящие в сеть; серверы; сетевые линии связи; соединительные кабели; периферийные устройства. При этом должны быть установлены конфигурация компьютера с описанием всех устройств, номера моделей и серийные номера каждого из устройств, инвентарные номера, присваиваемые бухгалтерией при постановке на баланс предприятия, прочая информация на фабричных ярлыках Нехорошева О. Изъятие компьютерной техники и информации // Законность. - 2004. - № 8. - С. 15-18..

При осмотре работающего компьютера с участием специалиста следует установить, какая программа выполняется, тип программного обеспечения, загруженного в момент осмотра в компьютер, что может свидетельствовать о задачах, для которых использовался данный компьютер; по мере необходимости и возможности остановить исполнение программы и установить, какая информация получена после окончания ее работы; определить и восстановить наименование и назначение вызывавшейся перед осмотром программы; установить наличие в компьютере накопителей информации, их тип и количество; при наличии технической возможности скопировать информацию, которая может иметь значение для дела.

Если компьютер подключен к локальной сети, необходимо установить количество подключенных к серверу рабочих станций, вид связи сети, количество серверов в сети; по возможности организовать одновременный осмотр включенных в локальную сеть рабочих станций и компьютеров. Если такая возможность отсутствует, следует обеспечить их остановку и далее производить осмотр в режиме неработающего компьютера.

При осмотре неработающего компьютера с участием специалиста следует определить место нахождения компьютера и его периферийных устройств с обязательным указанием в протоколе наименования, номера, модели, формы, цвета и индивидуальных особенностей каждого из них; установить порядок соединения между собой вышеуказанных устройств, количество соединительных разъемов, их спецификации, а при наличии проводов и кабелей - их вид, цвет и количество, выяснить, подключен ли данный компьютер в сеть, каковы способ и средство его подключения. Необходимо также визуально и на ощупь проверять признаки недавней работы ЭВМ (нагрев блока питания, принтера).

Осмотр носителей компьютерной информации (лазерные диски, съемные Usb-устройства и т.д.) производится с целью установления содержания самой компьютерной информации и обнаружения внешних следов, в том числе следов пальцев рук, которые могут быть выявлены на упаковках и местах хранения машинной информации Гаврилов М., Иванов А. Следственный осмотр при расследовании преступлений в сфере компьютерной информации // Законность. - 2001. - № 9. - С. 15-16..

В ходе осмотра места происшествия могут быть обнаружены и изъяты документы, которые впоследствии могут быть признаны вещественными доказательствами по делу:

· носящие следы совершенного преступления (шифрованные, рукописные записи, пароли и коды доступа в сети, дневники связи);

· содержащие следы действия компьютерной техники. В этой связи следует искать в устройствах вывода бумажные носители информации, которые могли остаться внутри их в результате сбоя в работе устройства;

· описывающие аппаратуру и программное обеспечение;

· устанавливающие правила работы с компьютером, нормативные правовые акты, регламентирующие правила работы с данным компьютером, системой, сетью;

· журналы учета работы на компьютере, листинги, техническая, технологическая, кредитно-финансовая, бухгалтерская и т.п. документация.

При осмотре документов особое внимание следует обращать на подчистки и исправления в тексте, дополнительные записи; отсутствие либо нарушение нумерации страниц, а также вклеенные страницы, листки, бланки; распоряжения на исполнение определенных работ по изменению программ для ЭВМ, вводу дополнительной информации, не предусмотренной технологическим процессом; несоответствия ведущихся в системе форм регистрации правилам, установленным технической и технологической документацией.

В процессе осмотра необходимо помнить о соблюдении элементарных правил обращения с вычислительной техникой, а при изъятии отдельных устройств вычислительной техники и носителей компьютерной информации соблюдать правила их упаковки и транспортировки.

Особо следует остановиться на осмотре лог-файлов. Логи не являются непосредственным источником доказательств Собецкий И.В. О доказательственном значении лог-файлов // «Security Lab», 25 июля, 2003. URL: http://www.securitylab.ru/analytics/216291.php (дата обращения - 12.02.2014).. В качестве посредника выступает мнение специалиста, облекаемое в законную процессуальную форму, или заключение эксперта.

Доказательственная сила логов базируется на корректности и неизменности Федотов Н.Н. Форензика - компьютерная криминалистика. - М.: Юридический мир, 2007. - С. 198-210.. Эти два свойства должны соблюдаться при следующих событиях: корректности фиксации событий и генерации записей в генерирующую программу, неизменность при передаче записей от генерирующей к логирующей программе, корректность обработки записей в логирующей программе, неизменность при хранении логов до момента изъятия, корректность процедуры исследования, неизменность при хранении после изъятия до осмотра или передачи на экспертизу, корректность интерпретации логов. При несоблюдении одного действия, лог перестает быть доказательством.

Процедура приобщения логов к доказательствам следующая: следователь со специалистом в присутствии представителя, обслуживающего провайдер, и двух понятых проводит осмотр содержимого сервера. При этом используются штатные программные и аппаратные средства. Составляется протокол, в котором отражается характеристика сервера, версия ОС, состояние генерирующей и логирующей программы, наличие файлов с логами, их временные метки, права доступа к лог-файлам, учетные записи пользователей, имеющих права на запись в лог-файлы. Нужные записи из логов выбираются, распечатываются на принтере, на диск копируются все осмотренные логи, который опечатывается и отправляется на экспертизу, и все это прилагается к протоколу осмотра. Все листы протокола подписываются участниками осмотра.

Стоит заметить, что операторы связи небрежно относятся к хранению логов, хотя это их обязанность. При возникновении инцидента многие из них ссылаются на незнание правил сбережения логов. В связи с этим необходимо ввести административную ответственность операторов связи за ненадлежащее исполнение своих обязанностей вплоть до отзыва лицензии.

Обыск и выемка в отличие от осмотра места происшествия производятся только по возбужденному уголовному делу. Кроме того, если при осмотре фиксируется состояние места происшествия с изъятием обнаруженных следов и предметов, то при обыске и выемке идет поиск и изымаются конкретные предметы и документы, имеющие доказательственное значение по делу, а также ценности, добытые преступным путем (ст. ст. 184 УПК КР).

Применительно к ст. 290 УК КР обыск и выемка производятся, когда имеются сведения о лицах, причастных к совершению преступления, способах, средствах или месте преступного посягательства с использованием компьютерных технологий и вероятном местонахождении доказательств. Тактика проведения обыска и выемки при расследовании преступления имеет свои особенности. Это обусловлено не только умышленным уничтожением информации, имеющей доказательственное значение, еще не выявленными соучастниками преступления либо иными заинтересованными лицами среди персонала по месту работы подозреваемого или его близких по месту жительства, но и вероятностью неосторожного поведения следователя и других членов следственно-оперативной группы, которые в результате неквалифицированного обращения с программно-аппаратными средствами могут повредить информацию или уничтожить следы.

При проведении обыска необходимо руководствоваться следующими принципами:

- во время изъятия компьютерной техники, съемных носителей и при последующем их хранении не должна изменяться информация;

- доступ к информации и ее исследование на месте допустимы тогда, когда невозможно изъять носитель и отправить его на экспертизу;

- все действия с компьютерной техникой протоколируются Федотов Н.Н. Форензика - компьютерная криминалистика. - М.: Юридический мир, 2007. - С. 213..

На подготовительном этапе обыска при подборе специалистов необходимо учитывать особенности компьютерной техники и способа неправомерного доступа, использованного при совершении преступления; оценить с участием специалистов данные, полученные в ходе расследования уголовного дела; обеспечить участие понятых, обладающих хотя бы минимальными знаниями о компьютерных технологиях; принять меры к обеспечению безопасности места проведения обыска с точки зрения сохранности доказательств; определить время проведения и меры по обеспечению внезапности предстоящего обыска (выемки) как для подозреваемых, так и иных лиц, которые могут находиться на месте проведения следственного действия; решить вопрос обеспечения транспортом, упаковочным материалом для вывоза изъятого оборудования и носителей информации Комиссаров В., Гаврилов М., Иванов А. Обыск с извлечением компьютерной информации // Законность. -1999. - № 3. - С. 12-13..

Если обыск планируется провести у физического лица на квартире, и у следователя есть основания полагать, что собственник квартиры предпримет меры, направленные на воспрепятствование проведению этого следственного действия, то в этом случае рекомендуется привлекать соседей для проникновения в квартиру обыскиваемого лица. В любом случае следователь должен обеспечить внезапность обыска в целях недопущения уничтожения информации, а также физического уничтожения носителей машинной информации подозреваемым Обыск у подозреваемого по расследованию неправомерного удаленного доступа к компьютерной информации рекомендуют проводить в тот момент, когда данное лицо находится в сети Интернет. Для этого правоохранительным органам необходимо взаимодействовать с провайдером, который укажет время выхода в Интернет подозреваемого. В этом случае члены следственно-оперативной группы во время проведения обыска должны отстранить лицо от рабочего места и зафиксировать путем видеосъемки процессы и программы, выполняемые на компьютере в данный момент.. Обыск в организации лучше всего проводить в середине рабочего дня, если имеются основания для его отложения.