Первоначальный этап расследования неправомерного доступа к компьютерной информации

Уголовно-правовая и криминалистическая характеристика неправомерного доступа к компьютерной информации. Особенности возбуждения уголовного дела. Следственные ситуации первоначального этапа расследования неправомерного доступа к компьютерной информации.

Рубрика Государство и право
Вид дипломная работа
Язык русский
Дата добавления 18.03.2012
Размер файла 107,2 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Еще одна классификация лиц, совершающих НДКИ, наиболее полно отражает современное состояние типов преступников. Здесь за основу взяты те цели, мотивы, потребности, которыми руководствуются преступники при осуществлении своих деяний. Рассмотрим их кратко, подробное описание этих типов преступников отражено в Приложении № 1.

1. Хакер. Им движет исследовательский интерес, любопытство, честолюбие. Средства защиты компьютерных технологий он воспринимает как вызов, брошенный ему. Характерные черты - эскапизм, сниженная социализированность, аддикция. Отличаются высоким уровнем абстрактного мышления, индивидуализмом, интровертностью, некоторой степенью нонкомформизма. Хакеры делятся на лиц многознающих, которые помимо взлома, могут создавать свои программные продукты и придумывать что-то свое, и «script kiddies», которые бездумно используют уже готовые инструменты для взлома. Известны также хакеры, которых нанимают ОПГ для совершения преступлений с последующим вознаграждением.

2. С 90-х годов ХХ века появляется тип «е-бизнесмен» (наименование условное). Этот тип не является специалистом по информационным технологиям. Ему присуще незаконопослушность, асоциальность. Имеет свой отлаженный бизнес в сети Интернет. К совершению преступления подходят рационально и взвешено. Как правило, обладают хорошими организаторскими способностями по созданию организованной группы с четким распределением ролей. К этому типу относят фишеров и кардеров.

Как правило, фишеры образуют преступную группу, состоящую как минимум из двух лиц. Роли между соучастниками четко распределены. Применимые способы «выуживания» денег - это в основном сочетание метода социального инжиринга с разработкой фальшивых веб-сайтов. Могут взаимодействовать с кардерами.

Кардеры занимаются сбором персональных данных банковских карт. Работают по принципу «получение - распределение - реализация». Криминальная группа кардеров включает как минимум трех сообщников с четким распределением ролей. Используют всевозможные способы по «выуживанию» персональных данных банковских карт для последующего их применения при оплате товаров и услуг, изготовлением копий таких карт и их использованием в магазинах.

3. Инсайдер (наименование условное) - лицо, владеющее доступом в информационную систему в силу занимаемого им положения. Главные мотивы - корыстный (если информационная система имеет отношение к денежным средствам) или месть своему работодателю, с которым у него возник конфликт на почве личной неприязни, трудовых споров и т.п. Такие люди чувствуют себя ущемленными, обиженными по сравнению с другими сотрудниками организации. Может совершить неправомерный доступ лично либо вступить с кем-либо в сговор. Обвинить коллег по работе в случившемся инциденте - характерное поведение для инсайдера.

4. Антисоциальный тип (наименование условное). Этот тип преступников действует импульсивно и не склонен к планированию преступления, особенно долгосрочному. Занимаются в основном мошенничеством в Интернете. В целях получения информации, необходимой для совершения НДКИ, могут пойти на совершение насильственных преступлений.

5. Кракер - это человек, который обходит или разрушает средства безопасности сети или отдельной компьютерной системы, чтобы получить несанкционированный доступ. Классическая цель кракера - нелегально получить информацию от компьютерной системы, чтобы затем нелегально использовать компьютерные ресурсы. Как бы то ни было, главной целью большинства кракеров является просто разрушение системы.

6. «Белый воротничок» - казнокрад, сменивший инструменты своей деятельности на компьютер. Этот тип преступников имеет минимальную квалификацию в сфере информационных технологий. Кроме хищений, они могут совершать взяточничество, коммерческий подкуп и т.д. По мотивам совершения преступления их подразделяют на злоупотребляющих должностным положением из чувства обиды на компанию или начальство; беспринципных расхитителей, не имеющих моральных барьеров; расхитителей, попавших в тяжелое материальное положение или в материальную и иную зависимость от лица, требующего совершить преступление Федотов Н.Н. Форензика - компьютерная криминалистика. - М.: Юридический мир, 2007. - С. 41-47..

Данная классификация типов преступников свидетельствует об увеличении в будущем как количества, так и качества совершаемых преступлений, посягающих на охраняемую законом компьютерную информацию.

Рассмотрев криминалистическую характеристику НДКИ, следует отметить, что современная криминалистическая теория в вопросах, связанных с преступлениями в сфере компьютерной информации, находится в стадии становления. Это связано с такими естественными причинами, как новизна данной категории преступлений и недостаточный объем судебно-следственной практики по НДКИ, проявляющийся, во-первых, в неразработанности и противоречивости понятий, употребляемых в ст. 272 УК РФ; во-вторых, в заметных пробелах при разработке научно обоснованных и эффективных методов и методик для правоохранительных органов.

ГЛАВА 2. ОРГАНИЗАЦИЯ РАССЛЕДОВАНИЯ НЕПРАВОМЕРНОГО ДОСТУПА К КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ НА ПЕРВОНАЧАЛЬНОМ ЭТАПЕ

§1. Особенности возбуждения уголовного дела

Раскрывать преступления, совершенные с использованием ЭВМ, сложно, поскольку преступники прибегают к действиям, направленным на сокрытие события преступления, направление подозрений в совершении преступления на невиновное лицо, на разработку ложного алиби, на сокрытие и уничтожение важных для доказывания вины следов Поляков В.В. Особенности расследования неправомерного удаленного доступа к компьютерной информации: Автореф. дисс. … канд. юрид. наук. - Омск, 2008. [Электронный вариант]..

В соответствии со ст. 140 УПК РФ поводами к возбуждению уголовных дел, в том числе о преступлениях в сфере компьютерной информации, являются: заявления и письма, оформленные и зарегистрированные в установленном порядке, граждан, являющихся владельцами и законными пользователями компьютерной информации, подвергшейся преступному воздействию; непосредственное обнаружение органами дознания признаков преступления, предусмотренного ст. 272 УК РФ; сообщения предприятий, учреждений, организаций всех форм собственности и должностных лиц; статьи, заметки и письма, опубликованные в печати; явка с повинной.

Для выявления преступлений в сфере так называемых «высоких технологий», а также для установления лиц и преступных группировок, занимающихся преступной деятельностью в этой области, создано Управление «Р» МВД России. Применительно к субъектам РФ действуют отделы «К» подразделений специальных технических мероприятий при УВД субъектов РФ. Это оперативные подразделения, занимающиеся выявлением, пресечением компьютерных преступлений и составлением материалов доследственных проверок.

Решение вопроса о возбуждении уголовного дела, как правило, требует тщательной проверки и оценки имеющихся данных. Исключение составляют редкие случаи задержания правонарушителей с поличным, например, при работе на компьютере в момент несанкционированного копирования конфиденциальной информации. В этих случаях для проведения неотложных следственных действий (личного обыска задержанного, обыска по месту его работы и жительства, где находится его персональный компьютер), а также других проводимых оперативно-следственных мероприятий «по горячим следам», во избежание утраты и уничтожения доказательств совершенного преступления, уголовное дело необходимо возбудить немедленно.

Во всех других случаях при получении следователем или иным уполномоченным на то лицом сообщения о совершении преступления в сфере компьютерной информации должна быть проведена, как правило, органами дознания, доследственная проверка в порядке и в сроки, предусмотренные УПК РФ.

При этом типичными являются следующие проверочные ситуации Под проверочными ситуациями в данном случае понимается обстановка, сложившаяся на момент возбуждения уголовного дела..

1. Собственник информационной системы собственными силами выявил нарушение целостности и конфиденциальности информации в системе, обнаружил виновное лицо и заявил об этом в правоохранительные органы.

2. Собственник информационной системы собственными силами выявил нарушение целостности и конфиденциальности информации в системе, не смог обнаружить виновное лицо и заявил об этом в правоохранительные органы.

3. Данные о нарушении целостности и конфиденциальности информации в информационной системе и о виновном лице стали общеизвестными или непосредственно обнаружены органом дознания, следствия (например, в ходе проведения оперативно-розыскных мероприятий по другому делу).

4. Данные о нарушении целостности и конфиденциальности информации в информационной системе выявлены правоохранительными органами, виновное лицо неизвестно, но заявитель не обратился в правоохранительные органы.

Доследственная проверка проводится в целях объективного подтверждения фактов, изложенных в заявлениях, материалах ведомственной и иной проверки, а именно: о нарушении целостности информации в компьютерной системе, сети; о наличии причинной связи между неправомерными действиями и наступившими последствиями, предусмотренными диспозицией ст. 272 УК РФ; а также о предварительном размере ущерба, причиненного в результате преступных действий.

В процессе доследственной проверки необходимо принять меры к установлению таких необходимых для возбуждения уголовного дела данных, как: следы преступления; место неправомерного проникновения в компьютерные сети (внутри потерпевшей организации или извне); способы совершения неправомерного доступа и его последствия Следует отметить, что копирование, уничтожение, модификация информации могут быть вызваны не только неправомерными действиями, но и ошибками, неумышленным неправильным поведением персонала потерпевшей организации, в т.ч. при профилактике, ремонте ЭВМ, при ошибочных действиях оператора в процессе работы и т.п.; средства, использованные при совершении преступления; способы преодоления информационной защиты.

В ходе проведения доследственной проверки по рассматриваемой категории дел проводится осмотр места происшествия, опрос персонала потерпевшей организации, показания которых составят в дальнейшем свидетельскую базу по уголовному делу. В процессе получения объяснений выясняются обстоятельства, предшествовавшие совершению преступления с целью установления круга подозреваемых лиц, обстоятельства обнаружения факта преступления, наличия и функционирования информационной защиты, ее недостатках, сведения об иных причинах и условиях, которые могли быть использованы для совершения противоправных действий.

В тех случаях, когда персоналом потерпевшей организации, как правило, ее службой безопасности, самостоятельно проведена проверка по установлению лиц, причастных к совершению преступления, и выявлен подозреваемый или круг подозреваемых лиц, в ходе предварительной проверки проводится комплекс оперативно-розыскных и иных мероприятий по проверке заподозренного лица (лиц) и, по возможности, задержание его (их) с поличным. Иногда при задержании изымается компьютерная техника, при этом специалистами проводится анализ изъятого в условиях экспертного исследования.

Помимо указанных могут проводиться иные действия, направленные на установление события преступления и изобличение виновного лица, к числу которых относятся требования, поручения, запросы В соответствии с ч. 2 ст. 144 УПК РФ по требованию прокурора, следователя или органа дознания редакция, главный редактор соответствующего средства массовой информации обязаны передать имеющиеся в их распоряжении документы и материалы, подтверждающие сообщение о преступлении, а также данные о лице, предоставившем указанную информацию, за исключением случаев, когда это лицо поставило условие о сохранении в тайне источника информации. Предметы и документы могут быть предоставлены также потерпевшим, его адвокатом и другими лицами на основании ст. 86 УПК РФ..

В целях проверки поступивших сообщений о преступлении и решении вопроса о наличии или отсутствии оснований для возбуждения уголовного дела орган дознания, прокурор могут использовать имеющиеся в их распоряжении средства административной, оперативной, прокурорской проверки, применение которых не обусловлено наличием производства по уголовному делу Шурухнов Н.Г. Расследование неправомерного доступа к компьютерной информации. Учебное пособие. - М.: Московский университет МВД, 2004. - С. 175-176..

Решение о возбуждении уголовного дела принимается не только на основании материалов предварительных проверок заявлений потерпевших, организаций и должностных лиц, но и по материалам органов дознания при реализации оперативных разработок, результатов оперативно-розыскных действий по выявлению преступлений в сфере компьютерной информации и лиц, их совершивших В соответствии со ст. 11 Федерального закона «Об оперативно-розыскной деятельности» результаты этой деятельности могут служить поводом и основанием для возбуждения уголовного дела и использоваться в доказывании по уголовным делам в соответствии с положениями уголовно-процессуального законодательства, регламентирующими собирание, проверку и оценку доказательств..

Имеющиеся в оперативных службах материалы, полученные в результате оперативно-розыскных мероприятий, могут представляться в легализованной в соответствии с требованиями закона форме прокурору, начальнику Следственного комитета по линии МВД, следователю для предварительного ознакомления и определения достаточности данных для возбуждения уголовного дела, а при положительном решении этого вопроса - возможности задержания правонарушителя, оформления и закрепления полученных оперативных данных процессуальным путем в качестве доказательств.

Теперь перейдем непосредственно к оперативно-розыскным мероприятиям Оперативно-розыскные мероприятия - далее ОРМ., которые играют большую роль при выявлении признаков преступления, предусмотренного ст. 272 УК РФ. Благодаря проведению ОРМ становится известен механизм преступления, способ его совершения, иногда и лица, совершившие преступление Подольный Н.А., Ширманов А.Г. Некоторые особенности выявления, раскрытия и расследования компьютерных преступлений // Российский следователь. - 2004. - № 1. - С. 11..

Ст. 6 ФЗ «Об оперативно-розыскной деятельности» Федеральный закон «Об оперативно-розыскной деятельности» от 12.08.1995 № 144-ФЗ (в ред. от 26.12.2008) // Собрание законодательства РФ. - 14.08.1995. - № 33. - Ст. 3349. содержит закрытый перечень ОРМ. Рассмотрим методы проведения такого ОРМ, как снятие информации с технических каналов связи Федотов Н.Н. Форензика - компьютерная криминалистика. - М.: Юридический мир, 2007. - С. 121-139.:

1) перехват и исследование трафика. В российской судебной практике результаты трафика почти не используются в качестве доказательства. Для ведения ОРД трафик также используется крайне редко. Однако на основе анализа содержимого и статистики сетевого трафика можно определить и доказать совершение пользователем многих действий в сети, а также получить информацию об устройстве программ, информационных систем и сетей. Кроме этого, сбор и анализ сетевого трафика может в некоторых случаях заменить изъятие и экспертизу компьютера пользователя и сервера (КТЭ КТЭ - компьютерно-техническая экспертиза.), поскольку может дать содержимое электронной почты, информацию о посещении тех или иных сайтов преступником, о несанкционированном доступе к удаленным узлам (ресурсам). Данные результатов перехваченного трафика могут усилить доказательственную базу;

2) исследование статистики трафика. Статистика прошедшего трафика собирается на многих компьютерных устройствах, в том числе на всех маршрутизаторах, коммуникационных устройствах и т.д. Часто эта статистика ведется по формату «netflow», предусматривающему запись сведений о каждом потоке, т.е. серии пакетов, объединенных совокупностью IP-адресов, портов и номером протокола. В результате исследования статистики можно зафиксировать факт обращения преступника к информационным ресурсам, время обращения с точностью интервала от 5 минут до 1 часа, количество переданного и полученного трафика, сам протокол, номера портов с обеих сторон для TCP и для UDP Порт - системный ресурс, выделяемый приложению для связи с другими приложениями, выполняемыми на хостах, доступных через сеть. TCP - один из основных сетевых протоколов Интернет, предназначенный для управления передачей данных в сетях и подсетях TCP/IP. UDP - транспортный протокол для передачи данных в сетях IP без установления соединения, который, в отличие от TCP, не гарантирует доставку пакета..

Кроме того, исследование статистики трафика позволяет обнаружить источник DoS-атаки или иных атак с переписанными IP-адресами путем установления контакта с несколькими провайдерами;

3) перехват сведений о сетевых соединениях или перехват трафика на основе сигнатур Сигнатура - это строка (образец), указывающая на принадлежность данного пакета к вредному трафику.. Иногда содержимое трафика может оказаться чересчур объемным, а статистика по объему мала, тогда прибегают к использованию промежуточных вариантов ОРМ. Сведения о сетевых соединениях или о заголовках пакетов представляют собой, с одной стороны, урезанный перехват трафика (без сохранения сведений о содержимом пакетов, сохраняются лишь их заголовки), с другой стороны, развернутый вариант статистики (когда записывается не агрегированная по времени информация о переданных пакетах). При помощи данного мероприятия, зная IP-адрес интересующего нас компьютера, можно установить наличие на данном компьютере той или иной программы, как часто она используется и некоторые другие ее данные.

Перехват по сигнатурам используется для защиты информации при обнаружении атак. Она ищет в передаваемых пакетах заранее определенные последовательности байтов, соответствующие попыткам несанкционированного доступа, активности вредоносных программ, иным подозрительным действиям.

Следующее ОРМ, которое имеет важное значение ходе расследования НДКИ, - это наведение справок. При его проведении можно определить преступника, совершившего НДКИ, а также установить иные обстоятельства, имеющие значение для следствия. Данное ОРМ осуществляется по следующим направлениям.

1. Установление принадлежности и расположения IP-адреса IP-адрес - уникальный идентификатор компьютера в сети. Выделением и регистрацией IP-адресов занимаются специальные организации, образующие трехуровневую иерархию: IANA-RIR-LIR. Организация IANA - главный регистратор - выделяет крупные блоки IP-адресов региональным регистраторам и большим организациям. Региональных организаций пять (делятся они по континентам), они выделяют блоки IP-адресов местным регистраторам. Последние выделяют мелкие блоки IP-адресов операторам связи (провайдерам), а провайдеры - своим потребителям. На каждом уровне ведется своя база данных IP-адресов..

В уголовном деле по НДКИ перед лицами, ведущими следствие, ставится задача определения компьютера и его местоположения по известному и оставленному IP-адресу. IP-адрес фиксируется каждый раз при выходе в Интернет при помощи различных технических средств. По зафиксированному IP-адресу (данные о нем находятся в лог-файлах на сервере у провайдера) устанавливается компьютер, с которого был осуществлен несанкционированный доступ. Установив компьютер, следователю необходимо будет доказать, что именно подозреваемый в момент осуществления преступной деятельности находился за компьютером. При этом надо помнить, что содержимое лог-файлов сервера, в которых отражаются настройки, использованные преступником при осуществлении несанкционированного доступа, их корректность и неизменность, должно быть подтверждено КТЭ.

Установить принадлежность IP-адреса можно через whois-клиент Daigle L. RFC-3912 «WHOIS Protocol Specification». - 2004. // URL: http://www.rfc-editor.org/rfc/rfc3912.txt (дата обращения - 10.02.2010).. Данный клиент доступен в Интернете любому пользователю. При запросе пользователя whois-клиент обращается к базе данных регистраторов IP-адресов.

Тот же результат можно получить, если сделать запрос через веб-форму на веб-сайте Европейского регистратора IP-адресов. Однако таким данным всецело доверять не следует. Сведения о местном регистраторе будут верными, поскольку он является членом регионального регистратора, имеет с ним договор, постоянно взаимодействует. Сведения о клиенте местного регистратора, непосредственного пользователя IP, подлежат в дальнейшем проверке.

Для уголовного дела будет недостаточно распечатки ответа whois-сервера, она должна быть заверена местным оператором связи, являющимся одновременно местным регистратором. Кроме того, получение сведений о принадлежности IP-адреса может быть оформлено рапортом оперуполномоченного, который прямо в него переписывает сведения из базы данных регистратора. Есть и другие варианты документирования: нотариальное заверение, справка от региональной организации IP-адресов. Впоследствии эти данные должны быть подтверждены КТЭ этого компьютера и показаниями сотрудников оператора связи.

Сделав запрос к клиенту whois-сервера, можно узнать, за кем закреплена соответствующая подсеть и диапазон IP-адресов. Обычно таковым является оператор связи. Получить и уточнить данные о непосредственном пользователе, а также установить его местоположение можно у оператора связи, на которого зарегистрирован соответствующий диапазон IP-адресов. Если между пользователем и оператором находится оператор - посредник или оператор последней мили, то необходимо проверить всех операторов. Сложность в проведении данной операции заключается в том, что на сегодняшний день отсутствует единый и систематический учет всех операторов.

2. Установление принадлежности адреса ЭП ЭП - электронная почта.. Сообщения ЭП фигурируют во многих уголовных делах. При помощи ЭП происходит, например, сговор о совершении преступления. В большинстве случаев адрес ЭП связан с почтовым ящиком. Однако из каждого правила есть исключения:

- групповые и коллективные адреса, которые представляют собой адрес списка рассылки: все поступающие на этот адрес письма рассылаются определенной группе адресатов, таковыми выступают часто ролевые адреса;

- технические адреса: все поступающие письма на эти ящики обрабатываются программой, которая отсылает их потом по назначению;

- адреса для пересылки сообщения: все сообщения перенаправляются на другой, заранее заданный адрес.

Зная адрес ЭП, можно установить почтовый ящик, с которым связан этот адрес, затем выяснить, кто пользуется этим почтовым ящиком. Таким способом будет установлен владелец адреса.

Для установки места расположения ящика специалист (эксперт) устанавливает первичный MX домена Для функционирования домена необходимы DNS-серверы, которые могли бы отвечать в Интернете на запросы о домене (зоне) пользователя. DNS-сервер, на котором хранится полная исходная информация о зоне, называется первичным DNS-сервером. Все остальные DNS-серверы называются вторичными, если получают полную информацию о зоне с первичного или другого вторичного DNS-сервера. MX-записи для данного домена указывают серверы, на которые нужно отправлять ЭП, предназначенную для адресов в данном домене.. Во многих случаях ящик, принадлежность которого устанавливается, находится на этом же сервере, отвечающий его настройкам. В других случаях почтовый сервер пересылает почту на иной сервер, указанный в его настройках. В обоих случаях требуется узнать эти настройки. Для этого потребуется содействие провайдера, обслуживающего сервер. Расположение почтового ящика документируется протоколом осмотра сервера или заключением эксперта в ходе проведения КТЭ.

Доказательствами факта использования почтового ящика определенным лицом могут быть:

· наличие на компьютере у лица настроек для доступа к ящику ЭП, в том числе и пароль к этому ящику;

· наличие на компьютере у лица полученных сообщений ЭП со служебными заголовками, свидетельствующими о прохождении сообщений через этот ящик;

· наличие на сервере, где расположен ящик, логов об успешном соединении и аутентификации пользователя данного почтового ящика;

· наличие у других абонентов сообщений от этого лица, написанных в ответ на сообщения, отправленные на этот почтовый ящик.

Помимо рассмотренных проводятся и другие ОРМ, указанные в ст. 6 ФЗ «Об ОРД».

Как отмечалось выше, осмотр места происшествия может проводиться до возбуждения уголовного дела. Особо следует отметить осмотр, проводимый в отношении сервера провайдера в целях исследования находящихся на нем лог-файлов, а также логов мейл-сервера и заголовков ЭП.

Логирование событий определяет политику безопасности компьютера, а именно одну из ее составляющих - аудит. Ведение процесса логирования повышает вероятность выявления преступника, а также его изобличение. В любой операционной системе ведется журнал регистрации событий Например, в Windows XP предусмотрено три журнальных лога: прикладных программ, системы и безопасности - application, system, security с расширением log., который фиксируется в рамках какой-либо программы. Каждому событию соответствует своя запись. Записи откладываются в отдельный файл, назначаемый самой программой. В логах могут храниться любые сведения. Форма записи остается на усмотрение автора программы. Есть логи целевые, которые ориентированы на цели безопасности и расследования инцидентов. Следует иметь в виду, что логи могут вестись разными программами. В этом случае все эти и другие места должен указать специалист, участвующий в осмотре места происшествия, в том числе не исключено, что придется приглашать не одного, а двух и более специалистов.

Чаще всего в логах откладываются данные об IP-адресе клиента; времени запроса, включая часовой пояс; поля HTTP-запроса клиента; код ответа веб-сервера; ошибки, происшедшие при загрузке веб-странице и др.

При исследовании логов надо помнить, что поля HTTP-запроса могут быть фальсифицированы преступником, т.к. формируются они на его стороне. Зафиксированному в логе IP-адресу можно доверять, но надо помнить, что этот адрес может оказаться IP прокси-сервера или иного посредника. Внутренние поля веб-сервера не могут быть фальсифицированы.

Для проверки достоверности данных логов веб-сервера применяется сопоставление записей между собой, а также с иными логами.

Сообщение ЭП создается на компьютере отправителя в программе, называемой клиентом ЭП. Затем оно отправляется на сервер ЭП отправителя. Оттуда - на сервер ЭП получателя сразу либо же через промежуточный сервер ЭП (релей). На сервере получателя сообщение помещается в почтовый ящик соответствующего пользователя. Из этого ящика при посредстве сервера доставки пользователь забирает сообщение. Сообщение сохраняется в клиенте отправителя и получателя. При прохождении через сервер отправителя копия сообщения не сохраняется, но делается запись в логе о его получении и отправке. При этом в сообщение вставляется служебный заголовок «Received» - маршрутный заголовок.

При прохождении сообщения остаются следующие следы:

· копия сообщения на компьютере отправителя;

· запись в логе каждого сервера ЭП отправителя;

· копия сообщения на компьютере получателя с добавленными по пути заголовками;

· следы на компьютере отправителя в результате работ антивирусных программ, сетевых соединений, относящихся к сообщению ЭП;

· следы в логах провайдера, через которые осуществлялось соединение компьютера преступника и сервером отправителя;

· записи в логах антиспамовых программ на всех серверах ЭП отправителя, через которые прошло сообщение;

· следы серверов ЭП отправителя в результате их обращения к DNS-серверам во время приема и передачи сообщения;

· следы в логах провайдера серверов ЭП получателя;

· иные следы на компьютере получателя.

В случае использования вместо программы веб-клиента веб-интерфейс сервера ЭП добавляются следы, характерные для просмотра веб-страниц.

Для признания результатов ОРМ, проведенных в ходе осмотра места происшествия, доказательствами, помимо протокола осмотра, прикладывается впоследствии заключение эксперта, проводящего КТЭ сервера, подтверждающего результаты осмотра.

В настоящее время поисковые системы в Интернете стали широко применяться не только обычными пользователями, специалистами по информационным технологиям и преступниками, но и оперативными работниками. Для криминалистики поисковые системы представляют большой интерес, потому что в них можно обнаружить следы. Очень многие виды сетевой активности оставляют след в поисковых системах, и он может храниться в базе данных поисковика. Помимо этого со стороны поисковой системы можно вести ОРД или получать данные в ходе следственных действий. Поисковая система может протоколировать события и действия пользователя в сети. Все эти сведения могут послужить косвенными доказательствами по уголовному делу.

Итогом разрешения проверочной ситуации должно стать принятие процессуального решения. Если в ходе доследственной проверки были выявлены достаточные данные, указывающие на признаки преступления, то уполномоченное лицо выносит постановление о возбуждении уголовного дела.

Исходя из вышесказанного, следует, что проведение полноценных ОРМ и выявление признаков преступления, предусмотренного ст. 272 УК РФ, возможно только при взаимодействии правоохранительных органов с операторами связи и специалистами в сфере информационных технологий.

§2. Типичные следственные ситуации первоначального этапа расследования неправомерного доступа к компьютерной информации

Под организацией расследования понимается деятельность следователя, направленная на создание наиболее оптимальных условий для всего хода расследования и действий в каждой следственной ситуации в целях успешной реализации плана расследования Яблоков Н.П. Криминалистика. - М.: Юристъ, 2001. - С. 52-53..

На первоначальном этапе расследования НДКИ успех в собирании доказательств зависит от взаимодействия правоохранительных органов со специалистами и операторами связи. Это объясняется тем, что специальные знания в области информационных технологий потребуются как в ходе проведения ОРМ и при первичной проверке материала, так и на стадиях предварительного расследования и судебного разбирательства. Содействие провайдера (оператора связи) также является обязательным элементом расследования на первоначальном этапе, поскольку он выступает «полновластным хозяином» своего участка в сети Интернет Федотов Н.Н. Реликтовое право // Закон и право. - 2007. - № 4. - С. 18-20.. Без содействия со стороны провайдера пока невозможно проводить ОРМ или следственные действия.

Во многих случаях для расследования преступления по ст. 272 УК РФ бывает полезно привлечь потерпевшего. Современная виктимология рассматривает потерпевшего как опору следствия и источник информации о преступлении. Жертва преступления имеет хороший потенциал и мотивацию для активных действий. Потерпевшие или работники предприятия - потерпевшего имеют достаточно высокую квалификацию в области информационных технологий. Часто эта квалификация выше, чем у сотрудников правоохранительных органов, занимающихся расследованием.

В ходе расследования НДКИ необходимо создать следственно-оперативную группу для проведения процессуальных действий, которая должна состоять, как считают российские авторы по информационным технологиям, из следователя СК при МВД, сотрудника отдела «К», оперуполномоченного, специалиста. Определяющая роль в создании следственно-оперативной группы принадлежит следователю. Указанные лица помогут следователю зафиксировать цифровые доказательства Турута А. Тактика собирания и исследования доказательственной информации с компьютера, подключенного к сети // crime-research.ru. // URL: http://www.crime-research.ru/articles/1764 (дата обращения - 11.02.2010).. Если в деле будут выявлены обстоятельства, носящие угрозу национальной безопасности государства, то, помимо названных лиц, к делу подключаются сотрудники УОТМ ФСБ и уведомляется прокурор субъекта РФ.

Практика показывает, «отрыв» следователя от проведения ОРМ, которые проводятся сотрудниками отдела «К», приводит к тому, что процесс расследования уголовного дела замедляется. Помимо того, что следователь еще не в полной мере осознает информацию, находящуюся у него к моменту возбуждения уголовного дела, он, кроме того, не прислушивается к мнению оперативных сотрудников о последовательности и целесообразности проведения следственных действий Подольный Н.А., Ширманов А.Г. Некоторые особенности выявления, раскрытия и расследования компьютерных преступлений // Российский следователь. - 2004. - № 1. - С. 10-11.. Помимо этого, «камнем преткновения» здесь стоят ст. 12 и 14 ФЗ «Об ОРД», в соответствии с которыми оперативный сотрудник обязан действовать в условиях строгой конспирации: он не всегда сможет выдать следователю всю информацию, полученную в ходе проведения ОРМ. Поэтому следователю необходимо принимать участие в проведении ОРМ при расследовании НДКИ для получения информации, достаточной для возбуждения уголовного дела и планирования расследования преступления в будущем.

Обеспечивающую функцию в работе по раскрытию и расследованию преступлений на первоначальном этапе выполняют криминалистические информационные системы. Это не только средства связи, навигации и системы криминалистической регистрации, но также ГИТКС НЦБ Интерпола и ЕИТКС ОВД Глобальная информационно-телекоммуникационная система (ГИТКС НЦБ Интерпола).

Единая информационно-телекоммуникационная система (ЕИТКС ОВД)..

В настоящее время преступлений, возбужденных по признакам ст. 272 УК РФ, зарегистрировано много. В такой ситуации органам следствия необходимо сосредоточиться на фактах приоритетности расследования. Эти факты зависят от вида и размера ущерба, наступившего в результате НДКИ, количества и квалификации персонала и юрисдикции государства.

В ходе расследования НДКИ подлежат установлению следующие обстоятельства Более подробно обстоятельства, подлежащие установлению, отражены в Приложении № 3. :

- факт НДКИ;

- место и время несанкционированного проникновения в систему или сеть;

- надежность средств защиты компьютерной информации;

- способ совершения несанкционированного доступа;

- лица, совершившие НДКИ, их виновность и мотивы НДКИ;

- вредоносные последствия неправомерного доступа к компьютерным системам и сетям;

- обстоятельства, способствовавшие НДКИ.

Типичные следственные ситуации по рассматриваемой категории преступлений можно классифицировать по различным основаниям.

По источнику информации выделяют ситуации, когда:

· неправомерный доступ обнаружен самим пользователем;

· неправомерный доступ обнаружен в ходе оперативно-розыскной деятельности;

· неправомерный доступ обнаружен в ходе прокурорских проверок;

· неправомерный доступ выявлен при проведении ревизии;

· неправомерный доступ обнаружен в ходе производства следственных действий по другому уголовному делу.

С учетом объема исходной информации, полученной при проведении проверочных действий на первоначальном этапе расследования, возможны следующие типичные следственные ситуации.

1. Отсутствует информация о способе, мотивах, личности преступника, известны только последствия неправомерного доступа.

2. Известны способ, мотивы и последствия неправомерного доступа, но неизвестна личность преступника.

3. Имеется информация и о способе, и о мотивах, и о личности преступника.

В первых двух ситуациях целесообразно строить расследование по следующей схеме: опрос заявителя и свидетелей, осмотр места происшествия с участием специалистов, проведение ОРМ для установления причин преступления, выявления преступников, допрос свидетелей и потерпевших, выемка и изучение компьютерной техники и документации, задержание преступника, допрос подозреваемого, обыски по месту жительства и работы, назначение и производство судебных экспертиз.

В третьей (максимально информативной) ситуации расследование строится по следующей схеме: изучение материалов предварительной проверки и возбуждение уголовного дела, осмотр места происшествия, задержание преступника, допрос подозреваемого, обыски по месту жительства и работы подозреваемого, допросы потерпевших и свидетелей, выемка компьютерной техники и документации, назначение судебных экспертиз.

Общие версии, которые выдвигаются на первоначальном этапе расследования следующие: преступление действительно имело место при тех обстоятельствах, которые вытекают из первичных материалов; ложное заявление о преступлении либо имела место инсценировка преступления.

Частные версии выдвигаются в отношении личности преступника, мотивов совершения преступления, способов НДКИ, размера причиненного ущерба и т.д.

При расследовании неправомерного доступа к закрытой системе (организации, фирмы) первая версия, которая выдвигается следователем, эта версия о личности преступника: неправомерный доступ совершен сотрудником потерпевшей организации или лицом, не имеющим отношений с потерпевшей организацией. В первом случае выдвигается версия об инсайдере (внутренний неправомерный доступ), вторая - неправомерный доступ совершен хакером (неправомерный доступ снаружи). Однако надо иметь в виду, что если признаки преступления указывают на то, что НДКИ был совершен хакером (снаружи), то скорее всего он стал возможным в результате сговора с сотрудником потерпевшей организации, поскольку для хакера обнаружить уязвимости в информационной системе - это сложная задача с учетом новейших программных средств, а вот сотрудник потерпевшей организации знаком со всеми ее проблемами.

Следственная практика показывает, что, чем сложнее в техническом отношении способ проникновения в компьютерную систему или сеть, тем легче выявить подозреваемого, поскольку круг специалистов, обладающих соответствующими способностями, обычно весьма ограничен.

Таким образом, для того, чтобы возбудить уголовное дело по НДКИ и организовать расследование на первоначальном этапе, необходимо грамотное и четкое взаимодействие следственно-оперативных органов с операторами связи и специалистами в сфере информационных технологий. Это взаимодействие должно быть отражено в ходе планирования расследования уголовного дела.

ГЛАВА 3. ОСОБЕННОСТИ ПРОИЗВОДСТВА ПЕРВОНАЧАЛЬНЫХ СЛЕДСТВЕННЫХ ДЕЙСТВИЙ ПРИ РАССЛЕДОВАНИИ НЕПРАВОМЕРНОГО ДОСТУПА К КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ

§1. Особенности проведения осмотра места происшествия, обыска (выемки), допроса подозреваемого (обвиняемого)

На первоначальном этапе расследования НДКИ проводятся следующие следственные действия: осмотр места происшествия, обыск (выемка), допрос, КТЭ. Сложность проведения следственных действий заключается в том, что в УПК РФ не закреплены правила сбора и фиксации цифровых доказательств Нехорошева О. Изъятие компьютерной техники и информации // Законность. - 2004.  - № 8. - С. 15-18., поскольку в силу быстрой изменчивости компьютерных систем это сделать невозможно, а разработка методик затруднена отсутствием грамотных специалистов в ведомствах Михайлов И.Ю. Носители цифровой информации (обнаружение, изъятие, назначение компьютерно-технической экспертизы). Методические рекомендации. - Курган: ЭКЦ при УВД Курганской области, 2003. [Электронный вариант].. Столкнувшись с такой проблемой, специалисты предлагают использовать рекомендации научных профессиональных организаций.

Одним из важных следственных действий, проводимых на первоначальном этапе расследования НДКИ, является осмотр места происшествия. Данное процессуальное действие может быть произведено до возбуждения уголовного дела и после него (ст. 176 УПК РФ).

Осмотр по делам, касающимся НДКИ, - это осмотр в первую очередь компьютерной информации. Однако осмотр компьютерной информации - это не вполне осмотр, а скорее инструментальная проверка, требующая определенных знаний об используемых технических средствах, принцип действия которых не всегда очевиден Федотов Н.Н. Форензика - компьютерная криминалистика. - М.: Юридический мир, 2007. - С. 196.. Дело в том, что органы чувств человека не в состоянии воспринимать компьютерную информацию без взаимодействия «технических посредников» Например, при изучении записи в лог-файле потребуется взаимодействие следующих «технических посредников»: жесткий диск, контроллер жесткого диска с внутренней микропрограммой (firmware), внешний контроллер, BIOS, операционная система, файловая система, программное обеспечение для просмотра содержимого лог-файла, драйвер для монитора, программный экранный шрифт, клавиатура и т.д.. Компьютерная информация, которая предстает перед нами в своей исходной форме на мониторе ЭВМ, претерпевает количественные преобразования, которые порой переходят в качественные. И ни в одном техническом устройстве или программном обеспечении нельзя быть уверенным. Соответственно, вместо настоящего файла (его содержимого), участники осмотра места происшествия могут видеть сильно искаженную картину. Недаром существует точка зрения, что осмотр компьютерной информации вообще недопустим, а следует проводить экспертизу. Но практика никак не позволяет принять это утверждение.

Подготовка к осмотру места происшествия по делам данной категории включает необходимость решения ряда организационных вопросов как общих для любого следственного осмотра, так и специфических, приемлемых только для преступлений в сфере компьютерной информации. К общим относится приглашение понятых, сведущих в компьютерной технике Гаврилин Ю.В. Расследование неправомерного доступа к компьютерной информации. - М., 2000. - С. 73., инструктаж участников осмотра, к специфическим - обязательное участие в осмотре специалистов в области компьютерной техники. Иногда требуется пригласить не одного специалиста, а даже нескольких. Выбор специалиста будет зависеть от способа НДКИ и от объема первоначальной информации о совершенном преступлении.

Перед началом осмотра места происшествия необходимо принять меры по подготовке с помощью специалиста соответствующей компьютерной техники, которая будет использоваться для считывания и хранения изъятой информации. Также потребуется программное обеспечение, позволяющее осуществлять копирование и анализ информации на месте Гаврилов М., Иванов А. Следственный осмотр при расследовании преступлений в сфере компьютерной информации // Законность. - 2001. - № 9. - С. 11-12..

Сразу по прибытии на место происшествия необходимо принять меры к обеспечению сохранности информации в подлежащих осмотру компьютерах и на съемных носителях, для чего необходимо:

· не разрешать лицам, работающим в это время или находящимся в помещении по другим причинам, прикасаться к компьютерному оборудованию, а также пользоваться телефоном;

· не разрешать никому выключать электроснабжение объекта;

· не разрешать никому производить манипуляции с компьютерной техникой, если их результат заранее не известен, в том числе и следователю;

· определить, соединены ли находящиеся в осматриваемом помещении компьютеры в локальную вычислительную сеть ЛВС - далее локальная вычислительная сеть.. При наличии ЛВС наибольший интерес должен представлять сервер, на котором хранится большая часть информации и к которому имеют доступ все подключенные к сети ЭВМ. Этот компьютер рекомендуется обследовать особенно. Вместе с тем, надо иметь в виду, что сервером может являться не один, а несколько компьютеров, расположенных в разных помещениях Шурухнов Н.Г. Расследование неправомерного доступа к компьютерной информации. Учебное пособие. - М.: Московский университет МВД, 2004. - С. 206-207.;

· установить, имеются ли соединения компьютера с оборудованием или вычислительной техникой вне осматриваемого помещения;

· выяснить, подключен ли компьютер к телефонной линии. В случае подключения на него могут поступать вызовы к продолжению приема или передачи информации. Если информация, поступающая на компьютер по электронной почте и иной связи, может иметь интерес для следствия, то отключать его не следует;

· определить, какая операционная система загружена, какие прикладные программы запущены и какие данные введены в компьютер. Одновременно следует обратить внимание на дату и текущее время на дисплее компьютера. Все отображенное на экране необходимо описать в протоколе и по возможности зафиксировать с помощью фото- или видеозаписи.

При проведении осмотра необходимо учитывать вероятность принятия лицами, заинтересованными в сокрытии преступления, мер по уничтожению информации и других ценных данных; вероятность установки в осматриваемые ЭВМ специальных средств защиты от несанкционированного доступа, которые, не получив в установленное время специального сигнала или кода, автоматически уничтожают всю хранящуюся в ЭВМ информацию, либо интересующую следствие наиболее важную ее часть; вероятность установки в осматриваемые ЭВМ иных средств защиты информации от несанкционированного доступа.

В этой связи чрезвычайно важно участие специалистов уже на первом этапе производства осмотра места происшествия: они помогут разобраться в особенностях компьютерного оборудования, укажут, что подлежит изъятию и предотвратят умышленное или случайное уничтожение информации.

Объекты, подлежащие осмотру, можно условно подразделить на четыре основные группы: служебные помещения; средства вычислительной техники; носители машинной информации; документы.

Осмотр служебного помещения необходим для общего обзора, определения границ осмотра места происшествия, количества и схемы расположения рабочих мест, уточнения порядка размещения компьютерного оборудования и мест хранения машинных носителей информации. Это позволит в дальнейшем изучить возможность несанкционированного проникновения посторонних лиц в помещение, где находится ЭВМ.

В ходе осмотра целесообразно начертить схему осматриваемых территорий, зданий и помещений с обозначением на ней мест расположения оборудования Гаврилов М., Иванов А. Следственный осмотр при расследовании преступлений в сфере компьютерной информации // Законность. - 2001. - № 9. - С. 13.. Кроме того, осматриваемые объекты должны быть сфотографированы по правилам судебной фотографии, т.е. сначала общий вид здания, помещения, затем по правилам узловой фотосъемки отдельные компьютеры и подключенные к ним устройства, а в случае вскрытия системного блока по правилам детальной съемки отдельные его узлы, особенно те, которые согласно инструкции по эксплуатации не должны устанавливаться на материнской плате или в корпусе блока, что должен определить специалист.

При осмотре помещения необходимо обращать внимание на небольшие листки, клочки, обрывки бумаги с полезной для следствия информацией, которые нередко прикрепляются к компьютеру или находятся в непосредственной близости от него; на возможные остатки следов на столе, где была установлена ЭВМ, загрязнения, следы вдавливания и другие признаки, свидетельствующие о перемещении, переподключении ЭВМ и периферийных устройств Фурсов В.А., Агеева Н.П., Некоторые рекомендации по осмотру, фиксации и изъятию средств компьютерной техники // Великотский Е.В. Сборник научных трудов юридического факультета Северо-Кавказского ГТУ, 2005. [Электронный вариант].

При осмотре средств вычислительной техники непосредственными объектами могут быть отдельные компьютеры, не являющиеся составной частью локальных или глобальной сетей; рабочие станции, входящие в сеть; серверы; сетевые линии связи; соединительные кабели; периферийные устройства. При этом должны быть установлены конфигурация компьютера с описанием всех устройств, номера моделей и серийные номера каждого из устройств, инвентарные номера, присваиваемые бухгалтерией при постановке на баланс предприятия, прочая информация на фабричных ярлыках Нехорошева О. Изъятие компьютерной техники и информации // Законность. - 2004. - № 8. - С. 15-18..

При осмотре работающего компьютера с участием специалиста следует установить, какая программа выполняется, тип программного обеспечения, загруженного в момент осмотра в компьютер, что может свидетельствовать о задачах, для которых использовался данный компьютер; по мере необходимости и возможности остановить исполнение программы и установить, какая информация получена после окончания ее работы; определить и восстановить наименование и назначение вызывавшейся перед осмотром программы; установить наличие в компьютере накопителей информации, их тип и количество; при наличии технической возможности скопировать информацию, которая может иметь значение для дела.

Если компьютер подключен к локальной сети, необходимо установить количество подключенных к серверу рабочих станций, вид связи сети, количество серверов в сети; по возможности организовать одновременный осмотр включенных в локальную сеть рабочих станций и компьютеров. Если такая возможность отсутствует, следует обеспечить их остановку и далее производить осмотр в режиме неработающего компьютера.

При осмотре неработающего компьютера с участием специалиста следует определить место нахождения компьютера и его периферийных устройств с обязательным указанием в протоколе наименования, номера, модели, формы, цвета и индивидуальных особенностей каждого из них; установить порядок соединения между собой вышеуказанных устройств, количество соединительных разъемов, их спецификации, а при наличии проводов и кабелей - их вид, цвет и количество, выяснить, подключен ли данный компьютер в сеть, каковы способ и средство его подключения. Необходимо также визуально и на ощупь проверять признаки недавней работы ЭВМ (нагрев блока питания, принтера).

Осмотр носителей компьютерной информации (лазерные диски, съемные Usb-устройства и т.д.) производится с целью установления содержания самой компьютерной информации См. Приложение № 6. и обнаружения внешних следов, в том числе следов пальцев рук, которые могут быть выявлены на упаковках и местах хранения машинной информации Гаврилов М., Иванов А. Следственный осмотр при расследовании преступлений в сфере компьютерной информации // Законность. - 2001. - № 9. - С. 15-16..

В ходе осмотра места происшествия могут быть обнаружены и изъяты документы, которые впоследствии могут быть признаны вещественными доказательствами по делу:

· носящие следы совершенного преступления (шифрованные, рукописные записи, пароли и коды доступа в сети, дневники связи);

· содержащие следы действия компьютерной техники. В этой связи следует искать в устройствах вывода бумажные носители информации, которые могли остаться внутри их в результате сбоя в работе устройства;

· описывающие аппаратуру и программное обеспечение;

· устанавливающие правила работы с компьютером, нормативные правовые акты, регламентирующие правила работы с данным компьютером, системой, сетью;


Подобные документы

  • Проблема информационной безопасности. Уголовно-правовая и криминалистическая характеристика неправомерного доступа к компьютерной информации. Особенности первоначального этапа расследования неправомерного доступа к информации.

    курсовая работа [28,1 K], добавлен 25.11.2004

  • Криминалистическая характеристика неправомерного доступа к информации, его методика и тактика расследования. Практический, теоретический материал, необходимый для деятельности следователя при расследовании неправомерного доступа к компьютерной информации.

    курсовая работа [45,0 K], добавлен 25.06.2011

  • Криминалистическая характеристика неправомерного доступа к информации: методы перехвата, манипуляции. Методика и тактика расследования, проведение обыска и выемки. Зарубежный опыт привлечения хакеров к борьбе с преступлениями путём сделки с правосудием.

    курсовая работа [50,9 K], добавлен 07.06.2011

  • История компьютерной преступности. Общая характеристика преступлений в сфере компьютерной информации. Пробелы уголовно-правового регулирования неправомерного доступа к компьютерной информации. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.

    курсовая работа [45,4 K], добавлен 04.07.2010

  • Понятие и тенденции преступлений в сфере компьютерной информации. Объективная и субъективная сторона неправомерного доступа к компьютерной информации. Анализ состояния уголовно-правовой борьбы с данным видом преступлений, пути ее совершенствования.

    дипломная работа [109,4 K], добавлен 09.01.2013

  • Общая характеристика компьютерных преступлений. Понятие об объекте и субъекте правонарушения. Хищение ЭВМ или иного машинного носителя компьютерной информации, с целью осуществления неправомерного доступа к охраняемой законом компьютерной информации.

    курсовая работа [44,0 K], добавлен 26.03.2015

  • Уголовно-правовая охрана компьютерной информации. Состав преступления, проблемы квалификации неправомерного доступа, распространения вредоносных программ и нарушения правил эксплуатации. Международное сотрудничество и меры предупреждения злодеяний.

    дипломная работа [89,1 K], добавлен 22.07.2010

  • Краткая уголовно-правовая и криминалистическая характеристика краж из жилища. Способы сокрытия краж. Особенности возбуждения уголовного дела. Типовые следственные версии. Типичные следственные ситуации и действия первоначального этапа расследования.

    реферат [19,9 K], добавлен 30.08.2010

  • Особенности возбуждения уголовного дела. Поводы для возбуждения уголовных дел о взяточничестве. Особенности проведения оперативного эксперимента по делам о взяточничестве. Типичные следственные ситуации и версии первоначального этапа расследования.

    дипломная работа [68,0 K], добавлен 19.07.2011

  • Общая характеристика и особенности преступлений, связанных с неправомерным доступом к компьютерной информации. Признаками несанкционированного доступа в компьютерную систему. Порядок, принципы и особенности расследования данного вида преступлений.

    реферат [29,1 K], добавлен 07.01.2013

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.