Преступления в сфере компьютерной информации

На подготовительном этапе, желательно получить ориентирующую информацию по следующим вопросам:

• Количество средств компьютерной техники (в дальнейшем СКТ) на месте предполагаемого обыска, наличие устройств бесперебойного питания.
• Сведения об используемых телекоммуникационных средствах: есть ли модем для связи компьютеров через телефонную сеть; объединены ли несколько компьютеров в локальную сеть; имеется ли сервер (компьютер, который обслуживает остальные персональные компьютеры); есть ли подключения к региональной или глобальной сети. Часть этих сведений можно получить при посещении с замаскированной целью,²¹ другую часть может сообщить провайдер (фирма - поставщик сетевых услуг). Наличие электронной связи могут прояснить «шапки» бланков писем, реклама и приглашения «посетить нашу Web – страницу в сети Internet».
• Профессиональный уровень обслуживания компьютера в организации или уровень владельца – пользователя, в том числе его профессиональные навыки в области вычислительной техники. Предусмотреть заранее возможность, а лучше - необходимость привлечь при обыске к сотрудничеству лицо, ответственное за эксплуатацию СКТ, а при наличии сети – сетевого администратора.
• Есть ли на СКТ программные или программно- аппаратные средства защиты от несанкционированного доступа. Если средства защиты имеются, то попытаться установить код доступа. Некоторые популярные системы, в частности Windows 95\98, имеют слабые программные средства защиты и поддаются проникновению с использованием настроек или специальных программ. Выяснить, не защищает ли информацию электронный ключ – компактная приставка, размером со спичечный коробок, устанавливаемая на параллельный или последовательный порт. Возможно, компьютер защищен от доступа устройством для чтения смарт-карт. Если на компьютере эти устройства предусмотрены, то можно предложить владельцу выдать их добровольно или найти посредством обычного обыска.

          По возможности, в качестве  понятых нужно пригласить лиц,  разбирающихся в компьютерной технике, но не заинтересованных в исходе дела. Заранее подготовить переносную аппаратуру для считывания и хранения изымаемой информации, а также переносные накопители информации со сменными носителями, способными вместить большой объем информации, например, стример (ленточные кассеты), сменный жесткий диск, дисководы и диски сверхплотной записи (DVD, Zip и др.).

В процессе обыска необходимо:

• Приходить с обыском лучше в момент максимального рабочего режима и срочно принимать меры по обеспечению сохранности СКТ и имеющихся на них данных. Для этого необходимо, чтобы персонал либо частный пользователь незамедлительно покинул свои рабочие места и оставил все как есть.
• На обзорной стадии обыска запретить персоналу или конкретному подозреваемому прикасаться к работающим СКТ.
• Не разрешать отключение электроснабжения объекта.
• Постоянно следить за изображением на экране монитора. Если оно свидетельствует о начатом процессе уничтожения (удаления) информации, то можно пойти на крайнюю меру – экстренно отключить компьютер от сети, а его подключение выполнить при помощи специалиста.
• Занести в протокол названия программ, работавших в момент обыска, названия и характер документов с которыми шла работа.
• Определить, соединены ли компьютеры в локальную сеть и имеется ли сервер.
• Изъять (при наличии) документы регистрации включения информационной системы и подключения к ней, журнал оператора ЭВМ и прочие записи, относящиеся к работе СКТ.
• Подробно описать в протоколе порядок соединения между собой всех устройств, наличие или отсутствие канала связи (модемы, сеть).
• Установить тип связи, используемая в этих целях аппаратура, абонентский номер.
• Указать серийный номер компьютера (если он доступен) и его индивидуальные признаки.
• Исследовать и при необходимости изъять электронные носители информации.
• При наличии к тому оснований, принять меры по обнаружению тайников, где могут храниться сменные носители информации.
• С помощью специалиста вскрыть корпус системного блока для обнаружения специально отключенных внутренних носителей информации (например, дополнительный жесткий диск).
• Если обыск проводится по делу о создании программ в преступных целях, найти и изъять текст с компьютера или его распечатку.
• По делу о незаконном создании пиратских программ для последующего нелицензионного распространения, подробно описать найденную «готовую продукцию», перечень программ, размещенных на лазерных дисках, попросить предъявить разрешение фирмы или автора на распространение программы.
• Определить по компьютеру перечень установленных программ и потребовать разрешительные документы. Установленной считается программа, которая извлечена из сжатого  (архивного) состояния и, после предупреждения о необходимости лицензионного использования, установлена (инсталлирована) в рабочий каталог.

           После выполнения вышеназванных мероприятий, можно приступить к поиску информации на компьютере. Следователь может выбрать: либо изымать СКТ «вслепую» и разбираться, есть ли на них значимая для дела информация, либо изучить их с помощью специалиста на месте. При этом нужно иметь в виду, что радикальное изъятие СКТ может обернуться последующими претензиями.

В тех случаях, когда изъятие СКТ невозможно или нецелесообразно, следует распечатать интересующую информацию на принтере либо скопировать на электронные носители. Другой вариант: не изымая весь компьютер, можно изъять и приобщить к делу в качестве вещественного доказательства жесткий диск, провести контрольную распечатку идентификации принтера на нескольких видах бумаги. В организациях с большим объемом информации, может применяться резервное копирование на выделенный компьютер, который надо отсоединить от сети и в ближайшее время исследовать. Не вдаваясь в технические особенности, рассмотрим возможности оперативного поиска, осведомленность о которых поможет в работе. Многие текстовые и финансовые программы сохраняют список документов последних сеансов работы и могут их мгновенно вызвать, если, конечно, они не удалены и не перемещены в другое место. На жестком диске компьютера пользователи обычно сохраняют документы в папках (каталогах) со стандартными наименованиями, например МОИ ДОКУМЕНТЫ. Значительный интерес могут представлять данные из программы – ежедневника, которая является компьютерным аналогом записной книжки с адресами. Все компьютерные файлы хранят дату последнего изменения. Мощные программы при сохранении файла приписывают к основной информации и дополнительную: сведения о зарегистрированном владельце или организации (если такие данные были введены пользователем при установке программы); сведения об установленном принтере. Иногда внутрь файла проникает «соседняя» информация из документа, который обрабатывается в памяти параллельно.

Автоматический  поиск среди большого объема информации позволяют вести программы поиска документов. Часть информации может храниться в сжатом виде, и тогда ее прямой просмотр невозможен. Однако существуют программы поиска и для таких документов. Ко многим шифровальным защитам документов и архивов существуют программы поиска «забытых» паролей. Большинство «средних» пользователей не догадывается о том, что фрагменты или целые файлы, которые программы создают, как временную подсобную базу для работы, нередко остаются на диске и после завершения сеанса. Программный пакет Microsoft Office после установки, ведет негласный файл – протокол, в который заносит дату и время всех подключений компьютера. Если пользователь не попросит иначе, то современные операционные системы удаляют файлы не  «начисто», а сначала в «корзину», из которой файлы можно просто восстановить. Но, даже в случае удаления файла, минуя корзину, все равно остается вероятность восстановления, поскольку его место на диске не расчищается, а только помечается, как неиспользованное.

Не изымаемые СКТ можно опечатать путем наклеивания бумаги с оттиском печати правоохранительного органа, подписями следователя и понятых, на разъемы электропитания, на крепеж и корпус. Недопустимо ставить печати на электронных носителях. Если есть необходимость изъять после обыска СКТ, то его отключают строго по установленным правилам (не выключают мгновенно питание). В протоколе обыска указываются не только названия (марки) изымаемых СКТ и электронных носителей, но и их индивидуальные признаки. Электронные носители в процессе их транспортировки и хранении не должны находиться в местах сильного  электромагнитного излучения. Изымая по окончании обыска объекты, всегда следует помнить о необходимости сохранения на них возможных следов рук виновного, для последующего проведения дактилоскопической экспертизы, результаты которой помогут опровергнуть версию подозреваемого о его непричастности к совершению преступления (например, лицо утверждает, что не производило никаких манипуляций с ЭВМ, тогда как следы его пальцев обнаруживаются на дополнительном жестком диске). Поэтому для производства обыска необходимо привлекать не только специалиста в сфере компьютерной информации, но и криминалиста для помощи в обнаружении, фиксации и изъятии следов. Меры сохранения возможных следов особой сложностью не отличаются и выражаются в том, чтобы до осмотра специалиста без особой необходимости не прикасаться к объектам-носителям следов. Изъятый объект не должен всей поверхностью соприкасаться с упаковочным материалом.    

4. Допросы свидетелей (потерпевших). Свидетелями выступают лица, ответственные за нормальное функционирование программного обеспечения (например, системные администраторы), пользователи ЭВМ, руководители предприятий, учреждений, организаций. Прежде всего, необходимо выяснять способы интеллектуальной защиты информации и степень их надежности. Далее, необходимо устанавливать связи, в том числе родственные, лиц, имеющих правомерный доступ к ЭВМ или машинным носителям. Например, не сообщал ли допрашиваемый кому-либо сведений об особенностях функционирования ЭВМ или ее программы, порядку получения к ним доступа, не проявлял ли кто-либо интерес к данным фактам и не мог ли получить интересующую его информацию, пользуясь доверительными отношениями с пользователем. Если преступление связано с воздействием вредоносной программы из вне, в ходе допроса необходимо выяснить все подробности, связанные с получением спама,²² под который могут маскироваться вирусы. Будет весьма целесообразным привлечь к участию в допросе специалиста. Это бывает нужно в том случае, если следователь (лицо производящее дознание) не владеет или владеет, но не в полном объеме специальными познаниями в сфере компьютерной информации. Необходимо отметить, что для полноты информации, одних только следственных и иных процессуальных действий может быть недостаточно. Поэтому, наряду с выполнением уголовно-процессуальной деятельности, необходимо давать поручения о производстве оперативно-розыскных мероприятий.
5. Поручение, на основании п.4 ч. ст.38 УПК РФ, о проведении оперативно-розыскных мероприятий в целях установления лица, подлежащего привлечению в качестве обвиняемого и информации, которая в последующем (после возведения ее в процессуальные рамки) может иметь доказательственное значение по уголовному делу.

Основными видами оперативно-розыскных мероприятий,²³ которые проводятся для раскрытия и помощи в расследовании преступлений, в сфере компьютерной информации, являются:

• Исследование предметов и документов – это непроцессуальное криминалистическое исследование объектов, проводимое, как правило, до возбуждения уголовного дела с целью выявления признаков преступной деятельности и причастности к ней конкретных проверяемых лиц. Данное оперативно-розыскное мероприятие может носить негласный характер. Результаты исследования оформляются справкой и доказательством по уголовному делу не являются. Таким образом, информация, полученная при помощи рассматриваемого мероприятия не будет иметь доказательственного значения до тех пор, пока не следователь не возведет ее в уголовно-процессуальные рамки. Так, после возбуждения уголовного дела, имея справку с выводами специалиста, необходимо провести соответствующую экспертизу, результаты которой будут служить доказательствами.
• Наблюдение – это негласное слежение за лицами, подозреваемыми в преступной деятельности, используемыми ими транспортными средствами, местами их нахождения в целях получения информации о признаках преступной деятельности, возможных соучастниках, местах хранения орудий преступлений и похищенного имущества. Наблюдение может быть физическим (основано на визуальном способе слежения) и электронным, которое основано на применении технических средств. Это мероприятие осуществляется оперативно-поисковыми или оперативно-техническими аппаратами органов внутренних дел. К сожалению, наблюдение – это мероприятие ограниченного использования. Оно осуществляется по решению руководителя оперативного аппарата УВД (МВД) субъекта РФ и, как правило, только за лицами, подозреваемыми в совершении тяжких или особо тяжкий преступлений. Результаты наблюдения служат для следователя ориентирующей информацией, на основании которых будет вестись целенаправленный процесс доказывания.
• Контроль почтовых отправлений, телеграфных и иных сообщений. Под иными сообщениями следует понимать, в частности, обмен информацией между ЭВМ. Данное мероприятие осуществляется также негласно.
• Прослушивание телефонных переговоров – это негласное получение информации, передаваемой лицами, подозреваемыми в совершении преступлений, по абонентским линиям связи.
• Снятие информации с технических каналов связи – это негласное оперативно-техническое мероприятие, заключающееся в перехвате с помощью специальных технических средств открытой (незашифрованной) информации, передаваемой по техническим каналам связи. Термин «технические каналы связи» в других нормативных актах, кроме Закона об ОРД, не встречается, а потому его значение весьма неопределенно. В ведомственной инструкции, утвержденной приказом МВД РФ от 10.06.1994 г. к техническим каналам отнесены телексные, факсимильные. Селекторные, радиорелейные каналы, линии абонентского телеграфирования. Правомерно будет отнести сюда и компьютерные системы или сети. Данное мероприятие осуществляется только на основании судебного решения. Снятие информации может осуществляться и с машинного носителя (диска, дискеты), которые в последующем могут быть представлены следователю. Последний, должен оформить выемку соответствующего носителя у представившего его должностного лица.
• Оперативный эксперимент – это способ получения информации путем воспроизведения негласно контролируемых условий и объектов для установления противоправных намерений лиц, обоснованно подозреваемых в подготовке тяжких или особо тяжких преступлений. Это означает, что данное оперативно-розыскное мероприятие может осуществляться только лишь в случае подозрения лица в совершении преступления, предусмотренного ч.2 ст.273 УК РФ. Все прочие преступления в сфере компьютерной информации относятся к категориям небольшой и средней тяжести, а потому оперативный эксперимент применяться не может. Условия проведения эксперимента не должны провоцировать лицо на совершение преступления, ставить его в обстоятельства, затрудняющие удовлетворение своих потребностей законными способами. Оперативный эксперимент может проводиться как в отношении конкретных лиц, обоснованно подозреваемых в совершении преступлений, так и для выявления намерений неизвестных лиц, совершающих серийные преступления (разного рода «ловушки» и «приманки»).

          Существует своя специфика в  доказывании неправомерного проникновения к компьютерной информации из Интернета. Прежде всего, необходимо подробнейшим образом изучить программное обеспечения компьютера-«жертвы». Внимание специалистов необходимо сосредоточить на Интернет-браузерах, загрузочных компонентах, Интернет-приложениях и следах (последствиях) работы с ними, кэш-памяти. Специалисты также должны проанализировать настройки удаленного доступа (в том числе и анализ протокола ТСP/IP, конфигурации DNS), имеющиеся на компьютере протоколы соединений. Иногда, решающее значение имеют оперативные эксперименты, проводимые с учетом положений ФЗ «Об оперативно-розыскной деятельности» от 12.08.1995. Например, преднамеренное «заражение» распространяемым по сети компьютерным «червем» или «троянцем», а затем – слежение за его работой и выявление получателей  передаваемой им информации с помощью специальных программных средств.

Для определения  подозреваемого (или, хотя бы, круга подозреваемых), могут быть использованы средства интерактивного общения (чаты, ICQ и т.д.). Нередко хакеры охотно делятся своими «успехами» в кругу коллег. Поэтому, осуществив авторизацию на соответствующем хакерском форуме (чате) и используя особый псевдоним (NIC-name), вполне возможно выяснить если не конкретные координаты нарушителя, то какую-то определенную информацию о нем (адрес личного сайта, электронной почты и т.д.). Такие действия являются оперативным внедрением, т.е. оперативно-розыскным мероприятием.

Очень ценным по своему доказательственному значению следственным действием является судебная компьютерно-техническая экспертиза, которая может проводиться только в рамках возбужденного уголовного дела экспертно-криминалистическими подразделениями органов внутренних дел и судебно-экспертными учреждениями Минюста РФ. Данный вид экспертизы содержит в себе элементы судебной автороведческой, судебной инженерно-технической, судебно-психологической, различных судебно-экономических экспертиз. Одной из наиболее сложных компьютерных экспертиз является компьютерно-сетевая (телематическая). Если следователь затрудняется в формулировке вопросов, подлежащих разрешению экспертом, необходимо за помощью к специалисту.

Как уже упоминалось  в начале главы, к расследованию  и проведению отдельных следственных действий необходимо привлекать специалиста. Как бы ни странно это не звучало, но понятия «специалист по компьютерной технике» не существует, несмотря на широко распространенное убеждение в обратном.²⁴ Каждый специалист в области информационных технологий (ИТ) имеет, как правило, четкую, а во многих случаях достаточно узкую специализацию. Например, специалист по Windows, зачастую не разбирается в Microsoft DOS или Unix. Поэтому, к проведению работ по сбору, фиксации, изъятию и исследованию доказательств, а также к проведению экспертизы, необходимо привлекать профессионала в той или иной области ИТ. Привлечение специалиста требуется не только при проведении следственного осмотра, обыска и выемки. Весьма желательно его участие в таких следственных действиях, как допрос и очная ставка, а так же на стадии назначения экспертизы для помощи в формулировке вопросов эксперту.²⁵ Участие специалиста в допросе и очной ставке необходимо для выявления ложных показаний. Следователь всегда должен помнить о том, что обвиняемый (подозреваемый), пользуясь его некомпетентностью или недостаточной компетентностью в сфере компьютерной техники и информации, может строить свои показания с расчетом на то, что следователь не разберется в обилии специфической терминологии. При этом ни в коем случае нельзя забывать отражать факт и характер участия специалиста в протоколе следственного действия. Особенно важным данное требование является для очной ставки, которая, по общему правилу, производится следователем между двумя допрашиваемыми. В том случае, если факт участия специалиста документально не зафиксирован, то в последующем это может дать шанс подсудимому и его защитнику заявить ходатайство о признании показаний, данных обвиняемым на досудебной стадии, недопустимыми.