Особенности расследования компьютерных преступлений

     Указанные следственные действия могут производиться  с целями:

     а) осмотра и изъятия ЭВМ и  ее устройств;

     б) поиска и изъятия информации и  следов воздействия на нее в ЭВМ  и ее устройствах;

     в) поиска и изъятия информации и  следов воздействия на нее вне  ЭВМ.

     По  прибытии на место осмотра или  обыска следует принять меры к  обеспечению сохранности информации на находящихся здесь компьютерах  и магнитных носителях. Для этого  необходимо:

     1) не разрешать кому бы то ни было из лиц, работающих на объекте обыска, прикасаться к работающим компьютерам, магнитным носителям, включать и выключать компьютеры;

     2) самому не производить никаких  манипуляций с компьютерной техникой, если результат этих манипуляций  заранее не известен;

     3) при наличии в помещении, где  находятся СКТ и магнитные  носители информации, взрывчатых, легковоспламеняющихся,  токсичных и едких веществ  или материалов как можно скорее  удалить эти вещества в другое  помещение.

     Особенности производства осмотров и обысков

     Если  компьютер работает, ситуация для  следователя, производящего следственное действие без помощи специалиста, существенно  осложняется, однако и в этом случае не следует отказываться от оперативного изъятия необходимых данных.

     В данной ситуации:

     а) определить, какая программа выполняется. Для этого необходимо изучить  изображение на экране дисплея и  по возможности детально описать  его.

     После остановки программы и выхода в операционную систему иногда при  нажатии функциональной клавиши "F3" можно восстановить наименование вызывавшейся последний раз программы.

     Можно осуществить фотографирование или  видеозапись изображения;

     б) остановить исполнение программы. Остановка  осуществляется одновременным нажатием клавиш Ctrl-C, либо Ctrl-Break;

     в) зафиксировать (отразить в протоколе) результаты своих действий и реакции  компьютера на них;

     г) определить наличие у компьютера внешних устройств - накопителей  информации на жестких магнитных  дисках и виртуального диска;

     д) определить наличие у компьютера внешних устройств удаленного доступа к системе и определить их состояние (отразить в протоколе), после чего разъединить сетевые кабели так, чтобы никто не мог изменить или стереть информацию в ходе обыска (например, отключить телефонный шнур из модема);

     е) скопировать программы и файлы  данных. Копирование осуществляется стандартными средствами ЭВМ или  командой DOS COPY;

     ж) выключить подачу энергии в компьютер  и далее действовать по схеме "компьютер не работает".

     Если  компьютер не работает, следует:

     а) точно отразить в протоколе и  на прилагаемой к нему схеме местонахождение  ПК и его периферийных устройств;

     б) точно описать порядок соединения между собой этих устройств с  указанием особенностей (цвет, количество соединительных разъемов, их спецификация) соединительных проводов и кабелей; перед разъединением полезно  осуществить видеозапись или  фотографирование мест соединения;

     в) с соблюдением всех мер предосторожности разъединить устройства компьютера, предварительно обесточив его;

     г) упаковать раздельно носители на дискетах и магнитных лентах и  поместить их в оболочки, не несущие  заряда статического электричества;

     д) упаковать каждое устройство и соединительные кабели, провода;

     е) защитить дисководы гибких дисков согласно рекомендации изготовителя (вставить новую дискету или часть картона  в щель дисковода);

     ж) особой осторожности требует транспортировка  винчестера.

     Поиск и изъятие информации и следов воздействия  на нее в ЭВМ  и ее устройствах

     В компьютере информация может находиться непосредственно в оперативном  запоминающем устройстве (ОЗУ) при выполнении программы, в ОЗУ периферийных устройств и на внешних запоминающих устройствах (ВЗУ).

     Наиболее  эффективным и простым способом фиксации данных из ОЗУ является распечатка на бумагу информации, появляющейся на дисплее.

     Если  компьютер не работает, информация может находиться в ВЗУ и других компьютерах информационной системы  или в "почтовых ящиках" электронной  почты или сети ЭВМ.

     Необходимо  произвести детальный осмотр файлов и структур их расположения; лучше  это осуществить с участием специалиста  в лабораторных условиях или на рабочем  месте следователя.

     Следует обращать внимание на поиск так называемых "скрытых" файлов и архивов, где  может храниться важная информация.

     Периферийные  устройства ввода-вывода могут также  некоторое время сохранять фрагменты  программного обеспечения и информации, однако для вывода этой информации необходимы глубокие специальные познания.

     Осмотр  компьютеров и изъятие информации производится в присутствии понятых, которые расписываются на распечатках  информации, изготовленных в ходе осмотра.

     Поиск и изъятие информации и следов воздействия  на нее вне ЭВМ

     В ходе осмотров по делам данной категории  могут быть обнаружены и изъяты следующие  виды важных документов, которые могут  стать вещественными доказательствами по делу:

     а) документы, носящие следы совершенного преступления, - телефонные счета, пароли и коды доступа, дневники связи и  пр.;

     б) документы со следами действия аппаратуры. Всегда следует искать в устройствах  вывода (например, в принтерах) бумажные носители информации, которые могли  остаться внутри их в результате сбоя в работе устройства;

     в) документы, описывающие аппаратуру и программное обеспечение;

     г) документы, устанавливающие правила  работы с ЭВМ, нормативные акты, регламентирующие правила работы с данной ЭВМ, системой, сетью, доказывающие, что преступник их знал и умышленно нарушал;

     д) личные документы подозреваемого или обвиняемого.

     Использование специальных познаний и назначение экспертиз

     Юрист-следователь  не в состоянии отслеживать все  технологические изменения в  данной области. Поэтому специалисты  крайне необходимы для участия в  обысках, осмотрах, выемках.

     Поиск таких специалистов следует проводить  на предприятиях и в учреждениях, осуществляющих обслуживание и эксплуатацию компьютерной и коммуникационной техники, в учебных и научно-исследовательских  организациях.

     Специалисты, привлекаемые в качестве экспертов, могут оказать действенную помощь при решении следующих вопросов (примерный список):

     1. Какова конфигурация и состав  компьютерных средств и можно  ли с помощью этих средств  осуществить действия, инкриминируемые  обвиняемому?

     2. Какие информационные ресурсы  находятся в данной ЭВМ?

     3. Не являются ли обнаруженные  файлы копиями информации, находившейся  на конкретной ЭВМ?

     4. Не являются ли представленные  файлы с программами, зараженными  вирусом, и если да, то каким  именно?

     5. Не являются ли представленные  тексты на бумажном носителе  записями исходного кода программы,  и каково назначение этой программы?

     6. Подвергалась ли данная компьютерная  информация уничтоже-нию, копированию, модификации?

     7. Какие правила эксплуатации ЭВМ  существуют в данной информационной  системе, и были ли нарушены  эти правила?

     8. Находится ли нарушение правил  эксплуатации в причинной связи  с уничтожением, копированием, модификацией?

     Большую помощь в расследовании могут  оказать специалисты зональных  информационно-вычислительных центров  региональных УВД МВД России. Следует  иметь в виду, что в системе  МВД начато производство так называемых программно-технических экспертиз.

     Программно-технической  экспертизой (ПТЭ) решаются следующие  задачи:

     1) распечатка всей или части  информации, содержащейся на жестких  дисках компьютеров и на внешних  магнитных носителях, в том  числе из нетекстовых документов;

     2) распечатка информации по определенным  темам;

     3) восстановление стертых файлов  и стертых записей в базах  данных, уточнение времени стирания  и внесения изменений;

     4) установление времени ввода в  компьютер определенных файлов, записей в базы данных;

     5) расшифровка закодированных файлов  и другой информации, преодоление  рубежей защиты, подбор паролей;

     6) выяснение каналов утечки информации  из ЛВС, глобальных сетей и  распределенных баз данных;

     7) установление авторства, места  подготовки и способа изготовления  некоторых документов;

     8) выяснение технического состояния  и исправности СКТ.

     Наряду  с этими основными задачами при  проведении ПТЭ могут быть решены и некоторые вспомогательные  задачи:

     1) оценка стоимости компьютерной  техники, периферийных устройств,  магнитных носителей, программных  продуктов, а также проверка  контрактов на их поставку;

     2) установление уровня профессиональной  подготовки отдельных лиц в  области программирования и работы  с СКТ;

     3) перевод документов технического  содержания.

     В связи с тем, что при осмотре  ЭВМ и носителей информации производится изъятие различных документов, в  ходе расследования возникает необходимость  в назначении криминалистической экспертизы для исследования документов.

     Дактилоскопическая  экспертиза позволит выявить на документах, частях ЭВМ и машинных носителях  следы пальцев рук причастных к делу лиц.

     Значительный  опыт уголовно-правовой классификации  преступлений в сфере компьютерной информации, накопленный в ведущих  промышленно развитых государствах мира, вылился в появление так  называемых "Минимального списка нарушений" и "Необязательного списка нарушений", разработанных государствами - участниками  Европейского сообщества и официально оформленных как "Руководство  Интерпола по компьютерной преступности" . Так, "Минимальный список нарушений" содержит восемь основных видов компьютерных преступлений: 
· компьютерное мошенничество; 
· подделка компьютерной информации; 
· повреждение данных ЭВМ или программ ЭВМ; 
· компьютерный саботаж; 
· несанкционированный доступ; 
· несанкционированный перехват данных; 
· несанкционированное использование защищенных компьютерных программ; 
· несанкционированное воспроизведение схем. 
"Необязательный список" включает в себя четыре вида компьютерных преступлений: 
· изменение данных ЭВМ или программ ЭВМ; 
· компьютерный шпионаж; 
· неразрешенное использование ЭВМ; 
· неразрешенное использование защищенной программы ЭВМ. 
Еще одной из наиболее распространенных из существующих классификаций преступлений в сфере компьютерной информации является кодификатор рабочей группы Интерпола, который был положен в основу автоматизированной информационно-поисковой системы, созданной в начале 90-х годов. В соответствии с названным кодификатором все компьютерные преступления классифицированы следующим образом : 
QA - Несанкционированный доступ и перехват: 
QAH - компьютерный абордаж; 
QAI - перехват; 
QAT - кража времени; 
QAZ - прочие виды несанкционированного доступа и перехвата. 
QD - Изменение компьютерных данных: 
QDL - логическая бомба; 
QDT - троянский конь; 
QDV - компьютерный вирус; 
QDW- компьютерный червь; 
QDZ - прочие виды изменения данных. 
QF - Компьютерное мошенничество: 
QFC - мошенничество с банкоматами; 
QFF - компьютерная подделка; 
QFG - мошенничество с игровыми автоматами; 
QFM - манипуляции с программами ввода-вывода; 
QFP - мошенничества с платежными средствами; 
QFT - телефонное мошенничество; 
QFZ - прочие компьютерные мошенничества. 
QR - Незаконное копирование: 
QRG - компьютерные игры; 
QRS - прочее программное обеспечение; 
QRT - топология полупроводниковых устройств; 
QRZ - прочее незаконное копирование. 
QS - Компьютерный саботаж: 
QSH - с аппаратным обеспечением; 
QSS - с программным обеспечением; 
QSZ - прочие виды саботажа. 
QZ - Прочие компьютерные преступления: 
QZB - с использованием компьютерных досок объявлений; 
QZE - хищение информации, составляющей коммерческую тайну; 
QZS - передача информации, подлежащая судебному рассмотрению; 
QZZ - прочие компьютерные преступления. 
Одним из достоинств предложенного кодификатора является введение литеры "Z", отражающей прочие виды преступлений и позволяющей совершенствовать и дополнять используемую классификацию. 
Однако все приведенные выше кодификаторы и системы классификации, на наш взгляд, страдают одним общим недостатком - в них происходит смешение уголовно-правовых начал и технических особенностей автоматизированной обработки информации, что приводит к неоднозначности толкования и существенным проблемам при формулировании частных целей и задач расследования преступлений в сфере компьютерной информации. В связи с этим для расследования преступлений возрастает значение криминалистической классификации, которая (в общем случае) проводится по способу, обстановке, орудиям и месту совершения преступления, его последствиям, непосредственным предметам посягательства, условиям их охраны от преступных посягательств, личности субъекта преступления, личности потерпевших, способов сокрытия следов преступления и лица его совершившего . 
На наш взгляд, построение криминалистической классификации преступлений в сфере компьютерной информации должно быть основано на анализе объекта преступного посягательства - компьютерной информации как сложного многоуровневого объекта . 
Проведенный анализ сущности информации, обрабатываемой (используемой) в большинстве автоматизированных систем, а также форм ее представления (существования) показал, что компьютерная информация (как объект преступного посягательства) представляет собой достаточно сложную иерархическую структуру с тремя основными уровнями представления - физическим, логическим и семантическим. 
1. Физический уровень - уровень материальных носителей информации, где информация представлена в виде конкретных характеристик вещества (намагниченность домена - для магнитных дисков, угол и дальность плоскости отражения лазерного луча - для лазерных компакт дисков) или электромагнитного поля (амплитуда, фаза, частота). 
Учитывая, что практически все использующиеся в настоящее время ЭВМ являются цифровыми и используют двоичную систему исчисления, то большие объемы информации могут быть представлены в виде последовательности или поля из элементарных информационных единиц ("0" и "1"). 
2. Логический уровень - уровень представления более сложных информационных структур (от байта до файла) на основе элементарных компонент физического уровня. Данный уровень включает две группы правил объединения - общие и специальные. Общие правила диктуются физическими основами устройства и техническими особенностями используемых средств обработки информации и не могут быть быстро и произвольно изменены. В качестве примера общих правил объединения множества элементарных информационных единиц в более крупные информационные структуры может служить количество и порядок нанесения информационных дорожек на магнитном носителе, размер кластера и т. п. Специальные правила объединения устанавливаются заказчиками или разработчиками автоматизированных информационных систем и могут быть достаточно просто изменены. В качестве примера специальных правил объединения информации могут быть приведены способы объединения информационных полей в записи базы данных, записей и запросов в банках данных и т. п. Поскольку специальные правила объединения не обусловлены техническими особенностями аппаратных средств, то они могут быть быстро изменены (даже в рамках выполнения одной программы) или же просто проигнорированы. Например, записи баз данных могут быть прочтены не как последовательность записей установленного формата (то есть файл последовательного доступа), а как файл прямого доступа, состоящий из отдельных байтов или даже битов. 
3. Семантический уровень - уровень смыслового представления информации. На данном уровне можно говорить о содержательной части компьютерной информации, представленной двумя предыдущими видами. 
Названные уровни представления компьютерной информации тесно взаимосвязаны между собой и образуют единую систему. 
На наш взгляд, такое представление компьютерной информации позволяет решить основные проблемы уголовно-правовой квалификации деяний в сфере компьютерной информации и основные криминалистические проблемы. Так наличие третьего уровня представления (семантического) позволяет разграничить (в уголовно-правовом смысле) преступления в сфере компьютерной информации от иных информационных преступлений, совершаемых с использованием средств вычислительной техники и новых информационных технологий (разглашение тайны усыновления в результате доступа к базе данных органов ЗАГС, шпионаж и т. п.). 
С точки зрения криминалистики представление компьютерной информации в виде сложного многоуровневого объекта позволяет понять суть происходящих явлений при совершении преступления в сфере компьютерной информации. Получить осознаваемую информацию (готовую к восприятию человеком), то есть представленную на третьем - семантическом уровне, невозможно, не преодолев два нижних уровня ее представления. Таким образом, если следователь установил факт того, что преступник добыл информацию из автоматизированной системы и каким-либо образом осознанно воспользовался ею, значит, у него были средства (орудия) совершения действий на первом (физическом) и втором (логическом) уровне ее представления, он владел навыками их использования и специальными познаниями для их настройки и подключения. Отсутствие или невозможность выявления хотя бы одного из элементов деятельности подозреваемого в совершении преступления в сфере компьютерной информации на более низком уровне представления информации заставляет серьезно сомневаться в возможности совершения им самостоятельных действий на более высоком уровне ее представления и говорит о наличии у него сообщника или невольного пособника. 
Представление информации в виде трехуровневой системы позволяет определить исчерпывающий перечень действий на каждом из них и представить любое деяние, описываемое в терминах уголовного законодательства, да и других наук информационного цикла, как совокупность элементарных действий соответствующего уровня. 
На физическом уровне представления информации технически возможно выполнение всего лишь трех действий - чтения, записи и разрушения. При этом под разрушением понимается такое воздействие на носитель информации, при котором стандартными средствами чтения информации невозможно получить какое-либо определенное значение, то есть нет ни "0" ни "1". Разрушение информации может быть произведено воздействием мощного внешнего магнитного поля на магнитный носитель информации (дискету или винчестер). Таким образом традиционно используемые в законодательстве понятия могут быть представлены через последовательность или сочетание названных трех элементарных действий. 
Например, "копирование информации" представляет собой строгую последовательность операций чтения и записи порций информации. "Уничтожение информации", в свою очередь, представляет собой или разрушение информации или запись новой информации на то место носителя, где размещалась уничтожаемая информация. 
В существующих вычислительных системах удаление или уничтожение информации как раз и происходит путем записи новой информации поверх уничтожаемой (например, утилита WipeInfo из набора NortonUtility). Говоря о понятии "уничтожение информации", необходимо отметить наличие существенной разницы между действием пользователя автоматизированной системы по уничтожению (удалению) информации (имеющим существенное значение для уголовно-правовой квалификации деяния) и криминалистически значимым (имеющим существенное значение с точки зрения возможности обнаружения и изъятия следов существования информации), то есть действительным удалением информации. 
Пользователь автоматизированной информационной системы, совершив удаление информационного файла (запустив стандартную команду операционной системы delete), выполнил все необходимые действия для его уголовно-правовой квалификации как "удаление информации", в то время как в реальности был изменен только первый символ имени удаляемого информационного файла в области FAT магнитного носителя, а весь информационный массив остался неизменным. Внесенная пометка в первом символе имени файла означает, что операционная система может использовать места в которых находились кластеры удаленного информационного файла для записи другой информации. В связи с этим для осуществления криминалистически значимого удаления информации необходимо не только выполнить стандартные действия, но и записать новую информацию на место размещения удаляемой. 
Более сложную комбинацию элементарных действий представляют собой действия по "модификации" и "блокированию" информации. Говоря о модификации, следует подчеркнуть, что это действие по изменению значения информации в желаемом (заданном) направлении. Важнейшим элементом в определении понятия "модификация" является направленность изменения информации. Если нет направленности в выполняемых действиях, то это уже не модификация, а уничтожение информации. Модификация означает, что информация не должна быть уничтожена не только на логическом, но и на физическом уровне. Модификацией будет являться заданное изменение лишь нескольких символов в смысловой фразе. 
Понятие "блокирования информации" во многом совпадает с понятием "модификация информации" и отличается лишь тем, что модификации подвергается не смысловая, а управляющая информация. Например, для блокирования доступа легального пользователя к базам данных необходимо изменить значение кода доступа этого пользователя в системных файлах администратора безопасности, сохранив содержание самой базы данных. 
Анализ известных случаев преступлений в сфере компьютерной информации, а также анализ особенностей развития современных информационных технологий и условий их применения в различных сферах человеческой деятельности позволяет предложить следующую криминалистическую систему их классификации. 
1. Неправомерное завладение информацией или нарушение исключительного права ее использования. 
1.1. Неправомерное завладение информацией как совокупностью сведений, документов (нарушение исключительного права владения). 
1.2. Неправомерное завладение информацией как товаром. 
1.3. Неправомерное завладение информацией как идеей (алгоритмом, методом решения задачи). 
2. Неправомерная модификация информации. 
2.1. Неправомерная модификация информации как товара с целью воспользоваться ее полезными свойствами (снятие защиты). 
2.2. Неправомерная модификация информации как идеи, алгоритма и выдача за свою (подправка алгоритма). 
2.3. Неправомерная модификация информации как совокупности фактов, сведений (записи на счетах в банке). 
3. Разрушение информации. 
3.1. Разрушение информации как товара. 
3.2. Уничтожение информации. 
4. Действие или бездействие по созданию (генерации) информации с заданными свойствами. 
4.1. Распространение по телекоммуникационным каналам информационно-вычислительных сетей информации, наносящей ущерб государству, обществу и личности. 
4.2. Разработка и распространение компьютерных вирусов и прочих вредоносных программ для ЭВМ. 
4.3. Преступная халатность при разработке (эксплуатации) программного обеспечения, алгоритма в нарушение установленных технических норм и правил. 
5. Действия, направленные на создание препятствий пользования информацией законным пользователям. 
5.1. Неправомерное использование ресурсов автоматизированных систем (памяти, машинного времени и т. п.). 
5.2. Информационное "подавление" узлов телекоммуникационных систем (создание потока ложных вызовов). 
Приведенная классификация содержит специальные индексы, которые мы будем использовать в дальнейшем при рассмотрении типовых начальных следственных ситуаций и изложении приемов расследования данного вида преступлений, а также включает достаточно много новых (чисто технических) и "непонятных" для практических работников правоохранительных органов терминов и понятий. В связи с эти считаем необходимым остановиться подробнее на краткой характеристике содержания каждого из приведенных видов преступлений. 
Неправомерное завладение информацией как совокупностью сведений, фактов (нарушение исключительного права владения). Это наиболее часто встречающийся класс простейших преступных деяний, к которым относятся, как правило, без должного внимания. Примером данного вида деяний является ознакомление служащего банка с записью в базе данных о размере вклада того или иного клиента, его адресе, видах сделок и т. п. 
С криминалистической точки зрения это наиболее простое действие, для осуществления которого не обязательна длительная подготовка, высокая квалификация и разработка специальных приспособлений. В данном случае преступник может воспользоваться штатным набором средств аппаратного и программного обеспечения автоматизированной системы, в которой осуществляются данные действия. Результаты данного действия могут быть записаны на машинный носитель информации (магнитный или лазерный диск, магнитную ленту и т. п.), бумагу или просто остаться в памяти человека. 
Неправомерное завладение информацией как товаром. Это наиболее распространенный вид преступных, но не считающихся таковыми в современном российском обществе, деяний, который заключается в копировании программ для ЭВМ или целой информационной системы (банка данных, электронного архива и т. п.) без согласия (разрешения) владельца или собственника. Данный вид деяний очень широко распространен в нашей стране как практически единственная форма получения современного программного обеспечения. 
Примером такого преступления может быть переписывание программы расчета заработной платы, ведения главной книги бухгалтера, автоматизированного банка данных с адресами предприятий "Регистр РАУ" и др. При этом цель преступления - воспользоваться нужными свойствами неправомерно полученной информации (программы, базы данных): выполнить расчеты с использованием программы, получить справки или отчеты из базы данных. 
С криминалистической точки зрения это уже более сложное деяние, для которого обязательно использование машинного носителя информации, так как современные программные продукты занимают весьма значительные объемы памяти. Для достижения целей данного вида действий часто бывает недостаточно завладения только файлами программного продукта, так как для нормального его функционирования необходимо наличие определенных компонент общего (драйверов периферийных устройств, наличия музыкальной карты и др.) или общесистемного программно-математического обеспечения (системы управления базами данных, электронной таблицы и др.).