Особенности тактики осмотра компьютерных объектов

Особенности тактики осмотра компьютерных объектов

В процессе подготовки к проведению этого следственного действия, еще до выезда на место происшествия необходимо решить ряд организационных вопросов, которые в последующем обеспечат качество проведения осмотра места происшествия.

Характерной чертой преступлений в сфере компьютерной информации является то, что при проведении большинства следственных действий необходимо участие специалиста. Особенно это важно при проведении осмотра места происшествия. Как справедливо отмечают Е.Р. Россинская и А.И. Усов, при расследовании преступлений, сопряженных с использованием компьютерных средств, участие специалиста необходимо, поскольку даже малейшие неквалифицированные действия с компьютерной системой зачастую заканчиваются безвозвратной утратой ценной розыскной и доказательственной информации.

Опрос следователей и специалистов в области вычислительной техники показал, что только 14 % следователей работают на ЭВМ на уровне пользователя, 56% не знают ничего о принципах работы ЭВМ. С другой стороны, 92% из числа опрошенных программистов считают, что на современном уровне развития вычислительной техники без участия профессионала найти «спрятанную» в компьютере информацию без риска уничтожения сложно. При этом следователю всякий раз необходимо убедиться в компетентности специалиста.[1]

Следует отметить, что на данном этапе развития средств компьютерных и информационных технологий вопрос о поиске и привлечении специалистов для оказания помощи следователю является крайне актуальным. Понятно, что при таком интенсивном развитии указанных технологий следователь-юрист не в состоянии отслеживать все технологические изменения в данной области.

В качестве объекта этого следственного действия компьютерная техника и компьютерная информация выступают как: а) предмет традиционных преступных посягательств (например, кражи). Чаще всего в этих случаях каких-либо тактических особенностей осмотр ее не имеет, представляя по существу разновидность следственного осмотра предметов (и потому здесь рассматриваться не будет); б) в качестве орудия совершения преступлений, опять же, как традиционных (например, мошенничества), так и преступлений в сфере компьютерной информации. В таких случаях другие компьютеры являются «потерпевшими» от проведенной в отношении их «компьютерной атаки» (например, в результате внедренных в них вирусов типа «троянского коня» позволяющих завладевать имеющейся в них информацией и использовать ее в своих целях) и потому также подлежат осмотру; в) как объект, содержащий в себе базу информационных данных, которые имеют или могут иметь отношение к расследуемому преступлению. Дело в том, что уже в настоящее время бухгалтерский учет в большинстве предприятий, учреждений, иных хозяйствующих субъектов ведется на безбумажной, компьютерной основе; отраженные таким образом данные также либо становятся предметом преступных посягательств, либо могут представлять интерес для расследования; г) лица, имеющие в личном или служебном распоряжении компьютерную технику, нередко используют ее в качестве своего рода дневника, телефонной книжки или для ведения переговоров в сети Интернет по электронной почте. Эти сведения зачастую также представляют интерес для расследования. И вот для трех последних разновидностей использования компьютерной техники в интересующих следователя отношениях тактика ее осмотра весьма специфична.

Привлекая специалиста, следователю необходимо убедиться в его компетентности. Дело в том, что, несмотря на распространенное противоположное мнение, общего понятия «специалист по компьютерной технике» не существует. Можно говорить лишь о том, что есть специалист, компетентный в конкретных компьютерных системах. Так, например, специалист по операционной системе MS DOS не обязательно будет знаком с операционной системой Windows NT, a квалифицированный пользователь персонального компьютера может не уметь обращаться с большими вычислительными комплексами[2]. Потому необходимый профиль знаний конкретного специалиста следует определять в зависимости от целей и задач осмотра с учетом первоначальных данных о характере преступления.

Обратим также внимание, что, как уже ранее упоминалось, в качестве понятых для участия в осмотре этих объектов следует привлекать людей, сведущих в компьютерной технике. Очевидно, что их участие наиболее необходимо именно при данном следственном действии, чтобы исключить возможные впоследствии ссылки заинтересованных лиц об изменениях следователем в ходе осмотра информации, содержащейся в компьютере и на магнитных носителях.

По прибытии на место осмотра следователю следует начать с запрещения доступа к средствам вычислительной техники всем лицам, работающим на объекте. Принять меры к выявлению и изъятию следов рук, оставшихся на защелках дисководов, кнопках включения питания, участках корпуса около винтов крепления крышки корпуса, клавишах клавиатуры и мыши, разъемах портов и сетевых плат, а также на кнопках печатных устройств. В этих местах обычно остаются следы рук преступников. Кроме того, нельзя исключать возможности доступа в помещение, где находится компьютерная техника и информация, посторонними лицами путем взлома, подбора ключей, в том числе паролей к электронным замкам, на которых также могут остаться следы. При осмотре кабельных сетевых соединений требуется убедиться в их целостности, отсутствии следов подключения нештатной аппаратуры.

В связи с возможностью совершения преступлений по сетям телекоммуникации и локальным вычислительным сетям (ЛВС) необходимо установить расположение всех компьютеров в сети, конкретное назначение каждого компьютера, наличие сервера, места прокладки кабелей, устройств телекоммуникации (модемов, факс-модемов), их расположение и подключение к каналам телефонной связи. Требуется также выяснить наличие специальных средств защиты от несанкционированного доступа к информации, принять меры к установлению ключей (паролей). Обратим внимание на то, что часто решающее значение имеет внезапность действий, поскольку компьютерную информацию можно быстро уничтожить (в том числе по сети), поэтому в случае объединения компьютеров в сеть следует организовать групповой обыск-осмотр одновременно во всех помещениях, где они установлены.

В ходе осмотра средств вычислительной техники непосредственными объектами его могут быть: отдельные компьютеры, не являющиеся составной частью локальных или глобальных сетей; рабочие станции (компьютеры), входящие в сеть; файл-сервер, т. е. центральный компьютер сети; сетевые линии связи; соединительные кабели; принтеры; модемы; сканеры и т. п.

При непосредственном осмотре компьютера следует осмотреть системный блок, чтобы определить, какие внешние устройства к нему подключены на данный момент и какие могли быть подключены ранее (на это указывает наличие разъемов на задней панели системного блока). Эта информация в дальнейшем поможет точнее поставить вопросы перед экспертом при назначении экспертизы, укажет направление поиска и, возможно, облегчит его. Так, наличие модема означает, что компьютер подключен к сети, т. е. на нем может быть установлена почтовая программа и программа для работы с глобальной сетью Интернет; наличие сканера или разъема для подключения сканера — что в памяти компьютера могут храниться графические файлы, содержащие отсканированное изображение или текст; наличие звуковой платы означает возможность обработки звуковой информации и хранение звуковых файлов; наличие дисководов для гибких дисков указывает, что необходимо также искать гибкие магнитные диски, содержащие информацию; аналогично наличие дисководов для компакт-дисков указывает на необходимость поиска лазерных дисков; наличие электронного ключа (компактной электронной приставки размером со спичечный коробок, устанавливаемой на параллельный или последовательный порт (разъем компьютера) защищает информацию и т. д.[3]

Далее обратим внимание на особенности осмотра работающего и неработающего компьютеров.

При осмотре работающего компьютера необходимо:

1.             Определить, какая программа выполняется в данный момент. Для этого изучается изображение на экране монитора, которое детально описывается в протоколе. При необходимости может осуществляться фотографирование или видеозапись изображения на экране дисплея;

2.             Остановить исполнение программы и зафиксировать в протоколе результаты своих действий, отразить изменения, произошедшие на экране компьютера;

3.             Определить наличие у компьютера внешних устройств — накопителей информации на жестких магнитных дисках (винчестере), на дискетах и устройствах типа ZIP, наличие виртуального диска (временный диск, который создается при запуске компьютера для ускорения его работы), отразив полученные данные в протоколе; определить наличие у компьютера внешних устройств удаленного доступа к системе и определить их состояние (подключение к локальной сети, наличие модема), после чего отключить компьютер от сети и выключить модем, отразив в протоколе результаты своих действий;

4.             Скопировать программы и файлы данных, созданные на виртуальном диске (если он имеется), на магнитный носитель или на жесткий диск компьютера в отдельную директорию; произвести копирование всей информации, хранящейся на жестком диске на переносной диск сверхбольшой емкости типа DVD или даже на дополнительный жесткий диск, с последующим исследованием ее в лабораторных условиях.

Перед выключением питания требуется корректно завершить все исполняемые в данный момент программы, по возможности сохранить всю промежуточную информацию (тексты, информацию состояния, содержание буферов обмена и др.) в специальных файлах, если возможно - на отдельных дискетах, в противном случае — на жестком диске компьютера. В протоколе указать имена этих файлов, вид информации, сохраняемой в каждом, расположение файлов (наименование дискет и их маркировку или логический диск и каталог на винчестере компьютера); выключить компьютер, который подвергся воздействию, а при наличии сети — выключить все компьютеры в сети. Если из-за особенностей функционирования системы это невозможно, то следует принять все меры для исключения доступа к информации данного компьютера, по возможности снять с нее копию и принять меры для фиксации всех изменений информации, которые будут происходить впоследствии.

При осмотре неработающего компьютера необходимо:

1. Установить и отразить в протоколе и на прилагаемой к нему схеме местонахождение компьютера и его периферийных устройств (принтера, модема, клавиатуры, монитора и т. п.), назначение каждого устройства, название, серийный номер, комплектацию (наличие и тип дисководов, сетевых карт, разъемов и др.), наличие соединения с локальной вычислительной сетью и (или) сетями телекоммуникации, состояние устройств (целое или со следами вскрытия);
2. Точно описать порядок соединения между собой указанных устройств, промаркировав (при необходимости) соединительные кабели и порты их подключения, после чего разъединить устройства компьютера;
3. В ходе осмотра компьютера необходимо с помощью специалиста установить  наличие  внутри  компьютера нештатной аппаратуры, изъятия микросхем, отключение внутреннего источника питания (аккумулятора);
4. Упаковать (с указанием в протоколе места их обнаружения) магнитные носители на дискетах и лентах. Для упаковки могут использоваться как специальные футляры для дискет, так и обычные бумажные и целлофановые пакеты, исключающие попадание пыли (загрязнений и т. п.) на рабочую поверхность дискеты или магнитной ленты;
5. Упаковать каждое устройство компьютера и соединительные кабели. Предварительно, для исключения доступа посторонних лиц, необходимо опечатать системный блок — заклеить защитной лентой кнопку включения компьютера и гнездо для подключения электрокабеля, а также места-соединения боковых поверхностей с передней и задней панелями.

Если в ходе осмотра и изъятия компьютерной техники возникает необходимость включения компьютера, его запуск необходимо осуществлять с заранее подготовленной загрузочной дискеты, исключив тем самым запуск программ пользователя.

В протоколе осмотра должно быть отражено:

             количество и схема расположения рабочих мест, порядок размещения компьютерного оборудования и мест хранения машинных носителей информации;

             месторасположение данного помещения в здании учреждения, наличие охранной сигнализации, состояние оконных и дверных проемов (повреждения, техническое состояние), запорных устройств, экранирующих средств защиты;

             места подключения периферийных устройств (например, соединительный кабель между коммуникационными портами принтера и системным блоком компьютера), винты крепления крышек корпуса, поверхности под системным блоком, монитором и другими устройствами. Обычно в этих местах происходит скопление пыли, а значит могут остаться следы, характер или отсутствие которых должно быть отражено в протоколе;

             наличие и состояние всех пометок, пломб, специальных знаков и наклеек (инвентарных номеров, записей на память, контрольных маркеров фирм-продавцов и др.), нанесенных на корпуса и устройства компьютеров, наличие загрязнений, механических повреждений и их локализация;

             наличие и содержание записей, относящихся к работе компьютерной техники. В них могут оказаться сведения о процедурах входа-выхода в компьютерную систему, пароли доступа и т. п.;

             наличие внутри компьютерной техники нештатной аппаратуры и различных устройств;

             следы нарушения аппаратной системы защиты информации и другие признаки воздействия на электронную технику (механические повреждения);

В дополнение к протоколу, кроме составления схемы расположения компьютеров и периферийных устройств в помещении и соединения компьютеров в сети, с помощью видео- или фотосъемки рекомендуется зафиксировать информацию на экране монитора, индикаторных панелях, положение переключателей и состояние индикаторных ламп всех устройств компьютерной системы, о чем сделать соответствующие записи в протоколе.

Носители информации, имеющей отношение к расследуемому событию, могут быть изъяты в ходе осмотра с соблюдением установленного УПК порядка. При этом необходимо помнить, что обращаться с носителями машинной информации, как то: жесткими магнитными дисками (винчестерами), оптическими дисками, дискетами и т. п., следует осторожно — не прикасаться руками к рабочей поверхности дисков, не подвергать их электромагнитному воздействию, не сгибать и не хранить без соответствующей упаковки, не делать на них никаких пометок авторучкой или жестким карандашом (допускается нанесение пояснительных надписей на этикетку фломастером), не пробивать отверстия в магнитных носителях или ставить на них печати.