Тактика сбора и исследования доказательственной информации с компьютера, подключенного к сети

Дата: 25.01.2005
Источник: www.crime-research.ru
Автор: Алексей Турута


... авторов, которые считают недопустимым какие-либо манипуляции (т.е. выполнение специалистом, следователем действий вызывающих модификацию данных) с компьютерной информацией во время осмотра [ 37, 38].

В некоторых работах предлагается провести осмотр помещения, после этого с помощью специалиста и понятых провести фиксацию компьютерной информации с работающего компьютера (доказательства согласно п.2 ст. 65 УПК фиксируются в протоколе следственного действия). После чего компьютерная техника изымается для проведения экспертного исследования.

И.Ена рекомендует сформировать следственную бригаду, в состав которой необходимо включить специалиста. И предлагает следователю, по окончания общего осмотра, перейти к детальному осмотру, в процессе которого тщательно провести осмотр следующих объектов: компьютеры; периферию, жесткие диски, носители информации, программы для ЭВМ, текстовые и графические документы, видео-звукозаписи.

Аналогичные решения предлагаются в работах российских авторов, так при осмотре места происшествия предлагается сформировать следственно-опретивную группу в составе: следователя, сотрудника отдела «К», оперуполномоченного, специалиста по профилю осматриваемых средств вычислительной техники.

Вышеуказанные члены СОГ помогут следователю при изучении и фиксации окружающей обстановки; обнаружении, закреплении, изъятии и упаковке вещественных доказательств, а также проведут их предварительное исследование на месте происшествия с составлением письменных документов – заключений специалистов (ч. 3 ст. 80 УПК РФ) [39].

Отметим, что уголовно-процессуальное законодательство РФ отличается от законодательства Украины. В ч.3 ст.80 УПК РФ закреплено, что исследования специалиста являются процессуальной формой исследования. В национальном УПК процессуальной формой исследования является, исключительно, исследование, проведенное в рамках судебной экспертизы.

Степанов предлагает использовать специальные программные продукты (ПО для преодоления защиты, мониторинга работы пользователя и др. – авт.), которые позволяют оперативному работнику получать доступ к информации, представляющей оперативный интерес, даже если она зашифрована самыми стойкими криптографическими программами, и получить эту информацию другими способами невозможно, что, в свою очередь, способствует раскрытию преступлений связанных с использованием компьютерной техники. Хочется отметить, что использование данных программных продуктов допустимо только специальными подразделениями с соблюдением нормативно-правового аспекта данной проблемы [ЗУ «Об ОРД» ст.8 ч.2], а также при наличии соответствующего разрешения. Получение же информации при помощи вышеуказанных программ «частным образом» является уголовно наказуемым, ст.363 УК Украины [40].

Однако, как известно, данные оперативно-розыскного дела не служат доказательствами при рассмотрении уголовного дела в суде и могут возникнуть определенные проблемы с допустимостью таких доказательств.

И.Собецкий указывает на следующий порядок развития следствия: данные осмотра места происшествия – исследование – наведение справок – выявление и задержание злоумышленника.

Предлагается следователю выполнить следующие действия:
– производить осмотр места происшествия, то есть компьютерной системы, подвергшейся хакерской атаке;
– изымать и приобщать к делу различные файлы протоколов, в том числе с межсетевых экранов, журналы операционных систем и прикладных программ и т.п.;
– путем выемки или даже обыска получать файлы протоколов в провайдерских или хостинговых компаниях, предоставляющих услуги проводной связи, а также в некоторых других местах.

Автор обращает внимание на заблуждения, которые зачастую встречаются в публикациях:
√ Лог-файлы, изъятые с компьютера потерпевшего, в дальнейшем не имеют доказательственной силы, поскольку предварительно могли быть изменены как самим потерпевшим, так и независимо от его желания третьими лицами. После же изъятия лог-файлы могут быть изменены следователем, специалистом или оперативными сотрудниками правоохранительных органов.

Далее рассматриваются правовые аспекты предложенного заблуждения. Автор приходит к выводу, что беремя доказывать факт подделки доказательств потерпевшими или третьими лицами придется не кому-нибудь, а самому злоумышленнику [41].

С другой стороны, задача правоохранительных органов и заключается в разработке тактики сбора доказательственной информации, не позволяющей опровергать доказательства в суде.

Н.Ахтырская [42] указывает на невозможность использования результатов ОРД как доказательств, если не выполняются требования, предъявляемые к доказательствам, а именно:
1) каждое доказательство подлежит оценке с точки зрения относимости, допустимости, достоверности, а все собранные доказательства в совокупности – достаточности для разрешения уголовного дела;
2) прокурор, следователь, дознаватель вправе признать доказательство недопустимым по ходатайству подозреваемого, обвиняемого или по собственной инициативе;
3) доказательство, признанное недопустимым, не подлежит включению в обвинительное заключение или обвинительный акт.

А.Белоусов, рассматривая методики сбора и закрепления доказательств по делам о нарушении авторских и смежных прав, указывает, что доказательства, связанные с компьютерными преступлениями, которые изъяты с места преступления, могут быть легко изменены, как в результате ошибок при их извлечении, так и в процессе самого исследования. Предоставление таких доказательств для использования в судебном процессе требуют специальных знаний и соответствующей подготовки. Здесь нельзя недооценивать роль экспертизы, которая могла бы дать квалифицированный вывод относительно поставленных следствием вопросов [43].

В.Е.Козлов [44] предлагает при проведении следственного действия в зависимости от ситуации поступать следующим образом:




При этом осуществляется подробная видеосъемка всех указаний следователя, действий специалистов, реакции понятых (если они участвуют в осмотре места происшествия), фиксация возможных изменений. Все указания и действия «проговариваются» в процессе видеозаписи.

Отметим, что использование видеосъемки не заменяет какую-либо процессуальную форму получение доказательств, а служит для дополнительного закрепления проводимых действий.

Актуальным вопросом является создание копии носителей информации. Рекомендации по копированию информации во время следственного осмотра, не имеют правового и технического основания. В процессуальном отношении действия по выявлению и копированию данных не очевидны для участников и не отвечают принципу наглядности.

Отметим, что существенным препятствием, ограничивающим манипуляцию с СКТ, во время проведения следственного действия является возможность изменения КИ. Выше были рассмотрены группы компьютерной информации, искажаемые вследствие функционирования операционной системы или работы специалиста. В процессе исследования доказательств искажения и неполнота в их содержании должны быть выявлены и объяснены. Искажение и неполнота отражений могут быть следствием отклонений в процессе возникновения доказательств (например, в силу специфических, нетипичных условий следообразования), паузы или остановки в ходе этого процесса или его маскировки [45].

Тактика сбора и исследования компьютерной информации
С учетом рассмотренных выше технических и процессуальных аспектов применения специальных знаний предполагается следующая тактика сбора и исследования доказательственной информации.

В зависимости от следственных ситуаций возможны следующие варианты работы со СКТ:
А). Изъятие средств компьютерной техники (СКТ) для назначения КТЭ и исследования в экспертном учреждении.

Такая тактика применяется в ситуациях, когда СКТ представлен собственником, СКТ выключен, не подключен к сети, имеются данные о средствах защиты информации.
Изымается СКТ.
- Назначается КТЭ.
- Результаты КТЭ являются доказательствами.

Б). Назначение экспертизы на месте проведения следственного действия и продолжение исследования в лабораторных условиях.

Такая тактика применяется в ситуациях, когда СКТ обнаружен на месте проведения следственного действия, функционирует, подключен к компьютерной сети. Задачей поиска является обнаружение неизвестной информации. В случаях создания копий носителей для дальнейшего тщательного исследования.
- Проводится поиск и фиксация КИ, которая может быть утрачена.
- Подготавливается техника к отключению и изъятию.
- Продолжение КТЭ в экспертном учреждении.
- Результаты, полученные в ходе КТЭ, являются доказательствами.

В). Назначение экспертизы и полное проведение экспертного исследования на месте проведения следственного действия.

Такая тактика применяется в случаях, когда исследование КИ возможно на месте проведения следственного действия, невозможно изъять СКТ или задачей поиска является поиск заданной информации.
- Проводится поиск и фиксация КИ, которая может быть утрачена.
- Производиться необходимые исследования.
- Результаты, полученные в ходе КТЭ, являются доказательствами.

Реализация предложенной тактики в некоторых случаях может быть затруднена: КТЭ может быть назначена только после возбуждения УД, а следственный осмотр может проводиться до возбуждения УД.

Решение такой проблемы возможно несколькими путями:
1. Внесение изменений в законодательство. Разрешить проводить КТЭ по УД, связанным с исследованием компьютерной техники до возбуждения УД.
2. Заменить...

Добавить комментарий

2006-04-26 07:52:58 - Да... Для реферата на школьную информатику... Samuray

2005-12-31 06:31:05 - Привелчь злодея можно только на основе... Чайник

Всего 2 комментариев