Методика расследования компьютерных преступлений

Дата: 19.01.2005
Источник: www.crime-research.ru
Автор: Валерий Лисовой


... можливості доступу до неї й умовам її копіювання тими, хто не уповноважений її обробляти;

е) тимчасова відсутність носіїв інформації чи пристроїв, які містять дані носії (під видом ремонту чи профілактики).

До матеріальної складової слідової картини при копіюванні інформації відносяться:
1. Сліди людини:
- відбитки пальців рук, поява яких сполучена з неможливістю обійтися без маніпулювання з ЕОМ у процесі копіювання інформації. Місцями їх найбільш ймовірного перебування є клавіатура комп'ютера, маніпулятори типу «миша», вимикачі живлення й інші елементи керування засобами обчислювальної техніки (кнопки, важелі пристрою подачі паперу принтера й ін.), мережні шнури і розетки;
- інші сліди, до яких відносяться сліди зубів, губ, ділянок тіла людини і його одягу і ін., можуть бути виявлені в тих випадках, коли злочинець під час роботи курив, пив чай, каву й ін. чи страждає шкідливими звичками, такими, як гризти олівець і ін.

2. Сліди знарядь злочину, якими в даному випадку є носії інформації, на які відбувалось копіювання. Вони можуть бути представлені мікрочастинами цих носіїв на пристроях для зчитування, слідами, які утворюються при підключенні до ЕОМ, системи чи мережі ЕОМ апаратури, на якій чи за допомогою якої здійснюється копіювання інформації.

3. Сліди копіювання у вигляді машинної інформації, до яких відносяться:
а) скопійована інформація на носіях у злочинця;
б) програмне забезпечення, за допомогою якого вчинялось копіювання;
в) проміжна інформація, яка утворюється при копіюванні. Це тимчасові файли і каталоги, які може створити злочинець на жорсткому диску комп'ютера з метою забезпечити чи прискорити свою роботу, файли помилок, що виникають при збоях роботи програм копіювання.
г) інформація про несанкціонований доступ в автоматизованих журналах обліку у випадках встановлення спеціального програмного забезпечення, яке фіксує процеси при доступі до комп'ютера.

Наступним способом злочинного впливу на комп’ютерну інформацію є її знищення. Аналіз слідчої практики показав, що подібним способом скоюється приблизно 10% злочинів. При знищенні відбувається „приведення інформації у такий стан, який виключає можливість використання всієї інформації чи значної її частини [4].

Ідеальна частина слідоутворення при знищенні комп’ютерної інформації формується з таких елементів:
а) відомостей про доступ чи роботу за комп'ютером осіб, в чиї обов'язки не входять такі дії;
б) фактів збоїв у роботі обчислювальної системи, викликаних програмними і технічними причинами (наприклад, короткочасним відключенням напруги);
в) інформації про роботу шкідливих програм (це можуть бути візуально сприйняті екранні заставки і повідомлення чи звукові фрагменти під час видалення інформації.

Матеріальна складова системи слідоутворення при знищенні комп'ютерної інформації складається з традиційних слідів людини, що виникають при роботі за комп'ютером.

Наступним способом злочинного впливу на комп'ютерну інформацію, яка знаходиться на пристроях тривалого зберігання, є її перекручення. Аналіз емпіричного матеріалу показує, що до 50% злочинів відбувається зазначеним способом.

Під перекрученням розуміється будь-яка зміна такої інформації за відсутності можливості відновити ті її фрагменти, які зазнали змін, в їх первісному вигляді [5]. Перекручення може проводитись вручну, автоматично або шляхом підміни.

Ідеальна складова слідової картини перекручення комп'ютерної інформації представлена наступними відомостями:
а) про зацікавленість кого-небудь з персоналу, до чиїх службових обов'язків не входить обслуговування програм і баз даних, змістом інформації, її розташуванням у масиві й умовами доступу;
б) про роботу з програмним забезпеченням, призначеним для коректування інформації (відладчиками, спеціальними утилітами, тощо) особами, які не спеціалізуються на цьому, чи за обставин, що не вимагають такого втручання;
в) про розробку нових програм чи вдосконалення вже існуючих, якщо дане завдання перед конкретним програмістом не ставилася. Такі роботи можуть свідчити про підготовку шкідливої програми чи тренування по внесенню змін у діюче ПЗ чи бази даних.

Слідами перекручення інформації у вигляді збереженої після вчинення злочину комп'ютерної інформації будуть:
а) сама перекручена інформація, за якою можна буде встановити зміст змін, а іноді дату й час їхнього внесення;
б) програмне забезпечення, що дозволяє здійснювати перекручення інформації в комп'ютерній системі чи на носіях інформації в підозрюваного;
в) носії з інформацією, що свідчать про підміну даних чи поширення шкідливих програм;
г) наявність у підозрюваного комп'ютера з відповідним програмним забезпеченням для створення шкідливих програм чи підготовки інформації для перекручення; збережені на ньому чи інших носіях інформації копії такої інформації, в тому числі, інформації, яка свідчить про розробку шкідливих програм (вихідні модулі, результати трансляції, тощо);
д) збережені в комп'ютерах чи на інших носіях інформації підозрюваного копії програмного забезпечення, яке піддали впливу чи декількох його модифікованих варіантів.

Наступним способом впливу на комп'ютерну інформацію на пристроях довгострокового зберігання є її вилучення разом з її носієм.

Ідеальна складова слідової картини при вилученні інформації разом з її носієм складається з відомостей про інтерес персоналу, до чиїх обов'язків не входить робота з інформацією, про її розташування на носіях і можливостях заволодіння даними носіями.

Традиційна матеріальна складова складається з:
а) слідів доступу на об'єкт і слідів доступу до носія, про які ми вже говорили вище, тому не будемо їх перелічувати;
в) самих носіїв чи їх частин, виявлених поза місцями звичайного їх зберігання (це варто враховувати при проведенні слідчих дій і оперативно-розшукових заходів).

Окрім того, можливий вплив на комп'ютерну інформацію комплексними методами, заснованими на застосуванні різних комбінацій з перерахованих вище способів. При цьому один використовується як основний, а інші - носять допоміжний характер.

Детальне вивчення способів впливу на комп'ютерну інформацію, а так само слідів на місці події, дозволяє з високим ступенем ймовірності визначити необхідні професійні навички, якими має володіти суб'єкт злочину, і можливості його доступу до інформації.

Як висновок хотілося зазначити, що при вивченні „комп'ютерних” злочинів варто враховувати те, що сучасний період характеризується безупинним розвитком, як апаратних, так і програмних складових обчислювального комплексу. Відповідно, це обумовлює появу нових способів вчинення злочинів у класичному розумінні цього терміна. Як підсумок, їх дослідження закономірно приречене на неповне висвітлення проблеми.

2. Види вихідних ситуацій. Слідчі версії і засоби їх перевірки на початковому етапі розслідування „комп’ютерних” злочинів
Під вихідною ситуацією ми розуміємо об'єктивну реальність, фактичну обстановку, що склалася в конкретний момент розслідування.

Проаналізувавши вітчизняний і зарубіжний досвід розслідування справ вказаної категорії, ми можемо виділити відомості, якими часто володіє слідчий на початковому етапі розслідування, на їх основі можна визначити вихідні ситуації.

До них відносяться дані про:
- зовнішній прояв злочинного діяння;
- способи доступу до комп'ютерної системи і безпосередньо до носіїв інформації;
- вид інформації, що зазнала впливу;
- суб'єкта, який вчинив злочин.

У своїй сукупності, як показало дослідження, вони можуть утворювати наступні типові вихідні ситуації.
1. Встановлені факти перекручення комп'ютерної інформації, циркулюючої в кредитно-фінансовій сфері, при цьому відомості про спосіб доступу до неї і осіб, що вчинили дане діяння, відсутні – виявляється приблизно у 60 % випадків.
2. Встановлені факти злочинного заволодіння комп'ютерною інформацією, при цьому відомості про спосіб доступу до неї і осіб, що вчинили дане діяння, відсутні – 10%.
3. Встановлені факти злочинного заволодіння комп'ютерною інформацією, для доступу до неї застосовувався механічний вплив, при цьому відомості про осіб, що вчинили дане діяння, відсутні – 10%.

4. Встановлені факти перекручення комп'ютерної інформації, при цьому відомості про спосіб доступу до неї і осіб, що вчинили дане діяння, відсутні –10%.
5. Встановлені факти знищення інформації в комп'ютерній системі, при цьому відомості про спосіб доступу до неї і осіб, що вчинили дане діяння, відсутні – 5%.
6. Встановлені факти злочинного впливу на комп'ютерну інформацію (заволодіння, перекручення або руйнування), при цьому є відомості про спосіб доступу і осіб, що вчинили дане діяння, – 5 %.

Названі типові слідчі ситуації покликані допомогти слідчому правильно провести аналіз реальних обставин, які складаються з самого початку розслідування „комп’ютерних” злочинів. Результатом стане висунення слідчих версій і планування розслідування, тобто розробка переліку початкових слідчих дій, оперативно-розшукових і організаційних заходів, тактики і послідовності їх проведення.

На основі вихідних слідчих ситуацій на початковому етапі розслідування злочинів у сфері використання електронно-обчислювальних машин (комп'ютерів), систем та комп’ютерних мереж можна виявити типові версії, що найбільш загально пояснюють подію, коли інформації про неї дуже мало, вона суперечлива і не цілком достовірна.

Основою виділення типових версій можна визнати мету вчинення „комп'ютерного”...

Добавить комментарий

2007-06-03 13:08:53 - Спасибо за интересную статью.Легка для... Елена

Всего 1 комментариев