Методика расследования компьютерных преступлений
Дата: 19.01.2005Источник: www.crime-research.ru
Автор: Валерий Лисовой
... характеризується такими особливостями:1. Усі дії з комп’ютерною технікою проводяться в присутності спеціаліста.
2. У першу чергу оглядові підлягає комп’ютерна техніка, яка знаходиться в робочому (увімкненому) стані.
3. Необхідно встановити наявність у комп’ютера зовнішніх пристроїв віддаленого доступу до системи (підключення до локальної мережі, наявність модему).
4. По можливості необхідно зробити точну інформаційну копію машинного носія. Європейські фахівці в галузі комп'ютерно-технічних технологій не рекомендують при проведенні слідчих дій безпосередньо перевіряти зміст інформації на комп'ютерному носієві, тому що завжди існує ризик пошкодження та зміни інформації [6]. Цілком вірно зазначено, що інформація, яка міститься в комп'ютерних засобах та на носіях, повинна залишатися незмінною. Тому й рекомендується зняти точну копію і всі дослідницькі процедури проводити з цією копією.
5. Використання в протоколі cлідчої дії огляду комп’ютерної термінології.
6. Усі дії з комп’ютерною технікою фіксуються за допомогою фото- та/або відеотехніки.
До особливостей огляду та попереднього дослідження носіїв комп’ютерної інформації слід віднести:
1. Усі виявлені носії машинної інформації (особливо змінні) вилучаються, упаковуються і направляються на експертизу.
2. Фіксацію в протоколі серії та номерів пристроїв, що вилучаються, наявні на них сліди впливу, дефекти, інші індивідуальні ознаки.
3. В разі необхідності безупинного функціонування комп'ютерної системи (наприклад, для керування виробництвом, здійснення банківських операцій), і (чи) якщо її зупинка на час проведення розслідування може спричинити значні збитки, інформація, яка піддалась впливу, копіюється на резервний носій (носії).
Обшук. Особливостями проведення обшуку, пов’язаного з комп’ютерною технікою є:
1. Використання принципу раптовості при прибутті та входженні до приміщення, в якому буде проводитись обшук або в якому знаходиться комп’ютерна техніка, що підлягає обшукові.
2. Неможливість використання у процесі пошуку тайників з магнітними носіями металопошукувачів або рентгенівської установки, оскільки їх застосування може призвести до знищення інформації на цих носіях.
3. Необхідність швидко проаналізувати великий обсяг інформації, яку було виявлено при проведенні обшуку з метою встановлення її цінності для досудового слідства.
4. Проведення обшуку лише на одному або декількох комп’ютерах, які входять до складу локальної комп’ютерної мережі.
Допит свідків. При розслідуванні „комп’ютерного” злочину на початковому етапі виникає необхідність допитувати в якості свідків громадян різних категорій, для кожної з яких існує своя специфіка. Так, на думку Ю.В. Гавриліна, допит операторів ЕОМ має свою специфіку, пов’язану з особливим використанням в процесі їх професійної діяльності засобів комп’ютерної техніки. Тому виникає необхідність з'ясувати у цієї категорії свідків наступне: правила ведення журналів операторів, порядок прийому-здачі змін, режим роботи операторів; порядок ідентифікації операторів; правила експлуатації, зберігання, знищення комп'ютерних роздруківок (лістинг), категорію осіб, що мають до них доступ; порядок доступу до приміщення, де знаходиться комп'ютерна техніка, категорію працівників допущених до роботи з нею і ін. [7].
До кола питань, які необхідно з’ясувати у програмістів, на думку Ю.В. Гавриліна, належить: перелік програмного забезпечення, що використовується, і його класифікація (ліцензійне, власне); паролі захисту програм, окремих пристроїв комп'ютера, частота їх змін; технічні характеристики комп'ютерної мережі (при її наявності), хто є адміністратором мережі; порядок придбання і супроводу програмного забезпечення; існування ідентифікаційних програм, наявність в робочих програмах спеціальних файлів, протоколів, які реєструють входження в комп'ютер користувачів, який їх зміст.
У свою чергу, О.І. Увалов і А.В. Куценко зазначають, що до осіб, які можуть бути свідками у справі зазначеної категорії відносяться і співробітники, які відповідають за інформаційну безпеку або адміністратори комп'ютерної мережі (при її наявності). В коло питань, які необхідно з'ясувати у цих осіб, дослідниками пропонується віднести такі: наявність спеціальних технічних засобів захисту інформації; порядок доступу користувачів до комп'ютерної мережі; порядок ідентифікації користувачів комп'ютерів; розпорядок робочого дня користувачів комп'ютерної мережі; порядок доступу співробітників до комп'ютерної техніки у позаробочий час; порядок привласнення і зміни паролів користувачів; характеристика заходів із захисту інформації [8].
Вивчення кримінальних справ дозволило нам виділити ще одну категорію свідків – начальника обчислювального центру або керівника підприємства (організації). На нашу думку при допиті цих осіб потрібно з'ясувати: чи діють в установі спеціальні служби з експлуатації мереж і служби безпеки, їх склад і обов'язки; чи сертифіковані програми системного захисту; організаційну структуру обчислювального центру; чи сертифіковані технічні пристрої обчислювальної техніки; чи діють внутрішньовідомчі правила експлуатації ЕОМ і мережі, який порядок ознайомлення з ними і контролю за їх виконанням; які співробітники установи (організації) були звільнені протягом відрізка часу, що цікавить працівників правоохоронних органів, і з яких мотивів; чи були раніше випадки незаконного проникнення до приміщення, де встановлена комп'ютерна техніка, несанкціонованого доступу до комп'ютерної інформації і ін.
Перед допитом вищезазначених свідків слідчий має продумати і скласти комплекс запитань (у тому числі і технічного характеру), який буде варіюватися залежно від конкретного свідка і способу вчинення „комп’ютерного” злочину.
При підготовці до допиту, при складанні переліку запитань слідчий у більшості випадків використовує допомогу спеціаліста для правильного і точного їх формулювання.
Як показало вивчення кримінальних справ з розслідування „комп’ютерних” злочинів, при проведенні допитів у більшості випадків присутній спеціаліст, який в процесі слідчої дії надає допомогу слідчому, роз’яснюючи останньому показання допитаної особи, які містять відомості технічного характеру.
Допит підозрюваного. Особливість проведення допиту підозрюваного полягає в тому, що на першому допиті підозрюваний може спробувати пояснити факт порушення роботи ЕОМ, її системи або комп’ютерної мережі некримінальними причинами (випадковістю, збігом певних обставин, стороннім впливом і т.п.). Може розповісти і про вчинення таких дій при відсутності злочинного наміру.
Для викриття таких осіб добрі результати дає правильна реалізація інформації про злочинну діяльність цієї особи, отриману при проведенні оперативно-розшукових заходів, а так само пред'явлення предметів і документів, що належать підозрюваному і використовувалися при вчиненні „комп’ютерного” злочину. Уміле використання вказаних відомостей спричиняє певний вплив на підозрюваного, дозволяє отримати правдиве свідчення на першому допиті.
Для вирішення основних тактичних задач у процесі допиту підозрюваного, на думку В.М. Чернишова та В.П. Числіна [9] необхідно отримати відповіді на такі запитання:
1. Де і ким (яку займав посаду) працював підозрюваний?
2. До якої комп'ютерної інформації має доступ? Які операції з інформацією він має право провести? Яка його категорія доступу до інформації?
3. Чи вміє працювати підозрюваний на комп'ютері, чи володіє він певним програмним забезпеченням, який рівень його кваліфікації?
4. Хто навчив його працювати з конкретним програмним забезпеченням?
5. Які ідентифікаційні коди і паролі закріплені за ним (у тому числі при роботі в комп'ютерній мережі)?
6. До яких видів програмного забезпечення має доступ підозрюваний? Яке джерело його походження? Чи виявлялися підозрюваним програми, джерело походження яких невідоме?
7. Які види операцій з комп'ютерною інформацією дана особа виконувала протягом досліджуваного часу?
8. З якого джерела або від кого конкретно підозрюваний узнав про зміст інформації, до якої вчинив несанкціонований доступ?
9. Який спосіб використав підозрюваний для вчинення несанкціонованого доступу до комп'ютерної інформації?
10. Як підозрюваному вдалося проникнути до комп'ютерної систему (мережі)?
11. Звідки підозрюваний міг дізнатися пароль (код) доступу до інформації?
12. Чи спостерігались збої в роботі засобів комп'ютерної техніки і пристроїв захисту інформації, в період роботи даної особи в певний час?
13. Чи виявляв він збої в роботі програм, комп'ютерні віруси та інші порушення в нормальному функціонуванні програмного забезпечення?
14. Чи виявляв підозрюваний випадки незаконного проникнення в свій комп'ютер, незаконного підключення до комп'ютерної мережі?
15. Чи має він обмеження на допуск до приміщення, де встановлена комп'ютерна техніка і які саме?
16. Чи ознайомлений він з порядком роботи з інформацією, інструкціями про порядок проведення робіт?
17. Чи не було випадків порушення підозрюваним розпорядку дня, порядку доступу до комп'ютерної інформації?
18. Чи не поступало до підозрюваного від інших осіб пропозицій про передачу якої-небудь комп'ютерної інформації, програмного забезпечення?
19. Чи не відомі йому особи, що виявляють цікавість до отримання ідентифікаційних кодів і паролів?
Призначення експертиз. У справах даного виду в більшості випадків призначають криміналістичні (трасологічну, почеркознавчу), судово-бухгалтерську, судову експертизу комп’ютерної техніки і програмних продуктів і деякі інші види...
|
Добавить комментарий |
| 2007-06-03 13:08:53 - Спасибо за интересную статью.Легка для... Елена |
| Всего 1 комментариев |
