|
Моїсєєв О.М.
ЗАЛУЧЕННЯ СПЕЦІАЛІСТА ДО РОЗСЛІДУВАННЯ
КОМП’ЮТЕРНИХ ЗЛОЧИНІВ
Необхідність залучення спеціаліста до розслідування комп’ютерних злочинів зумовлена своєрідністю об’єктів – електронних носіїв інформації та засобів її створення, зберігання і передачі. Інформація, яка досліджується в перебігу розслідування злочинів такого виду, характеризується нестійкістю, а також прихованим і зашифрованим характером. Тому під час проведення огляду, виїмки, обшуку, відтворення обстановки і обставин події, одержання зразків для експертного дослідження, допитів тощо й виникає необхідність залучення спеціалістів з інформатики, програмування, електронних мереж, ремонту електронного обладнання.
Слідчі дії, пов’язані з обстеженням і вилученням комп’ютерної техніки, потребують вирішення таких спеціальних завдань, як встановлення наявності та забезпечення повноти і адекватності інформації, що вилучається, забезпечення її збереження під час транспортування вилучених комп’ютерних засобів. Як свідчить практика, виконати такі вимоги допомагають слідчому фахівці Інституту проблем штучного інтелекту НАН України (ІПШІ, м.Донецьк) відповідних спеціальностей.
На підготовчому етапі провадження слідчих дій спеціалісти рекомендують брати до уваги, що приміщення і комп’ютерні засоби, які застосовуються для вчинення злочинів у кредитно-фінансовій сфері, як правило, знаходяться під надійною електронною охороною. Тому у відповідальної особи слідчому треба з’ясувати, чи заблоковане приміщення, в якому знаходиться комп’ютер, електронною системою допуску чи охоронною сигналізацією, і які технічні засоби використовуються для цього. Також необхідно витребувати електронний пароль і відповідну технічну документацію, електронний ключ для доступу на об’єкт та ознайомити з цими відомостями спеціаліста, який залучений до проведення слідчої дії. У перебігу її проведення, спеціаліст може встановити факти, які мають суттєвий вплив на програму подальшого розслідування. Тому можна сформулювати рекомендацію слідчому попередньо знайомити спеціаліста з протоколами допиту та іншими документами стосовно системи, складу, конфігурації комп’ютерного обладнання. Тоді пропозиції спеціаліста щодо плану проведення слідчої дії та напрямків оперативно-розшукових заходів будуть повністю обґрунтованими.
Практика свідчить, що у випадку застосування системи самознищення інформації на жорсткому диску, користувачі таких комп’ютерних запобіжних систем обов’язково використовують так званий дзеркальний вінчестер, який знаходиться під надійною охороною. Відомості про це можуть бути корисними для організації розшуку таких матеріальних копій знищеної інформації, якщо спеціаліст бере участь у побудові розшукових та слідчих версій.
На робочому етапі проведення слідчої дії, за допомогою спеціаліста може бути встановлено:
- склад комп’ютерного засобу: системний блок, дисководи, монітор, клавіатура, принтери, модем, безперебійне джерело живлення, інші периферійні пристрої. Особливим завданням спеціаліста є встановлення в перебігу проведення огляду комп’ютерного засобу наявності пристрою для знищення інформації;
- наявність і види мережних пристроїв, наявність портів паралельного та послідовного каналів, факт підключення їх до зовнішніх мереж зв’язку.
Вмикати і вимикати комп’ютери, здійснювати з ними будь-які маніпуляції може тільки спеціаліст у галузі електронних мереж.
Якщо комп’ютер на момент початку слічої дії включений, то за допомогою спеціаліста-електронника та інформатика необхідно оцінити інформацію, що зображена на дисплеї, встановити, яка програма виконується на даний момент, а якщо працює стандартний програмний продукт, то не здійснювати будь-яких маніпуляцій без попереднього огляду даних технічних засобів. Необхідно сфотографувати екран дисплею, а потім відключити всі телефонні мережі, які приєднані до комп’ютера і зробити точний опис усіх з’єднань на задній панелі системного блоку; за необхідності викрити кожух системного блоку та візуально встановити конфігурацію ЕОМ, зафіксувати місце знаходження електронних плат. У випадку виявлення під час огляду апаратних засобів невідомих учасникам слідчої дії приладів (плати розширення, нестандартні з’єднання), комп’ютер необхідно відразу виключити, при цьому рекомендується не вимикати тумблер блоку живлення, а витягнути вилку силового кабелю з розетки. Далі (до від’єднання проводів) слід промаркувати і протокольно зафіксувати систему підключення, всі порти та роз’єми, щоб потім можна було здійснити точну реконструкцію розташування кабелів, плат розширення та інших приладів. При цьому уникати випадкового псування інформації із-за шкідливої дії електростатичних, електричних, електромагнітних, магнітних і механічних чинників.
Спеціаліст на робочому етапі також допомагає виявити спеціальні засоби для знищення інформації в комп’ютері при несанкціонованому доступі до нього, встановити, чи необхідний пароль з доступу до інформації, які правила його використання і чи не призведе порушення цих правил до знищення файлів. Слід передбачити, що інформація може бути зіпсованою за сигналом від портативного випромінювача типу автомобільного центрального замка чи сигналом за пейджинговим зв’язком на пейджер, який умонтований у комп’ютер. Тому можна рекомендувати слідчому передбачити оперативне спостереження за персоналом, який знаходиться у приміщенні та обізнаний про проведення слідчої дії, час і мету якої за цих обставин необхідно зберігати в таємниці. Спеціаліст може захистити системні блоки від зовнішнього випромінювання надійним їх екрануванням або застосуванням пристрою активних радіоперешкод «Завада» із набору спеціаліста-вибухотехніка.
Слідчому потрібно ретельно узгоджувати дії всіх учасників за рекомендаціями спеціаліста. Наприклад, під час огляду комп’ютерної техніки при розслідуванні обставин заміни вінчестеру з метою крадіжки інформації виникла необхідність вилучення слідів пальців рук на комплектуючих деталях комп’ютера. Приступаючи до обробки поверхонь дактилоскопічними порошками, експерт-криміналіст спільно зі спеціалістом-електронником експериментально встановили недоцільність використання магнітних порошків, які можуть реагувати на магнітні поля жорсткого диску. Також неприпустимо спеціалісту втручатися в інформаційну базу без наочного і зрозумілого для всіх учасників слідчої дії коментаря операцій. У випадку встановлення інформації, що розшукується, поточне зображення екрану дисплею також необхідно сфотографувати, після чого стандартними засобами переписати її на зовнішній носій.
На заключному етапі спеціаліст здійснює складання схем підключення комп’ютера і маркування вилучених засобів, допомагає пакувати та супроводжувати вилучену комп’ютерну техніку, а також формулювати слідчі й оперативно-розшукові версії. У випадках підключення комп’ютера до мережі Інтернет спеціаліст може під контролем слідчого зв’язатися з провайдером щодо вилучення і збереження інформації, яка надійшла на адресу підозрюваного.
Рекомендується зберігати комп’ютери та комплектуючі тільки в екранованих контейнерах, щоб уникнути руйнуючої дії електромагнітного випромінювання [1, с. 952].
Слідчий співпрацює зі спеціалістом і в подальшому, зокрема допомагає сформулювати завдання на комп’ютерно-технічну експертизу. Наприклад, при розслідуванні комп’ютерних злочинів у кредитно-фінансовій сфері слідчий ставить перед експертами завдання встановити:
- можливість прихованого несанкціонованого доступу до програмного забезпечення ЕОМ, механізм внесення змін, місце, характер та наслідки їх заподіяння;
- працівників установи чи підприємства, які мають з огляду на свої повноваження і функціональні обов’язки можливість доступу до програмного забезпечення відповідних ЕОМ;
- з урахуванням показань свідків та інших матеріалів справи розмір матеріальної шкоди від злочинних посягань на інформацію;
- хто із працівників і посадових осіб установи чи підприємства, які експлуатують комп’ютерну техніку та її програмного забезпечення несе відповідальність за захист і безпеку інформації;
- порушення яких нормативних актів і правил сприяли виникненню шкоди [2, с. 150-151].
Велике значення для розслідування злочину може мати встановлення спеціалістом змісту знищеної чи зашифрованої інформації. Так, у справі про фальшивомонетництво, основні файли на вінчестері було знищено засобами самозахисту. Але спеціаліст-системний програміст із ІПШІ зміг відновити пошкоджену інформацію і встановити фрагмент зображення фальшивої купюри із ідентифікаційними ознаками рисунка. В іншому випадку спеціаліст відновив деякі з пошкоджених файлів в комп’ютері, що дало змогу слідчому внаслідок порівняння змісту відновлених фрагментів з реєстром програм, які були інстальовані на викраденому комп’ютері, а потім знищені, одержати докази щодо джерела походження вилученої комп’ютерної техніки.