|
На теперішній час комп’ютери широко використовуються з метою опрацювання та зберігання різноманітної інформації. Вони використовуються і в злочинній діяльності. Під час розслідування розкрадань, економічних злочинів в кредитно-банківській системі все частіше зустрічаються комп'ютерні засоби, які або служать об'єктом злочинного посягання, або були засобами здійснення злочинів і зберегли сліди злочинної діяльності. У зв’язку з цим при проведенні слідчих дій таких, як огляд (ст. 190 КПК України), обшук (ст. 178 КПК України), виїмка (ст. 179 КПК України), відтворення обстановки і обставин події (ст. 194 КПК України) за різними категоріями кримінальних справ, а перш за все при розслідуванні злочинів у сфері комп’ютерної інформації, можна виділити принципово новий об’єкт дослідження – засоби комп’ютерної техніки, а також об’єкт пошуку – інформацію, яка знаходиться в пам’яті комп’ютера чи на зовнішніх носіях – дисках, дискетах тощо. В наслідок чого, з метою отримання повної інформації, щодо вчиненого злочину, необхідне використання спеціальних знань.
Використання спеціальних знань і технічних засобів слідчим, прокурором-криміналістом і судом відрізняється від інших форм їх застосування своєю процесуальною і криміналістичною спрямованістю на збирання, фіксацію, дослідження і використання фактичних даних про обставини конкретного злочину і винність причетних до нього осіб, процесуальний порядок проведення слідчих (судових) дій. Слідчий (прокурор-криміналіст) застосовує свої професійні криміналістичні знання, прийоми, методи і засоби криміналістичної техніки з метою знаходження, фіксації і вилучення доказів. Умови їх застосування і отриманий результат фіксуються в протоколах слідчих дій, а також криміналістичними способами фіксації (у вигляді фотознімків, зліпків, схем, звуко- і відеозапису тощо), які разом з протоколом мають значення процесуального джерела відомостей про встановлені факти.
Форма використання спеціальних знань слідчим на досудовому слідстві має свої особливості. Від інших форм вона відрізняється чіткою пізнавальною спрямованістю на розкриття злочину і виявлення причетних до нього осіб, встановлення в повному обсязі відповідно до предмету доказування обставин справи (ст. ст. 23, 64 КПК України).
Досліджуючи певний злочин, слідчий, поряд зі своїми професійними знаннями, використовує всі інші види спеціальних знань в установленому законом порядку проведення слідчих дій, а також під час проведення особистих досліджень встановлених фактів разом з кримінально-процесуальним доказуванням.
Необхідність такого комплексного використання різних видів спеціальних знань обумовлено процесуальними функціями слідчого і вимогами закону про повне, всебічне і об'єктивне дослідження обставин справи і доказів, що їх встановлюють (ст. ст. 22, 67 КПК України).
За родом своєї професії і процесуальних функцій слідчий повинен володіти спеціальними знаннями, методами і науково-технічними засобами, що необхідні для встановлення обставин, що входять в предмет доказування по справі. В цих цілях він має право застосовувати спеціальні знання в межах своїх повноважень на протязі всього процесу розслідування. Використовуючи спеціальні знання, слідчий вивчає всі обставини розслідування злочину, збирає, перевіряє і оцінює фактичні дані, що їх встановлюють, визначає напрям і шляхи подальшого розслідування, приймає необхідні рішення з метою встановлення і притягнення винних до відповідальності, а також усунення причин і умов, що сприяли вчиненню злочину.
Як відомо, розслідування злочину - це пізнавальний процес сприйняття, накопичення, опрацювання і використання криміналістично значимої інформації. Це опосередковане пізнання, засноване на вивченні тих предметів, що містять інформацію про об'єкти і події минулого. Результатом розслідування виступає закінчена провадженням кримінальна справа, яка є упорядкованою моделлю розслідуваної події. Весь хід розслідування є процесом побудови цієї моделі. Отримана в ході окремих слідчих дій інформація оцінюється з погляду її доказового значення і займає в загальній моделі своє місце, добудовуючи її.
Проведення будь-якої слідчої дії потребує ретельної підготовки, що обумовлена особливостями комп'ютерних засобів. Огляд місця події, як відомо, включає: а) підготовку; б) робочу і в) заключну стадії, що мають свої цілі і завдання.
На підготовчій стадії огляду або обшуку важливо отримати інформацію про вид і конфігурацію ЕОМ; можливої організації локальної мережі або підключення комп’ютера до глобальної мережі (типу Інтернет) наявності служби інформаційної безпеки; захисту даних від несанкціонованого доступу, з метою попередження автоматичного знищення комп'ютерної інформації, яка може бути знищена під час відкриття кожуха комп'ютера, відкриття кімнати, де знаходиться комп'ютер, або при інших обставинах; стану системи електропостачання приміщень, де встановлена обчислювальна техніка, кваліфікації користувачів, а також взаємовідносин в колективі співробітників, що обслуговують техніку. На підготовчій стадії слід, скласти план проведення огляду.
Про високий ступінь захищеності комп'ютера може свідчити наявність спеціальної системи захисту інформації від несанкціонованого доступу чи сертифікованих засобів захисту; постійна охорона території і споруди, де розташована комп'ютерна система за допомогою технічних засобів і спеціального персоналу, використання суворого пропускного режиму, спеціальне обладнання приміщень, наявність служби захисту інформації, нормальне функціонування і контроль роботи.
Низький ступінь захисту визначається наявністю простого алгоритму обмеження доступу (дані захищені тільки паролем), одержання достовірних даних про його подолання при цьому нема потреби застосовувати спеціальні засоби доступу до даних.
Огляд місця події дає можливість слідчому встановити подію злочину, час і місце вторгнення в систему, спосіб вторгнення і порушення роботи системи. Характерною особливістю такого огляду є та обставина, що місце безпосередніх злочинних дій і місце, де можуть і матеріалізуватись його результати, можуть знаходитися на значній відстані (наприклад, в різних державах). Тому під час незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем та комп'ютерних мереж слідова картина включає:
а) сліди на магнітних носіях, які використовував злочинець;
б) сліди на "транзитних" магнітних носіях, через які безпосередньо злочинець встановлював зв'язок з інформаційними ресурсами;
в) сліди на магнітних носіях інформаційної системи, в яку здійснювався неправомірний доступ.
Крім огляду місця події зазначеного злочину (приміщень, де розташована комп'ютерна техніка, за допомогою якої було вчинено злочин), оглядається комп'ютерна техніка, яка стала знаряддям злочину, чи бази даних якої стали об'єктом злочину, а також її складові та документи.
Якщо огляд приміщення не представляє яких-небудь складнощів і не відрізняється за тактикою від огляду приміщень при розслідуванні інших видів злочинів, то огляд комп'ютерної техніки і її складових, та пошук доказової інформації, яка зберігається в електронному вигляді, потребує спеціальної підготовки осіб, що його здійснюють, дотримання певних правил поводження з електронно-обчислювальною технікою.
Тому, до розслідування злочину і, зокрема, до огляду місця події, обшуку, виїмки чи відтворення обстановки і обставин події, з метою досягнення найбільш ефективних результатів до участі в слідчих діях відповідно ст.128-1 КПК України, необхідно залучити осіб, що володіють необхідними спеціальними знаннями та навичками – спеціаліста в галузі інформатики і обчислювальної техніки, а також бажано залучити спеціаліста-криміналіста, тому що на пристроях комп’ютера можуть бути сліди рук, металооброблюючих інструментів, елементів ручного паяння на внутрішніх елементах комп’ютерних пристроїв. Необхідно також залучати спеціалістів з комп'ютерної безпеки та мережевих технологій (якщо при вчиненні злочину використовувались локальні комп'ютерні мережі чи Інтернет). В якості понятих слід залучати осіб, які добре розуміються на роботі відповідної обчислювальної техніки [4, 38].
У системах, де критичним фактором є збереження інформації, використовуються системи безперебійного живлення, а також резервні файлові сервери, на яких містяться копії усіх файлів (копіювання здійснюється системою автоматично через задані проміжки часу). Останнє може стати у нагоді, оскільки зловмисники не завжди спроможні знищити копію системної інформації на допоміжних серверах. З міркувань безпеки вона шифрується та ховається у недоступні користувачам розділи, а отже залишається можливість встановити спосіб подолання захисту та одержання додаткової інформації, яка допоможе встановити особу правопорушника.
Тактика розшуку комп’ютерної інформації вибирається, виходячи з судження захищеності даних, стану функціонування комп’ютера і його периферійного обладнання на момент проведення слідчої дії. Необхідно визначити, чи з’єднані засоби комп’ютерної техніки, що знаходяться на об’єкті, де проводиться слідча дія, у локальну обчислювальну мережу і чи є управляючий комп’ютер – сервер. Серверу необхідно приділити особливу увагу, тому що там знаходиться більший об’єм інформації. Хоча і на рядовому комп’ютері мережі також може знаходитись власна інформація.
Необхідно знати, що при стиранні інформації з магнітних носіїв вона насправді не стирається фізично, а лише змінюється її статус. Вона стає "невидимкою" і зберігається, поки на це ж місце не буде записано нову інформацію. Тому залишається можливість її відновити за допомогою спеціальних утиліт повністю, а коли на її місце вже було записано нову інформацію, - частково.
Під час проведення огляду, обшуку, виїмки та відтворення обстановки і обставин події, перш за все, необхідно ізолювати приміщення, видалити осіб, які не мають відношення до проведення огляду та запобігти можливості несанкціонованого доступу до комп'ютера чи комп'ютерів як з боку присутніх осіб, так і через мережу, до якої підключено комп'ютер. Для цього слід від'єднати мережеві кабелі на задній панелі системного блоку, а якщо доступ до мережі здійснюється по комутованій телефонній лінії - відключити живлення модему, а у випадку, коли модем вмонтовано у комп'ютер - від'єднати телефонний кабель від розетки, необхідно забезпечити безперебійне живлення досліджуваної техніки.
Необхідно припинити виконання усіх програм, які працюють на момент огляду, попередньо занотувавши усі системні повідомлення про статус програми на момент зупинення. Активні документи необхідно зберегти у файлах з новими назвами, залишивши початкові їх версії без змін. Доцільно зробити фотографування екрана монітору у відповідності з правилами вчинення криміналістичної фотографії, якщо є можливість – провести відеозапис.
Проведення з комп'ютером маніпуляцій по відшуканню доказової інформації слід доручити спеціалісту, якщо слідчий сам не володіє необхідними знаннями та навичками роботи. В будь-якому разі в протоколі зазначається, які дії вчинено, їх послідовність і які наслідки вони мали, яке програмне забезпечення використовувалось для відшукання інформації. Понятим роз'яснюється мета і зміст кожної дії.
Більшість текстових та фінансових програм зберігають список документів останніх сеансів роботи та можуть їх миттєво викликати, якщо вони не стерті чи не переміщені до іншого місця. На диску комп’ютера користувач зазвичай зберігає документи в каталогах із стандартними назвами: МОЇ ДОКУМЕНТИ, ДОКУМЕНТИ, DOCS, АРХІВ тощо. Файли документів мають у назві характерне уточнення (“розширення”), тобто частина назви, що стоїть після крапки: *.doc, *.txt тощо. Всі комп’ютерні файли зберігають дату останньої зміни, а після деяких програм – і дату запису файла.
Популярний програмний пакет Microsoft Office після встановлення на комп’ютері веде негласний файл-протокол, до якого заносить дату та час всіх включень комп’ютера. Програми зв’язку та роботи з мережею запам’ятовують адреси багатьох інтернет-контактів користувача, документи електронної почти з адресами відправника [3,15].
Результати пошуку зберігаються в електронному вигляді на змінному магнітному носії та при можливості виводяться на друк і оформлюються як додаток до протоколу.
Не потрібно обмежуватись пошуком інформації лише в комп'ютері, потрібно уважно оглянути наявну документацію аж до клаптиків паперу, оскільки програмісти часто не покладаючись на свою пам'ять залишають записи про паролі, зміни конфігурації системи, особливостях побудови інформаційної бази комп'ютера. Багато хто з користувачів тримає записи файлів на дискетах, щоб уникнути їх втрати при виході з ладу комп'ютера. Ось чому будь-які виявлені носії інформації повинні бути вилучені і вивчені.
У окремих випадках при проведенні зазначених слідчих дій необхідно шукати тайники, де можуть зберігатися змінні комп’ютерні носії інформації; за допомогою спеціаліста відкривати корпуси апаратних засобів комп’ютерної техніки, щоб виявити спеціально відключені внутрішні носії інформації, наприклад, додатковий жесткий диск.
Аби запобігти випадковим чи умисним змінам інформації в комп'ютері, а також, коли участь спеціалістів неможлива, доцільно провести його вилучення. При цьому в протоколі зазначається, яка техніка і в якій кількості вилучається.
При огляді та вилученні комп'ютерної техніки необхідно дотримуватися елементарних правил поводження з комп'ютерами, що допоможе уникнути збоїв на апаратному та програмному рівнях:
- обладнання не повинно піддаватися вібраціям та ударам;
- не від'єднувати та не під'єднувати периферійні пристрої підчас роботи комп'ютера (виняток становлять пристрої, які під'єднуються до послідовних портів СОМ1/СОМ2: миша. модем);
- виймати і встановлювати плати розширення в комп'ютер можна, лише вимкнувши його;
- магнітні носії інформації оберігати від впливу електромагнітного випромінювання, надмірно високих та низьких температур, рідин, механічного впливу;
- вимикати комп'ютер лише з додержанням процедури вимкнення. Недотримання цього правила може призвести як до помилок в роботі програмного забезпечення, так і до часткової чи повної втрати інформації на магнітних носіях та до виводу з ладу програмного забезпечення.
Недопустимо просто зазначати, що вилучається комп'ютер. Якщо комп'ютер опечатаний виробником, необхідно зазначити його серійний номер та вилучити також документацію на нього. У випадку, коли серійний номер відсутній чи пломба виробника пошкоджена, слід встановити апаратну конфігурацію комп'ютера:
- тип і модель центрального процесора (інформація видається при запуску підчас попереднього тестування апаратних засобів);
- обсяг оперативної пам'яті – видається в наступному рядку після інформації про тип центрального процесора;
- інформацію про тип і модель накопичувачів на магнітних дисках (видається при запуску комп'ютера після тесту пам’яті, або встановлюється по етикетках на пристроях.
Після цього необхідно помітити маркерами всі роз’єми та кабелі на задній панелі системного блоку (це допоможе реконструювати підключення пристроїв у майбутньому).
При огляді апаратного забезпечення звертають увагу на тип і модель мікросхем на платах комп'ютера та назви на самих платах, а також серійні номери і модель накопичувачів.
При огляді плат комп’ютера не можна торкатися металевими предметами та руками до контактів і мікросхем. Останні дуже чутливі до статичної електрики і можуть вийти з ладу. Тому перед оглядом електронних вузлів комп’ютера необхідно зняти з себе статичний заряд, потримавшись за трубу центрального опалення чи водогону.
Разом з комп’ютером вилучаються і оглядаються магнітні носії інформації (дискети, касети до стримерів, знімні "вінчестери", на яких може зберігатися інформація, що дозволить реконструювати стан системи до несанкціонованого втручання в її роботу і, відповідно встановити спосіб і наслідки такого втручання).
Вилучаючи комп’ютерну техніку, з'ясовують у відповідальних осіб чи адміністратора мережі паролі та коди доступу до ресурсів комп’ютера.
Магнітні носії нумеруються попередньо підписаними наклейками для дискет та упаковуються в пакети, які опечатуються. Вони зберігаються і перевозяться в спеціальних контейнерах або в стандартних дискетних або інших алюмінієвих футлярах заводського виготовлення, що виключають руйнуючу дію різних електромагнітних полів і наводок непрямого випромінювання, у тому числі в результаті дії металодетекторів, що використовуються для перевірки багажу в аеропортах. Не слід ставити комп'ютери один на один, розміщати на них інші предмети. Зберігати комп'ютери слід у сухому, теплому приміщенні, де немає тарганів, павуків, мурашок, гризунів, які можуть викликати несправність апаратури та пошкодження носіїв інформації [2, 193].
В літературі зустрічаються рекомендації вилучати всі засоби комп’ютерної техніки, виявлені при проведенні огляду, обшуку, відтворенні обстановки і обставин подій. Але погодитись з цією думкою повністю неможливо.
Значну долю даних на комп’ютері займають програми, а документи складають тільки частину. Окрім технічних складностей існують ще й економічні: в разі виходу з ладу ЕОМ банк може “протриматися” не більше двох днів, оптова фірма – 3-5, страхова компанія – 5-6 днів. В зв’язку з цим можливі претензії з боку потерпілої організації [3, 14].
Своєчасне вилучення комп’ютерної інформації та комп'ютерних засобів і правильне їх вилучення сприяють ефективності послідуючої комп'ютерно-технічної експертизи, яка призначається з метою отримання інформації, що зберігається на магнітних носіях, і встановлення таким чином слідів злочинної діяльності.
В основі цієї експертизи лежать спеціальні знання в галузі інформатики і обчислювальної техніки (комп’ютерних технологій і програмного забезпечення).
Предметом комп’ютерно-технічної експертизи є закономірності формування і дослідження комп’ютерних систем і руху комп’ютерної інформації дослідження фактів і обставин, пов’язаних з проявленням цих закономірностей за завданням слідчих і судових органів.
Комп’ютерно-технічна експертиза вирішує як ідентифікаційні, так і діагностичні (не ідентифікаційні) питання. Залежності від мети дослідження в рамках комп’ютерно-технічної експертизи виділяють: технічну експертизу комп’ютерів та їх комплектуючих і експертизу програмного забезпечення. Перше вивчає конструктивні особливості і стан комп’ютера його периферійні обладнання, магнітні носії інформації тощо, комп’ютерну мережу, а також причини виникнення відхилень в роботі вказаного обладнання.
Експертиза програмного забезпечення призначається з метою вивчення інформації, що зберігається в комп’ютері, на магнітних носіях.
По даним справам можуть призначатися експертизи інших класів і видів: трасологічні – для дослідження слідів зламу, дактилоскопічні – слідів рук на зовнішній у внутрішніх поверхнях комп’ютерів і їх комплектуючих; судово-економічні: фінансово-економічні, бухгалтерські, економіко-статистичні тощо, коли злочин в сфері руху комп’ютерної інформації пов’язаний з злочинами в кредитно-фінансовий сфері; техніко-криміналістична експертиза документів, коли комп’ютер використовується як засіб для виготовлення підроблених документів, фальшивих грошей тощо; фоноскопічні, коли на дискетах є записи мови людини, яку потрібно ототожнити з підозрюваними, що стосується вчиненого злочину.
Список використаної літератури:
1. Кримінально-процесуальний кодекс України. – К: Атіка, 2001. – 208 с.
2. Біленчук П.Д., Романюк Б.В., Цимбалюк В.С. Комп’ютерна злочинність. Навчальний посібник. – К.: Атіка, 2002. – 240 с.
3. Комиссаров В., Гаврилов М., Иванов А. Обыск с извлечением компьютерной информации. // Законность. 1999, № 3, с.12-15.
4. Селиванов Н.А. Проблемы борьбы с компьютерной преступностью. //Законность. 1993, № 8, с.36-40.
