Компьютерная преступность: методологические вопросы расследования

Дата: 15.04.2005
Источник: www.crime-research.ru
Автор: Владимир Голубев


... преступления и характеризуют отдельное преступное деяние с криминалистических позиций, но и выступают в качестве критериев как уголовно-правового так и криминалистического плана, что позволяет выдвигать и проверять версию о существовании очага преступлений, то есть объединять на базе схожести выявленную совокупность преступлений в одно целое, очаг, поскольку возникает предположение о том, что источником их появления являются одни и те же люди.

С процессуальной точки зрения данное обстоятельство может найти свое отражение в объединении уголовных дел, материалов проверок сообщений и заявлений о схожих преступлениях в одно производство.

Классификацию сигнификативных признаков компьютерных преступлений целесообразно проводить на базе изучения криминалистической характеристики данного вида преступлений, в связи с чем она должна иметь следующий вид:

- признаки, указывающие на применение схожих или одинаковых способов совершения или сокрытия преступлений. Главным источником информации о них являются однотипные следы;

- признаки, указывающие на однотипность обстановки совершения преступлений;

- похожие признаки, относящиеся к характеристике объектов и предметов преступного посягательства;

- аналогичные признаки, относящиеся к личности потерпевших;

- похожие признаки, относящиеся к личности преступника (профессионализм)[4].

В практике Одесского Научно-исследовательского института судебных экспертиз имеется не один случай проведения экспертизы по факту угрозы террористического акта с использованием сети Интернет, когда с отдельного персонального компьютера или рабочей станции локальной сети (например, компьютерного клуба) были переданы сообщения угрожающего характера.

Следственными органами перед экспертами ставился вопрос, имел ли место выход персонального компьютера в Интернет в определенное время на конкретный почтовый сайт.

Основными трудностями при проведении подобных исследований является то, что, во-первых, как правило. Происходят включения компьютера до представления его на исследование.

Рассмотрим один из аспектов проведения исследования на базе операционной системы Windows'98 и браузера Microsoft Internet Explorer 5.0.,предназначенного для выхода персонального компьютера в Internet.

Браузер Microsoft Internet Explorer сохраняет информацию об обращении к Web-страницам в Журнале – специальном средстве для хранения хронологической последовательности работы в Интерненте. При этом срок хранения (в днях) определяется в процессе настройки браузера (Пуск-Панель управления-Свойства обозревателя-Общие-Журнал). В системном реестре это значение приобретает параметр DaysToKeep, находящийся в ветке HKEY_CURRENT_USER (в исследуемом случае значение параметра – двадцать дней).

В процессе работы Microsoft Internet Explorer на жестком диске в каталоге создаются подкаталоги (папки), имена которых формируются из начальной и конечной даты срока хранения. В каждой из папок создаются файлы index.dat со структурированными данными, содержащими ссылки на электронные адреса страниц Интернет, дату обращения к ним и имя компьютера (имя профиля), с которого осуществлялось обращение.

Так, к концу текущей недели будут сформированы папки, соответствующие каждому дню недели, а данные за предыдущий период обобщаются в папки за неделю, если срок хранения ссылок на Web-страницы превышает семь дней.

Ведение Журнала браузером Microsoft Internet Explorer осуществляется таким образом, что папки с датами, превышающими срок хранения, удаляются, а вместо них создаются папки, соответствующие новому временному периоду. При восстановлении (если оно еще возможно) удаленных данных соответствие между файлами не восстанавливается и, следовательно, естественный вид Журнала за соответствующий временной период также не восстанавливается. Информацию об обращении к узлам Интернет можно исследовать лишь при рассмотрении двоичного кода данных файлов.

Таким образом, при включении компьютера после изъятия интересующая следствие информация может быть утеряна и восстановить ее не представится возможным. По нашему мнению, во избежание указанной ситуации при изъятии компьютерной техники, а также в доследственных действиях с ее применением должны обязательно принимать участие специалисты судебно-экспертных учреждений.

К основным задачам технической экспертизы по такого рода делам относится установление технических характеристик средств компьютерной техники, их качества, характера и причин имеющихся дефектов; вхождения конкретной системы в определенную компьютерную сеть; технических возможностей для злоупотребления в компьютерных системах и фактов таких злоупотреблений; фактов нарушения правил эксплуатации компьютерного оборудования, способствующих им обстоятельств и негативных последствий нарушений; должностных лиц, обязанных обеспечивать информационную безопасность; реально осуществляемых и необходимых мер по предотвращению неправильного функционирования средств компьютерной техники, различных злоупотреблений, связанных с их применением.

Объектами исследования при производстве рассматриваемой экспертизы могут быть:

-компьютеры;

- их отдельные части;

- магнитные носители соответствующей информации;

- компьютерные программы;

- схемы создания информационных массивов;

- документы отражающие работу автоматизированных информационных систем, в том числе первичные и выходные.

Эксперту также могут понадобиться материалы следственного производства по соответствующему уголовному делу, в частности, протокол осмотра места происшествия, показания лиц, имевших отношение к эксплуатации компьютерного оборудования. Интерес могут представлять также материалы ведомственного расследования.

В зависимости от характера подлежащих решению вопросов в качестве экспертов могут привлекаться конструкторы компьютерного оборудования, специалисты по его эксплуатации, защите информации от преступных посягательств, программисты.

Сведущих лиц нужного профиля следует выявлять среди сотрудников научно-исследовательских институтов и конструкторских бюро, конструирующих компьютерное оборудование, на предприятиях по производству или сервисному обслуживанию компьютерных систем, в учебных заведениях, подготавливающих соответствующих специалистов, территориальных центрах, определяющих политику в области информатизации и связи.

Стоит признать необходимым внесение дополнений в действующее Положение о порядке назначения и проведения судебных экспертиз в Украине, утвержденное Министерством юстиции 08.10.1998 года, касающихся назначения и проведения таких исследований по преступлениям в сфере информационных технологий, в частности, правильно, единообразно определить название самой экспертизы, круг лиц, участвующих в производстве диагностической и идентификационной экспертизы, случаи необходимости назначения и проведения повторной и дополнительной экспертизы, вопросы, подлежащие разрешению.

При установлении состояния и функционирования компьютерной техники на разрешение специалистам ставятся вопросы:

- соответствует ли данный компьютер проектной документации ( при анализе поставок), и если нет, в чем это несоответствие выражается?

- исправен ли данный компьютер, и если нет, какие дефекты имеет и по каким причинам они возникли?

- как обеспечивается и надежна ли система защиты информации от несанкционированного доступа, применяемая в данной компьютерной системе?

- включен ли данный компьютер в компьютерную сеть, и если да, в какую именно?

- соответствуют ли разработка и сдача в эксплуатацию данной системы ГОСТу?

Украина, где был создан первый в континентальной Европе компьютер, по показателям компьютеризации уступает России в 15-30 раз. Мировое распределение главных серверов по категориям пользователей показывает, что коммерческие организации, провайдеры услуг и учреждения науки и образования владеют более чем 90% этих систем по сравнению с любыми иными категориями. Среди географических доменов высшего уровня количество индивидуальных пользователей Интернета и количество главных серверов наибольшее в США, Японии ,Великобритании, Германии[5].

В Украине в 2001 году начато построение Национальной научно- образовательной информационной сети Украины. Она должна иметь значительное интеллектуальное наполнение, содержать базы данных и знаний по разным направлениям науки и образования, электронные библиотеки, системы поиска информации, обеспечивать общее отдаленное использование мощных вычислительных ресурсов, работу в режиме виртуальных научных и образовательных лабораторий, осуществлять мультисервисную обработку информации (графическую, видео- и аудиоинформацию).

Естественно, что отдельно взятые ресурсы этой сети, названной URAN, не содержат информацию, которая может представлять государственную тайну. Но ресурсы пользователей сети могут сохранять разнообразную информацию, в том числе и с ограниченным доступом. Поэтому несанкционированный доступ к обобщенной информации по всей сети или по ее характерному сегменту нежелателен. Именно поэтому организация научно-образовательной сети как национальной (установление прямых каналов связи между узлами сети, применение соответствующего специализированного программного обеспечения и технических средств) является необходимым условием предотвращения возможного несанкционированного доступа к информации. В целом в процессе создания системы национальной безопасности в информационном пространстве государства сети, подобные URAN, должны рассматриваться как сегменты этой системы.

В случае необходимости установления фактов злоупотребления в компьютерной системе возможно на...

Добавить комментарий

Всего 0 комментариев