Особенности выявления доказательственной информации при расследовании преступлений в сфере компьютерных технологий
Дата: 10.04.2004Источник: www.crime-research.ru
Автор: А.В.Горбачев, Донецкий институт внутренних дел МВД Украины
Оценивая сложившуюся научно-техническую ситуацию в мире, можно утверждать, что человечество вступило в эпоху информационного общества. В последние годы информация, становясь одним из определяющих факторов развития современного общества, приобретает все большее значение.
Процессы создания, накопления, хранения, передачи, обработки информации стимулировали быстрый прогресс в области информационных технологий. С их помощью информация приобретает более привычную для нас форму – материальную. Можно сказать, что информационные технологии - это совокупность взаимосвязанных высокотехнологических устройств, приемов и способов, которые позволяют использовать информацию в объеме, необходимом для полноценного развития как общества в целом, так и для развития его отдельных составляющих, с наиболее рациональным использованием имеющихся средств и времени.
Основным инструментом управления электронной информацией и ее обработки является компьютерная техника. Сегодня компьютер становится необходимостью не только крупных предприятий и организаций, но и отдельных людей. Подключаясь к компьютерным сетям, в настоящее время можно получить доступ к большому количеству информационных ресурсов.
Закономерно, что при расширении сферы использования информационных технологий и различных технологических процессов возрастает и количество правонарушений, связанных с компьютерными технологиями. Использование достижений науки и техники при совершении преступлений всегда создавало немало проблем правоохранительным органам в раскрытии преступлений.
Расследование «киберпреступлений» требует не только особой тактики производства следственных действий и организационных мероприятий, но и, прежде всего, наличия специальных знаний в области компьютерной техники и программного обеспечения. Поэтому недостаточным является знание работниками правоохранительных органов только уголовного и уголовно-процессуального законодательства, общих правил сбора доказательств.
Одним из главных условий успешного расследования киберпреступлений является оперативность проведения неотложных следственных действий [1]. Однако оперативное привлечение следователями специалистов к проведению следственных действий не всегда является возможным. В связи с этим особую значимость приобретают знания следователей в области компьютерных технологий. А отсутствие у следователя таких знаний влечет промедление в сборе доказательственной информации, и как результат - во многих случаях правонарушители остаются безнаказанными.
Существующая статистика выявленных киберпреступлений подтверждает, что получение и оценка доказательств по делам о преступлениях в сфере компьютерной информации (компьютерных преступлений) - одна из трудно решаемых на практике задач. Основным видом таких доказательств являются так называемые "электронные доказательства".
«Электронные доказательства» - совокупность информации, которая хранится в электронном виде на любых типах электронных носителей и в электронных устройствах. Их особенность заключается в том, что они могут быть должным образом интерпретированы и проанализированы только с помощью специальных технических устройств и программного обеспечения [2].
Существует два вида следовой информации: идеальные следы и материальные следы. Материальные следы, в свою очередь, можно разделить на механические и логические. Механические следы возникают вследствие механического воздействия на объект и могут быть зафиксированными общими траcологическими методами. Логические следы – следы, возникающие вследствие взаимодействия на электронном уровне электромагнитных сигналов, с помощью которых осуществляется запись, изменение или удаление информации. При этом внешнего изменения носителей этой информации не происходит, за исключением определенного логического упорядочивания электромагнитной структуры носителя.
Особые сложности при производстве следственных действий по делам рассматриваемой категории характерны для распределенных компьютерных систем обработки информации. В этом случае место совершения преступления часто не совпадает с местом происшествия и наступления преступного результата, и как следствие – трудности при сборе доказательственной информации из-за отсутствия непосредственного контакта с исследуемым объектом.
Логические следы могут находиться на локальной машине и на удаленном терминале (хосте). Под локальной машиной понимается обособленная единица электронно-вычислительной техники, комплектующие которой, находятся на незначительном расстоянии друг от друга (до 5–10 метров). Удаленный терминал – электронно-вычислительная техника, находящаяся на значительном расстоянии от исследуемого объекта и соединенная с ним посредствам существующих средств связи (телефонных линий связи, сетевого кабеля, радиосвязи и других). Например, при соединении компьютеров в локальную сеть организации для каждого отдельно взятого компьютера остальные являются удаленными хостами (терминалами).
Рассмотрим более детально вопрос о возможном местонахождении на локальном компьютере информации, которая может иметь доказательственное значение.
Носителями информации, входящими в состав локальной машины, являются:
1. Магнитные носители – устройства долговременного хранения данных в электронном виде. К ним относятся: накопитель на жестких магнитных дисках («жесткий» диск, винчестер), компактные диски (CD ROM), гибкие диски (floppy диск, дискета), магнитные ленты и другие носители. Особый интерес в данной группе представляет винчестер, так как это устройство может вмещать в себя самое большое количество информации и на нем находится почти все программное обеспечение компьютера [3].
2. Встроенные компьютерные чипы энергозависимой памяти – устройства, которые могут содержать информацию только при включенном компьютере. К таковым относятся оперативное запоминающее устройство, чипы памяти на видео-адаптере, аудио плате и т.п. Особенностью таких носителей является то, что, сразу после отключения от них питания, содержащаяся на них информация уничтожается или хранится на протяжении очень непродолжительного отрезка времени.
3. Чипы памяти внешних периферийных устройств. Современные принтеры и другие устройства обладают встроенной оперативной памятью, которая предназначена только для выполнения определенных задач данного устройства и не влияет на работоспособность системы в целом.
При исследовании компьютерного терминала получить информацию с вышеописанных энергозависимых носителей можно только с помощью специальных технических и программных средств и только при определенных условиях (если терминал включен), поэтому они представляют интерес лишь в некоторых случаях.
Как правило, наибольший интерес при осмотре компьютерного терминала представляют магнитные носители, а точнее - программное обеспечение и информация, которые на них находятся. Необходимо отметить, что все действия с информацией на носителе необходимо производить, по возможности с его полной копией (а не с оригиналом), т.к. на нем могут находиться программы, которые автоматически, без команд, производят различные действия с информацией.
Прежде всего, следует определить количество и тип установленных операционных систем (ОС). Если установлены системы семейства Microsoft Windows , то необходимо установить серийный номер каждой и имена зарегистрировавших их лиц. Это можно сделать двумя способами:
1. С помощью специализированных программ. При их использовании необходимо зафиксировать полученные данные, сохранив их в отдельный файл.
2. Используя данные реестра. Реестр - база данных операционной системы, содержащая конфигурационные сведения. Физически вся информация реестра разбита на несколько файлов. Реестры Windows 9x и NT, XP частично различаются. В Windows 95/98 реестр содержится в двух файлах SYSTEM.DAT и USER.DAT, находящихся в каталоге Windows. В Windows Me был добавлен еще один файл CLASSES.DAT. Основным средством для просмотра и редактирования записей реестра служит специализированная утилита "Редактор реестра". Для ее запуска необходимо набрать в запуске программы (Пуск->Выполнить) команду regedit или запустить файл regedit.exe из каталога Windows. В появившемся окне редактора найти и зафиксировать необходимую информацию в ветви реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows(Windows NT)\ CurrentVersion, в которой значение строкового параметра ProductKey (ProductID) серийный номер ОС, RegisteredOrganization, RegisteredOwner – данные лица и организации, зарегистрировавших данную копию ОС, PathName – рабочий каталог Windows и т.п.
Все зафиксированные данные [4] об ОС могут способствовать установлению таких фактов как правомерность использования исследуемых ОС, причинная связь между установкой ОС и субъектом, который ее произвел и т.п.
После окончания исследования данных ОС, необходимо определить и зафиксировать все программные настройки аппаратных средств. Так, например, каждая сетевая плата имеет «вшитый» производителем MAC – адрес (уникальный числовой номер, состоящий из набора символов, характерных только для данной платы). Многие аппаратные устройства имеют свой уникальный идентификатор, фиксация которого необходима для установления его подлинности при дальнейшем использовании. При осмотре терминала необходимо зафиксировать все индивидуальные сведения и настройки аппаратных средств, входящих в состав ЭВМ.
Следующим этапом исследования компьютера является исследование всего вспомогательного программного обеспечения (ПО), находящегося на имеющихся магнитных носителях [5]. Существует несколько способов отыскания имеющегося ПО.
Одним из них является использование раздела панели управления Windows «Установка и удаление программ». В нем...
| Добавить комментарий |
| Всего 0 комментариев |
