Главная страница Случайная страница
Разделы сайта
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
компьютерных преступлений
|
|
Особенностями расследования преступлений в области компьютерной информации являются:
· широкое использование при проведении следственных и оперативно-розыскных действий лиц, сведущих в области применения информационных технологий;
· специфические приемы работы (осмотры, изъятие, хранение и т.п.) с машинными носителями в ходе производства следственных действий;
· особенности выдвижения и проверки следственных версий.
На данном этапе развития средств компьютерных и информационных технологий вопрос о поиске и привлечении специалистов для оказания помощи следователю является крайне актуальным. Понятно, что при таком интенсивном развитии указанных технологий юрист-следователь не в состоянии отслеживать все технологические изменения в данной области. Специалисты крайне необходимы для участия в большинстве важнейших следственных действий — при обысках, осмотрах и выемках, а также при допросах.
Следует отметить, что информационные технологии достаточно разнообразны и выбор специалиста для решения конкретных задач весьма сложен. При решении в ходе следственных действий задач изъятия технических средств может быть полезен специалист, знающий элементы и устройства вычислительной техники и систем управления, знакомый с вопросами функционирования автоматизированных систем управления.
Для установления фактов проникновения извне в информационные системы специалист должен обладать дополнительно знаниями в области математического обеспечения вычислительных систем и организации вычислительных процессов, а также знать основы методов защиты информации и информационной безопасности. Приисследовании систем ЭВМи их сетей специалист должен иметь специализацию в области математического и программного обеспечения вычислительных комплексов, систем и сетей, а также желательны познания в области сетей, узлов связи и распределения информации.
Поиск таких специалистов следует проводить заблаговременно на предприятиях и в учреждениях, осуществляющих обслуживание и эксплуатацию компьютерной и коммуникационной техники, в учебных и научно-исследовательских организациях. В крайнем случае могут быть привлечены сотрудники организации, компьютеры которой подверглись вторжению.
Общие правила обращения с вычислительной техникой и носителями информации:
· все включения (выключения) компьютеров и других технических средств производятся только специалистом или под его руководством;
· применение средств криминалистической техники — магнитных искателей, ультрафиолетового осветителя, инфракрасного преобразователя, во избежание разрушения носителей информации и микросхем памяти ЭВМ, должно быть согласовано со специалистом;
· необходимо исключить попадание мелких частиц и порошков на рабочие части компьютеров (разъемы, дисковод, вентилятор и др.);
· при работе с магнитными носителями информации запрещается прикасаться руками к рабочей поверхности дисков, подвергать их электромагнитному воздействию, сгибать диски, хранить без специальных конвертов (пакетов, коробок);
· диапазон допустимых температур при хранении и транспортировании должен варьироваться в температурных пределах от 0° до + 50° С;
· со всеми непонятными вопросами, затрагивающими терминологию, устройство и функционирование вычислительной техники необходимо обращаться только к специалисту.
Для следственных действий, сопряженных с изъятием ЭВМ, машинных носителей и информации, характерен ряд общих проблем, связанных со спецификой изымаемых технических средств.
Так, необходимо предвидеть меры безопасности, предпринимаемые преступниками с целью уничтожения вещественных доказательств. Ими может, например, использоваться специальное оборудование, в критических случаях создающее сильное магнитное поле, стирающее магнитные записи.
Преступник имеет возможность включить в состав программного обеспечения своей машины программу, которая заставит компьютер требовать пароль периодически и, если несколько секунд правильный пароль не введен, данные в компьютере автоматически уничтожатся. Изобретательные владельцы компьютеров устанавливают иногда скрытые команды DOS, удаляющие или архивирующие с паролями важные данные, если некоторые процедуры запуска машины не сопровождаются специальными действиями, известными только им.
Вещественные доказательства в виде ЭВМ, машинных носителей требуют особой аккуратности при транспортировании и хранении. Им противопоказаны резкие броски, удары, повышенные температуры, влажность, задымленность (в том числе табачный дым) и запыленность. Все эти внешние факторы могут повлечь потерю данных, информации и свойств аппаратуры.
В протоколах следственных действий следует детально фиксировать не только факт обнаружения и (или) изъятия того или иного объекта, но и описывать местонахождение этого объекта во взаимосвязи с другими найденными на месте объектами.
При невозможности изъятия носителей информации, требуется принять меры к исключению доступа к ним заинтересованных лиц. Идеальным средством обеспечения сохранности вычислительной техники является исключение доступа в помещение, в котором она установлена, с одновременным отключением источников электропитания. Если последнее не представляется возможным (компьютер является сервером или рабочей станцией в сети), с помощью специалиста создаются условия только для приема информации. В этом случае опечатываются все необходимые узлы, детали, части и механизмы компьютерной системы. Компьютеры и их комплектующие опечатываются путем наклеивания на разъемы листа бумаги и закрепления его краев на боковых стенках компьютера клеем или клейкой лентой, чтобы исключить возможность работы с ними в отсутствие владельца или эксперта.
Магнитные носители упаковываются, хранятся и перевозятся в специальных экранированных контейнерах или стандартных дискетных или иных алюминиевых футлярах, исключающих разрушающее воздействие ударов, различных электромагнитных и магнитных полей и наводок, направленных излучений. Пояснительные надписи могут наноситься только на специальные самоклеящиеся этикетки для дискет, причем сна- чала делается соответствующая надпись, а потом этикетка наклеивается на предназначенный для этого участок на дискете. Если на дискете уже имеется этикетка с какой-либо надписью, проставляется только порядковый номер, а пояснительные надписи под этим номером делаются на отдельном листе, который вкладывается в коробку.
Недопустимо приклеивать что-либо непосредственно к магнитным носителям, пропускать через них бечеву, пробивать отверстия, наносить подписи, пометки, печати, прикасаться пальцами или любым предметом к рабочей поверхности носителей, разбирать корпуса лент, винчестеров, дискет, сгибать носители, изменять состояние переключателей, подносить близко к источникам электромагнитного излучения, сильным осветительным и нагревательным приборам, подвергать воздействию воды и влаги.
Транспортирование и хранение компьютерной техники и информации должны осуществляться в условиях, исключающих ее повреждение, в том числе в результате воздействия металлодетекторов, используемых для проверки багажа в аэропортах. Хранят компьютеры и их комплектующие в сухом, отапливаемом помещении. Следует удостовериться, что в нем нет грызунов, которые часто являются причиной неисправности аппаратуры.
Учитывая нестандартность обстановки, в которой может производиться осмотр места происшествия, вопрос о возможности изъятия компьютерной техники и информации, способе упаковывания, транспортирования и хранения изъятых объектов решается в каждом конкретном случае совместно со специалистом. Процессуальный порядок изъятия объектов определяется общими требованиями Уголовно-процессуального кодекса. В качестве понятых при производстве следственных действий рекомендуется привлекать лиц, обладающих специальными познаниями в области компьютерной техники и информатики.
При расследовании компьютерных преступлений важную роль играют особенности выдвижения и проверки следственных версий. Анализ отечественного и зарубежного опыта показывает, что можно выделить три типичные следственные ситуации:
1. Собственник информационной системы собственными силами выявил нарушения целостности конфиденциальности информации в системе, обнаружил виновное лицо и заявил об этом в правоохранительные органы.
2. Собственник самостоятельно выявил указанные нарушения в системе, однако не смог обнаружить виновное лицо и заявил об этом в правоохранительные органы.
3. Данные о нарушении целостности конфиденциальности информации в информационной системе и виновном лице стали общеизвестны или непосредственно обнаружены органом дознания (например, в ходе проведения оперативно-розыскных мероприятий по другому делу).
При наличии заподозренного виновного лица первоначальная задача следствия заключается в сборе с помощью собственника информационной системы и процессуальной фиксации доказательств:
а) нарушения целостности конфиденциальности информации в системе;
б) размера ущерба, причиненного нарушением целостности конфиденциальности информации;
в) причинной связи между действиями, образующими способ нарушения, и наступившими последствиями путем детализации способа нарушения целостности конфиденциальности информации в системе и характера совершенных виновным действий;
г) отношения виновного лица к совершенным действиям и наступившим последствиям.
При отсутствии заподозренного виновного лица первоначальная задача следствия заключается в сборе с помощью собственника информационной системы и процессуальной фиксации указанных выше доказательств, за исключением указанных в п.г.
Следует принять меры к розыску виновного и поиску его рабочего места, откуда осуществлялось вторжение в информационную систему.
Осуществляется поиск:
· места входа в данную информационную систему и способа входа в систему — вместе и с помощью должностных лиц (собственника информационной системы);
· путей следования, через которые вошел в «атакованную» систему злоумышленник и (или) проникли его программы, до рабочего места злоумышленника — вместе и с помощью должностных лиц (собственника информационной системы), а также иных информационных и коммуникационных систем.
При выдвижении версий совершения преступлений в сфере компьютерной информации необходимо учитывать, что они совершаются обычно группой из двух и более человек, хотя не исключена возможность работы преступника-одиночки. В таком случае он сам или, если действует группа, один из ее членов либо является сотрудником данного учреждения, либо имеет свободный доступ к компьютерам (представитель службы технической или программной поддержки, программист, работающий по контракту и т.д.), умеет работать с вычислительной техникой, хорошо представляет, какая информация и где расположена в компьютере. Интерес обычно представляет информация, содержащая государственную или коммерческую тайну (например, информация базы данных о передвижении оружия, наркотиков и т.д.).
В основном, как правило, информация преступниками копируется на магнитный носитель, хотя не исключена возможность передачи ее по сетям телекоммуникации, распечатки на бумаге, кино-, фото-, видеосъемки изображения экрана и действий оператора или перехват с помощью специальных технических средств. Копирование может осуществляться как на портативный компьютер (Notebook) с подключением его к локальной вычислительной сети, так и непосредственно к последовательному или параллельному порту конкретной ЭВМ с помощью специального кабеля.
Преступление обычно происходит в рабочее время и внешне не отличается от обычной работы в учреждении. Похищенная информация используется в дальнейшем самими преступниками для подготовки хищений или может быть продана заинтересованным лицам.
Учитывая конкретные обстоятельства, следователем могут быть выдвинуты и проверены следующие общие версии:
- преступление совершено сотрудником данного учреждения либо лицом, имеющим свободный доступ к компьютерной технике;
- преступление совершено сторонним лицом, входящим в круг родственников, друзей, знакомых сотрудников учреждений;
- преступление совершено группой лиц по предварительному сговору или организованной группой с участием сотрудника данного учреждения либо лица, имеющего свободный доступ к компьютерной технике и в совершенстве владеющего навыками работы с ней;
- преступление совершено лицом или группой лиц, не связанных с деятельностью учреждения и не представляющих ценности компьютерной информации.
Приведенный перечень следственных версий является общим и в зависимости от конкретной ситуации может быть расширен.
|
|