Первоначальные следственные действия. Построение и проверка версий

Следственный осмотр. Поскольку следователю при осмотре приходится иметь дело со сложным комплексом средств вычислительной техники и машинными носителями информации, необходимым условием проведения данного следственного действия является участие в нем специалистов. Ими могут быть системные программисты, программисты, инженеры по технической эксплуатации и ремонту ЭВМ. Их надо привлекать из числа сотрудников сторонних организаций – научно-исследовательских и учебных заведений, организаций, занимающиеся разработкой и эксплуатацией программного и технического обеспечения. В виду того, что в ходе осмотра при общении со специалистами следователю приходится слышать высказывания и комментарии на так называемом профессиональном сленге, для их правильного понимания он в должен требовать разъяснения всех непонятных ему слов и выражений. В протоколе надлежит зафиксировать эти термины в соответствии с ГОСТом или использовать общеизвестные синонимы, при необходимости дать соответствующие пояснения.

Прежде чем приступить к осмотру, следователь и другие участники следственно-оперативной группы должны ознакомиться с общими правилами обращения с вычислительной техникой и носителями информации. Несоблюдение правил может привести к потере важной для расследования информации и к нанесению большого материального ущерба, вызванного неправильными действиями. Эти правила следующие.

Все включения (выключения) компьютеров и других технических средств во избежание поломок должны быть осуществлены только специалистом или под его руководством. Детальный осмотр вычислительной техники, связанный с производством различных физических манипуляций, можно проводить только при выключенном электропитании. Если отключение невозможно из-за особенностей функционирования комплекса, требуется прибегнуть к помощи специалиста.

Запрещается производить разъединения (соединения) кабельных линий, не уяснив предварительно их назначения, необходимо предварительно убедиться, что такое действие не нанесет ущерба. Вскрытие и демонтаж средств вычислительной техники должен производить только специалист.

Применение средств криминалистической техники — магнитных искателей, ультрафиолетового осветителя, инфракрасного преобразователя – должно быть согласовано со специалистом, чтобы избежать разрушения носителей информации и микросхем памяти ЭВМ.

Следует исключить попадание мелких частиц и порошков на рабочие части устройств ввода-вывода компьютеров.

При работе с магнитными носителями информации запрещается прикасаться руками к рабочей поверхности дисков, подвергать их электромагнитному воздействию, сгибать диски, хранить без специальных конвертов (пакетов, коробок). Диапазон допустимых температур при хранении и транспортировке — от 0 до 50 градусов.

Осмотр места происшествия следует начать с принятия мер по предотвращению сокрытия преступником своих действий с машинной информацией. Для этого следует запретить доступ к средствам вычислительной техники всем лицам, работающим на объекте. По возможности выключить компьютеры. Если сделать это не представляется возможным из-за особенностей функционирования системы, то требуется принять меры для предотвращения распространения вредоносных программ.

В ходе осмотра особое внимание следует обратить на размещение компьютеров в конкретном помещении, если они соединены в сеть: расположение всех компьютеров в сети, наличие выделенного сервера и его расположение, целостность и места прокладки кабелей, состояние устройств телекоммуникации (модемов, факс-модемов), их расположение и подключение к телефонным каналам. Это необходимо для проверки версии о совершении преступления по сетям телекоммуникации или внутри сети.

Следует выявить все носители компьютерной информации. Требуется обращать внимание на все записи, относящиеся к работе компьютерной техники, ибо в них могут оказаться сведения о работе с компьютерной системой, пароли доступа. Необходимо выяснить наличие специальных средств защиты от несанкционированного доступа к информации, принять меры к установлению места нахождения и целостности ключей (специальных заглушек, ключевых дискет и т.д.), журналов, блокнотов или других объектов, в которых отражены пароли доступа и идентификационные коды.

Следователю рекомендуется выяснить конкретное назначение каждого компьютера, что должно быть отражено в протоколе осмотра. При наличии сети необходимо начертить схему соединения устройств.

Осмотр документов. Объектами осмотра являются всевозможные журналы учета: рабочего времени, доступа к вычислительной технике, сбоев и ремонта, регистрации пользователей сети, проведения регламентных работ; лицензионные соглашения и договоры на пользование программными продуктами и их разработку; книги паролей, приказы и другие документы, регламентирующие работу учреждения и использования информации.

Иногда документы оказываются в электронной форме. При их изучении следователь может получить информацию о законности использования того или иного программного обеспечения, организации работы учреждения, использования информации, доступа к вычислительной технике, лицах в определенный момент времени находившихся на объекте или имевших доступ к вычислительной технике.

Осмотр средств вычислительной техники. Требуется выяснить расположение в помещении конкретного средства, его предназначение, название, комплектацию, наличие и тип подключенных периферийных устройств (принтеров, сканеров, модемов и т.д.), наличие соединений с сетями телекоммуникации, состояние устройств (целое или со следами вскрытия).

При осмотре средств компьютерной техники рекомендуется описать в протоколе положение всех переключателей на всех блоках и устройствах вычислительной техники, независимо включен компьютер или нет.

При наличии включенной техники зафиксировать в протоколе состояние индикаторных ламп (включена или нет, каким светом горит, мигает и с какой частотой), а также информацию, высвечиваемую на всевозможных индикаторах и табло; описать в протоколе информацию, высвечиваемую на мониторе, при этом учесть, что для предотвращения выгорания экрана в большинстве компьютеров используют специальные заставки — хранители экрана, которые могут быть защищены паролем; в дополнение к протоколу зафиксировать информацию на экране монитора, индикаторных панелях, положение переключателей и состояние индикаторных ламп всех устройств компьютерной системы с помощью видеосъемки или фотосъемки, о чем сделать соответствующие записи в протоколе; перед выключением питания корректно завершить все исполняемые в данный момент программы, по возможности сохранить всю промежуточную информацию (тексты, информацию состояния, содержание буферов обмена и др.) и содержимое оперативной памяти в специальных файлах, если возможно — на отдельных дискетах, в противном случае — на жестком диске компьютера. В протоколе указать имена этих файлов, вид информации, сохраняемой в каждом, расположение файлов (наименование дискеты, их маркировку или логический диск и каталог на винчестере компьютера). Выключить компьютер, который подвергся воздействию, при наличии сети требуется выключить все компьютеры в сети; если из-за особенностей функционирования системы это невозможно, то следует принять меры для исключения доступа к информации данного компьютера, по возможности снять с нее копию и принять меры для фиксации всех изменений информации, которые будут происходить впоследствии.

Следует выявить и изъять имеющиеся следы рук, оставшиеся, например, на защелках дисководов, кнопках включения питания, участках корпуса около винтов крепления крышки корпуса, клавишах клавиатуры и «мыши», разъемах портов и сетевых плат. При осмотре кабельных соединений сетевого оборудования требуется убедиться в их целостности, отсутствии следов подключения нештатной аппаратуры.

Необходимо отметить наличие и состояние всех пометок, пломб специальных знаков и наклеек (инвентарных номеров, записей на память, контрольных маркеров фирм-продавцов и т.д.), нанесенных на корпус и устройства компьютеров, а также загрязнение, механические повреждения, их локализацию.

При осмотре внутреннего устройства компьютера необходимо с помощью специалиста установить наличие внутри компьютера нештатной аппаратуры, следов противодействия аппаратной системе защиты, разрушение или временное изъятие микросхем, отключение внутреннего источника питания (аккумулятора).

Осмотр и предварительное исследование носителей машинной информации. Все обнаруженные носители машинной информации (особенно сменные) кроме собственно информации могут нести на себе следы рук и поэтому должны быть тщательно обследованы. Рекомендуется эти носители изъять, упаковать согласно рекомендациям по упаковке и транспортировке, затем направить в специальное учреждение на экспертизу. Перед упаковкой специалист должен проверить носители — есть ли механические повреждения, характер которых должен быть отражен в протоколе. В некоторых случаях при наличии специальной техники, программного обеспечения и соответствующих познаний у специалиста можно провести предварительное исследование носителей информации, например на присутствие вируса в компьютерной системе.

Для обеспечения дальнейшего экспертного исследования требуется изымать все носители машинной информации, а также необходимые устройства вычислительной техники, находящиеся на объекте, независимо от их принадлежности.

При изъятии, для исключения возможности доступа к компьютерной информации, разукомплектования и физического повреждения основных рабочих элементов, необходимо руководствоваться требованиями, предъявленными к упаковке и транспортировке соответствующих устройств.

Если изъятие всего устройства невозможно или нецелесообразно, следует изъять установленный в нем носитель (носители) информации. При невозможности этого, необходимо принять меры к исключению доступа к ним заинтересованных лиц. Идеальным средством обеспечения сохранности компьютерной техники является блокирование помещения, в котором она установлена с одновременным отключением источников электропитания.

Так как компьютерные сети относятся к классу систем непрерывного функционирования и их остановка на время проведения расследования может повлечь значительный ущерб, следует разрешить копирование информации, подвергшейся воздействию, на резервный носитель (носители) и дальнейшее ее использование после нейтрализа­ции вредоносных программ и их последствий.

Назначение экспертиз. По делам данного вида чаще всего назнача­ют криминалистические (трасологическую, почерковедческую), программно-технические и некоторые другие виды экспертиз, технико-криминалистическое исследование документов.

Традиционные трасологические экспертизы назначают с целью идентификации преступника по следам, изъятым с места происшествия, определения механизма доступа к компьютерной технике, действий преступника на объекте. Криминалистическое исследование документов назначают при необходимости исследования лицензионных соглашений, журналов регистрации пользователей, аппаратных журналов, распечаток, записей и других материалов на бумаге.

Судебные программно-компьютерные экспертизы проводятся для исследования аппаратного обеспечения системы ЭВМ, машинных носителей, программ для ЭВМ и баз данных.

В условиях расследования неправомерного доступа к информации в компьютерных сетях рекомендуется поручать такие экспертизы специалистам в области компьютерной техники и программирования из числа сотрудников Главного управления специальных технических мероприятий (ГУСТМ) МВД, Управления связи, спецтехники и автоматизации (УССиА) МВД, НПО «Спецтехника и связь» и образовательной системы МВД, а также из числа сотрудников подразделений системы сертификации средств защиты информации (испытательные лаборатории, проводящие сертификационные испытания средств защиты информации).

В случае, если в результате неправомерного доступа произошла утечка информации, составляющей государственную тайну, то для проведения экспертизы привлекаются сотрудники соответствующих подразделений ФСБ.

Такие специалисты имеются также в некоторых информационных центрах, учебных и научно-исследовательских заведениях МВД. Для производства экспертиз данного вида можно привлекать специалистов учебных заведений, научно-исследовательских институтов, не относящихся к системе МВД, фирм и организаций, занимающихся разработкой программного и аппаратного обеспечения компьютеров, их эксплуатацией и ремонтом.

Судебная аппаратно-компьютерная экспертиза носителей машинной информации дает ответы на вопросы о типе носителя и его технических характеристиках; виде и механизме возникновения повреждения; размещении и характеристиках записанной информации; возможности копирования и записи данных с конкретного носителя; характере информации, ранее хранившейся на данном носителе; возможности ее восстановления; наличии на носителе специальных меток и программных средств, направленных на защиту данной информации от несанкционированного использования.

Судебная программно-компьютерная экспертиза программ для ЭВМ и баз данных позволяет выяснить назначение программного обеспечения в целом и каждой программы на носителе в отдельности; установить ее разработчика, условия распространения, владельца копии, наличие лицензии или разрешения на использование; входные и выходные данные, с которыми имеющееся программное обеспечение работает; способ и форму их получения, прохождения по системе и хранение. Кроме того, нужно поставить вопросы о возможности преодоления СЗИ, прочтения паролей с носителя при помощи программного обеспечения, подделки или имитации ключей (дискет, заглушек и др.).

При помощи указанных экспертиз можно определить, какие изменения внесены в программы и базы данных по сравнению с оригиналом, каков характер данных измерений, несут ли они в себе вредоносные функции, и если да, то какие последствия повлекут за собой, есть ли возможности самостоятельно создавать свои копии (тест на компьютерный вирус). Иногда удается определить дату и время нанесения таких изменений (в случаях, когда преступник не выполнил соответствующие операции по маскировке своих действий).

При наличии исходных кодов программ на языке программирования перед экспертом можно поставить вопрос о функциях, которые данная программа выполняла.

Также можно установить соответствие готовой программы, произведшей какие-либо несанкционированные действия, по обнаруженному исходному коду. Данную экспертизу назначают также для выяснения совместимости конкретного программного обеспечения с другими программами: на данном компьютере и непосредственно с устройствами (аппаратным обеспечением), из которых он состоит. Если совместимости нет или она неполная, выясняется, может ли это повлиять на нормальную работу программы. Судебная программно-компьютерная экспертиза аппаратного обеспечения назначается для определенного типа устройства, его технических харак­теристик, работоспособности и влияния неисправности на качество про­граммного обеспечения; обнаружения следов ремонта, повреждений, демонтажа микросхем, замены блоков, соответствия комплектации све­дениям, указанным в технической документации; возможности решать на данном оборудовании какие-либо задачи.

Перед экспертом можно поставить вопрос о возможности отключе­ния системы в целом. Данная экспертиза назначается и для решения во­проса о возникновении проблем с программным обеспечением в резуль­тате несоблюдения правил технической безопасности при эксплуатации оборудования.

В большинстве случаев при исследовании средств компьютерной техники и носителей информации рекомендуется назначать комплекснуюэкспертизу. К ней привлекаются специалисты в области эксплуатации компьютерной техники, программного обеспечения, защиты информации и программирования. Кроме того, она назначается для уста­новления демонтажа устройств, проникновения в них и подключения внештатной аппаратуры.

Задержание подозреваемого должно быть произведено быстро и решительно, чтобы пресечь возможность уничтожить компрометирующие его материалы.

Особенностью производства личного обыска является то, что при этом должны быть изъяты и по мере необходимости отправлены на экспертизу все носители машинной информации, детали и устройства вычислительной техники, приборы, инструменты, записи и предметы, назначение которых неизвестно.

Обыск по делам, связанным с созданием, использованием и распространением вредоносных программ, в необходимых случаях производится на квартире обвиняемого, месте его работы, а также в других местах, где он имел доступ к компьютерной технике. Требуется обнаружить и изъять для дальнейшего исследования все средства вычислительной техники, аппаратуру телекоммуникации, машинные носители информации, зафиксированные на бумаге алгоритмы, исходные модули программ, распечатки машинных кодов, протоколы обмена по сетям телекоммуникации и другие объекты, которые могут подтвердить факты и обстоятельства, свидетельствующие о подготовке и совершении преступления. При проведении обыска желательно использовать помощь специалиста.

Упаковку и опечатывание изъятого следует производить в соответствии с нижеизложенными правилами.

1. Изъятие средств компьютерной техники необходимо произ­водить только в выключенном состоянии.

2. Перед выключением электропитания требуется освободить все приводы от носителей машинной информации и подготовить жесткие диски к транспортировке.  

3.  Отсоединить все шнуры с блоков компьютера, при необходимости каждый разъем шнура и соответствующий ему разъем на блоке устройства снабжается специальной биркой.

4. Средства вычислительной техники и машинные носители надлежит упаковывать следующим образом:

       – при наличии — в специальную упаковку, в которой данную технику поставляет предприятие-изготовитель;

     – сменные носители (дискеты, CD-RОМы, ленты стриммеров и другие) должны быть упакованы в конверты (бумажные, пластмассовые или полиэтиленовые), а при их отсутствии могут быть завернуты в плотную бумагу.

Для ослабления электромагнитных воздействий рекомендуется магнитный носитель или группу носителей, помещенные в конверты, заворачивать в алюминиевую фольгу.

При отсутствии надлежащей упаковки устройства могут быть помещены в картонные или деревянные коробки подходящего размера и закреплены прокладками из упругого материала (гофрированного картона, пенопласта, мятой бумаги) с целью исключения перемещения внутри упаковки или полиэтиленовых пакетов. Если в пакеты упаковываются платы или блоки ЭВМ, необходимо принять меры для исключения повреждения микросхем (поместить плату между двумя пластинами мягкого гофрированного картона и перетянуть липкой лентой или ниткой).

Цель такой упаковки — исключить воздействие на средства вычислительной техники и машинные носители пыли, влаги и других неблагоприятных сред, предотвратить разукомплектование и физические повреждения, сохранить следы воздействий.

5. Опломбировать упаковку.

6. При необходимости применения указанных выше способов упаковки компьютерных средств необходимо:

– отсоединить от корпуса устройства шнуры питания, сетевые шнуры и кабели, места их подключения опломбировать (заклеить листом бумаги с подписями следователя и понятых). Если отсоединить шнур от корпуса невозможно, необходимо аккуратно свернуть его в кольцо, начиная с сетевого разъема, и перетянуть ниткой или проволокой, чтобы не допустить разматывания. Полученный таким образом жгут помещается в полиэтиленовый пакет, горловина которого затягивается как можно ближе к месту выхода шнура из устройства, но так, чтобы исключить возможность вытаскивания шнура из пакета. Сверху затяжку заклеивают листом бумаги сподписями следователя и понятых;

– все панели корпуса ЭВМ, имеющие кнопки и клавиши управления, дисководы, а также места стыковок частей корпуса переложить ли­стами бумаги и оклеить бумажными лентами с подписями следователя и понятых так, чтобы не допустить включения компьютера или проникновения внутрь устройства без их повреждения.

Вопрос о способе упаковки и возможности изъятия компьютерной техники решается следователем совместно со специалистом и во мно­гом зависит от условий транспортировки.

7. Транспортировку необходимо осуществлять таким образом, чтобы
исключить:

– механические воздействия на аппаратуру (тряску, удары и др.);

– атмосферные воздействия (дождь, снег, повышенную влажность);

– влияние высоких и низких температур (температурные границы в каждом конкретном случае зависят от типа устройств, но для аппаратуры, содержащей магнитные носители информации, они находятся в пределах от 0 до 50 градусов).

8. При обращении с машинными носителями запрещается:

– прикасаться пальцами или любым предметом к рабочей поверхно­сти носителей;

– разбирать корпусы лент, винчестеров, дискет и т.п.;

– сгибать носители, прокалывать и пробивать в них любые отверстия, продевать в уже существующие отверстия нитки, проволоку;

– изменять состояние переключателей, снимать и устанавливать специальные наклейки;

– подносить близко к источникам электромагнитного излучения, к сильным осветительным и нагревательным приборам, подвергать воздействию воды и влаги;

– прикасаться грязными или влажными руками;

– наносить надписи и маркировки;

– ставить оттиск печати.

Следственный эксперимент. Проводится для установления какого-либо факта (видеть, слышать и т.д.), совершения каких-либо действий (в частности, для установления возможности производства определенных действий со средствами вычислительной техники и носителями компьютерной информации); установления механизма образования следов; времени выполнения определенного действия, наличия профессиональных и иных навыков у определенного человека (написания программ определенного свойства, преодоления защиты информации и др.). Проведение опытов должно проходить в определенном режиме и темпе. Рекомендуется многократность проведения экспериментов. При необходимости данное действие проводится поэтапно.

Следует заметить, что исследование воздействий на компьютерные сети и программы для ЭВМ, которые подверглись воздействию, должно проходить на специально подготовленной технике с копиями программного обеспечения, в условиях, максимально приближенных к тем, при которых имело место событие (факт, явление). В случае если это по каким-то либо причинам невозможно, требуется принять все меры для обеспечения целостности исходной информации и работоспособности сети.