Методика расследования компьютерных преступлений

Методика расследования компьютерных преступлений

1. Понятие компьютерных преступлений

Как известно, сведения и их материальный носитель в совокупности образуют понятие фактические данные, - т.е. доказательства. Сведения - это информация и деятельность преступника направлена прежде всего против информации-продукта, продукции и услуги. Это новый и специфический предмет преступного посягательства.

Анализ компьютерных преступлений, названный в разделе 16 УК Украины, свидетельствует, что противоправное действие субъекта направлено, прежде всего на ЭВМ, системы и компьютерные сети и, как следствие, через них на компьютерную информацию.

Способы преступного воздействия: вмешательства в работу ЭВМ, систем и компьютерных сетей, повлекшее искажение или уничтожение компьютерной информации, а так же её источников; распространение вирусов и программ для незаконного проникновения в ЭВМ и их системы (ст. 361 УК); кража, присвоение, злоупотребление служебным положением, вымогательство, мошенничество (ст. 362 УК); в СТ. 363 УК противоправное воздействие направлено на правила эксплуатации ЭВМ, систем и их компьютерных сетей, когда нарушение правил повлекло кражу, искажение или уничтожение информации, способов защиты или незаконное копирование либо существенное нарушение работы ЭВМ, их систем, компьютерных сетей:

А). Вмешательство - действие, влияющие на работу ЭВМ, их систем и компьютерных сетей. Суть вмешательства сводится к замене программ, внедрению вирусов.

Так, инженер-программист АвтоВАЗа просил повышения зарплаты по должности, но ему отказывали. Тогда он в программу, управляющую работой главного сборочного конвейера, внедрил «логическую бомбу», которая должна остановить конвейер в определенное время, сам же уехал в отпуск. Когда остановился главный конвейер, а работающие инженеры-программисты не смогли запустить его, тогда руководство завода вызвали из отпуска «вымогателя», пообещал повысить зарплату, лишь бы он - запустил конвейер.

Способы вмешательства (манипуляции):

1. Подмена данных -- изменение или введение новых данных осуществляется, как правило, при вводе или выводе информации с ЭВМ. Например, служащий одного нью-йоркского банка, изменяя входные данные, похитил за 3 года 1,5 млн. долларов. В Пенсильвании (США) клерк мебельного магазина, введя с терминала фальшивые данные, украл товаров на 200 тыс. долларов.

2. Манипуляции с пультом управления компьютера -- механическое воздействие на технические средства машины создает возможности манипулирования данными.

3. "Троянский конь" -- тайный ввод в чужую программу команд, позволяющих, не изменяя работоспособность программы, осуществить определенные функции. Этим способом преступники обычно отчисляют на свой счет определенную сумму с каждой операции. Вариантом является "Салями", когда отчисляемые суммы малы и их потери практически незаметны (например, по 1 доллару с операции), а накопление осуществляется за счет большого количества операций. Это один из простейших и безопасных способов, особенно если отчисляются небольшие дробные суммы, поскольку в этих случаях обычно все равно делается округление. Но когда сумма мала в процентном отношении от значительных денежных переводов, вероятность раскрытия значительно повышается. Служащий американского банка, решив накопить деньги побыстрее, начал отчислять сразу по 100 долларов, но с очень крупных счетов и был раскрыт всего после 41 такой операции.

4. "Бомба"или"Логическая бомба" -- тайное встраивание в программу набора команд, которые должны сработать (или каждый раз срабатывать) при определенных условиях или в определенные моменты времени. Например, в США получила распространение форма компьютерного вандализма, при которой "троянский конь" разрушает через какой-то промежуток времени все программы, хранящиеся в памяти машины. Во многих поступивших в продажу компьютерах оказалась "временная бомба", которая "взрывается" в самый неожиданный момент, разрушая всю библиотеку данных.

5. Моделирование процессов, в которые преступники хотят вмешаться, и планируемые методы совершения и сокрытия посягательства для оптимизации способа преступления. Одним из вариантов является реверсивная модель, когда создается модель конкретной системы, в которую вводятся реальные исходные данные и учитываются планируемые действия. Из полученных правильных результатов подбираются правдоподобные желательные. Затем путем прогона модели назад, к началу, выясняют результаты и устанавливают, какие манипуляции с исходными данными нужно проводить. Таких операций может быть несколько. После этого остается только осуществить задуманное. Бухгалтер пароходной компании в Калифорнии (США) в целях подготовки хищения смоделировал всю бухгалтерскую систему компании и установил, сколько фальшивых счетов ему необходимо и какие операции следует проводить. Модель бухгалтерского баланса подсказала ему, что при имеющихся пробелах в ревизионной службе 5% искажений не будут заметны. Для создания видимости реальной ситуации он организовал 17 подставных компаний, обеспечил каждую из них своим счетом и начал денежные операции, которые оказались настолько успешными, что в первый год он похитил 250 тыс. долларов без какого-либо нарушения финансовой деятельности компании. К тому времени, когда увеличенные выплаты вызвали подозрение -- даже не у самой компании, а у ее банка, сумма хищения составила миллион долларов.

6. "Воздушный змей" -- способ, который весьма часто используется в России. В двух банках (но можно и в нескольких) открывают по небольшому счету и переводят деньги из одного банка в другой и обратно с постепенно повышающимися суммами. Хитрость заключается в том, чтобы до момента, когда в банке обнаружится, что поручение о переводе не обеспечено необходимой суммой, приходило бы извещение о переводе в этот банк, так, чтобы общая сумма покрывала требование о первом переводе. Цикл повторяется много раз до тех пор, пока на счете не оказывается приличная сумма. Тогда деньги быстро снимаются и владелец счетов исчезает. На практике в такую игру включают большое число банков: так сумма накапливается быстрее и число поручений о переводе не достигает подозрительной частоты.

Б). Незаконный доступ. Незаконный, доступ к компьютерной системе либо компьютерной сети возможен, если сеть состоит из двух и более компьютеров. Незаконному доступу обязательно предшествует ряд операций: преодоление системы защиты, проникновение в помещение, подбор пароля, шифра - «взлом», маскировка под законного пользователя. В общем виде незаконный доступ сводится к двум способам:

а) «взлом» изнутри, когда преступник имеет физический доступ к компьютеру (терминалу), с которого ему доступна необходимая информация и он может, как правило, - короткое время работать без постороннего контроля (атаковать не более одной минуты);

б) «взлом» извне осуществляется, когда преступник не имеет непосредственного доступа к компьютеру и действует через Интернет или другой канал связи.

Способы несанкционированного доступа:

1. "За дураком" -- используется для входа в закрытые для доступа помещения или терминалы. Физический вариант состоит в том, чтобы, взяв в руки как можно больше предметов, связанных с работой на компьютере, прохаживаться с деловым видом возле запертой двери, за которой находится терминал, и, когда появится законный пользователь, уверенно пройти в дверь вместе с ним. Электронный вариант проходит, когда компьютерный терминал незаконного пользователя подключается к линии законного через телефонные каналы (Интернет) или когда пользователь выходит ненадолго, оставляя терминал в активном режиме- Вариантом является прием "за хвост": незаконный пользователь тоже подключается к линии связи, а затем дожидается сигнала, обозначающего конец работы, перехватывает его и входит в систему, когда законный пользователь заканчивает активный режим.

2. Компьютерный "абордаж" - хакер набирая на удачу один номер за другим, дожидаются, пока на другом конце провода не отзовется чужой компьютер. После этого телефон подключается к приемнику сигналов в собственной ПЭВМ, и связь установлена. Остается угадать код (а слова, которые служат паролем, часто банальны и берутся из руководства по пользованию компьютера) и можно внедриться в чужую компьютерную систему.

Незаконный доступ к файлам законного пользователя через слабые места в защите системы. Однажды обнаружив их, нарушитель может не спеша исследовать содержащуюся в системе информацию, копировать ее, возвращаться к ней много раз.

3. "Маскарад" или "самозванство" -- некто проникает в компьютерную систему, выдавая себя за законного пользователя. Системы, которые не обладают средствами аутентичной идентификации (например, по физиологическим характеристикам: по отпечаткам пальцев, по рисунку сетчатки глаза, голосу и т. п.), оказываются без защиты против этого приема. Самый простейший путь его осуществления -- получить коды и другие идентифицирующие шифры законных пользователей. Так, группа студентов послала всем пользователям университетского компьютера сообщение, что изменился его телефонный номер, и в качестве нового назвала номер, запрограммированный так, чтобы отвечать в точности, как университетская ЭВМ. Пользователь, посылая вызов, набирал свой личный код, и студенты смогли составить перечень кодов и использовать его в своих целях.

4. ”Мистификация” - пользователь с удаленного терминала случайно подключается к чьей-то системе, будучи абсолютно уверенным, что он работает с той системой, с какой и намеревался. Владелец этой системы, формируя правдоподобные отклики, может какое-то время поддерживать это заблуждение, получая одновременно некоторую информацию, в частности коды.

5. "Аварийный" - использует тот факт, что в любом компьютерном центре имеется особая программа, применяемая в случае возникновения сбоев или других отклонений в работе ЭВМ. Такая программа -- мощный и опасный инструмент в руках злоумышленника. Этим способом была совершена крупная кража в банке Нью-Джерси.

6. "Склад без стен" - несанкционированный доступ осуществляется в результате системной поломки. Например, если некоторые файлы пользователя остаются открытыми, он может получить доступ к не принадлежащим ему частям банка данных.

В). Незаконный перехват - это завладение программным обеспечением, данными, конфиденциальной информацией и т. п. Перехват осуществляется с помощью технических устройств.

Чтобы «перехватить» электрические сигналы, которые посылает ЭВМ надо к ней или компьютерной сети подключить техническое устройство, обнаруживающее прохождение электросигнала по сети или движущегося в компьютерной системе. Технические средства позволяют фиксировать прямой сигнал с преграды, например оконного стекла помещения, где работает компьютер.

Способы перехвата:

1. Непосредственный перехват -- старейший из используемых способов. Требующееся оборудование можно приобрести в магазинах: микрофон, радиоприемник, кассетный диктофон, модем, принтер. Перехват данных осуществляется либо непосредственно через телефонный канал системы, либо подключением к компьютерным сетям. Вся информация записывается. Объектами подслушивания являются различные системы -- кабельные и проводные, наземные микроволновые, спутниковой и правительственной связи.

2. Электромагнитный перехват - используются перехватывающие устройства, работающие без прямого контакта. Можно уловить излучение центральным процессором, дисплеем, телефоном, принтером, линиями микроволновой связи, считывать данные с дисплейных терминалов при помощи доступных каждому простейших технических средств (дипольной антенны, телевизора). Преступники, находясь в автомашине или просто с приемником в портфеле на некотором расстоянии от здания, могут, не привлекая к себе внимания, легко узнавать данные, хранящиеся в памяти ЭВМ или используемые в процессе работы. Во время экспериментов удавалось получать сведения, которые выводились одновременно на 25 дисплейных терминалах, расположенных в непосредственной близости друг от друга, и отделять выведенные на каждый экран данные. Если к телевизору подключить видеомагнитофон, то информацию можно не только накопить, но и спокойно проанализировать позднее.

3. "Жучки" ("клопы") - использование заключается в установке микрофона в компьютере с целью прослушивания разговоров персонала. Простой прием, обычно используемый как вспомогательный для получения информации о работе компьютерной системы, о персонале, о мерах безопасности и т. д.

4. "Уборка мусора" -- поиск данных, оставленных пользователем после работы с компьютером. Включает физический вариант -- осмотр содержимого мусорных корзин и сбор оставленных за ненадобностью распечаток, деловой переписки и т. п. Электронный вариант основан на том, что последние из сохраненных данных обычно не стираются после завершения работы. Другой пользователь записывает только небольшую часть своей информации, а затем спокойно считывает предыдущие записи, выбирая нужную ему информацию. Таким способом могут быть обнаружены пароли, имена пользователей и т. п.

2. Криминалистическая характеристика компьютерных преступлений

Объект компьютерных преступлений - отношения в сфере информатики, информационная безопасность.

Предмет:

1) автоматизированные электронно-вычислительные машины (компьютеры, АЭВМ), в т.ч. персональные;

2) их системы (под системами автоматизированных электронно-вычислительных машин понимаются операционные системы (МS-DOS, Wіndows и другие), которые устанавливаются на определенной машине и с помощью которых осуществляется ее работа, а также разные прикладные системы (то есть информационные системы, в т.ч. системы управления), как установленные для локальной работы на определенной машине, так и открытые для доступа из других машин через компьютерную сеть).;

3) компьютерные сети (компьютерная сеть - это совокупность программных и технических средств, с помощью которых обеспечивается -возможность доступа с одной АЭВМ к программным или техническим средствам другой (других) АЭВМ и к информации, которая хранится в системе другой (других) АЭВМ);

4) компьютерная информация, хранящаяся на носителях и в компьютерных сетях; 5) компьютерные технологии и программные средства; 6) носители информации;

Личность преступника - специалист в компьютерной технологии, умеющий использовать ее в корыстных целях.

Человек, обладающий технологиями разработки программных средств, умением написать программу, специалист по эксплуатации компьютерной техники, свободно анализирующий чужие программы и способный находить в них изъяны и использовать их для перехвата информации, изменения либо уничтожения ее. Преступник знаком с методами и средствами защиты коммуникационных сетей, информации, хранящейся в банках. Он может «взламывать» компьютеры, информационные банки и сети).

Лиц, совершающих преступления в сфере компьютерной информации, можно поделить на три группы:

1. Хакеры. (от англ.--разрубать) -- программисты или квалифицированные пользователи ЭВМ, занимающиеся поиском способов получения несанкционированного доступа к компьютерной информации и техническим средствам.

Их целью может быть сначала чисто спортивный интерес, связанный с решением трудной задачи "взлома" защиты программного продукта или создание компьютерных вирусов только для того, чтобы потешить свое самолюбие, пошутить. Хакеры и составляют первую группу. Их отличает высокий профессионализм в сочетании со специфическим компьютерным фанатизмом. Следует подчеркнуть, что характерной особенностью преступников этой группы является отсутствие у них четко выраженных противоправных намерений. Практически все действия совершаются ими с целью проявления своих интеллектуальных способностей. К этой же группе примыкают профессиональные программисты, многие из которых обладают незаурядным интеллектом и отличаются нестандартным мышлением. Разработка мер безопасности для собственных компьютерных систем и "взлом" чужих средств защиты являются для них двуединой задачей и интересны сами по себе. Постепенно некоторые из них переориентируются на извлечение из своей работы некоторой материальной выгоды (в России этому нередко способствует тяжелое материальное положение научных работников).

К числу особенностей, указывающих на совершение компьютерного преступления лицами рассматриваемой категории, можно отнести следующие:

отсутствие целеустремленной, продуманной подготовки к преступлению;

оригинальность способа;

использование в качестве орудий преступления бытовых технических средств и предметов;

непринятие мер к сокрытию преступления;

факты немотивированного озорства.

Хакеры, занимающиеся кражей информации из компьютеров, компьютерных сетей, называют крекерами, а лиц, используемых в преступных целях телефонные сети компаний - фрикерами.

2. Психически больные лица, страдающие так называемыми компьютерными фобиями (информационными болезнями). Действия, совершаемые лицами этой категории, в основном направлены на физическое уничтожение либо повреждение средств компьютерной техники без наличия преступного умысла с частичной ил полной потерей контроля над своими действиями.

Эта категория заболеваний связана с нарушениями в информационном режиме человека под воздействием внешних или внутренних дестабилизирующих факторов как врожденного, так и приобретенного свойства. Вследствие ускоряющегося ритма жизни, информационного взрыва, к которому многие люди оказались неподготовлены, интенсификации труда за счет компьютерных технологий многие служащие попадают в различные стрессовые ситуации, некоторые из которых заканчиваются формирование компьютерных фобий и неврозов (страха перед потерей контроля на своими действиями). По существу, это есть не что иное, как профессиональное заболевание. Основные симптомы его проявления: быстра утомляемость, резкие скачки артериального давления при контакте компьютерной техникой, повышенное потоотделение, головокружение и головные боли, дрожь в конечностях, затрудненность дыхания, обмороки и т. д.

3. Профессиональные преступники - их характеризуют корыстные цели, серийный, многоэпизодный характер преступлений, обязательны действия по сокрытию.

Это обычно высококвалифицированные специалисты с бысшим математическим, инженерно-техническим или экономическим образованием, входящие в организованные преступные группы и сообщества прекрасно оснащенные технически (нередко специальной оперативной техникой). На долю этой группы приходится большинство особо опасных должностных преступлений, совершаемых с использованием средств компьютерной техники, присвоении денежных средств в особо крупны: размерах, мошенничеств и пр.

Обобщая, можно охарактеризовать преступников данной сферы так: примерно 80% из них мужчины (но доля женщин быстро увеличивается в связи с овладением компьютерной техникой секретарями, делопроизводителями, бухгалтерами кассирами и пр). Возраст 15-- 45 лет (33% до 20 лет). Специальное образование не является обязательным атрибутом (в США только 7 из 1000 компьютерных преступлений совершаются профессиональными программистами). Большинство хакеров - учащиеся колледжей, университетов, при этом 77% преступников имели средний интеллектуальный уровень развития и лишь 21 % - выше среднего. 52% преступников имели специальную подготовку в сфере обработки информации, а 97 % - это служащие государственных учреждений, которые используют компьютерные средства.

Мотивоы и цели КП - корыстные (присвоение денежных средств и имущества), политические (шпионаж, деяния, направленные на подрыв финансовой и денежно-кредитной политики, валютной системы страны), исследовательский интерес, хулиганские побуждения и озорство, месть и т.д.

Потерпевшая сторона - это три основные группы:

- собственники компьютерной системы:

Они часто неохотно сообщают (или не сообщают) правоохранительным органам о преступных фактах в сфере движения компьютерной информации по следующим причинам:

а) из-за некомпетентности сотрудников правоохранительных органов в данном вопросе;

б) боязни, что убытки от расследования превысят сумму причиненного ущерба и к тому же будет подорван авторитет фирмы;

в) нежелания раскрытия в ходе судебного разбирательства системы безопасности организации;

г) боязни выявления собственных незаконных действий;

д) страха своего начальства, что одним из итогов расследования станут выводы об их профессиональной непригодности;

е) правовой неграмотности;

д) непонимания истинной ценности имеющейся информации.

Эти обстоятельства безусловно способствуют совершению преступных акций данного рода

- клиенты, пользующиеся их услугами;

- иные лица..

Объективная сторона преступления по Ст. 361 УК Украины: «Незаконное вмешательство в работу электронно-вычислительных машин (компьютеров), систем и компьютерных сетей» ( Россия ст. 272 - Неправомерный доступ к компьютерной информации), проявляется в форме:

1) незаконного вмешательства в работу АЭВМ, их систем или компьютерных сетей, что приводит к искажению или уничтожения компьютерной информации или носителей такой информации;

2) распространение компьютерного вируса. Последнее есть преступным лишь в случае для этого специальных орудий - программных или технических средств, предназначенных для незаконного проникновения в АЭВМ, системы или компьютерные сети и способных причинить искажение или уничтожение компьютерной информации или носителей такой информации.

Субъективная сторона преступления характеризуется прямым умыслом.. Преступные действия могут быть содеянные лишь с прямым умыслом, тогда как отношения виновного к следствиям преступления может характеризоваться как прямым, так и косвенным умыслом. Похищение или другое предусмотренное этой статьей овладения компьютерной информацией, которая способная причинить вред (например, овладение только что разработанным компьютерным вирусом), содеянное- с целью предотвращения этого вреда, может получить правовую оценку с учетом ст. 39.

Квалифицирующими признаками (ч. 2 ст. 361) преступления есть совершение его:

1) повторно;

2) за предшествующим заговором группой лиц;

3) причинение ним существенного вреда.

Объективная сторона преступления по Ст 362 УК Укр. „Похищение, присвоение, вымогательство компьютерной информации или завладение ею путем мошенничества или злоупотребления служебным положением” состоит в действиях, с помощью которых лицо противоправно, вопреки воле и желанию собственника или законного пользователя, завладевает компьютерной информацией, а собственник или законный пользователь теряет ее.

Объект преступления (ст. 362 УК Украины) - собственность на компьютерную информацию, установленный порядок его сохранения и использование.

Способами совершения этого преступления закон признает:

1) похищение;

2) присвоение;

3) вымогательство;

4) мошенничество;

5) злоупотребление служебным лицом своим служебным положением.

Под похищением компьютерной информации следует понимать овладение ею путем кражи или грабежа. Об этих способах похищения см. комментарий к Общим положениям раздела VI Особой части УК Украины и ст. ст. 185 и 186. О понятии присвоения, овладение путем злоупотребления служебным лицом своим служебным положением, мошенничества см. комментарий к ст. 190 и 191. Срок требования следует понимать в том же значении, в котором его употреблен в ст. 189 (см. комментарий к этой статье).

В случаях похищения или другого предусмотренного данной статьей противоправного овладения компьютерной информацией вместе с носителями такой информации или АЭВМ, в которой (которых) находятся эти носители, преступные действия следует квалифицировать как совокупность преступлений - по ст. 362 и соответствующей статьей о преступлениях против собственности.

Если при неправомерном овладении компьютерной информацией было применено насилие, такие действия требуют отдельной уголовно-правовой квалификации.

Преступление считается законченным с момента, если виновный завладел информацией и имеет возможность использовать ее или распорядиться ею по собственному усмотрению. Совершение этого преступления путем вымогательства есть законченным с момента предъявления противоправного требования, объединенного с соответствующей угрозой, и доведение его к потерпевшему.

Объективная сторона преступления по Ст. 363 УК Укр. „Нарушение правил эксплуатации автоматизированных электронно-вычислительных систем” (Россия ст. 274- Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети ( в разд. 9 «Преступления против общественной безопасности и общественного порядка»)) состоит в нарушении правил эксплуатации АЭВМ. их систем или компьютерных сетей, которое может быть осуществлено как путем определенных действий, так и путем бездеятельности, при условии наступления в результате такого нарушения предусмотренных этой статьей последствий.

Преступление считается законченным с момента наступления последствий, предусмотренных в ст. 363.

Субъект преступления специальный. Это лицо, которое отвечает за эксплуатацию АЭВМ, их систем или компьютерных сетей. Таким лицом является пользователь указанных машин, систем или сетей, а так же любое другое лицо, которое соответственно со своими трудовыми, служебными обязанностям или на основе соответствующего соглашения с собственником (администратором) этих машин, систем и сетей выполняет работу, связанную с поддержанием их в рабочем состоянии, обновлением информации, усовершенствованием АЭВМ, системы или сети, их защитой или выполняет другую подобную работу и обязанная при ее выполнении придерживаться установленных правил эксплуатации (и, в частности, защиты) АЭВМ, систем и сетей.

Субъективная сторона преступления определяется его последствиями и характеризуется неосторожной формой вины.

Способ совершения компьютерного преступления довольно сложен, и представляет собой многоходовые мошеннические операции в компьютерной системе.

Так, чтобы совершить преступление и несанкционированно проникнуть в чужую компьютерную систему через сеть Интернет преступник должен:

а) разработать средства, позволяющие ему несанкционированно дописывать в массивы «операционнoгo дня» необходимую информацию;

б) под видом законного пользователя с неустановленного терминала, имеющего телекоммуникационную связь с единой сетью ЭВМ, в течение короткого времени не более одной минуты вести информационную «атаку»;

в) подготовить специальную программу, которая в пользу каких-либо лиц (реальных или вымышленных) открыла бы технологические счета, имеющие первоначальный нулевой остаток;

г) для осложнения бухгалтерского контроля инсценировать ситуацию сбоя программы, вследствие чего не выдаются контрольные и оборотные ведомости по балансовым счетам;

д) иметь подготовленных соучастников, которые получали бы деньги со счетов.

Следовая картина зависит от вида воздействий преступника:

При механическом воздействии (когда преступник непосредственно повреждает, изменяет либо уничтожает «железо» - компьютеры, носители программных средств, линии коммуникативной связи, средства защиты и помещения) образуются, как правило, видимые следы, которые носят трасологический характер (следы рук, ног преступника, следы орудий совершения преступления и т.д.).

Физическое воздействие на компьютерную систему или коммуникационную сеть представляет собой действие электрическим сигналом, подаваемым преступником с помощь какого-то технического устройства (возникающие следы невидимы и представляют изменение в конкретной точке магнитного носителя.). Энергетические следы - изменения проявляются в виде нарушений нормальной работы системы, сбоев и т.д.

Психическое воздействие применяется для изменения следов памяти человека.

Типичные следы преступления - сбой в работе ПЭВМ и сетей, частичная или полная потеря информации, а так же её искажение:

а) изменения заданной в предыдущем сеансе работы с ЭВМ структуры файловой системы, в том числе:

переименование каталогов и файлов;

изменения размеров и содержимого файлов;

изменения стандартных реквизитов файлов;

появление новых каталогов и файлов и т. п.;

б)изменения в заданной ранее конфигурации компьютера, в том числе:

изменение картинки и цвета экрана при включении;

изменение порядка взаимодействия с периферийными устройствами (например, принтером, модемом и т. п.);

появление новых и удаление прежних сетевых устройств и др.;

в)необычные проявления в работе ЭВМ:

замедленная или неправильная загрузка операционной системы;

замедление реакции машины на ввод с клавиатуры;

замедление работы машины с дисковыми устройствами (загрузка и за пись информации);

неадекватные реакции ЭВМ на команды пользователя;

появление на экране нестандартных символов и т. п.

По объекту преступления -- кто является потерпевшей стороной; каковы последствия, не причинён ли потерпевшенму существенный вред (существенным вредом следует считать уничтожение или искажение вследствие преступных действий компьютерной информации, или уничтожение или повреждение носителей такой информации, в результате которого собственнику или законному пользователю АОЕМ ли компьютерной сети причинен вред, который есть существенным для этого субъекта. Вопрос существенности такого вреда есть вопросом факта и требует решение в каждом конкретном случае с учетом всех обстоятельств дела.

По объективной стороне преступления -- имел ли место преступного деяния, если да, то когда и где, при каких обстоятельствах, было ли при этом насилие, если да, то в какой конкретно форме оно проявилось (шантаж. избиение, угроза, приведение в беспомощное состояние), каков материальный ущерб, какие обстоятельства способствовали совершению преступления.

По субъекту преступления -- кто совершил преступление, не совершал ли он подобных преступлений прежде, если преступление совершено группой, то был ли сговор, какова роль и степень виновности каждого, каковы действия всех участников преступления.

По субъективной стороне преступления -- как и при каких обстоятельствах возник умысел на преступление; о чем существовал сговор между соучастниками; как давно, с целью совершения каких преступлений и при каких обстоятельствах возникла организованная преступная группа и др.

3. Особенности возбуждения уголовного дела. Типовые следственные версии

Типовыми версиями являются:

1). Имело место совершение преступления.

2). Сбой в работе вызван иными причинами (тех. неисправность, ошибки в составлении программ, неумелое пользование и т.д.).

3). Имело место совершение преступления другого вида (должностные, налоговые, преступное нарушение правил пожарной безопасности, фальшивомонетничество, преступления с использованием пластиковых карт, проникновение в банковские счета и т. д.

Сообщения о несанкционированном проникновении в компьютерную систему или компьютерную сеть, чаще всего, поступают непосредственно от пользователей:

- граждан-пользователей ЭВМ, компьютерной системой;

- руководителей учреждений, фирм, эксплуатирующих компьютерные системы;

- по материалам органов дознания МВД и СБ, где имеются специализированные подразделения борьбы с организованной преступностью, в частности экономической и информационной безопасностью.

Например, компьютер начинает сообщать фальшивые данные, часто происходят сбои, уничтожается часть либо вся полезная информация, учащаются жалобы клиентов компьютерной сети. Все это признаки совершения каких-то преступных действий: неправомерного проникновения или применения вредоносных программ преступником либо нарушение правил эксплуатации.

Вызываемые вредоносными программами эффекты могут быть классифицированы по следующим основным категориям: отказ компьютера от выполнения стандартной функции; выполнение компьютером действий, не предусмотренных программой; разрушение отдельных файлов, управляющих блоков и программ, а иногда и всей файловой системы (в том числе путем стирания файла, форматирования диска, стирания таблицы расположения файлов и др.); выдача ложных, раздражающих, неприличных или отвлекающих сообщений; создание посторонних звуковых и визуальных эффектов; инициирование ошибок или сбоев в программе или операционной системе, перезагрузка или «зависание» программ или систем; блокирование доступа к системным ресурсам; имитация сбоев внутренних и периферийных аппаратных устройств; ускорение износа оборудования или попытки его порчи.

Для преступлений, касающихся нарушений правил эксплуатации ЭВМ и манипуляций с вредоносными программами, характерно наличие у виновных специальных познаний в узкой предметной профессиональной области устройств ЭВМ и программного обеспечения.

Необходимо отметить, что совершение преступлений в сфере информатики чаще всего сочетается с совершением других преступлений, в том числе совершаемых организованными преступными группами. Чаще всего преступления в области компьютерной информации сочетаются с преступлениями против безопасности государства, в сфере экономики (фальшивомонетничество, преступления с использованием пластиковых карт, проникновение в банковские счета и т. д.), должностными, налоговыми и др.

При поступлении сообщений о признаках компьютерного преступления следователь организует предварительную проверку при содействии дознания и контрольно-ревизионных органов.

Если проверку и собирание материалов проводит орган дознания, то материалы проверки в десятидневный срок представляет следователю, последний решает вопрос о возбуждении и совместно с оперативным работником разрабатывает план реализации оперативных материалов.

Доследственная проверка по данной категории преступлений проводится лишь в случаях, когда следователю (органу дознания) в момент поступления материалов о совершенном преступлении не хватает данных для принятия решения или не ясна квалификация совершенного деяния. Проверка сводится к уточнению:

способа нарушения целостности (конфиденциальности) информации;

порядка регламентации собственником работы информационной сис темы;

круга лиц, имеющих возможность взаимодействовать с информацион ной системой, в которой произошли нарушения целостности (конфиденци альности) информации, для определения свидетелей и выявления круга заподозренных;

данных о причиненном собственнику информации ущербе.

Все эти сведения при их отсутствии в поступивших материалах должны быть истребованы у собственника информационной системы.

Важную роль в сборе данных о совершенном преступлении играют действия тех должностных лиц собственника информационной системы, которые осуществляют процедуры, обеспечивающие целостность (конфиденциальность) информации в системе.

Первоначальный материал, необходимый для возбуждения уголовного дела, включает:

1) Заявление потерпевшей стороны (граждане, организации).

2) Объяснения потерпевшего об обстоятельствах происшедшего.

3) Протокол осмотра места происшествия, содержащий сведения об обстановке совершения преступления и обнаруженных следах.

4) Рапорт оперативного работника уголовного розыска о результатах предварительной проверки.

4. Типичные следственные ситуации и следственные действия первоначального этапа расследования

Анализ отечественного и зарубежного опыта показывает, что можно выделить три типичные следственные ситуации.

Собственник информационной системы собственными силами выявил нарушения целостности (конфиденциальности) информации в системе, обнаружил виновное лицо и заявил об этом в правоохранительные органы.

Собственник самостоятельно выявил указанные нарушения в систе ме, однако не смог обнаружить виновное лицо и заявил об этом в право охранительные органы.

Данные о нарушениях целостности (конфиденциальности) информа ции в информационной системе и виновном лице стали известными или непосредственно обнаружены органом дознания (например, в ходе прове дения оперативно-розыскных мероприятий по другому делу).

Последовательность действий:

а). Действие следователя в ситуации «Незаконное вмешательство в работу ЭВМ и их систем (искажение или уничтожение информации и их носителей)».

Проникнуть в компьютерную систему можно двумя путями: 1. - сотрудником компьютерной системы организации, фирмы, в этом случае преступника следует искать среди «своих»; 2. - из терминала какого-нибудь иного компьютера входящего в компьютерную сеть, в этом случае преступник «чужой».

Установление места проникновения начинается выяснения структуры сети (если это локальная сеть из нескольких ПЭВМ, то достаточно экранировать её от внешнего электромагнитного воздействия и произвести осмотр с участием специалиста.

Необходимо зафиксировать общее техническое состояние компьютеров, наличие хранящейся информации, произвести осмотр, обыск и выемку документации: инструкций, регулирующих правила эксплуатации и допуска к работе на компьютере.

Следует допросить лиц, имеющих доступ к работающей компьютерной системе и установить, как часто наблюдались сбои в компьютере, кто в это время работал на других компьютерах локальной системы; какими пользовались дискетами с записями или чистыми; как давно и при чьем участии обновлялись коды, пароли и другие защитные средства; кто приносил на работу дискеты, диски под предлогом, компьютерной игры или перезаписи. Кто из работников часто производит различные перезаписи, интересуется распечатками операторов других локальной системы и т.п.

Место проникновения может быть непосредственным и удаленным, т.е. через другие компьютерные системы.

Сложнее установить удаленное место проникновения, поскольку в такой системе, как Интернет миллионы компьютеров и с каждого из них при наличии определенных знаний можно проникнуть в любую индивидуальную систему. Для решения такой задачи надо проводить предварительное специальное исследование, приглашать специалистов различных профилей информатики- программирования, вычислительной техники, эксплуатационников и средств защиты компьютерных систем, их сетей и назначать судебную экспертизу.

Время совершения преступлениям - менее сложная задача, поскольку в компьютерах установлено текущее время, которым все операции (незаконное проникновение и введение какой-либо информации) фиксируются до минут и секунд в оперативной памяти.

Способ совершения очевиден при непосредственном механическом проникновении и скрыт при физическом проникновении с удаленного места совершения преступления. Иногда установить его можно путем допроса свидетелей из числа сотрудников компьютерной локальной сети либо производством судебной экспертизы.

Перед экспертом обычно ставят вопрос: «Каким способом мог быть совершен несанкционированный доступ в данную компьютерную систему?».

Установление лица, совершившего КП одна из главных задач и осуществляется в ходе расследования.

Таким образом, для разрешения первой следственной ситуации производят следующие следственные действия: осмотр, задержание, обыск, выемку, допрос, следственный эксперимент и судебные экспертизы.

б). Действия следователя при разрешении ситуации «Кража, хищение либо завладение компьютерной информацией».

Кражи, как правило, совершают «чужие», а хищения - «свои» преступники. Применяются различные способы, поэтому информация о кражах, хищениях может поступать как от банковских структур, так и от конкретных клиентов.

Проводится доследственная проверка, разумеется главным образом оперативио-розыскными средствами и силами контрольно-ревизионных структур.

После возбуждения уголовного дела первоначальными следственными действиями являются: осмотр, допрос, обыск, выемка, задержание, судебные экспертизы.

Надо заметить, что банкиры редко обращаются в правоохранительные органы поскольку не желают портить престиж банка, они списывают недостачи на сбои компьютерной системы, а клиентам возвращают деньги. Допросом свидетелей, подозреваемых из числа пользователей системой и посторонних лиц необходимо выяснить: вид помех, при каких обстоятельствах они были обнаружены, какая информация повреждена, а какая осталась не тронутой, последнее позволит строить частные версии о подозреваемых лицах, сузит их круг. При этом надо помнить, что не всегда изменения компьютерной информации являются умышленными. Нередко причиной становится случайный сбой.

в). Действия следователя в ситуации «Нарушение правил эксплуатации ЭВМ и их систем» (кража, ЭВМ).

Начинаем с установления факта нарушения правил эксплуатации компьютерной системы или сети, что повлекло искажение, утрату или кражу информации.

Обычно лицо, нарушающее правила эксплуатации известно - это сотрудник, которому поручена ответственность за сохранность хранящейся в ЭВМ и системе компьютерной информации. При этом надо помнить, что в систему может проникнуть так же и «чужой» преступник.

Расследование начинается осмотром рабочих мест сотрудников; выемкой документов, регулирующих правила работы пользователей компьютерной системы (осмотр и выемку документов надо производить с участием специалиста); допросами свидетелей, (желательно начинать после изучения документации, регулирующей работу компьютерной системы).

У каждого свидетеля выясняют следующие обстоятельства: а) какие у него обязанности в данной организации, фирме, какую конкретную работу на компьютере либо ином оборудовании он выполняет; б) какую работу выполнял он, когда произошел сбой, изменение, блокирование компьютерной информации; в) какие правила работы нарушены; г) где и как должны фиксироваться факты уничтожения, изменения, блокировки информации; д) связаны ли произошедшие изменения в компьютерной сети с нарушением правил эксплуатации.

Во всех этих случаях алгоритм действий следователя таков:

А). При наличии заподозренного лица первоначальная задача следствия заключается в сборе с помощью собственника информационной системы и процессуальной фиксации доказательств:

а) нарушения целостности или конфиденциальности информации в системе;

б) размера ущерба, причиненного нарушением целостности или конфи денциальности информации;

в) причинной связи между действиями, образующими способ наруше ния, и наступившими последствиями путем детализации способа нарушения целостности или конфиденциальности информации в системе и характера совершенных виновным действий;

г) отношения заподозренного к совершенным действиям и наступившим последствиям.

Если преступник задержан на месте совершения преступления или сразу же после его совершения, в данной ситуации характерны следующие первоначальные следственные действия:

личный обыск задержанного;

допрос задержанного;

обыск по месту жительства задержанного.

К типичным следственным действиям на данной стадии можно отнести также осмотр и фиксацию состояния ЭВМ, сетей ЭВМ и машинных носителей, допросы очевидцев, а также лиц, обеспечивающих работу информационной системы (в том числе должностных лиц, представляющих собственника системы).

Важнейшим следственным действием является выемка с участием специалиста документов, в том числе на машинных носителях, фиксировавших состояния информационной системы в момент вторжения в нее злоумышленника или его программ и отражающих последствия вторжения. Одновременно следует принять меры к фиксации состояния рабочего места заподозренного, откуда он осуществил вторжение в информационную систему и где могут сохраняться следы его действий. Такие следы могут быть обнаружены по месту его службы, дома, а также в иных местах, где установлена соответствующая аппаратура (например, студенческие вычислительные центры).

Б). При отсутствии заподозренного лица первоначальная задача заключается в сборе с помощью собственника информационной системы и процессуальной фиксации указанных выше доказательств. Следует принять меры к розыску виновного и поиску его рабочего места, откуда осуществлялось вторжение в информационную систему. Организуется поиск:

места входа в данную информационную систему и способа входа в систему (с помощью должностных лиц собственника информационной системы);

путей следования, через которые вошел в «атакованную» систему пре ступник или проникли его программы.

Круг типичных общих версий сравнительно невелик: преступление действительно имело место при тех обстоятельствах, которые вытекают из первичных материалов; преступления не было, а заявитель добросовестно заблуждается; имеет место ложное заявление о преступлении.

5. Особенности тактики отдельных следственных действий

1). Задержание подозреваемого следует провести немедленно, изолировать его от доступа к компьютерным средствам, произвести их осмотр, обыск рабочего места, а так же обыск по месту жительства. При личном и ином обыске прежде всего надо изымать устройства - пейджер, сотовый и обычный телефон, устройство для постановки транспортного средства под охрану, пульты управления электронными приборами, с помощью которых преступник может подать сигнал и уничтожить в своем или чужом компьютере следы, которые он оставил при несанкционированном проникновении. Дискеты, диски, черновые записи программ, журналы регистрации работы на компьютере и т.п. документы подлежат изъятию.

2). Осмотр, обыск или выемка (выработанные тактические приёмы, как правило, являются общими).

На подготовительном этапе любого из этих действий следователь решает вопрос о необходимости изъятия компьютерной информации.

На эту необходимость, помимо признаков состава преступления в сфере движения компьютерной информации, могут указывать:

- наличие у подозреваемого (обвиняемого) или потерпевшего (в некоторых случаях свидетелей) специального образования в области вычислительной техники и информатики, а также компьютерной техники личном пользовании;

- присутствие в материалах дела документов, изготовленных машинным способом (ответы на запросы, справки, полученные от обвиняемого или потерпевшей стороны);

- хищение носителей компьютерной информации;

- данные об увлечении вышеуказанных лиц вычислительной техникой, информатикой и программированием или об их частых контактах с людьми, имеющими такие увлечения.

На подготовительном этапе осмотра или обыска необходимо получить такие данные:

- вид и конфигурация используемой ЭВМ;

- подключена ли она к локальной или глобальной сети (типа Интернет);

- наличие службы информационной безопасности и защиты;

- система электропитания помещений с вычислительной техникой;

- квалификация пользователей;

- сведения о сотрудниках, обслуживающих вычислительную технику (взаимоотношениях в коллективе, его возможной криминализации и т. д.).

Владение такой информацией облегчит следователю доступ к хранящимся в компьютере информации и максимально повысит ее доказательственную силу.

Часто решающее значение имеет внезапность обыска (неотложность осмотра), поскольку компьютерную информацию можно быстро уничтожить.

Если получены сведения о том, что компьютеры организованы в локальную сеть, следует заранее установить местонахождение всех средств компьютерной техники, подключенных к этой сети, и организовать групповой обыск одновременно во всех помещениях, где установлены ЭВМ.

Следует обеспечить контроль за бесперебойным электроснабжением ЭВМ в момент осмотра, удалить всех посторонних лиц с территории, на которой производится осмотр или обыск, прекратить дальнейший доступ; принять меры к тому, чтобы оставшиеся лица не имели возможности прикасаться к средствам вычислительной техники и к источникам электропитания- Осмотр или обыск целесообразно производить с участием специалиста в области информатики и вычислительной техники. Желательно и в качестве понятых приглашать лиц, знакомых с работой ЭВМ.

Не следует ограничиваться поиском информации только в компьютере; необходимо внимательно осмотреть имеющуюся документацию.

Программисты часто, не надеясь на свою память, оставляют записи о паролях, изменениях конфигурации системы, особенностях построения информационной базы компьютера. Многие пользователи хранят копии своих файлов на дискетах во избежание утраты их при выходе компьютера из строя. Поэтому любые обнаруженные носители информации должны быть изъяты и изучены.

Рабочий этап: Тактика поиска компьютерной информации должна избираться исходя из, во-первых, - степени защищенности данных, во-вторых - функционального состояния компьютера и периферийных устройств на момент производства следственного действия.

Изучение практики показывает: несоблюдение элементарных правил ведет к тому, что деятельность следователя по сбору компьютерной информации не достигает своей цели. Так, присутствующий при обыске подозреваемый незаметно от членов следственно-оперативной группы всего-навсего изменил положение тумблера переключателя рабочего напряжения ПЭВМ, расположенного на задней стенке системного блока, с 220 на 115 вольт. При включении блок питания через некоторое время вышел из строя, что привело к неисправности всего компьютера.

О высокой степени защищенности компьютера может свидетельствовать наличие специальных систем защиты информации от несанкционированного доступа и (или) сертифицированных средств защиты; постоянная охрана территории и здания, где размещается компьютерная система, с помощью технических средств и специального персонала, использование строгого пропускного режима, специальное оборудование помещений; наличие администратора (службы) защиты информации, нормальное функционирование и контроль работы.

Низкая степень защищенности определяется наличием простого алгоритма ограничения доступа (например, данные защищены только паролем), получением достоверных данных о его преодолении, при этом нет необходимости применять специальные средства доступа к данным.

Деятельность следователя по преодолению защиты компьютера от несанкционированного доступа -- одна из самых ответственных. Именно при некорректном обращении защищенные данные могут быть само уничтожены, искажены, спрятаны и т. д. с помощью специальных про грамм.

Чтобы этого не произошло, при подготовке к проведению следственного действия необходимо как можно более точно и полно определить степень защищенности компьютера, средства защиты, пароли ключевые слова и т. д.

С одной стороны, по общему мнению специалистов в области вы числительной техники и программирования, на сегодняшний день не программно-технических средств, способных на 100% гарантировав защиту. Отсюда следует, что, в принципе, возможно преодолеть любую преграду при поиске информации. С другой стороны, существующие средства защиты настолько разнообразны, используют различные алгоритмы и принципы построения защиты, что для их преодоления может понадобиться немало времени. В среде хакеров именно преодоление защиты от несанкционированного доступа является одним из высших подтверждений мастерства.

Причины защиты данных в компьютере различны. Кроме цели противодействия раскрытию и расследованию преступления, пользователи защищают данные от некомпетентности и неаккуратности при выполнении работ на ЭВМ.