Головна
ГоловнаКримінальне, кримінально-процесуальне правоКримінально-процесуальне право → 
« Попередня Наступна »
О.Я. Баєв. Тактика кримінального переслідування і професійного захисту від нього. Слідча тактика: Науково-практичний посібник, 2003 - перейти до змісту підручника

§ 5. Особливості тактики огляду комп'ютерних об'єктів

Як вже зазначалося, слідчі все частіше стикаються з необхідністю огляду комп'ютерної техніки і що міститься в ній або на окремих носіях (дискетах, лазерних дисках) інформації.
Як об'єкт цієї слідчої дії комп'ютерна техніка та комп'ютерна інформація виступають як: а) предмет традиційних злочинних посягань (наприклад, крадіжки). Найчастіше в цих випадках будь-яких тактичних особливостей огляд її не має, представляючи по суті різновид слідчого огляду предметів (і тому тут розглядатися не буде), б) як знаряддя скоєння злочинів, знову ж, як традиційних (наприклад, шахрайства), так і злочинів у сфері комп'ютерної інформації. У таких випадках інші комп'ютери є «потерпілими» від проведеної у відношенні їх «комп'ютерної атаки» (наприклад, в результаті впроваджених у них вірусів типу «троянського коня» дозволяють заволодівати наявної в них інформацією і використовувати її в своїх цілях) і тому також підлягають огляду ; в) як об'єкт, що містить у собі базу інформаційних даних, які мають або можуть мати відношення до розслідуваного злочину. Справа в тому, що вже в даний час бухгалтерський облік у більшості підприємств, установ, інших господарюючих суб'єктів ведеться на безпаперовій, комп'ютерної основі; відображені таким чином дані
* Параграф написаний у співавторстві з Т. Е. Кукарніковой.

Також або стають предметом злочинних посягань, або можуть представляти інтерес для розслідування; г) особи, які мають в особистому або службовому распряжении комп'ютерну техніку, нерідко використовують її як свого роду щоденника, телефонної книжки або для ведення переговорів в мережі Інтернет за електронною поштою. Ці відомості часто також представляють інтерес для розслідування. І от для трьох останніх різновидів використання комп'ютерної техніки в цікавлять слідчого відносинах тактика її огляду вельми специфічна.
Першої характерною рисою є обов'язкове залучення до огляду спеціаліста. Слідчий, як правило, не має досить глибокими навичками і знаннями в області комп'ютерної техніки та інформаційних технологій. І тому без допомоги фахівця він може вчинити непоправні надалі помилки в ході огляду технічної апаратури, зняття необхідної інформації та (або) її вилучення.
Опитування слідчих і фахівців в області обчислювальної техніки показав, що тільки 14% слідчих працюють на комп'ютері на рівні користувача, 56% не знають нічого про принципи його роботи. З іншого боку, 92% з числа опитаних програмістів вважають, що на сучасному рівні розвитку обчислювальної техніки без участі професіонала знайти «заховану» у комп'ютері інформацію без ризику знищення сложно1.
У той же час, залучаючи фахівця, слідчому необхідно переконатися в його компетентності. Справа в тому, що, незважаючи на поширену протилежну думку, загального поняття «спеціаліст з комп'ютерної техніки» не існує. Можна говорити лише про те, що є фахівець, компетентний в конкретних комп'ютерних системах. Так, наприклад, фахівець по операційній системі MS DOS не обов'язково буде знайомий з операційною системою Windows NT, a кваліфікований користувач персонального комп'ютера може не вміти поводитися з великими обчислювальними комплексамі2. Тому необхідний профіль знань конкретного фахівця сле-
1.Касаткін А. В. Тактика збирання і використання комп'ютерної інформації при розслідуванні злочинів: Дисс. канд. юрид. наук. М., 1997. С. 17-18.
2. Курушин В.Д., Мінаєв В.А. Комп'ютерні злочини та інформаційна безпека. М., 1998. С. 157.
124

дме визначати в залежності від цілей і завдань огляду з урахуванням первинних даних про характер злочину.
Звернемо також увагу, що, як уже раніше згадувалося, в якості понятих для участі в огляді цих об'єктів слід залучати людей, обізнаних у комп'ютерній техніці. Очевидно, що їх участь найбільш необхідно саме при даному слідчій дії, щоб виключити можливі згодом посилання зацікавлених осіб про зміни слідчим у ході огляду інформації, що міститься в комп'ютері і на магнітних носіях.
Після прибуття на місце огляду слідчому слід почати з заборони доступу до засобів обчислювальної техніки всім особам, які працюють на об'єкті. Вжити заходів до виявлення та вилучення слідів рук, що залишилися на засувках дисководів, кнопках включення живлення, ділянках корпусу близько гвинтів кріплення кришки корпусу, клавішах клавіатури і миші, роз'ємах портів і мережевих плат, а також на кнопках друкованих пристроїв. У цих місцях зазвичай залишаються сліди рук злочинців. Крім того, не можна виключати можливості доступу в приміщення, де знаходиться комп'ютерна техніка та інформація, сторонніми особами шляхом злому, підбору ключів, в тому числі паролів до електронних замках, на яких також можуть залишитися сліди. При огляді кабельних мережевих сполук потрібно переконатися в їх цілісності, відсутності слідів підключення нештатної апаратури.
У зв'язку з можливістю здійснення злочинів по мережах телекомунікації та локальних обчислювальних мереж (ЛОМ) необхідно встановити розташування всіх комп'ютерів в мережі, конкретне призначення кожного комп'ютера, наявність сервера, місця прокладання кабелів, пристроїв телекомунікації (модемів, факс-модемів), їх розташування та підключення до каналів телефонного зв'язку. Потрібна також з'ясувати наявність спеціальних засобів захисту від несанкціонованого доступу до інформації, вжити заходів до встановлення ключів (паролів). Звернемо увагу на те, що часто вирішальне значення має раптовість дій, оскільки комп'ютерну інформацію можна швидко знищити (у тому числі по мережі), тому в разі об'єднання комп'ютерів у мережу слід організувати груповий обшук-огляд одночасно у всіх приміщеннях, де вони встановлені.
У ході огляду засобів обчислювальної техніки безпосередніми об'єктами його можуть бути: окремі комп'ютери, які не є
125

щіеся складовою частиною локальних або глобальних мереж; робочі станції (комп'ютери), що входять в мережу; файл-сервер, тобто центральний комп'ютер мережі; мережеві лінії зв'язку; сполучні кабелі; принтери; модеми; сканери і т. п1.
При безпосередньому огляді комп'ютера слід оглянути системний блок, щоб визначити, які зовнішні пристрої до нього підключені на даний момент і які могли бути підключені раніше (на це вказує наявність роз'ємів на задній панелі системного блоку). Ця інформація в подальшому допоможе точніше поставити питання перед експертом при призначенні експертизи, вкаже напрямок пошуку і, можливо, полегшить його. Так, наявність модему означає, що комп'ютер підключено до мережі, тобто на ньому може бути встановлена ??поштова програма і програма для роботи з глобальною мережею Інтернет; наявність сканера або роз'єму для підключення сканера - що в пам'яті комп'ютера можуть зберігатися графічні файли, що містять відскановане зображення або текст; наявність звукової плати означає можливість обробки звукової інформації та зберігання звукових файлів; наявність дисководів для гнучких дисків вказує, що необхідно також шукати гнучкі магнітні диски, що містять інформацію; аналогічно наявність дисководів для компакт-дисків вказує на необхідність пошуку лазерних дисків; наявність електронного ключа (компактної електронної приставки розміром із сірникову коробку, яка встановлюється на паралельний або послідовний порт (роз'єм комп'ютера) захищає інформацію і т. д.
Далі звернемо увагу на особливості огляду працюючого і непрацюючого комп'ютерів.
При огляді працюючого комп'ютера необхідно: визначити, яка програма виконується в даний момент. Для цього вивчається зображення на екрані монітора, яке детально описується в протоколі. При необхідності може здійснюватися фотографування або відеозапис зображення на екрані дисплея;
1 Андрєєв СВ. Проблеми теорії і практики криміналістичного документознавців-ня. Іркутськ, 2001.С. 131.
2 Електронний ключ дозволяє користуватися захищеною програмою та її даними тільки при своїй наявності.
126

зупинити виконання програми і зафіксувати в протоколі результати своїх дій, відобразити зміни, що відбулися на екрані комп'ютера;
визначити наявність у комп'ютера зовнішніх пристроїв - накопичувачів інформації на жорстких магнітних дисках (вінчестері), на дискетах і пристроях типу ZIP, наявність віртуального диска (тимчасовий диск, який створюється при запуску комп'ютера для прискорення його роботи), відбивши отримані дані в протоколі; визначити наявність у комп'ютера зовнішніх пристроїв віддаленого доступу до системи і визначити їх стан (підключення до локальної мережі, наявність модему), після чого відключити комп'ютер від мережі і вимкнути модем, відобразивши в протоколі результати своїх дій;
скопіювати програми та файли даних, створені на віртуальному диску (якщо він є), на магнітний носій або на жорсткий диск комп'ютера в окрему директорію; зробити копіювання всієї інформації, що зберігається на жорсткому диску на переносний диск надвеликої місткості типу DVD або навіть на додатковий жорсткий диск, з подальшим дослідженням її в лабораторних умовах. При цьому всі дії з підключення диска надвеликої місткості типу DVD або додаткового жорсткого диска, копіювання інформації фіксуються в протоколі. Для вивчення інформації, записаної на гнучких магнітних дисках, необхідно також зробити з них копії. Точна копія виходить командою в середовищі DOS diskcopy. У результаті її виконання виходить фактично ідентична дискета. (Надалі слід працювати з копіями інформації. Робота з копіями дозволяє зберегти вихідну інформацію в недоторканності, що, по-перше, в якійсь мірі є засобом захисту від підроблення, а по-друге, навіть у дуже досвідчених користувачів бувають ситуації, коли інформація втрачається, наприклад внаслідок раптового відключення електрики, тому при виробництві експертизи частина інформації може ненавмисно загубитися; і по-третє, дає можливість згодом при необхідності проводити повторну або додаткову експертизу; вимкнути комп'ютер і продовжити його огляд. Перед вимиканням живлення потрібен коректно завершити всі виконувані в
127

даний момент програми, по можливості зберегти всю проміжну інформацію (тексти, інформацію стану, зміст буферів обміну та ін) в спеціальних файлах, якщо можливо - на окремих дискетах, в іншому випадку - на жорсткому диску комп'ютера. У протоколі вказати імена цих файлів, вид інформації, що зберігається в кожному, розташування файлів (найменування дискет і їх маркування або логічний диск і каталог на вінчестері комп'ютера); вимкнути комп'ютер, який піддався впливу, а за наявності мережі - вимкнути всі комп'ютери в мережі. Якщо через особливості функціонування системи це неможливо, то слід вжити всіх заходів для виключення доступу до інформації даного комп'ютера, по можливості зняти з неї копію і вжити заходів для фіксації всіх змін інформації, які відбуватимуться згодом. При огляді непрацюючого комп'ютера необхідно:
| встановити і відобразити в протоколі і на що додається до нього схемою місцезнаходження комп'ютера і його периферійних пристроїв (принтера, модему, клавіатури, монітора і т. п.), призначення кожного пристрою, назва, серійний номер, комплектацію (наявність і тип дисководів, мережевих карт, роз'ємів та ін), наявність з'єднання з локальної обчислювальної мережею та (або) мережами телекомунікації, стан пристроїв (ціле або із слідами розтину);
| точно описати порядок з'єднання між собою зазначених пристроїв, промаркований (при необхідності) сполучні кабелі і порти їх підключення, після чого роз'єднати пристрої комп'ютера;
| в ході огляду комп'ютера необхідно за допомогою фахівця встановити наявність всередині комп'ютера нештатної апаратури, вилучення мікросхем, відключення внутрішнього джерела живлення (акумулятора);
| упакувати (із зазначенням в протоколі місця їх виявлення) магнітні носії на дискетах і стрічках. Для упаковки можуть використовуватися як спеціальні футляри для дискет, так і звичайні паперові та целофанові пакети, що виключають потрапляння пилу (загряз-.., нений і т. п .) на робочу поверхню дискети або магнітної стрічки; упакувати кожен пристрій комп'ютера і сполучні кабелі. Попередньо, для виключення доступу сторонніх осіб, необхідно опечатати системний блок - заклеїти захисною стрічкою кнопку включення комп'ютера і гніздо для підключення електрокабелю, а також місця-з'єднання бічних поверхонь з передньої і задньої панелями.
Якщо в ході огляду та вилучення комп'ютерної техніки виникає необхідність включення комп'ютера, його запуск необхідно здійснювати з заздалегідь підготовленої завантажувальної дискети, виключивши тим самим запуск програм користувача.
У протоколі огляду має бути відображено:
| кількість і схема розташування робочих місць, порядок розміщення комп'ютерного обладнання та місць зберігання машинних носіїв інформації;
| місцерозташування даного приміщення в будівлі установи, наявність охоронної сигналізації, стан віконних і дверних прорізів (пошкодження, технічний стан), запірних пристроїв, що екранують засобів захисту;
| становище перемикачів на блоках і пристроях СКТ;
  | Місця підключення периферійних пристроїв (наприклад, з'єднувальний кабель між комунікаційними портами принтера і системним блоком комп'ютера), гвинти кріплення кришок корпусу, поверхні під системним блоком, монітором та іншими пристроями. Зазвичай в цих місцях відбувається скупчення пилу, а значить можуть залишитися сліди, характер або відсутність яких має бути відображено в протоколі;
  | Наявність і стан всіх позначок, пломб, спеціальних знаків і наклейок (інвентарних номерів, записів на пам'ять, контрольних маркерів фірм-продавців та ін), нанесених на корпусу і пристрої комп'ютерів, наявність забруднень, механічних пошкоджень і їх локалізація;
  | Стан індикаторних ламп та зміст інформації, яка виводиться на монітор (якщо комп'ютер включений); при цьому необхідно враховувати, що для запобігання вигоряння екрана в більшості комп'ютерів використовують спеціальні заставки - зберігачі екрану, які можуть бути захищені паролем. У протоколі також має бути зафіксований вид цього зберігача;
  | Наявність і зміст записів, що відносяться до роботи комп'ютерної техніки. У них можуть виявитися відомості про процедури входу-виходу в комп'ютерну систему, паролі доступу тощо;
  129

  | Наявність всередині комп'ютерної техніки нештатної апаратури і різних пристроїв;
  | Сліди порушення апаратної системи захисту інформації та інші ознаки впливу на електронну техніку (механічні пошкодження);
  | Місце виявлення кожного носія комп'ютерної інформації, характер його упаковки (конверти, спеціальний футляр-бокс для зберігання дискет, фольга тощо), написи або наклейки на упаковці та інші особливості, тип і розмір (в дюймах), виробник та тип комп'ютера, для якого призначений виявлений носій, характерні ознаки (стан засобів захисту від стирання, подряпини, гравіювання, різні пошкодження і т. п.).
  На додаток до протоколу, крім складання схеми розташування комп'ютерів і периферійних пристроїв в приміщенні і з'єднання комп'ютерів в мережі, за допомогою відео-або фотозйомки рекомендується зафіксувати інформацію на екрані монітора, індикаторних панелях, положення перемикачів і стан індикаторних ламп всіх пристроїв комп'ютерної системи, про що зробити відповідні записи в протоколі.
  Носії інформації, що має відношення до розслідуваної події, можуть бути вилучені в ході огляду з дотриманням встановленого КПК порядку. При цьому необхідно пам'ятати, що звертатися з носіями машинної інформації, як то: жорсткими магнітними дисками (вінчестерами), оптичними дисками, дискетами і т. п., слід обережно - не торкатися руками до робочої поверхні дисків, не піддавати їх електромагнітному впливу, не згинати і не зберігати без відповідної упаковки, не робити на них ніяких позначок авторучкою або жорстким олівцем (допускається нанесення написів на етикетку фломастером), що не пробивати отвори в магнітних носіях або ставити на них печатки.
  СКТ, які слідчий не визнав за необхідне в ході огляду вилучати (нагадаємо, що вилученню при огляді підлягають тільки ті предмети, які можуть мати відношення до кримінальної справи - ст. 177 ч. 3 КПК), слід опечатати наклеюванням аркуша паперу з підписами слідчого і понятих на роз'єми електроживлення та корпус, або опечатати весь системний блок. Це необхідно для
  130

  виключення можливості окремим особам на певний необхідну слідчому з урахуванням конкретних обставин розслідуваної справи час його включення і використання, доступу всередину системного блоку. 
 « Попередня  Наступна »
 = Перейти до змісту підручника =
 Інформація, релевантна "§ 5. Особливості тактики огляду комп'ютерних об'єктів"
  1.  § 1. Слідчий огляд: поняття, сутність, види
      особливість абсолютно точно була відзначена і підкреслена у визначенні слідчого огляду, сформульованого Р. С. Бєлкіним в «Криміналістичної енциклопедії»: огляд слідчий - «слідча дія, що проводиться для безпосереднього виявлення і дослідження об'єктів, що мають значення для справи, їх ознак, властивостей, стану і взаиморасположения ... Здійснюється слідчим або
  2.  § 2. Загальні положення тактики слідчого огляду
      особливості проведення огляду таких об'єктів, як поштово-телеграфна кореспонденція, записи телефонних та інших переговорів, труп, обвинувачений, підозрюваний, свідок і потерпілий. Оскільки норми кримінально-процесуального закону не тільки є правовою основою слідчої тактики, а й фіксують у собі тактичні прийоми і рекомендації, що показали свою оптимальність у всіх мислимих
  3.  § 2. Загальні положення тактики обшуку і виїмки
      особливо при обшуку в осіб, підозрюваних або звинувачених у скоєнні тяжких злочинів (в першу чергу, насильницьких і корисливо-насильницьких), а також раніше судимих ??за подібні злочини. Більше того, ми вважаємо, що обшук в приміщенні чи іншому місці, що займається такими особами, а також спрямований на виявлення розшукуваних осіб, і повинен починатися безпосередньо з ретельного
  4.  § 1. Форми використання спеціальних пізнань при розслідуванні злочинів; види судових експертиз
      особливості функціонування системи, щодо якої ведеться розслідування (наприклад, підзвітності в ній окремих посадових осіб, прийнятих у ній форм звітності тощо) до обговорення з відповідним фахівцем формулювань питань, які слід поставити перед допитуваним (що дуже важливо при розслідуванні 344 злочинів , що мають техногенний характер) або питань,
  5.  § 2. Підготовчий етап призначення судової експертизи
      особливості його полягають у зміні послідовності стадій його проведення (спочатку «польова стадія», потім «кабінетна», тоді як при підготовці до виробництва інших слідчих дій їх послідовність протилежна), а також більш складної щодо інших дій самої його структури. Починається він з виявлення і вилучення об'єктів, які надалі передбачається
  6.  Глава 9 Обов'язкові тактичні операції при розслідуванні злочинів
      особливо органів дізнання. Вражаючі дані в цьому відношенні призводить начальник відділу з розслідування бандитизму та умисних вбивств слідчого управління прокуратури Воронезької області В. І. Саньков. «Вивчення кримінальних справ про умисні вбивства, розслідувалися слідчим управлінням прокуратури Воронезької області, - пише він, - показує, що в період з 1996 по 1999 р. за
  7.  Основна література з криміналістичної тактиці
      особливості слідчих дій, що проводяться за участю підозрюваних (обвинувачених) рецидивістів. Саратов, 1987. Биховський І Е. Процесуальні і тактичні питання проведення слідчих дій. Волгоград, 1977. Васильєв А. Н. Слідча тактика. М, 1976. Васильєв А. Н. Тактика окремих слідчих дій. М, 1981. Возгрин І. А. Загальні положення криміналістичної тактики. Л.,
  8.  § 1. Криміналістична тактика і її система
      особливість військової тактики (її будемо мати на увазі, ведучи мову про різні види криміналістичної тактики): «Кожен вид збройних сил і рід військ, виходячи з притаманних їм особливостей, має свою теорію і практику з організації та ведення бою, а отже, і свою тактику, яка називається тактикою виду збройних сил або роду військ ». У самому широкому сенсі слова тактика як спосіб
  9.  § 3. Основи планування попереднього розслідування злочинів
      тактики і методик розслідування окремих видів злочинів і цілеспрямовано звертатися до них при плануванні розслідування конкретних кримінальних справ. Починаючому слідчому, не 60 має свого серйозного слідчого досвіду, у багатьох випадках в основу планування доречно покласти так званий програмно-цільовий метод, розроблений Г. А. Густовим, А. С. Шаталовим та іншими
  10.  § 3. Тактика огляду місця події
      особливості справи »'. І, нарешті, остання тактична рекомендація до заключного етапу огляду місця події: якщо є можливість зберегти на якийсь час місце події без змін, то, безумовно, її слід використовувати шляхом, наприклад, опечатування 1 Анушат Еріх. Мистецтво розкриття злочинів і закони логіки. М., 2001. С. 21. 109 квартири, службового