| Головна |
| « Попередня | Наступна » | |
§ 5. Особливості тактики огляду комп'ютерних об'єктів |
||
|
Як об'єкт цієї слідчої дії комп'ютерна техніка та комп'ютерна інформація виступають як: а) предмет традиційних злочинних посягань (наприклад, крадіжки). Найчастіше в цих випадках будь-яких тактичних особливостей огляд її не має, представляючи по суті різновид слідчого огляду предметів (і тому тут розглядатися не буде), б) як знаряддя скоєння злочинів, знову ж, як традиційних (наприклад, шахрайства), так і злочинів у сфері комп'ютерної інформації. У таких випадках інші комп'ютери є «потерпілими» від проведеної у відношенні їх «комп'ютерної атаки» (наприклад, в результаті впроваджених у них вірусів типу «троянського коня» дозволяють заволодівати наявної в них інформацією і використовувати її в своїх цілях) і тому також підлягають огляду ; в) як об'єкт, що містить у собі базу інформаційних даних, які мають або можуть мати відношення до розслідуваного злочину. Справа в тому, що вже в даний час бухгалтерський облік у більшості підприємств, установ, інших господарюючих суб'єктів ведеться на безпаперовій, комп'ютерної основі; відображені таким чином дані * Параграф написаний у співавторстві з Т. Е. Кукарніковой. Також або стають предметом злочинних посягань, або можуть представляти інтерес для розслідування; г) особи, які мають в особистому або службовому распряжении комп'ютерну техніку, нерідко використовують її як свого роду щоденника, телефонної книжки або для ведення переговорів в мережі Інтернет за електронною поштою. Ці відомості часто також представляють інтерес для розслідування. І от для трьох останніх різновидів використання комп'ютерної техніки в цікавлять слідчого відносинах тактика її огляду вельми специфічна. Першої характерною рисою є обов'язкове залучення до огляду спеціаліста. Слідчий, як правило, не має досить глибокими навичками і знаннями в області комп'ютерної техніки та інформаційних технологій. І тому без допомоги фахівця він може вчинити непоправні надалі помилки в ході огляду технічної апаратури, зняття необхідної інформації та (або) її вилучення. Опитування слідчих і фахівців в області обчислювальної техніки показав, що тільки 14% слідчих працюють на комп'ютері на рівні користувача, 56% не знають нічого про принципи його роботи. З іншого боку, 92% з числа опитаних програмістів вважають, що на сучасному рівні розвитку обчислювальної техніки без участі професіонала знайти «заховану» у комп'ютері інформацію без ризику знищення сложно1. У той же час, залучаючи фахівця, слідчому необхідно переконатися в його компетентності. Справа в тому, що, незважаючи на поширену протилежну думку, загального поняття «спеціаліст з комп'ютерної техніки» не існує. Можна говорити лише про те, що є фахівець, компетентний в конкретних комп'ютерних системах. Так, наприклад, фахівець по операційній системі MS DOS не обов'язково буде знайомий з операційною системою Windows NT, a кваліфікований користувач персонального комп'ютера може не вміти поводитися з великими обчислювальними комплексамі2. Тому необхідний профіль знань конкретного фахівця сле- 1.Касаткін А. В. Тактика збирання і використання комп'ютерної інформації при розслідуванні злочинів: Дисс. канд. юрид. наук. М., 1997. С. 17-18. 2. Курушин В.Д., Мінаєв В.А. Комп'ютерні злочини та інформаційна безпека. М., 1998. С. 157. 124 дме визначати в залежності від цілей і завдань огляду з урахуванням первинних даних про характер злочину. Звернемо також увагу, що, як уже раніше згадувалося, в якості понятих для участі в огляді цих об'єктів слід залучати людей, обізнаних у комп'ютерній техніці. Очевидно, що їх участь найбільш необхідно саме при даному слідчій дії, щоб виключити можливі згодом посилання зацікавлених осіб про зміни слідчим у ході огляду інформації, що міститься в комп'ютері і на магнітних носіях. Після прибуття на місце огляду слідчому слід почати з заборони доступу до засобів обчислювальної техніки всім особам, які працюють на об'єкті. Вжити заходів до виявлення та вилучення слідів рук, що залишилися на засувках дисководів, кнопках включення живлення, ділянках корпусу близько гвинтів кріплення кришки корпусу, клавішах клавіатури і миші, роз'ємах портів і мережевих плат, а також на кнопках друкованих пристроїв. У цих місцях зазвичай залишаються сліди рук злочинців. Крім того, не можна виключати можливості доступу в приміщення, де знаходиться комп'ютерна техніка та інформація, сторонніми особами шляхом злому, підбору ключів, в тому числі паролів до електронних замках, на яких також можуть залишитися сліди. При огляді кабельних мережевих сполук потрібно переконатися в їх цілісності, відсутності слідів підключення нештатної апаратури. У зв'язку з можливістю здійснення злочинів по мережах телекомунікації та локальних обчислювальних мереж (ЛОМ) необхідно встановити розташування всіх комп'ютерів в мережі, конкретне призначення кожного комп'ютера, наявність сервера, місця прокладання кабелів, пристроїв телекомунікації (модемів, факс-модемів), їх розташування та підключення до каналів телефонного зв'язку. Потрібна також з'ясувати наявність спеціальних засобів захисту від несанкціонованого доступу до інформації, вжити заходів до встановлення ключів (паролів). Звернемо увагу на те, що часто вирішальне значення має раптовість дій, оскільки комп'ютерну інформацію можна швидко знищити (у тому числі по мережі), тому в разі об'єднання комп'ютерів у мережу слід організувати груповий обшук-огляд одночасно у всіх приміщеннях, де вони встановлені. У ході огляду засобів обчислювальної техніки безпосередніми об'єктами його можуть бути: окремі комп'ютери, які не є 125 щіеся складовою частиною локальних або глобальних мереж; робочі станції (комп'ютери), що входять в мережу; файл-сервер, тобто центральний комп'ютер мережі; мережеві лінії зв'язку; сполучні кабелі; принтери; модеми; сканери і т. п1. При безпосередньому огляді комп'ютера слід оглянути системний блок, щоб визначити, які зовнішні пристрої до нього підключені на даний момент і які могли бути підключені раніше (на це вказує наявність роз'ємів на задній панелі системного блоку). Ця інформація в подальшому допоможе точніше поставити питання перед експертом при призначенні експертизи, вкаже напрямок пошуку і, можливо, полегшить його. Так, наявність модему означає, що комп'ютер підключено до мережі, тобто на ньому може бути встановлена поштова програма і програма для роботи з глобальною мережею Інтернет; наявність сканера або роз'єму для підключення сканера - що в пам'яті комп'ютера можуть зберігатися графічні файли, що містять відскановане зображення або текст; наявність звукової плати означає можливість обробки звукової інформації та зберігання звукових файлів; наявність дисководів для гнучких дисків вказує, що необхідно також шукати гнучкі магнітні диски, що містять інформацію; аналогічно наявність дисководів для компакт-дисків вказує на необхідність пошуку лазерних дисків; наявність електронного ключа (компактної електронної приставки розміром із сірникову коробку, яка встановлюється на паралельний або послідовний порт (роз'єм комп'ютера) захищає інформацію і т. д. Далі звернемо увагу на особливості огляду працюючого і непрацюючого комп'ютерів. При огляді працюючого комп'ютера необхідно: визначити, яка програма виконується в даний момент. Для цього вивчається зображення на екрані монітора, яке детально описується в протоколі. При необхідності може здійснюватися фотографування або відеозапис зображення на екрані дисплея; 1 Андрєєв СВ. Проблеми теорії і практики криміналістичного документознавців-ня. Іркутськ, 2001.С. 131. 2 Електронний ключ дозволяє користуватися захищеною програмою та її даними тільки при своїй наявності. 126 зупинити виконання програми і зафіксувати в протоколі результати своїх дій, відобразити зміни, що відбулися на екрані комп'ютера; визначити наявність у комп'ютера зовнішніх пристроїв - накопичувачів інформації на жорстких магнітних дисках (вінчестері), на дискетах і пристроях типу ZIP, наявність віртуального диска (тимчасовий диск, який створюється при запуску комп'ютера для прискорення його роботи), відбивши отримані дані в протоколі; визначити наявність у комп'ютера зовнішніх пристроїв віддаленого доступу до системи і визначити їх стан (підключення до локальної мережі, наявність модему), після чого відключити комп'ютер від мережі і вимкнути модем, відобразивши в протоколі результати своїх дій; скопіювати програми та файли даних, створені на віртуальному диску (якщо він є), на магнітний носій або на жорсткий диск комп'ютера в окрему директорію; зробити копіювання всієї інформації, що зберігається на жорсткому диску на переносний диск надвеликої місткості типу DVD або навіть на додатковий жорсткий диск, з подальшим дослідженням її в лабораторних умовах. При цьому всі дії з підключення диска надвеликої місткості типу DVD або додаткового жорсткого диска, копіювання інформації фіксуються в протоколі. Для вивчення інформації, записаної на гнучких магнітних дисках, необхідно також зробити з них копії. Точна копія виходить командою в середовищі DOS diskcopy. У результаті її виконання виходить фактично ідентична дискета. (Надалі слід працювати з копіями інформації. Робота з копіями дозволяє зберегти вихідну інформацію в недоторканності, що, по-перше, в якійсь мірі є засобом захисту від підроблення, а по-друге, навіть у дуже досвідчених користувачів бувають ситуації, коли інформація втрачається, наприклад внаслідок раптового відключення електрики, тому при виробництві експертизи частина інформації може ненавмисно загубитися; і по-третє, дає можливість згодом при необхідності проводити повторну або додаткову експертизу; вимкнути комп'ютер і продовжити його огляд. Перед вимиканням живлення потрібен коректно завершити всі виконувані в 127 даний момент програми, по можливості зберегти всю проміжну інформацію (тексти, інформацію стану, зміст буферів обміну та ін.) в спеціальних файлах, якщо можливо - на окремих дискетах, в іншому випадку - на жорсткому диску комп'ютера. У протоколі вказати імена цих файлів, вид інформації, що зберігається в кожному, розташування файлів (найменування дискет і їх маркування або логічний диск і каталог на вінчестері комп'ютера); вимкнути комп'ютер, який піддався впливу, а за наявності мережі - вимкнути всі комп'ютери в мережі. Якщо через особливості функціонування системи це неможливо, то слід вжити всіх заходів для виключення доступу до інформації даного комп'ютера, по можливості зняти з неї копію і вжити заходів для фіксації всіх змін інформації, які відбуватимуться згодом. При огляді непрацюючого комп'ютера необхідно: | встановити і відобразити в протоколі і на що додається до нього схемою місцезнаходження комп'ютера і його периферійних пристроїв (принтера, модему, клавіатури, монітора і т. п.), призначення кожного пристрою, назва, серійний номер, комплектацію (наявність і тип дисководів, мережевих карт, роз'ємів та ін.), наявність з'єднання з локальної обчислювальної мережею та (або) мережами телекомунікації, стан пристроїв (ціле або із слідами розтину); | точно описати порядок з'єднання між собою зазначених пристроїв, промаркований (при необхідності) сполучні кабелі і порти їх підключення, після чого роз'єднати пристрої комп'ютера; | в ході огляду комп'ютера необхідно за допомогою фахівця встановити наявність всередині комп'ютера нештатної апаратури, вилучення мікросхем, відключення внутрішнього джерела живлення (акумулятора); | упакувати (із зазначенням в протоколі місця їх виявлення) магнітні носії на дискетах і стрічках. Для упаковки можуть використовуватися як спеціальні футляри для дискет, так і звичайні паперові та целофанові пакети, що виключають потрапляння пилу (загряз-.., нений і т. п .) на робочу поверхню дискети або магнітної стрічки; упакувати кожен пристрій комп'ютера і сполучні кабелі. Попередньо, для виключення доступу сторонніх осіб, необхідно опечатати системний блок - заклеїти захисною стрічкою кнопку включення комп'ютера і гніздо для підключення електрокабелю, а також місця-з'єднання бічних поверхонь з передньої і задньої панелями. Якщо в ході огляду та вилучення комп'ютерної техніки виникає необхідність включення комп'ютера, його запуск необхідно здійснювати з заздалегідь підготовленої завантажувальної дискети, виключивши тим самим запуск програм користувача. У протоколі огляду має бути відображено: | кількість і схема розташування робочих місць, порядок розміщення комп'ютерного обладнання та місць зберігання машинних носіїв інформації; | місцерозташування даного приміщення в будівлі установи, наявність охоронної сигналізації, стан віконних і дверних прорізів (пошкодження, технічний стан), запірних пристроїв, що екранують засобів захисту; | становище перемикачів на блоках і пристроях СКТ; | Місця підключення периферійних пристроїв (наприклад, з'єднувальний кабель між комунікаційними портами принтера і системним блоком комп'ютера), гвинти кріплення кришок корпусу, поверхні під системним блоком, монітором та іншими пристроями. Зазвичай в цих місцях відбувається скупчення пилу, а значить можуть залишитися сліди, характер або відсутність яких має бути відображено в протоколі; | Наявність і стан всіх позначок, пломб, спеціальних знаків і наклейок (інвентарних номерів, записів на пам'ять, контрольних маркерів фірм-продавців та ін.), нанесених на корпусу і пристрої комп'ютерів, наявність забруднень, механічних пошкоджень і їх локалізація; | Стан індикаторних ламп та зміст інформації, яка виводиться на монітор (якщо комп'ютер включений); при цьому необхідно враховувати, що для запобігання вигоряння екрана в більшості комп'ютерів використовують спеціальні заставки - зберігачі екрану, які можуть бути захищені паролем. У протоколі також має бути зафіксований вид цього зберігача; | Наявність і зміст записів, що відносяться до роботи комп'ютерної техніки. У них можуть виявитися відомості про процедури входу-виходу в комп'ютерну систему, паролі доступу тощо; 129 | Наявність всередині комп'ютерної техніки нештатної апаратури і різних пристроїв; | Сліди порушення апаратної системи захисту інформації та інші ознаки впливу на електронну техніку (механічні пошкодження); | Місце виявлення кожного носія комп'ютерної інформації, характер його упаковки (конверти, спеціальний футляр-бокс для зберігання дискет, фольга тощо), написи або наклейки на упаковці та інші особливості, тип і розмір (в дюймах), виробник та тип комп'ютера, для якого призначений виявлений носій, характерні ознаки (стан засобів захисту від стирання, подряпини, гравіювання, різні пошкодження і т. п.). На додаток до протоколу, крім складання схеми розташування комп'ютерів і периферійних пристроїв в приміщенні і з'єднання комп'ютерів в мережі, за допомогою відео-або фотозйомки рекомендується зафіксувати інформацію на екрані монітора, індикаторних панелях, положення перемикачів і стан індикаторних ламп всіх пристроїв комп'ютерної системи, про що зробити відповідні записи в протоколі. Носії інформації, що має відношення до розслідуваної події, можуть бути вилучені в ході огляду з дотриманням встановленого КПК порядку. При цьому необхідно пам'ятати, що звертатися з носіями машинної інформації, як то: жорсткими магнітними дисками (вінчестерами), оптичними дисками, дискетами і т. п., слід обережно - не торкатися руками до робочої поверхні дисків, не піддавати їх електромагнітному впливу, не згинати і не зберігати без відповідної упаковки, не робити на них ніяких позначок авторучкою або жорстким олівцем (допускається нанесення написів на етикетку фломастером), що не пробивати отвори в магнітних носіях або ставити на них печатки. СКТ, які слідчий не визнав за необхідне в ході огляду вилучати (нагадаємо, що вилученню при огляді підлягають тільки ті предмети, які можуть мати відношення до кримінальної справи - ст. 177 ч. 3 КПК), слід опечатати наклеюванням аркуша паперу з підписами слідчого і понятих на роз'єми електроживлення та корпус, або опечатати весь системний блок. Це необхідно для 130 виключення можливості окремим особам на певний необхідну слідчому з урахуванням конкретних обставин розслідуваної справи час його включення і використання, доступу всередину системного блоку. |
||
| « Попередня | Наступна » | |
|
|
||
Інформація, релевантна "§ 5. Особливості тактики огляду комп'ютерних об'єктів" |
||
|
||