ВОПРОСЫ КРИМИНАЛИСТИКИ И СУДЕБНЫХ ЭКСПЕРТИЗ
© 2004 г. А. Ю. Семенов
НЕКОТОРЫЕ АСПЕКТЫ ВЫЯВЛЕНИЯ, ИЗЪЯТИЯ И ИССЛЕДОВАНИЯ СЛЕДОВ, ВОЗНИКАЮЩИХ ПРИ СОВЕРШЕНИИ ПРЕСТУПЛЕНИЙ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ
В связи с развитием компьютерной техники, информационных сетей и технологий перед отечественными правоохранительными органами все острей стоит вопрос о выработке наиболее эффективной практической методики расследования преступлений в сфере компьютерной информации. Основной проблемой на пути подобной разработки стоит общий низкий уровень информированности сотрудников правоохранительных органов о том, с чем им необходимо бороться, то есть о преступлениях, совершаемых с помощью электронных вычислительных машин. Одним из основных и необходимых этапов расследования подобных преступлений выступает обнаружение, фиксация и исследование следов совершения данных преступлений. С учетом специфики средств совершения данных преступлений (то есть, компьютерной техники) их следы представляют собой совокупность материально фиксированных, или классических «трасологических», следов (отпечатки пальцев на клавиатуре, элементах системного блока, модеме , всевозможные микроследы на этих же объектах и т.д.) и, так называемых, виртуальных следов, то есть следов на магнитных носителях, указывающих на время работы подозреваемого с ЭВМ, на время осуществления удаленного доступа (работы в «интернет», например), на объем полученной информации с других компьютеров и серверов, и, непосредственно, сама полученная информация и прочее. В литературе под виртуальными следами понимают любое изменение состояния автоматизированной информационной системы, связанное с событием преступления и зафиксированное в виде компьютерной информации. Данные следы занимают условно промежуточную позицию между материальными и идеальными следами1. Особенную сложность для сотрудников правоохранительных органов представляет работа именно со второй группой следов. «Виртуальные следы»- по сути дела это информация, компьютерная информация, которая находится в «файлах». При расследовании компьютерных преступлений всегда важно учитывать, что следы, указывающие на то, что подозреваемый работал на каком-то конкретном компьютере, не имеют практически никакой ценности. Причиной этому служит тот факт, что нередко орудием рассматриваемых преступлений является домашний или служебный компьютер подозреваемого, который ис-
1 Мещеряков В. А. Основы методики расследования преступлений в сфере компьютерной информации: Автореф. дис. Воронеж, 2001. С. 33.
пользуется им постоянно. Более важными являются те особенности обнаруженных следов, которые могут дать информацию о времени работы подозреваемого с компьютером. Но сама по себе такая информация особой важности не имеет. Необходимо соотнести полученные данные с информацией из виртуальных следов. То есть, можно представить следующий алгоритм работы со следами, имеющимися на компьютере преступника:
1) Выявить материальные следы, указывающие на работу подозреваемого с компьютером.
2) По имеющимся материально фиксированным следам на частях компьютера определить время работы подозреваемого с данной ЭВМ.
3) Исследовать «виртуальные следы», указывающие в частности на время работы с компьютером вообще, на время обмена информацией с другими компьютерами или работы в «Интернет».
4) Выявить «содержательную часть» указанного обмена информацией, то есть определить, какая информация была получена или передана, с какими компьютерами или серверами происходил данный обмен, какие «сайты», «страницы», «урлы» были посещены подозреваемым в глобальной сети.
После последовательного прохождения данных этапов можно строить достаточно вероятные версии о способе совершения преступления, подозреваемом и т.д. Но продемонстрированная простота алгоритма исследования следов, возникающих при совершении преступлений в сфере компьютерной информации, условна. В виду отсутствия достаточного числа специалистов в сфере информатики в правоохранительных органах, получение полезной для расследования информации из ЭВМ на практике достаточно проблематично. Решение данной задачи становится практически невозможным, если преступники, обладая профессиональными навыками работы с ЭВМ, уничтожают виртуальные следы. Тогда на помощь расследованию может пригодиться информация о деятельности подозреваемого до и после совершения преступления, его встречах, покупках, денежных переводах и т.д. Но полное уничтожение виртуальных следов на практике происходит не всегда, и, скорее всего, достаточно редко. Лучшим способом для подобного «сокрытия следов» служит полное физическое уничтожение магнитных и прочих носителей информации в ЭВМ. Также необходимо
осознавать, что «виртуальные следы» возникают не только на компьютере преступника, но и на «компьютере-жертве», их сложнее уничтожить преступнику, но они и несут меньше информации, полезной для расследования преступлений. Также виртуальные следы могут быть на магнитных носителях, которые не являются составной частью персональных компьютеров (дискеты, компактные диски, DVD и пр.).
Немаловажным в теоретическом плане является вопрос о классификации виртуальных следов. Предложим несколько вариантов таких классификаций по различным основаниям. Одним из оснований для классификации может являться непосредственный физический носитель «виртуального следа». На таком основании можно выделить:
1. следы на жестком диске (винчестере), магнитной ленте («стримере»), оптическом диске (CD, DVD), на дискете (флоппи диске);
2. следы в оперативных запоминающих устройствах (ОЗУ) ЭВМ;
3. следы в ОЗУ периферийных устройств (лазерного принтера, например);
4. следы в ОЗУ компьютерных устройств связи и сетевых устройств;
5. следы в проводных, радио-оптических и других электромагнитных систем и сетей связи2.
Следующим основанием будет являться соответствующий состав преступления и статья в УК РФ. Таким образом, мы будем отдельно выделять следы, характерные для совершения преступления, предусмотренного статьей 272, статьей 273 и статьей 274 УК РФ.
Представляется возможным классифицировать виртуальные следы по месту их нахождения на 2 группы:
1. следы на компьютере преступника;
2. следы на «компьютере-жертве».
Например, на основании имеющейся в литературе информации можно выделить следовоспринимающие объекты для виртуальных следов при совершении преступлений, предусмотренных статьей 273 УК РФ, то есть связанных с созданием, использованием и распространением вредоносных программ для ЭВМ. На «компьютере-жертве» это:
а) таблица расширения файлов (FAT, NTFS или другая в зависимости от типа используемой операционной системы);
б) системный реестр операционной системы;
в) отдельные кластеры магнитного носителя информации (винчестера, дискеты), в которых записываются фрагменты исполняемых файлов (программ) и файлов конфигурации;
г) файлы и каталоги (папки) хранения входящей электронной почты и прикрепленных исполняемых файлов, конфигурации почтовой программы;
2 Волеводз А. Г. Противодействие компьютерным преступле-
ниям. М., 2002. С.159-160.
д) файлы конфигурации программ удаленного соединения компьютера с информационной сетью.
На компьютере преступника следовоспринимающими будут все выше указанные объекты, а также скопированные с компьютера-жертвы файлы данных и программы, плюс так называемые «скриншоты» (графические изображения экрана монитора) с компьютера-жертвы. В файлах конфигурации программ удаленного соединения компьютера преступника с информационной сетью могут быть обнаружены «логины» и пароли компьютера-жертвы, его адресная книга, используемые скрипты З.
На практике серьезные проблемы может вызывать обнаружение, изъятие и фиксация материально фиксированных следов. Это связано с тем, что в большинстве случаев одним персональным компьютером может пользоваться неограниченное число пользователей. Это обстоятельство является причиной того, что на различных частях компьютера можно обнаружить большое количество отпечатков пальцев, принадлежащих нескольким людям. Как правило, они нечеткие из-за неоднократного нажатия одних и тех же клавиш на клавиатуре, кнопок на системном блоке, постоянного использования манипуляторов («мышей», «трэк-болов» и т.д.). Следовоспринимающими объектами для материально фиксированных следов обычно являются:
1) клавиатура (устройство для ввода текстовой и цифровой информации): на ней обследованию подлежат клавиши (для выявления по-тожировых отпечатков пальцев), четкие отдельные отпечатки возможно обнаружить на редко используемых клавишах («Num Lock», «Caps Lock», «Scroll Lock», F1 - F12, специальных клавишах на последних моделях клавиатур: «Search», «Files», «WWW» и т.д.; помимо клавиш необходимо обратить внимание на подставку под ладони (если таковая имеется) на предмет выявления четких потожировых отпечатков ладоней, на разъем, вставляемый в соответствующий порт системного блока; немаловажно обратить внимание на слой пыли на клавиатуре; некоторые микроследы возможно обнаружить под клавишами;
2) манипулятор «мышь»: осматривается на предмет обнаружения отпечатков пальцев и ладоней, также следует обратить внимание на разъем;
3) монитор: потожировые следы на кнопках управления монитором, в иных местах;
4) системный блок: необходимо осмотреть все кнопки, включая кнопки дисковода и CD (DVD)-ROM привода; обратить внимание на отпечатки пальцев в районе задней панели со «входами» («портами»), на наличие скрепляющих системный блок с наружным кожухом болтов;
б) отдельные элементы системного блока: внутри системного блока необходимо обратить внимание на внутренний модем (если он там присутствует), выявить: не подключался ли к
З Мещеряков В. А. Указ. соч. С.22-2З.
данному компьютеру в недавнее время дополнительный «винчестер», о чем может говорить неподключенный к шлейфу СО(ОУО)-РОМ привод или свежие отпечатки на дополнительном разъеме шлейфа (если он есть), к которому мог быть подключен дополнительный «винчестер».
6) принтер, сканер, модем, «хаб» и т.д.: на этих устройствах также могут быть обнаружены отпечатки пальцев, микроследы, в принтере могут быть обнаружены так называемые «зажеванные» листы бумаги с текстом, который так или иначе может касаться обстоятельств дела.
Для надежной фиксации и сохранения, всестороннего, полного и объективного изучения всех следов, имеющихся на компьютере, необходимо предпринять следующие меры:
На месте постоянного нахождения компьютера:
1) не разрешать кому бы то ни было из лиц, находящихся, работающих в помещении, где находится ЭВМ и периферийные устройства, прикасаться к ним с любой целью;
2) никому из персонала и прочим лицам не разрешать выключать электроснабжение объекта осмотра или выключать ЭВМ из сети;
3) самостоятельно не производить никаких манипуляций с ЭВМ и периферийными устройствами, не будучи абсолютно уверенным в последствии своих манипуляций;
4) перед выключением питания ЭВМ закрыть подобающим способом все программы и приложения;
5) принять меры по установлению паролей и кодов доступа к защищенным программам (для этого лучше опросить нескольких людей, имеющих доступ к данной ЭВМ порознь);
6) при нахождении ЭВМ в локальной сети при осмотре необходимо присутствие специалистов, которые смогут быстро прореагировать на перемещение информации в сети;
7) произвести осмотр всей документации, записок, различных бумаг, которые находятся в непосредственной близости от компьютера или принадлежат человеку, который работает с ним.
Выполнение этих условий поможет сохранить на ЭВМ и периферийных устройствах информацию, которая может оказаться полезной при дальнейшем подробном исследовании данных объектов. Затем необходимо опечатать ЭВМ. Для этого необходимо выключить компьютер, отключить его от сети, отсоединить все разъемы (опечатав каждый с помощью липкой ленты или клея длинной полосой бумаги с подписями следователя, специалиста и понятых, номером), опечатать разъемы на кабелях периферийных устройств. Упаковать все диски и дискеты в жесткую коробку, на дискетах поднять шторки, защищающие диски от перезаписи, опечатать шторки. Сделать описание всех дискет и дисков на листе бумаги с указанием на их количество, объем памяти, фирму производителя, дополнительные отметки на корпусах дискет и их футляров. Упаковать коробку с дискетами в полиэтиленовый пакет, заклеить его.
Соблюдение всех этих условий даст возможность подробно и досконально исследовать ЭВМ, диски и дискеты, периферийные устройства в спокойной обстановке, исключающей возможность противодействия со стороны заинтересованных лиц. Таким образом получить наиболее объективную информацию о следах, имеющихся на компьютере и сопутствующих объектах.
В заключении хотелось бы отметить необходимость дальнейшего разностороннего изучения механизма следообразования при совершении преступлений в сфере компьютерной информации. Самое главное, необходимо внедрять все новые средства и методики изучения рассматриваемой группы следов в практическую деятельность работников правоохранительных органов.
□ □ □ □ □