Особенности фиксации следов, содержащихся в современных телекоммуникационных системах Текст научной статьи по специальности «Право»

Менжега М.М.,

канд. юрид. наук, доцент кафедры методологии криминалистики

Саратовской государственной академии права

ОСОБЕННОСТИ ФИКСАЦИИ СЛЕДОВ, СОДЕРЖАЩИХСЯ В СОВРЕМЕННЫХ ТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМАХ

Анализ практики показывает, что специфика преступлений в сфере высоких технологий вызывает сложности в ходе расследования. В связи с этим представляется целесообразным рассмотреть некоторые проблемные вопросы фиксации информации, содержащейся в современных телекоммуникационных системах.

Основным средством фиксации, как известно, является протокол.

При осмотре непосредственно ЭВМ в протоколе, помимо общеобязательных сведений, необходимо зафиксировать:

• местонахождение ЭВМ и их взаиморасположение;

• условный порядковый номер ЭВМ (который указывается в схеме), подключенные устройства, особенности соединения узлов и деталей;

• установленную операционную систему, специальное программное обеспечение, которое может иметь значение для дела;

• используемые протоколы связи, службы доступа к файлам в сети, настройка оборудования на связь с определенными абонентами;

• поврежденную информацию (скопированную, модифицированную, уничтоженную) вредоносными программами. Обнаруженные вредоносные программы;

• изъятую или скопированную информацию, откуда и куда она скопирована с указанием пути доступа, наименования и объема;

• указанную специалистом информацию, которая может иметь значение для расследования;

• порядок разборки компьютерных составляющих;

• серийные номера изымаемых устройств, их индивидуальные признаки;

• замечания и заявления присутствующих, касающиеся технического аспекта проводимого следственного действия.

Трудно согласиться с утверждением, что в ходе осмотра необходимо детально переписать содержимое жесткого диска с указанием названий и размера файлов Так, например, диск емкостью 80 Гб, заполненный информацией, будет содержать около 80 тысяч файлов. Простой расчет пока-

1 См., например: Кушниренко С.П., Панфилова Е.И. Уголовно-процессуальные способы изъятия компьютерной информации по делам об экономических преступлениях. СПб., 1998. С. 32.

жет, что если даже описание каждого файла будет занимать в протоколе одну строку, и в среднем на странице уместится 30 строк, то такое описание будет занимать около (80 000:30 = 2667) 2,5 тысяч страниц.

В протоколе следует избегать описания в форме «вредоносная программа». Правильнее будет записать: «программа, определенная антивирусным пакетом [наименование и версия антивирусной программы] как [сообщение антивирусной программы]». Если следователь или специалист подозревают, что обнаруженная программа вредоносна, но не является вирусом и не распознается антивирусным пакетом, следует отметить ее как «программу, предположительно обладающую вредоносными свойствами». Эта рекомендация обусловливается общим правилом — избегать каких-ли-бо выводов и заключений в протоколе.

Некоторые авторы предлагают фиксировать изымаемые носители компьютерной информации при помощи видео- и фотосъемки. По нашему мнению, вместо этого достаточно отметить в протоколе особенности, серийный номер и особые приметы носителя.

Изъятию подлежит лишь та техника, исследование которой может выявить следы незаконного использования программных продуктов (например, дискеты, жесткий диск, принтер).

Нельзя согласиться с мнением, что необходимо изымать все то оборудование, которое может содержать доказательства совершенного преступления. Решение об изъятии системного блока полностью следователь должен принимать в зависимости от ситуации и, как правило, только у подозреваемого лица и при наличии достаточных данных, указывающих на содержание в изымаемом оборудовании доказательственной информации. Изъятие же системного блока или компьютера в целом в случаях, когда можно ограничиться осмотром или изъятием только материального носителя категорически не рекомендуется.

Примером может послужить дело по обвинению Л., в котором, отрабатывая одну из версий, следователь, с целью обнаружения доказательств, изъял весь системный блок у компании «Н-плюс», хотя возможно было ограничиться тщательным осмотром техники с участием специалиста, либо же изъятием только жесткого диска. В последующем подозрения следователя не подтвердились, однако организации были причинены значительные неудобства, связанные с отсутствием оборудования

Такие действия, на наш взгляд, являются одной из причин высокой латентности преступлений в сфере компьютерной информации. Зная о практике изъятия компьютерной техники, потерпевшие не желают обращаться

1 См.: Уголовное дело № 23735/2002. Саратов, 2002.

в правоохранительные органы, так как это может привести к простою и значительным убыткам.

Таким образом изъятие системных блоков рекомендуется лишь в следующих случаях:

1) непосредственно компьютер должен быть объектом экспертного исследования;

2) на компьютере установлено уникальное аппаратное или программное обеспечение, в отсутствие которого не удастся получить доступ к КИ;

3) организацией или владельцем не предоставлены пароли доступа к компьютеру;

4) компьютер может быть использован для повторного совершения преступления.

Если следователь принимает решение об изъятии каких-либо средств компьютерной техники, необходимо выяснить у персонала все возможные логины, пароли, сетевые имена и пр.

Правила упаковки и транспортировки средств ЭВМ при изъятии их в ходе осмотра:

• компьютерная техника изымается только в выключенном состоянии;

• при отсоединении устройств в протоколе и схемах отображается порядок их соединения, при необходимости кабели и разъемы маркируются. Каждый незанятый порт маркируется как «свободный», это позволит ответить на вопрос, был ли порт действительно незанятым или просто утерян кабель;

• при наличии канала связи устанавливается и фиксируется тип связи, используемая аппаратура, абонентский номер, рабочая частота;

• изымаемые системные блоки опечатываются, чтобы исключить возможность работы с ними, разукомплектовки и физического повреждения основных рабочих компонентов в отсутствие владельца или эксперта. Опечатывается системный блок листом бумаги с подписями следователя, понятых и представителя персонала. Этот лист крепится густым клеем на лицевую и заднюю панель компьютера и захлестывается на боковые стенки. Возможны и другие способы опечатывания, которые выбираются в зависимости от устройства корпуса системного блока. Важно лишь, чтобы опечатанный системный блок нельзя было подключить или разобрать без повреждения опечатки;

• необходимо помнить, что системные блоки должны храниться и перемещаться в специальных условиях, исключающих разрушающее воздействие различных электромагнитных полей или излучений, нельзя подносить ближе, чем на один метр к компьютерной технике металлоискатели и другие источники магнитного поля, а также сильные осветительные приборы и некоторую спецаппаратуру;

• транспортировка изъятого оборудования и машинных носителей осу-

ществляется с учетом указанных в инструкциях требований изготовителя компьютерной техники. При транспортировке не допускается механическое воздействие на аппаратуру, влияние атмосферных факторов, электромагнитных лучей, высоких и низких температур.

Места непосредственного использования компьютерного оборудования с целью совершения преступления, а также хранения добытой при помощи вредоносных программ информации из других компьютеров, компьютерных систем и сетей информации на машинном носителе в ЭВМ, системе ЭВМ или их сети могут располагаться не только непосредственно у подозреваемого лица. Распространение и доступность сети Интернет привело к повсеместному предоставлению так называемых услуг хостинга — предоставления полного доступа к части своего материального носителя (жесткого диска). Информация, размещенная на таком носителе, общедоступна посредством сети Интернет, однако организации, предоставляющие такие услуги, не несут ответственности за информацию, расположенную у них на винчестере, так как, по сути, как бы сдают их в аренду.

Характерной особенностью в данном случае является то, что организации, предлагающие хостинг, очень часто находятся в другой стране.

Особенностью такого осмотра будет являться то, что он может быть произведен из любого места, из которого возможно подключение к сети Интернет. При помощи специалиста следователь осматривает содержимое сайта и при подозрении на то, что сайт содержит следы преступления, сохраняет весь или частично сайт (при помощи специализированных программ, предназначенных для создания образа сайта) на свой материальный носитель (сначала на диск компьютера, посредством которого проводится осмотр, а затем при необходимости на иной носитель). В протоколе при этом, помимо общеобязательных сведений, фиксируются:

• местонахождение ЭВМ, с которого осуществляется выход в Интернет и осмотр, наименование провайдера, осуществляющего услуги доступа к сети Интернет, динамический или статический Интернет-адрес, присвоенный провайдером при подключении к сети;

• адрес осматриваемого сайта в Интернете (например, вида: «www.vims.rn»);

• скопированная специалистом информация;

• указанная специалистом информация, которая может иметь значение для расследования;

• замечания и заявления присутствующих, касающихся технического аспекта проводимого следственного действия.

Поиск лиц, причастных к созданию таких сайтов, поручается оперативным сотрудникам.

На практике, однако, роль и значение осмотра необоснованно принижается. «Почти по каждому шестому уголовному делу осмотр места происшествия не проводился, следователи руководили только каждым третьим осмотром и обыском, а специалисты по компьютерной технике принимали участие только в 40% таких следственных действий. При этом для участия в их проведении независимые (не работающие в потерпевшей организации и не заинтересованные в деле) специалисты по компьютерной технике привлекались редко»1. Такие обстоятельства приводят к необоснованному прекращению или приостановлению многих уголовных дел.

Большую помощь при раскрытии преступлений в сфере компьютерной информации может оказать «Система оперативно-розыскных мероприятий» (СОРМ)2. Эта автоматизированная информационная система предназначена для обеспечения оперативно-розыскных мероприятий, проводимых в каналах электросвязи общего пользования. Использование этой системы позволяет (при наличии судебного решения) снимать информацию, передаваемую и принимаемую любым конкретным пользователем в процессе предоставления любых услуг сетей документальной электросвязи (СДЭС).

Нередко для установления виновного лица необходимо отследить цепочку сеансов связи от компьютера, в котором обнаружены следы преступления, до компьютера, на котором физически работал пользователь. При работе в сети Интернет информация проходит через ряд серверов, которые могут быть установлены у разных провайдеров.

Такие следы можно выявить и зафиксировать при помощи системы технических средств для обеспечения функций оперативно-розыскных мероприятий (СОРМ).

Использование этой системы, организованной в 2000 году, позволяет протоколировать обращения к сети Интернет.

С технической стороны СОРМ включает в себя3:

а) комплекс аппаратно-программных средств, размещающийся на узле (узлах) сети документальной электросвязи (сокращенно АПС СОРМ СДЭС);

1 См.: Обзор правоприменительной практики расследования преступлений в сфере компьютерной информации / Генеральная прокуратура Российской Федерации. С. 7.

2 Приказ Министерства связи России от 24 июня 1992 г. № 226 (с изменениями на 13 сентября 1995 года) «Об использовании средств связи для обеспечения оперативно-розыскных мероприятий Министерства безопасности Российской Федерации» // СПС «Гарант».

3 См.: Приказ Госкомсвязи от 27 марта 1999 г. № 47 «Об утверждении Общих технических требований к системе технических средств по обеспечению функций оперативно-розыскных мероприятий на сетях (службах) документальной электросвязи» // СвязьИнформ. 1999. № 7.

б) комплекс аппаратно-программных средств СОРМ, размещающийся на удаленном пункте управления (АПС СОРМ ПУ);

в) канал (каналы) передачи данных, обеспечивающий(е) связь между АПС СОРМ СДЭС и АПС СОРМ ПУ.

СОРМ позволяет перехватывать сведения об информации, передаваемой по сетям электросвязи, фиксировать определенную информацию по разным параметрам, например, по ключевым словам.

Таким образом, СОРМ позволяет получать информацию о злоумышленнике, в том числе и о его местонахождении, и, в ряде случаев, зафиксировать преступную деятельность абонента.

Согласно инструкции «Об организации информационного обеспечения сотрудничества по лини Интерпола»1, органы внутренних дел в процессе раскрытия и расследования преступлений в сфере компьютерной информации могут направлять запросы по каналам Интерпола в правоохранительные органы иностранных государств. По этим запросам может быть получена информация о сетевых адресах, именах доменов и серверов организаций и пользователей; содержании протоколов, трейсингов, логических файлов; электронной информации, заблокированной в порядке оперативного взаимодействия правоохранительных органов при пресечении трансграничных правонарушений; провайдерах и дистрибьютерах сетевых и телекоммуникационных услуг; физических и юридических лицах, имеющих отношение к преступлениям в сфере высоких технологий; программном обеспечении, методиках и тактике борьбы с компьютерными и телекоммуникационными преступлениями, периодических и специальных изданиях, обзорах статистики, материалах о деятельности специализированных служб различных государств в данной области.

Однако вышеуказанные возможности по раскрытию и расследованию данных преступлений используются правоохранительными органами далеко не всегда. Зачастую неудовлетворительная работа органов внутренних дел подчеркивает важную роль органов прокуратуры при расследовании преступлений в сфере компьютерной информации. Решающее значение имеет активная роль прокурора в выявлении и предотвращении этих преступлений.

1 Приказ МВД России № 221 от 28 февраля 2000 г. «О мерах по совершенствованию сотрудничества по линии Интерпола» // СПС «Гарант».