CC BY
28УДК343.1
АНДРЕЙ СЕРГЕЕВИЧ ЛЕБЕДЕВ,
преподаватель кафедры криминалистики и специальной техники
Владивостокского филиала ФГКОУ ВПО «Дальневосточный юридический институт МВД России»
ОСОБЕННОСТИ ОСМОТРА И ИЗЪЯТИЯ КОМПЬЮТЕРНЫХ ОБЪЕКТОВ, НАХОДЯЩИХСЯ В ЛОКАЛЬНОЙ СЕТИ ПРЕДПРИЯТИЯ, ПРИ ПРОИЗВОДСТВЕ СЛЕДСТВЕННЫХ ДЕЙСТВИЙ
Обосновывается тезис о том, что внедрение компьютерных информационных сетей приводит к тому, что при расследовании уголовных дел в ходе проведения осмотров, выемок, обысков все чаще возникает необходимость изъятия электронных носителей информации, которые впоследствии могут быть использованы в процессе доказывания.
Ключевые слова: информационная локальная вычислительная сеть, информационные ресурсы, осмотр, фиксация и изъятие компьютерных средств, пользователь, доступ.
A.S. Lebedev, Lecturer, Sub-department of Forensic Science and Special Techniques, Vladivostok branch, the Far Eastern Law Institute of the Russia Ministry of the Interior; e-mail: lebedev_andrey@mail.ru, tel.: 8 (4232) 20-19-38.
Special features of the examining and seizure of computer objects found in the enterprises' local network while undertaking investigative actions.
The thesis is substantiated that the introducing computer data networks leads to the fact that when investigating criminal cases in the course of examining, seizure and search, the need to seizure electronic carrier which could be used later in the process of proving has become more often.
Key words: data local computer network, information resources, examination, recording and seizure of computer environment, user, access.
Для эффективного осмотра необходимо иметь представление о строении (составе) информационной локальной вычислительной сети.
Информационная локальная вычислительная сеть (ЛВС) - это совокупность средств вычислительной техники, объединенных физической средой конкретного типа (коаксиальным или оптическим кабелем) и обеспечивающих на небольшой территории (до 10-15 км) многочисленным пользователям доступ к распределенным по сети вычислительным и информационным ресурсам [2, с. 88-104].
Развитие ЛВС является одним из перспективных сетевых направлений. Они изменяются сами, но в большинстве случаев становятся первичными звеньями глобальных иерархических сетей. Малые расстояния в ЛВС позволяют обеспечивать более дешевую и надежную обработку информации и создавать лучшие условия для интеграции обработки различной информации (административной, деловой, технологической), а также эффективнее организовывать вычислительный процесс по сравнению с глобальными сетями. В ЛВС достаточно просто достигаются
высокие скорости передачи данных, а включение в ее состав нескольких больших ЭВМ представляет альтернативу традиционным информационно-вычислительным комплексам.
Информационно-вычислительная сеть обеспечивает объединение различных вычислительных средств в сеть, доступ локальных и удаленных пользователей к распределенным в сети информационно-вычислительным ресурсам и базам данных.
В общем виде сети ЭВМ состоят из набора различных устройств: больших ЭВМ, персональных ЭВМ, терминалов, устройств печати, устройств соединения нескольких узлов компьютерной сети, соединенных между собой каналами связи. Каналы связи представляют собой витые (телефонные) пары, коаксиальные кабели, волоконную оптику (передача светового сигнала по гибким стеклянным волокнам) и т.д. Каждое устройство подключается к каналу при помощи соответствующего согласующего контроллера.
Наиболее распространенными являются локальные вычислительные сети и микросети, особенность которых состоит в том, что они раз-
мещены на ограниченной территории (до нескольких километров, а микросети даже в одном помещении, под контролем одной организации), но с возможностью выхода во внешнюю среду -в региональные, охватывающие целый регион, или глобальные вычислительные сети (способные действовать вплоть до размеров всего земного шара). Чем глобальнее компьютерная сеть, чем больше пользователей она объединяет, тем больше вероятность утечки и порчи информации, циркулирующей в сети.
Любая ЛВС, построенная по клиент-серверной архитектуре, например сети NetWare или MS Windows, состоит из следующих компонентов (компьютерных объектов):
сервера (их может быть несколько, например: контроллер домена, сервер баз данных, сервер приложений, файл-сервер и т.п.); рабочих станций; операционной системы; сетевых адаптеров (карт) и кабелей; периферийного оборудования ЛВС. Особенность современных сетей - постоянно возрастающий объем информации, передаваемый по ее каналам, и жесткие требования к скорости передачи. Это предполагает обязательное выделение одного или нескольких компьютеров для работы в качестве сервера в целях управления сетью с помощью специальной операционной системы и специальных сервисных служб [3, с. 104-119].
Для сервера используются компьютеры с двумя и более процессорами, большим объемом оперативной памяти, надежной дисковой системой (это, как правило, одни из самых мощных на мировом рынке компьютеров в настоящее время). Сервер является основным определяющим звеном при обработке данных и функционировании программных средств. В частности, его временные характеристики по загрузке и сохранению данных есть критерий скорости передачи информации в ЛВС.
Жесткий диск сервера хранит сетевую операционную систему для управления сетью, а также данные, которые централизованно запоминаются и/или предоставляются в распоряжение пользователей в зависимости от компетенции и приоритета последних.
Работа с вычислительной сетью предполагает подключение персонального компьютера к другим компьютерам и периферийным устройствам для совместного использования файлов и ресурсов.
Рабочие (сетевые) станции - это персональ-
ные компьютеры различных типов и моделей, подключенные к сети.
Как любая вычислительная система нуждается в программных средствах, объединенных в операционную систему, так и вычислительной сети необходима собственная операционная система. Современный рынок представлен лидерами: NetWare (фирмы Novell); Windows NT, Windows 2000, Windows XP (Microsoft), а также UNIX-системами [4, с. 92-136].
Большое значение для эффективной работы ЛВС имеет выбор конфигурации физических соединений файлового сервера и рабочих станций, т.е. топологии сети. Выбор в конечном счете зависит от мощности компьютера (компьютеров), выделяемого под сервер, удаленности рабочих мест от сервера и типа решаемых задач. Для подключения одного персонального компьютера к другому либо к серверу требуется специальное устройство сопряжения, называемое сетевым адаптером, или сетевой картой. Оно устанавливается в специальное гнездо каждого персонального компьютера - рабочей станции.
Сетевые адаптеры соединяются специальным кабелем, или в современных ЛВС используется беспроводное соединение.
Периферийное дорогостоящее оборудование (например, лазерные устройства печати, графопостроители, устройства факсимильной связи), подключенное к файловому серверу (или другому серверному устройству), можно использовать с любой рабочей станции.
Вся сетевая и управляющая информация хранится на жестком диске сервера. Управление этой информацией осуществляется серверной операционной системой.
Прежде чем приступить к работе в локальной сети, каждому лицу должен быть присвоен определенный технический статус в качестве пользователя локальной сети. Существует три квалификационных уровня:
администратор сети (супервизор);
оператор сети;
постоянные пользователи сети.
Администратор сети отвечает за четкую работу всей сети, перестраивает систему, следит за ее усовершенствованием, обновлением и техническим состоянием. Он является единственным пользователем, который определяет нового пользователя, устраняет из сети действующего, расширяет и ограничивает права других пользователей. Администратор сети обязан обеспечить доступ специалиста к информации локальной
сети. Супервизора невозможно удалить из списка пользователей.
Операторы сети - это постоянные пользователи, которым предоставлены определенные привилегии [1, с. 130-165].
Перед производством следственных действий, направленных на сбор компьютерной информации, следственной группе необходимо получить информацию у администратора сети и выяснить, какие операционные системы установлены на каждом из компьютеров; какое используется программное обеспечение; какие применены системы защиты и шифрования; где хранятся общие файлы данных и резервные копии; каковы пароли супервизора и администраторов системы; каковы зарегистрированные имена и пароли пользователей.
Перед началом осмотра принимаются меры по предотвращению повреждения или уничтожения информации, осуществляется контроль за бесперебойным электроснабжением ЭВМ в момент осмотра, удаляются все посторонние лица с территории, на которой производится осмотр, и прекращается доступ на нее.
Для успешного проведения осмотра особое значение имеет фактор внезапности, чтобы информацию, находящуюся в компьютерах или на магнитных носителях, нельзя было быстро уничтожить. Если получены сведения о том, что компьютеры организованы в локальную сеть, по возможности следует установить местонахождение всех компьютерных устройств, подключенных к данной сети. При этом проводится групповой осмотр одновременно во всех помещениях, где установлены компьютерные средства.
При производстве следственных действий следственная группа должна иметь физическую возможность одновременно занять все помещения, в которых находятся компьютеры, входящие в сеть. Наличие средств удаленного доступа позволяет оперативно манипулировать информацией в сети любым компьютером, входящим в нее [8, с. 167-169].
В это же время определяются принятые в организации мероприятия по защите информации и наличие выхода в Интернет. В случае использования телефонной линии для связи с другими сетями необходимо обеспечить отключение телефона, по возможности удалить из помещения все взрывчатые, едкие и легковоспламеняющиеся материалы.
Для обеспечения сохранности информации следует: предотвратить отключение энергос-
набжения организации, обеспечив охрану распределительного щита; запретить работникам организации и прочим лицам производить какие-либо манипуляции с компьютерными средствами; предупредить всех участников следственного действия о недопустимости самостоятельных манипуляций с компьютерными средствами; точно установить местоположение серверов; определить местоположение компьютеров, подключенных к вычислительной сети.
Рабочий этап осмотра включает обзорную и детальную стадии. На обзорной стадии следователь корректирует и пополняет данные об объекте, фиксирует участки, требующие особого внимания. В первую очередь необходимо установить общее количество компьютеров и их распределение по другим помещениям, а также количество и тип используемых серверов и рабочих мест. Далее важно выяснить тип используемой сетевой операционной системы и состав прикладного программного обеспечения, используемого в вычислительной сети. Нужно также установить факт наличия резервных копий данных и места их хранения. Особое внимание должно уделяться выявлению выхода в другие, в том числе и глобальные, сети; установлению возможностей использования коммуникационных средств для связи с удаленными пользователями, другими организациями, частными лицами.
Следует обратить внимание на неподключенные разъемы на коаксиальном кабеле и свободные розетки для подключения компьютеров в локальную сеть, использующие витую пару. В этих местах, возможно, находились компьютеры или подключались портативные компьютеры, которые в момент проведения следственного действия могут находиться в другом месте или быть спрятаны. На этой стадии уточняется распределение объектов между участниками осмотра.
На детальной стадии осуществляются непосредственный поиск, обнаружение и изъятие объектов осмотра - компьютерных средств и криминалистически значимой компьютерной информации. В первую очередь осматриваются те компьютерные средства, которые выбраны на подготовительном этапе. Другой причиной выбора того или иного компьютерного средства является подозрительное поведение обыскиваемого, его неубедительные объяснения по данному устройству, файлу, программе, несоответствие обнаруженных компьютерных средств или программ личности обыскиваемого.
Для сокрытия информации на компьютерах
могут быть установлены специальные защитные программы, которые при определенных условиях автоматически производят полное или частичное стирание информации. Это высокая степень защищенности компьютерной информации. Низкая степень защищенности определяется наличием простого алгоритма ограничения доступа (например, данные защищены только паролем), получением достоверных данных при его преодолении.
Если компьютер на момент начала осмотра оказался включен, необходимо зафиксировать информацию, отображенную на мониторе, и определить, какая программа выполняется в данный момент. В случае работы стандартного программного обеспечения нельзя приступать к каким-либо манипуляциям на входе без предварительного визуального осмотра технических средств. Экран монитора необходимо сфотографировать, а также отключить все телефонные линии, подключенные к компьютеру.
В протоколе нужно описать все соединения на задней стенке системного блока. Если это признано целесообразным, вскрывается кожух системного блока и визуально определяется конфигурация ЭВМ, описывается месторасположение электронных плат.
Если при осмотре аппаратных средств выявлены неизвестные участникам следственного действия устройства (платы расширения, нестандартные соединения и т.д.), компьютер необходимо сразу выключить. При этом следует вынуть вилку из розетки.
Затем следует промаркировать всю систему подключения до того, как провода будут отсоединены; промаркировать все порты и разъемы, с тем чтобы в дальнейшем можно было осуществить точную реконструкцию расположения кабелей, плат расширения и других устройств. Если конфигурация процессора стандартна, нужно корректно завершить работу исполняемой в данный момент программы либо дождаться завершения ее работы для получения дополнительных, возможно искомых, данных.
Если для поиска информации задействует-ся программное обеспечение, не находящееся в компьютере, это необходимо отметить в протоколе. Такие программы должны быть стандартны и лицензированы, а контроль за их работой - нагляден.
Осматриваются все компьютеры, включенные в локальную сеть, и затем они просматриваются специалистами по компьютерным технологиям.
Завершающим этапом осмотра по делам, сопряженным с использованием компьютерных технологий, являются фиксация и изъятие компьютерных средств. От того, как произведены изъятие, транспортировка и хранение этих объектов, часто зависит их доказательственное значение.
При подготовке к изъятию необходимо определить количество компьютеров и их типы; организацию электропитания и наличие автономных источников питания; используемые носители компьютерных данных; наличие локальной сети и выхода в другие сети с помощью модема или выделенных линий; используемое системное и прикладное программное обеспечение, наличие систем защиты информации, их типы; возможности использования средств экстренного уничтожения компьютерной информации; квалификацию пользователей, а также взаимоотношения в коллективе сотрудников, обслуживающих технику [5, с. 25-26].
Если на предприятии возможна остановка работы сервера или рабочей станции, то производится отключение от сети электроснабжения серверного оборудования и изымается накопитель на жестком магнитном диске для поиска необходимой информации с привлечением квалифицированных специалистов в области информационных технологий и компьютерной техники. При затруднении снятия жесткого диска изымается сам сервер или рабочая станция. Если сервер не останавливается, то информация может быть скопирована на съемный электронный носитель для дальнейшей обработки [6, с. 153-157].
Особого внимания требуют места хранения носителей информации. Если при внешнем осмотре компьютеров в их составе обнаружены устройства типа стримера, магнитооптического накопителя и им подобные, то необходимо найти места хранения носителей информации к соответствующим накопителям. Кроме того, в организациях с развитой локальной сетью производится регулярное архивирование информации на какой-либо носитель.
В протоколе следственного действия следователь описывает основные физические характеристики изымаемых устройств, их видимые индивидуальные признаки, конфигурацию компьютерных средств (их комплектацию); номера моделей и серийные номера каждого из устройств; инвентарные номера, присваиваемые бухгалтерией при постановке средства на баланс организации; иную информацию, имеющуюся на фабричных ярлыках фирмы-изготовителя [7].
Все изъятые системные блоки и другие устройства должны быть упакованы и опечатаны таким образом, чтобы исключить возможность их повреждения, подключения в сеть и разборки.
Таким образом, правильная организация осмотра объектов локальной сети предприятия, высокая квалификация сотрудников следственной группы позволяют оперативно и точно обнаружить необходимую информацию, повышают эффективность работы сотрудников следственных подразделений, снижают риск принятия незаконных и необоснованных решений, проведения незаконных процессуальных действий.
Список использованной литературы
1. Згадзай, О. Э. Информатика и математика [Текст] / О. Э. Згадзай [и др.] : учебник. - М. : ИМЦ ГУК МВД России, 2002.
2. Информатика и математика для юристов [Текст] : учеб. пособие ; под ред. В. А. Минаева. -Хабаровск : ДВЮИ МВД России, 2003.
3. Информатика и математика [Текст] : курс лекций ; под ред. А. Н. Шаковца. - Хабаровск : ДВЮИ МВД России, 2005.
4. Информатика и математика для юри-
стов [Текст] : учеб. пособие для вузов ; под ред. Х. А. Андрташина и С. Я. Казанцева. - М. : ЮНИ-ТИ-ДАНА ; Закон и право, 2001.
5. Иванов, А. Н. Новый порядок изъятия электронных носителей информации при производстве обыска и выемки [Текст] / А. Н. Иванов // Проблемы уголовного процесса, криминалистики и судебной экспертизы. - Саратов : Сарат. гос. юрид. акад., 2012. - № 1.
6. Родивилин, И. П. Об участии специалиста при изъятии электронных носителей информации в ходе производства обыска и выемки [Текст] / И. П. Родивилин, А. А. Шаевич // Криминалистика : вчера, сегодня, завтра : сб. науч. тр. - Вып. 3-4. -Иркутск : ВСИ МВД России, 2013.
7. Расследование преступлений в компьютерной сфере [Электронный ресурс]. - Режим доступа : http://www.grandars.ru/college/ ргауоуес1ете/г-котру^егпуИ-рге8Шр1ету.^т1 (дата обращения : 17.10.2014).
8. Старичков, М. В. Тактика проведения обыска, связанного с изъятием носителей компьютерной информации [Текст] / М. В. Старичков // Криминалистика : актуальные вопросы теории и практики : сб. VII Всероссийской науч.-практ. конференции. - Ростов н/Д. : РЮИ МВД России, 2010.
