КАТЕГОРИИ:
АстрономияБиологияГеографияДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРиторикаСоциологияСпортСтроительствоТехнологияФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
|
Особенности тактики осмотра компьютерных объектовКак уже отмечалось, следователи все чаще сталкиваются с необходимостью осмотра компьютерной техники и содержащейся в ней или на отдельных носителях (дискетах, лазерных дисках) информации. В качестве объекта этого следственного действия компьютерная техника и компьютерная информация выступают как: а) предмет традиционных преступных посягательств (например, кражи). Чаще всего в этих случаях каких-либо тактических особенностей осмотр ее не имеет, представляя по существу разновидность следственного осмотра предметов (и потому здесь рассматриваться не будет); б) в качестве орудия совершения преступлений, опять же, как традиционных (например, мошенничества), так и преступлений в сфере компьютерной информации. В таких случаях другие компьютеры являются «потерпевшими» от проведенной в отношении их «компьютерной атаки» (например, в результате внедренных в них вирусов типа «троянского коня» позволяющих завладевать имеющейся в них информацией и использовать ее в своих целях) и потому также подлежат осмотру; в) как объект, содержащий в себе базу информационных данных, которые имеют или могут иметь отношение к расследуемому преступлению. Дело в том, что уже в настоящее время бухгалтерский учет в большинстве предприятий, учреждений, иных хозяйствующих субъектов ведется на безбумажной, компьютерной основе; отраженные таким образом данные * Параграф написан в соавторстве с Т. Э. Кукарниковой.
также либо становятся предметом преступных посягательств, либо могут представлять интерес для расследования; г) лица, имеющие в личном или служебном распряжении компьютерную технику, нередко используют ее в качестве своего рода дневника, телефонной книжки или для ведения переговоров в сети Интернет по электронной почте. Эти сведения зачастую также представляют интерес для расследования. И вот для трех последних разновидностей использования компьютерной техники в интересующих следователя отношениях тактика ее осмотра весьма специфична. Первой характерной чертой является обязательное привлечение к осмотру специалиста. Следователь, как правило, не обладает достаточно глубокими навыками и знаниями в области компьютерной техники и информационных технологий. И потому без помощи специалиста он может совершить неисправимые в дальнейшем ошибки в ходе осмотра технической аппаратуры, снятия необходимой информации и (или) ее изъятия. Опрос следователей и специалистов в области вычислительной техники показал, что только 14% следователей работают на компьютере на уровне пользователя, 56% не знают ничего о принципах его работы. С другой стороны, 92% из числа опрошенных программистов считают, что на современном уровне развития вычислительной техники без участия профессионала найти «спрятанную» в компьютере информацию без риска уничтожения сложно1. В то же время, привлекая специалиста, следователю необходимо убедиться в его компетентности. Дело в том, что, несмотря на распространенное противоположное мнение, общего понятия «специалист по компьютерной технике» не существует. Можно говорить лишь о том, что есть специалист, компетентный в конкретных компьютерных системах. Так, например, специалист по операционной системе MS DOS не обязательно будет знаком с операционной системой Windows NT, a квалифицированный пользователь персонального компьютера может не уметь обращаться с большими вычислительными комплексами2. Потому необходимый профиль знаний конкретного специалиста сле- 1.Касаткин А. В. Тактика собирания и использования компьютерной информации при расследовании преступлений: Дисс. канд. юрид. наук. М., 1997. С. 17-18. 2. Курушин В.Д., Минаев В.А. Компьютерные преступления и информационная безопасность. М., 1998. С. 157.
дует определять в зависимости от целей и задач осмотра с учетом первоначальных данных о характере преступления. Обратим также внимание, что, как уже ранее упоминалось, в качестве понятых для участия в осмотре этих объектов следует привлекать людей, сведущих в компьютерной технике. Очевидно, что их участие наиболее необходимо именно при данном следственном действии, чтобы исключить возможные впоследствии ссылки заинтересованных лиц об изменениях следователем в ходе осмотра информации, содержащейся в компьютере и на магнитных носителях. По прибытии на место осмотра следователю следует начать с запрещения доступа к средствам вычислительной техники всем лицам, работающим на объекте. Принять меры к выявлению и изъятию следов рук, оставшихся на защелках дисководов, кнопках включения питания, участках корпуса около винтов крепления крышки корпуса, клавишах клавиатуры и мыши, разъемах портов и сетевых плат, а также на кнопках печатных устройств. В этих местах обычно остаются следы рук преступников. Кроме того, нельзя исключать возможности доступа в помещение, где находится компьютерная техника и информация, посторонними лицами путем взлома, подбора ключей, в том числе паролей к электронным замкам, на которых также могут остаться следы. При осмотре кабельных сетевых соединений требуется убедиться в их целостности, отсутствии следов подключения нештатной аппаратуры. В связи с возможностью совершения преступлений по сетям телекоммуникации и локальным вычислительным сетям (ЛВС) необходимо установить расположение всех компьютеров в сети, конкретное назначение каждого компьютера, наличие сервера, места прокладки кабелей, устройств телекоммуникации (модемов, факс-модемов), их расположение и подключение к каналам телефонной связи. Требуется также выяснить наличие специальных средств защиты от несанкционированного доступа к информации, принять меры к установлению ключей (паролей). Обратим внимание на то, что часто решающее значение имеет внезапность действий, поскольку компьютерную информацию можно быстро уничтожить (в том числе по сети), поэтому в случае объединения компьютеров в сеть следует организовать групповой обыск-осмотр одновременно во всех помещениях, где они установлены. В ходе осмотра средств вычислительной техники непосредственными объектами его могут быть: отдельные компьютеры, не являю-
щиеся составной частью локальных или глобальных сетей; рабочие станции (компьютеры), входящие в сеть; файл-сервер, т. е. центральный компьютер сети; сетевые линии связи; соединительные кабели; принтеры; модемы; сканеры и т. п1. При непосредственном осмотре компьютера следует осмотреть системный блок, чтобы определить, какие внешние устройства к нему подключены на данный момент и какие могли быть подключены ранее (на это указывает наличие разъемов на задней панели системного блока). Эта информация в дальнейшем поможет точнее поставить вопросы перед экспертом при назначении экспертизы, укажет направление поиска и, возможно, облегчит его. Так, наличие модема означает, что компьютер подключен к сети, т. е. на нем может быть установлена почтовая программа и программа для работы с глобальной сетью Интернет; наличие сканера или разъема для подключения сканера — что в памяти компьютера могут храниться графические файлы, содержащие отсканированное изображение или текст; наличие звуковой платы означает возможность обработки звуковой информации и хранение звуковых файлов; наличие дисководов для гибких дисков указывает, что необходимо также искать гибкие магнитные диски, содержащие информацию; аналогично наличие дисководов для компакт-дисков указывает на необходимость поиска лазерных дисков; наличие электронного ключа (компактной электронной приставки размером со спичечный коробок, устанавливаемой на параллельный или последовательный порт (разъем компьютера) защищает информацию и т. д. Далее обратим внимание на особенности осмотра работающего и неработающего компьютеров. При осмотре работающего компьютера необходимо: определить, какая программа выполняется в данный момент. Для этого изучается изображение на экране монитора, которое детально описывается в протоколе. При необходимости может осуществляться фотографирование или видеозапись изображения на экране дисплея; 1 Андреев СВ. Проблемы теории и практики криминалистического документоведе-ния. Иркутск, 2001.С. 131. 2 Электронный ключ разрешает пользоваться защищенной программой и ее данными только при своем наличии.
остановить исполнение программы и зафиксировать в протоколе результаты своих действий, отразить изменения, произошедшие на экране компьютера; определить наличие у компьютера внешних устройств — накопителей информации на жестких магнитных дисках (винчестере), на дискетах и устройствах типа ZIP, наличие виртуального диска (временный диск, который создается при запуске компьютера для ускорения его работы), отразив полученные данные в протоколе; определить наличие у компьютера внешних устройств удаленного доступа к системе и определить их состояние (подключение к локальной сети, наличие модема), после чего отключить компьютер от сети и выключить модем, отразив в протоколе результаты своих действий; скопировать программы и файлы данных, созданные на виртуальном диске (если он имеется), на магнитный носитель или на жесткий диск компьютера в отдельную директорию; произвести копирование всей информации, хранящейся на жестком диске на переносной диск сверхбольшой емкости типа DVD или даже на дополнительный жесткий диск, с последующим исследованием ее в лабораторных условиях. При этом все действия по подключению диска сверхбольшой емкости типа DVD или дополнительного жесткого диска, копированию информации фиксируются в протоколе. Для изучения информации, записанной на гибких магнитных дисках, необходимо также сделать с них копии. Точная копия получается командой в среде DOS diskcopy. В результате ее выполнения получается фактически идентичная дискета. (В дальнейшем следует работать с копиями информации. Работа с копиями позволяет сохранить исходную информацию в неприкосновенности, что, во-первых, в какой-то степени является средством защиты от подлога, а во-вторых, даже у очень опытных пользователей бывают ситуации, когда информация теряется, например вследствие внезапного отключения электричества, поэтому при производстве экспертизы часть информации может неумышленно потеряться; и в-третьих, дает возможность впоследствии при необходимости производить повторную или дополнительную экспертизу; выключить компьютер и продолжить его осмотр. Перед выключением питания требуется корректно завершить все исполняемые в
данный момент программы, по возможности сохранить всю промежуточную информацию (тексты, информацию состояния, содержание буферов обмена и др.) в специальных файлах, если возможно — на отдельных дискетах, в противном случае — на жестком диске компьютера. В протоколе указать имена этих файлов, вид информа- ции, сохраняемой в каждом, расположение файлов (наименование дискет и их маркировку или логический диск и каталог на винчестере компьютера); выключить компьютер, который подвергся воздействию, а при наличии сети — выключить все компьютеры в сети. Если из-за особенностей функционирования системы это невозможно, то следует принять все меры для исключения доступа к информации данного компьютера, по возможности снять с нее копию и принять меры для фиксации всех изменений информации, которые будут происходить впоследствии. При осмотре неработающего компьютера необходимо: ♦ установить и отразить в протоколе и на прилагаемой к нему схеме местонахождение компьютера и его периферийных устройств (принтера, модема, клавиатуры, монитора и т. п.), назначение каждого устройства, название, серийный номер, комплектацию (наличие и тип дисководов, сетевых карт, разъемов и др.), наличие соединения с локальной вычислительной сетью и (или) сетями телекоммуникации, состояние устройств (целое или со следами вскрытия); ♦ точно описать порядок соединения между собой указанных устройств, промаркировав (при необходимости) соединительные кабели и порты их подключения, после чего разъединить устройства компьютера; ♦ в ходе осмотра компьютера необходимо с помощью специалиста установить наличие внутри компьютера нештатной аппаратуры, изъятия микросхем, отключение внутреннего источника питания (аккумулятора); ♦ упаковать (с указанием в протоколе места их обнаружения) магнитные носители на дискетах и лентах. Для упаковки могут использоваться как специальные футляры для дискет, так и обычные бумажные и целлофановые пакеты, исключающие попадание пыли (загряз-.., нений и т. п.) на рабочую поверхность дискеты или магнитной ленты; упаковать каждое устройство компьютера и соединительные кабели. Предварительно, для исключения доступа посторонних лиц, необходимо опечатать системный блок — заклеить защитной лентой кнопку включения компьютера и гнездо для подключения электрокабеля, а также места-соединения боковых поверхностей с передней и задней панелями. Если в ходе осмотра и изъятия компьютерной техники возникает необходимость включения компьютера, его запуск необходимо осуществлять с заранее подготовленной загрузочной дискеты, исключив тем самым запуск программ пользователя. В протоколе осмотра должно быть отражено: ♦ количество и схема расположения рабочих мест, порядок размещения компьютерного оборудования и мест хранения машинных носителей информации; ♦ месторасположение данного помещения в здании учреждения, наличие охранной сигнализации, состояние оконных и дверных проемов (повреждения, техническое состояние), запорных устройств, экранирующих средств защиты; ♦положение переключателей на блоках и устройствах СКТ; ♦ места подключения периферийных устройств (например, соединительный кабель между коммуникационными портами принтера и системным блоком компьютера), винты крепления крышек корпуса, поверхности под системным блоком, монитором и другими устройствами. Обычно в этих местах происходит скопление пыли, а значит могут остаться следы, характер или отсутствие которых должно быть отражено в протоколе; ♦ наличие и состояние всех пометок, пломб, специальных знаков и наклеек (инвентарных номеров, записей на память, контрольных маркеров фирм-продавцов и др.), нанесенных на корпуса и устройства компьютеров, наличие загрязнений, механических повреждений и их локализация; ♦ состояние индикаторных ламп и содержание информации, высвечиваемой на мониторе (если компьютер включен); при этом необходимо учитывать, что для предотвращения выгорания экрана в большинстве компьютеров используют специальные заставки — хранители экрана, которые могут быть защищены паролем. В протоколе также должен быть зафиксирован вид этого хранителя; ♦ наличие и содержание записей, относящихся к работе компьютерной техники. В них могут оказаться сведения о процедурах входа-выхода в компьютерную систему, пароли доступа и т. п.;
♦ наличие внутри компьютерной техники нештатной аппаратуры и различных устройств; ♦ следы нарушения аппаратной системы защиты информации и другие признаки воздействия на электронную технику (механические повреждения); ♦ место обнаружения каждого носителя компьютерной информации, характер его упаковки (конверты, специальный футляр-бокс для хранения дискет, фольга и пр.), надписи или наклейки на упаковке и другие особенности, тип и размер (в дюймах), изготовитель и тип компьютера, для которого предназначен обнаруженный носитель, характерные признаки (состояние средств защиты от стирания, царапины, гравировки, различные повреждения и т. п.). В дополнение к протоколу, кроме составления схемы расположения компьютеров и периферийных устройств в помещении и соединения компьютеров в сети, с помощью видео- или фотосъемки рекомендуется зафиксировать информацию на экране монитора, индикаторных панелях, положение переключателей и состояние индикаторных ламп всех устройств компьютерной системы, о чем сделать соответствующие записи в протоколе. Носители информации, имеющей отношение к расследуемому событию, могут быть изъяты в ходе осмотра с соблюдением установленного УПК порядка. При этом необходимо помнить, что обращаться с носителями машинной информации, как то: жесткими магнитными дисками (винчестерами), оптическими дисками, дискетами и т. п., следует осторожно — не прикасаться руками к рабочей поверхности дисков, не подвергать их электромагнитному воздействию, не сгибать и не хранить без соответствующей упаковки, не делать на них никаких пометок авторучкой или жестким карандашом (допускается нанесение пояснительных надписей на этикетку фломастером), не пробивать отверстия в магнитных носителях или ставить на них печати. СКТ, которые следователь не счел необходимым в ходе осмотра изымать (напомним, что изъятию при осмотре подлежат только те предметы, которые могут иметь отношение к уголовному делу — ст. 177 ч. 3 УПК), следует опечатать наклеиванием листа бумаги с подписями следователя и понятых на разъемы электропитания и корпус, либо опечатать весь системный блок. Это необходимо для
исключения возможности отдельным лицам на определенное требуемое следователю с учетом конкретных обстоятельств расследуемого дела время его включения и использования, доступа внутрь системного блока.
|