Привлечение к расследованию специалистов. Спецификой дел данной категории является то, что с самого начала расследования следователю необходимо плотно взаимодействовать со специалистами в области информационных технологий. Специалисты крайне необходимы для участия в большинстве первоначальных следственных действий. Поиск таких специалистов следует проводить на предприятиях и в учреждениях, осуществляющих обслуживание и эксплуатацию компьютерной и коммуникационной техники, в учебных и научноисследовательских организациях. В крайнем случае могут быть привлечены сотрудники организации, компьютеры которой подверглись вторжению (при установлении их непричастности к расследуемому событию). Большую помощь в расследовании могут оказать специалисты зональных информационновычислительных центров МВД, ГУВД, УВД субъектов Российской Федерации.
Специалистыв ходе следственных действий могутоказатьдейственнуюпомощьпри предварительном решении следующих вопросов:
• какова конфигурация и состав ЭВМ и можно ли с помощью этой ЭВМ осуществить исследуемые действия;
• не являются ли представленные файлы с программами,зараженными вирусом, и если да, то каким именно;
• подвергалась ли данная компьютерная информация изменению и, если да, то какому именно;
• какие правила эксплуатации ЭВМ существуют в данной информационной системе и были ли нарушены эти правила;
• находится ли нарушение правил эксплуатации ЭВМ впричинной связи с изменениями данной компьютернойинформации и др.
Соблюдение правил работы с компьютерной информацией на машинных носителях. Специфической особенностью расследования дел данной категории является необходимость соблюдения правил работы с машинными носителями компьютерной информации. При планировании следственных мероприятий, связанных с исследованием компьютерной информации и машинных носителей, необходимо предусмотреть меры нейтрализации средств и приемов, предпринимаемых преступниками с целью уничтожения вещественных доказательств. Ими может, например, использоваться специальное оборудование, в критических случаях создающее сильное магнитное поле, стирающее магнитные записи. Преступник может включить в состав программного обеспечения своей машины программу, которая заставит компьютер требовать пароль периодически, и если в течение несколько секунд правильный пароль не введен, данные в компьютере автоматически уничтожатся. Следует учитывать и возможность возрастания в ходе обыска напряжения статического электричества, которое может повредить данные и магнитные носители. Желательно иметь с собой и использовать устройство для определения и измерения магнитных полей (например, компас). Вещественные доказательства — машинные носители требуют особой аккуратности при транспортировке и хранении. Им противопоказаны резкие броски, удары, повышенные температуры, влажность, задымленность (в том числе табачный дым) и запыленность.
Как правильно указывается в методических рекомендациях «Подготовка и назначение программнотехнической экспертизы» (Катков С.А., Собецкий И.В., Федоров А.Л. Бюллетень ГСУ МВД СССР №4, 1995), по прибытии на место проведения следственного действия следует принять мерык обеспечениюсохранностиинформациина находящихся здесь машинных носителях. Для этого необходимо:
• не разрешать кому бы то ни было из лиц, работающих наместе производства следственного действия или находящегося здесь по другим причинам (в дальнейшем персоналу), прикасаться к работающим ЭВМ;
• не разрешать кому бы то ни было выключать электроснабжение объекта;
• в случае, если на момент начала действия электроснабжение объекта выключено, то до восстановления электроснабжения следует отключить от электросети все имеющиеся здесь компьютеры и периферийные устройства;
• самому следователю не производить никаких манипуляций с ЭВМ, если результат этих манипуляций заранее неизвестен;
• при наличии в помещении, где находятся ЭВМ или магнитные носители информации, взрывчатых, легковоспламеняющихся, едких и токсичных веществ и/или материалов, как можно скорее удалить эти вещества и/илиматериалы в другое помещение;
• при невозможности удалить опасные материалы из помещения, где находятся ЭВМ или магнитные носителиинформации, а также при непрекращающихся попыткахперсонала получить доступ к ЭВМ, принять меры дляудаления персонала в другое помещение.
Особенности осмотров, обысков и выемок. Осмотр и обыск (выемка) особенно в начале расследования являются важнейшими инструментами установления обстоятельств расследуемого события. При анализе хода и результатов этих действий можно воссоздать механизм действий злоумышленников и получить важные доказательства.
В любом случае изъятия с ЭВМ и машинных носителей информации необходимым условием является фиксация носителей и их конфигурации на месте обнаружения, а также упаковка, обеспечивающая правильное и точное соединение в лабораторных условиях или в месте производства следствия с участием специалистов, как на месте обнаружения.
Следует иметь в виду, что конкретная программнотехническая конфигурация позволяет производить с ЭВМ определенные действия и нарушения конфигурации или отсутствие данных о точной ее фиксации (так же как на месте обнаружения) может повлиять на возможность выполнения на ней не только опытных действий в ходе следствия, но и на оценку в суде возможности совершения преступления. Так, тип программного обеспечения, загруженного в момент следственного осмотра в ЭВМ, может показывать задачи, для которых ЭВМ использовалась. Если, например, имеется программное обеспечение для связи, и ЭВМ соединена с модемом, то это явно свидетельствует о возможности данной ЭВМ осуществлять связные функции и доступ к компьютерной информации.
В ходе обнаружения машинных носителей информации могут быть две ситуации: носители могут на момент обнаружения работать или не работать. Признаками работающей ЭВМ могут быть подключение ее проводами к сети, шум работающих внутри ЭВМ вентиляторов, мигание или горение индикаторов на передних панелях системного блока, наличие на экране изображения. Если ЭВМ работает, ситуация для следователя, проводящего следственное действие без помощи специалиста, существенно осложняется, однако и в этом случае не следует отказываться от оперативного изъятия необходимых данных. В этом случае следует:
• определить, какая программа выполняется. Для этого необходимо изучить изображение на экране дисплея и повозможности детально описать его. Иногда можно вывести изображение экрана на печать нажатием клавиши
PrintScrn. После остановки программы и выхода в операционную систему иногда при нажатии функциональнойклавиши F3 можно восстановить наименование вызывавшейся последний раз программы;
• осуществить фотографирование или видеозапись изображения на экране дисплея;
• остановить исполнение программы. Остановка исполнения многих программ осуществляется одновременнымнажатием клавиш CtrlC, либо CtrlBreak, либо CtrlQ.
Часто для окончания работы с программами следует ввести с клавиатуры команды EXIT или QUIT, иногда достаточно нажать клавишу Esc или указать курсором на значок прекращения работы программы;
• зафиксировать (отразить в протоколе) результаты своихдействий и реакции на них ЭВМ;
• определить наличие у ЭВМ внешних устройствнакопителей информации на жестких магнитных дисках (винчестера) и виртуального диска;
• определить наличие у ЭВМ внешних устройств удаленного доступа (например, модемов) к системе и определить их состояние (отразить в протоколе), после чегоразъединить сетевые кабели так, чтобы никто не мог модифицировать или уничтожить информацию в ходе обыска (например, отключить телефонный шнур);
• скопировать программы и файлы, хранимые на возможносуществующем «виртуальном» диске, на магнитный носитель;
• выключить подачу энергии в ЭВМ и далее действоватьпо схеме «компьютер не работает».
Если ЭВМ неработает,следует:
• точно отразить в протоколе и на прилагаемой к немусхеме местонахождение ЭВМ и ее периферийных устройств (печатающее устройство, дисководы, дисплей,клавиатуру и т.п.);
• точно описать порядок соединения между собой этихустройств с указанием особенностей (цвет, количествосоединительных разъемов, их спецификация) соединительных проводов и кабелей; перед разъединением любых кабелей полезно осуществить видеозапись или фотографирование мест соединения. Удачным решениемявляется точная маркировка, например с помощью надписанных листочков с липкой поверхностью, каждогокабеля и устройства, а также порта, с которым кабель соединяется перед разъединением. Следует маркироватькаждый незанятый порт как «незанятый»;
• разъединить устройства ЭВМ с соблюдением всех возможных мер предосторожности, предварительно обесточив устройства. Следует помнить, что матричные принтеры оставляют следы на красящей ленте, которая можетбыть восстановлена в ходе ее дальнейшего экспертногоисследования;
• упаковать раздельно (указать в протоколе и на конвертеместа обнаружения) носители на дискетах, компактныедиски и магнитные ленты (индивидуально или группами) и поместить их в оболочки, не несущие заряда статического электричества;
• упаковать каждое устройство и соединительные кабели,провода для обеспечения аккуратной транспортировки ЭВМ;
• защитить дисководы гибких дисков согласно рекомендациям изготовителя (некоторые изготовители предлагаютвставлять новую дискету или кусок картона в щель дисковода).
Если в ходе осмотра и изъятия все же в крайнем случае понадобится запуск ЭВМ, это следует делать во избежание запуска программ пользователя с помощью собственной загрузочной дискеты.
Более сложной задачей осмотра ЭВМ является поиск содержащейся в ней информации и следов воздействия на нее. Ее решение всегда требует специальных познаний. Существует фактически двавидапоиска:
первый — поиск, где именно искомая информация находится в компьютере;
второй — поиск, где еще разыскиваемая информация могла быть сохранена.
Как указывалось ранее, в ЭВМ информация может находиться непосредственно в ОЗУ при выполнении программы, в ОЗУ периферийных устройств и на ВЗУ. Наиболее эффективным и простым способом фиксации данных из ОЗУ является распечатка на бумагу этой информации. Если ЭВМ не работает, информация может находиться на машинных носителях, других ЭВМ информационной системы, в «почтовых ящиках» электронной почты или сети ЭВМ. Детальный осмотр файлов и структур их расположения (которые сами по себе могут иметь существенное доказательственное значение, отражая группировку информации) целесообразно осуществлять с участием специалистов в лабораторных условиях или на рабочем месте следователя. Предпочтительно изучать не подлинники изъятых машинных носителей, а их копии.
Следует обращать внимание на поиск так называемых «скрытых» файлов и архивов, где может храниться важная информация. При обнаружении файлов с зашифрованной информацией или требующих для просмотра стандартными программами ввода паролей, следует направлять такие файлы на расшифровку и декодирование соответствующим специалистам. Периферийные устройства вводавывода могут так же некоторое время сохранять фрагменты программного обеспечения и информации, однако для вывода этой информации необходимы специальные познания. Так же как и в случае с ОЗУ, данные, найденные на машинных носителях, целесообразно в ходе осмотра выводить на печатающие устройства и хранить на бумажных носителях в виде приложений к протоколу осмотра. Изъятие данных в «почтовых ящиках» электронной почты может при необходимости осуществляться по правилам наложения ареста и выемки почтовотелеграфной корреспонденции с предъявлением соответствующих требований к владельцу почтового узла, где находится конкретный «ящик».
В ходе осмотров по делам данной категории могут быть обнаружены и изъяты следующие видыважныхдокументов,которыемогутстатьвещественными доказательствами по делу:
• носящие следы совершенного преступления — телефонныесчета, телефонные книги, которые доказывают фактыконтакта преступников между собой, в том числе и посетям ЭВМ, пароли и коды доступа в сети, дневникисвязи и пр.;
• со следами действия аппаратуры — всегда следует искатьв устройствах вывода (например, в принтерах) бумажныеносители информации, которые могли остаться внутриних в результате сбоя в работе устройства;
• описывающие аппаратуру и программное обеспечение (пояснение к аппаратным средствам и программному обеспечению) или доказывающие нелегальность их приобретения (например, ксерокопии описания программного обеспечения в случаях, когда таковые предоставляются изготовителем);
• нормативные акты,устанавливающие правила работыс ЭВМ, регламентирующие правила работы с данной ЭВМ, системой, сетью, доказывающие, что преступниких знал и умышленно нарушал; личные документы подозреваемого или обвиняемого и др.
Не следует забывать при осмотрах и обысках о возможностях сбора традиционных доказательств, например, скрытых отпечатков пальцев на клавиатуре, выключателях и тумблерах и др., рукописных, в том числе шифрованных записей и пр. В связи с тем, что при осмотре ЭВМ и носителей информации производится изъятие различных документов, в ходе расследования может возникнуть необходимость в назначении криминалистической экспертизы для исследования документов. Дактилоскопическая экспертиза позволяет выявить на документах, частях ЭВМ и машинных носителях следы пальцев рук причастных к делу лиц.
Особенности допросов причастных к делу лиц. Основныетактическиезадачидопросапри расследовании дел рассматриваемой категории являются:
• выявление элементов состава преступления в наблюдавшихся очевидцами действиях;
• установление обстоятельства, места и времени совершения значимых для расследования действий, способа имотивов его совершения и сопутствующих обстоятельств,признаков внешности лиц, участвовавших в нем;
• определение предмета преступного посягательства;
• определение размера причиненного ущерба;
• детальные признаки похищенного;
• установление иных свидетелей и лиц, причастных к совершению преступления.
Первичное обнаружение признаков неправомерных действий посторонних лиц с компьютерной информацией осуществляется, как правило, сотрудниками собственника информационной системы и ее пользователями. Описание этих признаков может найти отражение в показаниях очевидцев.
Для расследования дел данной категории важно хорошо подготовиться к предстоящим допросам. Целесообразно собрать максимально возможную в имеющемся у следствия промежутке времени информацию о допрашиваемом лице. Для этого целесообразно обеспечить получение данных о нем с места жительства, учебы, работы, досуга. Источниками сведений могут быть налоговые инспектора, работники милиции по месту жительства, коллеги по работе, соседи, знакомые. Важные данные могут быть получены из личных дел по месту работы. Из централизованных учетов могут стать известны сведения о судимости и данные из архивных уголовных дел. В ходе такой подготовки могут быть выяснены сведения о состоянии здоровья и психики допрашиваемого, наличии у него специальных и профессиональных навыков и другие существенные данные.
Настойчивый поиск данных о личности допрашиваемого обычно приводит к расширению представлений о круге лиц, имеющих отношение к расследуемому событию, а также дает основание для отнесения лица к соответствующей референтной группе, обобщенное мнение которой может быть использовано для правомерного психологического воздействия при допросе. Эти данные позволят сделать допрос более эффективным.
Проблемой фиксации показаний по делам о преступлениях в области компьютерной информации является их «перегрузка» специальной терминологией и жаргонной лексикой. Целесообразно в протоколах более подробно акцентировать внимание и фиксировать значения терминов, используемых допрашиваемым при описании известных ему фактов. При описании конфигураций систем или схем движения информации могут оказаться крайне полезными рукописные схемы, составляемые допрашиваемым и приобщаемые к протоколу допроса.
При расследовании данной категории дел осуществляются и иные следственные действия (опознание, очная ставка и т.п.). Тактика их проведения определяется с учетом конкретных обстоятельств дела и характеристики лиц — непосредственных участников этих следственных действий. Существенной спецификой отличается, конечно, назначение и проведение экспертиз. По этой категории дел зачастую назначаются криминалистические экспертизы (техническое исследование документов, почерковедческая, дактилоскопическая и др.), однако наиболее характерна и специфична — программнотехническая экспертиза, назначаемая в целях исследования компьютеров, их комплектующих, периферийных устройств и программного обеспечения.
Процесс накопления эмпирических данных о способах расследования преступлений в области компьютерной информации продолжается. Личная инициатива следователя в применении многообразия предлагаемых криминалистикой тактических приемов и аккуратность работы с вещественными доказательствами — залог успешного расследования.