Наиболее часто проводимые действия:
· Осмотры (особенно осмотр места происшествия);
· Обыски, выемки;
· Допросы;
· Назначение экспертизы [по ней отдельная тема, либо в учебнике – «Криминалистическое исследование информации», либо будет лекция].
· Осмотр места происшествия.
Как правило, проводится в тех помещениях, где находилась компьютерная техника и компьютерная информация потерпевшего, а в ситуациях, когда был непосредственный доступ или удаленный доступ был с прилегающей территории, например, путем магнитного излучения, осмотр места происшествия возможен и на участке территории, который непосредственно прилегает к этим помещениям.
Требования к осмотру: как можно быстрее после выявления признаков совершения преступления – требования своевременности наиболее актуальны, так как следы исчезают быстро.
Специфика осмотра:
Подготовка:
- Необходимо обеспечение участия специалиста в области компьютерной информации и техники;
- Техническое обеспечение (съемные Машиноносители копирования информации, периферийное оборудование – сканер, клавиатура, программные средства, фото и видео техника);
- Подбор понятых желательно проводить из лиц, которые владеют хотя бы зачатками знаний в области обработки информатики.
- Все средства работы с компьютерной информацией, с которыми работают специалисты, должны быть сертифицированы и иметь лицензию;
- Они не должны изменять содержание компьютерной информации (должна быть защита от несанкционированных изменений);
- Полученная информация должна быть впоследствии представлена в человекочитаемом виде;
По прибытии на место происшествия:
- Прежде всего надо получить предварительную информацию о тех лицах, которые там находятся;
- О лицах, которые наблюдали совершение преступления;
- О действиях, которые предприняли для предотвращения преступных действий;
- Организации информационных потоков в данной организации;
- Средствах защиты, которые находятся на территории.
Важнейшие специфические узлы исследования:
- Компьютер и подключенное к нему оборудование,
- Средства связи;
- Соединения со средствами связи;
- Соединение компьютера с приборами электропитания;
- Дополнительное оборудование, в том числе, обеспечивающее работу локальных и глобальных систем;
- Хранилища съемных носителей машиноинформации;
- Хранилища документации, которая регламентирует работу с компьютерами и средствами связи;
- При непосредственном доступе места проникновения в помещение или мета доступа технических средств.
Фиксация должна быть как в протоколе, так же фотографирование или видео-запись с тем, чтобы избежать любых неточностей при фиксации.
Если в организации имеется какая-нибудь сеть, то необходимо зафиксировать любые элементы топологии данной сети, то есть их расположение, наличие серверов, количество и расположение мест пользователей и так далее.
Осмотр компьютера:
- Внешний осмотр самого компьютера и находящихся рядом с ним периферийных устройств и средств связи;
- Осмотр информации в компьютере – он зависит от того, возможно ли обеспечить при осмотре места происшествия ее сохранность и неизменность. Поскольку главная задача – это фиксация, сохранность информации, то если компьютер работает, или когда происходят длящиеся преступления исследование такой информации возможно только, если следователь уверен (такая уверенность в большинстве случаев не обеспечивается) в сохранности информации.
В некоторых случаях, если, например, расследование преступления сопровождается оперативно-розыскной работой и действия преступника контролируются, то можно такие действия совершать (можно узнать IP адрес преступника, выявить, где он находится).
Внешний осмотр, который необходим в любом случае, включает в себя как описание родовых признаков (внешний вид, размер, цвет, марка и т. п.), так и индивидуальных (серийные номера, цвет, надписи, повреждения и т д).
Необходимо помнить, что когда мы исследуем традиционные виды компьютерной техники, у нас есть некоторые ограничения, связанные с обработки информации (например, при обнаружении отпечатков пальцев нельзя использовать магнитные кисти, вообще порошки не желательно использовать, а использовать щадящие средства).
Особенности получения информации:
При осмотре места происшествия, при осмотре компьютера мы хотим получить наиболее полную информацию, поэтому наиболее рациональным было бы изъятие компьютерной информации и всей информации, однако зачастую это может привнести больше вреда, чем само преступление. Поэтому тут надо искать середину:
- Либо сделать полную копию и оставить ее провайдеру, чтобы он работал на ней;
- Если нас интересует какая-то конкретная информации и ее можно структурировать и выделить, то можно получить ее на электронных и/или бумажных носителях;
- Если в организации создается первоначальная компьютерная информация, то следователь может обязать пользователя принять меры к охране данной информации, обеспечить ее защиту.
В дальнейшем полученная информация хранится в неизменном виде, все операции проводятся только с копиями этой информации (например, экспертиза, дополнительный осмотр).
Помимо изъятия компьютерной техники и информации при осмотре наиболее часто изымают следующие объекты:
- Носитель информации, хранящейся в архивах пользователя, как в электронном, так и в бумажном виде;
- Носители информации, которые могут выражать следы преступления или следы подготовки преступления, которые произошли в прошлом, а не те которые мы расследуем сейчас (это могут быть электронные журналы регистрации соединения с другими компьютерами, протоколы и т д);
- Документы, регламентирующие работу с компьютерами и средствами связи (должностные инструкции, трудовые договоры);
- Образцы, характеризующие работу компьютера и периферийного оборудования (бумажные распечатки, которые показывают характеристики принтера, тонеры);
- Документы, содержащие характеристики оборудования;
- Сведения о системе защиты, применяемой потерпевшим (списки кодов, паролей и т д)
Важно, чтобы соответствующие документы и предметы были описаны таким образом, чтобы исключить их неоднозначное толкование, то есть в протоколе должны быть указаны как индивидуализирующие признаки, так и родовые.
Транспортировка и хранение информации важно, чтобы обеспечивала неизменность информации (например, не должно быть сильных магнитных источников).
· Обыски и выемки.
Мы будем говорить об обыске, потому что выемка это хотя и добровольно-принудительная при возникновении сложностей и используется тактика по обыску.
Обязательно участие специалиста при обыске и выемке (требование закона).
Подготовка обыска наряду с требованиями, предъявляемыми при осмотре места происшествия (специалист, технические программные средства, подбор понятых), важно также:
- Как можно быстрее после совершения преступления и внезапно для обыскиваемого (психологический фактор и предотвращение уничтожения информации);
- Предварительное установление мест, где находится компьютерная техника и информация, возможности подозреваемого по уничтожению данной информации, его профессиональных навыков в области компьютерной техники и информации;
- Если обыск проводится в нескольких местах, где находятся компьютеры, которые взаимодействуют между собой, очень важна одновременность обыска (речь идет не только о минутах, но иногда и о секундах).
Обыск начинается с личного обыска, но в отличие от традиционных видов обыска, когда мы ищем предметы, которые запрещены к обороту, например, оружие, мы еще ищем съёмный носитель информации, а также технические средства, обеспечивающие дистанционное уничтожение информации на компьютере. Они могут быть замаскированы под разные предметы (брелок, ручка, браслет и т д), поэтому все такие вещи должны быть изъяты, и доступ к ним подозреваемого может быть обеспечен только тогда, когда специалисты их внимательно осмотрели.
Важно фиксировать все традиционные следы обыскиваемого по работе с ЭВМ (следы пальцев на клавиатуре, соединении его с иными устройствами и т д).
Какие вещественные доказательства наиболее часто изымаются при обыске по данной категории дел? Специфические вещественные доказательства:
- Рукописные записи, которые характеризуют процесс совершения преступления и работы с компьютером (графики сеансов, пароли);
- Документы, подтверждающие приобретение компьютерных средств (например, электронных устройств или программ);
- Документы, указывающие на каналы преступника, телефоны, интернет связи;
- Литература и документы, содержащие описание аппаратных и программных средств;
- Источники, описывающие способы совершения преступления, например, исходные тексты вредоносных программ, распечатки с форумов хакеров, документы, характеризующие местонахождения преступника – билеты, чеки из интернет кафе;
- Техника и материалы, используемые при изготовлении носителей информации (упаковки, используемые при изготовлении дисков с вредоносными программами, болванки этих дисков);
- Образцы, характеризующие работу компьютерной техники (распечатки, тонеры и т п).
- Машинные носители информации.
Осмотр компьютеров происходит по той же схеме, что и при осмотре места происшествия, но еще больше внимания уделяется обеспечению защите и неизменности состояния информации. В связи с этим внимание обращается на наличие присоединённых к компьютеру нетрадиционных технических средств или средств, назначение которых не понятно. Если такие средства обнаруживаются, то они должны быть от компьютера отсоединены, изолированы и, в некоторых случаях, их лучше вообще удалить из помещения.
Операции по исследованию компьютерной информации зависят от того, работает машина или нет. Если компьютер не работает, то просто фиксируется его внешний вид. Когда компьютер работает, для следователя главное не потерять информацию.
В большинстве случаев следователь ограничивается минимальным описание информации.
В некоторых случаях, например, осуществляется связь между сообщниками, возможна более подробная фиксация. Но эта ситуация характеризуется очень большим тактическим риском и идти на нее можно только в экстремальных условиях.
Изъятая в ходе обыска компьютерная информация подлежит копированию, и все действия осуществляются только с копиями данной информации.
В настоящее время закон предоставляет владельцу носителя информации право обратиться к следователю с просьбой о получении копии информации. Следователь может отказать, если это будет препятствовать расследованию преступления или может привести к утрате информации.
· Допрос.
Особенности допроса в основном связаны с тем, что:
- Сами преступные действия протекают очень быстро и не всегда возможно получить информацию от очевидцев;
- Специфическая лексика и специфические понятия – не всегда следователи понимают даже ту лексику, которая имеется, неофициальную лексику, которая описывает соответствующие информационные процессы устройства, а тем более, что достаточно распространена неформальная лексика (жаргонизмы – например Windows – винда, окошки, форточки, мозда) – в этих случаях при допросе рекомендуется использовать специалиста, либо получать консультации этого специалиста до допроса.