§ 5. Особенности тактики осмотра компьютерных объектов

Как уже отмечалось, следователи все чаще сталкиваются с необходимостью осмотра компьютерной техники и содержащейся в ней или на отдельных носителях (дискетах, лазерных дисках) информации.

В качестве объекта этого следственного действия компьютерная техника и компьютерная информация выступают как: а) предмет традиционных преступных посягательств (например, кражи). Чаще всего в этих случаях каких-либо тактических особенностей осмотр ее не имеет, представляя по существу разновидность следственного осмотра предметов (и потому здесь рассматриваться не будет); б) в качестве орудия совершения преступлений, опять же, как традиционных (например, мошенничества), так и преступлений в сфере компьютерной информации. В таких случаях другие компьютеры являются «потерпевшими» от проведенной в отношении их «компьютерной атаки» (например, в результате внедренных в них вирусов типа «троянского коня» позволяющих завладевать имеющейся в них информацией и использовать ее в своих целях) и потому также подлежат осмотру; в) как объект, содержащий в себе базу информационных данных, которые имеют или могут иметь отношение к расследуемому преступлению. Дело в том, что уже в настоящее время бухгалтерский учет в большинстве предприятий, учреждений, иных хозяйствующих субъектов ведется на безбумажной, компьютерной основе; отраженные таким образом данные

Параграф написан в соавторстве с Т. Э. Кукарниковой.

 

также либо становятся предметом преступных посягательств, либо могут представлять интерес для расследования; г) лица, имеющие в личном или служебном распряжении компьютерную технику, нередко используют ее в качестве своего рода дневника, телефонной книжки или для ведения переговоров в сети Интернет по электронной почте. Эти сведения зачастую также представляют интерес для расследования. И вот для трех последних разновидностей использования компьютерной техники в интересующих следователя отношениях тактика ее осмотра весьма специфична.

Первой характерной чертой является обязательное привлечение к осмотру специалиста. Следователь, как правило, не обладает достаточно глубокими навыками и знаниями в области компьютерной техники и информационных технологий. И потому без помощи специалиста он может совершить неисправимые в дальнейшем ошибки в ходе осмотра технической аппаратуры, снятия необходимой информации и (или) ее изъятия.

Опрос следователей и специалистов в области вычислительной техники показал, что только 14% следователей работают на компьютере на уровне пользователя, 56% не знают ничего о принципах его работы. С другой стороны, 92% из числа опрошенных программистов считают, что на современном уровне развития вычислительной техники без участия профессионала найти «спрятанную» в компьютере информацию без риска уничтожения сложно1.

В то же время, привлекая специалиста, следователю необходимо убедиться в его компетентности. Дело в том, что, несмотря на распространенное противоположное мнение, общего понятия «специалист по компьютерной технике» не существует. Можно говорить лишь о том, что есть специалист, компетентный в конкретных компьютерных системах. Так, например, специалист по операционной системе MS DOS не обязательно будет знаком с операционной системой Windows NT, a квалифицированный пользователь персонального компьютера может не уметь обращаться с большими вычислительными комплексами2. Потому необходимый профиль знаний конкретного специалиста сле-

Касаткин А. В. Тактика собирания и использования компьютерной информации при расследовании преступлений: Дисс. канд. юрид. наук. М., 1997. С. 17-18.

1 Курушин В.Д., Минаев В.А. Компьютерные преступления и информационная безопасность. М., 1998. С. 157.

124

 

дует определять в зависимости от целей и задач осмотра с учетом первоначальных данных о характере преступления.

Обратим также внимание, что, как уже ранее упоминалось, в качестве понятых для участия в осмотре этих объектов следует привлекать людей, сведущих в компьютерной технике. Очевидно, что их участие наиболее необходимо именно при данном следственном действии, чтобы исключить возможные впоследствии ссылки заинтересованных лиц об изменениях следователем в ходе осмотра информации, содержащейся в компьютере и на магнитных носителях.

По прибытии на место осмотра следователю следует начать с запрещения доступа к средствам вычислительной техники всем лицам, работающим на объекте. Принять меры к выявлению и изъятию следов рук, оставшихся на защелках дисководов, кнопках включения питания, участках корпуса около винтов крепления крышки корпуса, клавишах клавиатуры и мыши, разъемах портов и сетевых плат, а также на кнопках печатных устройств. В этих местах обычно остаются следы рук преступников. Кроме того, нельзя исключать возможности доступа в помещение, где находится компьютерная техника и информация, посторонними лицами путем взлома, подбора ключей, в том числе паролей к электронным замкам, на которых также могут остаться следы. При осмотре кабельных сетевых соединений требуется убедиться в их целостности, отсутствии следов подключения нештатной аппаратуры.

В связи с возможностью совершения преступлений по сетям телекоммуникации и локальным вычислительным сетям (ЛВС) необходимо установить расположение всех компьютеров в сети, конкретное назначение каждого компьютера, наличие сервера, места прокладки кабелей, устройств телекоммуникации (модемов, факс-модемов), их расположение и подключение к каналам телефонной связи. Требуется также выяснить наличие специальных средств защиты от несанкционированного доступа к информации, принять меры к установлению ключей (паролей). Обратим внимание на то, что часто решающее значение имеет внезапность действий, поскольку компьютерную информацию можно быстро уничтожить (в том числе по сети), поэтому в случае объединения компьютеров в сеть следует организовать групповой обыск-осмотр одновременно во всех помещениях, где они установлены.

В ходе осмотра средств вычислительной техники непосредственными объектами его могут быть: отдельные компьютеры, не являю-

125

 

щиеся составной частью локальных или глобальных сетей; рабочие станции (компьютеры), входящие в сеть; файл-сервер, т. е. центральный компьютер сети; сетевые линии связи; соединительные кабели; принтеры; модемы; сканеры и т. п1.

При непосредственном осмотре компьютера следует осмотреть системный блок, чтобы определить, какие внешние устройства к нему подключены на данный момент и какие могли быть подключены ранее (на это указывает наличие разъемов на задней панели системного блока). Эта информация в дальнейшем поможет точнее поставить вопросы перед экспертом при назначении экспертизы, укажет направление поиска и, возможно, облегчит его. Так, наличие модема означает, что компьютер подключен к сети, т. е. на нем может быть установлена почтовая программа и программа для работы с глобальной сетью Интернет; наличие сканера или разъема для подключения сканера — что в памяти компьютера могут храниться графические файлы, содержащие отсканированное изображение или текст; наличие звуковой платы означает возможность обработки звуковой информации и хранение звуковых файлов; наличие дисководов для гибких дисков указывает, что необходимо также искать гибкие магнитные диски, содержащие информацию; аналогично наличие дисководов для компакт-дисков указывает на необходимость поиска лазерных дисков; наличие электронного ключа (компактной электронной приставки размером со спичечный коробок, устанавливаемой на параллельный или последовательный порт (разъем компьютера) защищает информацию и т. д.

Далее обратим внимание на особенности осмотра работающего и неработающего компьютеров.

При осмотре работающего компьютера необходимо: ♦♦♦ определить, какая программа выполняется в данный момент. Для этого изучается изображение на экране монитора, которое детально описывается в протоколе. При необходимости может осуществляться фотографирование или видеозапись изображения на экране дисплея;

1  Андреев СВ. Проблемы теории и практики криминалистического документоведе-ния. Иркутск, 2001.С. 131.

2  Электронный ключ разрешает пользоваться защищенной программой и ее данными только при своем наличии.

126

 

остановить исполнение программы и зафиксировать в протоколе результаты своих действий, отразить изменения, произошедшие на экране компьютера;

определить наличие у компьютера внешних устройств — накопителей информации на жестких магнитных дисках (винчестере), на дискетах и устройствах типа ZIP, наличие виртуального диска (временный диск, который создается при запуске компьютера для ускорения его работы), отразив полученные данные в протоколе; определить наличие у компьютера внешних устройств удаленного доступа к системе и определить их состояние (подключение к локальной сети, наличие модема), после чего отключить компьютер от сети и выключить модем, отразив в протоколе результаты своих действий;

скопировать программы и файлы данных, созданные на виртуальном диске (если он имеется), на магнитный носитель или на жесткий диск компьютера в отдельную директорию; произвести копирование всей информации, хранящейся на жестком диске на переносной диск сверхбольшой емкости типа DVD или даже на дополнительный жесткий диск, с последующим исследованием ее в лабораторных условиях. При этом все действия по подключению диска сверхбольшой емкости типа DVD или дополнительного жесткого диска, копированию информации фиксируются в протоколе. Для изучения информации, записанной на гибких магнитных дисках, необходимо также сделать с них копии. Точная копия получается командой в среде DOS diskcopy. В результате ее выполнения получается фактически идентичная дискета. (В дальнейшем следует работать с копиями информации. Работа с копиями позволяет сохранить исходную информацию в неприкосновенности, что, во-первых, в какой-то степени является средством защиты от подлога, а во-вторых, даже у очень опытных пользователей бывают ситуации, когда информация теряется, например вследствие внезапного отключения электричества, поэтому при производстве экспертизы часть информации может неумышленно потеряться; и в-третьих, дает возможность впоследствии при необходимости производить повторную или дополнительную экспертизу; выключить компьютер и продолжить его осмотр. Перед выключением питания требуется корректно завершить все исполняемые в

127

 

..,    данный момент программы, по возможности сохранить всю проме-s    жуточную информацию (тексты, информацию состояния, содержание буферов обмена и др.) в специальных файлах, если возможно —

■     на отдельных дискетах, в противном случае — на жестком диске

■     компьютера. В протоколе указать имена этих файлов, вид информа--...    ции, сохраняемой в каждом, расположение файлов (наименование

дискет и их маркировку или логический диск и каталог на винчестере компьютера); выключить компьютер, который подвергся воздействию, а при наличии сети — выключить все компьютеры в сети. Если из-за особенностей функционирования системы это невозможно, то следует принять все меры для исключения доступа к ин-

-i   формации данного компьютера, по возможности снять с нее копию и принять меры для фиксации всех изменений информации, которые будут происходить впоследствии. При осмотре неработающего компьютера необходимо:

♦♦♦ установить и отразить в протоколе и на прилагаемой к нему схеме местонахождение компьютера и его периферийных устройств (принтера, модема, клавиатуры, монитора и т. п.), назначение каждого устройства, название, серийный номер, комплектацию (наличие и тип дисководов, сетевых карт, разъемов и др.), наличие соединения с локальной вычислительной сетью и (или) сетями телекоммуникации, состояние устройств (целое или со следами вскрытия);

♦  точно описать порядок соединения между собой указанных устройств, промаркировав (при необходимости) соединительные кабели и порты их подключения, после чего разъединить устройства компьютера;

♦  в ходе осмотра компьютера необходимо с помощью специалиста установить  наличие  внутри  компьютера нештатной  аппаратуры, изъятия микросхем, отключение внутреннего источника питания (аккумулятора);

♦  упаковать (с указанием в протоколе места их обнаружения) магнитные носители на дискетах и лентах. Для упаковки могут использоваться как специальные футляры для дискет, так и обычные бумаж-

;r  ные и целлофановые пакеты, исключающие попадание пыли (загряз-..,   нений и т. п.) на рабочую поверхность дискеты или магнитной ленты; •♦♦ упаковать каждое устройство компьютера и соединительные кабе-1: ли. Предварительно, для исключения доступа посторонних лиц, необходимо опечатать системный блок — заклеить защитной лентой

Ш

 

кнопку включения компьютера и гнездо для подключения электрокабеля, а также места-соединения боковых поверхностей с передней и задней панелями.   .!(•

Если в ходе осмотра и изъятия компьютерной техники возникает необходимость включения компьютера, его запуск необходимо осуществлять с заранее подготовленной загрузочной дискеты, исключив тем самым запуск программ пользователя.

В протоколе осмотра должно быть отражено:

♦   количество и схема расположения рабочих мест, порядок размещения компьютерного оборудования и мест хранения машинных носителей информации;

♦   месторасположение данного помещения в здании учреждения, наличие охранной сигнализации, состояние оконных и дверных проемов (повреждения, техническое состояние), запорных устройств, экранирующих средств защиты;

*1* положение переключателей на блоках и устройствах СКТ;

*1* места подключения периферийных устройств (например, соединительный кабель между коммуникационными портами принтера и системным блоком компьютера), винты крепления крышек корпуса, поверхности под системным блоком, монитором и другими устройствами. Обычно в этих местах происходит скопление пыли, а значит могут остаться следы, характер или отсутствие которых должно быть отражено в протоколе;

♦♦♦ наличие и состояние всех пометок, пломб, специальных знаков и наклеек (инвентарных номеров, записей на память, контрольных маркеров фирм-продавцов и др.), нанесенных на корпуса и устройства компьютеров, наличие загрязнений, механических повреждений и их локализация;

♦  состояние индикаторных ламп и содержание информации, высвечиваемой на мониторе (если компьютер включен); при этом необходимо  учитывать,   что  для   предотвращения   выгорания  экрана  в большинстве компьютеров используют специальные заставки — хранители экрана, которые могут быть защищены паролем. В протоколе также должен быть зафиксирован вид этого хранителя;

*1* наличие и содержание записей, относящихся к работе компьютерной техники. В них могут оказаться сведения о процедурах входа-выхода в компьютерную систему, пароли доступа и т. п.;

129

 

♦  наличие внутри компьютерной техники нештатной аппаратуры и различных устройств;

*1* следы нарушения аппаратной системы защиты информации и другие признаки воздействия на электронную технику (механические повреждения);

♦  место обнаружения каждого носителя компьютерной информации, характер его упаковки (конверты, специальный футляр-бокс для хранения дискет, фольга и пр.), надписи или наклейки на упаковке и другие особенности, тип и размер (в дюймах), изготовитель и тип компьютера, для которого предназначен обнаруженный носитель, характерные признаки (состояние средств защиты от стирания, царапины, гравировки, различные повреждения и т. п.).

В дополнение к протоколу, кроме составления схемы расположения компьютеров и периферийных устройств в помещении и соединения компьютеров в сети, с помощью видео- или фотосъемки рекомендуется зафиксировать информацию на экране монитора, индикаторных панелях, положение переключателей и состояние индикаторных ламп всех устройств компьютерной системы, о чем сделать соответствующие записи в протоколе.

Носители информации, имеющей отношение к расследуемому событию, могут быть изъяты в ходе осмотра с соблюдением установленного УПК порядка. При этом необходимо помнить, что обращаться с носителями машинной информации, как то: жесткими магнитными дисками (винчестерами), оптическими дисками, дискетами и т. п., следует осторожно — не прикасаться руками к рабочей поверхности дисков, не подвергать их электромагнитному воздействию, не сгибать и не хранить без соответствующей упаковки, не делать на них никаких пометок авторучкой или жестким карандашом (допускается нанесение пояснительных надписей на этикетку фломастером), не пробивать отверстия в магнитных носителях или ставить на них печати.

СКТ, которые следователь не счел необходимым в ходе осмотра изымать (напомним, что изъятию при осмотре подлежат только те предметы, которые могут иметь отношение к уголовному делу — ст. 177 ч. 3 УПК), следует опечатать наклеиванием листа бумаги с подписями следователя и понятых на разъемы электропитания и корпус, либо опечатать весь системный блок. Это необходимо для

130

 

исключения возможности отдельным лицам на определенное требуемое следователю с учетом конкретных обстоятельств расследуемого дела время его включения и использования, доступа внутрь системного блока.

«все книги     «к разделу      «содержание      Глав: 43      Главы: <   11.  12.  13.  14.  15.  16.  17.  18.  19.  20.  21. >