Методика расследования компьютерных преступлений

 

 

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

КРАСНОДАРСКИЙ ЮРИДИЧЕСКИЙ УНИВЕРСИТЕТ

МИНИСТЕРСТВА ВНУТРЕННИХ ДЕЛ РОССИИ

 

Кафедра криминалистики

 

КУРСОВАЯ РАБОТА

по криминалистике

 

Тема: «Методика расследования компьютерных преступлений»

 

Выполнил:

курсант 342 учебной группы

мл. сержант полиции                                                                    Горбунов А.А.

 

Проверил:

преподаватель кафедры криминалистики старший лейтенант полиции Еремченко В.И.

 

 

 

К защите ________________________

(допущена, не допущена)

                    

Дата защиты «____» ____________ 20 ___ год                Оценка ____________

 

                                         

Краснодар 2012

Содержание

 

 

Введение

 

Рассматриваемая мною тема, несомненно, является актуальной, так как XXI век - век информационных технологий, которые динамично развиваются, о чем говорят следующие обстоятельства: большое количество интернет-провайдеров, постоянно растущее число пользователей, соответственно относительно недорогие тарифы и т.п.

Многочисленные преимущества современных компьютерных технологий создали новые условия, которые содействуют совершению преступлений на национальном и международном уровнях. Доходы преступников, связанные с незаконным использованием новейших компьютерных технологий, занимают третье место в мире после доходов от торговли наркотиками и оружием.

Расследование преступлений вышеуказанной категории представляет собой сравнительно новое веяние в уголовном судопроизводстве, вследствие негативной массовой компьютеризации в России, а именно криминализации сферы оборота компьютерной информации. Ведь в настоящее время  высокие технологии внедрились практически во все сферы нашей жизни и хозяйственной деятельности общества. Чаще всего информация, содержащаяся на компьютере, не хранится на бумаге,  в чем и заключается сложность в расследовании дел данной категории. Каждое рабочее место офисного работника, да и не только офисного, оборудовано компьютером, в связи, с чем возрастает количество компьютерных преступлений. Указанное обстоятельство вызвало необходимость в законодательной регламентации уголовной ответственности за совершение таких преступлений. Следует отметить, что компьютерные технологии зачастую становятся не только орудием, но и способом и  средством совершения традиционных преступлений, таких как, хищение путем растраты и присвоения, мошенничества, изготовление фальшивых денег и документов и т.д. Расследование и раскрытие преступлений в сфере компьютерной информации сопряжены с решением важной и сложной задачи, которая заключается в изъятии компьютерной информации и рассмотрением ее с точки зрения доказательства по уголовному делу.

Объект исследования – преступления в области компьютерных технологий.

Предмет исследования – методика расследования компьютерных преступлений.

Цель исследования – проанализировать основные направления методики расследования преступлений в сфере компьютерных технологий.

Задачи исследования:

- рассмотреть теоретико-прикладные  проблемы доказательств о преступлениях в области компьютерной информации;

- проанализировать информационное обеспечение борьбы с преступлениями в области высоких технологий;

- исследовать некоторые вопросы применения специальных познаний при расследовании неправомерного доступа к компьютерной информации;

- охарактеризовать основные следственные версии, выдвигаемые при расследовании преступлений в области компьютерной информации;

- рассмотреть  методику расследования преступлений  в сфере компьютерной информации;

- изучить особенности оперативно-розыскной деятельности при расследовании преступлений в сфере высоких технологий;

- рассмотреть  следственные ситуации и действия  следователя на первоначальном  этапе расследования преступлений  в сфере компьютерной информации;

- рассмотреть  действия следователя при производстве  следственных действий.

 

ГЛАВА 1. ТЕОРЕТИЧЕСКИЕ ВОПРОСЫ МЕТОДИКИ РАССЛЕДОВАНИЯ В ОБЛАСТИ КОМПЬЮТЕРНЫХ ТЕХНОЛОГИЙ

 

1. Криминалистическая характеристика преступлений в сфере компьютерной информации

 

Преступления в сфере компьютерной информации закреплены в главе 28 Уголовного Кодекса РФ. В состав данной главы входят три статьи: неправомерный доступ к компьютерной информации (ст. 272 УК РФ), создание, использование и распространение вредоносных программ для ЭВМ (ст. 273 УК РФ), нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274 УК РФ). В представленных статьях предметом преступного посягательства выступает компьютерная информация. Поэтому необходимо дать понятие термину информация. Федеральный закон "Об информации, информатизации и защите информации" определяет ее как "сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления"1. Понятие «информационные ресурсы» тесно связано с понятием информации, под информационными ресурсами понимаются отдельные виды документов в целом и отдельные массивы документов. Говоря же о процессе доказывания, компьютерная информация определяется как фактические данные, обработанные на компьютере, полученные на его выходе в форме, доступной восприятию ЭВМ и человека, которые могут  быть переданы по телекоммуникационным и иным каналам. В свою очередь ЭВМ – это комплекс электронных устройств, позволяющий осуществлять предписанные программой (пользователем) информационные процессы: сбор, обработка, накопление, хранение, поиск и распространение информации. Информация в ЭВМ  может поступать через стандартные и нестандартные устройства ввода. Стандартными могут быть признаны - клавиатура и материальные накопители (гибкие и жесткие диски). К нестандартным устройствам вода относятся - мышь, модем, дигитайзер, сканер, аналого-цифровой преобразователь и др.

Блок устройств вывода информации позволяет получить результаты работы компьютера в привычном для пользователя виде.

Стандартным устройством вывода информации на экран является монитор (дисплей), иное устройство вывода - НГМД (НЖМД). Нестандартный вывод информации осуществляется через принтер, модем, плоттер (графопостроитель) и др. Для долговременного и надежного хранения данных создано множество устройств: магнитные и магнитооптические дисковые накопители, накопители на магнитной ленте и т.д.

Одним из основных элементов криминалистической характеристики, и особенно важным при расследовании преступлений в сфере компьютерной информации, является способ совершения и сокрытия преступлений2.

Рассмотрим более подробно способы использования вычислительной техники для достижения преступной цели:

1. Создание компьютерной базы данных, которая содержит информацию о преступлении. Наиболее типичным являются, например, базы данных 
   о девушках, занимающихся проституцией, учета поступивших заказов, 
   а также доходов от сводничества, которые ведутся в диспетчерских соответствующих подпольных фирм.
2. Использование ЭВМ и периферийных устройств в качестве полиграфической базы для проектирования и изготовления фальсифицированных (подложных) документов, денежных знаков, кредитных карточек и т. д.
3. Использование электронных средств доступа (компьютерные, телекоммуникационные системы, кредитные карточки и т. д.) в целях хищения.
4. Анализ трафика, который заключается в его прослушивании и расшифровки с целью сбора передаваемых паролей, ключей и т.д.
5. Подмена IP-адресов, которая заключается в подмене IP-адреса пакетов, передаваемых по Интернету или любой другой глобальной сети.

Уровень латентности данной категории преступлений очень высок и составляет 90%, а из оставшихся 10% выявленных - раскрывается только 1%.

Способы совершения компьютерных преступлений можно представить следующим образом:

Методы перехвата:

1. Непосредственный перехват – старейший из используемых ныне способов. Требующееся оборудование можно приобрести в магазинах: микрофон, радиоприемник, кассетный диктофон, модем, принтер. Пере- 
хват данных осуществляется непосредственно через телефонный, 
канал системы, либо подключением к компьютерным сетям. Вся информация записывается на кассетный диктофон. Объектами подслушивания являются различные системы – кабельные и проводные, наземные микроволновые, сотовые, спутниковые и правительственные связи.

2. Электромагнитный перехват.  Используются перехватывающие 
устройства, работающие без прямого контакта. Можно уловить излучение центральным процессором, дисплеем, телефоном, принтером, линиями микроволновой связи, считывать данные с дисплейных термина 
лов при помощи доступных каждому простейших технических средств (дипольной антенны, телевизора). Преступники, находясь в автомашине или просто с приемником в портфеле на некотором расстоянии от здания, могут, не привлекая к себе внимания, легко узнавать данные, хранящиеся в памяти ЭВМ или используемые в процессе работы. Во время экспериментов удавалось получать сведения, которые выводились одновременно на 25 дисплейных терминалах, расположенных в непосредственной близости друг от друга, и отделять выведенные на каждый экран данные. Если к телевизору подключить видеомагнитофон, то информацию можно не только накопить, но и спокойно проанализировать позднее.

3. Использование "жучков" ("клопов") заключается в установке микрофона в компьютере с целью прослушивания разговоров персонала. Простой прием, обычно используемый как вспомогательный для получения информации о работе компьютерной системы, о персонале, о мерах безопасности применяемых персоналом и т. д.

4 "Уборка мусора" –  поиск данных, оставленных пользователем после работы на компьютере. Включает в себя два варианта физический и электронный. Физический вариант заключается в осмотре содержимого мусорных корзин и сбор оставленных за ненадобностью распечаток, а также деловой переписки и т. п. Электронный вариант основан на том, что последние из сохраненных данных обычно не стираются после завершения работы. Другой пользователь записывает только небольшую часть своей информации, а затем спокойно считывает предыдущие записи, выбирая нужную ему информацию. Таким способом могут быть обнаружены пароли и имена пользователей и т. п.

Методы несанкционированного доступа:

1. "За дураком" – используется для входа в закрытые для доступа 
   помещения или терминалы. Данный метод также включает в себя два варианта несанкционированного доступа. Физический вариант состоит в том, чтобы, 
   взяв в руки как можно больше предметов, связанных с работой на компьютере, прохаживаться с деловым видом возле запертой двери, за ко- 
   торой находится терминал, и, когда появится законный пользователь, 
   уверенно пройти в дверь вместе с ним. Электронный вариант проходит, 
   когда компьютерный терминал незаконного пользователя подключается 
   к линии законного через телефонные каналы (Интернет) или когда пользователь выходит ненадолго, оставляя терминал в активном режиме. Вариантом является прием "за хвост": незаконный пользователь тоже 
   подключается к линии связи, а затем дожидается сигнала, обозначающего конец работы, перехватывает его и входит в систему, когда законный пользователь заканчивает активный режим.
2. Компьютерный "абордаж". Хакеры, набирая на удачу один но- 
   мер за другим, дожидаются, пока на другом конце провода не отзовется чужой компьютер. После этого телефон подключается к приемнику 
   сигналов в собственной ЭВМ, и связь установлена. Остается угадать 
   код (а слова, которые служат паролем, часто банальны и берутся из 
   руководства по пользованию компьютера) и можно внедриться в чужую 
   компьютерную систему.
3. Неспешный выбор – несанкционированный доступ к файлам законного пользователя осуществляется через слабые места в защите системы. Однажды 
   обнаружив их, нарушитель может не спеша исследовать содержащуюся 
   в системе информацию, копировать ее, возвращаться к ней много раз.
4. "Маскарад" или "самозванство" – некто проникает в компьютерную систему, выдавая себя за законного пользователя. Системы, которые не обладают средствами аутентичной идентификации (например, 
   по физиологическим характеристикам: по отпечаткам пальцев, по рисунку сетчатки глаза, голосу и т. п.), оказываются без защиты против 
   этого приема. Самый простейший путь его осуществления – получить 
   коды и другие идентифицирующие шифры, коды законных пользователей. Так, 
   группа студентов послала всем пользователям университетского компьютера сообщение, что изменился его телефонный номер, и в качестве 
   нового назвала номер, запрограммированный так, чтобы отвечать в точности, как университетская ЭВМ. Пользователь, посылая вызов, набирал свой личный код, и студенты смогли составить перечень кодов и 
   использовать его в своих целях.
5. Мистификация.  Пользователь с удаленного терминала случайно 
   подключается к чьей-то системе, будучи абсолютно уверенным, что он 
   работает с той системой, с какой и намеревался. Владелец этой системы, 
   формируя правдоподобные отклики, может какое-то время поддерживать это заблуждение, получая одновременно некоторую информацию, в 
   частности коды.
6. "Аварийный". Использует тот факт, что в любом компьютерном 
   центре имеется особая программа, применяемая в случае возникновения сбоев или других отклонений в работе ЭВМ. Такая программа – мощный и опасный инструмент в руках злоумышленника. Этим способом 
   была совершена крупная кража в банке Нью-Джерси.
7. "Склад без стен". Несанкционированный доступ осуществляется в 
   результате системной поломки. Например, если некоторые файлы пользователя остаются открытыми, он может получить доступ к не принадлежащим ему частям банка данных.

Методы манипуляции:

1. Подмена данных – изменение или введение новых данных осуществляется, как правило, при вводе или выводе информации с ЭВМ. 
   Например, служащий одного нью-йоркского банка, изменяя входные 
   данные, похитил за 3 года 1,5 млн. долларов. В Пенсильвании (США) 
   клерк мебельного магазина, введя с терминала фальшивые данные, 
   украл товаров на 200 тыс. долларов.
2. Манипуляции с пультом управления компьютера – механическое воздействие на технические средства машины создает возможности 
   манипулирования данными.
3. "Троянский конь" – тайный ввод в чужую программу команд, 
   позволяющих, не изменяя работоспособность программы, осуществить 
   определенные функции. Этим способом преступники обычно отчисляют 
   на свой счет определенную сумму с каждой операции. Вариантом является "Салями", когда отчисляемые суммы малы и их потери практически незаметны (например, по 1 доллару с операции), а накопление осуществляется за счет большого количества операций. Это один из простейших и безопасных способов, особенно если отчисляются небольшие дробные суммы, поскольку в этих случаях обычно все равно делается округление. Но когда сумма мала в процентном отношении от значительных денежных переводов, вероятность раскрытия значительно повышается. Служащий американского банка, решив накопить деньги побыстрее, начал отчислять сразу по 100 долларов, но с очень крупных счетов и был раскрыт всего после 41 такой операции.
4. "Бомба" – тайное встраивание в программу набора команд, которые должны сработать (или каждый раз срабатывать) при определенных условиях или в определенные моменты времени. Например, в США 
   получила распространение форма компьютерного вандализма, при ко- 
   торой "троянский конь" разрушает через какой-то промежуток времени 
   все программы, хранящиеся в памяти машины. Во многих поступивших 
   в продажу компьютерах оказалась "временная бомба", которая "взрывается" в самый неожиданный момент, разрушая всю библиотеку данных.
5. Моделирование   процессов, в которые преступники хотят вмешаться, и планируемые методы совершения и сокрытия посягательства 
   для оптимизации способа преступления. Одним из вариантов является 
   реверсивная модель, когда создается модель конкретной системы, в которую вводятся реальные исходные данные и учитываются планируемые действия. Из полученных правильных результатов подбираются наиболее правдоподобные и желательные. Затем путем прогона модели назад, к началу, 
   выясняют результаты и устанавливают, какие манипуляции с исходными данными нужно проводить. Таких операций может быть несколько. 
   После этого остается только осуществить задуманное. Бухгалтер пароходной компании в Калифорнии (США) в целях подготовки хищения 
   смоделировал всю бухгалтерскую систему компании и установил, сколько фальшивых счетов ему необходимо и какие операции следует проводить. Модель бухгалтерского баланса подсказала ему, что при имеющихся пробелах в ревизионной службе 5% искажений не будут заметны. Для создания видимости реальной ситуации он организовал 17 подставных компаний, обеспечил каждую из них своим счетом и начал де 
   нежные операции, которые оказались настолько успешными, что в 
   первый год он похитил 250 тыс. долларов без какого-либо нарушения 
   финансовой деятельности компании. К тому времени, когда увеличенные выплаты вызвали подозрение –  даже не у самой компании, а у ее 
   банка, сумма хищения составила миллион долларов.
6. "Воздушный змей" – способ, который весьма часто используется в России. В двух банках (но можно и в нескольких) открывают по 
   небольшому счету и переводят деньги из одного банка в другой и обрат- 
   но с постепенно повышающимися суммами. Хитрость заключается в том, 
   чтобы до момента, когда в банке обнаружится, что поручение о пере- 
   воде не обеспечено необходимой суммой, приходило бы извещение о 
   переводе в этот банк, так, чтобы общая сумма покрывала требование о 
   первом переводе. Цикл повторяется много раз до тех пор, пока на счете 
   не оказывается приличная сумма. Тогда деньги быстро снимаются и владелец счетов исчезает. На практике в такую игру включают большое 
   число банков: так сумма накапливается быстрее и число поручений о 
   переводе не достигает подозрительной частоты. Этим способом служащий банка в Лос-Анджелесе со своими сообщниками, который поручения о переводе, похитил 21,3 млн. долларов.