Методика расследования компьютерных преступлений

Следующим важным элементом криминалистической характеристики является личность преступника совершившего преступление. Правонарушители в сфере компьютерной информации условно могут быть разделены на две возрастные категории: первую категорию составляют лица в возрасте 14-20 лет, а вторую – лица в возрасте 21 года и старше. Представителями первой категории выступают старшеклассники или студенты младших курсов высших или средних специальных учебных заведений, которые ищут пути самовыражения и находят их, погружаясь в виртуальный мир компьютерных сетей. Чаще всего ими движет любопытство и желание проверить свои силы. Компьютерные преступники, относящиеся ко второй категории – это вполне сформировавшиеся личности, обладающими высокими профессиональными навыками и определенным жизненным опытом. Их действия носят осознанный корыстный характер, а преступники обладают устойчивыми преступными навыками. Зачастую  преступниками по данной категории дел становятся мужчины со свободолюбивым и эгоцентричным характером. В отдельную категорию можно выделить психически больных лиц, страдающих так называемыми  компьютерными фобиями (информационными болезнями). Данные  заболевания связаны с нарушениями в информационном режиме под воздействием внешних или внутренних дестабилизирующих факторов  как врожденного, так и приобретенного свойства. По существу, это есть не что иное, как профессиональное заболевание. Действия, совершаемые лицами этой категории, в основном направлены на физическое уничтожение либо повреждение средств компьютерной техники без наличия преступного умысла с частичной или полной потерей контроля над своими действиями.

Среди мотивов и целей совершения посягательств можно выделить: корыстные (присвоение денежных средств и имущества), политические (шпионаж, деяния, направленные на подрыв финансовой и денежно-кредитной политики, валютной системы страны), исследовательский интерес, хулиганские побуждения и озорство, месть и иные побуждения3.

Существенную роль в структуре криминалистической характеристики играют сведения о потерпевшей стороне. Информация о ней является безусловно значимой, поскольку помогает полнее охарактеризовать личность преступника, его мотивы, точнее очертить круг лиц, среди которых его следует искать. Преступник обычно не случайно избирает потерпевшую сторону объектом своего посягательства. Потерпевших можно разделить на три основные группы: собственники компьютерной системы, клиенты, пользующиеся их услугами, иные лица.

1.2. Теоретико-прикладные проблемы доказательств о преступлениях в сфере компьютерной информации

Компьютерную информацию можно определить как фактические данные, которые существуют в электронном виде, сохраняются в форме, доступной восприятию ЭВМ или человека, обработанные компьютерной системой либо передаются по телекоммуникационным каналам, и на основе которых в определенном законом порядке устанавливаются обстоятельства, имеющие значение для правильного разрешения уголовного дела или гражданского дела.

В ходе осмотра места происшествия следователь изымает и приобщает к делу различные файлы протоколов передачи данных, в том числе с межсетевых экранов, журналы операционных систем и прикладных программ, машинную распечатку, накопители на магнитных, оптических и иных носителях, базу данных (фонд) оперативной памяти ЭВМ или постоянного запоминающего устройства и т.п. Тем самым следователь изымает источники компьютерной информации. Корректное получение и использование имеющейся доказательственной информации требует наряду со знанием юридических норм наличия, как специальных технических устройств, так и специальных познаний в области информационных систем и информационных технологий. Поэтому при проведении расследований по делам о компьютерных преступлениях необходимо привлечение специалистов по информационно-компьютерным технологиям, имеющих полный набор технического обеспечения и уникального служебного программного обеспечения для организации успешного расследования, и назначение компьютерно-технических экспертиз, по результатам которых устанавливается как минимум местонахождение (а иногда и такие сведения о личности, как данные паспорта или фотография) подозреваемого лица.

Подводя итог вышесказанному, следует отметить, что многие традиционные преступления, такие, как мошенничество, подделка ценных бумаг, распространение порнографических материалов, совершаются с использованием современных информационных технологий. Следственные действия, связанные с осмотром и изъятием компьютерной информации и техники, требуют решения таких специальных задач, как установление наличия информации в целом, обеспечение ее полноты. Такие следственные действия как осмотр или обыск целесообразно проводить с участием специалиста по информационно - компьютерным технологиям, так как при их производстве может возникнуть необходимость в изъятии источников информации, а следователь не имеет достаточных познаний в данной области. В случае невозможности привлечения специалиста такие исследования рекомендуется проводить в лабораторных условиях. В этом случае информационные носители, компьютер должны подлежать опечатыванию и изъятию с целью сохранения компьютерной информации.

1.3. Информационное обеспечение борьбы с преступлениями в области высоких технологий

Взаимодействующие между собой органы в процессе расследования преступлений направляют запросы по каналам Интерпола в правоохранительные органы иностранных государств - членов Интерпола о следующих преступлениях в области высоких технологий, имеющих международный характер, которые в свою очередь связаны с:

1. несанкционированным доступом к компьютерной информации;
2. созданием, использованием и распространением вредоносных программ для ЭВМ или машинных носителей;
3. нарушением правил эксплуатации средств ЭВМ, системы ЭВМ или их сети;
4. перехватом компьютерной информации.

По соответствующим запросам может быть получена информация:

1. о сетевых адресах, именах доменов и серверов организаций и пользователей;
2. о содержании протоколов, трейсингов, логических файлов;
3. об электронной информации, заблокированной в порядке оперативного взаимодействия правоохранительных органов при пресечении трансграничных правонарушений;
4. о провайдерах и дистрибьюторах сетевых и телекоммуникационных услуг;
5. о физических и юридических лицах, имеющих отношение к преступлениям в сфере высоких технологий;
6. о специализированном программном обеспечении, методиках расследования и тактике борьбы с компьютерными и телекоммуникационными преступлениями, периодических и специальных изданиях, обзорах статистики, материалах о деятельности специализированных служб различных государств в данной области.

В запросах о преступлении в области высоких технологий, направляемых в НЦБ Интерпола, указываются следующие сведения:

1. основания проведения данной проверки;
2. вид совершенного преступления, место и время его совершения (если известно);
3. лица, причастные к совершению преступления, выполняемые роли;
4. потерпевший (физическое или юридическое лицо), характер и размер нанесенного ущерба;
5. система действий по подготовке, совершению и сокрытию преступления, в том числе технические средства, программное обеспечение, используемое в преступных целях, а также время и продолжительность неправомерного доступа;
6. иная информация, которая может облегчить исполнение запроса.

Запросы должны быть подготовлены на русском языке с точным указанием наименований на языке оригиналов сетевых адресов, имен доменов и серверов организаций и пользователей4.

1.4. Некоторые вопросы использования специальных знаний при расследовании неправомерного доступа к компьютерной информации

Расследование и раскрытие неправомерного доступа к компьютерной информации (когда средства компьютерной техники используются при подготовке, совершении, сокрытии рассматриваемого преступного деяния) невозможно без использования специальных знаний в области современных компьютерных технологий5.

Основной формой использования специальных познаний при этом является экспертиза. Именно экспертные исследования придают изъятым аппаратным средствам, программному обеспечению и компьютерной информации, хранящейся на различных носителях, доказательственное значение. В данных условиях основными задачами следователя являются поиск, фиксация, изъятие и предоставление эксперту необходимых материальных объектов - носителей информации. Причем при собирании доказательств участие специалиста обязательно, так как даже малейшие неквалифицированные действия с компьютерной техникой могут закончиться безвозвратной утратой ценной розыскной и доказательственной информации. От того, как произведено изъятие, и в последующем транспортировка, материальных объектов, довольно часто зависит их доказательственное значение.

Видовую классификацию компьютерно-технических экспертиз большинство авторов6 определяют, исходя из базовых типов компьютерных средств: аппаратных (технических) и программных (информационных). На основе данной классификации, как правило, выделяют следующие виды судебных компьютерно-технических экспертиз:

1) аппаратно-компьютерную (аппаратно-техническую) экспертизу. Ее сущность заключается, прежде всего, в проведении диагностического исследования технических (аппаратных) средств компьютерной техники, определении их функциональных возможностей, выяснение фактического и первоначального состояния, технологии изготовления, определению структуры механизма, эксплуатационных режимов и т.п. Аппаратные объекты включают следующие классы: персональные компьютеры (включая как настольные, так и портативные), периферийные устройства, сетевые аппаратные средства (которые включают в себя серверы, рабочие станции, активное оборудование, сетевые кабели); интегрированные системы (органайзеры, пейджеры, мобильные телефоны и т.п.); встроенные системы на основе различных микропроцессорных контроллеров; любые комплектующие всех указанных компонентов (аппаратные блоки, платы расширения, микросхемы и т.п.).

2) программно-компьютерную (программно-техническую, программно-технологическую) экспертизу, проводимую для оценки  основных функциональных свойств  программного обеспечения компьютерной системы, установленного на той или иной ЭВМ. Также может изучаться целевое предназначение представленного на исследование программного обеспечения, его состояние, работоспособность, особенности функционирования и т.п.

3) Информационно-компьютерную (информационную) экспертизу (каких-либо данных, компьютерной информации), являющуюся ключевым видом компьютерно-технических экспертиз. Она позволяет получать ценную доказательственную базу, путем окончательного разрешения большинства диагностических и идентификационных вопросов, связанных с компьютерной информацией. Ее целью является поиск, обнаружение, восстановление, анализ и оценка данных, созданных пользователями либо программами для организации информационных процессов в компьютерной системе; По окончании исследования экспертом материальных объектов  представленных следователем станет  известен вид, свойства и состояние информации (как фактическое, так и первоначальное) в компьютерной системе; механизм, динамика и обстоятельства события по имеющейся информации на носителе данных или ее копиям; определены причины и условия изменения свойств исследуемой информации; в некоторых случаях установление участников события, их роли, места, условий, при которых была создана информация.

4) Компьютерно-сетевую экспертизу (экспертизу сетевого программного обеспечения и данных). Данная экспертиза основывается, прежде всего, на функциональном предназначении компьютерных средств, которые реализуют какую-либо сетевую информационную технологию. Объектами исследования могут быть как компьютеры пользователей, подключенных к сети Интернет, так и различные ресурсы поставщиков сетевых услуг (интернет-провайдеров), а также предоставляемые ими информационные услуги (электронная почта, служба электронных объявлений, телеконференции, www-сервисы и пр.). Факты и обстоятельства, которые связаны с использованием сетевых и телекоммуникационных технологий представляют предмет судебной компьютерно-сетевой экспертизы.

Как отмечает Волеводз А.Г., в системе МВД России начато производство программно-технических экспертиз, которыми могут решать задачи: а) восстановление стертых файлов и стертых записей в базах данных, уточнение времени уничтожения, внесения изменений, копирования и модификации компьютерной информации; б) установление времени ввода в компьютер определенных файлов, записей базы данных; в) расшифровка закодированных файлов и другой информации, преодоление рубежей защиты, подбор паролей;   г) выяснение каналов утечки информации из локальных вычислительных сетей, глобальных сетей и распределенных баз данных; д) выяснение технического состояния и исправности средств компьютерной техники7.

Большую помощь в исследовании аппаратных и программных средств компьютерной техники могут оказать специалисты информационно-вычислительных центров региональных управлений внутренних дел МВД России. При отсутствии соответствующих экспертов в штате судебно-экспертных учреждений проведение компьютерно-технической экспертизы может быть поручено специалистам из неэкспертных учреждений. В данном случае для их проведения могут быть привлечены сотрудники научно-исследовательских институтов, не состоящих в системе МВД, а также фирм и организаций, занимающихся разработкой программного и аппаратного обеспечения, их эксплуатацией и ремонтом.

По разделяемому нами мнению В.Б. Вехова, постановление о назначении компьютерно-технической экспертизы должно содержать максимально подробную описательную часть, в которой следует отразить: обстоятельства уголовного дела; сведения о лицах, причастных к совершению преступления; документы, сведения о которых могут содержаться на информационных носителях, представляемых на исследование; сведения, которые могут быть использованы в качестве «ключевых» слов при восстановлении и/или поиске экспертом информации (например, названия фирм, учреждений и организаций, фамилии клиентов, предполагаемые номера счетов и т.д.)8.