Установление и розыск лиц, совершивших преступления в сфере компьютерной информации
Обнаружение лица (лиц), совершившего преступление в сфере компьютерной информации, - важнейшая задача следователя с начала расследования по делу. В одних случаях эти лица становятся известными сразу: при задержании, наличии очевидцев преступления, знающих преступника, иногда при явке с повинной. В других - лицо, совершившее преступление, неизвестно или информация о нем незначительна. В таких случаях требуется напряженная кропотливая работа по его установлению и розыску, связанная с использованием всех имеющихся в арсенале расследования средств и методов. В этой связи можно говорить о разнообразии тактических приемов установления и розыска лица, совершившего компьютерное преступление.
Информация ориентирующего и розыскного характера о лице, совершившем компьютерное преступление, может быть получена при изучении предметов и материальных следов, обнаруженных при осмотре места происшествия, обыске или выемке в местах возможного пребывания преступника, а также в ходе экспертиз, проводимых по делу. Так, могут быть обнаружены следы рук, обуви, иные вещественные доказательства, включая орудия преступления, окурки, волосы, предметы одежды, личные документы и пр. Не следует забывать о возможностях использования в процессе розыска запаховых следов преступника, а также различных микрообъектов (волокна текстиля, частицы почвы и др.)[1].
При обнаружении таких следов и предметов основной задачей следователя является установление их принадлежности к раскрываемому преступлению и возможностей использования в доказывании и розыске. Например, если при осмотре места происшествия изъяты пригодные для идентификации следы пальцев рук, но отсутствуют конкретные подозреваемые, необходимо произвести их проверку по дактилоскопической картотеке следов пальцев, изъятых с мест преступлений, которые остались нераскрытыми, а также по дактилоскопическим картотекам лиц, взятых органами внутренних дел на различные учеты. Существует возможность проверки обнаруженных следов по криминалистическим учетам следов орудий взлома, подошв обуви, микрообъектов и пр.[1]
Как справедливо отмечается в криминалистической литературе, при оценке того или иного признака разыскиваемого лица следователь должен быть объективен и критичен. Возможно умышленное оставление преступником на месте происшествия предметов, которые указывают на другое лицо, якобы совершившее исследуемое деяние. Нередко следы и предметы, содержащие важную для расследования информацию, оказываются случайно оставленными человеком, не имеющим к преступлению никакого отношения1. Материалы ориентирующего и розыскного характера о лице, совершившем преступление в сфере компьютерной информации, могут быть получены из показаний потерпевших и свидетелей по делу. В частности, у них необходимо выяснить:
известна ли им личность преступника, какие имеются предположения на этот счет, чем они обосновываются?
где в настоящее время может находиться лицо, подозреваемое ими в совершении преступления?
кто еще мог видеть момент совершения преступления либо обладает какой-либо иной информацией о лице, совершившем преступление;
какие приметы преступника?
каким образом преступник скрылся с места происшествия (если на автотранспорте - государственный номер и иные приметы автомобиля)?
кому принадлежат вещи, обнаруженные на месте происшествия?
Приведенный перечень вопросов далеко не исчерпывающий. Он может изменяться и дополняться в зависимости от обстоятельств конкретного преступления, различных ситуаций, сложившихся на определенный момент в работе по его раскрытию и расследованию. В частности, желательно узнать мнение потерпевшего, свидетелей о способе совершения преступления, обстоятельствах ему предшествовавших. В качестве свидетелей целесообразно также допрашивать лиц, соприкасавшихся с преступником в период подготовки к преступлению, либо получавших, приобретавших у него похищенную компьютерную информацию и программное обеспечение.
Вместе с тем, работая с потерпевшим и свидетелями в ходе расследования компьютерного преступления, следует не упускать из виду, что некоторые из них по различным мотивам (например, боязнь разглашения конфиденциальных сведений об их личной жизни, стремление скрыть свою вину в происшедшем) могут не сообщать о каких-либо известных им сведениях о личности преступника. Поэтому данные ими показания должны оцениваться в совокупности с другими имеющимися фактическими данными о расследуемом событии.
Со слов лиц, видевших преступника[1], и в соответствии с их указаниями составляются композиционные портреты. Они изготавливаются из фотоснимков различных лиц, отдельные признаки которых в большей или меньшей степени совпадают с одноименными признаками разыскиваемого. В этих целях используются идентификационные комплекты рисунков (ИКР-2, ИКР-3, прибор ПКП-2), компьютерные программы «Фоторобот», «Барс»[1]. В необходимых случаях для составления портрета преступника можно прибегнуть к помощи профессионального художника. К сожалению, перечисленные методы практически не помогают в установлении и розыске лица, совершившего компьютерное преступление способом удаленного доступа, в силу его специфики. В этих случаях особое внимание следует уделять выявлению необходимых данных о преступнике путем изучения обнаруженной компьютерной информации, следов и изменений в электронном информационном поле, попавшим в сферу расследования[1]. Отметим, что эта сфера борьбы с компьютерными преступлениями пока не получила должной проработки в криминалистической науке.
На наш взгляд, можно выделить следующие направления установления личности компьютерного преступника и его розыска на основе сведений, полученных из электронного информационного поля.
1. Некоторые группы лиц, осуществляющих незаконное проникновение в чужие ЭВМ или компьютерные сети путем удаленного доступа (например, «вандалы» и «шутники»), разрабатывающих вредоносные программы, могут оставлять «на память» какую-либо информацию о себе. Кроме того, аналогичную информацию они могут распространять в сети Интернет, среди своих друзей, иных лиц, увлекающихся компьютерами. Такие действия объясняются особой субкультурой компьютерных правонарушителей, в частности их стремлением к хвастовству и экстравагантному образу жизни[1].
Преступники оставляют в электронном поле следующую информацию о себе: пол; имена, фамилии; клички; электронный адрес; иные сведения, позволяющие установить их личность и местонахождение (например, название своего города, номер телефона, адрес, фотоснимки и пр.). Анализ оставленной информации также позволяет сделать вывод о возрасте, интересах, круге общения, месте проведения свободного времени преступника.
Показателен пример установления личности и задержания компьютерного преступника Владислава М. Окончив Чувашский государственный университет (кафедра компьютерного программирования), М. использовал полученные знания для разработки компьютерного вируса - «трояна». Этот вирус помимо дестабилизации нормальной работы операционной системы «Windows», устанавливал имя и пароль доступа в сеть Интернет пользователя и отправлял их на заранее заданный электронный почтовый ящик в закодированном виде. В последующем М. декодировал пароль с помощью специально разработанной программы «recode.exe». Поначалу, желая «прославиться» среди компьютерной общественности, М. широко разрекламировал свой вирус. Свои электронные сообщения он подписывал «VladBEST» («Влад самый лучший»). Впервые применив вирус в сети Интернет, он использовал Интернет-класс МГУ Получив с помощью вируса пароли доступа в сеть «Интернет» некоторых клиентов филиала ОАО «Связьинформ» Чебоксарской телеграфно-телефонной станции, М. даже зарегистрировал на сервере "CHAT.RU" в г. Москве свою электронную страничку и почтовый ящик, которые назвал именем «wladic». На эту страничку он поместил описание своей программы-вируса. В последующем, М. стал активно использовать программу-вирус для «кражи» паролей доступа у законных пользователей и последующего несанкционированного доступа в сеть «Интернет». Его действия по применению вируса были замечены. В процессе расследования информация, содержащаяся в компьютерной сети, была обнаружена и сыграла ключевую роль в установлении преступника[1].
2. Целесообразно с помощью специалиста-программиста изучать имеющиеся в большинстве компьютерных систем файлы регистрации. Какое бы событие ни произошло в системе, информация о нем (кто инициировал, когда и в какое время оно произошло, какие при этом были затронуты файлы) регистрируется в данных файлах. В частности, в таких файлах может отражаться информация о паролях пользователей, их именах, идентификационных номерах. Впоследствии такая информация используется для выявления компьютера, с которого осуществлен неправомерный доступ, и установления личности преступника.
У провайдера можно также установить время выхода на связь определенного пользователя, продолжительность его работы и другую информацию из имеющегося на его компьютере log-файла. В ряде случаев через провайдера можно определить и номер телефона, с которого был произведен звонок[1]. Если имеется предположение, что неправомерный доступ осуществлен с одного из компьютеров, включенных в локальную сеть, конкретное рабочее место можно установить через log-файл сервера локальной сети[1].
В случае если выход в сеть Интернет осуществлялся с домашней ЭВМ, необходимо заблаговременно установить: кто имеет доступ к данному компьютеру; кто мог работать на компьютере в интересующий отрезок времени; имеется ли возможность подключения «двойников» к конкретной компьютерной сети.
Однако, следует помнить, что профессиональные компьютерные преступники могут уничтожить или изменить информацию, содержащуюся в файлах регистрации. Так, например, С., используя имеющийся у него дома компьютер, связался через модем с компьютером, расположенным в институте физики полупроводников РАН, зарегистрированным пользователем которого являлся. В дальнейшем, через сеть Интернет он вышел на компьютер администратора сети Института экономики и организации промышленного производства РАН. Получив доступ к компьютеру администратора сети путем подбора пароля, С. проник в закрытую компьютерную сеть института и внес изменения в несколько системных файлов, с целью последующего доступа к другим компьютерам сети института. Данная программа копировала информацию и пересылала ее по каналам электронной почты на электронный адрес, открытый С. на сайте, расположенном в Германии. В целях сокрытия следов неправомерного доступа в компьютерную сеть института экономики С. изменил файл регистрации на сервере института, уничтожив информацию о посещениях сети за несколько дней[1].
Кроме того, современные возможности и в то же время недостатки глобальных компьютерных сетей позволяют преступнику маскировать исходную точку доступа. Если имеют место подобные действия можно с уверенностью говорить о высочайшем профессионализме компьютерного преступника.
Информацию о личности преступника и его местонахождении можно получить, произведя комплексный анализ сведений о способе совершения преступления, противодействии расследованию, месте и времени посягательства, мотивах и целях деяния. Так, например, выявление двух признаков: знание паролей различных операций, выполняемых тем или иным компьютером в организации, и наличие доступа к нему или сети ЭВМ значительно сужают круг подозреваемых.
Целесообразно также изучать способы совершения различных компьютерных преступлений в регионе. Способы совершения преступления повторяются у одних и тех же лиц, неоднократно совершавших аналогичные преступления. Обобщенная информация, полученная на основе анализа аналогичных способов совершения преступлений, может дополнить составляемую следователем розыскную модель личности преступника[1].
Розыскная модель личности преступника представляет собой систему признаков, на основе которых можно установить преступника и его местонахождение.
Приведем следующий пример построения и использования следователем такой модели. При расследовании неоднократного неправомерного доступа к компьютерной информации, находящейся на ЭВМ менеджера, расположенной в торговом зале коммерческой организации, было установлено, что данные преступления были совершены путем непосредственного проникновения в компьютерную систему (во время отсутствия в помещении персонала фирмы) кем-то из посторонних лиц с целью копирования файла (intemetlogin.xls), содержащего информацию о регистрационном имени пользователя сети Интернет, необходимую для бесплатного доступа в эту сеть. Это позволило сделать вывод о том, что преступления совершались одним и тем же лицом, обладающим познаниями в области компьютерных технологий и часто посещавшим торговый зал фирмы. В ходе проверки сотрудников коммерческой организации был установлен молодой человек, совершивший эти преступления[1].
Анализ способа совершения преступления (нескольких преступлений), иной информации о преступнике в некоторых случаях позволяет предположить, где может появиться или находится преступник. В этой ситуации необходимо проведести специальный комплекс мероприятий, направленных на создание условий, побуждающих разыскиваемого действовать в затруднительной для себя обстановке, мешающих ему свободно передвигаться. В частности, целесообразно производить систематические обыски в местах вероятного нахождения разыскиваемого, мероприятия по информированию общественности о его личности[1], организовывать засады в местах возможного появления преступника, давать поручения органам дознания о проведении оперативно-розыскных мероприятий в среде лиц, увлекающихся компьютерными технологиями и программированием, занимающихся изготовлением и торговлей компьютерным оборудованием и программным обеспечением.
В процессе розыскной работы по делам о преступлениях в сфере компьютерной информации можно попытаться склонить разыскиваемого к добровольной явке в правоохранительные органы. С этой целью необходимо путем проведения следственных и оперативно-розыскных мероприятий установить круг лиц, которые могут общаться с разыскиваемым и пользуются у него авторитетом, провести допросы или побеседовать с этими лицами, разъяснить им все положительные моменты добровольной явки разыскиваемого в правоохранительные органы. В некоторых случаях такие действия следователя достаточно эффективны. Например, в ранее упоминавшемся деле С. преступника удалось склонить к добровольной явке с повинной. Более того, он принял самое активное участие в устранении последствий своего преступления.
Местонахождение разыскиваемого лица может быть установлено в момент совершения им нового компьютерного преступления. Для достижения этой цели необходимо провести комплекс следственных, оперативно-розыскных и технических мероприятий по установлению возможного объекта нового преступного посягательства со стороны разыскиваемого лица: установить за этим объектом технический контроль, позволяющий определить местонахождение преступника (в случае совершения преступления путем удаленного доступа к компьютерной информации), либо организовать визуальное наблюдение (если предполагается непосредственный доступ к компьютерной информации либо использование похищенной информации в преступных целях). На возможный объект преступного посягательства указывают:
характер похищенной компьютерной информации (например, сведения о пароле и регистрационном имени, необходимые для доступа в сеть Интернет, какую-либо компьютерную систему, о кодах кредитных карточек потерпевшего и пр.);
направленность подготовительных действий преступника (сбор информации о конкретном лице, организации; приобретение необходимого для реализации определенного преступного замысла компьютерного оборудования, программного обеспечения; подбор сообщников и пр.);
неоднократные попытки преступника получить несанкционированный доступ к определенной информации;
традиционно интересующая разыскиваемого преступника информация. В этой связи интересен опыт зарубежных правоохранительных органов,
применяемых для установления местонахождения разыскиваемого преступника, способ, называемый «приманка», который заключается в заманивании его к определенному объекту и удерживании на связи в течении времени, достаточного для установления его местонахождения. В качестве приманки используются файлы с информацией, которая может заинтересовать преступника. При этом рекомендуется воспользоваться специальными файлами, появление которых у того или иного лица в позволит установить, что именно он осуществлял незаконный доступ к компьютерной информации. Для установления и задержания лиц, занимающихся распространением технических носителей, содержащих вредоносные программы, на практике часто проводится специальный комплекс оперативно-розыскных мероприятий, среди которых в качестве ключевого действия выступает проверочная закупка. После установления местонахождения преступника проводятся его задержание (в благоприятном случае - с поличным), обыск.
В некоторых случаях сведения о местонахождении разыскиваемого лица можно получить в ходе мероприятий по контролю за каналами связи, по которым преступник общается со своими близкими, друзьями. Для достижения этой цели целесообразны: контроль и запись телефонных и иных переговоров, выемка почтово-телеграфной корреспонденции, установление оперативно-технического контроля за электронными средствами связи, которыми может воспользоваться разыскиваемый.
Ряд преступлений в сфере компьютерной информации, связанные с хищением денежных средств, разработкой и распространением вредоносных программ, коммерческим шпионажем, совершается преступными группами. В связи с этим перед следователем стоит задача установления и розыска всех соучастников преступления. Сведения об их личности и местонахожде-нии могут быть получены от уже установленных лиц. Однако, если они отказываются сотрудничать со следователем, а иная информация незначительна, задача по выявлению и розыску всех соучастников преступления значительно усложняется. В таких случаях возникает необходимость в разработке специальных комплексов следственных действий, оперативно-розыскных и организационных мероприятий.
Так, в ходе расследования компьютерных преступлений целесообразно изучить и проверить круг знакомств обвиняемого. К основным источникам информации, на основании которых можно определить весь круг знакомств и связей обвиняемого, относятся: супруги, родственники, иные близкие люди; соседи, сослуживцы по работе; документы личного и делового характера (например, записные книжки, письма, расписки, доверенности); фотографии, кино- и видеоматериалы; иные предметы и документы, которые могут указать на связи и контакты лица, обвиняемого в совершении преступления (открытки; телефонные счета за междугородние переговоры и др.).
Источники информации о знакомых обвиняемого, которые предположительно явились соучастниками преступления, могут быть обнаружены при личном обыске, а также обыске по месту жительства или работы обвиняемого. Это записные книжки (в том числе электронные), письма, телеграммы, счета, фотографии, материалы видеозаписи и т.д. Учитывая особенности рассматриваемого вида преступлений, интересующая следствие информация может храниться также в памяти персонального компьютера, на машинных носителях информации.
Установленные преступники, их родственники и знакомых допрашиваются в целях: определения происхождения тех или иных документов; личности людей, изображенных на фотографиях и видеозаписи, их места жительства, работы, номеров телефонов, иных координат; получения пояснений относительно сделанных в определенный период времени телефонных звонков, полученных телеграмм, записей и пр.
Показания допрошенных необходимо сопоставить. Если выяснится, что преступник скрыл свои отношения с кем-либо или попытался направить следствие по ложному пути, такие лица подлежат особенно тщательной проверке.
В качестве примера умелой работы по розыску лиц, совершивших компьютерные преступления, приведем осуществлявшееся международными правоохранительными органами расследование по делу Левина[1]. Российский программист Левин, находясь в Санкт-Петербурге, похитил из американского «Ситибанка» (Нью-Йорк) денежные средства в размере свыше 10 млн. долларов. Ему удалось подделать пароли клиентов банка с целью выдать себя за владельца того или иного счета. При этом использовались счета клиентов со всего света. Преступление было совершено им не в одиночку: действовала целая преступная группа, включавшая в себя как профессионального «взломщика», так и лиц, непосредственно получавших наличную валюту из филиалов «Ситибанка» или других банков после поступления в них переводов. Похищение было хорошо организовано и спланировано. Сначала переводы делались небольшими суммами (с целью проверки качества работы), а затем суммы каждого перевода возросли до одного миллиона.
Вторжение в систему управления денежными операциями впервые было замечено в июне 1994 г. (российские правоохранительные органы подключились к делу в 1995 г.). За компьютерной системой банка установили круглосуточное техническое наблюдение. Большую помощь оказали телефонные компании для определения местонахождения «взломщика». Важное значение в расследовании этого транснационального преступления имело взаимодействие правоохранительных органов разных стран, разработка согласившихся на сотрудничество свидетелей, анализ документов со счетов получателей и телеграфных переводов. Так, был определен номер телефона, с которого осуществлялся незаконный доступ, и его местонахождение. Впоследствии при получении крупной суммы наличными в одном из банков Финляндии был установлен один из членов преступной группы. При получении денег он был вынужден, согласно правилам банков, оставить свои координаты. В качестве места своего проживания он указал Санкт-Петербург, а в графе «телефон» - тот же номер, откуда производилось проникновение. Почти все участники преступления были задержаны (часть из них - в России). Сам Левин был арестован в Лондоне, а затем, как и другие соучастники преступления, выдан властям США.