Тактика осмотра места происшествия
В случаях, не терпящих отлагательства, осмотр места происшествия может быть произведен до возбуждения уголовного дела в соответствии со ст. 176 УПК РФ[1].
Производство осмотра места происшествия по делам рассматриваемой категории преследует следующие цели[1]:
установление обстоятельств происшедшего события (способ, место, время совершения преступления, личность совершившего преступное посягательство и пр.) путем исследования обстановки в месте обнаружения признаков преступления в сфере компьютерной информации;
выявление, фиксация, изъятие и оценка следов преступления (как традиционных криминалистических, так и нетрадиционных - информационных следов преступлений в сфере компьютерной информации), различных вещественных доказательств;
получение информации, необходимой для построения и проверки следственных версий и осуществления розыскной работы по делу.
В процессе подготовки к проведению этого следственного действия, еще до выезда на место происшествия необходимо решить ряд организационных вопросов, которые в последующем обеспечат качество проведения осмотра места происшествия[1]. В этот период необходимо:
1) пригласить специалистов. Характерной чертой преступлений в сфере компьютерной информации является то, что при проведении большинства следственных действий необходимо участие специалиста. Особенно это важно при проведении осмотра места происшествия[1]. Как справедливо отмечают Е.Р.Российская и А.И.Усов, при расследовании преступлений, сопряженных с использованием компьютерных средств, участие специалиста необходимо, поскольку даже малейшие неквалифицированные действия с компьютерной системой зачастую заканчиваются безвозвратной утратой ценной розыскной и доказательственной информации[1]. Опрос следователей и специалистов в области вычислительной техники показал, что только 14 % следователей работают на ЭВМ на уровне пользователя, 56% не знают ничего о принципах работы ЭВМ. С другой стороны, 92% из числа опрошенных программистов считают, что на современном уровне развития вычислительной техники без участия профессионала найти «спрятанную» в компьютере информацию без риска уничтожения сложно[1]. При этом следователю всякий раз необходимо убедиться в компетентности специалиста
Следует отметить, что на данном этапе развития средств компьютерных и информационных технологий вопрос о поиске и привлечении специалистов для оказания помощи следователю является крайне актуальным. Понятно, что при таком интенсивном развитии указанных технологий следователь-юрист не в состоянии отслеживать все технологические изменения в данной области. Специалисты крайне необходимы для участия в большинстве важнейших следственных действий — при обысках, осмотрах и выемках, а также при допросах и следственных экспериментах.
При расследовании преступлений в сфере компьютерной информации основными задачами специалистов в области компьютерной техники являются: выполнение всех манипуляций с компьютерной техникой (включение - выключение, разборка - сборка и пр.); оказание помощи следователю в описании компьютерной техники и периферийного оборудования в протоколах следственных действий; проведение экспресс-анализа компьютерной информации; обнаружение информационных следов преступления; предотвращение уничтожения или повреждения компьютерной информации; изъятие компьютерной информации и др.
Следует отметить, что информационные технологии достаточно разнообразны и выбор специалиста для решения конкретных задач расследования может быть весьма сложен. При решении в ходе следственных действий задач, связанных с изъятием технических средств, может быть полезен специалист, знающий элементы и устройства вычислительной техники и систем управления, знакомый с вопросами функционирования автоматизированных систем управления. Для установления фактов проникновения извне в информационные системы специалист должен обладать познаниями в области программного обеспечения вычислительных систем и организации вычислительных процессов, а также обязан знать основы методов защиты информации и информационной безопасности. При исследовании систем ЭВМ и их сетей специалист должен иметь специализацию в области математического и программного обеспечения вычислительных комплексов, систем и сетей, ему также необходимы познания в области компьютерных сетей, узлов связи и средств коммуникаций, организации и распределения информационных потоков.
Поиск таких специалистов следует проводить заблаговременно на предприятиях, в учреждениях, фирмах и компаниях, осуществляющих обслуживание и эксплуатацию компьютерной и коммуникационной техники, разработку программного обеспечения, средств защиты компьютерной информации. Необходимые специалисты могут быть приглашены из учебных заведений и научно-исследовательских организаций.
Специалисты могут быть приглашены и из органов внутренних дел. В экспертно-криминалистическом центре МВД России создан отдел по проведению программно-технических экспертиз, сотрудники которого могут быть приглашены в качестве специалистов по делам наибольшей сложности. Поскольку отдельные виды компьютерно-технических экспертиз проводятся в экспертных подразделениях ОВД на региональном уровне, то производящие их лица также могут быть приглашены в качестве специалистов. Практика показывает, что в этом качестве часто приглашаются инженеры-электроники ОВД.
В исключительных случаях, могут быть приглашены в качестве специалистов сотрудники организации, компьютеры которой подверглись вторжению;
пригласить понятых. В качестве понятых также следует приглашать людей, сведущих в компьютерной технике[1]. Непонимание смысла происходящего для человека, приглашенного в качестве понятого, а позднее допрошенного в суде, может не убедить суд в признании тех или иных обстоятельств доказательствами. Понятых в отдельных случаях можно приглашать из числа служащих того предприятия, организации, учреждения, фирмы, компании, в которой проводится осмотр места происшествия, при условии, что они не заинтересованы в исходе дела. В любом случае, поскольку объектом осмотра выступает дорогостоящее оборудование, осмотр места происшествия целесообразно производить в присутствии руководства предприятия, организации, учреждения, фирмы, компании;
подготовить соответствующую компьютерную технику и программное обеспечение, которая будет использоваться для считывания и хранения изъятой информации, при обнаружении изменений в компьютерной информации, исследовании полученной информации, обнаружении информационных следов преступления. Это может быть персональный компьютер, исполненный в переносном варианте Notebook. Кроме компьютера, необходим кабель, а также специальное программное обеспечение, позволяющее осуществлять копирование и экспресс-анализ информации на месте. Следует иметь в виду, что для полного и качественного копирования информации необходимо соответствие не марок компьютеров, а объемов используемых жестких дисков (у переносного компьютера этот объем должен быть не меньше, а в идеальном случае равен объему диска осматриваемого компьютера). Помимо переносного компьютера типа Notebook, при производстве осмотра могут быть использованы иные носители информации, обладающие большой емкостью: лазерные и DVD диски, ZIP-накопители и др;
провести инструктаж членов следственно-оперативной группы. При этом особое внимание уделить их поведению во время осмотра: внимательно следить за поведением всех лиц, которые могут находиться в помещении, где производится осмотр; проявлять особую осторожность при обращении с компьютерной техникой, создавая условия для работы с ней специалисту. Следует помнить, что компьютерная техника - это всегда дорогостоящее оборудование, которое требует осторожности при обращении с ней, в том числе и при ее изъятии. К тому же она может хранить значительное количество информации, являющейся собственностью как отдельного лица, так и фирмы. Единственная ошибка может привести к миллионным убыткам. В ходе инструктажа участников следственно-оперативной группы следователь указывает основные задачи предстоящего следственного действия, особенности его производства по рассматриваемому виду преступлений указывает на характер действий каждого лица. Представляется обоснованным такой инструктаж проводить следователю в паре со специалистом. При этом необходим категорический запрет кому бы то ни было из лиц, работающих на объекте осмотра или находящихся на нем по иным причинам, соприкасаться с ЭВМ, выключать без специального указания со стороны следователя энергоснабжение объекта, самостоятельно производить какие-либо манипуляции со средствами компьютерной техники, если результат этих манипуляций заранее не известен;
проконсультироваться со специалистами (речь идет о тех случаях, когда до осмотра места происшествия известно, какая компьютерная техника будет осматриваться). Такая консультация должна содержать информацию об общем устройстве компьютера, системы ЭВМ или их сети, правилах работы на них, обработке информации и т.п.
По прибытии на место происшествия необходимо:
зафиксировать обстановку, сложившуюся на момент осмотра места происшествия, произвести ориентирующую и обзорную фото - видеосъемку;
исключить возможность посторонним лицам (да и участникам следственно-оперативной группы) соприкасаться с оборудованием. Желательно лишить их возможности пользоваться телефоном, а при острой необходимости делать это только с разрешения следователя. «Не допускайте, чтобы кто-либо производил любые действия с компьютером. Риск, связанный с непосредственным вмешательством в систему, значительно больше, чем малый шанс дистанционного влияния на систему с другого устройства»[1]. Необходимо организовать охрану каждого компьютера (терминала), для чего возможно привлечение дополнительных сил: подразделений ОМОН, СОБР и пр.;
определить, соединены ли находящиеся в помещении компьютеры в локальную вычислительную сеть. На это могут указать коаксиальные кабели, идущие от компьютера к компьютеру, или просто телефонные провода. При наличии локальной компьютерной сети наибольший интерес представляет центральный компьютер, так называемый сервер, на котором хранится большая часть информации и к которому имеют доступ все ЭВМ. Этот компьютер необходимо обследовать более тщательно и осторожно;
установить, имеются ли соединения компьютера с оборудованием или вычислительной техникой вне осматриваемого помещения. На это могут указывать кабели и провода, идущие от компьютера в другие помещения или здания. Если есть соединения, то существует реальная возможность непосредственного обмена информацией, независимо от желания специалиста, ее изменения или уничтожения с удаленных рабочих мест, находящихся за несколько метров или даже километров от обыскиваемого помещения. Для предотвращения этого на время съема информации вычислительную сеть необходимо отключить от «внешнего мира» программно или физическим отключением кабелей. Эту работу квалифицировано может выполнить только специалист в области вычислительной техники;
выяснить, подключен ли компьютер к телефонной линии. В случае подключения на него могут поступать вызовы с дальнейшими приемами или передачами информации. Следует иметь в виду, что установить, запрограммирован ли компьютер на передачу, может только специалист. Если информация, поступающая на компьютер по электронной почте, факсимильной или телетайпной связи может иметь интерес, то отключать телефонную или телетайпную линии нет смысла, но необходимо воздерживаться от телефонных разговоров по данной линии;
определить, запущены ли программы на ЭВМ и какие именно. Для этого необходимо изучить изображение на экране и, по возможности, детально описать его в протоколе. Если специалисту удастся определить, что на компьютере работает программа уничтожения информации или ее зашифровки, то такие программы стоит приостановить и обследование начать именно с этого компьютера. Если до момента осмотра компьютера на нем вводился оператором текст, и этот текст может представлять интерес для следствия, то выход из редактора надо осуществлять только после сохранения набранного текста на жестком диске путем выбора соответствующего пункта меню. Установить название программы, которая последней выполнялась на компьютере, для операционной системы MS-DOS можно путем одновременного нажатия клавиш Ctrl-E. Многократное нажатие этой комбинации предоставит возможность проследить за всеми запускаемыми программами с момента последней перезагрузки компьютера. В операционных системах семейства Windows перечень открытых в данный момент приложений (программ) можно увидеть на рабочей панели, возле кнопки «Пуск». Кроме того, эту задачу можно решить путем одновременного нажатия клавиш «Alt» и «Tab». Важно отметить, что следователю в любом случае не следует самому производить какие-либо манипуляции с вычислительной техникой. Их должен осуществлять специалист.
На рабочей (исследовательской) стадии осмотра места происшествия каждый объект подлежит тщательному обследованию. В этот период времени важно установить, не содержится ли на компьютере информация, которая может способствовать более плодотворному и целенаправленному осмотру (различные планы помещений, участков местности, пароли, коды доступа, шифры и т.п.). Для этого специалистом проводится экспресс-анализ компьютерной информации путем просмотра содержимого дисков. Интерес могут представлять также файлы с текстовой или графической информацией.
В этот период обращается внимание не только на наличие (отсутствие) физических повреждений компьютерной техники, магнитных носителей и т.п., но и на состояние окон, дверей и запорных устройствах на них. Следы могут быть выявлены при наличии специальных средств опознавания пользователя персонального компьютера (ПК). К таковым средствам относятся[1]:
специальные электронные карточки (например, «Micro Card Technologies"), в которые записывается специальная информация о владельцах, их пароли и ведется учет всех операций, выполняемых пользователем;
электронные ключи доступа к ПК (ключ «Активатор» фирмы «Software Security Inc.»), в которых находится микропроцессор в запоминающее устройство которого заносится уникальная для каждого пользователя информация;
устройства идентификации пользователей по отпечаткам пальцев (фирма «Calspan»);
устройства опознания пользователя по геометрическим признакам руки.
При этом пользователь помещает руку в массив фотоячеек, который определяет информацию о длине пальцев и их светопроводимости, затем проводит сравнение с эталоном, хранящимся в ПК;
устройства опознания пользователя по почерку, для чего используются динамические характеристики процесса подписи: скорость, давление на бумагу, и статические - форма и размер подписи;
приспособления опознавания пользователей по голосу. Есть примеры внедрения специальных многоканальных фильтров (фирма «Philips»).
При наличии подобных устройств, подключенных к компьютеру, в них производится автоматическая фиксация всех незаконных попыток вторжения. Например, данные системы считывают информацию с магнитных карточек незаконных владельцев, записывают их голос, отпечатки пальцев. Эти данные в дальнейшем могут быть использованы для идентификации личности преступника.
На рабочей стадии осмотра фиксируется текущее состояние компьютерной информации, делается вывод о произошедшем событии и его последствиях: уничтожение, блокирование, модификация, копирование информации, нарушение работы ЭВМ, их системы или сети; устанавливается способ совершения преступления. Для этого с помощью специалиста наблюдается действие программ, содержимое текстовых файлов и баз данных. При этом особое внимание следует уделить изучению имеющихся в большинстве компьютерных систем файлов регистрации. Какое бы событие не произошло в системе, информация о нем (в том числе, кто инициировал его, когда и в какое время оно произошло, какие при этом были затронуты файлы) регистрируется в этих файлах. В частности, в файлах регистрации может получить отражение информация о паролях пользователей, их именах, идентификационных номерах. В последствии данная информация может быть использована для установления компьютера, с которого произошел неправомерный доступ к компьютерной информации.
Если выясняется, что имел место непосредственный доступ к компьютерной технике и информации, то необходимо отыскивать следы пальцев рук, микрочастицы на клавиатуре, корпусе ЭВМ, мониторе, принтере и т.п. Целесообразно просмотреть результаты работы программ контроля доступа к ЭВМ, системам протоколирования действий оператора и при наличии воздействий на них изъять. Результаты такой работы выводятся на печать и приобщаются к делу в качестве иных документов в порядке ст. 84 УПК РФ. Особый интерес для следователя представляют различные документы, обнаруженные на месте происшествия. К их числу относятся: документы, связанные с совершенным преступлением (например, списки паролей и кодов доступа в компьютерную систему); документы, свидетельствующие о попытке переноса информации на бумажный носитель (например, застрявшая в принтере бумага); документация на компьютерную технику, программное обеспечение, периферийное оборудование; документы, регламентирующие порядок работы с компьютерным оборудованием, нормативные акты, регламентирующие правила работы с данной ЭВМ и информацией, находящейся в ее памяти; личные документы подозреваемого.
Необходимо иметь в виду, что для исследования больших вычислительных систем потребуется значительное время - не только часы, но и дни. И к этому он должен быть готов. В процессе расследования возможны ситуации, когда физически невозможно перевезти компьютеры для их изучения и исследования. В таких случаях необходимо руководствоваться следующими рекомендациями:
В обязательном порядке после осмотра средств компьютерной техники (сервера, рабочей станцией компьютерной сети) необходимо блокировать не только соответствующее помещение, но и отключать источники энергопитания аппаратуры или, в крайнем случае, создать условия лишь для приема информации с одновременным опломбированием всех необходимых узлов, деталей, частей и механизмов компьютерной системы.
Магнитные носители машинной информации должны перемещаться в пространстве и храниться только в специальных опломбированных и экранированных контейнерах или в стандартных дискетных или иных алюминиевых футлярах заводского изготовления, исключающих разрушающее воздействие различных электромагнитных и магнитных полей, направленных излучений.
Непосредственно в ходе осмотра компьютерной техники следует принимать во внимание следующие неблагоприятные факторы[1]:
возможные попытки со стороны персонала повредить ЭВМ с целью уничтожения информации и ценных данных;
возможное наличие на компьютере специальных средств защиты от несанкционированного доступа, которые, не получив в установленное время специальный код, автоматически уничтожат всю информацию;
возможное наличие на ЭВМ иных средств защиты от несанкционированного доступа;
постоянное совершенствование компьютерной техники, следствием чего может быть наличие на объекте программно-технических средств не знакомых следователю и специалисту.
В целях недопущения вредных последствий перечисленных факторов следователь должен придерживаться следующих рекомендаций:
перед выключением питания по возможности корректно закрыть все используемые программы, а в сомнительных случаях просто отключить компьютер (в некоторых случаях некорректное отключение компьютера -путем перезагрузки или выключения питания без предварительного выхода из программы и записи информации на постоянный носитель - приводит к потере информации в оперативной памяти и даже к частичному стиранию информационных ресурсов на данном компьютере)[1];
принять меры к установлению пароля доступа в защищенных программах;
при необходимости консультаций у персонала предприятия получать их у разных сотрудников данного отдела путем опроса порознь. Такой метод позволит получить максимально правдивую информацию и избежать преднамеренного вредительства;
при нахождении ЭВМ в локальной вычислительной сети необходимо иметь бригаду специалистов для быстрого реагирования на движение информации по сети;
наряду с осмотром компьютера обеспечить осмотр документов о пользовании им, в которых следует обратить особое внимание на рабочие записи операторов ЭВМ, так как часто именно в этих записях неопытных пользователей можно обнаружить коды, пароли и другую очень ценную для следствия информацию. При осмотре должен присутствовать кто-либо из сотрудников предприятия, способный дать пояснения по установленному на ЭВМ программному обеспечению. Если на начальной стадии осмотра не удалось установить пароли и коды используемых программ, то компьютер подлежит опечатыванию и выемке, с тем чтобы в последующем в стационарных условиях прокуратуры или лаборатории с привлечением специалистов-программистов выявить существующие пароли и коды доступа, осуществить надлежащий осмотр компьютера и содержащихся на нем файлов. В таких случаях достаточно изъять только системный блок, в который входят процессор и накопители на магнитных дисках. Остальную часть компьютера - монитор, клавиатуру, принтер - следует опечатать.
4. Если непосредственный доступ к информации на компьютере возможен и все нежелательные ситуации исключены, при осмотре и работе следователь и специалист должны четко объяснять понятым все совершаемые ими действия. При осмотре должны быть установлены: конфигурация компьютера с четким описанием всех устройств; номера моделей и серийные номера каждого из устройств; инвентарные номера, присваиваемые бухгалтерией при постановке оборудования на баланс предприятия; прочая информация с фабричных ярлыков.
В ходе осмотра компьютера необходимо полностью откопировать содержимое жесткого диска с помощью специальных программ. Если в осмотре принимает участие специалист, эта работа поручается ему. Кроме того, необходимо сделать распечатки информации о содержании всего жесткого диска либо всю информацию об этом переписать от руки. Все листы с такой информацией должны быть подписаны специалистом, который проводил запись информации, следователем, понятыми и представителем организации (пользователем), где производится осмотр, и прилагаться к протоколу следственного действия.
Информацию из оперативной памяти компьютера, необходимо изымать путем копирования соответствующей машинной информации на физический носитель с использованием только стандартных паспортизированных программных средств. В таких случаях они снабжаются соответствующим документальным приложением. В протоколе осмотра места происшествия необходимо зафиксировать следующее:
программу, исполняемую (или исполненную) компьютером на момент проведения (или до проведения) следственного действия. Для этого необходимо детально изучить и описать существующее на экране монитора компьютера изображение, все функционирующие при этом периферийные устройства и результат их деятельности. Многие сервисные программные средства позволяют определить и просмотреть наименование всех ранее вызывавшихся программ и исполненную в последнюю очередь. Например, с использованием NORTON COMMANDER, последняя исполнявшаяся программа определяется по положению курсора (выделенной световой полосой);
результат действия обнаруженной программы;
манипуляции со средствами компьютерной техники (включая нажатия на клавиши клавиатуры), произведенные в процессе проведения следственного действия и их результат (например, при копировании программ и файлов, определении их атрибутов, дате, времени создания и записи, а также при включении и выключении аппаратуры, отсоединении ее частей);
5. Изъятие средств компьютерной техники производится только в выключенном состоянии. При этом должны быть выполнены и отражены в протоколе следующие действия[1]:
установлено включенное состояние оборудования и зафиксирован порядок его отключения;
описано точное местонахождение изымаемых предметов и их расположение относительно друг друга и окружающих предметов (с приложением необходимых схем и планов);
описан порядок соединения между собой всех устройств с указанием особенностей соединения (цвет, количество, размеры, характерные индивидуальные признаки соединительных проводов, кабелей, шлейфов, разъемов, штеккеров и их спецификация);
определено отсутствие либо наличие компьютерной сети, используемый канал (каналы) связи и телекоммуникаций. В последнем случае установлен тип связи, используемая аппаратура, абонентский номер, позывной либо рабочая частота;
произведено разъединение (с соблюдением всех необходимых мер предосторожности) аппаратных частей (устройств) с одновременным опломбированием их технических входов и выходов;
определен вид упаковки и транспортировки изъятых предметов[1].