Первоначальный этап расследования неправомерного доступа к компьютерной информации
При расследовании неправомерного доступа к компьютерной информации подлежат установлению следующие обстоятельства[1]:
Факт неправомерного доступа к компьютерной информации.
Место несанкционированного проникновения в компьютерную систему или сеть.
Время несанкционированного доступа.
Надежность средств защиты компьютерной информации.
Способ совершения несанкционированного доступа.
Лица, совершившие неправомерный доступ к компьютерной информации.
Виновность и мотивы лиц, совершивших неправомерный доступ к компьютерной информации.
Вредоносные последствия неправомерного доступа к компьютерным системам или сетям.
Обстоятельства, способствовавшие неправомерному доступу к компьютерной информации.
Факт неправомерного доступа к информации в компьютерной системе или сети обычно первыми обнаруживают сами же пользователи информационной системы. Однако они не всегда своевременно сообщают об этом правоохранительным органам. Особенно это относится к руководителям кредитно-финансовых и банковских учреждений, которые не желают вызывать у клиентов сомнения в надежности своих учреждений. Они также опасаются, что по этому факту начнется проведение проверок, ревизий и экспертиз, могущих раскрыть их финансовые и иные служебные тайны, вскрыть другие серьезные недостатки.
Факт несанкционированного доступа в сети Интернет вскрывается уже после того, как фирма-провайдер присылает счет о предоставленных услугах на сумму, явно превышающую допустимые пределы работы зарегистрированного пользователя. Кроме того, время работы также не соответствует действительности. В результате этого официально зарегистрированный пользователь отказывается платить за услуги, которыми не пользовался, а фирма-провайдер соответственно несет убытки. Возможны и другие варианты развития событий. Например, в случае если официально зарегистрированный пользователь превышает данные ему полномочия и вносит изменения в страницы, принадлежащие другим пользователям.
Установить факт неправомерного доступа к компьютерной информации можно и в процессе проведения проверочных мероприятий в стадии возбуждения уголовного дела либо в ходе проведения ревизий, судебных экспертиз, иных следственных действий по уголовным делам, находящимся в производстве следователей, а также при проведении оперативно-розыскных мероприятий.
Установление места несанкционированного доступа в компьютерную систему или сеть может вызывать определенные трудности, поскольку по делам данной категории может быть несколько мест совершения одного преступления.
Чаще обнаруживается место непосредственного использования результатов неправомерного доступа к компьютерной информации, особенно связанного с хищением денежных средств. Так, по делу о покушении на хищение из Центрального банка РФ более 68 миллиардов рублей таких мест оказалось сразу девять: одно из них - само помещение этого банка, и восемь - помещения коммерческих банков, в адрес которых были незаконно переведены из Центрального банка по компьютерной сети крупные суммы денег путем ввода в электронную обработку двенадцати фальшивых платежных документов. Как выяснилось позже, вводились они неустановленными лицами с рабочего места № 83 оператором ввода № 07 с терминала № 07.
На всех этих местах должны были остаться следы одного преступления. Однако на первоначальном этапе расследования установить физический адрес ввода фальшивых документов так и не удалось. По мнению специалистов, в той ситуации такой ввод мог быть осуществлен с любого рабочего места, имеющего телекоммуникационную связь с компьютерами. Тем более что эксплуатируемый программный комплекс фактически был открыт для несанкционированного ввода, обновления (корректировки, изменения) и обработки любой информации.
Поэтому при обнаружении неправомерного доступа к информации в компьютерной системе или сети следует выявить все места, где расположены компьютеры, имеющие единую телекоммуникационную связь.
Проще обстоит дело, когда совершен несанкционированный доступ к отдельному изолированному компьютеру, находящемуся в одном помещении. Однако и в этом случае необходимо учитывать, что компьютер может находиться в одном помещении, а информация на машинных носителях - в другом. Следовательно, надо выявить и это место.
Труднее устанавливать место непосредственного использования технических средств для несанкционированного доступа (особенно мобильных), не входящих в данную компьютерную систему или сеть.
Следует установить и место хранения информации на машинных носителях либо в виде распечаток, добытых в результате неправомерного доступа к компьютерной системе или сети.
Установление времени несанкционированного доступа. Любой современный компьютер имеет встроенный таймер, отражающий информацию о дне недели, дате, часе и минуте в реальном времени. Естественно, что его точность определяется правильностью первоначальной установки времени, выбором правильного часового пояса, а также переходом на летнее или зимнее время. Время последней модификации файла отражается в его атрибутах и достаточно просто может быть выяснено с помощью программ общесистемного назначения.
Кроме того, при входе в систему или сеть время работы на компьютере любого пользователя автоматически фиксируется в специальных системных файлах. Исходя из этого, точное время доступа можно установить путем следственного осмотра работающего компьютера либо распечаток или дискет. Время неправомерного доступа к компьютерной информации можно также установить путем допроса свидетелей из числа сотрудников данной компьютерной системы, выясняя у них, в какое время каждый из них работал на компьютере, если оно не было зафиксировано автоматически.
Установление способа совершения несанкционированного доступа. Конкретный способ несанкционированного доступа к компьютерной информации можно установить в процессе допроса свидетелей из числа лиц, обслуживающих эту систему, или ее разработчиков, а также путем производства компьютерно-технической экспертизы.
Для установления способа и отдельных обстоятельств механизма неправомерного доступа к компьютерной информации может быть проведен следственный эксперимент с целью проверки возможности преодоления средств защиты компьютерной системы одним из вероятных способов.
Установление надежности средств защиты компьютерной информации. Прежде всего необходимо установить, предусмотрены ли вообще в данной компьютерной системе меры защиты от несанкционированного доступа к определенным файлам. Это можно выяснить при допросе разработчиков и пользователей, а также при изучении проектной документации и соответствующих инструкций по эксплуатации данной системы. В них должны содержаться специальные разделы, относящиеся к мерам защиты информации, с подробным описанием порядка допуска пользователей к определенным категориям данных (т.е. разграничением их полномочий), организации за доступом контроля, конкретных методов защиты информации (аппаратных, программных, криптографических, организационных и пр.).
Законодательством предусмотрены обязательная сертификация средств защиты систем обработки и хранения информации с ограниченным доступом, обязательное лицензирование всех видов деятельности в области проектирования и производства таких средств. Разработчики, как правило, гарантируют надежность своих средств при условии, если будут соблюдены установленные требования. Поэтому в процессе расследования требуется установить: во-первых - имеется ли лицензия на производство средств защиты информации от несанкционированного доступа, используемых в данной компьютерной системе; во-вторых — соответствуют ли их параметры выданному сертификату. Для проверки такого соответствия назначается компьютерно-техническая экспертиза.
При исследовании объекта, где совершено преступление, необходимо выяснить:
технические и конструктивные особенности помещений, связанные с установкой и эксплуатацией вычислительной техники (специальное оборудование полов, потолков и окон, каналы кабельных и вентиляционных шахт, установка и фактическое состояние устройств кондиционирования воздуха, система электропитания и иные особенности);
особенности установки средств комплекса вычислительной техники (сосредоточены в одном месте или расположены в различных помещениях);
способы связи компьютеров между собой посредством локально-вычислительной сети, устройств телекоммуникации и состояние линий связи;
структуру, конфигурацию сети ЭВМ и внешних информационных связей;
режим работы.
Установление лиц, совершивших неправомерный доступ к компьютерной информации. Практика показывает, что чем хитрее и сложнее в техническом плане способ такого проникновения, тем легче «вычислить» преступника, поскольку круг специалистов, обладающих такими способностями, сужается.
Причастность конкретного лица к несанкционированному доступу к компьютерной информации помимо свидетельских показаний может быть установлена также и по материально-фиксированным отображениям, обнаруженным при производстве следственного осмотра компьютера и его компонентов. Это могут быть следы пальцев рук, оставленные на их поверхности, отдельные записи на внешней упаковке дискет, дисков, где обычно остаются заметки о характере записанной на них информации, а порой и о том, кому принадлежат эти носители информации; следы обуви и другие материальные следы. Для их исследования назначаются традиционные криминалистические экспертизы, дактилоскопические, почерковедческие, трасологические, а так-же техническое исследование документов.
Чтобы выявить лиц, обязанных обеспечивать соблюдение режима доступа к компьютерной системе или сети, надо прежде всего ознакомиться с имеющимися инструкциями, устанавливающими полномочия должностных лиц, ответственных за защиту информации, после чего следует их допросить.
Допросами лиц, обслуживающих компьютерную систему, можно установить: кто запускал нештатную программу, было ли это зафиксировано каким-либо способом? Следует также выяснить, кто увлекался программированием (возможно, кто-то учится или учился на компьютерных курсах).
При наличии достаточных оснований у лиц, заподозренных в неправомерном доступе к компьютерной информации, производится обыск, в процессе которого могут быть обнаружены компьютерная техника, различные записи, дискеты, содержащие сведения, могущие иметь отношение к расследуемому событию, например коды, пароли, идентификационные номера пользователей конкретной компьютерной системы, а также данные о ее пользователях.
В ходе обысков и осмотров следует обращать внимание на литературу и методические материалы по компьютерной технике и программированию. Так, по делу о хищении валютных средств из Внешэкономбанка, в ходе обыска у одного из обвиняемых были обнаружены работа на тему «Компьютерные злоупотребления и способы их пресечения» и программа его производственной практики в ФРГ - «Изучение состояния дел с защитой информации при обработке ее на ЭВМ и подготовка соответствующих рекомендаций с учетом возможностей программного обеспечения и принятых в банке технических и технологических решений по реализации находящихся в эксплуатации задач».
Все это, хотя и косвенно, указывало на возможную причастность данного обвиняемого к расследуемому преступлению.
Установление виновности и мотивов лиц, совершивших неправомерный доступ к компьютерной информации. Установить виновность и мотивы несанкционированного доступа к компьютерной информации можно только по совокупности результатов всех процессуальных действий. Решающими из них являются допросы свидетелей, подозреваемых, обвиняемых, потерпевших, заключения судебных экспертиз, результаты обыска.
Установление вредоносных последствий неправомерного доступа к компьютерным системам или сетям. Прежде всего необходимо установить, в чем выражены вредные последствия такого доступа (хищение денежных средств или материальных ценностей, завладение компьютерными программами, информацией путем изъятия ее машинных носителей либо копирования, а также незаконное изменение, уничтожение, блокирование или вывод из строя компьютерного оборудования, введение в компьютерную систему заведомо ложной информации или компьютерного вируса и пр.).
Хищение денежных средств в банковских электронных системах зачастую обнаруживаются самими работниками банков или в результате проведения оперативно-розыскных мероприятий. Конкретная сумма хищения устанавливается судебно-бухгалтерской экспертизой.
Неправомерное завладение компьютерными программами вследствие несанкционированного допуска к системе, их незаконное использование выявляются чаще всего самими потерпевшими.
Однако возможны случаи, когда точно определить размер материального ущерба невозможно. Так, значительный ущерб был причинен Московской городской телефонной сети в результате незаконного копирования ее базы данных (которая широко распродавалась на московских рынках) с номерами квартирных телефонов москвичей (телефонный справочник).
Если компьютерная информация относится к категории конфиденциальной или государственной тайны, то конкретный вред, причиненный ее разглашением, устанавливается представителями Гостехкомиссии РФ. Факты незаконного изменения, уничтожения информации, блокирования либо вывода из строя компьютерного оборудования или введения в компьютерную систему заведомо ложной информации устанавливаются прежде всего самими пользователями.
Выявление обстоятельств, способствовавших неправомерному доступу к компьютерной информации. На последующем этапе расследования формируется целостное представление об обстоятельствах, способствовавших неправомерному доступу к компьютерной информации. С этой целью изучаются документы, относящиеся к защите информации, и заключение компьютерно-технической экспертизы. Если по факту неправомерного доступа проводилось внутреннее (служебное) расследование, то его выводы также могут оказаться полезными при выявлении причин и условий его совершения.
Проведенное нами исследование показывает, что наиболее распространенными поводами[1] к возбуждению уголовного дела по ст. 272 УК РФ являются[1]:
сообщения должностных лиц организаций или их объединений (около 40 %);
заявления граждан (около 35 %);
непосредственное обнаружение органом дознания, следователем или прокурором сведений, указывающих на признаки преступления (около 20 %);
сообщения в средствах массовой информации и иные поводы (около 5 %).
В криминалистической науке установлено, определение основных направлений расследования и особенности тактики отдельных следственных действий зависит от характера исходных данных. В связи с этим в юридической литературе неоднократно предпринимались попытки систематизации исходных данных, в результате чего появилось понятие исходной следственной ситуации[1]. Под исходной следственной ситуацией понимается объективно сложившаяся в первый период расследования его информационная среда, обстановка проведения и другие условия расследования[1].
В зависимости от источника и содержания сведений о неправомерном доступе к компьютерной информации могут складываться различные проверочные ситуации[1]. В.В. Крылов выделяет три типичные проверочные ситуации, называя их при этом типовыми следственными:
Собственник информационной системы собственными силами выявил нарушения конфиденциальности информации в системе, обнаружил виновное лицо и заявил об этом в правоохранительные органы.
Собственник самостоятельно выявил указанные нарушения в системе, однако не смог обнаружить виновное лицо и заявил об этом в правоохранительные органы.
Данные о нарушении конфиденциальности информации в информационной системе и виновном лице стали общеизвестны или непосредственно обнаружены органом дознания (например, в ходе проведения оперативно-розыскных мероприятий по другому делу)[1].
Представляется, эти ситуации не исчерпывают всего многообразия проверочных ситуаций хотя бы потому, что факт неправомерного доступа может обнаружить не собственник информации, а, к примеру, оператор (что чаще всего и бывает), однако это еще не говорит о том, что факт доступа стал общеизвестным.
Обобщение практики показывает, что при решении вопроса о возбуждении уголовного дела по ст. 272 УК РФ возможны следующие проверочные ситуации:
Неправомерный доступ обнаружен при реализации компьютерной информации незаконным пользователем, личность которого известна и местонахождение установлено (например, при распространении сведений, носящих конфиденциальный характер).
Неправомерный доступ обнаружен законным пользователем, его личность и местонахождение не известно, однако имеются отдельные сведения, позволяющие ее установить.
Имел место факт неправомерный доступ к компьютерной информации, однако лицо, его совершившее, не установлено.
Итак, итогом разрешения проверочной ситуации должно быть принятие процессуального решения. С целью проверки сообщения о преступлении не могут производиться следственные действия, которые закон допускает только после возбуждения уголовного дела. Исключение составляет только осмотр места происшествия. В соответствии с ч.2 ст. 176 УПК РФ, в случаях, не терпящих отлагательства, осмотр места происшествия может быть произведен до возбуждения уголовного дела. Случаи производства до возбуждения уголовного дела иных следственных действий противоречат закону[1].
Помимо осмотра места происшествия с целью проверки сообщения о преступлении могут производиться иные процессуальные действия, к числу которых относятся требования, поручения, запросы (ст. 21 УПК РФ). В частности, в соответствии с ч.2 ст. 144 УПК РФ по требованию прокурора, следователя или органа дознания редакция, главный редактор соответствующего средства массовой информации обязаны передать имеющиеся в их распоряжении документы и материалы, подтверждающие сообщение о преступлении, а также данные о лице, предоставившем указанную информацию, за исключением случаев, когда это лицо поставило условие о сохранении в тайне источника информации. Предметы и документы могут быть предоставлены также потерпевшим, его адвокатом и другими лицами (ст. 86 УПК РФ).
В целях проверки поступивших сообщений о преступлении и решении вопроса о наличии или отсутствии оснований для возбуждения уголовного дела орган дознания, прокурор могут использовать имеющиеся в их распоряжении средства административной, оперативной, прокурорской проверки, применением которых не обусловлено наличием производства по уголовному делу.
С учетом комплекса исходной информации, полученной при проведении проверочных действий на первоначальном этапе расследования, возможна следующая классификация типичных следственных ситуаций:
Установлен неправомерный доступ к компьютерной информации, есть следы, есть подозреваемый, и он дает правдивые показания.
Установлен неправомерный доступ к компьютерной информации, имеются следы, прямо указывающие на конкретного подозреваемого, но он отрицает свою причастность к совершению преступления.
Установлен неправомерный доступ к компьютерной информации, известны лица, несущие по своему служебному положению за это ответственность, но характер их личной вины, а также обстоятельства доступа не установлены.
Установлен факт неправомерного доступа к компьютерной информации, совершить который и воспользоваться его результатами могли только лица из определенного круга (по своему положению, профессиональным навыкам и знаниям), либо известны лица (фирмы, организации), заинтересованные в получении данной информации.
Последняя из приведенных следственных ситуаций является наиболее сложной, так как отсутствуют сведения о виновном лице, следы преступления, неизвестен способ совершения и другие данные.
Следует отметить, что если в качестве основных признаков брать только данные о подозреваемых, свидетелях и следах преступления, то количество следственных ситуаций в зависимости от установленных обстоятельств составит 23=8 (см. схему 1).
Для разрешения следственных ситуаций, складывающихся после возбуждения уголовного дела, производятся следующие следственные действия: допрос свидетелей, обыск помещений, допрос подозреваемого, назначение экспертиз, проверки по оперативно-справочным, розыскным и криминалистическим учетам.
Таблица 2
Варианты следственных ситуаций в зависимости от наличия исходных данных о следах, подозреваемых и свидетелях
Рассмотрим основные направления действий следователя по расследованию неправомерного доступа к компьютерной информации, совершенного в условиях неочевидности. В качестве примера используем реальную ситуацию, связанную с неправомерным подключением к сети Интернет за счет законных пользователей.
Однако сначала необходимо рассмотреть основные понятия и технические термины, используемые при работе в Интернете и организацию работы сети.
С технической точки зрения Интернет - объединение транснациональных компьютерных сетей, работающих по самым разнообразным протоколам, связывающих всевозможные типы компьютеров, физически передающих данные по телефонным кабелям и волоконной оптике через спутники и радиомодемы. В Интернете используются два основных понятия: адрес и протокол.
Под адресом, применительно к компьютерным телекоммуникациям, понимается конкретное местонахождение компьютера внутри сети или ее отрезке (страна, город, здание). Свой адрес имеет любой компьютер, подключенный к Интернету. Даже при временном соединении по коммутируемому каналу компьютеру выделяется конкретный адрес, который однозначно определяет его местонахождение.
Протокол - устанавливает правила взаимодействия. Стандартные протоколы заставляют разнотипные компьютеры, в т.ч. работающие под управлением различных операционных систем, «говорить на одном языке». Таким образом, осуществляется возможность их подключения к Интернету. Учитывая невозможность описать в одном протоколе все правила взаимодействия, сетевые протоколы строятся по многоуровневому принципу. На нижнем уровне используются два основных протокола: IP -Internet Protocol (Протокол Интернета) и TCP - Transmission Control Protocol (Протокол управления передачей). Так как эти два протокола тесно взаимосвязаны, то часто их объединяют и говорят, что в Интернете базовым протоколом является TCP/IP.
Сети, работающие по протоколам tcp/ip, родились как проект агентства «DARPA» Министерства обороны США. Сеть создавалась на случай ядерной войны и предполагала, что любой компьютер в сети может перестать функционировать в любой момент, равно как и линии связи между компьютерами. Именно такая постановка задачи привела к рождению сетевой технологии, которая дефакто стала технологией всемирной сети - технологии tcp/ip.
Протокол ip - это протокол, описывающий формат пакета данных, передаваемого по сети. Например, когда Вы получаете телеграмму, весь текст в ней (и адрес, и сообщение) написаны на ленте подряд, но есть правила, позволяющие понять, где тут адрес, а где сообщение. Аналогично пакет в компьютерной сети представляет собой поток битов, а протокол ip определяет, где адрес и прочая служебная информация, а где сами передаваемые данные, а протокол tcp призван контролировать саму передачу и целостность передаваемой информации. Например, если Вы не расслышали, что сказал Вам собеседник в телефонном разговоре, то Вы просите его повторить сказанное. Примерно этим занимается протокол tcp применительно к компьютерным сетям. Компьютеры обмениваются пакетами протокола ip, контролируют их передачу по протоколу tcp и, объединяясь в глобальную сеть, образуют Интернет.
Протоколы tcp/ip для компьютеров - это как правила общения для людей. Пользуясь этими правилами, люди спорят, рассказывают, записывают сообщения на автоответчик т.д. Аналогичным образом обстоят дела и с компьютерами - протокол tcp/ip позволяет передавать информацию, а его, в свою очередь, используют разнообразные сервисы, или услуги, по-разному обращающиеся с информацией.
Наиболее подходящим для классификации сервисов Интернет является деление на сервисы интерактивные, прямые и отложенного чтения. Сервисы, относящиеся к классу отложенного чтения, наиболее распространены, наиболее универсальны и наименее требовательны к ресурсам компьютеров и линиям связи.
Основным признаком этой группы является та особенность, что запрос и получение информации могут быть достаточно сильно (что, в общем-то, ограничивается только актуальностью информации на момент получения) разделены по времени. Сюда относится, например, электронная почта (более подробно отдельные сервисы будут рассмотрены ниже).
Сервисы прямого обращения характерны тем, что информация по запросу возвращается немедленно. Однако от получателя информации не требуется немедленной реакции. Сервисы, где требуется немедленная реакция на полученную информацию, т.е. получаемая информация, является, по сути дела, запросом, относятся к интерактивным сервисам. Для пояснения вышесказанного можно заметить, что в обычной связи аналогами сервисов интерактивных, прямых и отложенного чтения являются, например, телефон, факс и письменная корреспонденция.
Электронная почта (E-mail) - типичный сервис отложенного чтения (offline). Пользователь посылает свое сообщение, как правило, в виде обычного текста, адресат получает его на свой компьютер через какой-то, возможно, достаточно длительный, промежуток времени, и читает поступившее сообщение тогда, когда ему будет удобно.
E-mail очень похожа на обычную бумажную почту, обладая теми же достоинствами и недостатками. Обычное письмо состоит из конверта, на котором написан адрес получателя и стоят штампы почтовых отделений, пути следования, и содержимого - собственно письма. Электронное письмо также состоит из заголовков, содержащих служебную информацию (об авторе письма, получателе, пути прохождения по сети и т.д.), играющих роль конверта, и собственно содержимого письма. Существует возможность вложить в обычное письмо что-нибудь, например, фотографию; аналогично, можно послать файл с данными электронным письмом. Пользователь может подписать обычное письмо, можно подписать и электронное письмо. Обычное письмо может не дойти до адресата или дойти слишком поздно -как и электронное письмо. Обычное письмо весьма дешево, и электронная почта - самый дешевый вид связи.
Сетевые новости (Usenet), или, как их принято называть в российских сетях, телеконференции - это, пожалуй, второй по распространенности сервис Интернет. Если электронная почта передает сообщения по принципу «от одного - одному», то сетевые новости передают сообщения «от одного -многим». Механизм передачи каждого сообщения похож на передачу слухов: каждый узел сети, узнавший что-то новое (т.е. получивший новое сообщение), передает новость всем знакомым узлам, т.е. всем тем узлам, с кем он обменивается новостями. Таким образом, посланное сообщение распространяется, многократно дублируясь, по сети, достигая за довольно короткие сроки всех участников телеконференций Usenet во всем мире. При этом в обсуждении интересующей пользователя темы может участвовать множество людей, независимо от того, где они находятся физически, и пользователь может найти собеседников для обсуждения самых необычных тем.
Новости разделены по иерархически организованным тематическим группам, и имя каждой группы состоит из имен подуровней иерархии, разделенных точками, причем более общий уровень пишется первым. Рассмотрим, например, имя группы новостей comp.sys.sun.admin. Эта группа относится к иерархии верхнего уровня согпр, предназначенной для обсуждения всего, связанного с компьютерами. В иерархии сотр есть подуровень sys, предназначенный для обсуждения различных компьютерных систем. Далее, sun означает компьютерные системы фирмы Sun Microsystems, a admin обозначает группу, предназначенную для обсуждения вопросов администрирования таких компьютерных систем. Итак, группа comp.sys.sun.admin предназначена для обсуждения вопросов администрирования компьютерных систем фирмы Sun Microsystems.
К интерактивным сервисам, предназначенным для общения людей через Интернет, относится IRC - Internet Relay Chat, разговоры через Интернет. В Интернете существует сеть серверов IRC. Пользователи присоединяются к одному из каналов (тематических групп) и участвуют в разговоре, который ведется не голосом, но текстом. Узлы IRC синхро-низованы между собой, так что, подключившись к ближайшему серверу, пользователь подключаетеся ко всей сети IRC. Подобную функцио-нальность несут еще два сервиса - MUD и МОО. Расшифровываются эти аббревиатуры как Multi User Dungeon (многопользовательская игра) и Object-Oriented MUD (объектно-ориентированный многопользовательский мир).
Система гипермедиа WWW (World Wide Web - всемирная паутина) - самый популярный и интересный сервис Интернет, самое популярное и удобное средство работы с информацией. WWW работает по принципу клиент-сервер, точнее, клиент-серверы: существует множество серверов, которые по запросу клиента возвращают ему гипермедийный документ - документ, состоящий из частей с разнообразным представлением информации (текст, звук, графика, трехмерные объекты и т.д.), в котором каждый элемент может служить ссылкой на другой документ или его часть. Ссылки эти в документах WWW организованы таким образом, что каждый информационный ресурс в глобальной сети Интернет однозначно адресуется, и документ, который Вы читаете в данный момент, способен ссылаться как на другие документы на этом же сервере, так и на документы (и вообще на ресурсы Интернета) на других компьютерах в Интернете. Причем пользователь не замечает этого, и работает со всем информационным пространством Интернета как с единым целым. Ссылки WWW указывают не только на документы, специфичные для самой WWW, но и на прочие сервисы и информационные ресурсы Интернета. Более того, большинство программ - клиентов WWW (browsers, навигаторы) не просто понимают такие ссылки, но и являются программами-клиентами соответствующих сервисов: ftp, сетевых новостей Usenet, электронной почты и т.д. Таким образом, программные средства WWW являются универсальными для различных сервисов Интернета, а сама информационная система WWW играет интегрирующую роль.
Рассмотрим некоторые термины, наиболее часто использующиеся в WWW.
HTML (hypertext markup language, язык разметки гипертекста). Это формат гипермедийных документов, использующихся в WWW для предоставления информации. Формат этот описывает не то, как документ должен выглядеть, а его структуру и связи. Внешний вид документа на экране пользователя определяется навигатором. Если Вы работаете за графическим или текстовым терминалом, то в каждом конкретном случае документ будет выглядеть по-своему, однако структура его останется неизменной, поскольку она задана форматом html. Имена файлов в формате html обычно оканчиваются на html (или имеют расширение htm в случае, если сервер работает под MS-DOS или Windows).
URL (uniform resource locator, универсальный указатель на ресурс). Так называются те самые ссылки на информационные ресурсы Интернет.
HTTP (hypertext transfer protocol, протокол передачи гипертекста). Это название протокола, по которому взаимодействуют клиент и сервер WWW.
WWW - сервис прямого доступа, требующий полноценного подключения к Интернет, и более того, часто требующий быстрых линий связи, в случае, если документы, которые Вы читаете, содержат много графики или другой нетекстовой информации.
Пользователи Интернета подключаются к сети через компьютеры специальных организаций, называемые поставщиками услуг Интернета или провайдерами. Подключение к Интернету с помощью поставщика услуг означает, что с помощью модема пользователя устанавливается соедине-ние с компьютером поставщика, который и связывает пользователя с Ин-тернетом. Сам Интернет не является коммерческой организацией и никому не принадлежит.
Компьютерная сеть провайдерской компании создается для обеспечения работ по предоставлению доступа в Интернет в соответствии с действующим законодательством, учредительными документами и лицензией на право предоставления услуги передачи данных и услуги телематических служб. Кроме того, работа сети организована таким образом, чтобы производить в автоматизированном режиме расчеты с клиентами за предоставляемые им услуги в зависимости от времени их использования и в соответствии с установленным прейскурантом цен. Для этих целей в сети провайдера имеется информация о присвоенном пользователю «имени» и «пароле», которая является коммерческой тайной (на основании ст. 139 ГК РФ) и сообщается пользователю при заключении договора с ним для обеспечения его работы в сети Интернет. Таким образом, правомерно использовать ее может либо пользователь, заключивший договор, либо технический персонал компании. При обращении к подобной информации третьих лиц происходит нарушение работы сети ЭВМ, вследствие чего в учетно-статистические данные сети поступает искаженная информация о пользователе, времени начала и продолжительности его работы и, как результат, происходит списание денежных средств со счета клиента за услуги, которые он фактически не получал.
Кроме того, при использовании третьими лицами не принадлежащего им имени и пароля зарегистрированный пользователь лишается возможности воспользоваться этой информацией для доступа в сеть Интернет и соответственно лишается возможности работы в ней.
Физически процесс доступа к сети Интернет осуществляется разли-чными способами в зависимости от используемого оборудования и программного обеспечения. Один из вариантов происходит следующим образом.
Пользователь «дозванивается» со своего компьютера, подключенного к телефонной линии при помощи модема, до модема (модемного пула) провайдера, сообщает маршрутизатору свои идентификационные данные (идентификация - присвоение имени субъекту или объекту), маршрутизатор переправляет их на сервер авторизации, на котором находится файл «users» (тот самый файл являющийся коммерческой тайной), со списком идентификаторов пользователей и после процесса аутентификации (аутентификация - проверка подлинности субъекта или объекта) разрешает выход в Интернет, переправляя информацию о начале работы пользователя в сети в «logfile», находящийся на том же сервере. После завершения работы пользователя данный момент также фиксируется в «logfile» и на его основании формируется файл «billing» т.е. счёт за предоставленные услуги.
При вводе ложных идентификационных данных происходит нарушение работы всей этой системы в целом, поскольку даже правильная обработка искаженной входящей информации приводит к выдаче искаженной исходящей информации.
Расследование незаконного подключения к сети Интернет за счет других абонентов осуществляется следующим образом:
Основанием для возбуждения уголовного дела, как правило, служат заявления потерпевших - законных пользователей, работающих в сети на основании договора с фирмой-провайдером. Организация предварительной проверки по поступившему заявлению чаще всего поручается специальным подразделениям по борьбе с преступлениям в сфере высоких технологий Министерства внутренних дел. В ходе предварительной проверки берутся объяснения с заявителя по существу заявления, в частности что послужило основанием для решения о работе в сети посторонних лиц с реквизитами (именем и паролем) законного пользователя, а также размер материального ущерба. Обязательно выясняется, с каким провайдером заключен договор, а так же присвоенное пользователю имя для работы в сети.
Далее, у провайдера истребуется протокол работы в сети данного абонента за определенный период времени (соответственно периоду, указанному заявителем) с указанием даты, времени начала сессии, продолжительности работы, суммы денежных средств, списанных со счета клиента. На основании данных о дате, времени и продолжительности работы в сети, в местном узле электросвязи выясняется, с каких номеров телефонов осуществлялся доступ в сеть Интернет в определенное время. По указанным номерам телефонов устанавливаются адреса, откуда производилась связь, и кто по этим адресам проживает.
На основе совокупности собранных данных следователь имеет основания после возбуждения уголовного дела произвести обыск по месту жительства «заподозренного». К работе необходимо привлечь грамотного специалиста в области средств электронно-вычислительной техники и программного обеспечения. Определить возможные меры безопасности, предпринимаемые преступниками с целью уничтожения доказательств по делу. Кроме того, необходимо привлечь сотрудника ГТС с целью определения возможности несанкционированного подключения к телефонной линии посторонних лиц с целью работы в сети Интернет с данного телефонного номера. Подобрать понятых, которые разбираются в компьютерной технике (основных операциях, названиях компьютерных программ и т.п.), с тем чтобы исключить возможность оспаривания в суде правильности проведенного следственного действия и его результатов.
Идеальным можно считать проведение обыска в момент совершения преступления, устанавливаемый по предварительной договоренности с провайдером, который может сообщит о моменте выхода в сеть Интернет абонента данного телефонного номера. В этом случае необходимо осуществить максимально быстрый доступ к компьютеру (без предварительного обесточивания квартиры). Отстранить пользователя от работы и с помощью видео либо фототехники зафиксировать изображение на мониторе с указанием даты и времени фиксации, после чего произвести осмотр компьютера.
Однако провести обыск именно в момент совершения преступления с организационной и технической точки достаточно сложно, поэтому ниже рассматривается наиболее распространенный случай. Помимо подробно изложенных в ряде методических рекомендаций особенностей проведения обыска, необходимо обратить внимание на наличие рукописных записей на рабочем столе в ежедневниках, телефонных и записных книжках, поскольку в большинстве случаев преступники ведут записи полученных ими сетевых реквизитов. Также необходимо установить заключался ли ранее пользователем договор на предоставление доступа в Интернет и если да, то изъять соответствующие документы.
При допросе свидетелей необходимо максимально сузить круг лиц, имеющих возможность выхода в Интернет с данного компьютера. Для этого необходимо установить, есть ли навыки работы с компьютером у лиц, имеющих доступ к нему, а также возможность присутствия в помещении посторонних лиц в то время, когда в распечатке зафиксирован сеанс связи с провайдером.
При допросе подозреваемого необходимо составить перечень вопросов, подлежащих установлению с учетом выбранных квалификационных признаков. В данном случае необходимо обратить внимание на следующее.
Установить, каким образом были получены идентификационные данные. Если они получены у третьих лиц, то установить, у кого, где, при каких обстоятельствах и на каких условиях. Если самостоятельно, то каким образом, с подробным описанием последовательности действий. Кроме того, в этом случае целесообразно провести следственный эксперимент (на данном этапе согласовать возможность его проведения) с целью проверки показаний и уточнения данных, имеющих значение для дела. Однако его проведение требует специальной подготовки рабочего места и целесообразно после производства экспертизы в ходе последующего допроса.
Определить навыки («стаж») работы на персональном компьютере и в Интернете с подробным описанием процесса получения доступа в Интернет, а также основных целей работы в сети. Необходимо установить, знает ли пользователь порядок официального заключения договора, порядок оплаты и возможные последствия использования не принадлежащих идентификационных данных.
Установить характеристики используемого компьютера, а также программного обеспечения, установленного на нём. Это позволит конкретизировать вопросы при назначении экспертизы, а также определить познания подозреваемого в компьютерной технике.
Обязательным является изъятие в ходе обыска компьютерной техники и ее осмотр, а также осмотр изъятых предметов и документов. Затем назначается компьютено-техническая экспертиза.
Перед экспертами могут быть поставлены вопросы:
Был ли на данной ЭВМ установлен модем?
Осуществлялся ли при помощи данной ЭВМ доступ в глобальную компьютерную сеть Интернет? Если да, то через каких провайдеров[1], при помощи каких имен пользователей[1]?
Имеется ли на жестком диске данной ЭВМ следующая информация:
имя пользователя (логин) и пароли к нему;
фамилии, имена, телефонные номера и другие сведения, представляющие интерес по делу;
программа для работы с электронной почтой (e-mail) и почтовые архивы;
если да, то имеются ли среди архивов такие, которые могут представлять интерес в рамках настоящего уголовного дела;
какой адрес электронной почты принадлежал лицу, которое пользовалось этим экземпляром почтовой программы;
другие программы для общения через Интернет и архивы принятых и переданных сообщений;
какой адрес электронной почты принадлежал лицу, которое пользовалось указанными экземплярами программ.
Имеются ли на представленном ПК и дискете программы, заведомо приводящие к несанкционированному уничтожению, блокированию, модификации, либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети?
Какой квалификацией обладал человек, проводивший инсталляцию[1] программного обеспечения, его настройку на данной ЭВМ?
Одним из ключевых следственных действий является допрос представителя фирмы-провайдера. Перед допросом провайдера необходимо довести до его сведения основные понятия и определения используемые в юридической терминологии, поскольку они могут не совпадать с технической, что может вызвать недопонимание и разночтения. У представителя провайдера необходимо получить копии учредительных документов и лицензии на право предоставления услуг связи. Это можно оформить протоколом выемки. Также необходимо получить протоколы работы в сети Интернет абонента и именем, присвоенным потерпевшему с указанием времени работы и суммы денежных средств, списанных со счета указанного абонента. Эти данные сопоставляются с заключением компьютерно-технической экспертизы по изъятому у подозреваемого компьютеру. При совпадении протоколов работы в сети, ведущихся у провайдера и на компьютере подозреваемого, последнему предъявляется обвинение.