• Рис. 2. Действия подозреваемого при производстве следственного эксперимента
  • Рис. 3. Проведение следственного действия

Тема 12. Особенности расследования преступлений, совершенных посредством сети Интернет

Содержание [убрать]

Вопрос 1. Общие положения и криминалистическая характеристика

Криминалистическая характеристика

 

Компьютерная информация – это информация, зафиксированная на машинном носителе или передаваемая по телекоммуникационным каналам в форме, доступной восприятию ЭВМ.

Способы совершения преступлений, в сфере компьютерной информации

·          неправомерный доступ к компьютерной информации, повлекший за собой уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ или их сети — ст. 272 УК РФ (рис. 1);

Рис. 1. Рабочее место владельца персонального компьютера с возможностью подключения к сети

·          создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами – ст. 273 УКРФ (рис. 2);

 

Рис. 2. Внешний вид компьютера, на котором обнаружены вредоносные программы

·          нарушение правил эксплуатации ЭВМ или их сети лицом, имеющим доступ, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред — ст. 274 УК РФ;

 

·        Мошенничество в сфере компьютерной информации, то есть хищение чужого имущества или приобретение права на чужое имущество путем ввода, удаления, блокирования, модификации компьютерной информации либо иного вмешательства в функционирование средств хранения, обработки или передачи компьютерной информации или информационно-телекоммуникационных сетей — ст. 159.6 УК РФ.

 Методы, используемые при совершении преступлений, в сфере компьютерной информации

 ·          методы перехвата компьютерной информации через ТЛФ канал, подключение к сети, установка микрофона в ПК, осмотр корзин с мусором, деловой переписки;

·          методы несанкционированного доступа во время кратковременного отсутствия, минуя защиту в вечернее время;

·          метод манипуляции — подмена или изменение программ с помощью спецпрограмм — вирусов;

·          комплексные методы.

 

 Характеристика субъекта

 ·          возраст с 14 – 20 лет;

·          четкая организация по решению профессиональной задачи;

·          хаотическое поведение в быту;

·          неряшливый внешний вид: джинсы, свитер;

·          ночной образ жизни;

·          питание за ПК;

·          разбросанные диски, инструкции;

·          снят кожух ПК.

 

Мотивы и цели

 ·          хулиганские с целью попробовать свои силы;

·          корыстные и политические, характерно возраст более 21 года, высшее образование, повторность, скрытность;

·         негативное отношение с сослуживцами и руководством по месту работы;

·        демонстрация личных интеллектуальных способностей.

Поводы для возбуждения уголовного дела

 ·          получение заявления;

·          явка с повинной;

·          сообщение, полученное из иного источника, рапорт.

 

 Типичные ситуации

 ·          лицо – задержано;

·          способ совершения преступления известно, лицо не задержано;

·          преступный результат налицо — лицо неизвестно (рис. 34).

 

Следственно-оперативная группа

 ·         следователь;

·          участковый;

·          оперативный уполномоченный;

·          эксперт и специалист в области компьютерных технологий;

·          понятые со знанием ПК.

 

Проверка заявления

 ·          опрос граждан, установление свидетелей;

·          выезд и ОМП;

·           проверка данных по криминалистическим учетам.

 

 

 

Основание для возбуждения уголовного дела

 

Наличие достаточных данных, указывающих на признаки преступления, определенными ст. ст. 272, 273, 274, 159.6 УК РФ.

 

Рис. 3. Обстановка на момент осмотра в организации в ситуации, когда лицо, совершившее преступление неизвестно

 

 Обстоятельства, подлежащие доказыванию

 Установление причинно- следственной связи между несанкционированным проникновением в компьютер и наступившими последствиями, а также определение размера ущерба, розыск и задержание преступника, установление механизма преступления и личности преступника.

 


Вопрос 2. Программа расследования на первоначальном этапе

Первоначальный этап расследования

1.       Выдвигаются версии о личности преступника, способе совершения и размере ущерба.

2.       Выезд СОГ.

3.       Осмотр МП, при котором необходимо:

·     обеспечить внезапность;

·     удалить посторонних и оградить их доступ;

·     предусмотреть, чтобы не отключили электроэнергию;

·     принять меры, чтобы никто не прикасался к ПК;

·     при наличии удалить источники излучений и ЛВЖ;

·     оценить какая программа загружена, сфотографировать экран монитора;

·     в протоколе описать все положения тумблеров, разъемов, электронных ключей на задней стенке;

·     произвести упаковку в соответствии с требованиями.

4.       Осмотр носителей информации: дискеты, CD, DVD диски, Flash карты

При осмотре большого количества ПК создать СОГ в достаточном количестве с включением в группу служб силовых структур в присутствии представителя предприятия, организовать четкий инструктаж, определить средства поиска, изъятия и фиксации. Необходимо вести наблюдение за лицами, обращать на соответствие программ выполняемым служебным обязанностям, обратить внимание на наличие сети, модема, выделенной линии, систем защиты, антивирусных программ, систем экстренного стирания и т.п.

5.       Осмотр документации при этом установить внешний вид, реквизиты, от кого исходят, где хранятся.

6.       Выемка электронной почты совместно с ПК или в соответствии с выемкой почтово — ТЛГ корреспонденции.

7.       Допрос администратора сети по выяснению организации сети, где хранятся файлы, наличие паролей, интересующих следствие.

8.       Опрос граждан с целью выявления свидетелей и очевидцев.

9.       Проверка данных по криминалистическим учетам.

Вопрос 3. Тактические особенности проведения ОМП

Хотелось бы выделить также общие рекомендации, которые необходимо учитывать при исследовании компьютера на месте происшествия.

Можно выделить три основных направления. Первое – это изъятие средств компьютерной и периферийной техники, и машинных носителей информации. Второе -  изъятие информации, размещенной на сетевых информационных ресурсах. И третье – изъятие цифровых доказательств у сетевых посредников (провайдеров). Рассмотрим последовательно эти три направления, отмечая в основном те недостатки, которые сопутствуют этим процессам.

Перед началом обыска необходимо в первую очередь принять меры к предотвращению возможного повреждения или уничтожения информации. Кроме этого, в ходе подготовки к следственному действию необходимо заранее позаботиться о приглашении специалистов. Участие специалистов обязательно при проведении любых следственных действий, в ходе которых происходит сбор и фиксация компьютерной информации и средств компьютерной техники.

Не следует ограничиваться изъятием только средств компьютерной, и в случае необходимости, периферийной техники. Многие пользователи хранят копии своих файлов на переносимых машинных носителях для избежания их утраты при выходе компьютера из строя, в качестве архивных копий, либо ограничения доступа к ним посторонних лиц.

Если были получены сведения о том, что компьютеры соединены локальной сетью, следует установить местонахождение всех средств компьютерной техники, подключенных к этой сети. При этом проводить обыск надо одновременно во всех помещениях, где установлены компьютеры. К сожалению, это технически возможно далеко не всегда, тем более когда сегодня активно используются беспроводные технологии соединения компьютеров в единую сеть. Автор сталкивался с ситуацией, когда центральный сервер, связанный по радиоканалу с остальными компьютерами локальной сети, был установлен в соседнем здании в помещении совершенно посторонней фирмы.

Изъятию подлежат вся вычислительная техника и машинные  носители информации, находящиеся на момент следственных действий в обыскиваемом помещении независимо от их юридической принадлежности.

Приступая к осмотру компьютера, следователь и специалист, непосредственно производящий все действия на ЭВМ, должны придерживаться следующего:

• перед выключением компьютера необходимо по возможности закрыть все используемые на компьютере программы. Следует помнить о том, что некорректный выход с некоторых программ может вызвать уничтожение информации или испортить саму программу;

• принять меры по установлению пароля доступа к защищенным программам;

• при активном вмешательстве сотрудников предприятия, стремящихся противодействовать следственной группе, необходимо отключить электропитание всех компьютеров на объекте, опечатать их и изъять вместе с магнитными носителями для исследования информации в лабораторных условиях;

• в случае необходимости консультаций персонала предприятия, получать их следует у разных лиц путем опрашивания или допроса. Подобный метод позволит получить максимально правдивую информацию и избежать умышленного вреда;

• при изъятии технических средств, целесообразно изымать не только системные блоки, но и дополнительные периферийные устройства (принтеры, стримеры, модемы, сканеры и т.п.);

• при наличии локальной вычислительной сети необходимо иметь нужное количество специалистов для дополнительного исследования информационной сети;

• изымать все компьютеры (системные блоки) и магнитные носители;

• тщательно осмотреть документацию, обращая внимание на рабочие записи операторов ЭВМ, ибо часто именно в этих записях неопытных пользователей можно обнаружить коды, пароли и другую полезную информацию;

• составить список всех внештатных и временных работников организации (предприятия) с целью выявления программистов и других специалистов в области информационных технологий, работающих в данном учреждении. Желательно установить их паспортные данные, адреса и места постоянной работы;

• записать данные всех лиц, находящихся в помещении на момент появления следственной группы, независимо от объяснения причин их пребывания в данном помещении;

• составить список всех сотрудников предприятия, имеющих доступ к компьютерной технике либо часто пребывающих в помещении, где находятся ЭВМ.

Если возможен непосредственный доступ к компьютеру и исключены все нежелательные ситуации, приступают к осмотру.  Причем следователь и специалист должны четко объяснять все свои действия понятым.

При осмотре должны быть установлены:

• конфигурация компьютера с четким и подробным описанием всех устройств;

• номера моделей и серийные номера каждого из устройств;

• инвентарные номера, присваиваемые бухгалтерией при постановке оборудования на баланс предприятия;

• другая информация с фабричных ярлыков (на клавиатуре ярлык обычно находится на обратной стороне, а на мониторе и процессоре — сзади). Такая информация вносится в протокол осмотра вычислительной техники и может быть важной для следствия.

Фотографирование и маркирование элементов компьютерной системы.

Фотографирование и маркирование элементов компьютерной системы — важный первый шаг при подготовке системы к транспортировке. Документирование состояния системы на данном этапе необходимо для правильной сборки и подключения всех элементов системы в условиях лаборатории. При фотографировании следует исполнить снимки системы крупным планом ее передней и задней частей. Фотографирование и маркирование элементов изымаемой компьютерной системы дает возможность в точности воссоздать состояние компьютерной техники в лабораторных условиях исследования. Некоторое оборудование типа внешних модемов может иметь множество мелких переключателей, фиксирующих его состояние, которые при транспортировке могут быть изменены, что создаст дополнительные проблемы для эксперта.

В заключение необходимо подчеркнуть, что при проведении любых следственных действий, связанных с расследованием преступлений в сфере использования компьютерных технологий (особенно выемка информации и компьютерного оборудования) целесообразно с самого начала привлечение специалиста в области информационных технологий. До начала следственных действий следует также иметь определенную информацию, касающуюся: марки, модели, компьютера, операционной системы, периферийных устройств, средств связи и любые другие ведомости о системе, которая является объектом расследования. Целенаправленная деятельность следователя, оперативных работников, особенно на первичном этапе расследования, обеспечивает успех дальнейшего расследования компьютерных преступлений.

Вопрос 4. Программа расследования на последующем и завершающем этапах

 Последующий этап расследования

10.  Назначение и производство аппаратно-компьютерной, программно-компьютерной, информационно — компьютерной, компьютерно — криптографической, компьютерно — сетевой, КИВМИ, трасологической, дактилоскопической и других экспертиз.

11.  Установление и допрос новых свидетелей.

12.  Допрос свидетелей с выяснением кто имел доступ к ПК, какие лица могли им воспользоваться.

13.  Допрос подозреваемого.

14.  Обыск.

15.   Проверка показаний на месте

16.  Предъявление для опознания.

17.  Очная ставка.

18.  Следственный эксперимент.

 

 Завершающий этап расследования

19.  Предъявление обвинения.

20.  Допрос обвиняемого.

21.  Повторные и дополнительные экспертизы.

22.  Проведение СД и ОРМ в виду вновь открывшихся обстоятельств.

 

Вопрос 5. Назначение и производство судебной компьютерно-технической экспертизы

Основной процессуальной формой использования специальных познаний при расследовании преступлений, совершаемых с использованием компьютерных и телекоммуникационных технологий,  является судебная компьютерно-техническая экспертиза (СКТЭ). Этот род судебных экспертиз в России начал стихийно формироваться в середине 90-х годов при производстве отдельных уникальных экспертиз. Сегодня судебная компьютерно-техническая экспертиза – самостоятельный род судебных экспертиз, относящийся к классу инженерно-технических (по классификации Минюста РФ[1]).

В СКТЭ выделяются четыре подвида[2]:

-аппаратно-компьютерная экспертиза;

-программно-компьютерная экспертиза;

-информационно-компьютерная экспертиза (данных);

-компьютерно-сетевая экспертиза.



[1]Приказ Минюста РФ от 14 мая 2003 г. N 114 «Об утверждении Перечня родов (видов) экспертиз, выполняемых в государственных судебно-экспертных учреждениях Министерства юстиции Российской Федерации, и Перечня экспертных специальностей, по которым предоставляется право самостоятельного производства судебных экспертиз в государственных судебно-экспертных учреждениях Министерства юстиции Российской Федерации»

[2]Россинская Е.Р. Усов А.И. Классификация компьютерно-технической экспертизы и ее задачи // Уголовный процесс и криминалистика на рубеже веков.– М.: Академия управления МВД РФ, 2000.

Сущность аппаратно-компьютерной экспертизы заключается в проведении исследования технических (аппаратных) средств компьютерной системы. Предметом данного вида СКТЭ являются факты и обстоятельства, устанавливаемые на основе исследования закономерностей эксплуатации аппаратных средств компьютерной системы – материальных носителей информации о факте или событии уголовного либо гражданского дела.

Для проведения экспертного исследования программного обеспечения предназначен такой вид СКТЭ как программно-компьютерная экспертиза. Ее видовым предметом являются закономерности разработки (создания) и применения (использования) программного обеспечения средств микропроцессорной техники. Целью программно-компьютерной экспертизы является изучение функционального предназначения, характеристик и реализуемых требований, алгоритма и структурных особенностей, текущего состояния представленного на исследование программного обеспечения.

Информационно-компьютерная экспертиза (данных) является ключевым видом СКТЭ, так как позволяет завершить целостное построение доказательственной базы путем окончательного разрешения большинства диагностических и идентификационных вопросов в отношении информации на машинных носителях. Целью этого вида является поиск, обнаружение, анализ и оценка информации, подготовленной пользователем или порожденной (созданной) программами для организации информационных процессов в компьютерной системе.

Отдельный вид СКТЭ –компьютерно-сетевая экспертиза, в отличие от предыдущих основывается, прежде всего, на функциональном предназначении компьютерных средств, реализующих какую-либо сетевую информационную технологию. Поэтому исследование фактов и обстоятельств, связанных с использованием сетевых и телекоммуникационных технологий, по заданию следственных и судебных органов в целях установления истины по уголовному делу составляют видовой предмет компьютерно-сетевой экспертизы. Данный вид выделен в отдельный вид в связи с тем, что лишь использование специальных познаний в области сетевых технологий позволяет соединить воедино полученные объекты, сведения о них и эффективно решить поставленные экспертные задачи. Особое место в компьютерно-сетевой экспертизе занимают экспертные исследования по уголовным делам, связанным с Интернет-технологиями.

Известно, что среди основных задач, разрешаемых судебными экспертизами, можно выделить направленные на идентификацию объекта, т.е. отождествление объекта по его отображениям. Другая группа задач – диагностические – состоит в выявлении механизма события, времени, способа и последовательности действий, событий, явлений, причинных связей между ними, природы, качественных и количественных характеристик объектов, их свойств и признаков, не поддающихся непосредственному восприятию, и т. д.

Вопросы к теме №-12 Особенности расследования преступлений, совершенных посредством сети Интернет

  1. дайте определение термину компьютерная информация?
  2. Перечислите способы совершения преступлений, в сфере компьютерной информации?
  3. Каковы методы совершения преступлений, в сфере компьютерной информации?
  4. Перечислите основные мотивы и цели побуждающие людей на данный вид преступления?
  5. Каков будет портрет типичного нарушителя закона в этой сфере?
  6. Состав следственно-оперативной группы?
  7. Какие мероприятия включает в себя проверка заявления?
  8. Программа расследования на первоначальном этапе?
  9. Что является основанием для возбуждения уголовного дела?
  10. Каковы обстоятельства, подлежащие доказыванию причастности к преступлению?
  11. Что включает в себя последующий этап расследования?
  12. Завершающий этап расследования?
  13. Как расшифровать аббревиатуру СКТЭ?
  14. Что включает в себя данная экспертиза?

Кроссворд по теме 12. Расследование компьютерных преступлений

Нажмите, чтобы запустить кроссворд


Электронный учебник содержит краткую теорию и мультимедийный ресурс, включающий терминологические словари, презентации, видео- и аудиозаписи, задачи, расчетно-графические задания, тесты, кроссворды, флеш, контрольные вопросы и список используемой литературы. Большинство тем снабжено иллюстрационным материалом, что заметно повышает интерес обучающихся и процесс усвоения нового материала, в соответствии с компетенциями ООП ФГОС 3 поколения. Электронный учебник по результатам конкурса в номинации «Учебная книга» ITE Сибирская ярмарка Международной выставки «УчСиб — 2013″ награжден БОЛЬШОЙ ЗОЛОТОЙ МЕДАЛЬЮ. Электронный учебник предназначен для студентов, изучающих курсы «Криминалистика», «МРОВП», «КЭНЭПС» по специальности «Юриспруденция» и для студентов, изучающих курс «Правоведение» не юридических специальностей!!!
Сегодня 23 ноября 2017,  четверг Идет 13 учебная неделя