Наталья Ахтырская,
кандидат юридических наук, доцент
Crime-research.org
Типичные следственные ситуации и экспертные пути их разрешения
Преступления расследуются в конкретных условиях времени, места, окружающей его среды, взаимосвязях с другими процессами объективной деятельности, поведением лиц, оказавшихся в сфере уголовного судопроизводства, и под влиянием иных, порой остающихся неизвестными для следователя факторов. Эта сложная система взаимосвязей в итоге образует ту конкретную обстановку, в которой работает следователь и иные субъекты, участвующие в доказывании и в которой протекает конкретный акт расследования. Такая обстановка получила в криминалистике общее название следственной ситуации.
Следственная ситуация образует в своей совокупности динамическую систему, постоянно изменяющуюся под воздействием объективных и субъективных факторов. Объективные факторы – это те, не зависящие от участников расследования причины, которые вызывают изменения ситуации; субъективные факторы, порождаемые действиями и поведением участников расследования и иных лиц, оказавшихся в той или иной степени втянутыми в сферу судопроизводства.
Анализ практики раскрытия и расследования преступлений, сопряженных с использованием компьютерных средств, показал, что типичные исходные следственные ситуации существенным образом зависят от обстоятельств, подлежащих установлению и доказыванию. Руководствуясь этим принципом, можно выделить следующие группы следственных ситуаций.
Первая группа – объединяет преступления, предметом которых являются компьютерные средства. Типичными экспертными задачами здесь является как комплексное диагностирование компьютерной системы, так и раздельное исследование аппаратного, программного и информационного обеспечения. Примером служит установление ряда фактов и обстоятельств, сопровождающих: 1) действия, связанные с неправомерным доступом к данным и совершаемые в отношении компьютерной информации, находящейся в автономных компьютерах и компьютерных сетях; 2) действия, совершаемые в отношении компьютерной информации во встроенных и интегрированных компьютерных средствах (кассовые аппараты, мобильные телефоны, кредитные карточки).
Вторая группа - компьютерные средства выступают одновременно предметом и средством совершения преступления. Экспертными задачами являются: выявление и исследование функций программного обеспечения, диагностирование алгоритмов и фактического состояния программ. Примером является выявление фактов и обстоятельств по действиям, связанным с изготовлением и распространением вредоносных программ.
Третья группа – объединяет следственные ситуации, где компьютерные средства выступают как средства совершения и (или) сокрытия преступления. Экспертными задачами, и в первую очередь, здесь являются диагностирование программного обеспечения, установление свойств и состояния информационного обеспечения (данных). Характерные примеры экспертных исследований связаны с раскрытием и расследованием преступлений, для совершения и сокрытия которых использовались компьютерные средства (мошенничество, фальшивомонетничество, лжепредпринимательство и др.).
Четвертая группа – следственные ситуации, где компьютерные средства выступают источником криминалистически значимой информации. Основными экспертными задачами при этом являются: диагностирование компьютерной информации, изучение ее первоначального состояния, хронологии воздействий на нее. Типичные примеры здесь связаны с установлением фактов и обстоятельств по преступлениям, где компьютерные средства напрямую не использовались для их совершения, а выступали лишь как носители данных, несущие криминалистически значимую информацию по делу.
Получение полных фактических данных об обстоятельствах, подлежащих установлению и доказыванию, реализация при этом принципов относимости и допустимости доказательств могут быть достигнуты лишь в результате всестороннего экспертного исследования компьютерных средств – аппаратных, программных и информационных объектов. Таковой судебной экспертизой, организационное и методическое становление которой происходит в настоящее время, нам представляется компьютерно-техническая экспертиза.
Каким же образом происходит установление фактов и обстоятельств неправомерного доступа к компьютерной информации в персональных компьютерах и вычислительных сетях?
Модельные ситуации:
Ситуация 1. Два сотрудника одной из депозитных компаний объединились в преступную группу с целью хищения ценных акций крупного акционерного общества со счетов физических лиц. Для этого преступники осуществили несанкционированный доступ к программному обеспечению компьютерной сети компании, обеспечивающей учет количества акционеров и принадлежащих им акций. Путем неправомерных манипуляций (ввода информации о наличии на счетах физических лиц отрицательного количества акций) сообщники модифицировали в базе данных счета, на которые списывались акции данного общества. Затем похищенные и фиктивные акции преступники переводили на новые счета в другие депозитарные учреждения и реализовывали в продажу. Исследования сервера компьютерной сети и базы данных с учетной информацией об акциях на счетах физических лиц позволили установить следы несанкционированных изменений в файлах базы данных, а именно – неправомерное изменение количества акций на счетах акционеров, ввод отрицательных счетов и др.
Ситуация 2. В акционерное общество «Городская телефонная сеть» поступил ряд жалоб от клиентов, пользующихся услугами сети Интернет на завышенные суммы оплат. В ходе предварительного расследования и оперативно-розыскной деятельности было установлено, что под реквизитами одной из городских газет вход в сеть Интернет осуществлял гр. С. С телефона № …, зарегистрированного на конкретное ЗАО. В ходе обыска по месту жительства гр. С. были изъяты компакт-диски и системный блок персонального компьютера. Для ответа на вопрос: «Содержится ли на винчестере компьютера информация об осуществлении удаленного доступа к компьютерной системе? Если «да», то каково содержание протоколов соединений?» - экспертом был осуществлен поиск ключевых слов стандартных протоколов удаленного доступа к сети в содержимом файлов, имеющихся на винчестере компьютера. В результате поиска были обнаружены файлы, представляющие собой протоколы соединений удаленного доступа в сети, произведенных посредством модема. Данные файлы содержали информацию о дате, времени установления соединения, номерах телефонов для связи, скорости соединения и количестве полученной и отправленной информации. Изучение выявленной информации позволило доказать причастность подозреваемого гр. С. к осуществлению доступа к сети Интернет за счет официально зарегистрированных пользователей. Экспертное исследование компакт-дисков установило наличие на них программ, обеспечивающих подбор и взлом имен пользователей и паролей доступа в сеть Интернет.
Установление фактов и обстоятельств неправомерного доступа к компьютерной информации во встроенных и интегрированных компьютерных средствах связано с исследованием пейджеров, мобильных телефонов и т.п. (интегрированные системы), а также контрольно-кассовых аппаратов, иммобилайзеров, круиз-конролеров (встроенные системы на основе микропроцессорных контроллеров) на предмет неправомерных действий с компьютерной информацией, находящейся в указанных объектах.
Модельные ситуации:
Ситуация 1. Гражданин М. приобрел несколько сотовых аппаратов и модифицировал их микропроцессорами со специальной программой, позволяющими при монтаже в данные телефоны получить аппараты с возможностью неправомерного доступа к компьютерной информации компании сотовой связи, копирования личных и абонентских номеров законных пользователей компании. После данного переоборудования гр. М. с сообщником скопировал 60 номеров законных пользователей одной известной компании сотовой телефонной связи. Затем, извлекая незаконную выгоду, гр. М. неоднократно получал доступ к данным указанной компании, без оплаты осуществлял переговоры лично и предоставлял такую возможность третьим лицам. В ходе следственных мероприятий был изъят ряд технических устройств. Объектами экспертизы явились как непосредственно сотовые телефоны с возможностью автосканирования, сотовые кэш-боксы (комбинации сканера, компьютера и сотового телефона), так и персональные компьютеры, в которых эксперты выявили сведения об украденных индивидуальных номер ах, монтажные схемы переоборудования мобильных телефонов, инструкции по вводу/выводу из электронной записной книжки сотового телефона индивидуальных номеров пользователей. Результаты экспертизы имели большое значение при предъявлении обвинения подозреваемым лицам.
Ситуация 2. По предварительному сговору работники одного частного предприятия (ИЧП) гр. Т.и гр. К. с целью сокрытия доходов от налогообложения ежедневно с 17 до 19 часов в торговых палатках предприятия подключали в специальные гнезда контрольно-кассовых аппаратов (ККА) самодельный прибор, изготовленный в виде микрокомпьютера. С его помощью осуществлялся доступ к данным о проведении через ККА финансовых операций в течение текущей смены. Экспертное исследование самодельного прибора выявило, что при подключении прибора к буферной памяти ККА уничтожалась вся информация о предшествующих финансовых операциях, в том числе - о номере покупки и общей сумме выручки за текущую смену. После проведения подобной манипуляции торговые точки данного ИЧП продолжали свою работу, накапливая информацию в буферной памяти о производимых финансовых операциях до 21 часа. После чего в фискальную память аппаратов заносились заниженные данные о сумме выручки за смену. Результаты экспертизы установили принцип действия самодельного прибор а. Он заключался в том, что микропроцессор прибора по последовательному интерфейсу посылает однокристальной ЭВМ блока управления ККА команду на «обнуление» областей оперативного запоминающего устройства, в которых хранятся все денежные и операционные регистры ККА, а также оперативная информация текущей смены. Таким образом, выводы эксперта позволили доказать факт совершения неправомерного доступа к охраняемой законом компьютерной информации фискального назначения в ККА.
Модельными ситуациями выявления признаков создания, использования и распространения вредоносных программ могут быть следующие: 1.Наиболее типичная ситуация связана с выявлением на компьютерных компакт-дисках признаков наличия вредоносных программ, приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ и т.п. Указанные диски распространяются путем продажи на радиорынках или частным образом. Так, в одном из подземных переходов города при продаже компакт-дисков с названием «99 Hacker Pro» был задержан гр. П. При проведении расследования по месту его жительства были изъяты еще несколько компакт-дисков с надписью «Супер Хакер», «Халявный доступ в Интернет», а также персональный компьютер с устройством записи CD-RW на компакт-диски (CD-R). Экспертиза указанных компакт-дисков выявила наличие в них целой библиотеки вирусов-троянов, осуществляющих несанкционированный доступ к служебным областям жестких дисков компьютеров и производящих низкоуровневую перезапись секторов винчестера, порчу параметров CMOS-памяти и т.п. Изучение возможностей изготовления CD-R установило идентичность изъятого устройства записи CD-RW и устройства, с помощью которого были изготовлены указанные диски. В следственной и экспертной практике находят также свое отражение ситуации, связанные с распространением вирусов в вычислительных сетях. Гражданин Ф., используя свой домашний компьютер и модем, а также соответствующее программное обеспечение по работе с электронной доской объявлений и организации обмена данных с удаленными пользователями, через городскую телефонную сеть распространял вирусы, предварительно скопированные из сети Интернет. Указанные файлы помещались в доске объявлений под видом уникальных сервисных утилит, патчей к известным программам. Судебная экспертиза изъятых у подозреваемого компьютерных средств позволила установить факты и обстоятельства создания и распространения вирусных программ. В ходе всесторонней экспертизы было восстановлено множество файлов на исследу емом компьютере, которые преступник в спешке пытался уничтожить путем физического разрушения жесткого диска компьютера. Технически грамотно подготовленные материалы следствия, в том числе и результаты экспертизы, позволили изобличить преступника и привлечь его к уголовной ответственности.
Ситуация 2. К вредоносным программам в настоящее время относят и эмуляторы электронных ключей. Экспертные ситуации, обусловленные необходимостью исследования подобных программ, имеют место при диагностике взломов парольной защиты лицензионного программного обеспечения. Гражданин Н. незаконно получил исходные данные для создания программного эквивалента кодового ключа типа «HASP», который является основным элементом защиты ряда авторских компьютерных программ при преобразовании демонстрационных версий в полнофункциональные. Используя эти данные, гр. Н. реализовал программу, состоящую из файлов с исполняемым кодом, запуск которой привел к несанкционированной модификации исполняемого кода известной программы бухгалтерского учета. В результате этого программа стала работать в не предусмотренном правообладателем полнофункциональном режиме рабочей версии – без подключения электронного кодового ключа. Экспертиза выявила факты и обстоятельства использования вредоносных функций обследуемого объекта – программы эмулято ра. Результаты экспертизы впоследствии были положены в основу предъявления обвинений подозреваемому лицу.
Можно выделить типичные ситуации, связанные с раскрытием и расследованием преступлений, средством совершения которых является компьютерная техника. Настоящая группа ситуаций обусловлена преступлениями ряда категорий, не связанных впрямую с формулировками ст., но для совершения и (или) сокрытия которых непосредственно использовалась компьютерная информация (мошенничество, фальшивомонетничество, лжепредпринимательство и др.).
Модельная ситуация:
По факту мошенничества в отношении организованной группы подозреваемых было возбуждено уголовное дело, обстоятельства которого связаны с проведением компьютерного аттракциона на одном из городских рынков. На рынке были изъяты три компьютера и направлены на экспертизу. В постановлении о назначении экспертизы был сформулирован вопрос: «Имеется ли в алгоритмах игровых программ на представленных компьютерах возможность получения заведомо определенного результата; если да, то каким образом это происходит?». В ходе экспертизы программного обеспечения эксперт выполнил дисассемблирование исполнимого кода игровой программы и в среде программного отладчика реализовал ее пошаговое исполнение. Признаками диагностирования явились различные программные прерывания, организующие интерфейс работы с конкретными устройствами и портами ввода/вывода, использование определенных диапазонов адресов. На основе анализа алгоритма программы и особенностей ее функционирования эксперт дал положительный категорический ответ о фальсификации результатов игрового аттракциона: варианты окончания игры задавались при старте программы путем определенного использования клавиатуры и вспомогательного устройства (манипулятора – мыши компьютеров). Грамотно проведенное экспертное исследование позволило изобличить преступников.
Заслуживают внимания модельные ситуации установления фактов и обстоятельств по преступлениям, где компьютерные средства выступают как источники доказательственной информации.
Ситуация 1. По факту убийства гр. М. в ходе следственных мероприятий по месту его работы, в рабочем кабинете, был изъят персональный компьютер. С целью выявления фактов и обстоятельств по данному уголовному делу была назначена компьютерно-техническая экспертиза, на разрешение которой был вынесен вопрос: «Какая информация имеется на представленном компьютере о деятельности гр. М. и его связях в период с 00.00.00. по момент его изъятия?». Помимо обнаружения на жестком диске компьютера стандартного системного прикладного обеспечения, на нем было выявлено наличие программы Outlook Express - почтового клиента Интернета, производящего обмен почтовыми сообщениями между пользователями Интернета, и программы ICQ, обеспечивающей общение в режиме реального времени нескольких пользователей Интернета. В ходе экспертного исследования был получен доступ к полученным и отправленным сообщениям программы Outlook, а также к архиву переговоров, адресам, записанным в адресной книге программы ICQ. Полученная информация содержала о бширные данные о контактах убитого относительно его частнопредпринимательской деятельности, организации неправомерных коммерческих сделок, данные личного характера, которые и вывели, в конечном итоге, на убийц гр. М.
Ситуация 2. При совершении разбойного нападения на частного предпринимателя гр. С. был задержан один из преступников. При осмотре места происшествия на обочине была обнаружена и изъята электронная записная книжка–органайзер. Задержанный от каких-либо показаний отказался, поэтому для установления его возможных связей была назначена компьютерно-техническая экспертиза органайзера. Информация в электронной книжке оказалась защищенной паролем. В данной экспертной ситуации существовало три пути разрешения возникшей проблемы. Первый путь – использование аппаратно-программного комплекса экспертных исследований органайзеров; однако данными инструментальными средствами в настоящее время отечественные эксперты пока не располагают. Второй путь – отключение питания, но при этом достаточно велика вероятность потери всех данных. Третий путь – подбор пароля. Предпочтение было отдано последнему варианту, и пароль, в конечном итоге, был найден. Этому способствовало изучение данных о задержанном лице. Паролем оказалась буквенн о-цифровая комбинация, составляющая дату рождения и инициалы владельца книжки. В результате экспертизы были установлены связи задержанного (номера телефонов, каналы связи и т.д.), была выявлена организованная преступная группировка из 11 человек. В дальнейшем это сыграло решающую роль в раскрытии и расследовании свыше 20 тяжких и особо тяжких преступлений, совершенных на территории области [1].
По мнению автора, важную роль в расследовании компьютерных преступлений является своевременное и достоверное получение доказательственной и розыскной информации. Такая информация может быть получена в результате назначения и производства различных экспертиз. Особую значимость имеет компьютерно-техническая экспертиза, которая способствует решению основных розыскных задач: установление факта тождества между разыскиваемым и обнаруженным компьютерным оборудованием; установление факта нахождения искомой компьютерной информации на представленных на экспертизу технических носителях; получение розыскной информации о профессиональных качествах преступника и др.
1. Вещественные доказательства. Под ред В.Я.Колдина. – М., НОРМА, 2002. – С.642-646.