Воронов И.А.
Методика определения факта использования преступными группами
современных специальных средств в глобальной сети Интернет
История развития технического прогресса свидетельствует о том, что любая новация в этой сфере притягивает к себе лиц, пытающихся использовать ее в преступных целях, а перед правоохранительными органами встают новые задачи, которые требуют адекватного подхода и решения.
Получение правоохранительными органами информации, представляющей оперативный интерес, существенно влияет на процесс раскрытия или расследования преступлений. Полный объем сведений о криминальной деятельности лица не может быть получен только каким-нибудь одним из возможных способов доступа. Чем большими информационными возможностями будут обладать правоохранительные органы, тем больших успехов может быть достигнуто в борьбе, а главное, в предупреждении преступлений.
Правонарушителей всегда привлекала возможность оперативного обмена информацией. А с появлением персональных компьютеров и сети Internet стала реальной возможность пересылать информацию любого характера и объема на неограниченные расстояния, более тщательно скрывать следы преступной деятельности и действовать на расстоянии. Намечается тенденция к использованию информационных технологий организованными преступными группами и распространение их деятельности на межгосударственный уровень [1,3].
Как подчеркивают Э.А. Дидоренко, С.А. Кириченко и Б.Г. Розовский, в уголовном судопроизводстве исследованию подлежит любая информация, которая имеет доказательственное значение для раскрытия преступления и установления виновного, независимо от способа и формы ее получения, за исключением случаев, прямо запрещенных законом [2,5]. Электронная информация, находящаяся в компьютере, не является, на наш взгляд, исключением, если она свидетельствует о приготовлении, совершении или сокрытии преступления.
Поэтому появляется новое направление поиска информации в виде полученных и отправленных сообщений. “Современное состояние борьбы с преступностью, - отмечает В.Е. Коновалова, - требует разработки новых аспектов организации расследования, в том числе проведения отдельных процессуальных действий [3,3]”.
Чтобы действия сотрудников правоохранительных органов носили законный характер, в “ткань” уголовно-процессуального законодательства необходимо ввести норму – 1872, которая регламентировала бы “Доступ к ЭВМ, системе или компьютерной сети с целью копирования информации [2,20]”. Исходя из того, что понятие “информация” требует конкретизации, на наш взгляд, правильней была бы следующая формулировка – “Доступ к электронной информации, представляющей оперативный интерес”.
Таким образом, будут созданы правовые предпосылки для осуществления оперативно-розыскных мероприятий, направленных на получение интересующей информации. Актуальным является вопрос разработки специальной методики обнаружения и фиксации информации. В свою очередь, это требует и соответствующей специальной подготовки оперативных сотрудников в области компьютерных технологий, которая выступит гарантом наибольшей результативности.
Прием и получение необходимой информации, как в текстовом, так и в графическом виде требует применения специальных программных средств. Существует два вида программ, позволяющих осуществлять прием и отсылку необходимой информации. Первый вид программ представляет собой специальные оболочки, специально созданные для данной функции глобальной сети, например, Microsoft Outlook и Outlook Express. Ко второму виду относятся программы, встроенные в почтовые системы mail.ru, ukr.net, aport.ru, yandex.com и другие. Главное отличие между обозначенными видами программ заключается в том, что при использовании встроенных почтовых оболочек, отсутствует возможность непосредственного доступа к отправленным и полученным сообщениям. Поэтому при установлении факта использования лицом встроенных систем, необходимо выяснить провайдера, обеспечивающего телекоммуникационные услуги и обратиться к нему с целью получения необходимой информации. Для поиска электронных сообщений при наличии и использовании лицом Microsoft Outlook и Outlook Express, необходимо иметь представление о структуре и работе данных приложений и обладать навыками обнаружения исходящих или входящих сообщений, фиксировать адреса участников обмена информацией [4,8]. При выявлении факта удаления информации надо принять меры к ее восстановлению [5,55]. Для этого необходимо проверить так называемую “корзину” компьютера или использовать специальные утилиты. В юридической литературе высказывалось мнение о том, что следы преступлений в сфере использования компьютеров остаются, как правило, не в виде изменений внешней по отношению к электронным компонентам среды, а в виде сложных внутренних состояний и процессов [6, 206].
Следует учитывать, что обмен информацией криминального характера, несанкционированное подключение технически может осуществляться и при отсутствии телефонной линии и модема. Стала более актуальной передача данных с помощью мобильного телефона [7,65]. Поэтому отсутствие в помещении модема и телефонной линии не должно восприниматься как факт не использования преступниками Internet-соединения для обмена информацией или несанкционированного подключения. Для подключения к сети преступниками может использоваться мобильное оборудование (Рис. 1)
Рис. 1. Мобильное оборудование для оперативного подключения к сети. Ноутбук Toshiba Tecra и Nokia 5110 c проводным интерфейсом GSM Kit (слева) и Nokia 6210 с ИК-портом (справа).
Опираясь на сказанное, можно с уверенностью утверждать, что использование преступниками возможностей глобальной сети Интернет должно определенным образом отразиться на организации поиска и фиксации информации.
При этом всегда необходимо учитывать возможность архивирования данных, так как при этом информация может существенно уменьшиться в объеме и помещаться на гибкий магнитный носитель. Кроме того, чтобы искомая информация не была обнаружена правоохранительными органами, преступник осуществляет ее маскировку. Маскировка информационных массивов сводится к их архивированию в один файл с установкой пароля для обратного процесса, а затем производится замена расширения (Рис.2).
Архивирование информации производится с целью сокрытия значительного массива информации в одном файле. В настоящее время чаще всего используются архиваторы WinRAR, WinZIP и др. Соответственно, файлы, созданные данными программами, имеют расширение *.rar и *.zip. Функция программной оболочки Windows “Найти” обеспечивает надежный поиск файла, зная, как минимум, один символ из названия или расширение файла. Поэтому для эффективного сокрытия данных, пользователь компьютера меняет расширение файла *.rar на *.dll, *.asp или *.dat, которые являются служебными расширениями оболочки Windows. Целесообразность помещения модифицированного файла в директорию Windows заключается в том, что в ней находятся около семи тысяч файлов и двести папок, что существенно затруднит поиск, не зная ни его имени, ни его расширения. Но это не означает безвыходную ситуацию. Существует хоть и трудоемкий, но простой по логике способ – использование утилиты FAR для “просмотра” каждого файла в отдельности. Таким образом, через некоторый промежуток времени обнаружится искомый “скрытый” файл. Перспективным является направление создания специальных поисковых программ, которые значительно повышали бы эффективность и скорость проведения осмотра.
Использование компьютерных технологий в преступных целях кардинально влияет на некоторые аспекты деятельности органов внутренних дел, видоизменяя традиционные представления о методах достижения ее конкретных целей. Известный русский ученый, доктор юридических наук Овчинский С.С., одним из первых развил новую категорию - “компьютерная разведка”. Ввиду недостаточной изученности данного вопроса, она не нашла должного отображения в специальной или научной литературе [8, 367]. Учитывая изложенное, можно отметить, что методика определения факта использования преступниками современных технических средств обмена информацией, представляющей оперативный интерес, является важной в научно-практическом плане категорией, которая требует дальнейшей разработки.
Литература:
1. Козлов В.Е. Теория и практика борьбы с компьютерной преступностью.- М.: Горячая линия-Телеком, 2002.- С. 3.
2. Процесуальна регламентація оперативно-розшукової діяльності потребує завершення: Наукова доповідь /Авт. кол.: Е.О. Дідоренко, С.О. Кириченко, Б.Г.Розовський.-Луганськ: РВВ ЛАВС, 2002.- С.5.
3. Коновалова В.Е. Допрос: тактика и психология. – Харьков, 1999. – С. 3.
4. См.: Глушаков С.В., Ломотько Д.В., Мельников И.В. Работа в сети Internet: Учебный курс. Киев, 2000. – C8.
5. См.: Андреев Б.В., Пак П.Н., Хорст В.П. Расследование преступлений в сфере компьютерной информации. М.: ООО “Юрлитинформ”, 2001. - С. 55.
6. Воронов И.А. Понятие и классификация следов преступлений в сфере использования компьютеров // Вісник Луганської академії внутрішніх справ МВС імені 10-річчя незалежності України. – 2002. – №3. – С.206.
7. См.: Сайко В. Как передать файлы с помощью мобильного офиса // Компьютеры + программы, 2001-№9 –С.65.
8. См.: Овчинский С.С. Оперативно-розыскная информация. - М.: ИНФРА-М, 2000.-С.367.
Copyright © Центр исследования проблем компьютерной преступности, 2001-2002 Все права защищены.
При публикации информации взятой в нашем каталоге ссылка на http://www.crime-research.org обязательна. |