Голубєв В.О., Хряпінський П.В.
ОСОБЛИВОСТІ ПРОВЕДЕННЯ СЛІДЧИХ ДІЙ НА ПОЧАТКОВОМУ ЕТАПІ РОЗСЛІДУВАННЯ КОМП'ЮТЕРНИХ ЗЛОЧИНІВ
Як визначено у Розділі ХVI нового Кримінального кодексу України комп’ютерний злочин – це протиправне використання електронно-обчислювальних машин (комп’ютерів), систем та комп’ютерних мереж, незаконне втручання в їх роботу (Ст.361) , викрадення, привласнення, вимагання комп’ютерної інформації або заволодіння нею шляхом шахрайства чи зловживання службовим становищем (Ст.362), порушення правил експлуатації автоматизованих електронно-обчислювальних систем (Ст.363) [1].
Але як відомо, у кримінальному праві та криміналістиці вид злочину називають не за засобом (знаряддям) вчинення злочину, а за видом злочинної діяльності (вбивство, крадіжка, шахрайство). Тому для назви комп'ютерних злочинів більш коректним, на мій погляд, буде термін – злочини у сфері використання електронно-обчислювальних машин (комп’ютерів), систем та комп’ютерних мереж.
Тому подальше вживання для спрощення терміну "комп’ютерний злочин" та "комп’ютерна злочинність" треба розглядати з урахуванням роз’яснення даної дефініції з точки зору кримінального права
Результати аналізу практичної діяльності правоохоронних органів щодо розслідування комп’ютерних злочинів свідчать, що дослідження комп'ютерної техніки доцільно проводити в умовах криміналістичної лабораторії, де цю роботу виконують фахівці з необхідною професійною підготовкою.
Докази, що пов’язані з комп’ютерними злочинами, які вилучені з місця події, можуть бути легко змінені, як у результаті помилок при їх вилученні, так і в процесі самого їх дослідження. Представлення таких доказів для використання в судовому процесі вимагають спеціальних знань і відповідної підготовки. Тут не можна недооцінювати роль експертизи, що могла б дати кваліфікований висновок щодо поставлених слідством питань.
Однак експертиза вимагає деякого часу не тільки на її виробництво, але і на пошук відповідних фахівців, а при вилученні комп'ютерної техніки часто важливим фактором, що дозволяє зберегти необхідну доказову інформацію, є раптовість та оперативність. Саме тому вилучення комп'ютерів і інформації приходиться проводити тими силами, що у даний момент проводять слідчі дії. У цьому випадку слідчий саме і не застрахований від помилок, обумовлених недостатністю знань, що пізніше спритно використовується захистом у суді.
Поставлена проблема має два аспекти: загальні помилки, що допускаються співробітниками правоохоронних органів при розслідуванні злочинів, пов'язаних з комп'ютерами, і захист інформації, установлюваний на комп'ютерах їх безпосередніми користувачами.
Як відомо виявлення, огляд і вилучення комп’ютерної інформації, як і самих комп’ютерів у ході слідчих дій можуть здійснюватися не тільки при слідчому огляді (ст.190 КПК), але і при проведенні інших слідчих дій: обшуку (ст.178 КПК), виїмкі (ст.179 КПК), відтворенні обстановки та обставин події (ст.194 КПК) [2].
Розглянемо деякі типові помилки, які часто вчиняються при проведенні слідчих дій у відношенні до комп'ютерної інформації або самих комп’ютерів. Можна виділити деякі правила роботи з комп'ютерами, вилученими при розслідуванні злочинів у сфері комп'ютерної інформації, а також запропонувати загальні рекомендації, що можуть бути корисні при обробці комп'ютерних доказів працюючими в операційних системах DOS чи Wіndows.
Помилка 1. Помилкова робота з комп'ютером.
Перше та основне правило, що неухильно повинне виконуватися, полягає в наступному: ніколи і ні при яких умовах не працювати на вилученому комп'ютері. Це правило припускає, що вилучений комп'ютер - насамперед об'єкт дослідження фахівців. Тому його бажано навіть не включати до передачі експертам, оскільки категорично заборонено виконувати будь-які програми на вилученому комп’ютері без вживання необхідних заходів безпеки (наприклад, захисту від модифікації або створення резервної копії). Якщо на комп'ютері встановлена система захисту на вході в нього (наприклад - пароль), то його включення може викликати знищення інформації, що знаходиться на жорсткому диску. Не допускається завантаження такого комп'ютера з використанням його власної операційної системи.
Така міра пояснюється досить просто: злочинцю не складає особливої труднощі установити на своєму комп’ютері програму для знищення інформації на жорсткому чи гнучкому магнітному диску, записавши таки “пастки” через модифікацію операційної системи. Наприклад, проста команда DIR, яка використовується для відображення каталогу диска, може легко бути змінена, щоб відформовувати жорсткий диск.
Після того як дані і сама руйнуюча програма, знищені, ніхто не зможе вірогідно сказати, чи був "підозрюваний" комп'ютер спеціально оснащений такими програмами, чи це результат недбалості при дослідженні комп'ютерних доказів?
Помилка 2. Допуск до комп’ютеру власника (користувача) комп'ютера.
Серйозною помилкою є допуск до досліджуваного комп'ютера власника для допомоги при його експлуатації. У багатьох зарубіжних літературних джерелах описуються випадки, коли підозрюваний на допиті пов'язаному з комп'ютерними доказами, було надано доступ до вилученого комп’ютера. Пізніше вони розповідали своїм знайомим, як шифрували файли "прямо під носом у поліцейських", а ті при цьому навіть не догадувалися. Враховуючи таки наслідки, дуже швидко комп'ютерні фахівці стали робити резервні копії комп'ютерної інформації перш, ніж надавати доступ до них.
Інша проблема пов’язана з можливістю спростувати у суді ідентичність пред’явленого на процесі програмного забезпечення тому, що знаходилося в даному комп'ютері на момент вилучення. Щоб уникнути таких ситуацій комп'ютер треба, не включаючи опечатати у присутності понятих. Якщо ж співробітник правоохоронних органів приймає рішення оглянути комп'ютер на місці, перше, що варто зробити це зняти копію з жорсткого магнітного диску і будь-якої дискети, що буде вилучатися як речовинний доказ. Це означає, що до проведення будь-яких операцій з комп'ютером необхідно зафіксувати його стан на момент проведення слідчих дій.
Помилка 3. Відсутність перевірки комп'ютера на наявність вірусів і програмних закладок.
Для перевірки комп’ютера на наявність вірусів і програмних закладок, необхідно завантаження комп’ютера не з операційною системи яка знаходиться на ньому, а з своєї заздалегідь підготовленої дискети, або з стендового жорсткого диску. Перевірці підлягають усі носії інформації – дискети, жорсткий диск та інші носії. Цю роботу варто робити залученому для участі в слідчих діях фахівцю, за допомогою спеціального програмного забезпечення.
Не можна допустити, щоб у суді з’явилася можливість обвинуватити слідство у навмисному зараженні комп'ютера вірусами, чи у некомпетентності при проведенні слідчих дій або просто в недбалості, оскільки довести, що вірус був у комп'ютері до початку дослідження, навряд чи можливо, а подібне обвинувачення поставить під сумніви всю. працю експерта та вірогідність його висновків.
Такі найбільш типові помилки, що часто зустрічаються при дослідженні комп'ютера у справах пов’язаних з розслідуванням комп’ютерних злочинів. Однак розглянутий перелік не охоплює всіх помилок, що виникають у процесі вилучення і дослідження комп'ютерної інформації. Цьому легко знайти пояснення: відсутність достатнього досвіду в подібних справ у нашій країні. У той же час у країнах Західної Європи і, особливо, США є вже досить багатий досвід щодо розслідування складних комп'ютерних злочинів. Варто більш ретельно його вивчати, що дозволить уникнути багатьох помилок.
Для запобігання помилок при проведенні слідчих дій на початковому етапі розслідування, які можуть привести до втрати чи руйнуванню комп’ютерної інформації, потрібно дотримуватися деяких запобіжних заходів:
Рекомендація 1. В першу чергу треба виконати резервне копіювання інформації.
При обшуках і виїмках, пов’язаних з вилученням комп’ютера, магнітних носіїв і інформації виникає ряд загальних проблем, пов’язаних зі специфікою технічних засобів, що вилучаються. Так, необхідно передбачати заходи безпеки, що здійснюються злочинцями з метою знищення комп’ютерної інформації. Наприклад, вони можуть використати спеціальне обладнання, в критичних випадках утворююче сильне магнітне поле, що стирає магнітні записи.
Протягом обшуку усі електронні докази, які знаходяться у комп’ютері чи комп’ютерній системі повинні бути зібрані таким шляхом, щоб вони потім були признані судом. Світова практика свідчить, що у великій кількості випадків під тиском представників захисту у суді електронні докази не приймаються до уваги. Для того, щоб гарантувати їх визнання у якості доказів, необхідно суворо дотримуватися вимог кримінально-процесуального законодавства, а також стандартизованих прийомів та методик їх вилучення.
Звичайно комп’ютерні докази зберігаються шляхом створення точної копії з оригіналу (первісного доказу), перш ніж виконується будь-який їх аналіз. Але робити копії комп'ютерних файлів, використовуючи тільки стандартні програми резервного копіювання, недостатньо. Речові докази можуть існувати у формі знищених або прихованих файлів, а дані, зв'язані з цими файлами, можна зберегти тільки за допомогою спеціального програмного забезпечення, у найпростішому виді це можуть бути програми типу - SafeBack; а для гнучких дискет буває досить програми DOS Dіskcopy.
Магнітні носії, на які передбачається копіювати інформацію, повинні бути зазделегідь підготовлені (необхідно впевнитись, що на них нема ніякої інформації).Носії потрібно зберігати у спеціальних упаковках або загортати у чистий папір. Слід пам‘ятати, що інформація може бути зіпсована вологістю, температурним впливом або електростатичними (магнітними) полями.
Рекомендація 2. Знайти і виконати копіювання тимчасових файлів.
Багато текстових редакторів і програм управління базами даних створюють тимчасові файли як побічний продукт нормальної роботи програмного забезпечення. Більшість користувачів комп'ютера не усвідомить важливості створення цих файлів, тому що вони звичайно знищуються програмою наприкінці сеансу роботи. Однак дані, що містяться усередині цих знищених файлів, можуть виявитися найбільш корисними. Особливо якщо вихідний файл був шифрований чи документ підготовки текстів був надрукований, але ніколи не зберігався на диску, такі файли можуть бути відновлені.
Рекомендація 3. Треба обов’язково перевірити Swap Fіle.
Популярність Mіcrosoft Wіndows принесла деякі додаткові засоби, щодо дослідження комп'ютерної інформації. Swap Fіle працюють як дискова пам’ять або величезна база даних, і багато різних тимчасових фрагментів інформації, або навіть весь текст документу може бути знайдено у цьому Swap файлі.
Рекомендація 4. Необхідно порівнювати дублі текстових документів.
Часто дублі текстових файлів можна знайти на жорсткому або гнучкому магнітному диску. Це можуть бути незначні зміни між версіями одного документу, які можуть мати доказову цінність. Ці розходження можна легко ідентифікувати за допомогою найбільш сучасних текстових редакторів.
На закінчення хотілося би виділити загальні рекомендації, які необхідно враховувати при дослідженні комп’ютера на місці події.
Приступаючи до огляду комп'ютера, слідчий і фахівець, що безпосередньо робить усі дії на ЕОМ, повинні дотримувати наступного:
· перед вимиканням комп’ютера потрібно по можливості закрити усі використовувані на комп'ютері програми. Треба пам’ятати, що некоректний вихід з деяких програм може викликати знищення інформації або зіпсувати саму програму;
· необхідно прийняти заходи щодо встановлення пароля доступу у захищені програми;
· при активному втручанні співробітників підприємства, які намагаються протидіяти слідчій групі, потрібно відключити електроживлення всіх комп'ютерів на об'єкті, опечатати їх і вилучити разом з магнітними носіями для дослідження інформації в лабораторних умовах;
· при необхідності консультацій у персоналу підприємства, варто одержувати їх у різних осіб шляхом опитування чи допиту. Такий метод дозволить одержати максимально правдиву інформацію та уникнути навмисної шкоди;
· при вилученні технічних засобів, доцільно вилучати не тільки системні блоки, але й додаткові периферійні пристрої (принтери, стрімери, модеми, сканери тощо);
· при наявності локальної обчислювальної мережі необхідно мати потрібну кількість фахівців для додаткового дослідження інформаційної мережі;
· вилучати усі комп'ютери (системні блоки) і магнітні носії;
· потрібен ретельний огляд документації, звертаючи особливу увагу на робочі записи операторів ЕОМ, тому що часто саме в цих записах недосвідчених користувачів можна знайти коди, паролі й іншу дуже корисну інформацію;
· варто скласти список усіх позаштатних і тимчасово працюючих фахівців організації (підприємства) з метою виявлення програмістів і інших фахівців галузі інформаційних технологій, що працюють у даній установі. Бажано установити їх паспортні дані, адреси і місце постійної роботи;
· потрібно записати дані всіх людей, що знаходяться у приміщенні в момент приходу слідчої групи, незалежно від пояснення причини перебування їх у даному; приміщенні;
· варто скласти список усіх співробітників підприємства, що мають доступ до комп'ютерної техніки або часто перебувають у приміщення, де знаходяться ЕОМ.
Якщо безпосередній доступ до комп'ютера можливий і всі небажані ситуації виключені, приступають до огляду, причому слідчий і фахівець повинні чітко пояснювати всі свої дії понятим.
При огляді повинні бути встановлені:
· конфігурація комп’ютера з чітким описом усіх пристроїв;
· номера моделей і серійні номери кожного з пристроїв;
· інвентарні номери, що привласнюються бухгалтерією при постановці обладнання на баланс підприємства;
· інша інформація з фабричних ярликів (на клавіатурі ярлик звичайно знаходиться на зворотній стороні, а на моніторі і процесорі - на задній). Така інформація, заноситься до протоколу огляду обчислювальної техніки і може виявитися важливої для слідства.
Рекомендація 5. Треба перевірити і проаналізувати роботу комп’ютерної мережі.
Комп‘ютери можуть бути зв’язані між собою в комп‘ютерну мережу (наприклад, локальну), котрі в свою чергу можуть бути з’єднані через глобальні комп‘ютерні мережі (наприклад Internet). Тому не виключена ситуація, коли певна інформація (яка може бути використана як доказ) буде передана через мережу в інше місце. Не виключений також випадок, що це місце буде знаходиться за кордоном або на території декілька країн. В такому разі необхідно використати всі можливості (документацію, опитування, технічні можливості системи) для встановлення місцезнаходження іншої комп’ютерної системи, куди була передана інформація. Як тільки це буде зроблено, необхідно терміново надіслати запит, з виконанням встановлених вимог, про надання допомоги (або правової допомоги, якщо така необхідна для виконання поставлених у запиті питань) у компетентний правоохоронний орган відповідної країни (по встановленим офіційним каналам, наприклад Інтерпол). Саме на цьому етапі виникають найбільші труднощі в організації роботи щодо розслідування злочину який вчиняється за допомогою комп‘ютерних технологій та кримінального переслідування злочинців.
Особливу цінність при розслідуванні у комп’ютерних мережах відіграють так звані “логі”, інформація яка міститься в лог- файлах (текстові файли). За допомогою отримання цієї інформації можливо визначити рахунок користувача, його ідентифікатор, час транзакції, мережений адрес, телефонний номер, а також з’ясувати що саме трапилось в системі, що було знищено, змінено, скопійовано, які ресурси були задіяні для цього [3].
“Логі” можуть збиратися в комп‘ютерних системах на різному рівні: операційній системі, спеціально встановленому програмним забезпеченні (наприклад програмний аудит безпеки), окремих модулях баз даних і навіть у деяких прикладних програмах. Фізично ця інформація може знаходиться в різних місцях, від робочої станції і серверу мережі до віддаленого серверу.
Як висновок, треба підкреслити, що будь які дії, пов’язані з розслідуванням злочинів у сфері використання комп’ютерних технологій (особливо вилучення інформації і комп’ютерного обладнання), доцільно з самого початку залучення фахівця у галузі інформаційних технологій. До початку слідчих дій необхідно також мати певну інформацію щодо: марки, моделі комп‘ютеру, операційної системи, периферійних пристроїв, засобів зв‘язку та будь-які інші відомості про систему, яка є об‘єктом розслідування.
Широке впровадження комп’ютерних технологій вимагає також певні зміни у кримінально-процесуальних нормах, що регламентують процедури в частині використання нових джерел доказів. У той же час перед правоохоронними органами відкриваються нові можливості використання інформаційних технологій, як технологічного приладдя у розслідуванні комп’ютерних злочинів.