На головну сторінку   Всі книги

з 3. Тактика окремих слідчих дій

- Залучення до розслідування фахівців. Специфікою справ даної категорії є те, що з самого початку розслідування слідчому необхідно щільно взаємодіяти з фахівцями в області інформаційних технологій.

Фахівці надто необхідні для участі в більшості первинних слідчих дій. Пошук таких фахівців потрібно провести на підприємствах і в установах, що здійснюють обслуговування і експлуатацію комп'ютерної і комунікаційної техніки, в учбових і науково-дослідних організаціях. У крайньому випадку можуть бути залучені співробітники організації, комп'ютери якої зазнали вторгнення (при встановленні їх непричетності до розсліджувати події). Велику допомогу в розслідуванні можуть надати фахівці зональних інформаційно-обчислювальних центрів МВС, ГУВД, УВД суб'єктів Російської Федерації.

Фахівці в ході слідчих дій можуть надати дійову допомогу при попередньому розв'язанні наступних питань:

Комп'ютерні злочини 597

- яка конфігурація і склад ЕОМ і чи можна з помо щью цією ЕОМ здійснити досліджувані дії;

- які інформаційні ресурси знаходяться в даній ЕОМ;

- чи не є представлені файли з програмами, зараженими вірусом, і якщо так, то яким саме;

- чи зазнавала дана комп'ютерна інформація з менению і, якщо так, то якому саме;

- які правила експлуатації ЕОМ існують в даній инфор мационной системі і чи були порушені ці правила;

- чи знаходиться порушення правил експлуатації ЕОМ в причинному зв'язку із змінами даної комп'ютерної інформації і інш.

- Дотримання правил роботи з комп'ютерною інформацією на машинних носіях. Специфічною особливістю розслідування справ даної категорії є необхідність дотримання правил роботи з машинними носіями комп'ютерної інформації. При плануванні слідчих заходів, пов'язаних з дослідженням комп'ютерної інформації і машинних носіїв, необхідно передбачити заходи нейтралізації коштів і прийомів, що робляться злочинцями з метою знищення речових доказів. Ними може, наприклад, використовуватися спеціальне обладнання, в критичних випадках створююче сильне магнітне поле, що стирає магнітні записи. Злочинець може включити до складу програмного забезпечення своєї машини програму, яка примусить комп'ютер вимагати пароль періодично, і якщо протягом трохи секунд правильний пароль не введений, дані в комп'ютері автоматично знищаться. Потрібно враховувати і можливість зростання в ході обшуку напруження статичної електрики, яке може пошкодити дані і магнітних носіїв. Бажано мати з собою і використати пристрій для визначення і вимірювання магнітних полів (наприклад, компас). Речові докази - машинні носії вимагають особливої акуратності при транспортуванні і зберіганні. Ним протипоказані різкі кидки, удари, підвищені температури, вогкість, задимленность (в тому числі тютюновий дим) і запиленность.

Як правильно вказується в методичних рекомендаціях «Підготовка і призначення програмно-технічної експерти598_

Методика розслідування окремих видів злочинів

зи» (Катків С. А., Собецкий И. В., Федора А. Л. Бюллетень ГСУ МВС СРСР №4, 1995), після прибуття на місце проведення слідчої дії потрібно вжити заходів до забезпечення збереження інформації на тут машинних носіях, що знаходяться. Для цього необхідно:

- не дозволяти кому б те не було з осіб, працюючих на місці виробництва слідчої дії або знаходячи щегося тут по інших причинах (в подальшому персо налу), торкатися до працюючих ЕОМ;

- не дозволяти кому б те не було вимикати електро постачання об'єкта;

- у випадку, якщо на момент початку дії електроснабже ние об'єкта вимкнено, то до відновлення електро постачання потрібно відключити від електромережі що все мають ця тут комп'ютери і периферійні пристрої;

- самому слідчому не проводити ніяких манипуля ций з ЕОМ, якщо результат цих маніпуляцій зазделегідь не відомий;

- при наявності в приміщенні, де знаходяться ЕОМ або маг нитние носії інформації, вибухових, легковос пламеняющихся, їдких і токсичних речовин і/або маті ріалів, як можна швидше видалити ці речовини і/або матеріали в інше приміщення;

- при неможливості видалити небезпечні матеріали з по мещения, де знаходяться ЕОМ або магнітні носії інформації, а також при непрекращающихся спробах персоналу отримати доступ до ЕОМ, вжити заходів для видалення персоналу в інше приміщення.

- Особливості оглядів, обшуків і виїмок. Огляд і обшук (виїмка) особливо на початку розслідування є найважливішими інструментами встановлення обставин розсліджувати події. При аналізі ходу і результатів цих дій можна відтворити механізм дій зловмисників і отримати важливі докази.

У будь-якому разі вилучення з ЕОМ і машинних носіїв інформації необхідною умовою є фіксація носіїв і їх конфігурації на місці виявлення, а також упаковка, що забезпечує правильне і точне з'єднання в лабораторних умовах або в місці виробництва слідства з участю фахівців, як на місці виявлення.

Комп'ютерні злочини

599

Потрібно мати на увазі, що конкретна програмно-технічна конфігурація дозволяє виконувати з ЕОМ певні дії і порушення конфігурації або відсутність даних про точну її фіксацію (так само як на місці виявлення) може вплинути на можливість виконання на ній не тільки досвідчених дій в ході слідства, але і на оцінку в суді можливості здійснення злочину. Так, тип програмного забезпечення, завантаженого в момент слідчого огляду в ЕОМ, може показувати задачі, для яких ЕОМ використовувалася. Якщо, наприклад, є програмне забезпечення для зв'язку, і ЕОМ сполучена з модемом, то це явно свідчить про можливість даній ЕОМ здійснювати зв'язні функції і доступ до комп'ютерної інформації.

У ході виявлення машинних носіїв інформації можуть бути дві ситуації: носії можуть на момент виявлення працювати або не працювати. Ознаками працюючої ЕОМ можуть бути підключення її проводами до мережі, шум працюючих всередині ЕОМ вентиляторів, мигання або горіння індикаторів на передніх панелях системного блоку, наявність на екрані зображення. Якщо ЕОМ працює, ситуація для слідчого, провідного слідчу дію без допомоги фахівця, істотно ускладняється, однак і в цьому випадку не треба відмовлятися від оперативного вилучення необхідних даних. У цьому випадку слідує:

- визначити, яка програма виконується. Для цього не обходиться вивчити зображення на екрані дисплея і по можливості детально описати його. Іноді можна вивес ти зображення екрана на друк натисненням клавіші PrintScrn. Після зупинки програми і виходу в опера ционную систему іноді при натисненні функціональної клавіші F3 можна відновити найменування визи вавшейся останній раз програми;

- здійснити фотографування або відеозапис изобра жения на екрані дисплея;

- зупинити виконання програми. Зупинка исполне ния багатьох програм здійснюється одночасним натисненням клавіш Ctrl-C, або Ctrl-Break, або Ctrl-Q.

600

Методика розслідування окремих видів злочинів

Часто для закінчення роботи з програмами потрібно ввести з клавіатури команди EXIT або QUIT, іноді досить натиснути клавішу Esc або указати курсором на значок припинення роботи програми;

- зафіксувати (відобразити в протоколі) результати своїх дій і реакції на них ЕОМ;

- визначити наявність у ЕОМ зовнішніх пристроїв-накопич телей інформації на жорстких магнітних дисках (вин честера) і віртуального диска;

- визначити наявність у ЕОМ зовнішніх пристроїв видалений ного доступу (наприклад, модемів) до системи і опреде лити їх стан (відобразити в протоколі), після чого роз'єднати мережеві кабелі так, щоб ніхто не міг мо дифицировать або знищити інформацію в ході оби ска (наприклад, відключити телефонний шнур);

- скопіювати програми і файли, що зберігаються на можливо існуючому «віртуальному» диску, на магнітний але ситель;

- вимкнути подачу енергії в ЕОМ і далі діяти по схемі «комп'ютер не працює».

Якщо ЕОМ не працює, слідує:

- точно відобразити в протоколі і на прикладеній до нього схемі місцезнаходження ЕОМ і її периферійних вуст ройств (друкуючий пристрій, дисководи, дисплей, клавіатуру і т. п.);

- точно описати порядок з'єднання між собою цих пристроїв з вказівкою особливостей (колір, кількість з'єднувальних роз'єм, їх специфікація) з'єднай тельних проводів і кабелів; перед роз'єднанням лю бих кабелів корисно здійснити відеозапис або фо тографирование місць з'єднання. Вдалим рішенням є точна маркіровка, наприклад з допомогою над листочків, що пишуться з липкою поверхнею, кожного кабеля і пристрою, а також порту, з яким кабель з единяется перед роз'єднанням.

Потрібно маркірувати кожний незайнятий порт як «незайнятий»;

- роз'єднати пристрою ЕОМ з дотриманням всіх віз можних запобіжних засобів, попереднє обесто чив пристрою. Потрібно пам'ятати, що матричні прин тери залишають сліди на фарбувальній стрічці, яка може бути відновлена в ході її подальшого експертного дослідження;

Комп'ютерні преступления_ 601

- упакувати роздільно (указати в протоколі і на конверті місця виявлення) носіїв на дискетах, компактні диски і магнітні стрічки (індивідуально або групами) і вмістити їх в оболонки, не несучі заряду статиче ского електрики;

- упакувати кожний пристрій і з'єднувальні кабелі, проводи для забезпечення акуратного транспортування ЕОМ;

- захистити дисководи гнучких дисків згідно рекоменда циям виготівника (деякі виготівники пропонують вставляти нову дискету або шматок картону в щілину дис ковода).

Якщо в ході огляду і вилучення все ж в крайньому випадку знадобиться запуск ЕОМ, це потрібно робити щоб уникнути запуску програм користувача за допомогою власної завантажувальної дискети.

Більш складною задачею огляду ЕОМ є пошук інформації, що міститься в ній і слідів впливу на неї. Її рішення завжди вимагає спеціальних пізнань. Існує фактично два вигляду пошуку:

перший - пошук, де саме шукана інформація знаходиться в комп'ютері;

другий - пошук, де інформація, що ще розшукується могла бути збережена.

Як вказувалося раніше, в ЕОМ інформація може знаходитися безпосередньо в ОЗУ при виконанні програми, в ОЗУ периферійних пристроїв і на ВЗУ. Найбільш ефективним і простим способом фіксації даних з ОЗУ є роздрук на папір цієї інформації. Якщо ЕОМ не працює, інформація може знаходитися на машинних носіях, інших ЕОМ інформаційної системи, в «поштових ящиках» електронної пошти або мережі ЕОМ. Детальний огляд файлів і структур їх розташування (які самі по собі можуть мати істотне доказове значення, відображаючи угруповання інформації) доцільно здійснювати з участю фахівців в лабораторних умовах або на робочому місці слідчого. Переважно вивчати не оригінали вилучених машинних носіїв, а їх копії.

Потрібно звертати увагу на пошук так званих «прихованих» файлів і архівів, де може зберігатися важлива ин602

Методика розслідування окремих видів злочинів

формація. При виявленні файлів із зашифрованою інформацією або що вимагають для перегляду стандартними програмами введення паролів, потрібно направляти такі файли на розшифровку і декодування відповідним фахівцям. Периферійні пристрої введення-висновку можуть так само деякий час зберігати фрагменти програмного забезпечення і інформації, однак для виведення цієї необхідні спеціальні пізнання. Так само як і у випадку з ОЗУ, дані, знайдені на машинних носіях, доцільно в ході огляду виводити на друкуючі пристрої і зберігати на паперових носіях у вигляді додатків до протоколу огляду. Вилучення даних в «поштових ящиках» електронної пошти може при необхідності здійснюватися за правилами накладення арешту і виїмки поштово-телеграфної кореспонденції з пред'явленням відповідних вимог до власника поштового вузла, де знаходиться конкретний «ящик».

У ході оглядів у справах даної категорії можуть бути виявлені і вилучені наступні види важливих документів, які можуть стати речовими доказами у справі:

- носячі сліди довершеного злочину - телефонні рахунки, телефонні книги, які доводять факти контакту злочинців між собою, в тому числі і по мережах ЕОМ, паролі і коди доступу в мережі, щоденники зв'язку і пр.;

- зі слідами дії апаратури - завжди потрібно шукати в пристроях висновку (наприклад, в принтерах) паперових носіїв інформації, які могли залишитися всередині них внаслідок збою в роботі пристрою;

- що описують апаратуру і програмне забезпечення (пояс нение до апаратних коштів і програмного обеспе чению) або їх придбання, що доводять нелегальність (наприклад, ксерокопії опису програмного обеспече ния у випадках, коли такі надаються изготови телем);

- нормативні акти, що встановлюють правила роботи з ЕОМ, що регламентують правила роботи з даною ЕОМ, системою, мережею, що доводять, що злочинець їх знав і умисно порушував; особисті документи по дозреваемого або обвинуваченого і інш.

Комп'ютерні преступления_ 603

Не треба забувати при оглядах і обшуках про можливості збору традиційних доказів, наприклад, прихованих відбитків пальців на клавіатурі, вимикачах і тумблерах і інш., рукописній, в тому числі шифрованих записів і пр. У зв'язку з тим, що при огляді ЕОМ і носіїв інформації проводиться вилучення різних документів, в ході розслідування може виникнути необхідність в призначенні криміналістичної експертизи для дослідження документів. Дактилоскопічна експертиза дозволяє виявити на документах, частинах ЕОМ і машинних носіях сліди пальців рук причетних до справи осіб.

- Особливості допитів причетних до справи осіб. Основні тактичні задачі допиту при розслідуванні справ категорії, що розглядається є:

- виявлення елементів складу злочину в спостерігавши шихся очевидцями діях;

- встановлення обставини, місця і часу соверше ния значущих для розслідування дій, способу і мотивів його здійснення і супутніх обставин, ознак зовнішності осіб, що брала участь в ньому;

- визначення предмета злочинного посягання;

- визначення розміру заподіяного збитку;

- детальні ознаки викраденого;

- встановлення інакших свідків і осіб, причетних до з вершенню злочину.

Первинне виявлення ознак неправомірних дій сторонніх осіб з комп'ютерною інформацією здійснюється, як правило, співробітниками власника інформаційної системи і її користувачами. Опис цих ознак може знайти відображення в свідченнях очевидців.

Для розслідування справ даної категорії важливо добре підготуватися до майбутніх допитів. Доцільно зібрати максимально можливу в проміжку часу, що є у слідства інформацію про допитувану особу. Для цього доцільно забезпечити отримання даних про нього з місця проживання, навчання, роботи, дозвілля. Джерелами відомостей можуть бути податкові інспектора, працівники міліції по місцю проживання, колеги по роботі, сусіди, знайомі. Важливі дані можуть бути отримані з особистих справ по місцю рабо604

Методика розслідування окремих видів злочинів

ти. З централізованих учетов можуть стати відомі відомості об судимості і дані з архівних карних справ. У ході такої підготовки можуть бути з'ясовані відомості про стан здоров'я і психіки допитуваного, наявність у нього спеціальних і професійних навиків і інші істотні дані.

Наполегливий пошук даних про особистість допитуваного звичайно приводить до розширення уявлень про коло осіб, що стосуються розсліджувати події, а також дає підставу для віднесення особи до відповідної референтной групи, узагальнену думка якої може бути використано для правомірного психологічного впливу при допиті. Ці дані дозволять зробити допит більш ефективними.

Проблемою фіксації свідчень у справах про злочини в області комп'ютерної інформації є їх «перевантаження» спеціальною термінологією і жаргонною лексикою. Доцільно в протоколах більш детально акцентувати увагу і фіксувати значення термінів, що використовуються допитуваним при описі відомих йому фактів. При описі конфігурацій систем або схем руху інформації можуть виявитися надто корисними рукописні схеми, що складаються допитуваним і що залучаються до протоколу допиту.

При розслідуванні даної категорії справ здійснюються і інакші слідчі дії (пізнання, очна ставка і т. п.). Тактика їх проведення визначається з урахуванням конкретних обставин справи і характеристики осіб - безпосередніх учасників цих слідчих дій. Істотною специфікою відрізняється, звісно, призначення і проведення експертиз. По цій категорії справ часто призначаються криміналістичні експертизи (технічне дослідження документів, почеркознавська, дактилоскопічна і інш.), однак найбільш характерна і специфічна - програмно-технічна експертиза, що призначається з метою дослідження комп'ютерів, їх комлектуючий, периферійних пристроїв і програмного забезпечення.

Процес накопичення емпіричних даних про способи розслідування злочинів в області комп'ютерної інформації продовжується. Особиста ініціатива слідчого в застосуванні різноманіття тактичних прийомів, що пропонуються криміналістикою і акуратність роботи з речовими доказами - застава успішного розслідування. МИТНІ ТАРИФИ: - систематизований перелік товарів, оподатковуваних митом;:  МИТНІ ТАРИФИ: - систематизований перелік товарів, оподатковуваних митом; класичний засіб загальнодержавного економічного управління імпортом.
МИТНІ ЗБОРИ: див. Мито митне.:  МИТНІ ЗБОРИ: див. Мито митне.
Митні збори: - це податок, що встановлюється для ускладнення ввезення в країну або,:  Митні збори: - це податок, що встановлюється для ускладнення ввезення в країну або, рідше, вивозу з неї певних видів продукції. Для ослаблення національним виробникам конкуренції з іноземними фірмами, як правило, встановлюються високі митні
МИТНА ВАРТІСТЬ: - вартість товару на момент перетину митної межі.:  МИТНА ВАРТІСТЬ: - вартість товару на момент перетину митної межі.
з 5. ТАКТИКА ЗАКЛЮЧНОГО ЕТАПУ І ОЦІНКА РЕЗУЛЬТАТІВ СЛІДЧОГО:  з 5. ТАКТИКА ЗАКЛЮЧНОГО ЕТАПУ І ОЦІНКА РЕЗУЛЬТАТІВ СЛІДЧОГО ЕКСПЕРИМЕНТУ: Основним засобом фіксації слідчого експерименту є протокол. Форма протоколу слідчого експерименту викладена в додатку № 55 до УПК РФ. По структурі протокол слідчого експерименту складається з трьох частин: ввідної, описової
з 3. ТАКТИКА РОБОЧОГО ЕТАПУ КОНТРОЛЮ І ЗАПИСИ ПЕРЕГОВОРІВ:  з 3. ТАКТИКА РОБОЧОГО ЕТАПУ КОНТРОЛЮ І ЗАПИСИ ПЕРЕГОВОРІВ: У ході робочого етапу контролю і записі переговорів застосовуються наступні тактичні і технічні правила: 1. Слідчий направляє постанову про виробництво контролю і запис телефонних і інакших переговорів для виконання у відповідний
Тактика виробництва окремих видів огляду ПО КАРНИХ СПРАВАХ Про:  Тактика виробництва окремих видів огляду ПО КАРНИХ СПРАВАХ Про ЗЛОЧИНИ, ДОВЕРШЕНІ В ВИПРАВНИХ УСТАНОВАХ: Слідчий огляд являє собою самостійну слідчу дію, направлену на виявлення шляхом безпосереднього сприйняття слідчим, іншими учасниками карного процесу і фіксацію слідів злочину і інших обставин,