Некоторые аспекты выявления, изъятия и исследования следов, возникающих при совершении преступлений в сфере компьютерных

Некоторые аспекты выявления, изъятия и исследования следов, возникающих при совершении преступлений в сфере компьютерных технологий.

В связи с развитием компьютерной техники, информационных сетей и технологий перед отечественными правоохранительными органами все острей стоит вопрос о выработке наиболее эффективной практической методики расследования преступлений в сфере компьютерных технологий. Основной проблемой на пути подобной разработки стоит общий низкий уровень информированности сотрудников правоохранительных органов о том, с чем им необходимо бороться, то есть о преступлениях, совершаемых с помощью электронных вычислительных машин. Одним из основных и необходимых этапов расследования подобных преступлений выступает обнаружение, фиксация и исследование следов совершения данных преступлений. С учетом специфики средств совершения данных преступлений их следы представляют собой совокупность материально фиксированных, или классических «трасологических», следов и, так называемых, виртуальных следов, то есть следов на магнитных носителях, указывающих на время работы подозреваемого с ЭВМ, на время осуществления удаленного доступа, на объем полученной информации с других компьютеров и серверов, и, непосредственно, сама полученная информация. В литературе под виртуальными следами понимают любое изменение состояния автоматизированной информационной системы, связанное с событием преступления и зафиксированное в виде компьютерной информации. Данные следы занимают условно промежуточную позицию между материальными и идеальными следами[1, 33]. Особую сложность для сотрудников правоохранительных органов представляет работа именно со второй группой следов. «Виртуальные следы»– по сути, это информация, которая находится в «файлах». При расследовании компьютерных преступлений всегда важно учитывать, что следы, указывающие на то, что подозреваемый работал на каком-то конкретном компьютере, не имеют практически никакой ценности. Причиной этому служит тот факт, что нередко орудием рассматриваемых преступлений является домашний или служебный компьютер подозреваемого, который используется им постоянно. Более важными являются те особенности обнаруженных следов, которые могут дать информацию о времени работы подозреваемого с компьютером. Но сама по себе такая информация особой важности не имеет. Необходимо соотнести полученные данные с информацией из виртуальных следов. То есть, можно представить следующий алгоритм работы со следами, имеющимися на компьютере преступника: выявить материальные следы, указывающие на работу подозреваемого с компьютером; по имеющимся материально фиксированным следам на частях компьютера определить время работы подозреваемого с данной ЭВМ; исследовать «виртуальные следы», указывающие в частности на время работы с компьютером вообще, на время обмена информацией с другими компьютерами или работы в сети«Интернет»; выявить «содержательную часть» указанного обмена информацией, то есть определить, какая информация была получена или передана, с какими компьютерами или серверами происходил данный обмен, какие «сайты», «страницы», «урлы» были посещены подозреваемым в глобальной сети.

После последовательного прохождения данных этапов можно строить достаточно вероятные версии о способе совершения преступления, подозреваемом и т.д. Но продемонстрированная простота алгоритма исследования следов, возникающих при совершении преступлений в сфере компьютерной информации, условна. В виду отсутствия достаточного числа специалистов в сфере информатики в правоохранительных органах, получение полезной для расследования информации из ЭВМ достаточно проблематично. Решение данной задачи становится практически невозможным, если преступники, обладая профессиональными навыками работы с ЭВМ, уничтожают виртуальные следы. Тогда помощь в расследовании может показать информация о деятельности подозреваемого до и после совершения преступления, его встречах, покупках, денежных переводах и т.д. Но полное уничтожение виртуальных следов на практике происходит не всегда, и, скорее всего, достаточно редко. Лучшим способом для подобного «сокрытия следов» служит полное физическое уничтожение магнитных и прочих носителей информации в ЭВМ. Также необходимо осознавать, что «виртуальные следы» возникают не только на компьютере преступника, но и на «компьютере-жертвы», их сложнее уничтожить преступнику, но они и несут меньше информации, полезной для расследования преступлений. Также виртуальные следы могут быть на магнитных носителях, которые не являются составной частью персональных компьютеров (дискеты, компактные диски, DVD и пр.).

Немаловажным в теоретическом плане является вопрос о классификации виртуальных следов. Здесь можно предложить несколько вариантов таких классификаций по различным основаниям. Одним из оснований для классификации может являться непосредственный физический носитель «виртуального следа». На таком основании можно выделить:

1. следы на жестком диске (винчестере), магнитной ленте («стримере»), оптическом диске (CD, DVD), на дискете (флоппи диске);

2. следы в оперативных запоминающих устройствах (ОЗУ) ЭВМ;

3. следы в ОЗУ периферийных устройств (например, лазерного принтера,)

4. следы в ОЗУ компьютерных устройств связи и сетевых устройств;

5. следы в проводных, радио-оптических и других электромагнитных систем и сетей связи[2, 159-160].

Представляется возможным также классифицировать виртуальные следы по месту их нахождения на 2 группы:

1. следы на компьютере преступника;

2. следы на «компьютере-жертвы».

На компьютере преступника следовоспринимающими будут все выше указанные объекты, а также скопированные с компьютера-жертвы файлы данных и программы, плюс так называемые «скриншоты» (графические изображения экрана монитора) с компьютера-жертвы. В файлах конфигурации программ удаленного соединения компьютера преступника с информационной сетью могут быть обнаружены «логины» и пароли компьютера-жертвы, его адресная книга, используемые скрипты [3, 22-23].

На практике серьезные проблемы может вызывать обнаружение, изъятие и фиксация материально фиксированных следов. Это связано с тем, что в большинстве случаев одним персональным компьютером может пользоваться неограниченное число пользователей. Это обстоятельство является причиной того, что на различных частях компьютера можно обнаружить большое количество отпечатков пальцев, принадлежащих нескольким людям. Как правило, они нечеткие из-за неоднократного нажатия одних и тех же клавиш на клавиатуре, кнопок на системном блоке, постоянного использования манипуляторов («мышей», «трэк-болов» и т.д.). В этом случае следовоспринимающими объектами для материально фиксированных следов обычно являются: клавиатура ;манипулятор «мышь»; монитор; системный блок; отдельные элементы системного блока; принтер, сканер, модем, «хаб» и т.д.

В заключении хотелось бы отметить необходимость дальнейшего разностороннего изучения механизма следообразования при совершении преступлений в сфере компьютерных технологий. В этой связи, необходимо внедрять все новые средства и методики изучения рассматриваемой группы следов в практическую деятельность работников правоохранительных органов.

Список использованной литературы

1) Мещеряков В. А. Основы методики расследования преступлений в сфере компьютерной информации: Автореф. дис. Воронеж, 2001.

2) Волеводз А. Г. Противодействие компьютерным преступлениям. М., 2002.

3) Мещеряков В. А. Указ. соч..