3)имеются ли следы работы программного обеспечения (указать какого именно). Если да, то имеются ли файлы, созданные (или которые могли быть созданы, редактированы) с использованием данного программного обеспечения;
4)имеются ли следы удаленного администрирования на представленном носителе информации.
3. Определение временных интервалов.
В данном случае речь идет об установлении времени и последовательности совершения пользователем различных действий.
Благодаря наличию в компьютере внутренних энергонезависимых часов
исоздании в различных местах временных меток, становится возможным определить, когда и в какой последовательности пользователь производил различные действия.
Так, если внутренние часы компьютера были переведены вперед или назад (в том числе неоднократно), все равно имеется возможность восстановить правильное время и правильную последовательность событий. Перевод часов компьютера сам по себе оставляет следы. А если еще было и сетевое взаимодействие, то есть возможность сопоставить моменты событий, зафиксированные данным компьютером, с событиями, установленными по иным источникам, и выяснить факт сдвига внутренних часов.
Задача выполнима даже в том случае, если системный блок, содержащий внутренние часы, не находится в распоряжении эксперта. Только по носителю информации (например, накопителю на жестком магнитном диске) можно получить сведения о последовательности событий. Чем больше информации на носителе, тем полнее будет восстановленная картина.
Отмечают даже такую экзотическую задачу, как подтверждение (опровержение) алиби подозреваемого, который утверждает, что в определенное время работал за компьютером. В этом случае, хотя речь не идет о компьютерном преступлении, для проверки алиби потребуется судебная компьютерная экспертиза.
Типовые вопросы:
1)имеются ли на жестких дисках персонального компьютера и на других, представленных на исследование носителях информации файлы (фрагменты файлов, в том числе и среди удаленных), содержащие информацию, аналогичную представленным на исследование образцам (либо сходную с образцами),
иесли да, то каковы дата и время создания (последней модификации) обнаруженных файлов;
2)имеются ли на жестких дисках персонального компьютера и на других представленных на исследование носителях информации файлы (фрагменты файлов, в том числе и среди удаленных), содержащие изображения печатей (штампов, денежных купюр и т. п.), сходные или аналогичные представленным на исследование образцам, и если да, то каковы дата и время создания (последней модификации) обнаруженных файлов.
4. Исследование программного обеспечения, установленного на представленном носителе информации, и исследование дистрибутивов, содержащихся на нем.
61
В рамках данного вида исследования устанавливается наличие того или иного программного обеспечения на представленном носителе информации, его версия, релиз, регистрационные данные. Следует отметить, что вопросы о «контрафактности» или о «признаках контрафактности» носят правовой характер и выходят за рамки компетенции судебной компьютерной экспертизы. В ее рамках эксперт может обнаружить отличия версии установленного (представленного) образца программного обеспечения от лицензионного образца. Следует отметить, что для сравнения необходим инсталляционный пакет программного обеспечения той же версии, релиза, что и для исследуемого образца программного обеспечения. При назначении исследования следует избегать общих вопросов типа «Какое программное обеспечение установлено на представленном носителе информации?» или «Какие программные продукты корпорации Microsoft (Adobe, Corel и т.д.) установлены?» или «Содержатся ли дистрибутивы программ
Microsoft (Adobe, Corel и т. д.)?».
Типовые вопросы:
1)установлено ли на представленном носителе информации программное обеспечение (или его дистрибутивы) корпорации Microsoft: Microsoft Windows, Microsoft Оffice и др.? Если да, то какое именно;
2)каковы регистрационные данные, версия, релиз программного обеспечения (указывается, какого именно), дата и время его установки?
Иногда в процессе расследования преступлений в сфере информационных технологий нет возможности провести экспертное исследование в лаборатории, например, если стало известно, что компьютер обладает высоким уровнем защиты или что этот компьютер является важным элементом корпоративной сети компании и его изъятие невозможно без причинения ей существенного ущерба.
В процессе производства ситуационной компьютерно-технической экс-
пертизы в здании, где находится юридическое лицо, работником которого является подозреваемый (обвиняемый) в совершении преступления в сфере компьютерной информации, следователь должен обеспечить эксперту максимальный доступ к необходимым данным. Если говорить о крупной фирме, то существует вероятность того, что у нее имеется служба или департамент информационной безопасности в составе службы общей безопасности. Данное подразделение традиционно обладает практически всеми данными об информа- ционно-компьютерных ресурсах компании и может существенно облегчить работу эксперту.
Важно помнить, что, так как объектом судебной компьютерно-техниче- ской экспертизы является информация, зафиксированная на различных носите-
лях с энергонезависимой памятью, изъятие носителей информации производится с соблюдением необходимых правил, гарантирующих сохранность инфор-
мации, которые подробно рассматривались нами в первом параграфе третьей главы.
Напомним, что перед изъятием устройства необходимо обесточить компьютер, но в некоторых случаях (например, при сетевых киберпреступлениях, когда на момент осмотра и изъятия устройство включено) перед обесточиванием
62
и изъятием необходимо провести осмотр и зафиксировать все запущенные процессы (исполняемые программы, открытые веб-страницы и документы), либо описав их, либо произведя фото-, видеосъемку экранов с запущенными приложениями и экранов сетевых настроек. Это обусловлено тем, что многие сетевые процессы не отражаются в журналах (особенно программы хакерского направления) и после выключения устройства следовая картина будет неполной, а в некоторых случаях может и вовсе отсутствовать. При изъятии объектов следует обращать внимание на наличие каких-либо записей на отдельных листах, в тетрадях, в записных книжках: многие злоумышленники прячут информацию, используя средства криптографической защиты (BestCrypt, PGP и т. д.).
Чаще всего снять серьезную криптографическую защиту в условиях лаборатории экспертно-криминалистического подразделения не получается, что делает невозможным проведение дальнейшего исследования.
Следует отметить, что наличие самого современного оборудования и работа специалистов высокого класса не всегда приводят к 100-процентному результату при расследовании и раскрытии преступления. Очень важно наладить взаимодействие в цепочке эксперт – следователь для определения объектов,
границ исследования, составления вопросов и правильной интерпретации полученных выводов эксперта.
Кроме того, исследование компьютерной информации часто носит комплексный характер, так как при его проведении привлекаются эксперты нескольких специальностей (специализаций). Состав экспертной комиссии часто можно определить только по результатам ознакомления экспертов с обстоятельствами дела и имеющимися материальными носителями информации. В этой связи мо-
жет возникнуть необходимость в предварительном экспертном исследовании поступивших объектов и их экспертной классификации.
Таким образом, среди основных задач компьютерно-технической экспертизы в целом можно обозначить следующие:
1)установление первоначального состояния информации на носителе
данных;
2)установление свойств и вида представленной информации;
3)определение условий внесения изменений в содержимое файла и т. п.;
4)определение механизма и обстоятельств определенного события
(факта);
5)установление отдельных этапов (стадий, фрагментов) события по имеющейся на носителе данных информации или ее копиям;
6)определение времени (периода) и хронологической последовательности воздействия на информацию;
7)установление причин неисправности носителя данных;
8)установление причин отсутствия доступа к информации;
9)исследование однотипной и разнотипной информации с двух разных носителей и т. д.
Подводя итог, следует отметить, что возможности технико-криминали- стических средств и методов, используемых на базе компьютерной техники,
63
имеют значительный потенциал, позволяющий решать множество задач при раскрытии и расследовании преступлений. Учебное пособие раскрывает лишь малую часть теоретических и практических возможностей применения специальных познаний в правоохранительной деятельности, однако уже существующие разработки и алгоритмы действий по применению компьютерной информации должны, на наш взгляд, более активно использоваться в раскрытии и расследовании преступлений в сфере информационных технологий. При этом положительная перспектива очевидна.
Вопросы для самостоятельного изучения
1.Тактика следственного осмотра при расследовании уголовных дел о преступлениях в сфере информационных технологий. Особенности фиксации результатов следственного осмотра.
2.Особенности осмотра места происшествия в зависимости от объекта: осмотр электронных носителей информации, осмотр работающего компьютера, осмотр неработающего компьютера, осмотр предметов и документов.
3.Тактические особенности задержания подозреваемого и проведения личного обыска при расследовании преступлений в сфере информационных технологий.
4.Организация и тактические особенности допроса подозреваемого (обвиняемого) в преступлении в сфере информационных технологий.
5.Допрос свидетелей и потерпевших, проходящих по делу о преступлении
всфере информационных технологий.
6.Тактические и процессуальные особенности производства обыска при расследовании преступлений в сфере информационных технологий.
7.Организация деятельности следователя по проведению обыска при раскрытии уголовных дел в сфере компьютерной информации. Особенности производства обыска в жилище и служебном помещении.
8.Тактика выемки документов и предметов при расследовании уголовных дел о преступлениях в сфере информационных технологий.
9.Особенности производства выемки почтово-телеграфной корреспонденции при расследовании уголовных дел о преступлениях в сфере информационных технологий.
10.Действия следователя на заключительном этапе расследования уголовного дела по преступлению в сфере информационных технологий.
11.Действия следователя по установлению и устранению причин и условий, способствующих совершению преступлений в сфере информационных технологий.
12.Понятие и виды криминалистических учетов. Их использование
враскрытии и расследовании преступлений в сфере информационных технологий.
13.Применение специальных знаний в деятельности органов следствия и дознания при расследовании преступлений в сфере информационных технологий.
64
14. Понятие, виды образцов для сравнительного исследования и их изъятие при расследовании преступлений в сфере информационных технологий.
15.Понятие, виды и задачи судебных экспертиз, проводимых при расследовании преступлений в сфере информационных технологий.
16.Особенности назначения повторных, дополнительных и комплексных экспертиз при расследовании преступлений в сфере информационных технологий.
17.Анализ, оценка и использование выводов эксперта при расследовании преступлений в сфере информационных технологий.
65