Материал: 470
56
полиции. Присмотру должны подлежать: территория (объект) осмотра; задержанный (при его наличии); место установки (обнаружения) компьютерной техники, в которой были обнаружены следы преступления; сервер локальной сети, который содержит данные обо всех проведенных за прошедший период операциях; место отключения электропитания.
2.Запретить, лицам, находящимся в помещении выполнять какиелибо действия с компьютерным оборудованием или другими коммутационными устройствами (телефон, планшет, факс и др.), обеспечить неукоснительное соблюдение данного запрета.
3.Принять необходимые меры по сохранению существовавшего на момент начала осмотра режима электропитания объекта.
4.Специалисту необходимо установить тип коммуникационного соединения компьютерного устройства с оборудованием осматриваемого помещения, принять меры к установлению места нахождения последнего и обеспечение его охраны.
5.Провести обзорную и ориентирующую фото- и видеосъемку.
6.Определить вид операционной системы и прикладные программы, выполняющиеся на компьютерных устройствах, обеспечить их сохранность и возможность копирования.
Осмотр средств вычислительной техники и машинного носителя информации
Сеть Интернет представляет собой широкий спектр возможностей, что создает предпосылки для существенного изменения способов совершения экстремистских преступлений. Возможности глобальной сети Интернет, социальных, локальных сетей используются идеологами экстремизма в качестве реализации своих экстремистских целей, вербовки людей, обучения, распространения литературы экстремистского толка, финансирования, удаленного руководства экстремистской организацией и т. д. Как показывает следственная практика, экстремистские преступления на современном этапе не обходятся без использования возможностей компьютерных сетей.
Расследование экстремистских преступлений с использованием компьютерных сетей вызывает определенные трудности у практических работников правоохранительных органов. На основании вышеизложенного целесообразно рассмотреть некоторые тактические особенности производства следственных действий с использованием компьютерных сетей.
Объекты, подлежащие осмотру, можно условно подразделить на четыре основные группы: помещения; средства вычислительной техники; носители машинной информации; документы.
При проведении осмотра необходимо знать, что к изменению или уничтожению информации (следов) может привести не только работа за пультом управления ЭВМ (клавиатурой), но и включение-выключение ЭВМ или разрыв соединения между ними. Поэтому, если на момент
57
производства следственного действия какие-либо ЭВМ и иные электротехнические приборы и оборудование были включены или выключены, то они должны оставаться в таком состоянии до момента окончания осмотра их специалистом.
Следователю необходимо учитывать то, что лицами, заинтересованными в сокрытии преступления, скорее всего, приняты меры по уничтожению информации экстремистской направленности, например, установлена специальная программа, защищающая компьютер от несанкционированного доступа. Не получив в установленное время специального сигнала или кода, она автоматически уничтожает всю хранящуюся на жестком (ином съемном) диске ЭВМ информацию либо ее часть.
Тщательному осмотру подлежат все устройства каждой ЭВМ, что позволяет воссоздать картину происшедшего и получить важные доказательства.
Целесообразно исследовать компьютер на наличие удаленных файлов. Некоторые операционные системы при недостаточности объема оперативной памяти создают так называемый «файл подкачки» (файл с расширением «swp») для хранения всей удаленной информации, которая при наличии специальной программы может быть восстановлена.
Рекомендуется также изучать не только подлинники изъятых машинных носителей, но и их копии, изготовленные средствами данной операционной системы. Следует обращать внимание и на поиск так называемых «скрытых» файлов (как правило, системных защищенных от записи файлов). При обнаружении файлов с зашифрованной информацией или требующих для просмотра стандартными программами ввода паролей следует направлять такие файлы соответствующим специалистам для расшифровки и декодирования пароля. Детальный осмотр файлов целесообразно осуществлять с участием специалиста в лабораторных условиях.
При возникновении ситуации, когда по каким-либо причинам осмотр необходимо начать, не дожидаясь прибытия специалиста, следует избегать неосторожного обращения с компьютером, что может существенно помешать процессу собирания доказательств. Поэтому самостоятельно выключать работающий в момент осмотра компьютер не рекомендуется, поскольку это может создать сложности при повторном входе в систему, особенно защищенную.
Осмотр машинного носителя информации может быть произведен в ходе осмотра места происшествия или как самостоятельное следственное действие. Осмотр машинного носителя информации производится с участием специалиста и начинается с определения типа, вида, назначения, технических параметров и ознакомления с его содержанием.
Изымаемый магнитный носитель машинной информации должен перемещаться в пространстве и храниться исключительно в специальном экранированном контейнере или алюминиевом футляре (оболочке), ис-
58
ключающем разрушающее воздействие различных электромагнитных и магнитных полей и направленных излучений. Для этого магнитные носители информации сначала упаковывают в пакет из обычной фольги (бытового или технического назначения), а затем опечатывают обычным способом, вкладывая в коробку или конверт. В качестве специального контейнера можно использовать цельноалюминиевую коробку с крышкой (например, алюминиевую посуду с крышкой из того же материала). Если в коробку упаковывается несколько носителей информации, то всегда составляется опись вложения с указанием индивидуальных признаков каждого носителя.
Стоит обратить особое внимание на то, что перед началом производства любых следственных действий, непосредственно связанных с ЭВМ, средствами и системами их защиты, необходимо в обязательном порядке получать и анализировать с участием специалистов информацию о технологических особенностях функционирования вышеприведенных технических устройств, уровня их соподчиненности и используемых средств связи
ителекоммуникации во избежание их разрушения, нарушения заданного технологического ритма и режима функционирования, причинения крупного материального ущерба пользователям и собственникам, уничтожения доказательств.
Осмотр места происшествия, средств вычислительной техники, машинного носителя информации и документов необходимо проводить в строгой последовательности, уделяя особое внимание тем частям предметов, на которых имеются повреждения и следы, и с обязательным использованием фото- и (или) видеосъемки. Важно сфотографировать (произвести видеозапись) не только место происшествия, отдельные объекты, ЭВМ
иих соединения, но и все действия специалистов, участвующих в осмотре1.
Кпротоколу осмотра прилагаются план или схема места происшествия, принципиальная схема соединения ЭВМ между собой и с каналами электросвязи, фото- и видеозапись, магнитный носитель информации (лента, дискета или жесткий диск), распечатка информации.
Тактические особенности обыска Обыск является одним из наиболее сложных и ответственных след-
ственных действий, который осуществляется в напряженной психологической обстановке, а порой и в условиях конфликта. Тщательно продуманная подготовка в дальнейшем обеспечит успех осуществляемого обыска.
1 Винников А. Я. и др. Указ. соч. С. 63.
59
Входе расследования преступлений экстремистской направленности
обыск рекомендуется производить одновременно у всех выявленных членов экстремистской организации1.
Врамках проведения обыска необходимо уделить внимание поиску:
−литературы экстремистского толка (печатные издания, методические материалы, инструкции по вербовке, различные записи и т. п.);
−записей, содержащих информацию об участниках и членах экстремистской организации, и т. п.
−документов (предметов), содержащих коды, пароли доступа, идентификационные номера, названия, электронные адреса пользователей конкретных компьютерных систем и сетей, алгоритмы входа и работы в системах и сетях;
−стационарных и переносных персональных компьютерных устройств (включая ноутбуки, планшетные компьютеры, смартфоны и пр.)
иих структурных блоков (винчестеры, материнские платы и т. д.);
−принтеров и других периферийных устройств, цифровых носителей информации (внешние HDD и SSD-диски, дискеты, оптические CD и DVD-диски, флэш-накопители и т. п.);
−записных (телефонных) книжек, справочников и каталогов, в том числе электронных, находящихся в памяти телефонных аппаратов проводных телефонных сетей (аппаратах сотовой, спутниковой связи);
−атрибутики экстремистского толка (например, нашивки с изображением свастики и т. п.);
−оружия, боеприпасов – как стрелкового, так и взрывного действия, так же предметов, используемых в качестве оружия;
−частей взрывных устройств и элементов взрывчатых веществ;
−поджигающих устройств и их элементов (например «коктейль Молотова»);
−одежды, головных уборов и обуви со следами копоти, сажи, горючих веществ, несгоревших частиц пороха;
−предметов маскировки (например, головные уборы с прорезями для глаз и рта, маски);
−красящих предметов (например, аэрозольные баллончики с крас-
ками).
Целесообразно изучить переписку лица, у которого проводится обыск. В том числе в электронных сообщениях, списках адресатов может находиться информация, указывающая на причастность лица к экстремистским сообществам, организациям.
1Халиков А. Расследование преступлений экстремистского характера // Законность. 2006. № 8.
60
Выделим специфические правила проведения обыска, характерные для уголовных дел экстремистской направленности с использованием компьютерной техники:
1.Необходимо обеспечить охрану всех помещений, где установлена компьютерная техника с криминалистически значимой информацией, а также узел электропитания.
2.Следует предпринять меры по недопущению различных манипуляций с компьютерной техникой и устройствами электроснабжения.
3.В случае, если есть основания полагать, что о факте проведения обыска известно другим участникам преступной группы, которые находятся вне зоны контроля следственно - оперативной группы, рекомендуется незамедлительно отключить сетевые соединения компьютерной техники (отключить модемы, кабели локальной сети, выключить режимы использования соединения WI-FI).
4.Если компьютерное устройство на момент обыска выключено, не рекомендуется его сразу включать.
5.Необходимо провести фотоили видеосъемку всей компьютерной техники, особенно расположение.
6.Если на момент проведения следственного действия компьютерное устройство включено, следует зафиксировать изображение на рабочем столе монитора. С включенном, но находившимся в «спящем» режиме устройством (данное состояние особенно характерно для ноутбуков, нетбуков и др.), можно сразу его выключить, либо сначала активизировать, зафиксировав содержание экрана, а затем выключить.
7.В ходе обыска следует собрать все бумажные носители, на которых возможно имеются пароли, сетевые адреса и другие криминалистически значимые данные. Достаточно часто подобные записи в виде отдельных листочков, стикеров, лежащих на рабочем столе имею большое значение для построения следственных версий.
8.В случае если на момент проведения обыска печатающее устройство производит печать, следует дождаться ее окончания. Все материалы, находящиеся в выходном лотке принтера, изъять наряду с другими носителями компьютерной информации.
9.В процессе проведения обыска следует опросить всех пользователей на предмет паролей, имеющие отношение к изъятой компьютерной технике.
10.По окончании обыска компьютерное устройство необходимо выключить.
По нашему мнению, объекты, подлежащие осмотру (обыску, выемке), по преступлениям экстремистской направленности, совершенным с использованием компьютерных сетей, можно условно подразделить на несколько основных типовых групп.