- •Поняття і структура криміналістики та загальна характеристика її складових
- •Поняття та загальна характеристика методів криміналістики
- •Криміналістика в системі юридичних наук
- •Сучасний стан криміналістики в України
- •Поняття та види криміналістичної ідентифікації
- •Об’єкти та суб’єкти ідентифікації
- •Етапи ідентифікаційного дослідження
- •Поняття криміналістичної діагностики
- •Структура криміналістичної техніки як складової криміналістики
- •Сучасна класифікація техніко-криміналістичних засобів криміналістики і методи їх використання
- •Поняття трасології. Її структура та завдання.
- •Поняття слідів злочину у криміналістиці, їх класифікація
- •Криміналістичне дослідження слідів пальців рук
- •Види слідів ніг та їх значення у розслідуванні злочинів
- •Види слідів знарядь зламу та інструментів. Особливості їх виявлення та фіксації
- •Види слідів транспортних засобів. Особливості їх виявлення та фіксації
- •Поняття та структура криміналістичного зброєзнавства
- •Техніко-криміналістичне дослідження документів
- •Поняття, види та способи підробки документів
- •Встановлення ознак підробки печаток та штампів в документах
- •Техніко-криміналістична експертиза документів та її можливості
- •Почерк як об’єкт криміналістичного дослідження
- •Методика криміналістичного дослідження письмової мови та почерку
- •Поняття та значення криміналістичної габітології і її значення для розслідування злочинів
- •Поняття і криміналістичне дослідження зовнішніх ознак і властивостей людини
- •Ідентифікація особи за ознаками зовнішності
- •Поняття та структура криміналістичної тактики як складової криміналістики
- •Поняття і класифікація тактичних прийомів
- •Засоби криміналістичної тактики: поняття та види
- •Поняття та принципи планування розслідування злочинів
- •Поняття та види слідчих версій
- •Основні етапи формування версій та особливості їх перевірки
- •Поняття та види слідчих дій
- •Особливості фіксації ходу і результатів слідчих дій
- •Види та принципи слідчого огляду
- •Тактика проведення огляду місця події
- •Загально-тактичні прийоми обшуку
- •Поняття та види допиту
- •Тактичні прийоми проведення допиту в конфліктних ситуаціях
- •Тактичні прийоми проведення допиту в безконфліктних ситуаціях
- •Тактика допиту підозрюваного, обвинуваченого, потерпілого, свідків
- •Сутність очної ставки як специфічного різновиду допиту
- •Поняття та види пред’явлення для впізнання
- •Тактичні прийоми підготовки та проведення пред’явлення для впізнання
- •Процесуальні та криміналістичні особливості пред’явлення для впізнання
- •Поняття та види відтворення обстановки і обставин події
- •Тактика відтворення обстановки і обставин події
- •Процесуальні та криміналістичні особливості відтворення обстановки і обставин події
- •Поняття та види судових експертиз
- •Система судово-експертних установ України
- •Поняття спеціальних знань та форма їх використання
- •Процесуальні та організаційні питання призначення судових експертиз
- •Оцінка та використання висновку експерта у доказуванні
- •Поняття та загальна характеристика криміналістичної методики як складової криміналістики
- •Взаємозв’язок криміналістичної методики з іншими складовими криміналістики
- •Структура і види окремих методик розслідування злочинів
- •Загальна характеристика нетрадиційних методик розслідування злочинів
- •Криміналістична характеристика злочинів: поняття і структура
- •Методика розслідування вбивств
- •Методика розслідування зґвалтування
- •Методика розслідування крадіжок
- •Методика розслідування грабежів і розбійних нападів
- •Методика розслідування шахрайства
- •Методика розслідування злочинів проти довкілля
- •Методика розслідування злочинів у сфері службової діяльності
- •Методика розслідування порушень правил дорожнього руху
- •Методика розслідування підпалів і порушень правил пожежної безпеки
- •Методика розслідування злочинів у сфері комп’ютерних технологій
Методика розслідування злочинів у сфері комп’ютерних технологій
Одна з особливостей комп'ютерних злочинів полягає в тому, що вони надзвичайно латентні (близько 90%). Це пов'язано з тим, що після здійснення комп'ютерного злочину потерпілий звичайно не проявляє особливої зацікавленості в пійманні злочинця, а сам злочинець, будучи спійманий, всіляко рекламує свою діяльність. Можливі причини подібної поведінки: жертва комп'ютерного злочину, як правило, абсолютно переконана, що витрати на його розкриття (включаючи втрати, понесені в результаті втрати, наприклад, банком своєї репутації) істотно перевершують вже заподіяний збиток, а сам злочинець в результаті розголосу придбаває широку популярність в ділових і кримінальних колах.
В зв;язку з цим при розслідуванні комп;ютерних злочинів в даній сфері можна виділити три типові слідчі ситуації. Комп;ютерний злочин стався:
в умовах очевидності ; характер і його обставини відомі (наприклад, який вірус і яким способом введений в комп;ютерну мережу) і виявлені потерпілим своїми власними силами злочинець відомий і затриманий;
відомий спосіб вчинення, але механзм злочину в повному осязі не встановлений, наприклад стався несанкціонований доступ до файлу законного користувача через Інтернет, через слабкі місця в захисті комп;ютерної системи, злочинець відомий, але зник з місця події;
відомо тільки злочинний результат, наприклад дезорганізація комп;ютерної мережі банку, механізм злочину і злочинець невідомі.
За наявності підозрюваного задачі слідства полягають в зборі і процесуальній фіксації наступних відомостей в якості доказів:
наявність діянь, передбачених статтями розділу XVI Кримінального кодексу України;
розміру і характеру збитків, заподіяних цими діяннями;
причинного зв'язку між діяннями і наслідками, що наступили, шляхом опису способу і характеру завершених винним дій;
наміру винного.
Якщо злочинець затриманий на місці здійснення злочину або відразу ж після його здійснення, то для даної ситуації характерні наступні первинні слідчі дії:
особистий обшук затриманого;
допит затриманого;
обшук по місцю проживання затриманого.
Крім того, слідчому рекомендується проводити такі слідчі дії, як огляд ЕОМ, і периферійних пристроїв, допит очевидців, виїмку документів, і особливо електронних документів (так званих балка-файлів, або журналів роботи), що фіксують важливі для розслідування дані, - час і спосіб входження підозрюваного в систему.
За відсутності підозрюваної особи крім вищезгаданих слідчих дій доречно вжити заходів для його розшуку, а також до визначення способу здійснення ним злочину.
3.2 Особливості проведення основних слідчих дій
Огляд і обшук (виїмка) у справах даної категорії є найважливішими засобами встановлення обставин події, що розслідується, через специфічні причини: латентність, відносна простота приховання даних злочинів, нематеріальний характер об'єкту посягання і ін.
В теорії науки криміналістики огляд - це безпосереднє виявлення, сприйняття і дослідження слідчим матеріальних об'єктів, що мають відношення до досліджуваної події. Обшук - слідча дія, в процесі якої здійснюється пошук і примусове вилучення об'єктів, що мають значення для правильного вирішення завдань кримінального судочинства. Виїмка - слідча дія, в процесі якої здійснюється вилучення об'єктів, що мають значення для правильного вирішення завдань кримінального судочинства, в тих випадках, коли їхнє місцезнаходження точно відоме слідчому.
Носії інформації, що мають відношення до події, що розслідується, можуть бути з дотриманням встановленого КПК України порядку вилучені і залучені до кримінальної справи в якості речового доказу, оскільки вони, як правило, є найважливішими елементами доказової бази подібного роду злочинів. Слід лише відзначити, що хоча вилучається і відповідним чином фіксується носій, доказом у справі буде інформація, що міститься на ньому.
При вилученні засобів комп'ютерної техніки необхідно забезпечити суворе дотримання вимог чинного кримінально-процесуального законодавства. Для цього необхідно акцентувати увагу понятих на всіх вчинюваних діях і їхніх результатах, даючи їм при необхідності пояснення, оскільки багатьом учасникам слідчої дії можуть бути незрозумілі вчинювані маніпуляції.
Вибір понятих і інші дії слідчого доцільно проводити з участю фахівця в галузі комп'ютерної техніки, оскільки професійних юридичних знань недостатньо при розслідуванні практично будь-якого комп'ютерного злочину.
Специфіка зберігання інформації, засобів і способів її приховання, а також можливої протидії злочинця, вимагає від слідчого особливої уваги при оглядах, обшуках і виїмках, пов'язаних з вилученням комп'ютерної техніки і носіїв інформації:
в даний час інформація зберігається на магнітних дисках, тому наявність сильного електромагнітного поля може повністю зруйнувати її логічну структуру на відстані, без фізичного контакту і видимої дії;
аналогічно, різкі кидки, удари, підвищені температури, вологість і інша фізична дія на носія, може пошкодити інформацію, що зберігається на ньому;
необережні дії з комп'ютерною технікою можуть призвести до втрати або приведення інформації в непридатний стан;
інформація може шифруватися за допомогою криптостійких алгоритмів, єдиним ключем до яких може бути той або інший спосіб доступу (або пароль), відомий тільки її власнику;
дані, що мають важливе значення для розкриття і розслідування злочину, можуть зберігатися на носіях поза сферою контролю винного (наприклад, відмітки або ведення журналів своєї роботи тієї або іншої програми приховане від користувача).
Таким чином, при проведенні слідчих дій необхідно:
мати з собою і використати при обшуку і огляді пристрій для визначення і вимірювання магнітних полів;
при транспортуванні і зберіганні речових доказів у вигляді комп'ютерної техніки і носіїв інформації дотримуватись особливої акуратності;
самостійно не вчиняти ніяких маніпуляцій з комп'ютерною технікою, якщо їхній результат наперед не відомий;
не допускати осіб, що знаходяться на місці проведення слідчої дії (працюючих, проживаючих), торкатися до працюючих комп'ютерів, магнітних носіїв, вмикати і вимикати комп'ютери;
передбачати інші заходи, що робляться злочинцями з метою знищення речових доказів.
В зв'язку з цим рекомендується негайно знеструмити комп'ютер у разі, якщо є підстави припускати, що важлива інформація у справі може бути знищена. Проте в деяких випадках ця інформація буде недоступна саме в результаті виключення комп'ютера. Так, наприклад, якщо злочинець зберігає результати або засоби своєї роботи на шифрованому PGP-диску, доступ до якого здійснюється тільки при введенні пароля, раптове, несподіване для винного проведення слідчої дії може привести до виявлення доказів, тоді як 20-30 секунд для закриття цього диска або виключення комп'ютера приведуть до повної неможливості доступу до цієї інформації.
Не слід забувати при оглядах і обшуках про можливості збору традиційних доказів (прихованих відбитків пальців на клавіатурі, вимикачах і ін., рукописних записів і ін.).
На мою думку, цілями слідчих дій при розслідуванні комп'ютерних злочинів можуть бути:
огляд і вилучення комп'ютерної техніки;
пошук і вилучення інформації і слідів дії на неї безпосередньо на носіях інформації ЕОМ і її пристроях;
пошук і вилучення інформації і слідів дії на неї зовні ЕОМ.
Детально розглянемо кожну слідчу дію.
Огляд і вилучення комп'ютерної техніки
Вилучення комп'ютерної техніки проводиться для її подальшого дослідження фахівцем або експертом, Найбільш оптимальним варіантом вилучення ЕОМ і її периферійних пристроїв є коректний їхній демонтаж на місці виявлення і упаковка так, щоб апаратуру можна було б успішно, правильно і точно таким же чином з'єднати в лабораторних умовах або в місці проведення слідства з участю фахівців.
Якщо комп'ютер вимкнений, то слідчому потрібно:
точно відобразити в протоколі і на доданій до нього схемі місцезнаходження ЕОМ і її периферійних пристроїв;
точно описати порядок з'єднання між собою цих пристроїв з вказівкою особливостей (колір, кількість сполучних роз'ємів, їхня специфікація) сполучних дротів і кабелів; перед роз'єднанням корисно здійснити відеозапис або фотографування місць з'єднання;
з дотриманням всіх запобіжних заходів роз'єднати пристрої комп'ютера, заздалегідь знеструмивши його;
упакувати роздільно носії на дискетах і магнітних стрічках і помістити їх в оболонки, що не має заряду статичної електрики;
упакувати кожний пристрій і сполучні кабелі, дроти;
особливої обережності вимагає транспортування вінчестера (жорсткого диска - основного носія інформації).
Якщо комп'ютер працює, ситуація для слідчого істотно ускладнюється. Не володіючи повною мірою технічними знаннями в області інформаційних технологій, він не може оперативно зафіксувати картину сліду. Його завданням в даній ситуації є збереження і передача фахівцю (або експерту) комп'ютерної техніки і інформації, що міститься в ній, по можливості, без змін. В даній ситуації слідчий проводить такі діі:
визначити, яка програма (програми) виконуються;
детально описати зображення на екрані дисплея, при необхідності здійснити фотографування або відеозапис;
зберегти інформацію, що знаходиться в оперативній пам'яті, на носіях;
коректно зупинити їхнє виконання;
визначити наявність в комп'ютера зовнішніх пристроїв віддаленого доступу до системи (модему, мережної плати) і визначити їхній стан (відобразити в протоколі), після чого припинити доступ до інформації за допомогою цих пристроїв;
зафіксувати (відобразити в протоколі) результати своїх дій і реакції комп'ютера на них;
Пошук і вилучення інформації і слідів дії на неї безпосередньо на носіях інформації ЕОМ і її пристроях.
В комп'ютері інформація може знаходитися в оперативної пам;яті комп;ютера (ОЗУ), що запам'ятовує, при виконанні програми (при виключенні комп'ютера вона втрачається назавжди і звичайно втрачається при припиненні роботи програми) і на зовнішніх носіях (вінчестерах, дискетах, дисках і т.п.).
Вивчення і аналіз носіїв повинно проводитися з обов'язковою участю фахівця.
Перелік інформації, яка може бути знайдена: паролі, інші ідентифікуючі ознаки користувачів, технічна документація, графічні зображення і схеми пристроїв, шкідливі і вірусні програми, їхній початковий код і засоби розробки.
Пошук слід здійснювати по всій файловій системі, незалежно від назв, включаючи "приховані" файли і їхні структури. Особливу увагу слід звертати на так звані балка-файли (журнали роботи програм), де може зберігатися важлива інформація про час і дату того або іншої дії. лочинець тим або іншим способом міг спілкуватися з іншими людьми, тому обов'язковій перевірці підлягають бази повідомлень поштових програм, "історія" повідомлень програм online-спілкування (ICQ, Odigo і т.п.), тимчасовий кеш програми-браузера.
Найбільш ефективним і простим способом фіксації невеликих текстових даних або зображень є роздрукування їх на папір, іншу інформацію рекомендується вилучати разом з носієм.
Огляд комп'ютерів і вилучення інформації здійснюється у присутності понятих, яким роз'яснюється суть вчинюваних дій і надаються роздруківки інформації, виготовлені в ході огляду, під розпис.
Пошук і вилучення інформації і слідів дії на неї за межами ЕОМ
В ході оглядів у справах даної категорії можуть бути знайдені і вилучені наступні види важливих документів за межами ЕОМ, які можуть стати речовими доказами у справі:
документи, що містять сліди завершеного злочину, - телефонні рахунку, паролі і коди доступу, щоденники і ін.;
документи із слідами дії апаратури. Завжди слід шукати в пристроях висновку (наприклад, в принтерах) паперових носіїв інформації, які могли залишитися усередині них в результаті забудькуватості злочинця;
документація на апаратуру і програмне забезпечення;
документи, що встановлюють правила роботи з ЕОМ, нормативні акти, що регламентують правила роботи з даною ЕОМ, системою, мережею, доводять, що злочинець їх знав і умисно порушував;
особисті документи підозрюваного або звинуваченого.
3.3 Використання спеціальних знань.
Специфіка даної категорії злочинів така, що юрист-слідчий, як правило, не володіє спеціальними знаннями в цій галузі. Припущення про те, що той або інший комп'ютер або носій є сховищем важливої для даної справи інформації, є звичайно вірогідністю, слідчий не володіє доказовою інформацією, в кращому разі лише оперативною, необхідними технічними навиками для її безпечного вилучення він також не володіє. Тому фахівці необхідні для участі в обшуках, оглядах, виїмках як у стадії попереднього розслідування, так і у стадії порушення кримінальної справи.
Р.С. Белкін, аналізуючи і узагальнюючи думки противників проведення експертизи у стадії порушення кримінальної справи, стверджує, що її проведення може стати важливим, а іноді і єдиним способом отримання достатніх даних, що вказують на ознаки злочину, включаючи статтю кримінального закону, по ознаках якої буде порушено кримінальну справу. Саме до подібної категорії злочинів, з урахуванням її латентності і інших специфічних ознак, вказаних вище, повною мірою застосовні вимоги про якнайраніший вступ фахівця до процесу.
В.Б. Вєхов склав перелік технічних фахівців, рекомендованих в якості сторонніх експертів: програмісти, системні аналітики, особи, досвідчені в інформатиці, оператори ЕОМ, інженери по засобах зв'язку і телекомунікаційному устаткуванні, інженери по обслуговуванню комп'ютерної техніки, по забезпеченню безпеки комп'ютерних систем, по веденню банківського обліку з використанням засобів комп'ютерної техніки", і вказав на те, що участь таких фахівців повинна бути обов'язковою.
Пошук таких фахівців слід проводити на підприємствах і в установах, що здійснюють обслуговування і експлуатацію комп'ютерної і комунікаційної техніки, в учбових і науково-дослідних організаціях. Не рекомендується використовувати фахівців з числа персоналу потерпілого, оскільки велика вірогідність здійснення ким-небудь з них злочину або приховання в процесі досліджень інших фактів, що можуть мати значення для справи.
Проте, разове залучення подібного роду фахівців малоефективне і не може забезпечити розвиток науково обгрунтованих рекомендацій в галузі проведення експертиз, накопичення знань про закономірності функціонування комп'ютерних систем і про процедури і методи роботи з комп'ютерною інформацією. З урахуванням цього, В.Б. Вєхов звертав увагу на необхідність як підвищення спеціальної кваліфікації співробітників правоохоронних органів, так і створення спеціальних підрозділів по боротьбі з комп'ютерною злочинністю, використання штатного фахівця в цій галузі в кожному підрозділі правоохоронних органів.