Огляд місця події при розслідуванні "комп’ютерних ” злочинів.
Серед криміналістичних проблем, які поста¬ли перед правоохоронними органами при розслідуванні злочинів у сфері використання ЕОМ (комп'ю-терів), систем та комп'ютерних мереж, виділя¬ють відсутність методики збирання так званих «електронних» доказів. Більшість останніх отримується при проведенні огляду місця по¬дії.
При огляді місця події під час розслідування «ком¬п'ютерних» злочинів робота слідчого, крім ви¬явлення, фіксації і вилучення традиційних слідів, поля¬гає й у виявленні, фіксації і вилученні так званих слідів модифікації інформації. Як прави¬ло, останні залишаються на магнітних носіях (твердих дисках ЕОМ, дискетах, магнітних стрічках, лазерних і магнітооптичних дисках), що можуть бути з дотриманням встановленого КПК України порядку вилучені і приєднані до кримінальної справи як речовий доказ.
При огляді місця події, пов'язаного з вилу¬ченням комп'ютерної техніки і носіїв інфор¬мації, виникає ряд загальних проблем щодо специфіки технічних засобів, які вилучають¬ся. Розглянемо їх докладніше.
Оскільки знаряддями вчинення вказаних злочинів є засоби комп'ютерної техніки, в то¬му числі й спеціальне програмне забезпечен¬ня, огляду в першу чергу підлягають саме вони.
Слідчий, який виїжджає на огляд місця по¬дії, повинен мати при собі наступні речі:
- відформатовані дискети різних форматів, які будуть використовуватись для накопичення вилученої з обшукуваного комп'ютера ін¬формації;
- велику кількість липкої стрічки чи інших засобів захисту дисків від запису;
- пакет універсальних програм-утиліт для забезпечення безперешкодного і ефективного вилучення з комп'ютера доказової інформа¬ції.
- набори кольорових наклейок для марку¬вання вилучених речей.
- папір для принтера;
- системні дискети, тобто ті, з яких можли¬во ініціювати роботу операційної системи;
- програми виявлення комп'ютерних віру¬сів для захисту комп'ютерної системи від мож¬ливих ушкоджень через обладнання, яке ви-користовує слідчий (це можуть бути як диске¬ти, виявлені на місці події, так і програми,отримані через канали зв'язку);
Першочерговими діями слідчого на місці події мають бути:
— вжиття заходів щодо збереження ситуації такою, якою вона була до моменту прибуття з метою запобігання знищенню інформації: ви¬вести всіх осіб із зони доступу до обладнання, запобігти втручанню у систему через лінії зв'язку (зокрема, через модеми), а також вне¬сення змін у роботу системи. Якщо в при¬міщенні знаходяться декілька комп'ютерів, об'єднаних між собою в мережу, слідчий по¬ винен попросити осіб, які за ними працюють, залишити місця роботи і відійти від цих ком¬п'ютерів.
- проведення відеозапису місця події для фіксації поточного стану операційної системи комп'ютера та порядку розташування його об-ладнання;
- проведення фотозйомки серійних номе¬рів та номерів моделей комп'ютерного облад¬нання;
- нумерація комп'ютерного обладнання від¬повідно до його розташування на місці події.
Досить доречно В. Лісовий відзначає заборонені дії під час проведення огляду:
o відразу торкатися клавіатури (оскільки на ній можуть бути відбитки пальців рук злочин¬ця. Крім того, комп'ютер може бути запрогра¬мований на автоматичне знищення інформа¬ції через натискання на будь-яку клавішу);
- від'єднувати комп'ютер від джерела жив¬лення;
- у будь-який спосіб змінювати поточний стан операційної системи комп'ютера.
По прибуттю на місце події і після виконан¬ня зазначених вище дій слідчий у такій по¬слідовності має обстежити і описати у прото¬колі:
- комп'ютерне обладнання та програмне забезпечення. Особливу увагу варто звертати на так називані лог-файли (жур¬нали роботи програм), де може зберігатися важ¬лива інформація. Більшість систем створюють лог-файли як частину їх звичайної діяльності. Щоразу, коли система виконує певні операції, інформація про те, що відбувається (час і дата проведення даних операцій, суб'єкти виконан¬ня та перелік файлів, з якими дані операції про¬ведені), фіксується у лог-файлі. Зокрема, у них фіксується інформація: про входження або спробу входження в систему; про спробу від¬криття файлів, до яких у користувача немає до-зволу; коли він запускає програму.
- дискети та інші носії інформації;
- вся документація, знайдена на місці по¬дії;
- все периферійне обладнання (принтери, модеми, сканери, мережеві кабелі);
- роздруковані матеріали.
Після того, як все назване оглянуто і зафік¬совано у протоколі, його необхідно упакувати і опечатати. При розбиранні обладнання тре¬ба відмічати (маркувати) обидва кінці кабелів. Крім цього, проводиться фотографування за¬гального виду кімнати та складається план приміщення, де відображається місце знаходжен¬ня апаратури, її підключення та взаємне з'єд¬нання. Якщо комп'ютер приєднано до теле¬фонної мережі, з'ясовується: чи підключений комп'ютер до неї за допомогою модему. Якщо це телефонний роз'єм, необхідно відключити його. Якщо він підключений через модем, то вимикається напруга даного пристрою (не комп'ютера), в протокол записується номер використаного при з'єднанні телефону.
Потім вимикається монітор, процесор та відключається напруга. При цьому в протоко¬лі слідчої дії та додатку-схемі до нього ретель¬но фіксується місцезнаходження ПК і його периферійних приладів, описується порядок з'єднання між собою вказаних приладів, із за¬значенням особливостей (колір, кількість з'єднувальних роз'ємів, їх специфікація) з'єд¬нувальних проводів і кабелів; перед роз'єд¬нанням корисно здійснити відеозапис чи фо¬тографування місць з'єднань. Носії інформа¬ції окремо упаковуються і помішуються в обо-лонки, які не несуть заряду статичної електрики.
Портативні комп'юте¬ри, дискети, окремо змонтовані жорсткі диски, носії інформації, що можуть використовува¬тися разом з комп'ютерами (касети, дискети, лазерні диски), також упаковуються в окремі опечатані пакети чи коробки. В протоколі за¬значаються номери печаток. При упакуванні обладнання необхідно, щоб воно мало темпе¬ратуру оточуючого середовища.
Комп'ютери та їх комплектуючі опечатуються шляхом наклеювання на місця з'єднань арку¬шів паперу, із закріпленням їх країв на боко¬вих стінках комп'ютера густим клеєм або клейкою стрічкою, щоб виключити роботу з ними у відсутності власника або експерта. Магнітні носії упаковуються та транспортую¬ться у спеціальних екранованих контейнерах або у стандартних дискетних чи інших алю¬мінієвих футлярах заводського виготовлення, які виключають руйнівний вплив електромаг¬нітних і магнітних полів, направлених випро¬мінювань. Опечатуються тільки контейнери або футляри. Пояснювальні записи можуть на¬носитись лише на самонаклеювальні етикетки для дискет, причому спочатку робиться запис, а потім етикетка наклеюється на призначене для неї місце на дискеті. На етикетці має бути зафіксована наступна інформація:
— перелік файлів, записаних на цю дискету;
— паролі, необхідні для відкриття даних файлів;
— назва операційної системи, якій належать записані файли;
— інформація про можливий чи наявний зміст файлу.
Якщо на дискеті вже є етикетка з яким-не-будь написом, проставляється тільки поряд¬ковий номер, а пояснювальні написи під ним робляться на окремому аркуші, який вклада¬ється до коробки. Неприпустимо приклеювати будь-що безпосередньо на магнітний но¬сій, пропускати через нього нитку, пробивати отвори, робити надписи, помітки, ставити пе¬чатки тощо. Усе вилучене необхідно якомога швидше передати у розпорядження експерта або фахівця для подальшого вивчення.
Огляд комп'ютерів і вилучення інформації проводиться в присутності понятих, що роз¬писуються на роздруківках інформації, виго¬товлених у ході огляду. Як понятих слід запро¬шувати людей, котрі мають необхідні знання у галузі комп'ютерної техніки. Нерозуміння змісту виконуваних правоохоронцями дій для людини, запрошеної як понятий, а пізніше — допитаної у суді, може не переконати остан¬ній у визнанні тих чи інших обставин доказа¬ми. Понятими бажано запрошувати праців¬ників того підприємства, організації, устано¬ви, фірми, компанії, в якій проводиться огляд чи обшук, за умови, що вони не зацікавлені у вирішенні справи.
Що стосується речових доказі у вигляді ЕОМ, вилучених з місця події, то вони потребують особливої аку¬ратності при транспортуванні та збереженні. Їм протипоказані різкі кидки, удари, підвищені температури, вологість, задимленість (у тому числі тютюно¬вий дим) та запиленість. Всі ці зовнішні фактори можуть спричинити втрату даних, інформації та властивостей апаратури. При роботі з магнітними носія¬ми інформації забороняється доторкатися руками до робочої поверхні дисків, піддавати їх електромагнітному впливу, підвергати деформації, зберігати без спеціальних контейнерів. Необхідно уникати попадання дрібних часток та по¬рошків на робочі частини пристроїв введення-виведення інформації комп'ютерів. Слід пам'ятати, що діапазон припустимих температур при збе¬реженні та транспортуванні даних засобів - від 0 до 50 °С.
Необхідно враховувати і той фактор, що деякі користувачі (особливо некваліфіковані) записують на окре¬мих паперових листках процедуру входу та виходу з комп'ютерної системи, а також паролі доступу, варто вилучити також всі записи, що відносяться до ро¬боти ЕОМ.
В наслідок того, що багато комерційних та державних структур звертають-ся до послуг позаштатних і тимчасово працюючих фахівців щодо обслугову-вання ЕОМ, варто встановити дані всіх осіб, які знаходяться на об'єкті, неза-лежно від їх пояснень мети перебування на об'єкті.
Дотримання співробітниками правоохорон¬них органів наведених вище рекомендацій щодо проведення огляду місця події, на мою думку, сприятиме підвищенню ефективності і правильності розслідування «комп'ютерних» злочинів.
При огляді місця події під час розслідування «ком¬п'ютерних» злочинів робота слідчого, крім ви¬явлення, фіксації і вилучення традиційних слідів, поля¬гає й у виявленні, фіксації і вилученні так званих слідів модифікації інформації. Як прави¬ло, останні залишаються на магнітних носіях (твердих дисках ЕОМ, дискетах, магнітних стрічках, лазерних і магнітооптичних дисках), що можуть бути з дотриманням встановленого КПК України порядку вилучені і приєднані до кримінальної справи як речовий доказ.
При огляді місця події, пов'язаного з вилу¬ченням комп'ютерної техніки і носіїв інфор¬мації, виникає ряд загальних проблем щодо специфіки технічних засобів, які вилучають¬ся. Розглянемо їх докладніше.
Оскільки знаряддями вчинення вказаних злочинів є засоби комп'ютерної техніки, в то¬му числі й спеціальне програмне забезпечен¬ня, огляду в першу чергу підлягають саме вони.
Слідчий, який виїжджає на огляд місця по¬дії, повинен мати при собі наступні речі:
- відформатовані дискети різних форматів, які будуть використовуватись для накопичення вилученої з обшукуваного комп'ютера ін¬формації;
- велику кількість липкої стрічки чи інших засобів захисту дисків від запису;
- пакет універсальних програм-утиліт для забезпечення безперешкодного і ефективного вилучення з комп'ютера доказової інформа¬ції.
- набори кольорових наклейок для марку¬вання вилучених речей.
- папір для принтера;
- системні дискети, тобто ті, з яких можли¬во ініціювати роботу операційної системи;
- програми виявлення комп'ютерних віру¬сів для захисту комп'ютерної системи від мож¬ливих ушкоджень через обладнання, яке ви-користовує слідчий (це можуть бути як диске¬ти, виявлені на місці події, так і програми,отримані через канали зв'язку);
Першочерговими діями слідчого на місці події мають бути:
— вжиття заходів щодо збереження ситуації такою, якою вона була до моменту прибуття з метою запобігання знищенню інформації: ви¬вести всіх осіб із зони доступу до обладнання, запобігти втручанню у систему через лінії зв'язку (зокрема, через модеми), а також вне¬сення змін у роботу системи. Якщо в при¬міщенні знаходяться декілька комп'ютерів, об'єднаних між собою в мережу, слідчий по¬ винен попросити осіб, які за ними працюють, залишити місця роботи і відійти від цих ком¬п'ютерів.
- проведення відеозапису місця події для фіксації поточного стану операційної системи комп'ютера та порядку розташування його об-ладнання;
- проведення фотозйомки серійних номе¬рів та номерів моделей комп'ютерного облад¬нання;
- нумерація комп'ютерного обладнання від¬повідно до його розташування на місці події.
Досить доречно В. Лісовий відзначає заборонені дії під час проведення огляду:
o відразу торкатися клавіатури (оскільки на ній можуть бути відбитки пальців рук злочин¬ця. Крім того, комп'ютер може бути запрогра¬мований на автоматичне знищення інформа¬ції через натискання на будь-яку клавішу);
- від'єднувати комп'ютер від джерела жив¬лення;
- у будь-який спосіб змінювати поточний стан операційної системи комп'ютера.
По прибуттю на місце події і після виконан¬ня зазначених вище дій слідчий у такій по¬слідовності має обстежити і описати у прото¬колі:
- комп'ютерне обладнання та програмне забезпечення. Особливу увагу варто звертати на так називані лог-файли (жур¬нали роботи програм), де може зберігатися важ¬лива інформація. Більшість систем створюють лог-файли як частину їх звичайної діяльності. Щоразу, коли система виконує певні операції, інформація про те, що відбувається (час і дата проведення даних операцій, суб'єкти виконан¬ня та перелік файлів, з якими дані операції про¬ведені), фіксується у лог-файлі. Зокрема, у них фіксується інформація: про входження або спробу входження в систему; про спробу від¬криття файлів, до яких у користувача немає до-зволу; коли він запускає програму.
- дискети та інші носії інформації;
- вся документація, знайдена на місці по¬дії;
- все периферійне обладнання (принтери, модеми, сканери, мережеві кабелі);
- роздруковані матеріали.
Після того, як все назване оглянуто і зафік¬совано у протоколі, його необхідно упакувати і опечатати. При розбиранні обладнання тре¬ба відмічати (маркувати) обидва кінці кабелів. Крім цього, проводиться фотографування за¬гального виду кімнати та складається план приміщення, де відображається місце знаходжен¬ня апаратури, її підключення та взаємне з'єд¬нання. Якщо комп'ютер приєднано до теле¬фонної мережі, з'ясовується: чи підключений комп'ютер до неї за допомогою модему. Якщо це телефонний роз'єм, необхідно відключити його. Якщо він підключений через модем, то вимикається напруга даного пристрою (не комп'ютера), в протокол записується номер використаного при з'єднанні телефону.
Потім вимикається монітор, процесор та відключається напруга. При цьому в протоко¬лі слідчої дії та додатку-схемі до нього ретель¬но фіксується місцезнаходження ПК і його периферійних приладів, описується порядок з'єднання між собою вказаних приладів, із за¬значенням особливостей (колір, кількість з'єднувальних роз'ємів, їх специфікація) з'єд¬нувальних проводів і кабелів; перед роз'єд¬нанням корисно здійснити відеозапис чи фо¬тографування місць з'єднань. Носії інформа¬ції окремо упаковуються і помішуються в обо-лонки, які не несуть заряду статичної електрики.
Портативні комп'юте¬ри, дискети, окремо змонтовані жорсткі диски, носії інформації, що можуть використовува¬тися разом з комп'ютерами (касети, дискети, лазерні диски), також упаковуються в окремі опечатані пакети чи коробки. В протоколі за¬значаються номери печаток. При упакуванні обладнання необхідно, щоб воно мало темпе¬ратуру оточуючого середовища.
Комп'ютери та їх комплектуючі опечатуються шляхом наклеювання на місця з'єднань арку¬шів паперу, із закріпленням їх країв на боко¬вих стінках комп'ютера густим клеєм або клейкою стрічкою, щоб виключити роботу з ними у відсутності власника або експерта. Магнітні носії упаковуються та транспортую¬ться у спеціальних екранованих контейнерах або у стандартних дискетних чи інших алю¬мінієвих футлярах заводського виготовлення, які виключають руйнівний вплив електромаг¬нітних і магнітних полів, направлених випро¬мінювань. Опечатуються тільки контейнери або футляри. Пояснювальні записи можуть на¬носитись лише на самонаклеювальні етикетки для дискет, причому спочатку робиться запис, а потім етикетка наклеюється на призначене для неї місце на дискеті. На етикетці має бути зафіксована наступна інформація:
— перелік файлів, записаних на цю дискету;
— паролі, необхідні для відкриття даних файлів;
— назва операційної системи, якій належать записані файли;
— інформація про можливий чи наявний зміст файлу.
Якщо на дискеті вже є етикетка з яким-не-будь написом, проставляється тільки поряд¬ковий номер, а пояснювальні написи під ним робляться на окремому аркуші, який вклада¬ється до коробки. Неприпустимо приклеювати будь-що безпосередньо на магнітний но¬сій, пропускати через нього нитку, пробивати отвори, робити надписи, помітки, ставити пе¬чатки тощо. Усе вилучене необхідно якомога швидше передати у розпорядження експерта або фахівця для подальшого вивчення.
Огляд комп'ютерів і вилучення інформації проводиться в присутності понятих, що роз¬писуються на роздруківках інформації, виго¬товлених у ході огляду. Як понятих слід запро¬шувати людей, котрі мають необхідні знання у галузі комп'ютерної техніки. Нерозуміння змісту виконуваних правоохоронцями дій для людини, запрошеної як понятий, а пізніше — допитаної у суді, може не переконати остан¬ній у визнанні тих чи інших обставин доказа¬ми. Понятими бажано запрошувати праців¬ників того підприємства, організації, устано¬ви, фірми, компанії, в якій проводиться огляд чи обшук, за умови, що вони не зацікавлені у вирішенні справи.
Що стосується речових доказі у вигляді ЕОМ, вилучених з місця події, то вони потребують особливої аку¬ратності при транспортуванні та збереженні. Їм протипоказані різкі кидки, удари, підвищені температури, вологість, задимленість (у тому числі тютюно¬вий дим) та запиленість. Всі ці зовнішні фактори можуть спричинити втрату даних, інформації та властивостей апаратури. При роботі з магнітними носія¬ми інформації забороняється доторкатися руками до робочої поверхні дисків, піддавати їх електромагнітному впливу, підвергати деформації, зберігати без спеціальних контейнерів. Необхідно уникати попадання дрібних часток та по¬рошків на робочі частини пристроїв введення-виведення інформації комп'ютерів. Слід пам'ятати, що діапазон припустимих температур при збе¬реженні та транспортуванні даних засобів - від 0 до 50 °С.
Необхідно враховувати і той фактор, що деякі користувачі (особливо некваліфіковані) записують на окре¬мих паперових листках процедуру входу та виходу з комп'ютерної системи, а також паролі доступу, варто вилучити також всі записи, що відносяться до ро¬боти ЕОМ.
В наслідок того, що багато комерційних та державних структур звертають-ся до послуг позаштатних і тимчасово працюючих фахівців щодо обслугову-вання ЕОМ, варто встановити дані всіх осіб, які знаходяться на об'єкті, неза-лежно від їх пояснень мети перебування на об'єкті.
Дотримання співробітниками правоохорон¬них органів наведених вище рекомендацій щодо проведення огляду місця події, на мою думку, сприятиме підвищенню ефективності і правильності розслідування «комп'ютерних» злочинів.
