Исследованию компьютерной информации посвящено достаточно большое количество, прежде всего, англоязычных изданий. Это объясняется особенностями развития и распространения компьютерной техники в мировом масштабе. Именно те страны, в которых средства вычислительной техники (далее – СВТ) были распространены больше всего, первыми столкнулись с использованием компьютерной информации (далее – КИ), и СВТ в противоправных целях.

С точки зрения криминалистики компьютерной информацией (КИ) можно назвать информацию, представленную в цифровой форме, необходимой для ее хранения, обработки и передачи средствами вычислительной техники (СВТ). Ключом к пониманию доказательственного значения компьютерной информации является определение ее статуса по отношению к материальному миру. До сих пор многие юристы считают ее самостоятельным материальным объектом, существующим в СВТ. Так под компьютерной программой ими понимается некий самостоятельный материальный объект, который производит различные манипуляции с данными (создает, обрабатывает, удаляет и др.). В то же время любой технический специалист понимает, что программа – это набор инструкций, в соответствии с которыми СВТ оперирует с данными (сведениями, описывающими свойства материального мира). Понимание этого важно для правильного применения к компьютерной информации таких криминалистических понятий как идентификация, классификация и диагностика.

Так как в традиционной криминалистике понятие криминалистической идентификации (установлению единичного материального объекта по оставленным им следам) тесно связано с понятием взаимодействия объектов, то провести идентификацию объекта по компьютерной информации можно, только если в цифровой форме представлена информация об идентификационных свойствах объекта (в файлах в цифровой форме представлена аудио-, фото-, видео- и т. п. информация, полученная в результате так называемого конформного преобразования).

Поскольку программы представляют собой процессы обработки данных, их можно диагностировать (устанавливать свойства процессов), классифицировать (устанавливать наименования, сведения о правообладателях, авторах и т. п.). По данным, получаемым в результате работы программ, можно проводить классификацию таких программ, определять их характеристики (начальные/конечные/промежуточные условия процесса обработки информации).

По отношению к компьютерной информации либо к СВТ ее содержащему, данные преступления, сопряженные с использованием СВТ, можно классифицировать следующим образом:

• КИ, СВТ – предмет преступного посягательства (например, кража компьютерной информации, кража СВТ);

• КИ, СВТ – орудие преступления (например, фальшивомонетничество);

• КИ, СВТ – предмет преступного посягательства и одновременно орудие преступления, так называемые преступления в сфере компьютерной информации;

• КИ, СВТ – источник информации о преступном деянии.

Для исследования компьютерной информации, придания ей доказательственного значения необходимы соответствующие специальные знания в области цифровой криминалистики (в России используются наименования судебная компьютерная или судебная компьютерно-техническая экспертиза). Как правило, информацию о готовящемся, совершаемом, совершенном преступлении, сокрытии следов совершенного преступления можно извлечь из следующих объектов:

• систем обработки информации или отдельных функциональных устройств таких систем;

• системных блоков персональных компьютеров, ноутбуков, нетбуков и т. п.;

• машинных носителей (накопителей на жестких и гибких магнитных дисках, флеш-накопителей, карт памяти, оптических дисков и т. п.);

• мобильных телефонов, смартфонов, планшетных компьютеров, SIM-карт;

• навигаторов, трекеров;

• платежных пластиковых карт и скимминговых устройств;

• плат игровых автоматов;

• видеорегистраторов и проч.

§ 15.2. Организация работы с компьютерной информацией при производстве следственных действий

При проведении действий, направленных на изъятие компьютерной информации непосредственно на месте совершения преступления или выемку объектов, содержащих такую информацию для последующего криминалистического исследования, необходимо учитывать ряд обстоятельств, сопряженных с особенностями ее обработки и хранения.

Так, при изъятии компьютерной информации на предприятиях, в учреждениях и организациях осмотру может подлежать несколько десятков или сотен отдельно стоящих компьютеров (персональных компьютеров или серверов), территориально расположенных в различных помещениях, на разных этажах одного здания, в разных зданиях, в различных городах и странах. Искомая информация может быть расположена в хорошо охраняемом помещении или облачном хранилище. Последствия преступной деятельности могут проявиться в местах, территориально удаленных от лица, его совершившего, а следы данной деятельности могут быть оставлены в средствах вычислительной техники, расположенной по всему миру. При этом если ограничения на территорию, охватываемую следственным действием, существуют объективно, то для хранения, обработки и передачи информации такие ограничения могут отсутствовать, что при неблагоприятном стечении обстоятельств может привести к потере, подмене или уничтожению компьютерной информации.

При планировании следственных действий необходимо учитывать возможность использования преступниками средств защиты компьютерной информации от несанкционированного доступа, в том числе:

• дистанционно управляемых автономных устройств, предназначенных для экстренного уничтожения информации;

• аппаратных, программных, программно-аппаратных средств криптографической защиты информации, имеющих высокую криптоустойчивость.

Большое значение для лиц, проводящих следственные действия, является их осведомленность о методах размещения информации на носителях, способах ее обработки и форматах представления. Информация, имеющая доказательственное значение, может храниться не только в отдельных текстовых, графических, мультимедийных файлах, но и в базах данных (в том числе распределенных), файлах, имеющих специфическую структуру, для интерпретации которых необходимы специализированные СВТ. Компьютерная информация может интерпретироваться как с помощью широко распространенных прикладных программ, так и с помощью узкоспециализированного программного обеспечения, а также уникальных (созданных под конкретную задачу) программ. Требуемая информация может находиться на одном или нескольких компьютерах, серверах, высокоскоростных RAID-массивах. Устройства, предназначенные для хранения компьютерной информации, становятся все более миниатюрными, расширяются возможности их маскировки.

В настоящее время при изъятии СВТ и КИ допускаются следующие ошибки:

• изымаются персональные компьютеры, при последующем осмотре которых выясняется, что искомая информация хранилась на сервере;

• изымаются серверы, но в силу ряда обстоятельств, информация о преступных деяниях находилась на компьютерах конкретных работников и изъята не была;

• изымаются бездисковые рабочие станции;

• с момента начала следственного действия до момента изъятия компьютерной информации проходит время, достаточное для уничтожения искомой информации и (или) содержащих ее объектов (рис. 15.1, 15.2).

Рис. 15.1. Вид помещения, «подготовленного» к осмотру сотрудниками обыскиваемой организации

Рис. 15.2. Внешний вид поврежденного машинного носителя

• изымаются зашифрованные компьютеры, сведения о способах шифрации, ключах и паролях не устанавливаются;

• изымается все СВТ организации (персональные компьютеры, серверы, машинные носители информации, видеорегистраторы, мобильные телефоны и т. д. и т. п.). Ввиду большого количества объектов и объективно недостаточного числа специалистов в области исследования компьютерной информации они долго ждут своей очереди, чтобы быть осмотренными;

• изымаются базы данных, копии баз данных без средств их интерпретации, сведений об особенностях их конфигурационных настроек и т. п.

Данный перечень зависит от степени подготовленности сотрудников, участвующих в проведении следственного действия, а также подготовленности самого действия и постоянно пополняется.

В процессе подготовки следственных действий, сопряженных с поиском и изъятием доказательственной компьютерной информации нужно уяснить, в том числе в ходе консультаций со специалистами в области исследования компьютерной информации следующее:

• целесообразность проведения предварительных оперативно-технических мероприятий по установлению местонахождения и функционального назначения СВТ, наличия на них особых аппаратных либо программных средств защиты информации и возможностей доступа к защищаемой информации;

• способы изъятия компьютерной информации (копирование на собственные машинные носители, изъятие только машинных носителей, изъятие машинных носителей вместе с содержащими их СВТ и пр.);

• состав оборудования, необходимого для производства следственного действия;

• особенности тактики проведения следственного действия (последовательность осмотра помещений и СВТ в каждом помещении, целесообразность привлечения персонала, необходимость осмотра и порядок отключения СВТ, если на момент проведения следственного действия они будут находиться во включенном состоянии и пр.).

Необходимо помнить, что специалист в области исследования компьютерной информации не является одновременно специалистом в тех предметных областях, где применяются СВТ и компьютерная информация. Поэтому объективно не существует специалистов в сфере обработки компьютерной информации, которые во всех случаях без дополнительных сведений смогут ориентироваться на месте проведения следственного действия, давать грамотные советы и помогать в изъятии компьютерной информации.

Тактика проведения следственного действия зависит как от совершенного преступления, так и от того, кому принадлежат осматриваемые ресурсы – потерпевшему или лицу, подозреваемому в совершении преступления.

Как правило, при производстве таких действий рекомендуется:

• установить все СВТ, машинные носители, подлежащие осмотру/изъятию;

• опционально, снять образ оперативной памяти работающих компьютеров;

• составить схему расположения СВТ в помещениях, в которых проводится следственное действие, сфотографировать помещение и СВТ по правилам обзорной и узловой фотосъемки;

• осмотреть и скопировать информацию на включенных компьютерах в случаях:

• наличия на них криптоконтейнеров,

• необходимости в дальнейшем исследования распределенных баз данных;

• возможности доступа к облачным хранилищам и т. п.

• проверить соответствие показаний даты и времени, установленных на включенных СВТ, текущим показаниям даты и времени (обязательно для систем видеорегистрации);

• осуществить поиск сведений об именах пользователей и паролях доступа к различным информационным ресурсам (путем индивидуального опроса персонала, при осмотре рабочих мест и записей сотрудников);

• опционально, извлечь энергонезависимые носители информации из СВТ (НЖМД, флеш-накопителей, карт памяти, оптических носителей информации и т. п.);

• осмотреть машинные носители информации неразрушающими методами с целью исключения изъятия ненужных носителей информации.

• опционально, создать посекторные копии или образы машинных носителей информации (как правило, проводится по просьбе собственников машинных носителей или компьютерной информации). Могут быть использованы программные, аппаратно-программные либо аппаратные дубликаторы, Одновременно с копированием может быть вычислена хеш-функция копируемого носителя.

• выключить работающие СВТ, подлежащих в дальнейшем изъятию, либо способом прерывания электропитания (отключение кабеля от блока электрического питания, снятие аккумуляторной батареи и т. п.), либо корректно (в зависимости от наличия сведений о способах защиты информации).

Купить

Криминалистика. Учебник для бакалавров

В настоящем учебнике в доступной форме излагается полный курс криминалистики как учебной дисциплины, предусмотренной требованиями федерального государственного образовательного стандарта высшего образования по направлению подготовки 40.03.01 «Юриспруденция» (уровень бакалавриата). Освещены общая теория и методология криминалистики, раскрыто основное содержание криминалистической техники, тактики следственных действий и методики расследования наиболее опасных и распространенных преступлений. Отражены произошедшие за последние годы изменения в теории криминалистики, практике раскрытия и расследования преступлений в современных условиях, а также зарубежный опыт. Излагаемый материал проиллюстрирован схемами, рисунками и фотографиями, каждая глава содержит методические материалы (задачи, вопросы для обсуждения и т. д.).<br> Для студентов, аспирантов и преподавателей юридических вузов. Учебник может быть полезен также работникам органов дознания, следствия, суда и прокуратуры. <br><br> <h3><a href="https://litgid.com/read/kriminalistika_uchebnik_dlya_bakalavrov39680/page-1.php">Читать фрагмент...</a></h3>

419

Под ред. Бертовского Л.В. Криминалистика. Учебник для бакалавров

Внимание! Авторские права на книгу "Криминалистика. Учебник для бакалавров" ( Под ред. Бертовского Л.В. ) охраняются законодательством!

Криминалистика. Учебник для бакалавров

Оглавление

Для бесплатного чтения доступна только часть главы! Для чтения полной версии необходимо приобрести книгу

Глава 15.
Криминалистическое исследование компьютерной информации

§ 15.1. Понятие компьютерной информации

§ 15.2. Организация работы с компьютерной информацией при производстве следственных действий

ЛитГид

Помощь

Книги

ЛитГид в соцсетях

Криминалистика. Учебник для бакалавров

Оглавление

Для бесплатного чтения доступна только часть главы! Для чтения полной версии необходимо приобрести книгу

Глава 15.Криминалистическое исследование компьютерной информации

§ 15.1. Понятие компьютерной информации

§ 15.2. Организация работы с компьютерной информацией при производстве следственных действий

ЛитГид

Помощь

Книги

ЛитГид в соцсетях

Глава 15.
Криминалистическое исследование компьютерной информации