3. Расследование преступления
3.1. Фабула и предварительный план расследования
Фабула
10 ноября 2002 г. членами организованной преступной группы был осуществлен несанкционированный доступ к средствам компьютерной техники коммерческого банка «Альянс». И в течение суток банк не смог нормально осуществлять все операции по платежам. Только прямой ущерб составил около 60 тысяч рублей.
В результате осмотра места преступления и осмотра компьютерной сети банка было обнаружено следующее. В программном обеспечении компьютерной сети банка выявлен «вирус». В 10.30 часов из-за «вируса» главный сервер отключил всю компьютерную сеть и заблокировал ее.
В ходе расследования были задержаны гр-не Т. и П. И у них были изъяты мощные компьютеры и программной обеспечение с компьютерными «вирусами».
Предварительный план расследования преступления.
«УТВЕРЖДАЮ»
Прокурор г. Саратова советник
юстиции Демидов Н.М. _________
10 ноября 2002 года
ПЛАН
расследования по уголовному делу №11764,
возбужденному по факту несанкционированного доступа к средствам компьютерной техники коммерческого банка «Альянс»
В целях раскрытия преступления, совершенного в отношении коммерческого банка «Альянс», установления лица (лиц), его совершивших, и проверки следственно-оперативным путем вероятных версий совершения преступления необходимо следующее:
1) Вопросы и обстоятельства, общие для всех версий:
1. Назначить по делу судебно-бухгалтерскую экспертизу для определения, имеются ли нарушения требований положений о документообороте и установления лиц, ответственных за эти преступления.
Исполнители: следователь Срок: 5 декабря 2002 года.
2. Назначить по делу программно-техническую судебную экспертизу для определения места, с которого был произведен несанкционированный доступ в систему, и ряда других технических деталей преступления.
Исполнители: следователь Срок: 5 декабря 2002 года.
3. В случае установления личности подозреваемого назначить по делу дополнительную дактилоскопическую экспертизу по изъятым на месте происшествия отпечаткам пальцев рук.
Исполнители: следователь Срок: в ходе расследования
Версия 1. Несанкционированный доступ совершен с целью хулиганства.
1. Провести осмотр и фиксацию состояния ЭВМ, сетей ЭВМ и машинных носителей, допросы лиц, обеспечивающих работу информационной системы банка.
Исполнители: следователь Срок: до 15 ноября 2002 года.
Версия 2. Несанкционированный доступ произведен из корыстных побуждений (с целью хищения денежных средств или получения информации) бывшим работником банка.
1. Оперативным путем установить и проверить на причастность к совершению преступления лиц, ранее работающих в банке.
Исполнители: следователь Срок: до 20 ноября 2002 года.
Версия 3. Несанкционированный доступ произведен из корыстных побуждений (с целью хищения денежных средств или получения информации) «по найму» сотрудником банка.
1. Оперативным путем установить и проверить на причастность к совершению преступления лиц, работающих в банке.
2. Следственно-оперативным путем установить лиц, из числа сотрудников банка, у которых могут иметься соответствующие компьютерные знания и аппаратура. Провести обыски по месту их жительства.
Исполнители: следователь Срок: до 20 ноября 2002 года.
Следователь прокуратуры
Волжского района г. Саратова
юрист 2 класса Иванов И.П.
3.2. План расследования
«УТВЕРЖДАЮ»
Прокурор г. Саратова советник
юстиции Демидов Н.М. _________
10 ноября 2002 года
ПЛАН
расследования по уголовному делу №11764,
возбужденному по факту несанкционированного доступа к средствам
компьютерной техники коммерческого банка «Альянс»
В целях раскрытия преступления, совершенного в отношении коммерческого банка «Альянс», установления лица (лиц), его совершивших, с учетом данных полученных на первоначальном этапе расследования, следует выдвинуть следующую версию:
Несанкционированный доступ произведен из корыстных побуждений (с целью хищения денежных средств или получения информации) бывшим работником банка Т и его подельником П.
Для проверки следственно-оперативным путем данной версии совершения преступления необходимо:
1. Получить образцы отпечатков пальцев рук подозреваемых гр. Т., П.
Исполнители: следователь Срок: 30 ноября 2002 года.
2. Назначить по делу дополнительную дактилоскопическую экспертизу по изъятым на месте происшествия отпечаткам пальцев рук и проверить их на принадлежность гр. Т., П.
Исполнители: следователь Срок: 30 ноября 2002 года.
3. Следственно-оперативным путем (путем проведения опроса и допросов работников банка и сослуживцев) установить, имелось ли соответствующая аппаратура у гр. Т. Провести обыски по месту жительства Т., П. и принять меры по обнаружению и изъятию аппаратуры.
Исполнители: следователь Срок: 30 ноября 2002 года.
4. Предъявить гр. П. на опознание сослуживцам Т.
5. В случае дачи подозреваемыми признательных показаний провести с их участием проверку показаний на месте совершения преступлений.
Исполнители: следователь Срок: в ходе расследования.
Следователь прокуратуры
Волжского района г. Саратова
юрист 2 класса Иванов И.П.
3.3. Практические особенности отдельных следственных
действий
При расследовании компьютерных преступлений можно выделить три типичные следственные ситуации:
1. Собственник информационной системы собственными силами выявил нарушение целостности / конфиденциальности информации в системе, обнаружил виновное лицо и заявил об этом в правоохранительные органы.
2. Собственник информационной системы собственными силами выявил нарушение целостности / конфиденциальности информации в системе, не смог обнаружить виновное лицо и заявил об этом в правоохранительные органы.
3. Данные о нарушении целостности/конфиденциальности информации в информационной системе и виновном лице стали общеизвестными или непосредственно обнаружены органом дознания (например, в ходе проведения оперативно-розыскных мероприятий по другому делу).
При наличии заподозренного виновного лица первоначальная задача следствия заключается в сборе с помощью собственника информационной системы и процессуальной фиксации доказательств:
а) нарушения целостности/конфиденциальности информации в системе;
б) размера ущерба, причиненного нарушением целостности/конфиденциальности информации;
в) причинной связи между действиями, образующими способ нарушения, и наступившими последствиями путем детализации способа нарушения целостности/конфиденциальности информации в системе и характера совершенных виновным действий;
г) отношения виновного лица к совершенным действиям и наступившим последствиям.
Т.к. подозреваемые задержаны сразу же после совершения преступления, для данной ситуации характерны следующие первоначальные следственные действия:
а) личный обыск задержанных;
б) допрос задержанных;
в) обыск по месту жительства задержанных.
Осмотр и обыск (выемка) по делам данной категории являются важнейшими инструментами установления обстоятельств расследуемого события.
Известно, что главными процессуальными способами изъятия вещественных доказательств являются осмотр, обыск и выемка.
Следует напомнить, что осмотр – это непосредственное обнаружение, восприятие и исследование следователем материальных объектов, имеющих отношение к исследуемому событию. Обыск – следственное действие, в процессе которого производится поиск и принудительное изъятие объектов, имеющих значение для правильного решения задач уголовного судопроизводства. Выемка – следственное действие, в процессе которого производится изъятие объектов, имеющих значение для правильного решения задач уголовного судопроизводства, в тех случаях, когда их местонахождение точно известно следователю и изъятие прямо или косвенно не нарушает прав личности.
Носители информации, имеющей отношение к расследуемому событию, могут быть с соблюдением установленного УПК РФ порядка изъяты и приобщены к уголовному делу в качестве вещественного доказательства.
Для участия в обыске и выемке целесообразно приглашать специалиста в области компьютерной техники.
При осмотрах, обысках, выемках, сопряженных с изъятием ЭВМ, машинных носителей и информации возникает ряд общих проблем, связанных со спецификой изымаемых технических средств.
Так, необходимо предвидеть меры безопасности, предпринимаемые преступниками с целью уничтожения вещественных доказательств.
Например, они могут использовать специальное оборудование, в критических случаях создающее сильное магнитное поле, стирающее магнитные записи. Известна легенда о хакере, который создал в дверном проеме магнитное поле такой силы, что оно уничтожало магнитные носители информации при выносе их из его комнаты.
Преступник имеет возможность включить в состав программного обеспечения своей машины программу, которая заставит компьютер периодически требовать пароль, и, если несколько секунд правильный пароль не введен, данные в компьютере автоматически уничтожаются.
Желательно иметь с собой и использовать при обыске и осмотре устройство для определения и измерения магнитных полей.
Вещественные доказательства в виде ЭВМ, машинных носителей требуют особой аккуратности при транспортировке и хранении. Им противопоказаны резкие броски, удары, повышенные температуры, влажность. Все эти внешние факторы могут повлечь потерю данных, информации и свойств аппаратуры.
Не следует забывать при осмотрах и обысках о возможностях сбора традиционных доказательств (скрытых отпечатков пальцев на клавиатуре, выключателях и др., шифрованных рукописных записей и пр.).
Осмотру подлежат все устройства конкретной ЭВМ.
Фактически оптимальный вариант изъятия ЭВМ и машинных носителей информации – это фиксация их и их конфигурации на месте обнаружения и упаковка таким образом, чтобы аппаратуру можно было бы успешно, правильно и точно так же, как на месте обнаружения, соединить в лабораторных условиях или в месте производства следствия с участием специалистов.
Указанные следственные действия могут производиться с целями:
а) осмотра и изъятия ЭВМ и ее устройств;
б) поиска и изъятия информации и следов воздействия на нее в ЭВМ и ее устройствах;
в) поиска и изъятия информации и следов воздействия на нее вне ЭВМ.
По прибытии на место осмотра или обыска следует принять меры к обеспечению сохранности информации на находящихся здесь компьютерах и магнитных носителях. Для этого необходимо:
1) не разрешать кому бы то ни было из лиц, работающих на объекте обыска, прикасаться к работающим компьютерам, магнитным носителям, включать и выключать компьютеры;
2) самому не производить никаких манипуляций с компьютерной техникой, если результат этих манипуляций заранее не известен;
3) при наличии в помещении, где находятся СКТ и магнитные носители информации, взрывчатых, легковоспламеняющихся, токсичных и едких веществ или материалов как можно скорее удалить эти вещества в другое помещение.
Особенности производства осмотров и обысков
Если компьютер работает, ситуация для следователя, производящего следственное действие без помощи специалиста, существенно осложняется, однако и в этом случае не следует отказываться от оперативного изъятия необходимых данных.
В данной ситуации:
а) определить, какая программа выполняется. Для этого необходимо изучить изображение на экране дисплея и по возможности детально описать его.
После остановки программы и выхода в операционную систему иногда при нажатии функциональной клавиши «F3» можно восстановить наименование вызывавшейся последний раз программы.
Можно осуществить фотографирование или видеозапись изображения;
б) остановить исполнение программы. Остановка осуществляется одновременным нажатием клавиш Ctrl-C, либо Ctrl-Break;
в) зафиксировать (отразить в протоколе) результаты своих действий и реакции компьютера на них;
г) определить наличие у компьютера внешних устройств – накопителей информации на жестких магнитных дисках и виртуального диска;
д) определить наличие у компьютера внешних устройств удаленного доступа к системе и определить их состояние (отразить в протоколе), после чего разъединить сетевые кабели так, чтобы никто не мог изменить или стереть информацию в ходе обыска (например, отключить телефонный шнур из модема);
е) скопировать программы и файлы данных. Копирование осуществляется стандартными средствами ЭВМ или командой DOS COPY;
ж) выключить подачу энергии в компьютер и далее действовать по схеме «компьютер не работает».
Если компьютер не работает, следует:
а) точно отразить в протоколе и на прилагаемой к нему схеме местонахождение ПК и его периферийных устройств;
б) точно описать порядок соединения между собой этих устройств с указанием особенностей (цвет, количество соединительных разъемов, их спецификация) соединительных проводов и кабелей; перед разъединением полезно осуществить видеозапись или фотографирование мест соединения;
в) с соблюдением всех мер предосторожности разъединить устройства компьютера, предварительно обесточив его;
г) упаковать раздельно носители на дискетах и магнитных лентах и поместить их в оболочки, не несущие заряда статического электричества;
д) упаковать каждое устройство и соединительные кабели, провода;
е) защитить дисководы гибких дисков согласно рекомендации изготовителя (вставить новую дискету или часть картона в щель дисковода);
ж) особой осторожности требует транспортировка винчестера.
Поиск и изъятие информации и следов воздействия на нее в ЭВМ
и ее устройствах
В компьютере информация может находиться непосредственно в оперативном запоминающем устройстве (ОЗУ) при выполнении программы, в ОЗУ периферийных устройств и на внешних запоминающих устройствах (ВЗУ).
Наиболее эффективным и простым способом фиксации данных из ОЗУ является распечатка на бумагу информации, появляющейся на дисплее.
Если компьютер не работает, информация может находиться в ВЗУ и других компьютерах информационной системы или в «почтовых ящиках» электронной почты или сети ЭВМ.
Необходимо произвести детальный осмотр файлов и структур их расположения; лучше это осуществить с участием специалиста в лабораторных условиях или на рабочем месте следователя.
Следует обращать внимание на поиск так называемых «скрытых» файлов и архивов, где может храниться важная информация.
Периферийные устройства ввода-вывода могут также некоторое время сохранять фрагменты программного обеспечения и информации, однако для вывода этой информации необходимы глубокие специальные познания.
Осмотр компьютеров и изъятие информации производится в присутствии понятых, которые расписываются на распечатках информации, изготовленных в ходе осмотра.
В ходе осмотров по делам данной категории могут быть обнаружены и изъяты следующие виды важных документов, которые могут стать вещественными доказательствами по делу:
а) документы, носящие следы совершенного преступления, – телефонные счета, пароли и коды доступа, дневники связи и пр.;
б) документы со следами действия аппаратуры. Всегда следует искать в устройствах вывода (например, в принтерах) бумажные носители информации, которые могли остаться внутри их в результате сбоя в работе устройства;
в) документы, описывающие аппаратуру и программное обеспечение;
г) документы, устанавливающие правила работы с ЭВМ, нормативные акты, регламентирующие правила работы с данной ЭВМ, системой, сетью, доказывающие, что преступник их знал и умышленно нарушал;
д) личные документы подозреваемого или обвиняемого.
Комплекс неотложных следственных действий обязательных для первоначального этапа расследования также включает:
1. Проведение обыска в служебном помещении, на рабочем месте подозреваемого с целью обнаружения и изъятия физических носителей машинной информации и других документов, имеющих или возможно имеющих отношение к несанкционированному отношению программного обеспечения или носящих иные следы подготовки к хищению денежных средств.
2. Исследование:
Ø журналов сбойных ситуаций, рабочего времени ЭВМ, по передачи смен операторами;
Ø средств защиты и контроля банковских компьютерных систем, регистрирующих пользователей, моменты включения (активации) системы либо подключение к ним абонентов с определенным индексом или без такового;
Ø протоколов вечернего решения, представляющих собой копию действий операторов, отображенную на бумажном носителе в ходе вечерней обработки информации, которая проводится по истечении каждого операционного дня;
Ø контрольных чисел файлов;
Ø всего программного обеспечения ЭВМ;
Ø «прошитых» микросхем постоянно запоминающих устройств, микропроцессоров и их схемного исследования.
... техники: машинными носителями: аппаратурой и приспособлениями он располагал: где: на какие средства их приобрел и где хранил?" [6] 3? РАССЛЕДОВАНИЕ ПРЕСТУПЛЕНИЙ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ? 3?1? Расследование неправомерного доступа к компьютерной информации Согласно ст? 272 УК ответственность за деяние наступает при условии: если неправомерный доступ к компьютерной информации ...
... с применением полиграфических компьютерных технологий? 10. Охарактеризуйте преступные деяния, предусмотренные главой 28 УК РФ «Преступления в сфере компьютерной информации». РАЗДЕЛ 2. БОРЬБА С ПРЕСТУПЛЕНИЯМИ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ ГЛАВА 5. КОНТРОЛЬ НАД ПРЕСТУПНОСТЬЮВ СФЕРЕ ВЫСОКИХ ТЕХНОЛОГИЙ 5.1 Контроль над компьютерной преступностью в России Меры контроля над ...
... распространением на территории России глобальной сети Интернет. Так же необходимо осуществить следующие организационные и правовые меры: - по подбору в подразделения, занимающиеся расследованием преступлений в сфере компьютерной информации только специалистов имеющих исчерпывающие знания в данной области и дальнейшее постоянное и динамичное повышение их квалификации; - закрепить, в рамках ...
... и копирование информации, то правильно или относительно правильно их смогли определить лишь те сотрудники, чья специализация связана с расследованием преступлений в сфере компьютерной информации. Поэтому необходимо более тщательно проанализировать названые понятия. Существуют различные точки зрения на понимание неправомерного доступа к компьютерной информации. Так, одни авторы под неправомерным ...
0 комментариев