Методика расследования компьютерных преступлений

 


 


ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

КРАСНОДАРСКИЙ ЮРИДИЧЕСКИЙ УНИВЕРСИТЕТ

МИНИСТЕРСТВА ВНУТРЕННИХ ДЕЛ РОССИИ

 

Кафедра криминалистики

 

КУРСОВАЯ РАБОТА

по криминалистике

 

Тема: «Методика расследования компьютерных преступлений»

 

Выполнил:

курсант 342 учебной группы

мл. сержант полиции                                                                    Горбунов А.А.

 

Проверил:

преподаватель кафедры криминалистики старший лейтенант полиции Еремченко В.И.

 

 

 

К защите ________________________

(допущена, не допущена)

                    

Дата защиты «____» ____________ 20 ___ год                Оценка ____________

 

                                         

Краснодар 2012

Содержание

 

 

Введение

 

Рассматриваемая мною тема, несомненно, является актуальной, так как XXI век - век информационных технологий, которые динамично развиваются, о чем говорят следующие обстоятельства: большое количество интернет-провайдеров, постоянно растущее число пользователей, соответственно относительно недорогие тарифы и т.п.

Многочисленные преимущества современных компьютерных технологий создали новые условия, которые содействуют совершению преступлений на национальном и международном уровнях. Доходы преступников, связанные с незаконным использованием новейших компьютерных технологий, занимают третье место в мире после доходов от торговли наркотиками и оружием.

Расследование преступлений вышеуказанной категории представляет собой сравнительно новое веяние в уголовном судопроизводстве, вследствие негативной массовой компьютеризации в России, а именно криминализации сферы оборота компьютерной информации. Ведь в настоящее время  высокие технологии внедрились практически во все сферы нашей жизни и хозяйственной деятельности общества. Чаще всего информация, содержащаяся на компьютере, не хранится на бумаге,  в чем и заключается сложность в расследовании дел данной категории. Каждое рабочее место офисного работника, да и не только офисного, оборудовано компьютером, в связи, с чем возрастает количество компьютерных преступлений. Указанное обстоятельство вызвало необходимость в законодательной регламентации уголовной ответственности за совершение таких преступлений. Следует отметить, что компьютерные технологии зачастую становятся не только орудием, но и способом и  средством совершения традиционных преступлений, таких как, хищение путем растраты и присвоения, мошенничества, изготовление фальшивых денег и документов и т.д. Расследование и раскрытие преступлений в сфере компьютерной информации сопряжены с решением важной и сложной задачи, которая заключается в изъятии компьютерной информации и рассмотрением ее с точки зрения доказательства по уголовному делу.

Объект исследования – преступления в области компьютерных технологий.

Предмет исследования – методика расследования компьютерных преступлений.

Цель исследования – проанализировать основные направления методики расследования преступлений в сфере компьютерных технологий.

Задачи исследования:

- рассмотреть теоретико-прикладные  проблемы доказательств о преступлениях в области компьютерной информации;

- проанализировать информационное обеспечение борьбы с преступлениями в области высоких технологий;

- исследовать некоторые вопросы применения специальных познаний при расследовании неправомерного доступа к компьютерной информации;

- охарактеризовать основные следственные версии, выдвигаемые при расследовании преступлений в области компьютерной информации;

- рассмотреть  методику расследования преступлений  в сфере компьютерной информации;

- изучить особенности оперативно-розыскной деятельности при расследовании преступлений в сфере высоких технологий;

- рассмотреть  следственные ситуации и действия  следователя на первоначальном  этапе расследования преступлений  в сфере компьютерной информации;

- рассмотреть  действия следователя при производстве  следственных действий.

 

ГЛАВА 1. ТЕОРЕТИЧЕСКИЕ ВОПРОСЫ МЕТОДИКИ РАССЛЕДОВАНИЯ В ОБЛАСТИ КОМПЬЮТЕРНЫХ ТЕХНОЛОГИЙ

 

    1. Криминалистическая характеристика преступлений в сфере компьютерной информации

 

Преступления в сфере компьютерной информации закреплены в главе 28 Уголовного Кодекса РФ. В состав данной главы входят три статьи: неправомерный доступ к компьютерной информации (ст. 272 УК РФ), создание, использование и распространение вредоносных программ для ЭВМ (ст. 273 УК РФ), нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274 УК РФ). В представленных статьях предметом преступного посягательства выступает компьютерная информация. Поэтому необходимо дать понятие термину информация. Федеральный закон "Об информации, информатизации и защите информации" определяет ее как "сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления"1. Понятие «информационные ресурсы» тесно связано с понятием информации, под информационными ресурсами понимаются отдельные виды документов в целом и отдельные массивы документов. Говоря же о процессе доказывания, компьютерная информация определяется как фактические данные, обработанные на компьютере, полученные на его выходе в форме, доступной восприятию ЭВМ и человека, которые могут  быть переданы по телекоммуникационным и иным каналам. В свою очередь ЭВМ – это комплекс электронных устройств, позволяющий осуществлять предписанные программой (пользователем) информационные процессы: сбор, обработка, накопление, хранение, поиск и распространение информации. Информация в ЭВМ  может поступать через стандартные и нестандартные устройства ввода. Стандартными могут быть признаны - клавиатура и материальные накопители (гибкие и жесткие диски). К нестандартным устройствам вода относятся - мышь, модем, дигитайзер, сканер, аналого-цифровой преобразователь и др.

Блок устройств вывода информации позволяет получить результаты работы компьютера в привычном для пользователя виде.

Стандартным устройством вывода информации на экран является монитор (дисплей), иное устройство вывода - НГМД (НЖМД). Нестандартный вывод информации осуществляется через принтер, модем, плоттер (графопостроитель) и др. Для долговременного и надежного хранения данных создано множество устройств: магнитные и магнитооптические дисковые накопители, накопители на магнитной ленте и т.д.

Одним из основных элементов криминалистической характеристики, и особенно важным при расследовании преступлений в сфере компьютерной информации, является способ совершения и сокрытия преступлений2.

Рассмотрим более подробно способы использования вычислительной техники для достижения преступной цели:

  1. Создание компьютерной базы данных, которая содержит информацию о преступлении. Наиболее типичным являются, например, базы данных 
    о девушках, занимающихся проституцией, учета поступивших заказов, 
    а также доходов от сводничества, которые ведутся в диспетчерских соответствующих подпольных фирм.
  2. Использование ЭВМ и периферийных устройств в качестве полиграфической базы для проектирования и изготовления фальсифицированных (подложных) документов, денежных знаков, кредитных карточек и т. д.
  3. Использование электронных средств доступа (компьютерные, телекоммуникационные системы, кредитные карточки и т. д.) в целях хищения.
  4. Анализ трафика, который заключается в его прослушивании и расшифровки с целью сбора передаваемых паролей, ключей и т.д.
  5. Подмена IP-адресов, которая заключается в подмене IP-адреса пакетов, передаваемых по Интернету или любой другой глобальной сети.

Уровень латентности данной категории преступлений очень высок и составляет 90%, а из оставшихся 10% выявленных - раскрывается только 1%.

Способы совершения компьютерных преступлений можно представить следующим образом:

Методы перехвата:

1. Непосредственный перехват – старейший из используемых ныне способов. Требующееся оборудование можно приобрести в магазинах: микрофон, радиоприемник, кассетный диктофон, модем, принтер. Пере- 
хват данных осуществляется непосредственно через телефонный, 
канал системы, либо подключением к компьютерным сетям. Вся информация записывается на кассетный диктофон. Объектами подслушивания являются различные системы – кабельные и проводные, наземные микроволновые, сотовые, спутниковые и правительственные связи.

2. Электромагнитный перехват.  Используются перехватывающие 
устройства, работающие без прямого контакта. Можно уловить излучение центральным процессором, дисплеем, телефоном, принтером, линиями микроволновой связи, считывать данные с дисплейных термина 
лов при помощи доступных каждому простейших технических средств (дипольной антенны, телевизора). Преступники, находясь в автомашине или просто с приемником в портфеле на некотором расстоянии от здания, могут, не привлекая к себе внимания, легко узнавать данные, хранящиеся в памяти ЭВМ или используемые в процессе работы. Во время экспериментов удавалось получать сведения, которые выводились одновременно на 25 дисплейных терминалах, расположенных в непосредственной близости друг от друга, и отделять выведенные на каждый экран данные. Если к телевизору подключить видеомагнитофон, то информацию можно не только накопить, но и спокойно проанализировать позднее.

3. Использование "жучков" ("клопов") заключается в установке микрофона в компьютере с целью прослушивания разговоров персонала. Простой прием, обычно используемый как вспомогательный для получения информации о работе компьютерной системы, о персонале, о мерах безопасности применяемых персоналом и т. д.

4 "Уборка мусора" –  поиск данных, оставленных пользователем после работы на компьютере. Включает в себя два варианта физический и электронный. Физический вариант заключается в осмотре содержимого мусорных корзин и сбор оставленных за ненадобностью распечаток, а также деловой переписки и т. п. Электронный вариант основан на том, что последние из сохраненных данных обычно не стираются после завершения работы. Другой пользователь записывает только небольшую часть своей информации, а затем спокойно считывает предыдущие записи, выбирая нужную ему информацию. Таким способом могут быть обнаружены пароли и имена пользователей и т. п.

Методы несанкционированного доступа:

  1. "За дураком" – используется для входа в закрытые для доступа 
    помещения или терминалы. Данный метод также включает в себя два варианта несанкционированного доступа. Физический вариант состоит в том, чтобы, 
    взяв в руки как можно больше предметов, связанных с работой на компьютере, прохаживаться с деловым видом возле запертой двери, за ко- 
    торой находится терминал, и, когда появится законный пользователь, 
    уверенно пройти в дверь вместе с ним. Электронный вариант проходит, 
    когда компьютерный терминал незаконного пользователя подключается 
    к линии законного через телефонные каналы (Интернет) или когда пользователь выходит ненадолго, оставляя терминал в активном режиме. Вариантом является прием "за хвост": незаконный пользователь тоже 
    подключается к линии связи, а затем дожидается сигнала, обозначающего конец работы, перехватывает его и входит в систему, когда законный пользователь заканчивает активный режим.
  2. Компьютерный "абордаж". Хакеры, набирая на удачу один но- 
    мер за другим, дожидаются, пока на другом конце провода не отзовется чужой компьютер. После этого телефон подключается к приемнику 
    сигналов в собственной ЭВМ, и связь установлена. Остается угадать 
    код (а слова, которые служат паролем, часто банальны и берутся из 
    руководства по пользованию компьютера) и можно внедриться в чужую 
    компьютерную систему.
  3. Неспешный выбор – несанкционированный доступ к файлам законного пользователя осуществляется через слабые места в защите системы. Однажды 
    обнаружив их, нарушитель может не спеша исследовать содержащуюся 
    в системе информацию, копировать ее, возвращаться к ней много раз.
  4. "Маскарад" или "самозванство" – некто проникает в компьютерную систему, выдавая себя за законного пользователя. Системы, которые не обладают средствами аутентичной идентификации (например, 
    по физиологическим характеристикам: по отпечаткам пальцев, по рисунку сетчатки глаза, голосу и т. п.), оказываются без защиты против 
    этого приема. Самый простейший путь его осуществления – получить 
    коды и другие идентифицирующие шифры, коды законных пользователей. Так, 
    группа студентов послала всем пользователям университетского компьютера сообщение, что изменился его телефонный номер, и в качестве 
    нового назвала номер, запрограммированный так, чтобы отвечать в точности, как университетская ЭВМ. Пользователь, посылая вызов, набирал свой личный код, и студенты смогли составить перечень кодов и 
    использовать его в своих целях.
  5. Мистификация.  Пользователь с удаленного терминала случайно 
    подключается к чьей-то системе, будучи абсолютно уверенным, что он 
    работает с той системой, с какой и намеревался. Владелец этой системы, 
    формируя правдоподобные отклики, может какое-то время поддерживать это заблуждение, получая одновременно некоторую информацию, в 
    частности коды.
  6. "Аварийный". Использует тот факт, что в любом компьютерном 
    центре имеется особая программа, применяемая в случае возникновения сбоев или других отклонений в работе ЭВМ. Такая программа – мощный и опасный инструмент в руках злоумышленника. Этим способом 
    была совершена крупная кража в банке Нью-Джерси.
  7. "Склад без стен". Несанкционированный доступ осуществляется в 
    результате системной поломки. Например, если некоторые файлы пользователя остаются открытыми, он может получить доступ к не принадлежащим ему частям банка данных.

Методы манипуляции:

  1. Подмена данных – изменение или введение новых данных осуществляется, как правило, при вводе или выводе информации с ЭВМ. 
    Например, служащий одного нью-йоркского банка, изменяя входные 
    данные, похитил за 3 года 1,5 млн. долларов. В Пенсильвании (США) 
    клерк мебельного магазина, введя с терминала фальшивые данные, 
    украл товаров на 200 тыс. долларов.
  2. Манипуляции с пультом управления компьютера – механическое воздействие на технические средства машины создает возможности 
    манипулирования данными.
  3. "Троянский конь" – тайный ввод в чужую программу команд, 
    позволяющих, не изменяя работоспособность программы, осуществить 
    определенные функции. Этим способом преступники обычно отчисляют 
    на свой счет определенную сумму с каждой операции. Вариантом является "Салями", когда отчисляемые суммы малы и их потери практически незаметны (например, по 1 доллару с операции), а накопление осуществляется за счет большого количества операций. Это один из простейших и безопасных способов, особенно если отчисляются небольшие дробные суммы, поскольку в этих случаях обычно все равно делается округление. Но когда сумма мала в процентном отношении от значительных денежных переводов, вероятность раскрытия значительно повышается. Служащий американского банка, решив накопить деньги побыстрее, начал отчислять сразу по 100 долларов, но с очень крупных счетов и был раскрыт всего после 41 такой операции.
  4. "Бомба" – тайное встраивание в программу набора команд, которые должны сработать (или каждый раз срабатывать) при определенных условиях или в определенные моменты времени. Например, в США 
    получила распространение форма компьютерного вандализма, при ко- 
    торой "троянский конь" разрушает через какой-то промежуток времени 
    все программы, хранящиеся в памяти машины. Во многих поступивших 
    в продажу компьютерах оказалась "временная бомба", которая "взрывается" в самый неожиданный момент, разрушая всю библиотеку данных.
  5. Моделирование   процессов, в которые преступники хотят вмешаться, и планируемые методы совершения и сокрытия посягательства 
    для оптимизации способа преступления. Одним из вариантов является 
    реверсивная модель, когда создается модель конкретной системы, в которую вводятся реальные исходные данные и учитываются планируемые действия. Из полученных правильных результатов подбираются наиболее правдоподобные и желательные. Затем путем прогона модели назад, к началу, 
    выясняют результаты и устанавливают, какие манипуляции с исходными данными нужно проводить. Таких операций может быть несколько. 
    После этого остается только осуществить задуманное. Бухгалтер пароходной компании в Калифорнии (США) в целях подготовки хищения 
    смоделировал всю бухгалтерскую систему компании и установил, сколько фальшивых счетов ему необходимо и какие операции следует проводить. Модель бухгалтерского баланса подсказала ему, что при имеющихся пробелах в ревизионной службе 5% искажений не будут заметны. Для создания видимости реальной ситуации он организовал 17 подставных компаний, обеспечил каждую из них своим счетом и начал де 
    нежные операции, которые оказались настолько успешными, что в 
    первый год он похитил 250 тыс. долларов без какого-либо нарушения 
    финансовой деятельности компании. К тому времени, когда увеличенные выплаты вызвали подозрение –  даже не у самой компании, а у ее 
    банка, сумма хищения составила миллион долларов.
  6. "Воздушный змей" – способ, который весьма часто используется в России. В двух банках (но можно и в нескольких) открывают по 
    небольшому счету и переводят деньги из одного банка в другой и обрат- 
    но с постепенно повышающимися суммами. Хитрость заключается в том, 
    чтобы до момента, когда в банке обнаружится, что поручение о пере- 
    воде не обеспечено необходимой суммой, приходило бы извещение о 
    переводе в этот банк, так, чтобы общая сумма покрывала требование о 
    первом переводе. Цикл повторяется много раз до тех пор, пока на счете 
    не оказывается приличная сумма. Тогда деньги быстро снимаются и владелец счетов исчезает. На практике в такую игру включают большое 
    число банков: так сумма накапливается быстрее и число поручений о 
    переводе не достигает подозрительной частоты. Этим способом служащий банка в Лос-Анджелесе со своими сообщниками, который поручения о переводе, похитил 21,3 млн. долларов.

Следующим важным элементом криминалистической характеристики является личность преступника совершившего преступление. Правонарушители в сфере компьютерной информации условно могут быть разделены на две возрастные категории: первую категорию составляют лица в возрасте 14-20 лет, а вторую – лица в возрасте 21 года и старше. Представителями первой категории выступают старшеклассники или студенты младших курсов высших или средних специальных учебных заведений, которые ищут пути самовыражения и находят их, погружаясь в виртуальный мир компьютерных сетей. Чаще всего ими движет любопытство и желание проверить свои силы. Компьютерные преступники, относящиеся ко второй категории – это вполне сформировавшиеся личности, обладающими высокими профессиональными навыками и определенным жизненным опытом. Их действия носят осознанный корыстный характер, а преступники обладают устойчивыми преступными навыками. Зачастую  преступниками по данной категории дел становятся мужчины со свободолюбивым и эгоцентричным характером. В отдельную категорию можно выделить психически больных лиц, страдающих так называемыми  компьютерными фобиями (информационными болезнями). Данные  заболевания связаны с нарушениями в информационном режиме под воздействием внешних или внутренних дестабилизирующих факторов  как врожденного, так и приобретенного свойства. По существу, это есть не что иное, как профессиональное заболевание. Действия, совершаемые лицами этой категории, в основном направлены на физическое уничтожение либо повреждение средств компьютерной техники без наличия преступного умысла с частичной или полной потерей контроля над своими действиями.

Среди мотивов и целей совершения посягательств можно выделить: корыстные (присвоение денежных средств и имущества), политические (шпионаж, деяния, направленные на подрыв финансовой и денежно-кредитной политики, валютной системы страны), исследовательский интерес, хулиганские побуждения и озорство, месть и иные побуждения3.

Существенную роль в структуре криминалистической характеристики играют сведения о потерпевшей стороне. Информация о ней является безусловно значимой, поскольку помогает полнее охарактеризовать личность преступника, его мотивы, точнее очертить круг лиц, среди которых его следует искать. Преступник обычно не случайно избирает потерпевшую сторону объектом своего посягательства. Потерпевших можно разделить на три основные группы: собственники компьютерной системы, клиенты, пользующиеся их услугами, иные лица.

 

1.2. Теоретико-прикладные проблемы доказательств о преступлениях в сфере компьютерной информации

 

Компьютерную информацию можно определить как фактические данные, которые существуют в электронном виде, сохраняются в форме, доступной восприятию ЭВМ или человека, обработанные компьютерной системой либо передаются по телекоммуникационным каналам, и на основе которых в определенном законом порядке устанавливаются обстоятельства, имеющие значение для правильного разрешения уголовного дела или гражданского дела.

В ходе осмотра места происшествия следователь изымает и приобщает к делу различные файлы протоколов передачи данных, в том числе с межсетевых экранов, журналы операционных систем и прикладных программ, машинную распечатку, накопители на магнитных, оптических и иных носителях, базу данных (фонд) оперативной памяти ЭВМ или постоянного запоминающего устройства и т.п. Тем самым следователь изымает источники компьютерной информации. Корректное получение и использование имеющейся доказательственной информации требует наряду со знанием юридических норм наличия, как специальных технических устройств, так и специальных познаний в области информационных систем и информационных технологий. Поэтому при проведении расследований по делам о компьютерных преступлениях необходимо привлечение специалистов по информационно-компьютерным технологиям, имеющих полный набор технического обеспечения и уникального служебного программного обеспечения для организации успешного расследования, и назначение компьютерно-технических экспертиз, по результатам которых устанавливается как минимум местонахождение (а иногда и такие сведения о личности, как данные паспорта или фотография) подозреваемого лица.

Подводя итог вышесказанному, следует отметить, что многие традиционные преступления, такие, как мошенничество, подделка ценных бумаг, распространение порнографических материалов, совершаются с использованием современных информационных технологий. Следственные действия, связанные с осмотром и изъятием компьютерной информации и техники, требуют решения таких специальных задач, как установление наличия информации в целом, обеспечение ее полноты. Такие следственные действия как осмотр или обыск целесообразно проводить с участием специалиста по информационно - компьютерным технологиям, так как при их производстве может возникнуть необходимость в изъятии источников информации, а следователь не имеет достаточных познаний в данной области. В случае невозможности привлечения специалиста такие исследования рекомендуется проводить в лабораторных условиях. В этом случае информационные носители, компьютер должны подлежать опечатыванию и изъятию с целью сохранения компьютерной информации.

 

1.3. Информационное обеспечение борьбы с преступлениями в области высоких технологий

 

Взаимодействующие между собой органы в процессе расследования преступлений направляют запросы по каналам Интерпола в правоохранительные органы иностранных государств - членов Интерпола о следующих преступлениях в области высоких технологий, имеющих международный характер, которые в свою очередь связаны с:

  1. несанкционированным доступом к компьютерной информации;
  2. созданием, использованием и распространением вредоносных программ для ЭВМ или машинных носителей;
  3. нарушением правил эксплуатации средств ЭВМ, системы ЭВМ или их сети;
  4. перехватом компьютерной информации.

По соответствующим запросам может быть получена информация:

  1. о сетевых адресах, именах доменов и серверов организаций и пользователей;
  2. о содержании протоколов, трейсингов, логических файлов;
  3. об электронной информации, заблокированной в порядке оперативного взаимодействия правоохранительных органов при пресечении трансграничных правонарушений;
  4. о провайдерах и дистрибьюторах сетевых и телекоммуникационных услуг;
  5. о физических и юридических лицах, имеющих отношение к преступлениям в сфере высоких технологий;
  6. о специализированном программном обеспечении, методиках расследования и тактике борьбы с компьютерными и телекоммуникационными преступлениями, периодических и специальных изданиях, обзорах статистики, материалах о деятельности специализированных служб различных государств в данной области.

В запросах о преступлении в области высоких технологий, направляемых в НЦБ Интерпола, указываются следующие сведения:

  1. основания проведения данной проверки;
  2. вид совершенного преступления, место и время его совершения (если известно);
  3. лица, причастные к совершению преступления, выполняемые роли;
  4. потерпевший (физическое или юридическое лицо), характер и размер нанесенного ущерба;
  5. система действий по подготовке, совершению и сокрытию преступления, в том числе технические средства, программное обеспечение, используемое в преступных целях, а также время и продолжительность неправомерного доступа;
  6. иная информация, которая может облегчить исполнение запроса.

Запросы должны быть подготовлены на русском языке с точным указанием наименований на языке оригиналов сетевых адресов, имен доменов и серверов организаций и пользователей4.

1.4. Некоторые вопросы использования специальных знаний при расследовании неправомерного доступа к компьютерной информации

 

Расследование и раскрытие неправомерного доступа к компьютерной информации (когда средства компьютерной техники используются при подготовке, совершении, сокрытии рассматриваемого преступного деяния) невозможно без использования специальных знаний в области современных компьютерных технологий5.

Основной формой использования специальных познаний при этом является экспертиза. Именно экспертные исследования придают изъятым аппаратным средствам, программному обеспечению и компьютерной информации, хранящейся на различных носителях, доказательственное значение. В данных условиях основными задачами следователя являются поиск, фиксация, изъятие и предоставление эксперту необходимых материальных объектов - носителей информации. Причем при собирании доказательств участие специалиста обязательно, так как даже малейшие неквалифицированные действия с компьютерной техникой могут закончиться безвозвратной утратой ценной розыскной и доказательственной информации. От того, как произведено изъятие, и в последующем транспортировка, материальных объектов, довольно часто зависит их доказательственное значение.

Видовую классификацию компьютерно-технических экспертиз большинство авторов6 определяют, исходя из базовых типов компьютерных средств: аппаратных (технических) и программных (информационных). На основе данной классификации, как правило, выделяют следующие виды судебных компьютерно-технических экспертиз:

1) аппаратно-компьютерную (аппаратно-техническую) экспертизу. Ее сущность заключается, прежде всего, в проведении диагностического исследования технических (аппаратных) средств компьютерной техники, определении их функциональных возможностей, выяснение фактического и первоначального состояния, технологии изготовления, определению структуры механизма, эксплуатационных режимов и т.п. Аппаратные объекты включают следующие классы: персональные компьютеры (включая как настольные, так и портативные), периферийные устройства, сетевые аппаратные средства (которые включают в себя серверы, рабочие станции, активное оборудование, сетевые кабели); интегрированные системы (органайзеры, пейджеры, мобильные телефоны и т.п.); встроенные системы на основе различных микропроцессорных контроллеров; любые комплектующие всех указанных компонентов (аппаратные блоки, платы расширения, микросхемы и т.п.).

2) программно-компьютерную (программно-техническую, программно-технологическую) экспертизу, проводимую для оценки  основных функциональных свойств  программного обеспечения компьютерной системы, установленного на той или иной ЭВМ. Также может изучаться целевое предназначение представленного на исследование программного обеспечения, его состояние, работоспособность, особенности функционирования и т.п.

3) Информационно-компьютерную (информационную) экспертизу (каких-либо данных, компьютерной информации), являющуюся ключевым видом компьютерно-технических экспертиз. Она позволяет получать ценную доказательственную базу, путем окончательного разрешения большинства диагностических и идентификационных вопросов, связанных с компьютерной информацией. Ее целью является поиск, обнаружение, восстановление, анализ и оценка данных, созданных пользователями либо программами для организации информационных процессов в компьютерной системе; По окончании исследования экспертом материальных объектов  представленных следователем станет  известен вид, свойства и состояние информации (как фактическое, так и первоначальное) в компьютерной системе; механизм, динамика и обстоятельства события по имеющейся информации на носителе данных или ее копиям; определены причины и условия изменения свойств исследуемой информации; в некоторых случаях установление участников события, их роли, места, условий, при которых была создана информация.

4) Компьютерно-сетевую экспертизу (экспертизу сетевого программного обеспечения и данных). Данная экспертиза основывается, прежде всего, на функциональном предназначении компьютерных средств, которые реализуют какую-либо сетевую информационную технологию. Объектами исследования могут быть как компьютеры пользователей, подключенных к сети Интернет, так и различные ресурсы поставщиков сетевых услуг (интернет-провайдеров), а также предоставляемые ими информационные услуги (электронная почта, служба электронных объявлений, телеконференции, www-сервисы и пр.). Факты и обстоятельства, которые связаны с использованием сетевых и телекоммуникационных технологий представляют предмет судебной компьютерно-сетевой экспертизы.

Как отмечает Волеводз А.Г., в системе МВД России начато производство программно-технических экспертиз, которыми могут решать задачи: а) восстановление стертых файлов и стертых записей в базах данных, уточнение времени уничтожения, внесения изменений, копирования и модификации компьютерной информации; б) установление времени ввода в компьютер определенных файлов, записей базы данных; в) расшифровка закодированных файлов и другой информации, преодоление рубежей защиты, подбор паролей;   г) выяснение каналов утечки информации из локальных вычислительных сетей, глобальных сетей и распределенных баз данных; д) выяснение технического состояния и исправности средств компьютерной техники7.

Большую помощь в исследовании аппаратных и программных средств компьютерной техники могут оказать специалисты информационно-вычислительных центров региональных управлений внутренних дел МВД России. При отсутствии соответствующих экспертов в штате судебно-экспертных учреждений проведение компьютерно-технической экспертизы может быть поручено специалистам из неэкспертных учреждений. В данном случае для их проведения могут быть привлечены сотрудники научно-исследовательских институтов, не состоящих в системе МВД, а также фирм и организаций, занимающихся разработкой программного и аппаратного обеспечения, их эксплуатацией и ремонтом.

По разделяемому нами мнению В.Б. Вехова, постановление о назначении компьютерно-технической экспертизы должно содержать максимально подробную описательную часть, в которой следует отразить: обстоятельства уголовного дела; сведения о лицах, причастных к совершению преступления; документы, сведения о которых могут содержаться на информационных носителях, представляемых на исследование; сведения, которые могут быть использованы в качестве «ключевых» слов при восстановлении и/или поиске экспертом информации (например, названия фирм, учреждений и организаций, фамилии клиентов, предполагаемые номера счетов и т.д.)8.

Методика расследования компьютерных преступлений 📙 Курсовая → 🆔 126479

Методика расследования компьютерных преступлений 📙 Курсовая → 🆔 126479