Компьютерное преступление вызывает изменения в окружающей среде и самих элементах криминалистической структуры преступления. Эти изменения, понимаемые в широком смысле, и являются следами компьютерного преступления.
При совершении компьютерных преступлений образуются материальные, идеальные и социальные следы.
Материальные следы включают: следы-отображения, следы-предметы, следы-вещества.
Следы-предметы включают:
1. Сменные носители информации (дискеты, магнитные ленты, оптические диски, внешние винчестеры, карты флэш-памяти и т.д.) – могут содержать информацию, скопированную из информационной системы, вирусы, иные следы несанкционированного воздействия.
2. Аппаратно реализованные закладные устройства могут внедряться в устройство ЭВМ, сеть.
3. Устройства дистанционного съема информации.
4. Кабели и разъемы со следами посторонних подключений.
5. Устройства для уничтожения компьютерной информации.
6. Документы на бумажных носителях (проектно-конструкторское задание, инструкции по эксплуатации, распечатки результатов работы прикладного ПО, листинги программ и т.п. техническая документация)
|
|
Следы-вещества представлены, в первую очередь, различного рода красителями, используемыми в знакопечатающих устройствах.
При совершении компьютерных преступлений, помимо традиционных, образуется ряд следов, специфичных для данного вида преступлений - т.н. электронные доказательства (информационные следы).
Электронное доказательство - информация или данные, имеющие значение для расследования преступлений, которые хранятся или передаются посредством электронных устройств.
Компьютерная информация - фактические данные, обработанные компьютером и полученные на его выходе в форме, доступной восприятию ЭВМ либо человека или передающиеся по телекоммуникационным каналам, на основе которых в определенном законом порядке устанавливаются обстоятельства, имеющие значение для правильного разрешения дела.
В настоящее время мировой практикой борьбы с компьютерными преступлениями выработан ряд принципов работы с электронными доказательствами:
1) должны быть установлены стандартные правила работы с ЭД;
2) эти правила должны быть едины для всех правоохранительных органов;
3) эти правила следует регулярно пересматривать (чтобы идти в ногу с прогрессом);
4) все варианты этих правил должны храниться в письменной форме;
5) следует использовать соответствующее ПО и АО;
6) все манипуляции с компьютерными данными должны быть задокументированы;
7) любые действия, которые могут изменить, повредить или уничтожить информацию, должны совершаться при производстве экспертизы.
|
|
Электронные следы включают:
1. Появление новых файлов или уничтожение имевшихся файлов. Уничтоженные файлы в целом ряде случаев можно восстановить.
2. Изменение содержимого файлов.
3. Изменение атрибутов файлов.
4. Временные файлы (temp, tmp).
5. Регистрационные файлы (т.н. лог-файлы) – файлы, в которые записываются все операции производимые в системе. Регистрационные файлы формируются на уровне операционной системы, баз данных и отдельных программ.
Компьютер и компьютерная сеть может иметь специально установленные собственником программы, призванные фиксировать операции, производимые пользователями (клавиатурные или экранные шпионы).