2015-01-13
393
1. Детально фиксировать не только факт изъятия того или иного объекта, но описывать и ход его поисков для точного отражения местонахождения объекта во взаимосвязи с другими найденными на месте обыска объектами.
2. Поручать осмотр и обыск (выемку) машинных носителей информации сотрудникам органа дознания по общему правилу не следует. Если это и делать, то нужно дать подробнейший инструктаж, так как число ошибок, допускаемых ими слишком велико, что отражается на качестве доказательств.
3. Предусмотреть меры нейтрализации средств и приемов, предпринимаемых преступниками с целью уничтожения вещественных доказательств. Например:
- они могут использовать специальное оборудование, в критических случаях стирающее магнитные записи (путем электромагнитных излучений).
- есть такое программное обеспечение, которое заставляет компьютер периодически требовать пароль, и если после запуска правильный пароль не введен, то система автоматически уничтожается.
- иногда могут устанавливаться скрытые команды DOS, удаляющие или архивирующие с паролями важные данные, если некоторые процедуры запуска машины не сопровождаются манипуляциями, известными только им.
|
|
|
4. Помнить и о традиционных доказательствах:
- скрытых отпечатках пальцев на клавиатуре, (выключателях, тумблерах). Здесь может потребоваться дактилоскопическая экспертиза, чтобы выявить следы пальцев рук и установить причастных к делу лиц.
- рукописных, в том числе шифрованных записях. Здесь может потребоваться криминалистическая экспертиза документов для установления содержания записи (при её зашифрованности), а также почерковедческая экспертиза (для установления причастного лица).
5. Осматривать необходимо все устройства конкретной ЭВМ. Осмотр при участии специалистов может воссоздать картину действий злоумышленника и получить важные доказательства. Как описать ЭВМ при изъятии? Главное правило: описывать ЭВМ и его конфигурацию надо так, чтобы их можно было бы сразу правильно и точно так же, как на месте обнаружения соединить и воспроизвести в лабораторных условиях или в месте производства следствия с участием специалистов. Почему это так важно? Отсутствие данных о точной её фиксации может повлиять на возможность выполнения на ней не только опытных действий в ходе следствия, но и на оценку в суде возможности совершения преступления. Иными словами, если мы не опишем, что к ЭВМ прилагается модем, то доказать, что преступление (например, DDOS-атака) было совершено с помощью модема, будет невозможно.
6. Осмотр и обыск (выемка) могут производиться с целями:
- Осмотр и изъятие ЭВМ и её устройств.
|
|
|
- Поиск и изъятие информации и следов воздействия на нее в ЭВМ и её устройствах.
- Поиск и изъятие информации и следов воздействия на нее вне ЭВМ.
В зависимости от этих целей могут использоваться и различные приемы исследования.
7. По прибытии на место осмотра или обыска следует принять меры к обеспечению сохранности информации на находящихся здесь компьютерах и магнитных носителях. Для этого необходимо:
- Не разрешать кому бы то ни было (кроме специалистов) прикасаться к работающим ЭВМ, магнитным носителям, включать и выключать ЭВМ.
- Не разрешать выключать энергоснабжение объекта.
- В случае, если на момент начала обыска электроснабжение объекта выключено, то до восстановления электроснабжения следует отключить от электросети все компьютеры и периферийные устройства, находящиеся на объекте.
- Самому не производить никаких манипуляций с ЭВМ, если результат этих манипуляций заранее не известен.
- При наличии в помещении, где находятся ЭВМ взрывчатых, токсических веществ немедленно удалить эти вещества и материалы в другое место.
Вещественные доказательства в виде ЭВМ, машинных носителей требуют особой аккуратности при хранении. Им противопоказаны резкие удары, броски, повышенные температуры (выше комнатных), влажность, задымленность (в том числе табачный дым), запыленность.
8. Если ЭВМ работает, то признаками могут быть подключение к проводам, шум работающих вентиляторов, мигание или горение индикаторов, наличие на экране изображения. Это более сложная ситуация для следователя, в этом случае следователю необходимо:
- Определить какая программа выполняется. Для этого надо изучить изображение на экране дисплея и максимально детально описать имеющимися средствами.
- Остановить исполнение программы.
- Зафиксировать (отразить в протоколе) результаты своих действий и реакцию на них ЭВМ.
- Определить наличие у ЭВМ внешних устройств-накопителей информации на жестких магнитных
дисках (винчестера).
- Определить наличие у ЭВМ внешних устройств удаленного доступа (например, модемов) к системе и определить их состояние (отразить в протоколе), после чего разъединить сетевые кабели так, чтобы никто не мог модифицировать или уничтожить информацию в ходе обыска (например, отключить телефонный шнур).
- Выключить подачу энергии в ЭВМ и далее действовать по схеме «компьютер не работает».
9. Если ЭВМ не работает, то следует:
- На ощупь или визуально зафиксировать признаки недавней его работы.
- Точно отразить в протоколе и на прилагаемой к нему схеме местонахождение ЭВМ, периферийных устройств (печатающее устройство, дисководы, дисплей, клавиатуру и т.д.).
- Описать порядок соединения между собой устройств с указанием особенностей (цвет, количество разъемов) соединительных проводов и кабелей. Перед разъединением кабелей полезно осуществить фотографирование мест соединения. Также необходима точная маркировка, например, с помощью подписанных листочков, каждого кабеля и устройства, а также портов, с которым кабель соединяется перед разъединением. Незанятые порты маркировать как «незанятые».
- Разъединить устройства ЭВМ (с учетом мер предосторожности, предварительно обесточив их). Следует помнить, что матричные принтеры оставляют следы на красящей лент, которая может быть восстановлена в ходе её дальнейшего экспертного исследования.
- Упаковать раздельно (с указанием в протоколе и на конверте места обнаружения) носители на дискетах, компакт-диски, магнитные ленты и поместить их в оболочки, не несущие заряда статического электричества.
- Упаковать каждое устройство и соединительные кабели, провода, имея в виду необходимость аккуратной транспортировки ЭВМ.
|
|
|
- Защитить дисководы гибких дисков, согласно рекомендациям изготовителя. Некоторые из них предлагают вставить новую дискету или часть картона в щель дисковода.
- Если в ходе осмотра понадобится запуск ЭВМ, то делать это надо с помощью собственного загрузочного диска.
10. Поиск информации в ЭВМ:
- Поиск, где именно исковая информация находится в компьютере.
В ЭВМ информация может находиться:
- Непосредственно в ОЗУ при выполнении программы. Наиболее простым способом фиксации данных из ОЗУ является распечатка на бумагу.
информации, появляющейся на экране дисплея.
- В ОЗУ периферийных устройств.
- Постоянное запоминающее устройство.
Детальный осмотр файлов и структур их расположения (которые сами по себе могут иметь существенное доказательственное значение, отражая группировку информации) производится с участием специалистов в лабораторных условиях или на рабочем месте следователя.
* Скрытые файлы. При обнаружении файлов с зашифрованной информацией или требующих ввода паролей следует направлять такие файлы на расшифровку и декодирование пароля соответствующим специалистам.
- Поиск, где еще разыскиваемая информация могла быть сохранена:
- Если ЭВМ не работает, информация может находиться на машинных носителях, других ЭВМ информационной системы. Здесь точно также целесообразно в ходе осмотра выводить данные на печатающие устройства и хранить в качестве приложений к протоколу осмотра.
- Данные могут быть в почтовых ящиках электронной почты. Изъятие данных из e-mail может при необходимости осуществляться по правилам наложения ареста и выемки почтово-телеграфной корреспонденции с предъявлением соответствующих требований к владельцу почтового узла, где находится конкретный «ящик».
- Периферийные устройства ввода-вывода могут также некоторое время сохранить фрагменты программного обеспечения и информации, однако, для вывода этой информации необходимы специальные познания.
11. Итог: какие доказательства могут быть получены по окончании осмотра?
|
|
|
- Носящие следы совершенного преступления: телефонные счета, телефонные книги, которые доказывают факты контакта преступников между собой, в том числе, и по сетям ЭВМ, пароли и коды доступа в сети, дневники связи и прочее.
- Носящие следы действия аппаратуры. Они содержатся в устройствах вывода (принтеры). Например, может быть зажеванная бумага в принтере.
- Доказывающие нелегальность их приобретения. Например, ксерокопии описания программного обеспечения в случаях, когда таковые предоставляются изготовителем. Нормативные акты, устанавливающие правила работы с ЭВМ, сетью. Доказывающие, что преступник знал и умышленно нарушал, личные документы подозреваемого или обвиняемого.
