Методика расследования компьютерных преступлений

Введение
1.Уголовно – правовая характеристика компьютерных преступлений
1.1.Понятие компьютерной информации
1.2.Уголовная ответственность за совершение компьютерных преступлений
2.Особенности методики расследования компьютерных преступлений
2.1. Особенности выявления, изъятия и исследования следов компьютерных преступлений
2.2. Назначение и проведение экспертизы по компьютерным преступлениям
Заключение
Список использованных источников и литературы

Методика расследования компьютерных преступлений

4. следы в ОЗУ компьютерных устройств связи и сетевых устройств;
5. следы в проводных, радио-оптических и других электромагнитных систем и сетей связи12.
Следующим основанием будет являться соответствующий состав преступления и статья в УК РФ. Таким образом, мы будем отдельно выделять следы, характерные для совершения преступления, предусмотренного статьей 272, статьей 273 и статьей 274 УК РФ.
Представляется возможным классифицировать виртуальные следы по месту их нахождения на 2 группы:
1.следы на компьютере преступника;
2.следы на «компьютере-жертве».
Например, на основании имеющейся в литературе информации можно выделить следовоспринимающие объекты для виртуальных следов при совершении преступлений, предусмотренных статьей 273 УК РФ, то есть связанных с созданием, использованием и распространением вредоносных программ для ЭВМ.
На «компьютере-жертве» это:
а) таблица расширения файлов (FAT, NTFS или другая в зависимости от типа используемой операционной системы);
б) системный реестр операционной системы;
в) отдельные кластеры магнитного носителя информации (винчестера, дискеты), в которых записываются фрагменты исполняемых файлов (программ) и файлов конфигурации;
г) файлы и каталоги (папки) хранения входящей электронной почты и прикрепленных исполняемых файлов, конфигурации почтовой программы;
д) файлы конфигурации программ удаленного соединения компьютера с информационной сетью13.
На практике серьезные проблемы может вызывать обнаружение, изъятие и фиксация материально фиксированных следов. Это связано с тем, что в большинстве случаев одним персональным компьютером может пользоваться неограниченное число пользователей. Это обстоятельство является причиной того, что на различных частях компьютера можно обнаружить большое количество отпечатков пальцев, принадлежащих нескольким людям. Как правило, они нечеткие из-за неоднократного нажатия одних и тех же клавиш на клавиатуре, кнопок на системном блоке, постоянного использования манипуляторов («мышей», «трэк-болов» и т.д.). Следовоспринимающими объектами для материально фиксированных следов обычно являются:
1) клавиатура (устройство для ввода текстовой и цифровой информации): на ней обследованию подлежат клавиши (для выявления потожировых отпечатков пальцев), четкие отдельные отпечатки возможно обнаружить на редко используемых клавишах («Num Lock», «Caps Lock», «Scroll Lock», F1 – F12, специальных клавишах на последних моделях клавиатур: «Search», «Files», «WWW» и т.д.; помимо клавиш необходимо обратить внимание на подставку под ладони (если таковая имеется) на предмет выявления четких потожировых отпечатков ладоней, на разъем, вставляемый в соответствующий порт системного блока; немаловажно обратить внимание на слой пыли на клавиатуре; некоторые микроследы возможно обнаружить под клавишами;
2) манипулятор «мышь»: осматривается на предмет обнаружения отпечатков пальцев и ладоней, также следует обратить внимание на разъем;
3) монитор: потожировые следы на кнопках управления монитором, в иных местах;
4) системный блок: необходимо осмотреть все кнопки, включая кнопки дисковода и CD (DVD)-ROM привода; обратить внимание на отпечатки пальцев в районе задней панели со «входами» («портами»), на наличие скрепляющих системный блок с наружным кожухом болтов;
5) отдельные элементы системного блока: внутри системного блока необходимо обратить внимание на внутренний модем (если он там присутствует), выявить: не подключался ли к данному компьютеру в недавнее время дополнительный «винчестер», о чем может говорить неподключенный к шлейфу CD(DVD)-ROM привод или свежие отпечатки на дополнительном разъеме шлейфа (если он есть), к которому мог быть подключен дополнительный «винчестер».
6) принтер, сканер, модем, «хаб» и т.д.: на этих устройствах также могут быть обнаружены отпечатки пальцев, микроследы, в принтере могут быть обнаружены так называемые «зажеванные» листы бумаги с текстом, который так или иначе может касаться обстоятельств дела.
Для надежной фиксации и сохранения, всестороннего, полного и объективного изучения всех следов, имеющихся на компьютере, необходимо предпринять следующие меры:
На месте постоянного нахождения компьютера:
1) не разрешать кому бы то ни было из лиц, находящихся, работающих в помещении, где находится ЭВМ и периферийные устройства, прикасаться к ним с любой целью;
2) никому из персонала и прочим лицам не разрешать выключать электроснабжение объекта осмотра или выключать ЭВМ из сети;
3) самостоятельно не производить никаких манипуляций с ЭВМ и периферийными устройствами, не будучи абсолютно уверенным в последствии своих манипуляций;
4) перед выключением питания ЭВМ закрыть подобающим способом все программы и приложения;
5) принять меры по установлению паролей и кодов доступа к защищенным программам (для этого лучше опросить нескольких людей, имеющих доступ к данной ЭВМ порознь);
6) при нахождении ЭВМ в локальной сети при осмотре необходимо присутствие специалистов, которые смогут быстро прореагировать на перемещение информации в сети;
7) произвести осмотр всей документации, записок, различных бумаг, которые находятся в непосредственной близости от компьютера или принадлежат человеку, который работает с ним.
Выполнение этих условий поможет сохранить на ЭВМ и периферийных устройствах информацию, которая может оказаться полезной при дальнейшем подробном исследовании данных объектов. Затем необходимо опечатать ЭВМ. Для этого необходимо выключить компьютер, отключить его от сети, отсоединить все разъемы (опечатав каждый с помощью липкой ленты или клея длинной полосой бумаги с подписями следователя, специалиста и понятых, номером), опечатать разъемы на кабелях периферийных устройств. Упаковать все диски и дискеты в жесткую коробку, на дискетах поднять шторки, защищающие диски от перезаписи, опечатать шторки. Сделать описание всех дискет и дисков на листе бумаги с указанием на их количество, объем памяти, фирму производителя, дополнительные отметки на корпусах дискет и их футляров. Упаковать коробку с дискетами в полиэтиленовый пакет, заклеить его.
Соблюдение всех этих условий даст возможность подробно и досконально исследовать ЭВМ, диски и дискеты, периферийные устройства в спокойной обстановке, исключающей возможность противодействия со стороны заинтересованных лиц. Таким образом получить наиболее объективную информацию о следах, имеющихся на компьютере и сопутствующих объектах.
2.2. Назначение и проведение экспертизы по компьютерным преступлениям
Успешное расследование компьютерных преступлений требует проведения различных экспертиз. Назначение и проведение традиционных экспертиз (криминалистические, экспертизы веществ и материалов, экономические и т.д.) не вызывает особых трудностей. Компьютерно-технические же экспертизы принадлежат к сравнительно новому виду экспертиз, и их проведение имеет некоторые особенности14.
Основными видами компьютерно-техническую экспертизы являются
- техническая экспертиза компьютеров и периферийных устройств;
- техническая экспертиза оборудования защиты компьютерной информации;
- экспертиза машинных данных и программного обеспечения электронно-вычислительной машины;
- экспертиза программного обеспечения данных, используемых в компьютерной сети.
Объекты экспертизы:
Компьютеры и их отдельные части,
Магнитные носители соответствующей информации,
Компьютерные программы,
Схемы создания информационных массивов,
Документы, отражающие работу автоматизированных информационных систем, в том числе первичные (ввода в ЭВМ) и выходные.
Следственные документы:
- Протокол осмотра места происшествия,
- Показания свидетелей,
- Материалы ведомственного расследования и т.д.
Представленный перечень вопросов является не полным. Аппаратные средства и программное обеспечение меняются очень быстро, и предусмотреть все возникающие вопросы невозможно. Для правильного формулирования вопросов и использования специальных терминов необходимо обязательно консультироваться с экспертом перед назначением экспертизы.
Примерные вопросы, решаемые данной экспертизой:
Программно-техническая экспертиза