Содержание

Введение

     В настоящее время индустрия аппаратного  и программного обеспечения компьютеров - один из наиболее динамично растущих секторов экономики. Если еще в начале 90-х годов XX века персональные компьютеры были редкостью, теперь же они служат десяткам миллионов пользователей. Мировое же производство на сегодняшний день составляет свыше 100 миллионов персональных компьютеров в год.

     Вместе  с тем, развитие и совершенствование  информационных технологий, расширение производства технических средств и сферы применения компьютерной техники, совершенствующиеся виды коммуникационных устройств (устройств связи), доступность подобных устройств, а главное, наличие человеческого фактора в виде удовлетворения собственных амбиций или жажды наживы породили новый вид общественно опасных деяний, в которых неправомерно используется компьютерная информация, либо она сама становится объектом посягательства.

     Происходящее  в последние годы увеличение числа  преступлений, совершенных с использованием компьютерных средств позволяет говорить о необходимости полной и всесторонней разработки проблем организации и методики их расследования. Сказанное в первую очередь касается решения методологических и научно-практических вопросов, связанных со спецификой следообразования при совершении данных преступлений, определения понятия, разработки классификации, характеристики свойств и основных направлений использования компьютерно-технических следов в ходе расследования.

     Таким образом, считаем актуальным проанализировать особенности образования следов при совершении компьютерных преступлений.

      1 Понятие  и свойства следов  при совершении  компьютерных преступлений

     Следами преступления являются любые изменения  окружающей среды, причинно связанные  с событием преступления [3].

     Вместе  с тем, следовая картина преступлений, совершенных с использованием средств  компьютерной техники, весьма специфична и требует разработки принципиально  иных методов и средств, по сравнению  с традиционными.

     Следы совершения преступления в сфере компьютерной информации в силу специфики рассматриваемого вида преступлений редко остаются в виде изменений внешней среды. Они в основном не рассматриваются современной трасологией, поскольку в большинстве случаев носят информационный характер, т.е. представляют собой те или иные изменения в компьютерной информации, имеющие форму ее уничтожения, модификации, копирования, блокирования. Как справедливо отмечает А.В. Касаткин, «при современном развитии вычислительной техники и информационных технологий «компьютерные следы» преступной деятельности имеют широкое распространение. Это должно учитываться следователями и оперативными работниками в их деятельности по собиранию доказательств наряду с поиском уже ставших традиционными следов».

     Следы преступлений, совершенных с использованием средств компьютерной техники разделить на два типа: традиционные следы (идеальные следы, следы-отображения (трасологические следы) а также следы-вещества и следы-предметы) и нетрадиционные - информационные следы.

     В научной литературе встречается несколько подходов к определению компьютерно-технических следов преступления. Представляется, что термин «бинарные следы» (автор - В.А. Милашев), не вполне корректен. Это связано с тем, что изменения в компьютерной информации, являющиеся следами преступления, в подавляющем большинстве случаев доступны восприятию не в виде двоичных кодов (что собственно и представляет собой бинарный след), а в преобразованном виде: записи в файле реестра, изменении атрибута файла, электронном почтовом сообщении и т.п. Указанные изменения обнаруживаются и исследуются посредством использования специального программного обеспечения, преобразующего двоичный код в доступную для восприятия форму. Иными словами информацию, сохраненную на машинном носителе, ее потребитель может воспринять только в том случае, если она воспроизведена устройствами вывода (например, монитором).

     Так же не вполне удачно называть анализируемые  следы «виртуальными» (автор - В.А. Мещеряков) как с этимологической позиции, так и с содержательной, что связано с тем, что понятие «виртуальный» - устоявшийся термин, применяющийся в квантовой теории и имеющий свое конкретное содержание.

     Компьютерно-технические  следы могут оставаться и при  опосредованном (удаленном) доступе  через компьютерные сети, например через Интернет. Они возникают в силу того, что система, через которую производится доступ, обладает некоторой информацией, которая запрашивается у лица, пытающегося установить связь с другим компьютером. Она определяет электронный адрес, используемое программное обеспечение и его версию, адрес электронной почты, реальное имя и другие данные [3].

     Значительный  интерес представляют данные об установках удаленного доступа к компьютерной сети, резервные копии файлов, файлы-отчеты, сохраняющие информацию о последних проделанных операциях и выполненных программах, время выхода в сеть, посещенные сайты, отправленные и полученные по электронной почте письма, установки для соединения с Интернетом и др.

     Следами, указывающими на посторонний доступ к охраняемой законом информации могут являться: переименование каталогов и файлов; изменение размеров и содержимого файлов; изменение стандартных реквизитов файлов, даты и времени их создания; появление новых каталогов, файлов, изменение порядка взаимодействия с периферийным оборудованием (принтером, модемом и др.); появление новых и удаление прежних сетевых устройств и пр. Перечисленное может свидетельствовать об изменениях в заданной структуре файловой системы, а также об изменении содержимого файлов.

     Рассматривая  компьютерно-технические следы преступления как специфическую форму преобразования компьютерной информации, можно выделить следующие их свойства [3].

     1. Компьютерно-технический след является  отражением события преступления  в информационном поле.

     2. Являясь материальными по своей природе, компьютерно-технические следы не отражают пространственную форму следообразующего объекта.

     3. Данные следы обладают способностью  к дублированию, то есть переносу (копированию) на другие носители  информации без какого-либо изменения их характеристик.

     4. Являясь результатом преобразования  компьютерной информации, компьютерно-техническим  следам присущи все свойства  компьютерной информации: быстрота  обработки, легкость уничтожения,  отсутствие между ней и лицом,  которому она принадлежит жесткой связи, возможность нахождения лишь на машинном носителе, в самой ЭВМ, их системе или сети, возможность оставления (создания), а также обнаружения только с помощью ЭВМ при наличии соответствующих периферийных устройств, легкость передач по телекоммуникационным каналам связи.

      2 Особенности  образования компьютерно-технических  следов

     К традиционным следам (следы-отображения, рассматриваемые трасологией, а  также следы-вещества и следы-предметы) относятся материальные следы. Ими  могут являться какие-либо рукописные записи, распечатки и т.п., свидетельствующие о приготовлении и совершении преступления. Материальные следы могут остаться и на самой вычислительной технике (следы пальцев рук, микрочастицы на клавиатуре, дисководах, принтере и т.д.), а также на магнитных носителях и CD-ROM дисках [1].

     Информационные  следы образуются в результате воздействия (уничтожения, модификации, копирования, блокирования) на компьютерную информацию путем доступа к ней и представляют собой любые изменения компьютерной информации, связанные с событием преступления. Прежде всего они остаются на машинных носителях информации и отражают изменения в хранящейся в них информации (по сравнению с исходным состоянием). Речь идет о следах модификации информации (баз данных, программ, текстовых файлов), находящейся на жестких дисках ЭВМ, дискетах, магнитных лентах, лазерных и магнито-оптических дисках. Кроме того, магнитные носители могут нести следы уничтожения или модификации информации (удаление из каталогов имен файлов, стирание или добавление отдельных записей, физическое разрушение или размагничивание носителей). Информационными следами являются также результаты работы антивирусных и тестовых программ. Данные следы могут быть выявлены при изучении компьютерного оборудования, рабочих записей программистов, протоколов работы антивирусных программ, программного обеспечения. Для выявления подобных следов необходимо участие специалистов [1].

     Информационные  следы могут оставаться и при  опосредованном (удаленном) доступе  через компьютерные сети, например через Интернет. Они возникают в силу того, что система, через которую производится доступ, обладает некоторой информацией, которую эта система запрашивает у лица, пытающегося соединиться с другим компьютером. Она определяет электронный адрес, используемое программное обеспечение и его версию. Кроме того, при доступе в сеть обычно запрашивается адрес электронной почты, реальное имя и другие данные. Эту информацию запрашивает системный администратор (провайдер) для контроля обращений на его сервер, и это также позволяет идентифицировать личность проникающего в сеть.

     Рассмотрим  информационные следы в сети Интернет, позволяющие установить лицо, совершившее  неправомерный доступ к компьютерной информации, более подробно.

     Данные  о фирме-провайдере. В сети Интернет существует специальная служба Whois, предназначенная для установления провайдера, через которого произошел неправомерный доступ, для чего необходимо указать электронный адрес (IP) интересующего компьютера. Для связи с этой службой для европейской части сети существует сервис по адресу: www.ripe.net.

     Время выхода абонента на связь и продолжительность  его работы можно установить у  провайдера по ведущемуся у него специальному лог-файлу.

     Номер телефона, с которого была установлена  связь с провайдером. Следует иметь в виду, что не все провайдеры устанавливают устройства автоматического определения номера на свои телефоны, да и ГТС не всегда может предоставить подобную информацию, однако пренебрегать этими возможностями нельзя. Впрочем, не стоит забывать и о том, что существуют и широко популяризированы через Интернет различные системы маскировки под другой номер, либо анти-АОНы. Но даже если удалось установить телефон, с которого был осуществлен звонок, это не всегда дает выход на конкретное лицо, поскольку к Интернету может быть подключена и локальная вычислительная сеть. В этом случае установить, с какого рабочего места был осуществлен сеанс связи, можно по лог-файлу сервера локальной сети с теми же ограничениями по времени.

     Протокол  выхода в Интернет с определенного компьютера. Он автоматически ведется на каждом компьютере, с которого возможен выход во всемирную сеть (количество дней его хранения определяется пользователем). Представляется, что совпадение данного протокола с лог-файлом провайдера может служить неопровержимым доказательством.

     Данные  о пользователе электронной почты (фамилия, имя, отчество, дата и место  рождения, место жительства, работы и пр). Сам пользователь заинтересован  в предоставлении достоверной информации для получения электронных сообщений.

     Большой информационной ценностью обладают разговоры через Интернет, поскольку  их содержание автоматически сохраняется  во временных файлах, которые даже после стирания могут быть восстановлены (хотя бы частично).

     Следует отметить, что многие программы фирмы Microsoft создают резервные копии файлов, файлы-отчеты, сохраняют информацию о последних проделанных операциях и выполненных программах, а также содержат иную информацию, представляющую огромный интерес для расследования. Вот лишь некоторые примеры:

     Microsoft Outlook Express 6.0 - все письма, которые были отправлены, получены или удалены, хранит в своей базе данных. Эти файлы расположены в директории \Windows\Aplication\Microsoft\Outlook Express\Mail\ с расширениями IDX и МВХ [4].

     Microsoft Internet Explorer 9.0 - в директории \Windows\Temporary Internet Files\ хранит места, которые посетил пользователь, находясь в сети Интернет.

     Microsoft Windows 7 - в директории \Windows\History\ хранит все файлы истории, то есть данные о ранее выполнявшихся программах; в директории \Windows\name.pwl хранит имена, телефоны и пароли для соединения с Интернет, которые с помощью специальных программ расшифровываются.

     Следами, указывающими на посторонний доступ к информации, могут являться: переименование каталогов и файлов; изменение размеров и содержимого файлов; изменение стандартных реквизитов файлов, даты и времени их создания; появление новых каталогов, файлов и пр.

     Перечисленное может свидетельствовать об изменениях в заданной структуре файловой системы, а также об изменении содержимого файлов. Кроме того, на неправомерный доступ к компьютерной информации могут указывать изменения в заданной ранее конфигурации компьютера, в том числе: изменение картинки и цвета экрана при включении; изменение порядка взаимодействия с периферийным оборудованием (принтером, модемом и др.); появление новых и удаление прежних сетевых устройств.

     На  неправомерный доступ к компьютерной информации могут указывать и  необычные проявления в работе ЭВМ, как то: замедленная или неправильная загрузка операционной системы; замедленная реакция машины на ввод с клавиатуры; замедленная работа машины с дисковыми накопителями при записи и считывании информации; неадекватная реакция ЭВМ на команды пользователя; появление на экране нестандартных символов, знаков и пр. Представляется, что данное классификационное построение согласуется с классификацией следов, описанной выше, и дополняет ее.