РОЗДІЛ 8. ОСОБЛИВОСТІ РОЗСЛІДУВАННЯ КОМП’ЮТЕРНИХ ЗЛОЧИНІВ
ПЛАН
1. Криміналістична характеристика комп’ютерних злочинів
2. Початковий етап розслідування комп’ютерних злочинів
3. Проведення окремих слідчих (розшукових) дій
1. Криміналістична характеристика комп’ютерних злочинів
До числа елементів криміналістичної характеристики комп’ютерних злочинів можливо віднести:
способи вчинення і приховування комп’ютерних злочинів;
знаряддя (засоби) вчинення злочину;
типова «слідова картина»;
предмет злочинного посягання;
особа злочинця;
особа потерпілого.
Способи вчинення комп’ютерної злочинів поділяються на три групи. Перша група – це способи безпосереднього доступу. Під час їх реалізації інформація знищується, блокується, модифікується або копіюється. Також може порушуватися робота ЕОМ, системи ЕОМ або їх мережі шляхом видачі відповідних команд з комп’ютера, на якому інформація знаходиться. Безпосередній доступ може здійснюватися як особами, які працюють з інформацією, так і особами, які спеціально проникають до закритих зон та приміщень, де проводиться опрацювання інформації. Іноді злочинець з метою вилучення інформації, залишеної користувачами після роботи ЕОМ, обстежує робочі місця програмістів у пошуках чорнових записів, роздруківок, ділового листування (так зване «прибирання сміття») або здійснює перегляд і відновлення стертих програм. При цьому необхідно відзначити, що такий спосіб у даний час менш поширений у зв’язку з тим, що комп’ютерну інформацію легше перехопити при її передачі телекомунікаційними каналами і комп’ютерними мережами, ніж при безпосередньому проникненні до приміщення.
Друга група включає способи опосередкованого (віддаленого) доступу до комп’ютерної інформації. До них можна віднести:
1) підключення до лінії зв’язку законного користувача (наприклад, до телефонної лінії) і одержання тим самим доступу до його системи;
2) проникнення до чужої інформаційної мережі шляхом автоматичного перебору абонентських номерів із наступним з’єднанням з тим або іншим комп’ютером. Перебір здійснюється доти, поки на іншому кінці лінії не «озветься» чужий комп’ютер (комп’ютерний «абордаж»);
3) проникнення до комп’ютерної системи з використанням чужих паролів, коли незаконний користувач видає себе за законного користувача. При подібному способі, який одержав назву «повільний вибір», незаконний користувач здійснює підбір пароля для доступу до чужого комп’ютера, використовуючи для цього спеціально розроблені програми. Підібравши необхідний пароль (на думку спеціалістів, для підбору восьмизначного пароля потрібно не більше доби), незаконний користувач одержує доступ до комп’ютерної інформації і може проводити з нею будь-які дії під виглядом законного користувача: копіювати, модифікувати, видаляти, змушувати програми виконувати необхідні операції, наприклад, перераховувати кошти на свої рахунки, фальсифікувати платіжні документи, викрадати конфіденційну інформацію та ін.
Третю групу складають змішані способи, що можуть здійснюватися як шляхом безпосереднього, так і опосередкованого (віддаленого) доступу. До числа таких способів відносяться:
1) підміна даних – заміна або введення нових даних, що здійснюються, як правило, коли інформація вводиться або виводиться з ЕОМ;
2) таємне введення до чужої програми таких команд, що допомагають їй здійснити нові, незаплановані функції при одночасному зберіганні її працездатності («троянський кінь»). Наприклад, впроваджена програма може виконувати копіювання файлів, але одночасно знищувати дані про фінансову діяльність підприємства;
3) модифікація програм шляхом таємного впровадження до програми набору команд, що повинні спрацювати за певних умов через деякий час («логічна бомба»). Наприклад, як тільки програма перерахує кошти на підставний рахунок, вона самознищиться і при цьому знищить всю інформацію про здійснену операцію;
4) здійснення доступу до баз даних і файлів законного користувача за рахунок знаходження слабких місць у системах захисту («маскарад» або «самозванство» – хтось проникає до комп’ютерної системи, видаючи себе за законного користувача). Системи, що не мають засобів автентичної ідентифікації (наприклад, за фізіологічними характеристиками: за відбитками пальців, сітківкою ока, голосом тощо), залишаються без захисту проти цього прийому. Найпростіший шлях його здійснення – одержати ідентифікаційні коди законних користувачів. Виявивши їх, з’являється можливість читати й аналізувати наявну в системі інформацію, копіювати її, повертатися до неї по мірі необхідності;
5) використання помилок у логіці побудови програми і виявлення «прогалин». У літературі подібного роду способи одержали найменування «аварійний» і «склад без стін». Перший дозволяє здійснити несанкціонований доступ до інформації в момент спрацьовування спеціальних програм, які застосовуються на випадок виникнення збоїв або інших відхилень у роботі ЕОМ. Другий – у результаті системної поломки, коли деякі файли користувача залишаються відкритими і злочинець одержує можливість несанкціонованого доступу до цієї бази даних;
6) поширення комп’ютерними мережами або продаж програм, що призводять до знищення або блокування інформації, порушення працездатності ЕОМ, системи ЕОМ або їх мережі, включаючи переважну більшість комп’ютерних вірусів (на даний час спеціалістам відомо близько 15 тисяч видів вірусів).
Способи приховування аналізованої категорії злочинів значною мірою обумовлені способами їх вчинення.
При безпосередньому доступі до комп’ютерної інформації приховування слідів кримінального правопорушення зводиться до відтворення обстановки, що передувала його вчиненню, тобто знищення залишених слідів (наприклад, слідів пальців рук на клавіатурі, кнопках дисководів та інших поверхнях, яких торкався злочинець; слідів взуття; мікрочастинок та ін.).
При опосередкованому (віддаленому) доступі приховування полягає в самому способі вчинення злочину, що ускладнює виявлення неправомірного доступу. Так, використання універсальних програм, призначених для застосування в аварійних ситуаціях дозволяє не тільки здійснити несанкціонований доступ до комп’ютера, минаючи всі засоби захисту і контролю, а й довільно змінювати будь-які атрибути файлів, не залишаючи при цьому ніяких слідів (робота цих програм не протоколюється).
Знаряддями вчинення комп’ютерних злочинів виступають засоби комп’ютерної техніки, у тому числі і спеціальне програмне забезпечення. До знарядь безпосереднього доступу можна віднести носії комп’ютерної інформації (лазерні диски, зовнішні жорсткі диски, flech-накопичувачі), різноманітне периферійне устаткування (наприклад, dvd-rom-накопичувачі), а також електронні ключі, особисті ідентифікаційні коди та ін. До знарядь опосередкованого (віддаленого) доступу відноситься насамперед мережеве устаткування, а також засоби доступу до віддалених мереж (засоби телефонного і супутникового зв’язку, модем).
Типова «слідова картина». Типові сліди, що залишаються злочинцями, доцільно об’єднати у дві групи: речові та інтелектуальні.
До першої групи входять:
а) сліди, що залишаються на засобах комп’ютерної техніки (сліди пальців рук, мікрооб’єкти на клавіатурі, дисководах, принтері, а також на магнітних носіях і CD та DVD дисках);
б) сліди, що залишаються на «робочому» місці злочинця, так звані сліди засобів для налагодження програм проникнення (наприклад, які-небудь рукописні записи – списки паролів, коди, таблиці шифрування, чернетки тощо);
в) сліди, що залишаються на засобах захисту інформації (спеціальних електронних картках, електронних ключах доступу до персонального комп’ютера, пристроях упізнання користувача за голосом тощо).
Другу групу складають:
а) сліди, що вказують на зміни в заданій файловій структурі (перейменування каталогів і файлів, зміна розмірів і змісту файлів, зміна стандартних реквізитів файлів, поява нових каталогів і файлів, видалення з каталогів імен файлів, стирання або додавання окремих записів, фізичне знищення або розмагнічування носіїв та ін.);
б) сліди, що є результатом роботи антивірусних і тестових програм;
в) сліди, що відбивають зміни в заданій конфігурації комп’ютера (зміна файлів, поява нових і видалення старих мережевих пристроїв, зміна порядку взаємодії з периферійним устаткуванням (принтером, модемом тощо);
г) сліди, що характеризують незвичні прояви в роботі ЕОМ (уповільнене або неправильне завантаження операційної системи, уповільнена реакція машини на введення з клавіатури, уповільнена робота машини з накопичувачами при записі і зчитуванні інформації, неадекватні реакції ЕОМ на команди користувача, поява на екрані нестандартних символів, знаків та ін.);
ґ) сліди руху пакетів інформації з мережі Інтернет, де кожний забезпечується адресою комп’ютера-одержувача і по шляху проходження проходить декілька вузлових комп’ютерів (серверів), на яких залишаються сліди реєстрації проходження пакетів і сліди, залишені в результаті неправомірних дій злочинця.
Особа злочинця. Суб’єктами вчинення комп’ютерних злочинів є наступні категорії громадян:
1) особи, які знаходяться в трудових відносинах з підприємством (організацією, установою, фірмою або компанією), на якому вчинений злочин (так звані внутрішні користувачі):
оператори введення даних; програмісти; працівники служби захисту інформації; адміністратори баз даних; спеціалісти периферійного устаткування і засобів зв’язку; працівники, які забезпечують збереження дисків та інших накопичувачів із записом інформації з обмеженим доступом; інженери; персонал, що проводить технічне обслуговування і ремонт ЕОМ, комп’ютерних систем або мереж;
користувачі ЕОМ, які мають відповідну підготовку і вільний доступ до комп’ютерної системи або мережі;
адміністративно-управлінський персонал – керівники, бухгалтери, економісти;
2) особи, які не знаходяться в трудових відносинах з підприємством (організацією, установою, фірмою або компанією), на якому вчинений злочин (зовнішні користувачі):
особи, які займаються перевіркою фінансово-господарської діяльності підприємства та ін.;
користувачі та обслуговуючий персонал ЕОМ інших підприємств, які пов’язані комп’ютерними мережами з підприємством, на якому вчинено злочин;
особи, які мають у своєму розпорядженні комп’ютерну техніку і доступ до телекомунікаційних мереж (студенти вищих навчальних закладів, члени комп’ютерних клубів, курсів, шкіл, клубів програмістів);
представники організацій і фірм, що займаються сервісним обслуговуванням, ремонтом, контролем і розробкою технічних і програмних засобів комп’ютерної техніки та ін.
За даними узагальнення судово-слідчої практики внутрішніми користувачами вчиняється 94% злочинів, тоді як зовнішніми користувачами – лише 6%, при цьому 70% – користувачі комп’ютерної системи, а 24% – обслуговуючий персонал. 52% осіб мали спеціальну підготовку в сфері роботи з комп’ютерною інформацією, 33% – вік до 20 років.
Активний розвиток комп’ютерних технологій призвів до формування такого узагальненого поняття комп’ютерних злочинців як «хакер». Їх визначають як особливу категорію спеціалістів у сфері обчислювальної техніки, які займаються пошуком методів і шляхів несанкціонованого доступу до комп’ютерної інформації з метою її заміни або розкрадання, а також блокування роботи мережі і виведення з ладу програмного забезпечення.
Залежно від мети вчинення кримінального правопорушення, сфери застосування фахових навичок, хакери умовно поділяються на чотири групи:
До першої групи входять підлітки та студенти, що «зламують» коди і паролі більше через допитливість і самоствердження, прагнучи з’ясувати, що за це буде. Своїми діями вони створюють серйозні перешкоди для нормальної роботи мереж і комп’ютерів.
Другу групу хакерів складають «пірати» – особи, які займаються цілеспрямованим розкраданням нового програмного забезпечення, яке поширюється за плату. Характерним для даної категорії є формування стійких груп з чітким розподілом обов’язків між їх членами: одні «зламують» захисні коди і паролі програм, треті займаються їх реалізацією.
Третя група – це комп’ютерні хулігани, які поширюють комп’ютерні віруси, що знищують програмне забезпечення.
Злочинці четвертої групи полюють за конфіденційною інформацією, часом на замовлення, одержуючи за це матеріальну винагороду.
Особа потерпілого. Потерпілих від комп’ютерних злочинів можна поділити на три групи:
власники комп’ютерних систем (79%);
клієнти, які користуються їх послугами (13%);
інші особи (8%).
При цьому слід зазначити, що потерпілі, особливо ті, що відносяться до першої групи, досить часто неохоче повідомляють (або не повідомляють зовсім) правоохоронним органам про злочинні факти у сфері комп’ютерної інформації з причин побоювання розкриття в ході досудового слідства системи безпеки та виявлення власних незаконних дій та ін. Подібна ситуація і створює високий рівень латентності даної категорії злочинів та істотно ускладнює процес їх розслідування та профілактики.
2. Початковий етап розслідування комп’ютерних злочинів
Можливо виділити відомості, якими часто володіє слідчий на початковому етапі розслідування комп’ютерних злочинів. На їх основі можна визначити вихідні ситуації. До них відносяться дані про:
1) зовнішній прояв злочинного діяння;
2) способи доступу до комп’ютерної системи і безпосередньо до носіїв інформації;
3) вид інформації, що зазнала впливу;
4) суб’єкта, який вчинив злочин.
У своїй сукупності вони можуть утворювати наступні типові вихідні слідчі ситуації:
1. Встановлені факти перекручення комп’ютерної інформації, що циркулює в кредитно-фінансовій сфері, при цьому відомості про спосіб доступу до неї і осіб, які вчинили дане діяння, відсутні (виявляється приблизно у 60% випадків).
2. Встановлені факти злочинного заволодіння комп’ютерною інформацією, при цьому відомості про спосіб доступу до неї і осіб, які вчинили дане діяння, відсутні (10%).
3. Встановлені факти злочинного заволодіння комп’ютерною інформацією, для доступу до неї застосовувався механічний вплив, при цьому відомості про осіб, які вчинили дане діяння, відсутні (10%).
4. Встановлені факти перекручення комп’ютерної інформації, при цьому відомості про спосіб доступу до неї і осіб, які вчинили дане діяння, відсутні (10%).
5. Встановлені факти знищення інформації в комп’ютерній системі, при цьому відомості про спосіб доступу до неї і осіб, які вчинили дане діяння, відсутні (5%).
6. Встановлені факти злочинного впливу на комп’ютерну інформацію (заволодіння, перекручення, знищення), при цьому є відомості про спосіб доступу і осіб, які вчинили дане діяння (5%).
Основою для розробки типових версій можна визнати мету вчинення «комп’ютерного» злочину. Можливо виділити такі основні цілі вчинення «комп’ютерних» злочинів:
1) прагнення отримати матеріальну вигоду від заволодіння чужою власністю у вигляді: грошових коштів, інших матеріальних цінностей, конфіденційності інформації;
2) порушення авторських прав;
3) порушення алгоритму проходження інформації, знищення або пошкодження комп’ютерних програм і баз даних, а також їх носіїв.
На підставі вказаного можна виділити типові слідчі версії про подію «комп’ютерних» злочинів, а саме:
1. «Комп’ютерний» злочин учинений з метою отримання матеріальної вигоди:
а) «комп’ютерний» злочин є посяганням на розкрадання грошових коштів;
б) «комп’ютерний» злочин учинено з метою розкрадання грошових коштів групою осіб за попередньою змовою або організованою групою за участю співробітника даної установи; один із суб’єктів добре володіє навичками роботи з комп’ютерною технікою;
в) «комп’ютерний» злочин учинено з метою розкрадання грошових коштів співробітником даної установи, який володіє навичками роботи з комп’ютерною технікою;
г) «комп’ютерний» злочин з метою розкрадання грошових коштів учинено без участі співробітників даної установи злочинцями, один з яких володіє навичками роботи з комп’ютерною технікою.
2. «Комп’ютерний» злочин учинено з метою порушення авторських прав:
а) «комп’ютерний» злочин учинено з метою порушення авторських прав особою (особами), яка має вільний доступ до комп’ютерної техніки;
б) «комп’ютерний» злочин учинено з метою порушення авторських прав особою (особами), яка не має вільного доступу до комп’ютерної техніки.
3. «Комп’ютерний» злочин учинено з метою порушення алгоритму обробки інформації, знищення або пошкодження комп’ютерних програм і баз даних, а також їх носіїв:
а) «комп’ютерний» злочин учинено з метою порушення алгоритму обробки, знищення або пошкодження інформації особою, яка має доступ до комп’ютерної техніки;
б) «комп’ютерний» злочин учинено з метою порушення алгоритму обробки, знищення або пошкодження інформації особою, яка не має доступу до комп’ютерної техніки;
в) знищення, пошкодження або порушення алгоритму обробки інформації сталося внаслідок збою або несправності в автоматизованій системі і не є «комп’ютерним» злочином.
При наявності підозрюваної особи головне завдання розслідування полягає у процесуальній фіксації доказів за допомогою власника інформаційної системи, а саме, встановлення:
а) порушення цілісності (конфіденційності) інформації в системі;
б) розміру збитку, заподіяного порушенням цілісності (конфіденційності) інформації;
в) причинного зв'язку між діями, що утворюють спосіб порушення, і наслідками, що наступили, шляхом деталізації способу порушення цілісності (конфіденційності) інформації в системі і характеру вчинених підозрюваним дій;
г) ставлення винної особи до вчинених дій і наслідку, що наступив.
Якщо підозрюваний затриманий на місці вчинення злочину або відразу ж після його вчинення для даної ситуації характерні наступні заходи:
а) особистий обшук затриманого;
б) допит затриманого;
в) обшук за місцем проживання затриманого;
г) огляд стану ЕОМ, мереж ЕОМ і машинних носіїв;
д) допити очевидців, а також осіб, які забезпечують роботу інформаційної системи в тому числі посадових осіб;
е) тимчасове вилучення (переважно за участю спеціаліста) документів, у тому числі на машинних носіях, що фіксували стан інформаційної системи в момент вторгнення до неї зловмисника або її програм і наслідки вторгнення.
Одночасно необхідно вжити заходів до фіксації стану робочого місця підозрюваного, звідки він здійснив вторгнення до інформаційної системи і де можуть зберігатися сліди його дій.
При відсутності підозрюваної особи необхідно вжити заходів до пошуку місця, звідки було здійснене вторгнення до інформаційної системи.
З цією метою здійснюється пошук:
місця входу до інформаційної системи і способу входу до системи;
«шляхів проходження» зловмисника або його програм до «атакованої» системи.
Такими місцями зазвичай можуть бути: робоче місце зловмисника на службі або його місце проживання, а також інші місця, де встановлена відповідна апаратура.
Під час розслідування комп’ютерних злочинів, проводячи слідчі (розшукові) дії необхідно пам'ятати, що всі злочинні операції здійснюються за допомогою комп'ютерів, а тому залишають сліди на магнітних носіях інформації (вінчестері, СD-дисках, флеш-картках, інших носіях інформації). Своєчасне виявлення комп'ютерних пристроїв і засобів, правильне їх вилучення визначає ефективність послідуючої комп'ютерно-технічної експертизи, що призначається з метою вилучення і закріплення інформації, яка зберігається на магнітних носіях, і виявлення, таким чином, зазначених слідів злочинної діяльності.
Під час розслідування комп’ютерних злочинів найбільш логічною є така сукупність обставин, що підлягають встановленню:
факт вчинення комп’ютерного злочину;
місце вчинення злочину;
час вчинення злочину;
надійність засобів захисту комп’ютерної інформації;
спосіб вчинення злочину;
особи, які вчинили злочин;
винність та мотиви правопорушників;
обставини, що впливають на ступінь тяжкості злочину, а також обставини, що характеризують особу підозрюваного, пом’якшують та обтяжують покарання;
характер та розмір шкоди, завданої злочином;
обставини, що сприяли злочину.
3. Проведення окремих слідчих (розшукових) дій
Огляд місця події. Обов’язковими підготовчими заходами, що проводяться до виїзду на місце проведення огляду місця події є:
з’ясування у поінформованої особи відомостей про подію (де, коли, за якими ознаками стало відомо про вже вчинений комп’ютерний злочин або який вчиняється в даний час, хто виявив ці ознаки, хто повідомив про подію);
інформування про подію і виклик співробітників відповідних зацікавлених служб (наприклад, СБУ);
вжиття заходів щодо збереження обстановки, цілісності комп’ютерної системи, запобігання спробам проникнення до приміщень, що підлягають огляду (відмова від допомоги осіб зі співробітників постраждалої організації, блокування й охорона приміщень тощо);
запрошення до участі в огляді спеціалістів, бажано із сторонньої організації, та понятих. Зважаючи на швидкоплинність таких злочинів і складність їх виявлення та розслідування, бажано мати заздалегідь складений список спеціалістів, які можуть надати слідству реальну допомогу;
підготовка науково-технічних засобів. З метою оперативного огляду машинних носіїв інформації, до складу науково-технічних засобів необхідно включати й портативні комп’ютери. Сучасні технічні засоби дають можливість проведення відеозапису і фотографування, одночасно перетворюючи їх у цифрову (комп’ютерну) форму, при цьому якість зображення залишається постійною, тобто, не погіршується навіть від багатократного копіювання. Отже, спеціально підібране програмне забезпечення також є невід’ємною частиною науково-технічних засобів, необхідних для проведення огляду.
Після прибуття на місце події проводяться:
перевірка ефективності блокування й охорони приміщень, вилучення всіх сторонніх осіб;
з’ясування кількості приміщень з комп’ютерною технікою, розташування і розподіл її в різних приміщеннях;
опитування осіб, які виявили наслідки комп’ютерного злочину, або співробітників служби комп’ютерної безпеки (якщо такі є);
планування огляду (визначення послідовності і порядку власних дій і дій учасників огляду).
Огляд комп’ютерної техніки необхідно розпочинати з пошуку слідів пальців рук на клавіатурі, ручному маніпуляторі (мишці), комп’ютерних пристроях, кнопках системного блоку «reset»і «power».
Виконавши це, треба обов’язково зафіксувати у протоколі огляду стан комп’ютерної техніки та периферійного устаткування (ввімкнене або вимкнуте); вказати операційну систему, яка встановлена на комп’ютерах.
Під час огляду місця події необхідно за участю спеціаліста:
вивчити журнали системних подій, файли обліку доступу до комп’ютерної системи, файли паролів, списки доступу маршрутизатора, журнали систем виявлення вторгнень, журнали web- серверів, DNS- серверів, поштових серверів, серверів баз даних, xDSL- модемів;
виключити або максимально знизити можливість зміни досліджуваної системи;
максимально задокументувати всі дії кіберзлочинця шляхом створення файлів-доказів, виявлення всіх встановлених програмних засобів, а також створити файл із контрольними сумами всіх виявлених та створених речових доказів;
записати всі створені файли-докази, виявлені програмні засоби та файл з контрольними сумами виключно на носій з можливістю однократного запису (СD-R, DVD-R);
упакувати носій з файлами-доказами з дотриманням криміналістичних рекомендацій.
Допит свідків. У ході підготовки до допиту слідчий може вдатися до допомоги спеціаліста в галузі комп’ютерної техніки, пояснення і вказівки якого сприятимуть правильному розумінню суті розслідуваного злочину, точнішому визначенню кола обставин, що підлягають доказуванню.
Під час підготовки до допиту необхідно:
з’ясувати специфіку злочину, особливо, питання, що стосуються технічних аспектів підготовки й реалізації злочинних замислів;
визначити обставини, які потребують уточнення. Такими можуть бути: відомості про потерпілу сторону, технічні та конструктивні особливості комп’ютерної системи, що піддавалася впливу, засоби комп’ютерної техніки, що використовувалися злочинцем і т.д.;
сформулювати найскладніші запитання;
підготувати доказові або інші матеріалі для демонстрації під час допиту в разі необхідності, забезпечивши при цьому необхідний рівень їх збереження; особливу увагу звернути на підготовку науково-технічних засобів фіксації ходу слідчої (розшукової) дії.
Під час допиту свідків кожного разу необхідно з’ясувати:
чи не цікавився хто-небудь комп’ютерною інформацією, програмним забезпеченням, комп’ютерною технікою даного підприємства, організації, закладу, фірми або компанії;
чи з’являлися в приміщенні, де розміщена комп’ютерна інформація, сторонні особи, чи не зафіксовані випадки роботи співробітників з інформацією, що не належить до їх компетенції;
чи не було збоїв у роботі програм, викрадень носіїв інформації і окремих комп’ютерних пристроїв;
чи зафіксовані збої в роботі комп’ютерного обладнання, електронних мереж, засобів захисту комп’ютерної інформації;
хто із співробітників працював позаурочно, хто цікавився інформацією, що не стосується їх безпосередньої діяльності;
чи зафіксовані останнім часом випадки спрацювання засобів захисту комп’ютерної інформації;
як часто перевіряються програми на наявність вірусів, які результати останніх перевірок;
як часто оновлюється програмне забезпечення, яким чином його придбали;
яким чином купується комп’ютерна техніка, як здійснюється її ремонт і модернізація;
яким чином на підприємстві, в організації, закладі або фірмі здійснюється робота з інформацією, як вона надходить, обробляється і передається каналами зв’язку;
хто ще є абонентом комп’ютерної мережі, до якої підключені комп’ютери даного підприємства, організації, закладу або фірми, яким чином здійснюється доступ до мережі, хто з користувачів має право на роботу в мережі, повноваження цих користувачів щодо роботи з інформацією;
як здійснюється захист комп’ютерної інформації, які засоби і методи захисту застосовуються та ін.
Обшук. У процесі підготовки до обшуку необхідно:
з’ясувати, яка обчислювальна техніка є в приміщенні, де буде проводитися обшук, та її кількість;
встановити, чи використовується в комплекті з обчислювальною технікою пристрій автономного або безперебійного живлення, і до яких наслідків може призвести вимкнення електроенергії;
запросити спеціаліста з комп’ютерних систем, оскільки його знання будуть необхідними під час підготовки до обшуку, а також для оперативного аналізу інформації і кваліфікованого її вилучення з комп’ютера;
підготувати відповідну комп’ютерну техніку, яка буде використовуватися для зчитування і зберігання вилученої інформації;
вивчити особу власника комп’ютера, з’ясувати його професійні навички з володіння комп’ютерною технікою;
визначити час обшуку і заходи, які забезпечують його конфіденційність;
спрогнозувати характер інформації, яка, можливо, знаходиться в комп’ютері, її роль у швидкому й результативному обшукові, визначити, яку комп’ютерну інформацію необхідно вивчити на місці, а яку вилучити для подальшого дослідження.
Під час обшуку необхідно, в першу чергу, організувати охорону комп’ютерів. Не можна допускати до них будь-кого з присутніх у приміщенні. Варто знати, що зміну або знищення інформації може спричинити не лише робота з клавіатурою, але й увімкнення чи вимикання комп’ютера. Тому, якщо на момент проникнення до приміщення комп’ютер був увімкнений, він має залишатися увімкненим до обстеження його спеціалістом. Всю роботу на ЕОМ має виконувати запрошений спеціаліст.
Під час огляду комп’ютерної техніки, необхідно:
1) з’ясувати, чи сполучені комп’ютери, які знаходяться в приміщенні, у локальну обчислювальну мережу;
2) встановити, чи сполучений комп’ютер з обладнанням або обчислювальною технікою за межами приміщення, що обшукується;
3) з’ясувати, чи підключений комп’ютер до модему;
4) визначити, чи запущені програми на ЕОМ і які саме. Для цього необхідно вивчити зображення на екрані, якомога детальніше описати його в протоколі. У разі встановлення, що на момент проведення слідчої (розшукової) дії на комп’ютері запущені будь-які програми, спеціалісту необхідно вжити заходів до зупинення їх роботи;
5) встановити, чи не міститься в комп’ютері інформація, яка може сприяти розслідуванню. Кваліфіковано з’ясувати це може тільки спеціаліст шляхом огляду інформації, яка зберігається на жорсткому диску.
Обшук під час розслідування комп’ютерних злочинів вимагає високої кваліфікації не лише спеціаліста з комп’ютерних систем, а й усієї слідчо-оперативної групи. Крім спеціальних дій з комп’ютером, під час такого обшуку потрібно чітко організувати пошукові заходи, спрямовані на виявлення тайників, в яких можуть знаходитися звичайні документи і предмети. Таким тайником може бути й системний блок комп’ютера. Він має деякі особливості будови, що роблять його зручним для організації сховищ. По-перше, всередині системного блоку дуже багато вільного місця. По-друге, завдяки модульній побудові системний блок комп’ютера дуже зручний і швидкий у розбиранні-складанні, яке здійснюється, як правило, без яких-небудь додаткових пристроїв. Це сприяє зручному доступу до вузлів комп’ютера, не залишаючи слідів. По-третє, всередині комп’ютера використовуються електронні схеми з малою напругою, що не загрожує життю людини. Це дає можливість розкрити корпус, не відключаючи його від мережі живлення. По-четверте, материнська плата, кріпиться затискувачами до стіни корпусу, між якими залишається досить великий зазор, дуже зручний для зберігання документів. Для спеціаліста доступ до подібного тайника є нескладним.
Більшу частину інформації, що зберігається і обробляється комп’ютером, завжди можна скопіювати на переносні носії інформації – лазерні диски, флеш-карти тощо. Носії інформації можуть бути вилучені і приєднані до матеріалів кримінального провадження як речові докази.
У зв’язку з неможливістю швидко проаналізувати великий обсяг інформації на комп’ютері, її необхідно вилучити для подальшого дослідження. Переписати інформацію можна на жорсткий диск персонального комп’ютера слідчо-оперативної групи. Якщо в розпорядженні слідчо-оперативної групи немає переносного персонального комп’ютера, досить вилучити жорсткий диск з виявленого комп’ютера або весь системний блок комп’ютера.
Допит підозрюваного. Під час допиту особи як підозрюваного в кожному конкретному випадку необхідно отримати відповіді, як мінімум, на наступні запитання:
1. Де й ким (на якій посаді) працює підозрюваний?
2. До якої комп’ютерної інформації він має доступ? Які операції з інформацією має право проводити? Якою є категорія його доступу до інформації?
3. Чи вміє підозрюваний працювати на комп’ютері? Рівень його кваліфікації?
4. Які ідентифікаційні коди й паролі за ним закріплені (в тому числі при роботі в комп’ютерній мережі)?
5. До яких видів програмного забезпечення підозрюваний має доступ?
6. З якого джерела або від кого конкретно підозрюваний дізнався про зміст інформації, до якої вчинив незаконний доступ?
7. Як підозрюваному вдалося проникнути до комп’ютерної системи (мережі)?
8. Звідки підозрюваний дізнався пароль (код) доступу до інформації?
9. Чи має він обмеження на допуск до приміщення, де встановлена комп’ютерна техніка і які саме?
10. Чи ознайомлений він з порядком роботи з інформацією, інструкціями про порядок проведення робіт?
11. Чи не надходили підозрюваному пропозиції від сторонніх осіб про передачу якої-небудь комп’ютерної інформації, програмного забезпечення?
Проведення судових експертиз. На вирішення технічної експертизи комп’ютерної техніки виносяться наступні запитання:
1. Яка модель комп’ютера представлена на дослідження, які його технічні характеристики, параметри периферійних пристроїв?
2. Чи справна представлена комп’ютерна техніка? Чи можлива її експлуатація? Якщо ні, то з яких причин?
3. Чи відповідає представлена документація даним технічним пристроям і периферійному обладнанню?
4. Які умови складання комп’ютера і його комплектуючих: фірмове збирання, збирання з комплектуючих на іншій фірмі або кустарне збирання?
5. Чи мають місце несправності окремих пристроїв комп’ютера?
6. Чи не проводилась адаптація комп’ютера для роботи специфічних користувачів (лівша, людина з дефектом зору і ін.)?
Під час проведення експертизи даних і програмного забезпечення можуть вирішуватися наступні питання:
Який тип операційної системи використовується в комп’ютері? Яка її версія?
Які програмні продукти експлуатуються на даному комп’ютері? Чи є вони ліцензійними, або «піратськими» копіями, або власними оригінальними розробками? Коли проводилася інсталяція (встановлення) даних програм?
Яке призначення програмних продуктів? Для вирішення яких прикладних задач вони призначені? Які способи введення і виведення інформації використовуються? Чи відповідають результати виконання програм потрібним діям?
Які програмні методи захисту інформації (паролі, ідентифікаційні коди, програми захисту і т.д.) використовуються?
Чи були спроби підбирання паролів або інші спроби незаконного втручання в роботу електронно-обчислювальних машин (комп’ютерів), систем і комп’ютерних мереж?
Яка інформація міститься в прихованих файлах?
Чи є на представленому магнітному носієві стерті (знищені) файли? Якщо так, то які їх імена, розміри і дати створення, давність знищення?
Чи можливе відновлення раніше знищених файлів і який їх зміст?
Чи змінювався зміст файлів (вказати, яких саме), якщо так, то в чому він виявився?
У якому вигляді зберігається інформація про результати роботи антивірусних програм, програм перевірки контрольних сум файлів? Який зміст даної інформації?
Запитання для самостійного контролю:
1. Елементи криміналістичної характеристики комп’ютерних злочинів.
2. Знаряддя (засоби), способи вчинення і приховування комп’ютерних злочинів.
3. Особа злочинця і потерпілого від комп’ютерних злочинів.
4. Типова слідова картина комп’ютерних злочинів.
5. Типові слідчі ситуації початкового етапу розслідування комп’ютерних злочинів.
6. Особливості огляду місця події під час розслідування комп’ютерних злочинів.
7. Предмет допиту свідків і підозрюваних під час розслідування комп’ютерних злочинів.
8. Особливості проведення обшуку під час розслідування комп’ютерних злочинів.
9. Експертизи, що призначаються під час розслідування комп’ютерних злочинів, та питання, які вони вирішують.