|
обнаружения следов преступления; для решения вопросов о том, кем, с какой целью и при каких обстоятельствах было совершено преступление; выяснения обстановки происшедшего события; восстановления механизма совершения преступления. Проводить осмотр следует с участием специалиста. По прибытии на место происшествия необходимо: 1) изучить обстановку, сложившуюся на момент осмотра места происшествия; 2) исключить возможность доступа посторонних лиц. 3) установить, соединены ли находящиеся в помещении компьютеры в локальную вычислительную сеть. На это могут указать коаксиальные кабели, идущие от компьютера к компьютеру, или просто телефонные провода. При наличии локальной компьютерной сети наибольший интерес представляет сервер, на котором хранится наибольшая часть информации и к которому имеют доступ все ЭВМ. Этот компыотер необходимо обследовать более предметно; 4) определить, имеются ли соединения компьютера с иной техникой вне осматриваемого помещения. На это могут указывать кабели и провода, идущие от компьютера в другие помещения или здания. Если есть соединения, то существует реальная возможность непосредственного обмена информацией независимо от желания специалиста, ее изменения или уничтожения с удаленных рабочих мест, находящихся за несколько метров или даже километров от обыскиваемого помещения. Для предотвращения этого на время съема информации вычислительную сеть необходимо локализовать физическим отключением кабелей; 5) определить, запущены ли программы на ЭВМ и какие именно. Для этого необходимо изучить изображение на экране и, по возможности, детально описать его в протоколе. Если специалисту удастся определить, что на компьютере работает программа уничтожения информации или ее зашифровки, то такие программы стоит приостановить и обследование начать именно с этого компьютера. Если до момента осмотра компьютера на нем оператором вводился текст, и этот текст может представлять интерес для следствия, то выход из |
80 1) зафиксировать обстановку, сложившуюся на момент осмотра места происшествия; 2) исключить возможность посторонним лицам (да и участникам следственно-оперативной группы) соприкасаться с оборудованием. Желательно лишить их возможности пользоваться телефоном, а при острой необходимости делать это только с разрешения следователя. «Не допускайте, чтобы кто-либо производил любые действия с компьютером. Риск, связанный с непосредственным вмешательством в систему значительно больше, чем малый шанс дистанционного влияния на систему с другого устройства»1. Необходимо организовать охрану каждого компьютера (терминала), для чего возможно привлечение дополнительных сил: подразделений ОМОН, СОБР и пр.; 3) определить, соединены ли находящиеся в помещении компьютеры в локальную вычислительную сеть. На это могут указать коаксиальные кабели, идущие от компьютера к компьютеру, или просто телефонные провода. При наличии локальной компьютерной сети наибольший интерес представляет центральный компьютер, так называемый "сервер", на котором хранится большая часть информации и к которому имеют доступ все ЭВМ. Этот компьютер необходимо обследовать более тщательно и осторожно; 4) установить, имеются ли соединения компьютера с оборудованием или вычислительной техникой вне осматриваемого помещения. На это могут указывать кабели и провода, идущие от компьютера в другие помещения или здания. Если есть соединения, то существует реальная возможность непосредственного обмена информацией, независимо от желания специалиста, ее изменения или уничтожения с удаленных рабочих мест, находящихся за несколько метров или даже километров от обыскиваемого помещения. Для предотвращения этого на время съема информации вычислительную сеть не1 Осипенко М. Компьютеры и преступность. //Информационный бюллетень НЦБ Интерпола в Российской Федерации, 1994, № 10. С. 16. 81 обходимо отключить от "внешнего мира" программно или физическим отключением кабелей. Эту работу квалифицировано может выполнить только специалист в области вычислительной техники; 5) выяснить, подключен ли компьютер к телефонной или телетайпной линиям. В случае подключения на него могут поступать вызовы (звонки) с дальнейшими приемами или передачами информации. Следует иметь в виду, что установить, запрограммирован ли компьютер на передачу, может только специалист. Если информация, поступающая на компьютер по электронной почте, факсимильной или телетайпной связи может иметь интерес, то отключать телефонную или телетайпную линии нет смысла, но необходимо воздерживаться от телефонных разговоров по данной линии; 6) определить, запущены ли программы на ЭВМ и какие именно. Для этого необходимо изучить изображение на экране и, по возможности, детально описать его в протоколе. Если специалисту удастся определить, что на компьютере работает программа уничтожения информации или ее зашифровки, то такие программы стоит приостановить и обследование начать именно с этого компьютера. Если до момента осмотра компьютера на нем вводился оператором текст, и этот текст может представлять интерес для следствия, то выход из редактора надо осуществлять только после сохранения набранного текста на жестком диске путем выбора соответствующего пункта меню. Установить название программы, которая последней выполнялась на компьютере, для операционной системы MS-DOS можно путем одновременного нажатия клавиш Ctrl-E. Многократное нажатие этой комбинации предоставит возможность проследить за всеми запускаемыми программами с момента последней перезагрузки компьютера. Важно отметить, что следователю в любом случае не следует самому производить какие-либо манипуляции с вычислительной техникой. Их должен осуществлять специалист. На рабочей (исследовательской) стадии осмотра места происшествия каждый объект подлежит тщательному обследованию. В этот период времени 101 2) установить, имеются ли соединения компьютера с оборудованием или вычислительной техникой вне обыскиваемого помещения; 3) выяснить, подключен ли компьютер к телефонной или телетайпной линиям1; 4) определить, запущены ли программы на ЭВМ и какие именно. Для этого необходимо изучить изображение на экране и, по возможности, детально описать его в протоколе. Признаком того, что компьютер находится не в режиме ожидания очередной команды, а выполняет ранее заданные инструкции, может служить следующее: а) наличие на экране надписи, характеризующей действие программы. Это может быть выделенное цветом или яркостью сообщение типа "ИДЕТ ТЕСТИРОВАНИЕ" или выделенный пункт предложенного на экране меню; б) наличие на экране специального изменяющегося изображения (бегущая строка, перемещающийся знак и т.д.); в) мигание индикатора обращения к жесткому, CD-ROM, гибким диска, (подобный индикатор всегда есть на лицевой панели и его включенное или мигающее состояние свидетельствует об идущем обмене информацией с носителем), характерное потрескивание и шелест CD-ROM и магнитных носителей. Аналогичные признаки работающего накопителя характерны для выносных накопителей, выполненных в отдельном корпусе. Если будет установлено, что на момент проведения следственного действия на компьютере запущены какие-либо программы, то специалисту необходимо принять меры к их остановке2. 1Следует иметь в виду, что подключением компьютера к телефонной или телетайпной линиям невозможно уничтожить или изменить информацию на нем. Эта информация может быть лишь пополнена или куда-либо передана. 2Остановка программ осуществляется, как правило, путем выбора соответствующего пункта меню, предлагаемого пользователю. Для этого необходимо |