станции, М. даже зарегистрировал на сервере "CHAT.RU" в г. Москве свою электронную страничку и почтовый ящик, которые назвал именем «wladic». На эту страничку он поместил описание своей программы-вируса. В последующем, М. стал активно использовать программу-вирус для «кражи» паролей доступа у законных пользователей и последующего несанкционированного доступа в сеть «Интернет». Его действия по применению вируса были замечены. В процессе расследования информация, содержащаяся в компьютерной сети, была обнаружена и сыграла ключевую роль в установлении преступника1. 2. Установление лица, совершившего преступление, по данным файлов регистрации системных событий. Какое бы событие ни произошло в системе, информация о нем (кто инициировал, когда и в какое время оно произошло, какие при этом были затронуты файлы) регистрируется в данных файлах. В частности, в таких файлах может отражаться информация о паролях:пользователей, их именах, идентификационных номерах. Впоследствии такая информация используется для выявления компьютера, с которого осуществлен неправомерный доступ, и установления личности преступника. У провайдера можно также установить время выхода на связь определенного пользователя, продолжительность его работы и другую информацию из имеющегося на его компьютере log-файла. В ряде случаев через провайдера можно определить и номер телефона, с которого был произведен звонок2. Если имеется предположение, что неправомерный доступ осуществлен с одного из компьютеров, включенных в локальную сеть, конкретное рабочее место можно установить через log-файл сервера локальной сети3. 141 1По материалам прокуратуры г.Чебоксары. 2 Интересен опыт некоторых западных стран, в которых компания провайдер может быть подвергнута судебному преследованию, если она не принимает мер против своих клиентов, нарушивших закон (см.: Полицейские ищут преступников в «электронных джунглях»// Вестник МВД России. 1998. №4. С. 104). 3 Гаврилин Ю.В. Зарубежный опыт расследования преступлений в сети Интернет// Известия ТулГУ. Сер.: «Современные проблемы законодательства России, юридических науки правоохранительной деятельности». Вып.З. Тула, 2000. С. 138. |
последующем М. декодировал пароль с помощью специально разработанной программы «recode.exe». Поначалу, желая «прославиться» среди компьютерной общественности, М. широко разрекламировал свою программу-вирус. Свои электронные сообщения он подписывал «VladBEST» («Влад самый лучший»). Получив с помощью вируса пароли доступа в сеть «Интернет» некоторых клиентов филиала ОАО «Связьинформ» Чебоксарской телеграфно-телефонной станции, М. даже зарегистрировал на сервере "CHAT.RU" в г. Москве свою электронную страничку и почтовый ящик, которые назвал именем «wladic». На эту страничку он поместил описание своей программы-вируса. Позднее М. стал активно использовать программу-вирус для «кражи» паролей доступа у законных пользователей и последующего несанкционированного доступа в сеть «Интернет». Его действия по применению вирусной программы были замечены. В процессе расследования информация, содержащаяся в компьютерной сети, была обнаружена и сыграла ключевую роль вустановлении преступника1. 2. Установление лица, совершившего преступление, по данным файлов регистрации системных событий. Какое бы событие ни произошло в системе, информация о нем (кто инициировал, когда и в какое время оно произошло, какие при этом были затронуты файлы) регистрируется в данных файлах. В частности, в таких файлах может отражаться информация о паролях пользователей, их именах, идентификационных номерах. 3. Информацию о личности преступника и его местонахождении можно получить, произведя комплексный анализ сведений о способе совершения преступления, противодействии расследованию, месте и времени посягательства, мотивах и целях деяния. Так, например, выявление двух признаков: знание паролей различных операций, выполняемых тем или иным компьютером в организации, и наличие доступа к нему или сети ЭВМ значительно сужают круг подозреваемых. 106 1По материалам прокуратуры г.Чебоксары. копирование информации, нарушение работы ЭВМ, их системы или сети; устанавливается способ совершения преступления. Для этого с помощью специалиста в области компьютерных средств наблюдается действие программ, содержимое текстовых файлов и баз данных. При этом особое внимание следует уделить изучению имеющихся в большинстве компьютерных систем файлов регистрации. Какое бы событие ни произошло в системе, информация о нем (в том числе, кто инициировал его, когда и в какое время оно произошло, какие при этом были затронуты файлы) регистрируется в этих файлах. В частности, в файлах регистрации может получить отражение информация о паролях пользователей, их именах, идентификационных номерах. Впоследствии данная информация может быть использована для установления компьютера, с которого произошел неправомерный доступ ккомпьютерной информации. Большой информационной ценностью обладает протокол выхода в сеть Интернет с определенного компьютера. Он автоматически ведется на каждом компьютере, с которого возможен выход во всемирную сеть (количество дней его хранения определяется пользователем). Так же представляют интерес данные о пользователе электронной почты (фамилия, имя, отчество, дата и место рождения, место жительства, работы и пр.). В большинстве случаев добросовестный пользователь заинтересован в предоставлении достоверной информации для получения электронных сообщений. При этом специалист-криминалист производит поиск традиционных следов преступления, обращая внимание не только на наличие (отсутствие) физических повреждений компьютерной техники, магнитных носителей и т.п., но и на состояние окон, дверей и запорных устройствах на них. Если выясняется, что имел место непосредственный доступ к компьютерной технике и информации, то с помощью специалиста-криминалиста необходимо отыскивать следы пальцев рук, микрочастицы на клавиатуре, корпусе ЭВМ, мониторе, принтере и т.п. 125 131.Белых А.Н. Свобода информации и проблема информационных нападений // Зашита прав и гражданских свобод в России: философские, политические и мировоззренческие проблемы: Курс лекций. М., 2000. 132. Букин Д. Underground киберпространства // Рынок ценных бумаг. 1997. №8. 133. Букин Д. Хакеры. О тех, кто делает это // Рынок ценных бумаг. 1997. №23. 134.Волеводз А.Г. Следы преступлений, совершенных в компьютерных сетях // Российский следователь. 2002. №1. 135.Выдрина Н.В. Исходные доследственные ситуации по фактам самоубийств // Криминалистические методы расследования преступлений. Тюмень, 1995. Вып. 2. 136.Гаврилин Ю.В. Зарубежный опыт расследования преступлений в сети Интернет // Известия ТулГУ. Сер.: «Современные проблемы законодательства России, юридических наук и правоохранительной деятельности». Вып. 3. Тула, 2000. 137. Гаврилин Ю.В. Работа с объектами, сопряженными с использованием компьютерных средств // Эксперт. Руководство для экспертов органов внутренних дел и юстиции / Под ред. Т.В. Аверьяновой и В.Ф. Статкуса. М.: КноРус, Право и закон, 2003. 138. Головин А.Ю., Коновалов С.И., Толстухина Т.В. Тактика осмотра и обыска по делам о преступлениях в сфере компьютерной информации: Лекция. Тула, 2002. 139.Густов Г.А., Танасевич В.Г. Признаки хищений социалистической собственности // Вопросы совершенствования предварительного следствия. Л., 1971. 174 |