|
порядке. Процесс оцифровки происходит при переходе на логический уровень, как с физического уровня, так и с семантического. Таким образом, эти уровни неразрывно взаимосвязаны. Изменения на любом уровне немедленно ведут к изменениям на других уровнях. Исходя из особенностей механизма совершения преступлений в сфере компьютерной информации, следы образуются на: а) машинных носителях, с использованием которых действовал преступник на своем рабочем месте; б) «транзитных» машинных носителях, посредством которых преступник осуществлял связь с информационными ресурсами, подвергавшимися нападению; в) машинных носителях информационной системы, на которую осуществлено преступное воздействие. Следы таким образом можно разделить на две большие группы: локальные (на ЭВМ преступника и жертвы) и сетевые (на серверах и коммуникационном оборудовании). Локальные следы могут быть классифицированы по разным основаниям1: по местоположению (следы в системных областях файловой системы; в файлах; в кластерах); по механизму инициации изменений (следы, инициированные пользователем; следы, инициированные программой); по правомочности действий объекта (субъекта), вносящего изменения (следы правомочных действий; следы неправомочных действий); по сложности взаимодействия объектов (следы простого взаимодействия; следы комплексного взаимодействия). Классификации базируются на закономерностях функционирования конкретной файловой системы и программ, имеют иерархический характер. 60 1 Волеводз А.Г. Следы преступлений, совершенных в компьютерных сетях // «Российский следователь». 2002. №1. |
Подготовка к совершению рассматриваемых преступлений включает: установление аутентификационных данных (имя, пароль, код доступа и пр.); подбор соучастников, распределение ролей между ними и их инструктаж; подбор специальных (аппаратных, программных) средств; изучение специальных вопросов; подыскание объекта посягательства и сбор сведений о нем. Способы совершения преступлений в сфере экономики с использованием средств компьютерной техники, в зависимости от формы контакта с компьютерной техникой, подразделяются на непосредственные, опосредованные и смешанные. Наиболее распространенными способами программного сокрытия следов преступлений в сфере экономики, совершаемых с использованием средств компьютерной техники, являются: использование ремейлеров; вымышленного электронного адреса отправителя; программ-анонимизаторов; прокси-серверов; второго электронного почтового ящика; вредоносных программ; уничтожение информации, находящейся в памяти компьютера и на машинных носителях, в том числе файлов истории, файлов-отчетов, результатов работы антивирусных и тестовых программ и других файлов, содержащих информационные следы преступления; установление значительных временных задержек между моментом внедрения средств программно-технического воздействия и моментом совершения преступных действий либо настройка таких средств на активизацию только при определенных условиях (при запуске какой-либо программы) или в определенное время. 3. Компьютерно-технические следы образуются на: а) машинных носителях, с использованием которых действовал преступник на своем рабочем месте; б) «транзитных» машинных носителях, посредством которых преступник осуществлял связь с информационными ресурсами, подвергавшимися нападению; в) машинных носителях информационной системы, на которую осуществлено преступное воздействие. 9 считывании информации; неадекватная реакция ЭВМ на команды пользователя; появление на экране нестандартных символов, знаков и пр. Итак, компьютерно-технические следы преступления представляют собой результаты преобразования компьютерной информации в форме уничтожения, копирования, блокирования или модификации, причинно связанные с событием преступления. Исходя из особенностей механизма совершения преступлений в сфере экономики, совершенных с использованием средств компьютерной техники, следы образуются на: а) машинных носителях, с использованием которых действовал преступник на своем рабочем месте; б) «транзитных» машинных носителях, посредством которых преступник осуществлял связь с информационными ресурсами, подвергавшимися нападению; в) машинных носителях информационной системы, на которую осуществлено преступное воздействие. Следы таким образом можно разделить на две большие группы: локальные (на ЭВМ преступника и жертвы) и сетевые (на серверах и коммуникационном оборудовании). Локальные следы могут быть классифицированы по разным основаниям1: по местоположению (следы в системных областях файловой системы; в файлах; в кластерах); по механизму инициации изменений (следы, инициированные пользователем; следы, инициированные программой); по правомочности действий объекта (субъекта), вносящего изменения (следы правомочныхдействий; следы неправомочных действий); 65 1 Волеводз А.Г. Следы преступлений, совершенных в компьютерных сетях // Российский следователь. 2002. № 1.С.28. Компьютерно-технические следы образуются на: а) машинных носителях, с использованием которых действовал преступник на своем рабочем месте; б) «транзитных» машинных носителях, посредством которых преступник осуществлял связь с информационными ресурсами, подвергавшимися нападению; в) машинных носителях информационной системы, на которую осуществлено преступное воздействие. 2. Характерной чертой расследования преступлений в сфере экономики, совершаемых с использованием средств компьютерной техники, являетсято, что при проведении большинства следственных действий, особенно направленных на получение невербальной криминалистически значимой информации, необходимо участие специалиста. Специалист в области компьютерных средств: определяет, соединены ли находящиеся в помещении компьютеры в локальную вычислительную сеть; устанавливает, имеются ли соединения компьютера с оборудованием или вычислительной техникой вне осматриваемого помещения; выясняет, подключен ли компьютер к телефонной линии; определяет, запущены ли программы на ЭВМ и какие именно; проводит экспресс-анализ компьютерной информации путем просмотра содержимого дисков; оказывает помощь следователю в фиксации текущего состояния компьютерной информации, выявлении признаков, указывающих на характер произошедшего события и его последствия: уничтожение, блокирование, модификацию, копирование информации, нарушение работы ЭВМ, их системы или сети; устанавливает способ совершения преступления. 3. Компьютерно-техническая экспертиза самостоятельный род судебных экспертиз, относящийся к классу инженерно-технических экспертиз, проводимый в целях: определения статуса объекта как компьютерного средства, выявления и изучения его роли в расследуемом преступлении, а также получения доступа к информации на электронных носителях с последующим всесторонним ее исследованием. 160 |