§2. Криминалистическая характеристика неправомерного доступа к компьютерной информации
Под криминалистической характеристикой любого преступления подразумевается система обобщенных данных о типичных следах, способе совершения и механизме преступления, личности преступника и других существенных чертах, свойствах и особенностях преступления и сопутствующих ему обстоятельствах, способствующая оптимизации расследования и практическому применению средств, приемов и методов криминалистики в раскрытии и расследовании преступлений Яблоков Н.П. Криминалистика. - М.: Юристъ, 2005. - С. 60..
Прежде чем рассматривать элементы криминалистической характеристики НДКИ, необходимо отличать компьютерные преступления от преступлений в сфере компьютерной информации. Термин «компьютерные преступления» шире второго, он также охватывает те преступления, где компьютерная техника, программы, компьютерная информация и цифровые каналы связи являются орудиями совершения преступления или предметом посягательства.
Использованная законодателем формулировка диспозиции ст. 272 УК РФ имеет широкую сферу применения, что подтверждается на практике Середа С.А. Доклад на VII Международной конференции «Право и Интернет» // URL: http://www.ifap.ru/pi/07/ (дата обращения - 14.02.2010).. Поэтому для того, чтобы иметь представление о том, кто совершает неправомерный доступ, с какой целью, каким образом, необходимо дать криминалистическую характеристику не только НДКИ, но и тем компьютерным преступлениям, ради совершения которых такой доступ осуществляется В Приложении № 1 отражена криминалистическая характеристика компьютерных преступлений, при совершении которых может быть осуществлен НДКИ..
Начнем рассмотрение криминалистической характеристики НДКИ с особенностей предмета ст. 272 УК РФ.
Выделение компьютерной информации в качестве самостоятельного предмета уголовно-правовой охраны обусловлено её специфическими характеристиками. Для данного вида информации характерно наличие материального носителя, вне которого она не может существовать. Это позволяет устанавливать в автоматизированных процессах статус носителей информации, поскольку одна и та же компьютерная информация может храниться, передаваться на различных носителях. Кроме того, она имеет способность к сохранению и сжатию при помощи таких архивов, как Win Rar, Zip и др. Компьютерная информация при её потреблении не исчезает и не подвергается физическому износу. Она может быть растиражирована в неограниченном количестве, а также создана и изменена только при помощи ЭВМ. Помимо этого машинная информация легко удаляется при помощи компьютерной техники и передается по сетям. Данный вид информации может находиться как на машинном носителе Под машинным носителем понимают любое техническое устройство либо физическое поле, предназначенное для фиксации, хранения, накопления, преобразования и передачи компьютерной информации., так и на самой ЭВМ (ОЗУ и иной памяти ЭВМ) временно, например, информация, находящаяся в буфере обмена, и относительно постоянно, при условии, что она сохранена.
Следует помнить, что иногда компьютерная информация может выступать не только в качестве предмета преступления, но и в качестве средства преступного посягательства, причем в рамках одного и того же преступления. Исходя из этого, следует признать, что программы для ЭВМ также имеют двойственную природу: с одной стороны, служат инструментом воздействия на информацию, с другой - они могут подвергнуться любому воздействию в результате деяний, предусмотренных гл. 28 УК РФ.
При изъятии компьютерной информации, в отличие от изъятия материального предмета (вещи), она сохраняется в первоисточнике, т.к. доступ к ней могут одновременно иметь несколько лиц, например, при работе с информацией, содержащейся в одном файле, доступ к которому одновременно имеют несколько пользователей сети ЭВМ Вехов В.Б. Компьютерные преступления: способы совершения и сокрытия. - М., 2002. - С. 22-23..
Обстановка совершения НДКИ имеет существенное значение для анализа преступного деяния и обычно ее определяют обстоятельства, характеризующие пространственные, временные, вещественные, технические, психологические особенности события рассматриваемого преступления. Обстановка обусловлена тем, что преступление, предусмотренное ст. 272 УК РФ, может совершаться как непосредственно, так и с удаленного стационарного, а в последнее время и перемещающегося терминала. Данному преступлению, как правило, способствуют использование самодельных и нелицензионных программ, неэффективность методов защиты, неприменение всех установленных методов и средств защиты, нарушения правил хранения и уничтожения копий файлов, компьютерных распечаток и иных носителей информации и т.д.
Признаками НДКИ можно считать участившиеся случаи немотивированной перезагрузки компьютера, отказы систем, частые сбои в процессе работы, исчезновение информации, блокировка действий пользователя и администратора, немотивированное изменение паролей и сетевых адресов и т.д.
В качестве последствий НДКИ могут выступать хищение информации, компьютерных программ, баз данных или денежных средств, уничтожение или модификация информации, блокировка работы компьютера, системы, сети, механический выход компьютера из строя, финансовые потери, переводы денежных средств и т.д.
Дополнительными факторами, характеризующими обстановку совершения НДКИ, могут являться наличие и состояние средств защиты компьютерной техники (организационных, технических, программных), требовательность со стороны руководителей по соблюдению норм и правил информационной безопасности и эксплуатации компьютерных систем. Зачастую именно наличие и состояние средств защиты существенно влияет на обстановку совершения НДКИ.
Выявление особенностей сложившейся обстановки позволяет быстрее определить, на что следует обратить особое внимание при осмотре места происшествия, изучении компьютерного оборудования и документов, допросе свидетелей и решении вопросов о необходимости изъятия определенных документов и вызове на допрос свидетелей.
Особенностью НДКИ является то, что место непосредственного совершения противоправного деяния и место наступления вредных последствий могут не совпадать. На практике этот случай имеет место тогда, когда используются средства удаленного доступа. При непосредственном доступе место совершения противоправного деяния и место наступления вредных последствий совпадают Егорышев А.С. Криминалистические особенности обстановки неправомерного доступа к компьютерной информации // Актуальные проблемы криминалистики на современном этапе. Часть 2. Сборник научных статей / Под ред. З.Д. Еникеева. - Уфа: РИО БашГУ, 2003. - С. 37 - 41.. Если попытки неправомерного доступа предпринимаются одновременно с нескольких компьютеров, то мест совершения преступления может быть несколько.
НДКИ, как правило, может осуществляться во всех местах, где действует человек и функционирует техника, но чаще всего в помещении самого предприятия (организации), где установлен компьютер или группа компьютеров; либо во внеслужебных помещениях, которыми могут быть жилые помещения, помещения других предприятий или организаций, заранее арендованные помещения, специально оборудованные автомобили, кафе, бары.
НДКИ может совершаться в любое время суток, т.к. компьютерные системы функционируют круглосуточно. Причем необходимо отметить, что гораздо больше времени уходит на подготовку к совершению преступления и сокрытие следов, чем на сам факт неправомерного доступа.
Что касается способов НДКИ, то их можно подразделить на способы непосредственного доступа и удаленного доступа, т.е. при помощи ресурсов Internet и локальной сети. Среди способов удаленного доступа можно выделить способы, связанные с преодолением парольной, программной, технической защиты с последующим подключением к чужой системе (в свою очередь включают высокотехнологичные способы и относительно простые в техническом плане) и способы перехвата информации. Третью группу способов составляют смешанные, которые могут осуществляться как путем непосредственного, так и удаленного доступа Характеристика способов неправомерного доступа к компьютерной информации отражена в Приложении № 2..
Следует отметить, что если неправомерный доступ был совершен при помощи удаленного доступа, то способ во многих случаях будет являться определяющим «вектором» в направлении расследования преступления, предусмотренного ст. 272 УК РФ, поскольку именно от него будут зависеть, какие специалисты будут участвовать при осмотре места происшествия, какие виды судебных экспертиз будут проводиться и т.д. Кроме того, установив способ неправомерного доступа, мы можем предварительно оценить уровень владения преступником компьютерной техникой, а также выявить места, где могут находиться следы преступления.
При непосредственном способе остаются как традиционные следы, так и нетрадиционные следы: виртуальные Гаврилин Ю.В., Головин А.Ю., Тишутина И.В. Криминалистика. Толкование понятий учебного курса: Учеб. пособие / Под ред. А. Ю. Головина. - М., 2005. - С. 19.. В качестве первых могут выступать материальные и идеальные следы. К материальным относятся рукописные записки, распечатки, свидетельствующие о приготовлении к преступлению. На вычислительной технике, на компьютерных носителях, периферийных устройствах могут остаться следы пальцев рук, микрочастицы. Идеальные следы преступления - это отражения события преступления и элементов механизма его совершения в сознании и памяти людей, имеющие психофизиологическую природу формирования и проявляющиеся в виде мысленных образов преступления в целом, отдельных его моментов и участников данного деяния. Информация в виде образов, запечатленная в памяти людей, может быть использована впоследствии при составлении словесных и субъективных портретов, а также при проведении процессуальных действий, предусмотренных УПК РФ, и в рамках оперативно-розыскных мероприятий, как ориентирующая информация.
Понятие виртуальных следов в науку криминалистики было введено неслучайно, поскольку сложившееся в теории традиционное понимание следов не в полной мере относится к преступлениям, связанным с НДКИ. Виртуальные следы (вернее их называть цифровые) не обладают физическими и химическими характеристиками, кроме того, к ним неприменимо деление в зависимости от механизма следообразования на поверхностные и объемные, локальные и периферические. Цифровые следы по своей природе являются материальными. Они представляют собой результаты преобразования компьютерной информации, причинно связанные с событием преступления. Данный вид следов остается на машинных носителях и отражает процесс модификации файлов, реестра операционной системы и т.д. Мещеряков В.А. Механизм следообразования при совершении преступлений в сфере компьютерной информации // Известия Тульского государственного университета. Вып. 3. - Тула, 2000. - С. 170-172.
В отличие от традиционных следов, цифровые - достаточно легко уничтожаются, как умышленно, так и случайно. Их часто подделывают, эта фальсификация выявляется либо по смысловому содержанию информации либо по оставленным в иных местах компьютерным следам. Цифровые доказательства воспринимаются через систему аппаратно-программных средств, а значит, их сложно продемонстрировать прокурору, судье, следователю. Кроме того, не всегда удается обеспечить их неизменность, поскольку есть методы хранения информации, предусматривающие постоянную смену носителей, к тому же никто не застрахован от программных и технических ошибок и сбоев Запись на любой компакт-диск производится с использованием кода Рида-Соломона с коррекцией массовых ошибок, т.е. такая процедура заведомо рассчитана на возникновение ошибок на этапе считывания информации с носителя. Органы следствия в силу недостаточного объема финансирования как раз используют эти носители для хранения вещественных доказательств. .
Для неправомерного удаленного доступа характерно нахождение следов в разных местах одновременно и на большом расстоянии друг от друга. Так, они могут быть оставлены не только на рабочем месте, но и в месте хранения или резервирования информации Гаврилов М., Иванов А. Следственный осмотр при расследовании преступлений в сфере компьютерной информации // Законность. - 2001. - № 4. - С. 11-14.. Следы также могут быть обнаружены в местах подготовки к доступу (например, там, где разрабатывались, тестировались и компилировались программы), использования инструментов, устройств и средств, предназначенных для операций неправомерного доступа, а также в месте использования информации Никонов В., Панасюк А. Нетрадиционные способы собирания и закрепления доказательств // Законность. - 2001. - №4. - С. 19-24.. Указанные обстоятельства требуют проверки всех предполагаемых мест, где могут находиться цифровые следы. Важно отметить, что только полученные и оформленные с соблюдением уголовно-процессуального законодательства следы могут быть приобщены к уголовному делу и станут рассматриваться в качестве доказательств.
Рассмотрим общую следовую картину, которая остается при использовании преступником способов удаленного доступа.
Весь процесс неправомерного доступа начинается от ЭВМ преступника и заканчивается в виде последствий, предусмотренных ст. 272 УК РФ, на ЭВМ потерпевшей стороны Полещук О.В., Шаповалова Г.М. Криминалистическое исследование следов при расследовании компьютерных преступлений. - Владивосток, 2006. [Электронный вариант].. При этом промежуточными звеньями в указанной цепи, на которых остаются цифровые следы и которые будут иметь значение для следствия, являются провайдер (сервер провайдера); компьютеры - посредники при передаче данных; шлюзы, через которые проходит информация (пакеты данных).
При осмотре программных средств ЭВМ преступника могут быть обнаружены данные о подключении к провайдеру, время и продолжительность подключения, история посещений и кэш-программ, используемых для просмотра ресурсов сети Интернет, специализированное программное обеспечение, лог-файлы операционной системы и иных программ об операциях, данные, оставшиеся в кэш-памяти аппаратных средств. Необходимо также исследовать с участием специалиста обозреватель Интернет Explorer, который поможет органам следствия установить, какие сайты преступник посещал, а именно: папку «cookies», журнал Интернет Explorer, закладки Интернет Explorer, поисковую строку, в которой отражается история запросов. С компьютера, выходящего в сеть Интернет, в автоматическом режиме ведется протокол выхода в Интернет, количество дней хранения которого определяется пользователем.
У провайдера, предоставившего выход в Интернет преступнику, должна храниться информация о совершенных сетевых подключениях в виде логов, в том числе осуществленных с компьютера преступника. На сервере провайдера обычно хранятся регистрационные данные для сетевого подключения (логин и пароль), электронный адрес компьютера (логический адрес), так называемый IP-адрес, и физический адрес сетевой карты (MAC-адрес, телефонный номер, с которого осуществлялось модемное соединение), данные об отправленных или полученных пакетах информации, времени их отправки и приема, размера и типа, IP-адреса получателя и отправителя.
Следы, находящиеся в лог-файлах, не всегда могут рассматриваться в качестве неопровержимых доказательств, поскольку такие данные могут быть изменены не только самими преступниками, но и сотрудниками фирмы провайдера или третьими лицами, в том числе случайно. Однако в них может быть обнаружена идентификационно - справочная информация, которая позволит следователю строить версии о том, где и какие следы искать дальше.
На ЭВМ, которые выступают в качестве посредников передачи данных, могут и не сохраняться следы. В редких случаях лишь короткое время могут сохраняться сведения, например, о направлении движения пакета данных.
В качестве объекта посягательства может выступать персональный компьютер пользователя, подключенный к Интернету, либо компьютер, находящийся в локальной сети и имеющий при этом выход в Интернет. Следами, указывающими на посторонний доступ, могут быть переименование папок и файлов, изменение их содержания и размеров, атрибутов, появление новых файлов, изменение в реестре операционной системы, изменение конфигурации компьютера и т.п.
Для предотвращения неправомерного доступа, осуществляемого при помощи ресурсов сети Интернет, на персональных компьютерах или компьютерах, объединенных в сеть, устанавливаются программы - антивирусы и брандмауэр Windows, который позволяет фильтровать входящие и исходящие пакеты данных в зависимости от параметров и настроек этого технического устройства, в том числе по IP-адресу отправителя и получателя. Таким способом, если речь идет о локальной сети, можно сузить число ЭВМ в сети, которые будут доступны извне. Как правило, это почтовые серверы, прокси-сервер, позволяющие выходить с компьютеров, не имеющих прямого выхода. Практика показывает, что при такой организации сети можно зафиксировать подробно действия преступника специально установленными программными средствами Гавло В.К., Поляков В.В. Некоторые особенности расследования преступлений, связанных с неправомерным доступом к компьютерной информации // Известия АГУ. - 2006. - № 2. - С. 44-48..
Орудиями НДКИ являются ЭВМ, средства компьютерной техники (основные и периферийные), в том числе и специальное программное обеспечение. Следует выделить средства непосредственного и опосредованного (удаленного) доступа. К орудиям непосредственного доступа относятся машинные носители информации, а также все средства преодоления защиты информации. К орудиям удаленного доступа - сетевое оборудование, телефонная связь, модем, в том числе и мобильные, сотовые телефоны, сетевые карты и т.д. Сюда же относятся глобальная мировая сеть Интернет, локальные сети Вехов В.Б. Компьютерные преступления: способы совершения и сокрытия. - М., 2002. - С. 34-37..
Всех лиц, которые совершают НДКИ можно подразделить на две категории: лица, состоящие в трудовых отношениях с предприятием, организацией, учреждением, фирмой или компанией, на котором совершено преступление, а именно: непосредственно занимающиеся обслуживанием ЭВМ, пользователи ЭВМ, имеющие определенную подготовку и свободный доступ к компьютерной системе, и административно-управленческий персонал; вторая группа - граждане, не состоящие в правоотношениях с предприятием, организацией, учреждением, фирмой или компанией, на котором совершено преступление, а именно: лица, занимающиеся проверкой финансово-хозяйственной деятельности предприятия и т.п.; пользователи и обслуживающий персонал ЭВМ других предприятий, связанных компьютерными сетями с предприятием, на котором совершено преступление; лица, имеющие в своем распоряжении компьютерную технику Мазуров В.А. Компьютерные преступления: классификация и способы противодействия. - М.: «Логос», 2002. - С. 125-126..
- Глава 38. Методика расследования преступлений в сфере компьютерной информации § 1. Расследование фактов неправомерного доступа к компьютерной информации
- 3. Неправомерный доступ к компьютерной информации
- Глава 3. Типичные исходные следственные ситуации и особенности первоначального этапа расследования преступлений в сфере компьютерной информации 43
- 1. Первоначальный этап расследования неправомерного доступа к компьютерной информации
- 2. Неправомерный доступ к компьютерной информации
- Неправомерный доступ к компьютерной информации
- Общая схема расследования неправомерного доступа к компьютерной информации.
- Тема 44: Расследование преступлений в сфере компьютерной информации