Диссертация (1173964), страница 43
Текст из файла (страница 43)
Взлом личной страницы в сети Интернет25,0 %8,2 %3. Создание, использование и распространение вредоносных программ16,7 %4. Размещение обращения в сети Интернет (экстремизм)16,7 %2025. Распространение программного обеспечения без лицензии и разрешения, путёмреализации6. Использование средств массовой информации либо электронных или информационно-телекоммуникационных сетей (в том числе, сеть Интернет) для распространения, публичная демонстрация или рекламирование незаконно изготовленныхпорнографических материалов или предметов; распространение, публичная демонстрация или рекламирование материалов, или предметов с порнографическимиизображениями несовершеннолетних, а также сбыта наркотических средств, психотропных веществ или их аналогов, а также незаконный сбыт или пересылка растений, содержащих наркотические средства или психотропные вещества, либо их части, содержащие наркотические средства или психотропные вещества16,7 %16,7 %2035. Причинная связь между преступным деяниеми наступившими общественно опасными последствиями:1.
Скопированная информация с карт позволяла получить доступ к денежным средствам2. Размещение информации в интернете предоставляла доступ к ней неограниченного круга лиц3. Имеет причину мести и хулиганства33,3 %16,7 %8,3 %4. Нанесён материальный ущерб25,0 %5. Нарушение авторских прав16,7 %2046. Способы сокрытия киберпреступлений:1. Шифровка (электронной почты; файлов, содержащих информацию, касающуюсясовершенного киберпреступления и прочего)2. Удаление информации, находящейся в памяти компьютера и на машинных носителях3.
Установка пароля4. Хранение информации, касающуюся совершенного киберпреступления, в Облаке5. Установка программ удалённого пользования, программ защиты информации отнесанкционированного доступа6. Использование вредоносных программ для удаления файлов7. Использование ложного почтового адреса или анонимной почты8. Использование программы смены (скрытия) IP-адреса компьютера9. Способы сокрытия не использовались5,0 %13,0 %10,0 %9,0 %8,2 %8,3 %10,7 %5,0 %30,8 %2057.
Причины несвоевременного обращения в правоохранительные органы:22,7 %1. Преступление было не своевременно выявлено8,3 %2. Потерпевший пытался решить возникшие проблемы самостоятельно25,0 %3. Неверие в эффективность действий правоохранительных органов10,7 %4. Иные причины8. Поводом для возбуждения уголовного дела по киберпреступлениям является:1. Заявление о преступлении2. Явка с повинной3. Сообщение о совершенном или готовящемся преступлении, полученное из иныхисточников4.
Результаты ОРД42,3 %0%12,0 %45,7 %2069. С момента получения сообщения о преступлениидо начала осмотра места происшествия прошло:1. До 1 часа2. От 1 до 3 часов33,3 %33,3 %3. От 3 до 12 часов8,3 %4. От 12 до 24 часов8,3 %2075. Свыше суток16,6 %10. На момент возбуждения уголовного деласложилась следующая следственная ситуация:1. Лицо, совершившее киберпреступление, известно2. Имеются ориентировочные, неполные сведения о лице, совершившем киберпреступление3.
Информация о лице (лицах), причастных к совершению киберпреступления, отсутствует33,3 %33,3 %33,3 %20811. Следственные действия,проведённые при расследовании киберпреступлений:1. Осмотр места происшествия2. Допрос3. Обыск4. Выемка5. Следственный эксперимент6. Назначение судебных экспертиз7. Иные следственные действия83,3 %91,7 %30 %58,3 %8,3 %83,3 %4,0 %20912. Осмотр места происшествия проводился:1. Да2. Нет91,7 %8,3 %21013.
Выявленные особенности тактикиосмотра места происшествия при расследовании киберпреступлений:1. Привлечение к осмотру места происшествия специалиста и экспертакриминалиста2. По прибытии на место осмотра происшествия следователь запретил доступ ккомпьютерам и различным гаджетам (планшетные компьютеры, телефоны,смартфоны и прочее) всем лицам, находящимся на месте осмотра3. Выявление следов рук, оставшихся на компьютерной технике и периферийныхустройствах4. Установление расположения всей компьютерной техники, в осматриваемом месте, места прокладки телекоммуникационных кабелей, наличие локальной, беспроводной (WI-FI) и глобальной сетей в помещении, наличие сервера5.
Место происшествия осматривалось также на предмет запоминающих устройств5. Осмотрена документация и записи, относящиеся к киберпреступлениям6. Работающая компьютерная техника осматривается специалистом для выявлениякомпьютерной информации, содержащей следы, совершённого киберпреступления7. Производится изъятие компьютерной техники и комплектующих8. Другие особенности91,7 %2,0 %41,7 %16,7%58,3 %16,7 %75,0 %50,0 %25,0 %21114. Допрос подозреваемогопри расследовании киберпреступлений проводился:1. Да91,7 %2. Нет8,3 %15. Выявленные особенности тактики допроса подозреваемогопри расследовании киберпреступлений:1. Был привлечен специалист к проведению допроса, в связи с использованием подозреваемым специальной терминологии2. Подозреваемый давал ложные показания или отказывался от них в связи, с чемследователь применял следующие тактические приёмы16,7 %83,3 %21216.
Перечень вопросов, задаваемых следователем в ходе допросапри расследовании киберпреступлений (касающиеся преступных действий,связанных с компьютерной техникой и телекоммуникационными сетями):Каков навык работы с компьютерной техникой и телекоммуникационными сетями?Где приобретены знания по работе с компьютерной техникой и телекоммуникационными сетями?Когда и в какое время было совершено киберпреступление? (укажите, дату и время доступа ккомпьютерной технике, для совершения киберпреступления)Какие операции и действия были проведены с компьютерной техникой и телекоммуникационными сетями для совершения киберпреступления?Какие были предприняты действия с компьютерной техникой и телекоммуникационнымисетями для сокрытия, совершенного киберпреступления?Какие орудия использовались для совершения киберпреступления (в данном случае, компьютерная техника, средства сетевой коммуникации, носители компьютерной информации)?Какая марка, модель, цвет и другие признаки идентификации?Где орудие преступления находится в настоящее время?Для каких именно преступных действий использовалось то или иное орудие?Использовались ли для совершения преступления телекоммуникационные сети?Какие именно сети телекоммуникационные использовались?Какие телекоммуникационные сети подключены на месте совершения киберпреступления?С каким оператором связи заключён договор по подключению к телекоммуникационным сетям?17.
Обыск проводился:1. Да2. Нет30,0 %70,0 %21318. Выемка проводилась58,3 %1. Да2. Нет41,7 %19. Особенности тактики проведения обыска, выемкипри расследовании киберпреступлений1. Предварительное получение достоверных данных: о виде и конфигурации используемой компьютерной техники; о подключении компьютерной техники ктелекоммуникационным сетям; о наличии службы информационной безопас16,7 %ности и защиты от несанкционированного доступа; о системе электропитанияпомещений, где установлена компьютерная техника; о квалификации пользователей и другие2.
Привлечение специалиста к производству обыска/выемки100,0 %3. Запрет доступа к компьютерам и различной компьютерной технике (планшетные компьютеры, смартфоны и прочее) всем лицам, находящимся в обыски- 30,0 %ваемом помещении4. Фиксирование в протоколе следственного действия всех обнаруженных электронных запоминающих устройств (устройств флеш-памяти, внешних нако77,8 %пителей на жёстких магнитных дисках.), DVD, СD, с указанием сведений, необходимых для их идентификации5.
На детальном этапе обыска (выемки) осмотр рабочей компьютерной техники100,0 %на предмет доказательств в форме компьютерной информации и изымалась6. Использование тактического приёма, основанного на реальной угрозе изъятиявсех имеющих отношение к предмету обыска компьютерных средств и носителей информации (в случае если изъятие компьютерной техники невозможно, а 10,0 %обыскиваемый или лицо, присутствующее при обыске, отказывается добровольно предоставить доступ в автоматизированную информационную систему)7.
После осмотра компьютеры и их комплектующие, имеющие отношение к рас100,0 %следуемому киберпреступлению, опечатаны по правилам и изъяты21420. Проводился следственный экспериментпри расследовании киберпреступлений:1. Да8,3 %2. Нет91,7 %21. Проводилась ли судебная экспертизы при расследовании киберпреступлений1. Да83,3 %2. Нет16,7 %21522. Судебные экспертизы,проведённые при расследовании киберпреступлений:Компьютерно-техническая экспертизаАвтороведческая экспертиза93,5 %Почерковедческая экспертиза37,5 %Дактилоскопическая экспертиза67,0 %25,0 %Психологическая экспертиза8,5 %Психиатрическая экспертиза5,5 %Судебно-медицинская экспертиза5,5 %Одорологическая экспертиза7,0 %Технико-криминалистические экспертиза документов39,0 %Иные экспертизы10,0 %21623. Назначение судебной компьютерно-технической экспертизыпри расследовании киберпреступления обусловлено:1.
Исследованием содержания компьютера2. Выявлением вирусного программного обеспечения на компьютере и его передающих возможностей3. Установлением даты и времени выхода в сеть Интернет, IP-адреса компьютера,посещения web-сайтов и прочего4. Установлением наличия сбытого программного обеспечения5. Установлением информации, относящейся к киберпреступлению, находящейся вкомпьютерной технике8,3 %16,7 %38,3 %16,7 %19,7 %21724. Выявленные особенности тактики назначениякомпьютерно-технической экспертизы при расследовании киберпреступленийа) объекты, поступающие на компьютерно-техническую экспертизу:- компьютерная техника (компьютер, планшетный компьютер, смартфон, периферийныеустройства и прочее);- запоминающие устройства;- сетевые аппаратные средства (серверы, рабочие станции, активное оборудование, сетевые кабели и т.
п.);б) задачи, решаемые компьютерно-технической экспертизой при расследовании киберпреступлений:1. определение и изучение конструктивных особенностей компьютеров и другихустройств, обеспечивающих их работу2. установление соответствия технических характеристик объектов, предоставленных на исследование с данными, содержащимися в прилагаемой технической документации3. установление характера и размера информации, хранящейся на внутренних ивнешних магнитных носителях4.
установление наличия пароля при доступе к информации33,3 %8,3 %75,0 %25,0 %5. расшифровка закодированной информации25,0 %6. расшифровка закодированной информации50,0 %7. установление авторства программного продукта33,3 %8. установление факта корректировки файлов, объёмов корректировок, способов16,7 %9. восстановление информации16,7 %10. распечатка информации или её части11. определение уровня профессиональной подготовки лица в области программирования и работы с вычислительной техникой12. установление факта перечисления денег на абонентский номер13. установление возможностей программного обеспечения и фактов передачи информации8,3 %25,0 %8,3 %8,3 %218в) Аппаратно-компьютерная экспертизаПеречень вопросов, решаемых в рамках данной экспертизыКаков тип, конфигурация и основные технические характеристики представленного на исследование аппаратного средства?Соответствует ли комплектация аппаратного средства представленной технической документации?Не внесены ли в конструкцию представленного аппаратного средства изменения (например,установка дополнительных встроенных устройств: накопителей на жёстких магнитных дисках, модулей оперативной памяти, приводов для работы с компакт-дисками и пр., иные изменения конфигурации)?Работоспособно и исправно ли представленное на экспертизу аппаратное средство?Каковы причины неисправности, неработоспособности?Является ли неисправность представленного аппаратного средства нарушением определённых правил эксплуатации?Пригоден ли для исследования представленный машинный носитель информации?Каковы причины отсутствия доступа к машинному носителю информации?Имеют ли представленные аппаратные средства какие-либо повреждения?Соответствуют ли технические характеристики представленного аппаратного средства техническим характеристикам … ?219г) Программно-компьютерная экспертизаПеречень вопросов, решаемых в рамках данной экспертизыКакой экземпляр (например, операционной системы) установлен на представленных машинных носителях, какова дата его установки?Имеется ли на представленных машинных носителях программное обеспечение для …?Имеется ли на машинных носителях информации, представленных на исследование, программное обеспечение, позволяющее сканировать IP-адреса компьютеров пользователей сетиИнтернет, имеющих открытые для удалённого доступа из сети Интернет ресурсы?Если да, то такое программное обеспечение (название, версии, место расположения на носителе)?Имеются ли данные, свидетельствующие об использовании этого программного обеспечения? Если да, то какие именно?Имеется ли на машинных носителях информации, представленных на исследование, программное обеспечение, позволяющее подобрать пароль для подключения к жёсткому дискуудалённого компьютера?Если да, то какое программное обеспечение (название, версии, место расположения на носителе)?Имеется ли на представленных машинных носителях программное обеспечение для работыс электронными платёжными системами?Если да, то имеется ли информация об учётных данных пользователей, зарегистрированныхв таких системах?Имеются ли на представленных машинных носителях информации, представленных на исследование, вредоносные программы, заведомо приводящие к модификации, блокированию,копированию или уничтожению компьютерной информации, нарушению работы компьютера,системы компьютера или их сети? Если да, то каково их назначение, предрасположение?Имеются ли данные, свидетельствующие об их создании на исследуемом машинном носителе и распространении (в том числе по сети Интернет)? Если да, то какие именно?Экземпляры, каких программных продуктов, установлены на представленных машинныхносителях информации?Имеются ли на представленных машинных носителях информации экземпляры программных продуктов для ведения бухгалтерского учёта и налоговой отчётности?Возможно ли вносить изменения в ранее созданный документ с помощью установленныхэкземпляров программных продуктов семейства «1С: Предприятие»?Какое количество учётных записей пользователей зарегистрировано в установленных экземплярах системного программного обеспечения, а также в экземплярах программных продуктов семейства «1С: Предприятие»?Имеют ли установленные зарегистрированные учётные записи пользователей пароли доступа к ресурсам системного программного обеспечения, а также к ресурсам в экземплярахпрограммных продуктов семейства «1С: Предприятие»?Какие права доступа имеют установленные зарегистрированные учётные записи пользователей?220д) Информационно-компьютерная экспертизаПеречень вопросов, решаемых в рамках данной экспертизыИмеются ли на представленных машинных носителях файлы, содержащие базы сообщенийэлектронной почты, а также файлы, содержащие журналы сообщений программ по обменумгновенными сообщениями (интернет-пейджеров)? Если да, то под какими учётными даннымипринимались (передавались) сообщения?Содержится ли на представленных машинных носителях информация о доступе к какимлибо форумам в сети Интернет? Если да, то имеется ли информация об учётных данных зарегистрированных в них пользователей?Имеются ли на представленных машинных носителях файлы, содержащие следующие«ключевые выражения» (текстовые последовательности) …?Имеются ли на представленных машинных носителях файлы, содержащие графическиеизображения представленных документов?Имеются ли на представленных машинных носителях файлы, которые являются электронными копиями файлов, представленных для сравнительного анализа? Если да, то какова дата ихсоздания, изменения, печати, удаления, с помощью какого программного обеспечения они былисозданы и изменены?Имеются ли на представленных машинных носителях файлы, содержащие фрагменты документов из представленных для сравнительного анализа файлов?Имеются ли на представленных накопителях на жёстких магнитных дисках следы аномальных изменений даты и времени?Имеются ли на представленных машинных носителях следы изменения файлов с именами… с помощью имеющегося программного обеспечения?е) Компьютерно-сетевая экспертизаПеречень вопросов, решаемых в рамках данной экспертизыВозможно ли осуществление доступа к сети интернет с использованием представленных наисследование аппаратных средств? Если да, то каким образом осуществлялся доступ?Имеется ли на машинных носителях информации, представленных на исследование, программное обеспечение, позволяющее осуществлять соединение и работу в сети интернет? Еслида, то, какое программное обеспечение (название, версии)?Имеется ли на машинных носителях информации, представленных на исследование, программное обеспечение, позволяющее пользоваться услугами электронной почты? Если да, то,какое программное обеспечение (название, версии)?Имеются ли на машинных носителях информации файлы, содержащие почтовые сообщения?Каков адрес электронного почтового ящика, на который получены входящие сообщения?Имеется ли на машинных носителях информации, представленных на исследование, информация об осуществлении сеансов доступа к сети Интернет за период с … по …, в том числес использованием учётных данных …? Если да, то, какие учётные данные использовались длявыхода в сеть интернет?В каких файлах содержатся сведения об использовавшихся логинах и паролях?Имеется ли на машинных носителях информации, представленных на исследование, файлы,полученные путём копирования из сети интернет за период с … по … (в том числе файлы«cookies»)?221Приложение № 2Результаты опроса следователей и дознавателейпо расследованию киберпреступленийПроведённым анонимным анкетированием и личным опросом были получены сведения от78 человек.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
