34062 (605644), страница 3

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 3)

Для участия в обыске и выемке целесообразно приглашать специалиста в области компьютерной техники.

При осмотрах, обысках, выемках, сопряженных с изъятием ЭВМ, машинных носителей и информации возникает ряд общих проблем, связанных со спецификой изымаемых технических средств.

Так, необходимо предвидеть меры безопасности, предпринимаемые преступниками с целью уничтожения вещественных доказательств.

Например, они могут использовать специальное оборудование, в критических случаях создающее сильное магнитное поле, стирающее магнитные записи. Известна легенда о хакере, который создал в дверном проеме магнитное поле такой силы, что оно уничтожало магнитные носители информации при выносе их из его комнаты.

Преступник имеет возможность включить в состав программного обеспечения своей машины программу, которая заставит компьютер периодически требовать пароль, и, если несколько секунд правильный пароль не введен, данные в компьютере автоматически уничтожаются.

Желательно иметь с собой и использовать при обыске и осмотре устройство для определения и измерения магнитных полей.

Вещественные доказательства в виде ЭВМ, машинных носителей требуют особой аккуратности при транспортировке и хранении. Им противопоказаны резкие броски, удары, повышенные температуры, влажность. Все эти внешние факторы могут повлечь потерю данных, информации и свойств аппаратуры.

Не следует забывать при осмотрах и обысках о возможностях сбора традиционных доказательств (скрытых отпечатков пальцев на клавиатуре, выключателях и др., шифрованных рукописных записей и пр.).

Осмотру подлежат все устройства конкретной ЭВМ.

Фактически оптимальный вариант изъятия ЭВМ и машинных носителей информации – это фиксация их и их конфигурации на месте обнаружения и упаковка таким образом, чтобы аппаратуру можно было бы успешно, правильно и точно так же, как на месте обнаружения, соединить в лабораторных условиях или в месте производства следствия с участием специалистов.

Указанные следственные действия могут производиться с целями:

а) осмотра и изъятия ЭВМ и ее устройств;

б) поиска и изъятия информации и следов воздействия на нее в ЭВМ и ее устройствах;

в) поиска и изъятия информации и следов воздействия на нее вне ЭВМ.

По прибытии на место осмотра или обыска следует принять меры к обеспечению сохранности информации на находящихся здесь компьютерах и магнитных носителях. Для этого необходимо:

1) не разрешать кому бы то ни было из лиц, работающих на объекте обыска, прикасаться к работающим компьютерам, магнитным носителям, включать и выключать компьютеры;

2) самому не производить никаких манипуляций с компьютерной техникой, если результат этих манипуляций заранее не известен;

3) при наличии в помещении, где находятся СКТ и магнитные носители информации, взрывчатых, легковоспламеняющихся, токсичных и едких веществ или материалов как можно скорее удалить эти вещества в другое помещение.

Особенности производства осмотров и обысков

Если компьютер работает, ситуация для следователя, производящего следственное действие без помощи специалиста, существенно осложняется, однако и в этом случае не следует отказываться от оперативного изъятия необходимых данных.

В данной ситуации:

а) определить, какая программа выполняется. Для этого необходимо изучить изображение на экране дисплея и по возможности детально описать его.

После остановки программы и выхода в операционную систему иногда при нажатии функциональной клавиши «F3» можно восстановить наименование вызывавшейся последний раз программы.

Можно осуществить фотографирование или видеозапись изображения;

б) остановить исполнение программы. Остановка осуществляется одновременным нажатием клавиш Ctrl-C, либо Ctrl-Break;

в) зафиксировать (отразить в протоколе) результаты своих действий и реакции компьютера на них;

г) определить наличие у компьютера внешних устройств – накопителей информации на жестких магнитных дисках и виртуального диска;

д) определить наличие у компьютера внешних устройств удаленного доступа к системе и определить их состояние (отразить в протоколе), после чего разъединить сетевые кабели так, чтобы никто не мог изменить или стереть информацию в ходе обыска (например, отключить телефонный шнур из модема);

е) скопировать программы и файлы данных. Копирование осуществляется стандартными средствами ЭВМ или командой DOS COPY;

ж) выключить подачу энергии в компьютер и далее действовать по схеме «компьютер не работает».

Если компьютер не работает, следует:

а) точно отразить в протоколе и на прилагаемой к нему схеме местонахождение ПК и его периферийных устройств;

б) точно описать порядок соединения между собой этих устройств с указанием особенностей (цвет, количество соединительных разъемов, их спецификация) соединительных проводов и кабелей; перед разъединением полезно осуществить видеозапись или фотографирование мест соединения;

в) с соблюдением всех мер предосторожности разъединить устройства компьютера, предварительно обесточив его;

г) упаковать раздельно носители на дискетах и магнитных лентах и поместить их в оболочки, не несущие заряда статического электричества;

д) упаковать каждое устройство и соединительные кабели, провода;

е) защитить дисководы гибких дисков согласно рекомендации изготовителя (вставить новую дискету или часть картона в щель дисковода);

ж) особой осторожности требует транспортировка винчестера.

Поиск и изъятие информации и следов воздействия на нее в ЭВМ

и ее устройствах

В компьютере информация может находиться непосредственно в оперативном запоминающем устройстве (ОЗУ) при выполнении программы, в ОЗУ периферийных устройств и на внешних запоминающих устройствах (ВЗУ).

Наиболее эффективным и простым способом фиксации данных из ОЗУ является распечатка на бумагу информации, появляющейся на дисплее.

Если компьютер не работает, информация может находиться в ВЗУ и других компьютерах информационной системы или в «почтовых ящиках» электронной почты или сети ЭВМ.

Необходимо произвести детальный осмотр файлов и структур их расположения; лучше это осуществить с участием специалиста в лабораторных условиях или на рабочем месте следователя.

Следует обращать внимание на поиск так называемых «скрытых» файлов и архивов, где может храниться важная информация.

Периферийные устройства ввода-вывода могут также некоторое время сохранять фрагменты программного обеспечения и информации, однако для вывода этой информации необходимы глубокие специальные познания.

Осмотр компьютеров и изъятие информации производится в присутствии понятых, которые расписываются на распечатках информации, изготовленных в ходе осмотра.

В ходе осмотров по делам данной категории могут быть обнаружены и изъяты следующие виды важных документов, которые могут стать вещественными доказательствами по делу:

а) документы, носящие следы совершенного преступления, – телефонные счета, пароли и коды доступа, дневники связи и пр.;

б) документы со следами действия аппаратуры. Всегда следует искать в устройствах вывода (например, в принтерах) бумажные носители информации, которые могли остаться внутри их в результате сбоя в работе устройства;

в) документы, описывающие аппаратуру и программное обеспечение;

г) документы, устанавливающие правила работы с ЭВМ, нормативные акты, регламентирующие правила работы с данной ЭВМ, системой, сетью, доказывающие, что преступник их знал и умышленно нарушал;

д) личные документы подозреваемого или обвиняемого.

Комплекс неотложных следственных действий обязательных для первоначального этапа расследования также включает:

1. Проведение обыска в служебном помещении, на рабочем месте подозреваемого с целью обнаружения и изъятия физических носителей машинной информации и других документов, имеющих или возможно имеющих отношение к несанкционированному отношению программного обеспечения или носящих иные следы подготовки к хищению денежных средств.

2. Исследование:

• журналов сбойных ситуаций, рабочего времени ЭВМ, по передачи смен операторами;

• средств защиты и контроля банковских компьютерных систем, регистрирующих пользователей, моменты включения (активации) системы либо подключение к ним абонентов с определенным индексом или без такового;

• протоколов вечернего решения, представляющих собой копию действий операторов, отображенную на бумажном носителе в ходе вечерней обработки информации, которая проводится по истечении каждого операционного дня;

• контрольных чисел файлов;

• всего программного обеспечения ЭВМ;

• «прошитых» микросхем постоянно запоминающих устройств, микропроцессоров и их схемного исследования.

3. Истребование и анализ технических указаний по обработке ежедневной бухгалтерской информации с перечнем выходящих форм.

4. Допрос лиц из числа инженеров-программистов, занимавшихся разработкой программного обеспечения и его сопровождением, специалистов отвечающих за защиту информации и специалистов электронщиков, занимающихся эксплуатацией и ремонтов вычислительной техники.

5. Назначение комплексной судебно-бухгалтерской и программно-технической экспертизы с привлечением специалистов правоохранительных органов, специалистов в области средств компьютерной техники, по ведению банковского учета с использованием средств компьютерной техники, документообороту, организации бухучета и отчетности, специалистов по обеспечению безопасности информации в компьютерных системах.

В ходе судебно-бухгалтерской экспертизы должно быть установлено, имеются ли нарушения требований положений о документообороте при отображении первичных документов в регистрах бухгалтерского учета и отчетности зафиксированных на машинном носителе, установлены их причины (с целью совершения преступления, злоупотребления или ошибки), ответственных лиц за эти нарушения.

Результаты программно-технической экспертизы должны быть оформлены как заключение экспертов для того, чтобы они могли играть роль доказательств в процессе суда. В настоящее время с помощью таких экспертиз могут решаться следующие задачи:

1. Воспроизведение и распечатка всей или части информации, содержащейся на физических носителях. В том числе находящихся в нетекстовой форме.

2. Восстановление информации, ранее содержавшейся на физических носителях и в последствии стертой или измененной по различным причинам.

3. Установление времени ввода, изменение, уничтожение либо копирование той или иной информации.

4. Расшифровка закодированной информации, подбор паролей и раскрытие систем защиты.

5. Установление авторства, места, средства, подготовки и способа изготовления документов (файлов, программ).

6. Выяснения возможных каналов утечки информации из компьютерной сети и помещений.

7. Выяснение технического состояния, исправности программно-аппаратных комплексов БИВС, возможности их адаптации под конкретного пользователя.

8. Установления уровня профессиональной подготовки отдельных лиц, проходящих по делу в области программирования и в качестве пользователя.

3.4. Вынесение постановления о назначении необходимых

экспертиз

Постановление

о назначении программно-технической судебной экспертизы

г. Саратов 12 ноября 2002 г.

Следователь прокуратуры Волжского района г. Саратова юрист 2 класса Иванов И.П., рассмотрев материалы уголовного дела № 11764,

Установил:

10 ноября 2002 г. членами организованной преступной группы был осуществлен несанкционированный доступ к средствам компьютерной техники коммерческого банка «Альянс». В течение суток банк не смог нормально осуществлять все операции по платежам. Прямой ущерб составил около 60 тысяч рублей.

В результате осмотра места преступления и осмотра компьютерной сети банка было обнаружено следующее. В программном обеспечении компьютерной сети банка выявлен «вирус». В 10.30 часов из-за «вируса» главный сервер отключил всю компьютерную сеть и заблокировал ее.

В ходе расследования были задержаны гр-не Т. и П. И у них были изъяты мощные компьютеры и программной обеспечение с компьютерными «вирусами».

На основании изложенного и руководствуясь ст.195 (196) и 199 УПК РФ,

Постановил:

1. Назначить программно-техническую судебную экспертизу, производство которой поручить эксперту ЭКО г. Саратова.

2. Поставить перед экспертом вопросы:

1. Какова конфигурация и состав компьютерных средств и можно ли с помощью этих средств осуществить действия, инкриминируемые обвиняемым?

2. Какие информационные ресурсы находятся в данной ЭВМ?

3. Не являются ли обнаруженные файлы копиями информации, находившейся на конкретной ЭВМ?

4. Не являются ли представленные файлы с программами, зараженными вирусом, и если да, то каким именно?

5. Не являются ли представленные тексты на бумажном носителе записями исходного кода программы, и каково назначение этой программы?

6. Подвергалась ли данная компьютерная информация уничтожению, копированию, модификации?

7. Какие правила эксплуатации ЭВМ существуют в данной информационной системе, и были ли нарушены эти правила?

8. Находится ли нарушение правил эксплуатации в причинной связи с уничтожением, копированием, модификацией?

1. Предоставить в распоряжение эксперта материалы:

– копию настоящего постановления;

Характеристики

Список файлов курсовой работы