Розділ «Частина ІІІ Теорія, методологія і практика розслідування злочинів»

Справедливим є твердження, що не існує такого поняття, як “універсальний комп’ютерний експерт”. Можна говорити про осіб, які є компетентними фахівцями в певних видах комп’ютерних систем. Тому, збираючись на місце події, важливо встановити, з якою технікою і з якою операційною системою доведеться працювати. Насамперед необхідно встановити назву операційної системи. Не всі комп’ютерні системи однаково розповсюджені, і тут можуть виникнути певні проблеми. Спеціаліст з операційної системи MS DOS може не володіти необхідними знаннями для управління машиною з іншою операційною системою, наприклад, UNIX. Потрібно мати на увазі, що тип операційної системи, що використовується в комп’ютері, як правило, не зазначається на його корпусі. На корпусі є інформація про виробника комп’ютера або тільки номер моделі. Але, незважаючи на певні труднощі, фахівець повинен визначитися, чи може він працювати з цією системою. Водночас необхідно пам’ятати, що відповідальність за дії на місці події несе офіцер правоохоронних органів. Якщо до проведення операції був залучений експерт чи фахівець, дії цієї особи з обладнанням необхідно ретельно фіксувати.

Найпростіше, коли мова йде про один окремий комп’ютер. Однак комп’ютери можуть бути об’єднані між собою в комп’ютерну мережу (наприклад, локальну), які, в свою чергу, можуть бути об’єднані через глобальні комп’ютерні мережі (типу Інтернет). Тому можлива ситуація, що певну важливу інформацію (яку можна використати як доказ) буде передано через мережу в інше місце. Не виключено також, що це місце буде десь за кордоном, а іноді важлива для кримінальної справи інформація може бути передана на територію кількох країн. У такому разі необхідно використати всі можливості (документація, допити осіб, технічні можливості системи) для встановлення місцезнаходження іншої комп’ютерної системи, куди було передано інформацію. Щойно це буде зроблено, потрібно терміново надіслати запит, з виконанням встановлених вимог, про подання допомоги (або правової допомоги, якщо вона необхідна для виконання поставлених у запиті питань) до компетентного правоохоронного органу відповідної країни. Саме на цьому етапі виникають найбільші труднощі в організації роботи з розслідування комп’ютерного злочину та кримінального переслідування злочинців.

Співробітники правоохоронних органів дедалі частіше стикаються при обшуках в офісах підприємств та установ із локальними комп’ютерними мережами. Технології мереж дуже розвинені та складні, ось чому існує небезпека, що слідство може втратити важливі докази, якщо особи, що ведуть його, не будуть ознайомлені з можливостями цих технологій. Необхідно зрозуміти, що реальне фізичне місцезнаходження даних може бути зовсім не в тому місці, як це сприймається на перший погляд. Технології мереж дають змогу приховати реальне розташування існуючих твердих дисків і файлових систем.

Особливу цінність при розслідуванні у комп’ютерних мережах відіграють так звані логи, інформація, яка міститься в лог-файлах. За допомогою цих файлів можна відповісти на такі важливі запитання:

• Хто? — рахунок користувача, ідентифікатор користувача;

• Коли? — час транзакції;

• Звідки? — мережна адреса, номер термінала, телефонний номер;

• Що? — що трапилось у системі, що було знищено, змінено, замінено, скопійовано, які ресурси були задіяні для цього, в чому виражаються завдані збитки.

Лог-файли можуть бути організовані в комп’ютерах на різних рівнях: операційної системи, спеціально встановленого програмного забезпечення, окремих модулів баз даних і навіть у програмах-додатках. Фізично ця інформація може міститися в різних місцях від локальної станції і сервера мережі до головних великих ЕОМ.

8.2.5. Правові засади і особливості методики розслідування злочинів у сфері високих технологій

Стадія підготовки до розслідування комп’ютерного злочину. До підготовки будь-якої акції (слідчої дії, організаційних заходів), пов’язаної з розслідуванням комп’ютерного злочину (особливо огляду), доцільно з самого початку залучити фахівця з комп’ютерних систем. До початку операції необхідно також мати певну “розвідувальну” інформацію: марка, модель комп’ютера, операційна система, периферійні пристрої, засоби зв’язку та будь-які інші відомості про систему, яка є об’єктом розслідування.

Наявну інформацію потрібно терміново повідомити фахівцю, щоб він мав час для встановлення контакту, консультацій з іншими фахівцями (якщо в цьому виникає необхідність), а також підготовки необхідних для збирання доказової комп’ютерної інформації, обладнання, інструментів, програмного забезпечення та магнітних носіїв.

Слідча пошукова група повинна бути певним чином проінструктована. Необхідно переконатися, що члени слідчої групи знайомі з типами технічних об’єктів, з якими вони працюватимуть. Адже нині зустрічаються комп’ютери різноманітних типів та розмірів — від маленьких, розміром з годинник, до традиційно великих машин. На цьому треба зосередити увагу учасників слідчої дії (обшуку, огляду).

Пошук необхідної інформації у комп’ютерних системах може зайняти кілька годин або й кілька днів. У разі, коли систему неможливо фізично вилучити і перемістити в інше місце, виникає потреба скопіювати інформацію та комп’ютерні програми на магнітні носії (зробити повні копії окремих машин або окремих директорій, дисків тощо). Тому для пошуку та копіювання інформації необхідно зарезервувати час.

Магнітні носії, на які передбачається скопіювати інформацію, повинні бути відформатовані (необхідно перевірити, що на них немає якоїсь інформації). Носії потрібно зберігати у спеціальних упаковках або загортати у чистий папір (не слід використовувати звичайні поліетиленові пакети). Треба пам’ятати, що інформація може бути пошкоджена вологістю, пилом або електростатичними (магнітними) полями.

Під час транспортування комп’ютерного обладнання з ним слід поводитися обережно, оскільки головки запису й стирання можуть бути пошкоджені під час руху. Для перевезення великих комп’ютерних систем треба підготувати транспорт і спеціальну упаковку.

Слідчий огляд і вилучення комп’ютерної інформації. Після прибуття на місце події (огляду) необхідно передусім “заморозити” ситуацію, тобто вивести всіх осіб із зони доступу до обладнання, забезпечити неможливість втручання до системи через лінії зв’язку (зокрема через модеми), не дозволяти нічого змінювати у роботі системи. Система може бути дуже складна, тому, чітко не розібравшись у її конфігурації, не можна приймати поспішних рішень. Якщо потрібна допомога фахівця, забезпечити його виклик і чекати на нього.

У жодному разі та під будь-яким приводом не можна дозволяти підозрюваній особі торкатися комп’ютера. Адже не виключено, що в комп’ютері передбачена можливість стирання інформації в разі натиснення однієї клавіші. Бажано, щоб підозрюваний був присутній при огляді, оскільки саме він може надати найважливішу інформацію про систему — паролі, коди доступу, перелік інстальованих програм і місцезнаходження окремих директорій (у тому числі прихованих). Однак його необхідно тримати на відстані від комп’ютерного обладнання та джерела струму, щоб запобігти спробам змінити або знищити комп’ютерні докази.

Потрібно ретельно обстежити комп’ютерне обладнання та описати його в протоколі, обов’язково намалювати схему системи. Слід пам’ятати, що самовільне втручання до системи може внести зміни у доказову інформацію або призвести до цілковитої її втрати. Крім того, знищення даних або пошкодження обладнання в результаті некваліфікованих дій можуть спричинити виникнення матеріальних претензій до організації, яка здійснює розслідування чи перевірку.

Доцільно також зробити огляд та детальну фотозйомку місця події, за можливості провести відеозапис. Буває, що окремі компоненти системи можуть розміщуватися в інших приміщеннях і навіть будівлях, або взагалі бути прихованими. Схованки можуть бути зроблені в стінах будівель, стелях, горищних приміщеннях.