Реферат на тему:
Огляд місця події при розслідуванні “комп’ютерних” злочинів
Серед криміналістичних проблем, які постали перед правоохоронними органами при . розслідуванні злочинів у сфері використання електронно-обчислювальних машин (комп'ютерів), систем та комп'ютерних мереж, виділяють відсутність методики збирання так званих «електронних» доказів. Більшість останніх отримується при проведенні огляду місця події.
Як відомо, процес збирання доказів у кримінальній справі містить їх виявлення, фіксацію і вилучення. При розслідуванні злочинів, передбачених розділом XVI КК України «Злочини у сфері використання електронно-обчислювальних машин (комп'ютерів), систем та комп'ютерних мереж»*, даний процес набуває специфічних рис. Це пояснюється, в першу чергу, тим, що сліди злочинної діяльності, спрямованої на порушення роботи електронно-обчислювальних машин (комп'ютерів) тощо, в силу специфіки названого виду злочинів рідко залишаються у вигляді змін зовнішнього середовища. Однак це не означає, що матеріальних слідів не буває взагалі. Насамперед, вони залишаються на магнітних носіях інформації і відбивають її зміни (у порівнянні з вихідним станом). Йдеться про сліди модифікації інформації — баз даних, програм, текстових файлів. Виходячи з наведеного, при огляді місця події під час розслідування «комп'ютерних» злочинів робота слідчого, крім виявлення, фіксації і вилучення традиційних слідів (відбитків пальців рук, мікрочастин на клавіатурі, дисководах, принтері тощо), полягає й у виявленні, фіксації і вилученні так званих слідів модифікації інформації. Як правило, останні залишаються на магнітних носіях (твердих дисках ЕОМ, дискетах, магнітних стрічках, лазерних і магнітооптичних дисках), що можуть бути з дотриманням встановленого КПК України порядку вилучені і приєднані до кримінальної справи як речовий доказ. Слід зазначити, що у відповідності з останніми змінами до КПК [1] вилучається і відповідним чином фіксується носій, який визнається доказом у справі (ст. 1871).
При огляді місця події, пов'язаного з вилученням комп'ютерної техніки і носіїв інформації, виникає ряд загальних проблем щодо специфіки технічних засобів, які вилучаються. Розглянемо їх докладніше.
Оскільки знаряддями вчинення вказаних злочинів є засоби комп'ютерної техніки, в тому числі й спеціальне програмне забезпечення, огляду в першу чергу підлягають саме вони[2].
Слідчий, який виїжджає на огляд місця по-і дії, повинен мати при собі наступні речі[3]: —
відформатовані дискети різних форматів, які будуть використовуватись для накопичення вилученої з обшукуваного комп'ютера інформації;—
велику кількість липкої стрічки чи інших засобів захисту дисків від запису;—
пакет універсальних програм-утиліт для забезпечення безперешкодного і ефективного вилучення з комп'ютера доказової інформації. В тому випадку, коли слідчий знає, з якими труднощами йому доведеться зіткнутися, він має заздалегідь подбати про необхідний пакет утиліт;—
набори кольорових наклейок для маркування вилучених речей. При маркуванні таких предметів слідчий має простежити, щоб принесені ним чи іншими учасниками слідчої дії предмети маркувалися наклейками іншого кольору, ніж ті, що виявлені та вилучені з місця події;—
папір для принтера;—
системні дискети, тобто ті, з яких можливо ініціювати роботу операційної системи. Це пояснюється тим, що комп'ютерні порушники нерідко програмують свої комп'ютери так, що запуск системи іншою особою звичайним шляхом тягне знищення усіх файлів;—
програми виявлення комп'ютерних вірусів для захисту комп'ютерної системи від можливих ушкоджень через обладнання, яке використовує слідчий (це можуть бути як дискети, виявлені на місці події, так і програми, отримані через канали зв'язку);—
фото- чи відеообладнання. Першочерговими діями слідчого на місці події мають бути:—
вжиття заходів щодо збереження ситуації такою, якою вона була до моменту прибуття з метою запобігання знищенню інформації: вивести всіх осіб із зони доступу до обладнання, запобігти втручанню у систему через лінії зв'язку (зокрема, через модеми), а також внесення змін у роботу системи. Якщо в приміщенні знаходяться декілька комп'ютерів, об'єднаних між собою в мережу, слідчий повинен попросити осіб, які за ними працюють, залишити місця роботи і відійти від цих комп'ютерів.—
проведення відеозапису місця події для фіксації поточного стану операційної системи комп'ютера та порядку розташування його обладнання,—
проведення фотозйомки серійних номерів та номерів моделей комп'ютерного обладнання;—
нумерація комп'ютерного обладнання відповідно до його розташування на місці події. При проведенні названих дій заборонено:—
відразу торкатися клавіатури (оскільки на ній можуть бути відбитки пальців рук злочинця. Крім того, комп'ютер може бути запрограмований на автоматичне знищення інформації через натискання на будь-яку клавішу);—
від'єднувати комп'ютер від джерела живлення;—
у будь-який спосіб змінювати поточний стан операційної системи комп'ютера.
По прибуттю на місце події і після виконання зазначених вище дій слідчий у такій послідовності має обстежити і описати у протоколі:—
комп'ютерне обладнання за правилами, наведеними вище;—
програмне забезпечення. Особливу увагу варто звертати на так називані лог-файли (журнали роботи програм), де може зберігатися важлива інформація. Більшість систем створюють лог-файли як частину їх звичайної діяльності. Щоразу, коли система виконує певні операції,
інформація про те, що відбувається (час і дата проведення даних операцій, суб'єкти виконання та перелік файлів, з якими дані операції проведені), фіксується у лог-файлі. Зокрема, у них фіксується інформація: про входження або спробу входження в систему; про спробу відкриття файлів, до яких у користувача немає дозволу; коли він запускає програму.—
дискети та інші носії інформації;—
вся документація, знайдена на місці події;—
все периферійне обладнання (принтери, модеми, сканери, мережені кабелі);—
роздруковані матеріали. .
Після того, як все назване оглянуто і зафіксовано у протоколі, його необхідно упакувати і опечатати. При розбиранні обладнання треба відмічати (маркувати) обидва кінці кабелів. Крім цього, проводиться фотографування загального виду кімнати та складається план приміщення, де відображається місце знаходження апаратури, її підключення та взаємне з'єднання. Якщо комп'ютер приєднано до телефонної мережі, з'ясовується: чи підключений комп'ютер до