Следственные действия: психология, тактика, технология

Эминов В. Е.

В связи с изложенным крайне важно участие специалистов в производимом следственном действии. Они помогут не только разобраться в особенностях компьютерного оборудования и машинных носителей информации, но и указать на то, что подлежит изъятию. Профиль нужного специалиста определяется в зависимости от целей и задач осмотра с учётом первоначальных данных о характере преступления. Чаще всего может потребоваться помощь нескольких специалистов, в том числе программиста по операционным системам и прикладным программам, электронщика, хорошо знающего компьютерную технику, специалиста по средствам связи, а также техника-криминалиста. Последний необходим для обнаружения и сбора традиционных доказательств, например скрытых отпечатков пальцев рук на клавиатуре, "мыши", выключателях и тумблерах и др., шифрованных рукописных

записях и пр.

В качестве понятых целесообразно приглашать лиц, знакомых с работой ЭВМ.

Осмотр служебного помещения необходим для общего обзора, определения границ осмотра места происшествия, количества и схемы расположения рабочих мест, уточнения порядка размещения компьютерного оборудования и мест хранения машинных носителей информации. Это позволит в дальнейшем изучить возможность несанкционированного проникновения посторонних лиц в помещение, где находится ЭВМ, а также установить место создания, использования либо распространения вредоносной программы для ЭВМ и место нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети. В процессе осмотра необходимо отразить в протоколе месторасположение данного помещения в здании учреждения, наличие охранной сигнализации, состояние оконных и дверных проёмов (повреждения, техническое состояние), запорных устройств, экранирующих средств защиты; микроклиматические условия эксплуатации ЭВМ на момент осмотра (температура, влажность воздуха).

Целесообразно начертить схему осматриваемого помещения с обозначением на ней мест расположения оборудования. Кроме того, осматриваемое помещение должно быть сфотографировано по правилам судебной фотографии - сначала общий вид его, затем по правилам узловой фотосъёмки зафиксировать отдельные компьютеры и подключённые к ним устройства, а в случае вскрытия системного блока - по правилам детальной съёмки отдельные его узлы, особенно те, которые согласно инструкции по эксплуатации не должны устанавливаться на материнской плате или в корпусе блока (это определит специалист).

Осмотр средств вычислительной техники.Непосредственными объектами действия могут быть: отдельные компьютеры, не являющиеся составной частью локальных или глобальных сетей; рабочие станции (компьютеры), входящие в сеть; файл-сервер, т.е. центральные компьютеры сетей; сетевые линии связи; соединительные кабели; принтеры; модемы; сканеры и пр. При их осмотре в протоколе отражается: положение переключателей на блоках и устройствах вычислительной техники; состояние индикаторных ламп; содержание информации, высвечиваемой на мониторе, и световых сигналов на различных индикаторах и табло; состояние кабельных соединений (их целостность и отсутствие следов подключения нештатной аппаратуры); наличие и содержание всех пометок, специальных знаков, пломб и наклеек на корпусах и устройствах компьютерного оборудования; механические повреждения; наличие внутри компьютерной техники нештатной аппаратуры и различных устройств; следы нарушения аппаратной системы защиты информации и другие признаки воздействия на вычислительную технику.

Помимо этих общих положений, необходимо отметить особенности осмотра работающего и неработающего компьютера.

При осмотре работающего компьютера с участием специалиста следует: установить, какая программа выполняется, для чего осмотреть изображение на экране дисплея и детально описать его (а проще произвести фотографирование или видеозапись); по мере необходимости остановить исполнение программы и установить, какая информация получена после окончания её работы; определить и восстановить наименование вызывавшейся последний раз программы; установить наличие в компьютере накопителей информации (винчестеры, дисководы для дискет, стримеры, оптические диски), их тип (вид) и количество; скопировать информацию (программы, файлы данных), имеющуюся в компьютере (особенно это важно для информации, находящейся в ОЗУ и виртуальном диске, так как после выключения компьютера она уничтожается).

Если компьютер подключён к локальной сети, то необходимо: установить количество подключённых к файл-серверу рабочих станций или компьютеров, вид связи сети, количество файл-серверов в сети; по возможности организовать параллельный осмотр включённых в локальную сеть рабочих станций и компьютеров (по вышеизложенной

схеме осмотра работающего компьютера). Если же такая возможность отсутствует, то надо обеспечить их остановку и далее производить осмотр в режиме неработающего компьютера.

При осмотре неработающего компьютера требуется: определить местонахождение компьютера и его периферийных устройств (печатающего устройства, дисплея, клавиатуры, дисководов и прочего) с обязательным указанием в протоколе наименования, номера, модели, формы, цвета каждого из них; установить порядок соединения между собой вышеуказанных устройств, количество соединительных разъёмов, их спецификации, виды проводов и кабелей, их цвет и количество, выяснить, подключён ли данный компьютер в сеть, и если да, то в какую именно и каковы способ и средства его подключения; проверить красящую ленту матричного принтера, на которой могут быть обнаружены следы текста.

В современных СКТ объём хранимой информации огромен и разнообразен. Поэтому выбор интересующих сведений становится весьма трудоёмким. Однако современные программные средства предоставляют широкий спектр возможностей не только пользователю, но и преступнику и следователю.

Многие текстовые и финансовые программы сохраняют список документов последних сеансов работы и могут их мгновенно вызвать, если, конечно, они не удалены или не перемещены в другое место. На диске компьютера пользователи обычно сохраняют документы в каталогах (папках) со стандартными названиями: Мои документы, Архив, Петров, Шек (пользователь). Файлы документов имеют в названии характерное уточнение ("расширение"), т.е. часть имени, которая стоит после точки в названии файла, - письмо.txt, сведения.doc, платёж.xls, архив98.zip, входящие.arj, счета.rar и т. п. Значительный интерес могут составить базы данных или данные из программы-"ежедневника", которые являются компьютерным аналогом записной книжки с адресами. Все компьютерные файлы хранят дату последнего изменения, а после некоторых программ - и дату первоначальной записи файла под этим именем. Мощные программы при сохранении файла приписывают к полезной информации дополнительную информацию (служебные данные, которые удаётся выявить при необходимости специальными программами просмотра).

Имеются в виду сведения о зарегистрированном владельце или организации (если владелец ввёл такие данные при установке программы), об установленном принтере. Иногда внутрь файла попадает "соседняя" информация из документа, который обрабатывался в памяти параллельно.

Автоматический поиск среди огромного объёма информации на диске помогают вести программы поиска документов по имени файла или по дате, размеру и даже по словам в тексте документа. Часть информации хранится в сжатом виде, и её прямой просмотр невозможен. Однако существуют программы поиска и в таких сжатых файлах. Ко многим шифровальным защитам документов и сжатым архивам известны программы подбора "забытых" паролей.

Обычный, не искушённый в тонкостях пользователь, как правило, не догадывается, что фрагменты или целые файлы, которые программы создают как временную подсобную базу для работы, нередко остаются на диске и после окончания работы. Во всяком случае такие хранилища обрывков временных файлов целесообразно проверять при производстве следственного осмотра. Популярный программный пакет Microsoft Office после установки на компьютере ведёт негласный файл-протокол, куда заносит дату и время всех включений компьютера. Программы связи и работы с сетью запоминают адреса многих Интернет-контактов пользователя, документы электронной почты с адресами отправителя.

Если пользователь не попросит иначе, то современные операционные системы удаляют файлы не "начисто", а сначала в "корзину", в некий чулан для хлама, просмотрев который информацию можно восстановить.

Но даже в случае удаления файла, минуя корзину, остаётся вероятность восстановления, поскольку место его на диске не очищается, а только помечается как неиспользованное.

Остающиеся на месте осмотра СКТ можно опечатать путём наклеивания листа бумаги с подписями следователя и понятых на разъёмы электропитания, на крепёж и корпус. Не допускается пробивать отверстия в магнитных носителях, ставить на них печати. Пояснительные надписи на этикетку для дискет наносятся фломастером (но не авторучкой) или жёстким карандашом.