Особенности образования следов при совершении компьютерных преступлений
Компьютерное преступление вызывает изменения в окружающей среде и самих элементах криминалистической структуры преступления. Эти изменения, понимаемые в широком смысле, и являются следами компьютерного преступления.
При совершении компьютерных преступлений образуются материальные, идеальные и социальные следы.
Материальные следы включают: следы-отображения, следы-предметы, следы-вещества.
Следы-предметы включают:
1. Сменные носители информации (дискеты, магнитные ленты, оптические диски, внешние винчестеры, карты флэш-памяти и т.д.) – могут содержать информацию, скопированную из информационной системы, вирусы, иные следы несанкционированного воздействия. При использовании сменных носителей для резервного копирования, они могут содержать информацию, не подвергавшуюся преступному воздействию, и выступают образцами для сравнительного исследования.
2. Аппаратно реализованные закладные устройства могут внедряться в устройство ЭВМ, сеть, периферийные устройства.
3. Устройства дистанционного съема информации.
4. Кабели и разъемы со следами посторонних подключений, врезок, устройств, работающих на основе электромагнитной индукции.
5. Устройства для уничтожения компьютерной информации.
6. Документы на бумажных носителях (проектно-конструкторское задание, инструкции по эксплуатации, распечатки результатов работы прикладного ПО, листинги программ и т.п. техническая документация)
Следы-вещества представлены, в первую очередь, различного рода красителями, используемыми в знакопечатающих устройствах.
При совершении компьютерных преступлений, помимо традиционных, образуется ряд следов, специфичных для данного вида преступлений - т.н. электронные доказательства (информационные следы).
Электронное доказательство - информация или данные, имеющие значение для расследования преступлений, которые хранятся или передаются посредством электронных устройств. Электронные доказательства: зачастую являются латентными, подобно отпечаткам пальцев или ДНК; могут перемещаться легко и быстро; являются хрупкими, могут легко изменяться, повреждаться и уничтожаться; на них иногда влияет фактор времени.
Отечественные исследователи приводят следующее определение:
Компьютерная информация - фактические данные, обработанные компьютером и полученные на его выходе в форме, доступной восприятию ЭВМ либо человека или передающиеся по телекоммуникационным каналам, на основе которых в определенном законом порядке устанавливаются обстоятельства, имеющие значение для правильного разрешения дела.
Указанные свойства электронных следов преступления вызывают определенные трудности при работе с ними.
В США на ранних этапах компьютерной преступности низкая квалификация судей, адвокатов, а зачастую - и прокуроров, препятствовали объективному исследованию и оценке электронных доказательств в уголовном процессе. Поэтому распространение получили т. н. "сделки о признании".
В настоящее время мировой практикой борьбы с компьютерными преступлениями выработан ряд принципов работы с электронными доказательствами:
-должны быть установлены стандартные правила работы с ЭД;
-эти правила должны быть едины для всех правоохранительных органов;
-эти правила следует регулярно пересматривать (чтобы идти в ногу с прогрессом);
-правила должны быть научнообоснованными;
-все варианты этих правил должны храниться в письменной форме;
-следует использовать соответствующее ПО и АО;
-все манипуляции с компьютерными данными должны быть задокументированы;
-любые действия, которые могут изменить, повредить или уничтожить информацию, должны совершаться при производстве экспертизы.
Электронные следы включают:
1. Появление новых файлов или уничтожение имевшихся файлов. Уничтоженные файлы в целом ряде случаев можно восстановить.
2. Изменение содержимого файлов.
3. Изменение атрибутов файлов.
4. Времеменные файлы (temp, tmp).
5. Регистрационные файлы (т.н. лог-файлы) – файлы, в которые записываются все операции производимые в системе. Регистрационные файлы формируются на уровне операционной системы, баз данных и отдельных программ.
Компьютер и компьютерная сеть может иметь специально установленные собственником программы, призванные фиксировать операции, производимые пользователями (клавиатурные или экранные шпионы).