Тактика производства обыска
Задачами обыска[1] при расследовании преступлений в процессе расследования преступлений в сфере компьютерной информации являются отыскание и изъятие[1]: 1) орудий, используемых для совершения преступления в сфере компьютерной информации, в том числе носителей информации, примененных для копирования похищенной информации или содержащие программы «взлома» защиты компьютера, вредоносные программы, иные программы и файлы данных (например, библиотеки паролей и имен), использованные при совершении преступления; 2) компьютерной информации; 3) специальной литературы, посвященной вопросам компьютерной безопасности, эксплуатации ЭВМ, создания вредоносных программ, неправомерного доступа к компьютерной информации, принципов и алгоритмов организации компьютерных сетей, программного обеспечения и пр; 4) иных вещественных доказательств и документов, имеющих значение для дела; 5) разыскиваемого лица.
В процессе подготовки к обыску помещений (до выезда на место проведения) необходимо: 1) выяснить, какая вычислительная техника имеется в обыскиваемом помещении и ее количество; 2) установить, используется ли в комплекте с вычислительной техникой устройства автономного или бесперебойного питания и к чему может привести отключение электроэнергии; 3) наличие локальной сети[1] и выхода в другие сети с помощью модема, радиомодема или выделенных линий; 4) используемое прикладное программное обеспечение; 5) наличие систем защиты информации и шифрования, их типы; 6) возможности использования средства экстренного уничтожения компьютерной информации; 7) пригласить специалиста по компьютерным системам, так как его познания будут необходимы во время подготовки к обыску, а также для оперативного анализа информации и квалифицированного ее изъятия с компьютера; 8) подготовить соответствующую компьютерную технику, которая будет использоваться для считывания и хранения изъятой информации; 9) изучить личность владельца компьютера, его профессиональные навыки по владению компьютерной техникой[1]; 10) определить время поиска и меры, обеспечивающие конфиденциальность обыска (наиболее удачными являются утренние часы - с 6.00 до 8.00); 11) спрогнозировать характер возможно находящейся в компьютере информации.
По прибытии к месту[1] проведения обыска необходимо быстро и неожиданно войти в обыскиваемое помещение так, чтобы предотвратить уничтожение информации на ЭВМ. В некоторых случаях, когда это возможно или целесообразно, непосредственно перед входом в обыскиваемое помещение следует обесточить его. При этом необходимо иметь в виду, что такое действие в одних случаях может привести к отключению всей аппаратуры, находящейся в помещении, в других - к ее повреждению. Что касается информации, находящейся в ОЗУ компьютеров, то после их обесточивания она будет уничтожена. Поэтому, делать это нужно осторожно и продуманно. Отключение оправдано в тех случаях, когда обыск проводится в отдельно стоящем здании, в котором большое количество компьютерной техники со значительным количеством интересующей следствие информации, а из-за большой площади обыскиваемых помещений нет возможности начать одновременный обыск во всех. К тому же, если эти помещения располагаются на нескольких этажах и охраняются.
Обесточивание не всегда может привести к нужному результату, поскольку в некоторых случаях компьютеры снабжаются устройствами бесперебойного питания, и в случае отключения электричества эти устройства поддерживают компьютер в работоспособном состоянии некоторое время (около часа). Подобными устройствами укомплектованы, как правило, центральные компьютеры локальной вычислительной сети и компьютеры с наиболее ценной информацией.
На предварительной стадии обыска сразу после входа в помещение необходимо организовать охрану компьютеров и не допускать к ним присутствующих в помещении. При этом основной задачей руководителя следственной группы и специалистов применительно к компьютерным средствам является обеспечение сохранности информации, имеющейся в компьютерах и на компьютерных носителях информации. Для этого необходимо[1]:
предотвратить отключение энергоснабжения предприятия, обеспечив охрану распределительного щита;
запретить сотрудникам предприятия и прочим лицам производить какие-либо манипуляции с компьютерами и носителями информации;
оградить работающие компьютеры от случайных нажатий на клавиши клавиатуры и кнопки системных блоков и устройств;
предупредить всех сотрудников следственной группы о недопустимости самостоятельной манипуляции с компьютерной техникой и носителями информации;
в случае использования телефонной линии для связи с другими сетями обеспечить отключение телефона;
удалить из помещений, в которых находятся компьютеры и носители информации, все взрывчатые, едкие и легковоспламеняющиеся материалы.
На обзорной стадии обыска необходимо выполнить рекомендации, аналогичные прибытию на место происшествия. При этом следует точно определить местоположение компьютеров; с учетом того, что портативные компьютеры типа notebook легко умещаются в небольшую сумку. Если будет установлено, что на момент проведения следственного действия на компьютере запущены какие-либо программы, то специалисту необходимо принять меры к их остановке. В результате проведения экспресс-анализа компьютерной информации можно установить, не содержится ли на компьютере информация, которая может способствовать более плодотворному поиску. Квалифицировано провести это действие может специалист путем просмотра содержимого дисков. Интерес могут представлять файлы с текстовой и графической информацией.
Детальная стадия обыска наиболее трудоемка и требует высокой квалификации как специалиста по компьютерным системам, так и всей следственно-оперативной группы. Помимо специальных мероприятий с компьютером на этой стадии нужно четко организовать поисковые мероприятия, направленные на поиск тайников, в которых могут находиться обычные документы и предметы. Таким тайником может служить и сам компьютер, в частности, системный блок.
Последний обладает некоторыми особенностями построения, делающими его более удобным для организации тайников. Во-первых, внутри системного блока очень много свободного места. Компьютеры строятся по модульному принципу, т.е. их сборка осуществляется из отдельных плат, и каждая конкретная конфигурация собирается под конкретного пользователя. Внутри корпуса резервируется место для расширения и наращивания возможностей компьютера путем установки дополнительных плат. Это и приводит к большому объему дополнительного места внутри корпуса системного блока компьютера.
Во-вторых, системный блок компьютера в силу его модульного построения очень удобен и быстр в разборке-сборке, которая производится, как правило, без применения каких-либо дополнительных приспособлений (отвертки, гаечных ключей и пр.). Это способствует удобному доступу к узлам компьютера без оставления следов.
В третьих, внутри компьютера используются электронные схемы с малым напряжением, не опасным для жизни человека. Единственное место с напряжением 220 вольт - блок питания, который всегда помещен в защитный кожух; подаваемое питание на платы не превышает 12 вольт. Это дает возможность для вскрытия корпуса без его отключения от сети питания.
В-четвертых, самая большая плата системного блока, так называемая материнская плата, крепится зажимами к стенке или к низу корпуса, между которыми остается достаточно большой зазор, очень удобный для хранения документов. Доступ к подобному тайнику для специалиста не представляет какой-либо трудности[1].
Поскольку наиболее распространенным носителем компьютерной информации являются магнитные дискеты, а они имеют сравнительно малые размеры - до 150 мм в диаметре и 2 мм в толщину, поиск их значительно затруднен. Если нет возможности, чтобы специалист просмотрел дискеты на месте, они должны быть изъяты для дальнейшего исследования (с соблюдением всех процессуальных правил).
Наряду с дискетами для хранения информации могут использоваться лазерные диски и магнитофонные ленты. Лазерные диски внешне не отличаются от аудио- и видеодисков, что делает возможным их хранение среди музыкальной или видеоколлекции. Аналогична ситуация с магнитофонными или видеолентами.
Поиск тайников с магнитными носителями (дискетами, лентами) затруднен тем, что для него нельзя использовать металлоискатель или рентгеновскую установку, поскольку их применение может привести к стиранию информации на носителях.
При наличии в осматриваемом помещении локальной сети следует точно установить местоположение серверов. Как правило, на крупных предприятиях под серверную выделена специальная комната, вход в которую ограничен. Однако помимо центральной серверной в отделах могут находиться местные локальные серверы. Определить местоположение компьютеров при наличии локальной сети поможет проводка. Достаточно проследить трассы кабеля или коробов (в случае, когда кабель спрятан в специальный короб).
Следует обратить внимание на неподключенные разъемы на коаксиальном кабеле и свободные розетки (розетки для подключения компьютеров в локальную сеть, использующие витую пару, имеют вид импортных телефонных розеток), так как в этих местах, возможно, находились компьютеры или подключались портативные компьютеры, которые в момент проведения обыска могут находиться в другом месте или могут быть спрятаны.
Особое внимание следует обратить на места хранения дискет и других носителей информации. Если при внешнем осмотре компьютеров в их составе обнаружены устройства типа стримера, магнитооптического накопителя и им подобных, то необходимо найти места хранения носителей информации к соответствующим накопителям.
На предприятиях, имеющих развитую локальную сеть, как правило, производится регулярное архивирование информации на какой-либо носитель. Нужно определить место хранения данных копий.
Обязательно следует выявить администратора системы и провести его опрос, при котором необходимо выяснить: какие операционные системы установлены на каждом из компьютеров; какое программное обеспечение используется; какие программы защиты и шифрования используются; где хранятся общие файлы данных и резервные копии; пароли супервизора и администраторов системы; имена и пароли пользователей.
Далее специалист по компьютерам, участвующий в обыске, используя данные, полученные от администратора системы, может произвести копирование информации на заранее приготовленные носители. Это могут быть обычные дискеты, однако при большом объеме изымаемых файлов рекомендуется использовать более современные носители информации (например, магнитооптический диск или дополнительный жесткий диск). Носители, на которые была переписана информация, должны быть упакованы в пластиковые коробки (если это жесткий диск, то его необходимо упаковать в антистатический пакет и предотвратить его свободное переме-щение в упаковке при транспортировке), которые необходимо опечатать в соответствии с требованиями УПК.
В связи с тем, что быстро проанализировать огромное количество информации на компьютере не всегда возможно, ее необходимо изъять для дальнейшего исследования. Устройство или магнитная лента, на которых произведено копирование, должны быть соответствующим образом упакованы и опечатаны. В ряде случаев достаточно изъять жесткий диск (или диски, если их несколько) с обнаруженного компьютера или весь системный блок компьютера. При этом следует иметь в виду, что нецелесообразно изымать все компьютерной оборудование, находящееся в месте обыска. В криминалистической литературе справедливо отмечается, что кроме технических сложностей подобного изъятия существуют и экономические: «в случае выхода из строя ЭВМ банк, как правило, может «продержаться» не более двух дней, оптовая фирма - 3-5, компания обрабатывающей промышленности - 4-8, страховая компания - 5-6 дней. В связи с этим, радикальное изъятие компьютерной техники грозит последующими претензиями пострадавших организаций»[1].
Если к моменту обыска компьютер был включен, то на магнитный носитель необходимо скопировать программы и файлы данных, хранимые на его виртуальном диске[1].
Скопировать информацию можно и на магнитную ленту с помощью стримера. Его следует применять, когда в обыскиваемом помещении имеется несколько компьютеров и информация с каждого из них будет копироваться на свою ленту. Использование стримера возможно при рабочем компьютере, с которого происходит копирование. В зависимости от объема встроенного жесткого диска и технических характеристик стримера копирование может занимать значительное время (от получаса до нескольких часов для каждого из компьютеров).
Устройство или магнитная лента, на которых произведено копирование, должны быть соответствующим образом упакованы и опечатаны.
Если в распоряжении оперативно-следственной группы нет переносного персонального компьютера или стримера, то в этом случае достаточно изъять жесткий диск (или диски, если их несколько) с обнаруженного компьютера. Изъятие должно происходить с соблюдением всех процессуальных правил. Желательно при изъятии жесткого диска производить видеозапись.
Если в составе группы нет специалиста по компьютерной технике, способного квалифицированно произвести демонтаж жесткого диска, целесообразно произвести изъятие всего системного блока компьютера. В этом случае исследование имеющейся на компьютере информации можно будет осуществить, передав на исследование весь системный блок. В некоторых случаях возможно изъятие принтера, однако, в отличие от пишущей машинки, идентификация напечатанной на нем информации по оставшимся следам крайне затруднена, будь то даже игольчатый принтер. Для лазерного или струйного принтера подобный анализ практически невозможен[1].
Если в обследуемом помещении находится мало компьютеров или у специалиста возникло сомнение в возможности исследования компьютерной информации при изъятии только системного блока, необходимо изъять весь компьютер. При этом следует: точно описать порядок соединения между собой устройств компьютера, предварительно обесточив его; аккуратно упаковать каждое устройство и соединительные кабели.
На большинстве компьютеров, несмотря на их достаточно высокую стоимость, отсутствуют заводские или серийные номера (это в значительной мере усложняет их поиск и идентификацию). Однако, такой номер всегда есть на жестком диске, дисководах, на съемных магнитных носителях и материнской плате. Поскольку эти узлы являются основными с конструктивной точки зрения и наиболее дорогими с точки зрения стоимости, идентификацию можно проводить по ним.
Заводские номера так же могут быть указаны на блоке питания и вспомогательных платах.
Все платы внутри системного блока соединяются разъемами и могут быть достаточно просто удалены или поставлены в корпус компьютера. Причем, многие платы могут не влиять на работоспособность компьютера в основном режиме. Поэтому для точной идентификации данного системного блока компьютера необходимо перечислить все встроенные платы и, если имеются их заводские номера, указать их в протоколе обыска. При изъятии жесткого диска кроме номера обязательно указывается фирма-изготовитель, тип (модель), страна-изготовитель, техническое состояние (желательно указать и объем диска).
С проблемой анализа машинной информации можно столкнуться и при проведении личного обыска, когда компьютер является одним из предметов, находящихся у обыскиваемого. В этом случае весь порядок действий и специфика обыска аналогична обыску, проводимому в помещении, с той лишь разницей, что переносной компьютер проще изъять целиком, поскольку демонтаж отдельных его узлов может привести к потере его работоспособности.
На заключительной стадии рассматриваемого следственного действия составляется протокол и описи к нему, вычерчиваются планы и схемы обыскиваемых помещений, проводятся дополнительные фотосъемка и видеозапись.