Реферат: Разработка и расследование компьютерных преступлений
5. Установление способа несанкционированного доступа.
Способ несанкционированного доступа может быть установлен путем производства информационно-технической судебной экспертизы. Перед экспертом следует поставить вопрос: «Каким способом мог быть совершен несанкционированный доступ в данную компьютерную систему?».
6. Установление лиц, совершивших неправомерный доступ, их виновности и мотивов преступления.
Следственная практика показывает, что чем сложнее в техническом отношении способ проникновения в компьютерную систему или сеть, тем легче выделить подозреваемого, поскольку круг специалистов, обладающих соответствующими способностями, обычно весьма ограничен.
7. Установление вредных последствий преступления.
8. Выявление обстоятельств, способствовавших преступлению.
При расследовании компьютерных преступлений, связанных с созданием, использованием и распространением вредоносных программ для ЭВМ, целесообразно применять следующую последовательность действий:
1. Установление факта и способа создания вредоносной программы для ЭВМ.
2. Установление факта использования и распространения вредоносной программы.
3. Установление лиц, виновных в создании, использовании и распространении вредоносных программ для ЭВМ.
4. Установление вреда, причиненного данным преступлением.
5. Установление обстоятельств, способствовавших совершению расследуемого преступления.
При расследовании нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети, необходимо прежде всего доказать факт нарушения определенных правил, повлекший уничтожение, блокирование или модификацию охраняемой законом компьютерной информации и причинивший существенный вред. Кроме того, необходимо установить и доказать:
1.Место и время (период времени) нарушения правил эксплуатации ЭВМ;
2.Характер компьютерной информации, подвергшейся уничтожению, блокированию или модификации вследствие нарушения правил эксплуатации компьютерной системы или сети; а также способ и механизм нарушения правил;
3. Характер и размер ущерба, причиненного преступлением;
5. Факт нарушения правил определенны лицом;
6. Виновность лица, допустившего преступное нарушение правил эксплуатации ЭВМ;
7. обстоятельства, способствовавшие совершению расследуемого преступления
3.2 Особенности проведения некоторых следственных действий при расследовании компьютерных преступлений
Основными следственными действиями в ходе которых собирается информация являются осмотр места происшествия, включая компьютер и его периферийные устройства, обыск и выемка.
Задачи следственного осмотра заключаются в собирании доказательств. На базе собранных доказательств следователь выдвигает версии о характер расследуемого компьютерного преступления и его участниках, месте нахождения предметов, имеющих доказательственное значение, последствия преступления и. т.д. Кроме того, устанавливаются обстоятельства, способствовавшие совершению преступления[5] .
Преодолевая средства защиты компьютерных систем, преступник оставляет следы на узлах и устройствах ЭВМ, периферийных и сетевых устройствах. Подвергшись преступному посягательству, файл данных или прикладного программного обеспечения становится носителем следовой информации. В качестве следообразующего объекта в процессе образования следов на узлах и устройствах ЭВМ, их сетей может выступать виртуальный объект - система команд ЭВМ. Для наиболее полного использования в качестве доказательств следов-предметов в виде регистрационных файлов целесообразен переход субъектов хозяйствования на защищенные средства вычислительной техники, так как преодоление средств защиты компьютерным правонарушителем способствует образованию большего количества следов.
В силу специфики расследования дел о компьютерных преступлениях возникает необходимость часть исследований по обнаружению, фиксации и изъятию следовой информации компьютерных систем проводить непосредственно на месте происшествия. Это может быть обусловлено невозможностью изъятия компьютерных систем для проведения экспертизы в лабораторных условиях: из-за наличия у следователя оснований полагать, что имеющая доказательственное значение информация, содержащаяся в компьютерных системах, может быть утеряна или изменена при их отключении в процессе изъятия; или изъятие нанесет существенный ущерб выполнению производственных, финансовых и иных задач.
При всех этих действиях производится поиск информации в компьютере, тактика которого, прежде всего, должна исключать уничтожение или повреждение искомой информации, помочь следователю правильно разобраться в сложном информационном массиве, найти требуемое и зафиксировать изъятую информацию.
Перед началом осмотра или обыска необходимо в первую очередь принять меры к предотвращению возможного повреждения или уничтожения информации. Принять меры к контролю за бесперебойным электроснабжением ЭВМ для предупреждения случайного выключения машины в момент осмотра. Удалить всех посторонних лиц с территории, на которой производится осмотр или обыск, и прекратить дальнейший доступ на нее. Исключить возможность контакта с компьютерами и их периферийными устройствами всех пользователей ЭВМ. Если на объекте находятся взрывчатые, легковоспламеняющиеся, едкие вещества, посторонние источники электромагнитного излучения и другие вещества и аппаратура, способные привести к аварии электронно-вычислительной техники - эвакуировать их.
К участию в осмотре или обыске необходимо привлечь специалистов в области информатики и вычислительной техники. Кроме того, к участию в осмотре места происшествия или компьютера желательно привлечь специалиста-криминалиста, поскольку на аппаратных средствах зачастую оказываются следы рук, металлообрабатывающих инструментов, ручной пайки на внутренних элементах компьютерных средств [6] .
Тактические особенности поиска компьютерной информации зависят от функционального состояния ЭВМ и ее периферийных устройств на момент осмотра или обыска. В случае, если компьютер на момент начала осмотра оказался включен, необходимо оценить информацию, изображенную на дисплее. Прежде всего, определить, какая программа исполняется на данный момент. В случае работы стандартного программного продукта не приступать к каким-либо манипуляциям на входе без предварительного визуального осмотра технических средств. Экран дисплея необходимо сфотографировать. Отключить все телефонные линии, подключенные к компьютеру.
В случае обнаружения искомой информации, текущее изображение экрана дисплея также необходимо сфотографировать, после чего стандартными средствами переписать информацию на постоянный носитель (обычно - магнитный диск) либо распечатать ее.