Обыск с извлечением компьютерной информации
(Комиссаров В., Гаврилов М., Иванов А.)
(«Законность», N 3, 1999)
ОБЫСК С ИЗВЛЕЧЕНИЕМ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ
В. КОМИССАРОВ, М. ГАВРИЛОВ, А. ИВАНОВ
В. Комиссаров, профессор.
М. Гаврилов, доцент.
А. Иванов, старший преподаватель, г. Саратов.
Сейчас компьютеры широко используются в целях обработки и хранения различного рода информации. Используются они и в преступной деятельности. В связи с этим при производстве обысков по различным категориям уголовных дел, и прежде всего при расследовании преступлений в сфере компьютерной информации, можно выделить принципиально новый объект исследования — средства компьютерной техники (СКТ), а также объект поиска — информацию, хранящуюся в памяти компьютера или на внешних носителях — дисках, дискетах и т. п.
Своеобразие тактики и технических средств, применяемых для обнаружения и изъятия информации, хранящейся в оперативной памяти компьютера или на физических носителях, позволяет выделить новый вид обыска — обыск средств компьютерной техники. Такой обыск может производиться по делам о неправомерном доступе к информации, о создании вредоносных программ, о нарушении работы вычислительных комплексов, а также по любым делам, где требуется просмотр и изъятие документов, хранящихся не только на бумажных, но и на компьютерных носителях в виде файлов, подготовленных на данном компьютере, полученных с другого компьютера или отсканированных с бумажного документа.
Приемы, обеспечивающие поиск и изъятие компьютерной информации при проведении обыска, могут быть сгруппированы в рекомендации по различным этапам.
Перед обыском объекта, где по имеющейся информации находятся СКТ, желательно получить оперативную ориентировку по следующим вопросам.
1. Количество СКТ на месте, где предполагается произвести обыск, наличие устройств бесперебойного питания. Сведения об используемых телекоммуникационных средствах: есть ли модем для связи компьютеров через телефонную сеть, объединены ли несколько компьютеров в локальную сеть внутри организации, имеется ли сервер — компьютер, который обслуживает остальные персональные компьютеры; есть ли подключение к региональной или глобальной сети. Часть этих сведений можно получить на основе предварительного анонимного посещения объекта, часть может сообщить провайдер — фирма — поставщик сетевых услуг. Наличие электронной связи в организации могут прояснить «шапки» бланков писем, реклама, прайс — листы и приглашения «посетить нашу Web-страницу в сети Internet».
2. Профессиональный уровень обслуживания компьютера в организации или уровень владельца — пользователя компьютера, в том числе его профессиональные навыки в области вычислительной техники. Предусмотреть возможность или даже необходимость привлечь при обыске к сотрудничеству лицо, ответственное за эксплуатацию СКТ, а при наличии сети — сетевого администратора.
3. Есть ли на СКТ программные или программно — аппаратные средства защиты от несанкционированного доступа. Если на СКТ имеются средства защиты, попытаться установить код доступа. Можно рассчитывать на последующие специальные приемы «взлома», поскольку некоторые популярные системы, в частности Windows 95/98, имеют слабые программные средства защиты и поддаются проникновению с использованием настроек или специальных программ. Выяснить, не защищает ли информацию электронный ключ — компактная электронная приставка размером со спичечный коробок, устанавливаемая на параллельный или последовательный порт (разъем) компьютера. Электронный ключ разрешает пользоваться защищенной программой и ее данными только при своем наличии. Возможно, компьютер защищен от доступа устройством чтения смарт — карт. Если на компьютере эти устройства предусмотрены, но в данный момент не подключены, можно предложить владельцу предъявить их добровольно или найти путем обычного обыска.
Целесообразно обеспечить участие в обыске специалиста в компьютерной технике и информатике: программиста, системного аналитика, инженера по средствам связи или сетевому обслуживанию.
По возможности в качестве понятых пригласить лиц, разбирающихся в компьютерной технике. В последние годы специалистов можно подобрать в солидных компьютерных фирмах с опытом услуг и преподавания на курсах по соответствующему профилю.
Необходимо подготовить переносную аппаратуру для считывания и хранения изымаемой информации. С собой можно взять переносной компьютер и программное обеспечение, набор которого должен быть сформирован по совету с экспертами, а также переносные накопители информации со сменными носителями, способные вместить большой объем информации. Например: стример (ленточные кассеты), сменный жесткий диск, дисководы и диски сверхплотной записи (устройства Zip, a: Drive, DVD) и т. п.
Прийти на объект обыска лучше в момент максимального рабочего режима и срочно принимать меры по обеспечению сохранности СКТ и имеющихся на них данных. Необходимо распорядиться, чтобы персонал покинул рабочие места без прекращения работы техники и без завершения программ. Лучший вариант здесь — «оставить все как есть». На обзорной стадии обыска лицам, находящимся в помещении, запрещается прикасаться к включенным СКТ. Можно установить охрану, наблюдение, отделить находящихся на месте обыска сотрудников организации в определенной части помещения и т. д. Не разрешать выключать электроснабжение объекта. Если же электроснабжение на данный момент отключено, то перед его восстановлением желательно отключить от электросети всю компьютерную технику.
Учитывается изображение, существующее на экране дисплея компьютера, если он включен. Если изображение на экране монитора выдает сообщение о текущем процессе удаления (уничтожения) информации, необходимо пойти на крайнюю меру — экстренно отключить компьютер от сети, а последующее включение провести с помощью специалиста. Необходимо занести в протокол названия программ, работавших в момент обыска, название и характер документов, с которыми шла работа.
Следует определить, соединены ли СКТ, находящиеся на объекте обыска, в локальную вычислительную сеть и есть ли управляющий компьютер — сервер. Серверу нужно уделить особое внимание, так как там находится большой объем информации. Хотя и на рядовом компьютере сети (на рабочей станции) тоже может находиться собственная информация. В случае сетевого соединения с другим компьютером по внутренней сети или по глобальной — установить его сетевой адрес.
Изымаются (при наличии) документы регистрации включения информационной системы и подключения к ней, журнал оператора ЭВМ, иные записи, относящиеся к работе на СКТ. В некоторых ситуациях, особенно перед изъятием, желательно составить для протокола план — эскиз помещения, указав на нем расположение СКТ. Возможно изъятие официальных планов или схем, составленных и утвержденных в самой организации. Подробно описывается порядок соединения между собой всех устройств, фиксируется наличие либо отсутствие используемого канала связи (модемы, сеть). Устанавливается тип связи, используемая в этих целях аппаратура, абонентский номер. Отмечается серийный номер (если он доступен) компьютера и его индивидуальные признаки. Рекомендуется исследовать, а при необходимости приобщать к делу магнитные носители информации: дискеты и жесткие диски, кассеты ленточных стримеров. В последнее время избранная информация может записываться по инициативе владельца на лазерный диск, поэтому при наличии таких дисков их тоже можно исследовать.
В отдельных случаях при обыске нужно искать тайники, где могут храниться сменные компьютерные носители информации; с помощью специалиста вскрывать корпуса аппаратных средств компьютерной техники, чтобы обнаружить специально отключенные внутренние носители информации, например дополнительный жесткий диск.
Если обыск проходит по делу о разработке программ в преступных целях, необходимо найти и изъять текст программы с компьютера или его распечатку. По делу о незаконном производстве пиратских программ для нелицензионного распространения без разрешения разработчика необходимо описать найденную «готовую продукцию», перечень программ, размещенных на лазерных дисках, попросить предъявить разрешение фирмы или автора на выпуск именно этой программной продукции. С другой стороны, в организациях при обыске можно определить по компьютеру перечень установленных программ и потребовать лицензию или другие документы, подтверждающие законность их использования. Установленной считается программа, которая извлечена из сжатого (архивного) состояния и — после прохождения этапа предупреждения о необходимости лицензионного использования — установлена (инсталлирована) в рабочий каталог.
После выполнения указанных мероприятий можно приступить к поиску информации на компьютере. Машинные носители информации не читаемы визуально. В связи с этим следователь стоит перед дилеммой: изымать все СКТ «вслепую» и разбираться, есть ли на них значимая для дела информация после завершения обыска, или изучить с помощью специалиста на месте обыска содержащуюся на СКТ информацию, чтобы определить, что следует изъять.
В литературе встречаются рекомендации изымать все СКТ, обнаруженные на месте обыска. Полностью согласиться с подобным предложением нельзя. Изымать все средства компьютерной техники не всегда возможно и целесообразно.
Значительную, зачастую преимущественную долю данных на компьютере занимают программы, а документы составляют только часть. Кроме технических сложностей существуют и экономические: в случае выхода из строя ЭВМ банк, как правило, может «продержаться» не более двух дней, оптовая фирма — 3 — 5, компания обрабатывающей промышленности — 4 — 8, страховая компания — 5 — 6 дней. В связи с этим радикальное изъятие компьютерной техники грозит последующими претензиями пострадавших организаций. Поэтому желателен экспресс — анализ информации, содержащейся на СКТ, который, кстати, целесообразен и для оптимизации дальнейших поисковых действий следователя.
В ситуации, когда изъять СКТ и приобщить к делу в качестве вещественного доказательства невозможно либо нецелесообразно, следует распечатать интересующую информацию на принтере либо скопировать интересующие следствие сведения на дискеты, а большой объем информации — на стример, на переносной диск сверхбольшой емкости типа Zip или даже на дополнительный жесткий диск. Не изымая весь компьютер, можно изъять из системного блока жесткий диск, провести контрольную распечатку идентификации принтера на нескольких видах бумаги. В организациях с большим объемом информации может применяться резервное копирование на выделенный компьютер, который надо отсоединить от сети и временно расположить в отдельной комнате для исследования в ближайшие дни. Понятым даются необходимые пояснения.
Что и как искать на компьютере? Надо сказать, что в современных СКТ объем хранимой информации огромен и разнообразен, поэтому выбор интересующих сведений становится трудоемкой задачей. Однако современные программные средства предоставляют высокий сервис не только пользователю, но, как это ни неожиданно, и преступнику, и следователю. Не вдаваясь в технические подробности, изложим возможности оперативного поиска, осведомленность о которых поможет в работе.
Многие текстовые и финансовые программы сохраняют список документов последних сеансов работы и могут их мгновенно вызвать, если, конечно, они не удалены или не перемещены в другое место. На диске компьютера пользователи обычно сохраняют документы в каталогах (в папках) со стандартными наименованиями: МОИ ДОКУМЕНТЫ, ДОКУМЕНТЫ, DOCS, АРХИВ, ПЕТРОВ, USER (пользователь). Файлы документов имеют в названии характерное уточнение («расширение»), т. е. часть имени, которая стоит после точки в названии файла — письмо. txt, сведения, doc, платеж. xls, архив 98.zip, входящие. arj, счета. rar и т. п. Значительный интерес при наличии могут составить базы данных или данные из программы — «ежедневника», которые являются компьютерным аналогом записной книжки с адресами. Все компьютерные файлы хранят дату последнего изменения, а после некоторых программ — и дату первоначальной записи файла под этим именем.
Мощные программы при сохранении файла приписывают к полезной информации дополнительную (служебные данные, которые удается выявить при необходимости специальными программами просмотра): сведения о зарегистрированном владельце или организации (если владелец ввел такие данные при установке программы), об установленном принтере. Иногда внутрь файла попадает «соседняя» информация из документа, который обрабатывался в памяти параллельно.
Автоматический поиск среди огромного объема информации на диске помогают вести программы поиска документов по имени файла или по дате, размеру и даже по словам в тексте документа. Часть информации хранится в сжатом виде, и ее прямой просмотр невозможен. Однако существуют программы поиска и в таких сжатых файлах. Ко многим шифровальным защитам документов и сжатым архивам известны программы подбора «забытых» паролей.
«Средний» пользователь обычно не догадывается, что фрагменты или целые файлы, которые программы создают как временную подсобную базу для работы, нередко остаются на диске и после окончания работы. Во всяком случае, такие хранилища обрывков временных файлов целесообразно проверять при обыске. Популярный программный пакет Microsoft Office после установки на компьютере ведет негласный файл — протокол, куда заносит дату и время всех включений компьютера. Программы связи и работы с сетью запоминают адреса многих интернет — контактов пользователя, документы электронной почты с адресами отправителя.
Если пользователь не попросит иначе, то современные операционные системы удаляют файлы не «начисто», а сначала в «корзину», в некий чулан для хлама, просмотрев который, информацию можно восстановить. Но даже в случае удаления файла, минуя корзину, остается вероятность восстановления, поскольку место его на диске не очищается, а только помечается как неиспользованное.
Остающиеся на месте обыска СКТ можно опечатать путем наклеивания листа бумаги с подписями следователя и понятых на разъемы электропитания, на крепеж и корпус. Не допускается пробивать отверстия в магнитных носителях, ставить на них печати. Пояснительные надписи на этикетку для дискет наносятся фломастером, но не авторучкой или жестким карандашом.
Если есть необходимость изъять СКТ после обыска, следует выйти из программы, исполняемой компьютером для операционной системы Windows 95/98, правильно завершить работу самой системы, а затем отключить электропитание всех средств компьютерной техники, подлежащих изъятию. Как уже отмечалось, желательно описать в протоколе рабочие кабельные соединения между отдельными блоками аппаратуры. Аппаратные части СКТ разъединяются с соблюдением необходимых мер предосторожности, одновременно пломбируются их технические входы и выходы. При описании изымаемых магнитных носителей машинной информации в протоколе отражается заводской номер, тип, название, а при их отсутствии подробно описываются тип, размер, цвет, надписи. Фиксацию указанных сведений в протоколе обыска желательно дополнить видеосъемкой либо фотосъемкой. Магнитные носители информации при транспортировке и хранении не должны оказаться вблизи мощных магнитных полей.
——————————————————————