Особенности производства осмотров машинных носителей

Осмотр машинных носителей производится с целью (а) фиксации состояния, конфигурации и изъятия машинных носителей и (б) поиска и изъятия информации и следов воздействия на нее на машинных носителях (в) поиска и изъятия информации и следов воздействия на нее вне машинных носителей. Цель в) реализуется традиционными методами. Для осуществления целей а), б) применяется ряд специфических приемов.

Осмотр места происшествия следует начать с запрещения доступа к средствам вычислительной техники всем лицам, работающим на объекте.

На начальной стадии необходимо обеспечить возможность выявления и собирания традиционных доказательств, например, скрытых отпечатков пальцев на клавиатуре, выключателях и тумблерах, на защелках дисководов, кнопках включения питания, участках корпуса около винтов крепления крышки корпуса, клавишах клавиатуры и мыши, разъемах портов и сетевых плат, а также на кнопках печатных устройств и др.

В ходе осмотров по делам данной категории могут быть обнаружены и изъяты следующие виды важных документов, которые могут стать вещественными доказательствами по делу:

а) документы, носящие следы совершенного преступления - шифрованные, рукописные записи, телефонные счета, телефонные книги, которые доказывают факты контакта преступников между собой, в том числе и по компьютерным сетям, пароли и коды доступа в сети, дневники связи, сведения о процедурах входа-выхода и пр.;

б) документы со следами действия аппаратуры. Всегда следует искать в устройствах вывода (например, в принтерах) бумажные носители информации, которые могли остаться внутри их в результате сбоя в работе устройства;

в) документы, описывающие аппаратуру и программное обеспечение (пояснение к аппаратным средствам и программному обеспечению) или доказывающие нелегальность их приобретения (например ксерокопии описания программного обеспечения в случаях, когда таковые предоставляются изготовителем);

г) документы, устанавливающие правила работы с ЭВМ нормативные акты, регламентирующие правила работы с данной ЭВМ, системой, сетью, доказывающие, что преступник их знал и умышленно нарушал;

д) личные документы подозреваемого или обвиняемого.

Описывая внешнее состояние вычислительной техники, нужно обра­щать внимание на места подключения (например, соединительный кабель между коммуникационными портами принтера и системным блоком компь­ютера) периферийных устройств, винты крепления крышек корпуса, по­верхности под системным блоком, монитором и другими устройствами. Обычно в этих местах происходит скопление пыли, а значит могут остаться следы, характер или отсутствие которых должно быть отражено в протоколе. Также, должны быть отмечены наличие и состояние всех пометок, пломб, специальных знаков и наклеек (инвентарных номеров, записей на память, контрольных маркеров фирм-продавцов и др.), нанесенных на корпуса и устройства компьютеров, наличие загрязнений, механических повреждений и их локализация.

Нельзя исключать возможности доступа в помещение, где находится компьютерная техника и информация посторонними лицами путем взлома, подбора ключей, в т.ч. паролей к электронным замкам, на которых также могут остаться следы.

Следственные действия могут проводиться с работающей (например при задержании с поличным) и не работающей в момент фиксации компьютерной техникой.

Признаками работающего компьютера могут быть подключение его проводами к сети, шум работающих внутри него вентиляторов, мигание или горение индикаторов на передних панелях системного блока, наличие на экране изображения. Если компьютер работает, ситуация для следователя, проводящего следственное действие без помощи специалиста, существенно осложняется, однако и в этом случае не следует отказываться от оперативного изъятия необходимых данных.

В этом случае следует:

определить, какая программа выполняется. Для этого необходимо изучить изображение на экране дисплея и по возможности детально описать его[22]. После остановки программы и выхода в операционную систему иногда при нажатии функциональной клавиши "F3" можно восстановить наименование вызывавшейся последний раз программы[23];

осуществить фотографирование или видеозапись изображения на экране дисплея;

остановить исполнение программы. Остановка исполнения многих программ осуществляется одновременным нажатием клавиш Ctrl-C, либо Ctrl-Break, либо Ctrl-Q. Часто для окончания работы с программами следует ввести с клавиатуры команды EXIT или QUIT, иногда достаточно нажать клавишу "Esc" или указать курсором на значок прекращения работы программы;

зафиксировать (отразить в протоколе) результаты своих действий и реакции компьютера на них;

определить наличие у компьютера внешних устройств-накопителей информации на жестких магнитных дисках (винчестера) и виртуального диска;

определить наличие у компьютера внешних устройств удаленного доступа к системе и определить их состояние (отразить в протоколе) результаты своих действий, после чего разъединить сетевые кабели так, чтобы никто не мог изменять или стереть информацию в ходе обыска (например, отключить телефонный шнур, не шнур питания!, из модема);

скопировать программы и файлы данных, хранимые на виртуальном диске, на магнитный носитель. Копирование осуществляется стандартными средствами ЭВМ или командой DOS COPY;

выключить подачу энергии в компьютер и далее действовать по схеме "компьютер не работает".

Если компьютер не работает, следует:

точно отразить в протоколе и на прилагаемой к нему схеме местонахождение компьютера и его периферийных устройств (печатающее устройство, дисководы, дисплей, клавиатуру и т.п.);

с помощью специалиста установить наличие внутри компьютера нештатной аппаратуры, следов противодействия аппаратной системы защиты - разрушение или временное изъятие микросхем, отключение внутреннего ис­точника питания (аккумулятора);

точно описать порядок соединения между собой этих устройств с указанием особенностей (цвет, количество соединительных разъемов, их спецификация) соединительных проводов и кабелей; перед разъединением любых кабелей полезно осуществить видеозапись или фотографирование мест соединения. Удачным решением является точная маркировка, например с помощью надписанных листочков с липкой поверхностью, каждого кабеля и устройства, а также портов, с которым кабель соединяется перед разъединением. Следует маркировать каждый незанятый порт как "незанятый";

с соблюдением всех возможных мер предосторожности разъединить устройства компьютера, предварительно обесточив его. Следует помнить, что матричные принтеры оставляют следы на красящей ленте, которая может быть восстановлена в ходе ее дальнейшего экспертного исследования;

упаковать раздельно (с указанием в протоколе и на конверте места обнаружения) носители на дискетах и магнитных лентах (индивидуально или группами) и поместить их в оболочки, не несущие заряда статического электричества;

упаковать каждое устройство и соединительные кабели, провода, имея в виду необходимость аккуратной транспортировки компьютерной техники;

защитить дисководы гибких дисков согласно рекомендациям изготовителя. Некоторые из них предлагают вставлять новую дискету или часть картона в щель дисковода.

Особенной осторожности требует транспортировка винчестера (жесткого диска). Некоторые системы безопасной остановки ("парковки") винчестера автоматически срабатывают каждый раз, когда машина выключается пользователем, но в некоторых системах может требоваться специальная команда компьютеру.

Если в ходе осмотра и изъятия все же в крайнем случае понадобится запуск компьютера, это следует делать во избежании запуска программ пользователя с помощью собственной загрузочной дискеты.

Перед выключением питания требуется корректно завершить все исполняемые в данный момент программы, по возможности сохранить всю промежуточную информацию (тексты, информацию состояния, содержание буферов обмена и др.) в специальных файлах, если возможно - на отдельных дискетах, в противном случае на жестком диске компьютера. В протоколе указать имена этих файлов, вид информации, сохраняемой в каждом, расположение файлов (наименование дискет и их маркировку или логический диск и каталог на винчестере компьютера); выключить компьютер, который подвергся воздействию, а при наличии сети требуется выключить все компьютеры в сети. Если из-за особенностей функционирования системы это невозможно, то следует принять все меры для исключения доступа к информации данного компьютера, по возможности снять с нее копию и принять меры для фиксации всех изменений информации, которые будут происходить впоследствии

Поиски информации и программного обеспечения гораздо более сложны, поскольку всегда требуют специальных познаний. Существует фактически два вида поиска (1) поиск, где именно искомая информация находится в компьютере на месте осмотра (2), и поиск, где еще разыскиваемая информация могла быть сохранена.

Как отмечалось, в компьютере информация может находиться непосредственно в оперативном запоминающем устройстве (ОЗУ) при выполнении программы, в ОЗУ периферийных устройств и на внешних запоминающих устройствах (ВЗУ) - накопителях на жестких магнитных дисках, оптических дисках, дискетах, магнитных лентах и др. Напомним, что при включении компьютера в работу электронные устройства персонального компьютера образуют в нем определенный объем так называемой "оперативной памяти" (ОЗУ), которая предназначена для проведения в ней операций над информацией и программами и сохраняет эти программы и информацию в процессе работы. При включении персонального компьютера и (или окончании работы с конкретной программой) данными ОЗУ очищается и готово для ввода новых программ/данных.

Наиболее эффективным и простым способом фиксации данных из ОЗУ является распечатка на бумагу информации, появляющейся на экране дисплея.

Если компьютер не работает, информация может находиться на машинных носителях, других компьютерах информационной системы, в "почтовых ящиках" электронной почты или сети ЭВМ. Детальный осмотр файлов и структур их расположения целесообразно осуществлять с участием специалистов в лабораторных условиях или на рабочем месте следователя. Предпочтительно изучать не подлинники изъятых машинных носителей, а их копии, изготовленные средствами данной операционной системы. Следует обращать внимание на поиск так называемых "скрытых" файлов и архивов, где может храниться важная информация. При обнаружении файлов с зашифрованной информацией или требующих для просмотра стандартными программами ввода паролей, следует направлять такие файлы на расшифровку и декодирование пароля соответствующим специалистам.

Периферийные устройства ввода-вывода могут так же некоторое время сохранить фрагменты программного обеспечения и информации, однако для вывода этой информации необходимы глубокие специальные познания. Так же как и в случае с ОЗУ, данные, найденные на машинных носителях целесообразно в ходе осмотра выводить на печатающие устройства и хранить на бумажных носителях в виде приложений к протоколу осмотра.

Изъятие данных в "почтовых ящиках" электронной почты может при необходимости осуществляться по правилам наложения ареста и выемки почтово-телеграфной корреспонденции с предъявлением соответствующих требований к владельцу почтового узла, где находится конкретный «ящик».

В связи с возможностью совершения преступлений с использованием телекоммуникационных систем и локальных вычислительных сетей (ЛВС) необходимо установить и зафиксировать в протоколе осмотра расположение всех компьютеров в сети, конкретное назначение каждого компьютера, нали­чие сервера, места прокладки кабелей, устройств телекоммуникации (модемов, факс-модемов), их расположение и подключение к каналам телефонной связи. Требуется также выяснить наличие специальных средств защиты от несанкционированного доступа к информации, принять меры к установлению ключей (паролей). При осмотре кабельных соединений ЛВС требуется убедиться в их целостности, отсутствии следов подключения нештатной аппаратуры.

При осмотре ЛВС необходимо отразить их размещение в помещении, предназначение, название (обычно указывается на лицевой стороне), серийный номер, комплектацию (наличие и тип дисководов, сетевых карт, разъемов и др.), наличие и тип подключенных периферийных устройств (принтеров, сканеров, модемов и т.д.), наличие соединения с ЛВС и (или) сетями телекоммуникации, состояние устройств (целое или со следами вскрытия).

Подробный осмотр всех устройства конкретной ЭВМ и ЛВС при анализе его результатов с участием специалистов поможет воссоздать картину действий злоумышленников и получить важные доказательства. Фактически оптимальным вариантом изъятия ЭВМ и машинных носителей информации это фиксация их и их конфигурации на месте обнаружения и упаковка таким образом, что бы аппаратуру можно было бы успешно, правильно и точно так, как на месте обнаружения, соединить в лабораторных условиях или в месте производства следствия с участием специалистов. Следует иметь в виду, что конкретная программно-техническая конфигурация позволяет производить с аппаратурой определенные действия и нарушения конфигурации или отсутствие данных о точной ее фиксации (так же как на месте обнаружения) может повлиять на возможность выполнения на ней не только опытных действий в ходе следствия, но и на оценку в суде возможности совершения преступления. Так, тип программного обеспечения, загруженного в момент обыска-осмотра в компьютер, может показывать задачи, для которых компьютер использовался. Если, например, имеется программное обеспечение для связи и компьютер соединен с модемом, это явно свидетельствует о возможности данной ЭВМ осуществлять связные функции и осуществлять доступ к компьютерной информации.

Особенности подготовки к проведению обыска.

Поскольку одним из основных процессуальных способов изъятия вещественных доказательств является обыск целесообразно уделить особое внимание не только самому факту его проведения, но и процессу подготовки к нему (разумеется, в случаях, когда такая возможность имеется). Как показывает практика, среду в которой проводится обыск можно разделить на два вида – «агрессивная», когда рассчитывать на содействие сотрудников или владельцев не приходится и «позитивная» – когда собственник заинтересован в установлении истины.

В обоих случаях необходимо заранее определиться с участием специалистов в области программирования и коммуникаций, понятых, разбирающихся в компьютерной технике, а также средств фото и видео съемки.

В первом случае подготовка к обыску должна базироваться в основном на материалах оперативных разработок. Сам факт возможного проведения обыска должен оставаться непредсказуемым для подозреваемого до последнего момента, для исключения возможности уничтожения следов. Подобные прецеденты уже известны. При неправомерном доступе к сети Интернет с рабочего места локальной вычислительной сети одной коммерческой организации, имелась возможность установить конкретное рабочее место по протоколу подключения местного сервера. Поскольку организация использовала внутреннюю мини АТС, да и модем был установлен на коммуникационном сервере с организованным коллективным доступом, установить рабочее место по телефонному номеру не представлялось возможным. Однако за два дня до проведения обыска сервер был выведен из строя, его диск переформатирован, и операционная система установлена заново. Это позволило полностью сокрыть следы, по которым можно было бы выйти на конкретное лицо.

Во втором случае подготовка может быть более проработана. Необходимо получить схему проводки локальной вычислительной сети с покабинетной расстановкой компьютеров. По информации файлового сервера в режиме реального времени установить, кто и с какой задачей работает в настоящий момент, после этого проводить обыск на рабочем месте. Если имеется возможность, целесообразно заблаговременно установить специальную технику. Это позволит задержать преступника с поличным.