Электронная библиотека диссертаций и авторефератов России
dslib.net
Библиотека диссертаций
Навигация
Каталог диссертаций России
Англоязычные диссертации
Диссертации бесплатно
Предстоящие защиты
Рецензии на автореферат
Отчисления авторам
Мой кабинет
Заказы: забрать, оплатить
Мой личный счет
Мой профиль
Мой авторский профиль
Подписки на рассылки



расширенный поиск

Возможность использования информационных следов в криминалистике Шаповалова Галина Михайловна

Возможность использования информационных следов в криминалистике
<
Возможность использования информационных следов в криминалистике Возможность использования информационных следов в криминалистике Возможность использования информационных следов в криминалистике Возможность использования информационных следов в криминалистике Возможность использования информационных следов в криминалистике Возможность использования информационных следов в криминалистике Возможность использования информационных следов в криминалистике Возможность использования информационных следов в криминалистике Возможность использования информационных следов в криминалистике Возможность использования информационных следов в криминалистике
>

Диссертация - 480 руб., доставка 10 минут, круглосуточно, без выходных и праздников

Автореферат - бесплатно, доставка 10 минут, круглосуточно, без выходных и праздников

Шаповалова Галина Михайловна. Возможность использования информационных следов в криминалистике : 12.00.09 Шаповалова, Галина Михайловна Возможность использования информационных следов в криминалистике (Вопросы теории и практики) : Дис. ... канд. юрид. наук : 12.00.09 Владивосток, 2005 210 с. РГБ ОД, 61:06-12/428

Содержание к диссертации

Введение

ГЛАВА I. Теоретические основы исследования информационных следов в криминалистике 12

1. Понятие и виды информационных следов 12

2. Правовые основы применения информационных следов в криминалистике 49

3. Методология изучения информационных следов в криминалистике 69

4. Информационные следы как основа сведений о личности преступника 88

ГЛАВА II. Обнаружение и использование информационных следов при расследовании компьютерных преступлений 108

1. Технические и тактические приемы обнаружения и фиксации информационных следов 108

2. Предварительное исследование информационных следов и подготовка их для производства компьютерно-технической экспертизы 124

Заключение 154

Список использованной литературы 159

Приложение! 183

Введение к работе

Актуальность темы исследования. Рост преступности в Российской Федерации в настоящее время вышел на такой уровень, что способен реально угрожать национальной безопасности страны. Только в 2004 г. число преступлений в сфере компьютерной информации превысило 13 723 і. Быстрыми темпами растет экономический ущерб от них. При этом истинные размеры данных видов преступлений, латентность которых составляет 90%, остаются до сих пор не известны.

Качественные показатели, характеризующие современную преступность, говорят о том, что она активно осваивает и использует достижения Hi-Tech (высоких технологий). Интенсивное развитие средств компьютерной и оргтехники, а также средств телекоммуникаций и широкое их внедрение во все сферы человеческой деятельности привели к возникновению преступлений в сфере компьютерной информации, что способствовало появлению в криминалистике новых видов следов -информационных, которые требуют научного познания и методов, технических и тактических приемов их обнаружения; фиксации и исследования. В результате этого возникла необходимость выработки научных рекомендаций по проведению следственных действий и судебных компьютерно-технических экспертиз.

Правоохранительные органы оказались не готовы эффективно противостоять преступлениям в сфере компьютерной информации, впервые зафиксированных в главе 28 УК РФ 1996 г. и имеющих высокую латентность. По сведениям ГИЦ МВД России, количество преступлений, зарегистрированных в 1997 - 2004 гг. по ст.ст. 272, 273, 274 УК РФ, составило: в 1997 г. - 17; в 1998 г. - 66; в 1999 г. - 294; в 2000 г. - 800; в

'См.: МВД /Статистика /Состояние преступности в Российской Федерации // .

2001 г. - 2066; в 2002 г. - 4955; в 2003 г. - 7053; в 2004 г. - 13723. Самым распространенным видом преступления является деяние предусмотренное по ст. 272 УК РФ (неправомерный доступ к компьютерной информации). По Приморскому краю из 97 изученных материалов уголовных дел за 1999 -2004 годы по ст. 272 было зарегистрировано 82,61%, по ст.273 - 26,09%, по ст. 274 - 0%.

Актуальность темы обусловлена тем, что в научной литературе
отсутствует формулировка понятия «информационные следы»,
методологические основы их изучения и использования в науке
криминалистике и следственной практике, а также классификация. За
последнее время было защищено несколько докторских и кандидатских
диссертаций, в которых основное внимание было уделено проблемам
расследования и предупреждения преступлений в сфере компьютерной
информации (В.В. Крылов, В.А. Мещеряков, А.И. Усов, А.В. Касаткин, Е.И.
Панфилова, В.П. Хомколов и др.). Ученые в своих исследованиях
используют термины: «виртуальный», «след», «информационный след»
(В.А. Милашев, О.Г. Григорьев, А.С. Егорышев, А.И. Усов, А.Д. Тлиш).

Однако они не дают им определений и не приводят классификаций.

Новый вид преступлений способствовал появлению не традиционных для следственной практики «информационных следов», требующих криминалистического научного изучения.

Объектом исследования является преступная деятельность в сфере компьютерной информации, отражаемая в информационных следах, а также тактические и технические приемы по обнаружению, сохранению и изъятию информационных следов, что будет способствовать раскрытию, расследованию и предупреждению компьютерных преступлений.

Предметом исследования являются теоретические положения, содержащиеся в научных трудах по вопросам о понятии и классификации

следов в криминалистике; закономерности образования, обнаружения, фиксации и изъятия информационных следов, процесс их оценки и использования в тактике проведения следственных действий; материалы уголовных дел и опубликованная следственная практика, а также уголовное и уголовно-процессуальное законодательство РСФСР и РФ.

На основе действующего уголовного и уголовно-процессуального законодательства, достижений криминалистики в диссертационном исследовании рассматриваются информационные следы в процессуальном и криминалистическом аспектах. Тесная связь, существующая между процессуальным порядком получения доказательств и тактическими приемами, традиционно принятая в научной литературе, позволила глубже рассмотреть и проанализировать сущность и доказательственное значение информационных следов.

Цели и задачи исследования. В диссертации была поставлена цель теоретического обоснования понятия, содержания и использования «информационного следа» в криминалистике.

Для достижения указанной цели были поставлены следующие задачи:

а) провести научный анализ понятия «след» в криминалистике с учетом
появления ранее не известных науке криминалистике преступлений в сфере
компьютерной информации;

б) выявить закономерности отображения компьютерной информации
в следах на различных носителях;

в) выявить закономерности механизма образования информационных
следов и их место в криминалистической характеристике способа
совершения компьютерных преступлений;

г) разработать тактические и технические криминалистические приемы
обнаружения, фиксации, изъятия и исследования информационных следов;

д) проанализировать механизм преступной деятельности и

особенности его проявления в информационных следах - последствиях, методы и приемы обнаружения и исследования этих следов с целью раскрытия, расследования и предупреждения преступлений.

Методология и методика исследования. Методологическую базу исследования составляют общенаучные методы познания, современные доктрины юриспруденции, а также частнонаучные методы: исторический, социологический, системный, сравнительно-правовой, формальнологический. Положения и выводы, содержащиеся в диссертационном исследовании, основаны на нормах уголовного и уголовно-процессуального законодательства РСФСР и РФ.

При анализе механизмов образования информационных следов-отображений на электронных носителях информации использованы методы исследования многоуровневых иерархических систем. При формировании терминологического аппарата использовались положения теории информации и теории познания, законы формальной логики и лингвистики. Исследование проведено на стыке ряда научных дисциплин, что потребовало использования научной литературы в области кибернетики, математики, информатики, радио- и электропроводной связи и телекоммуникации, теории электромагнитных полей, что во многом предопределило комплексный характер исследования.

Выдвинутые теоретические положения и рекомендации основаны на
работах ведущих ученых в области уголовного права, процесса и
криминалистики: Т.В. Аверьяновой, О.Я. Баева, Р.С. Белкина, Н.М. Букаева,
В.Б. Вехова, А.И. Винберга, А.Г. Волеводза, Т.С. Волчецкой,

В.Н. Григорьева, A.M. Жодзишского, Е.П. Ищенко, В.В. Крылова,

И.М. Лузгина, В.А. Мещерякова, В.А. Образцова, Н.С. Полевого,
Е.Р. Российской, Н.А. Селиванова, Л.Н. Соловьева,

Б.Х. Толеубековой, Д.А. Турчина, А.И. Усова, В.В. Яровенко и других ученых.

Эмпирическую базу исследования составили материалы 97 архивных уголовных дел за 2001 - 2004 гг., опубликованная судебно-следственная практика Верховного Суда Российской Федерации, статистические данные состояния преступности РФ с 1997 по 2004 гг., в Приморском крае за 1999 - 2004 гг., а также материалы следственной практики, размещенной на электронном ресурсе в глобальной сети Internet . Кроме того, в ходе диссертационного исследования автор использовал свою профессиональную подготовку в сфере компьютерных и сетевых технологий на 11 американских курсах. Научная новизна полученных результатов.

Изучены теоретические основы понятия и классификации следов в криминалистике, обращено внимание на появление новых видов следов -информационных, которые имеют криминалистическое значение. Дано определение термину «информационный след» и рассмотрены его признаки: а) не относится к трасологическим следам, б) не существует отдельно от носителя информации, имеет срок существования, визуально не наблюдаемый, в) информационный след и его копия не различимы для криминалистики, г) эти следы обезличены, т.е. не имеют идентификационных признаков,

Исследован механизм следообразования и предложена классификация информационных следов с учетом их носителя информации, времени создания, размера, атрибутов. Установлено, что лицо, совершившее преступление в сфере компьютерной информации, обладает определенными профессиональными знаниями, навыками, которые находят отражение в информационных следах, позволяющих выдвинуть и проверить следственные версии. Разработаны научные рекомендации по обнаружению,

изъятию и использованию информационных следов при проведении следственных действий в процессе расследования преступлений.

В соответствии с изложенным на защиту выносятся следующие положения:

  1. На основе результатов проведенного исследования делается аргументированный вывод о том, что в последнее время с развитием высоких технологий появились ранее неизвестные криминалистике следы, имеющие не менее важное значение в расследовании преступлений -информационные следы. В научных исследованиях по криминалистике ученые используют применительно к этим следам различную терминологию: «виртуальный», «след», «информационный след». Автор обосновывает целесообразность использования единого термина -информационный след, подчиняющийся общим законам материалистической диалектики, включая его понятие, классификацию и место в криминалистическом учении о следах.

  2. В ходе проведенного исследования понятийного аппарата сделан вывод, что применительно к преступлениям в сфере компьютерной информации в науке, законодательстве, следственной практике, нашла отражение лишь незначительная часть терминов и понятий, характеризующих компьютерные технологии, которые по-разному трактуются в законодательных актах. Например, при определении носителя компьютерной информации в одних документах используют термин винчестер, в других - жесткий диск, в третьих - хард диск (HDD). Однако все они обозначают одно и то же физическое устройство. Безусловно, отсутствие единообразных научных понятий отрицательно сказывается

при составлении уголовно-процессуальных документов. В диссертации подробно обосновывается целесообразность о приведении понятийного аппарата к единообразию.

  1. Диссертант за основу понятия «информационного следа» взял традиционное понятие следа в науке криминалистике: «любые изменения среды под влиянием преступления». С учетом этого сформулировано определение информационного следа - это изменение информационной среды в виде сигналов и кодов на электронных и иных физических носителях. Оно отражает, во-первых, особую среду - информационную, так как ни в какой другой среде он находиться не может. Во-вторых, информационный след представляет собой электронные сигналы и коды, на уровне пользователей - это файлы и папки (каталоги). В-третьих, информационный след существует на электронных и иных физических носителях. Дано классификация информационных следов, возникающих при совершении преступлений в сфере компьютерной информации, с учетом разнообразия аппаратных средств на: а) локальные - на рабочей станции - следы в файлах пользователей, в файлах операционной системы; б) сетевые - на серверах - серверах провайдеров в специальных файлах регистрации (Log-файлы), телекоммуникационных сетях.

  2. Диссертантом выявлены закономерности информационных следов, характеризующих личность подозреваемого в преступлении в сфере компьютерной информации: определенные навыки, знания в сфере новейших технологий, образование (сетевой администратор, инженер-программист, инженер-электронщик, оператор). В диссертации на основе криминалистического анализа закономерностей механизма и способов оставления следов, технических средств, уловок для сокрытия или маскировки преступления, которые использовались субъектом, составлена характеристика личности преступника, а также имеются конкретные рекомендации правоохранительным органам.

  3. Анализ протоколов следственного осмотра, обыска и выемки показал, что специфика по обнаружению, изъятию и сохранению информационных

следов без участия специалиста, приводит к частичной или полной потере
доказательственной информации. Одних юридических знаний и опыта
работы у следователей и дознавателей с информационными следами
недостаточно. Автор разработал методические рекомендации

практическим работникам по применению технических средств и совершенствованию тактических приемов обнаружения, изъятия и сохранения этих следов. 6. Из анализа механизма преступной деятельности и особенностей его проявления в информационных следах диссертантом обоснована целесообразность тактики предварительного исследования с учетом классификации по следующим основаниям: а) носителям информации; б) расширению файлов (текстовая, графическая, звуковая, программная, файлы данных); в) атрибутам файлов (архивная, только для чтения, системная, скрытая) и др. Обобщен положительный опыт исследования, использования этих следов в качестве доказательств, уделено внимание важности подготовки объектов для производства судебной компьютерно-технической экспертизы.

Теоретическая и практическая значимость исследования. По мнению автора, содержащиеся в диссертации теоретические положения и методические рекомендации могут способствовать дальнейшему совершенствованию исследований в криминалистике и уголовном процессе.

Проведенные исследования создают основу для дальнейшего теоретического изучения и использования нового вида следов в криминалистике - «информационного следа». Отдельные концептуальные положения диссертационного исследования могут быть внедрены в правоприменительную практику. Данные исследования также имеют значение для применения в образовательной сфере, реформа которой

предусматривает широкое использование информационных технологий в подготовке специалистов.

Апробация результатов исследования. Основные положения диссертации, выводы и предложения автора изложены в 10 опубликованных работах, были предметом обсуждения на международных, региональных научно-практических конференциях в Москве, Владивостоке, Находке (2000 - 2004гг.).

Структура и объем работы. Диссертация состоит из введения, двух глав, заключения, списка использованной литературы, ее объем соответствует требованиям ВАК Российской Федерации.

Понятие и виды информационных следов

Структуру общей теории криминалистики составляет система частных криминалистических теорий, отражающих отдельные элементы (или группы элементов) предмета криминалистики, неразрывно связанных между собой. Эта система, будучи замкнутой понятийной системой, в то же время представляет собой открытую, число которой является конечным только в данный момент, поскольку развитие науки предполагает появление новых частных криминалистических теорий. Возникающие частные теории могут сменять, дополнять существующие, становясь их развитием, продолжением.

В число таких теорий входит трасология - криминалистическое учение о материальных следах преступления. Предметом криминалистического познания является исследование события преступления с помощью информации2, содержащейся в различных объектах, в виде материальных следов. Под материальным следом в криминалистике понимается любое изменение как результат отражения при взаимодействии объектов, содержащих в себе информацию о происшедшем событии3.

Применение достижений криминалистики в области следоведения рассматривалось Р.С. Белкиным, А.И. Винбергом, Г.Л. Грановским, И.Ф. Крыловым, В.И. Шикановым, Д.А. Турчиным и другими, которые показали, как и в каких формах отражаются и фиксируются следы. Так, Р.С. Белкин выделял два вида следа: след как отпечаток какого-либо объекта на другом объекте - след-отображение и след как признак некого события -след-преступление. «Содержание изменений, их характер есть информация, сведения об их изменениях. Изменения несут в себе сведения о том, что они из себя представляют, то есть информацию обо всем процессе отражения, результатом которого они являются. Изменения-доказательства являются материальными носителями, «хранилищем» информации о событии»4.

Следы, оставленные преступником, очень разнообразные: следы рук, ног, орудий взлома и инструментов, пятна крови, положение трупа, механические повреждения, оружие, документы, запах, голос и др. Данные виды следов были достаточно подробно изучены в науке криминалистике5. В то же время их перечень не является исчерпывающим. В последнее время с развитием высоких технологий появились ранее неизвестные криминалистике следы, имеющие не менее важное значение в расследовании преступлений - информационные следы.

Прогностически ранее на это обращал внимание профессор Д.А. Турчин, отмечая, что со временем возможна дальнейшая углубленная дифференциация следов внутри каждого образования и группы, как это имеет место, например, в области трасологии6. А также «материальный след», как все материальные последствия, возникшие в связи с событием преступления, в виде исчезновения, появления отдельных предметов, изменения состояния предметов в результате внешних воздействий, следов-отображений, некоторых предметов, веществ.

На современном этапе стремительного развития новых компьютерных и сетевых технологий, телекоммуникаций и связи традиционные преступления -кража, мошенничество и другие совершаются с их использованием. Кроме того, появился новый вид преступлений в сфере компьютерной информации (ст. ст. 272, 273, 274 УК РФ). Так А.Д. Тлиш пишет: «В настоящее время наиболее актуальна проблема сбора эмпирических данных о следах, связанных с информационными взаимодействиями в разных файловых системах, решение которой позволит существенным образом дополнить существующую классификацию следов и признаков» .

Широкое распространение получает тенденция использования новейших компьютерных и сетевых технологий организованными преступными группами. В этих условиях сотрудники правоохранительных органов при предупреждении, раскрытии и расследовании преступлений, совершенных с применением компьютерных и сетевых технологий, неизбежно сталкиваются с определенными трудностями.

Правовые основы применения информационных следов в криминалистике

Новизна и специфичность преступлений в сфере использования компьютерных технологий, многообразие предметов и способов преступных посягательств, виртуальность информационных следов способствуют высокой латентности, что является для правоохранительных органов существенной преградой на пути к защите прав и интересов личности, общества и государства. Правоохранительные органы крайне медленно адаптируются к новым условиям борьбы с преступностью. Причин тому много: во-первых, стремительный рост информационных технологий, дающий огромный поток новых терминов и понятий, отрицательно влияющий на разночтение и применение понятийного аппарата инженерами, учеными и юристами; во-вторых, низкий уровень профессиональной подготовки криминалистов, следователей, оперативных работников в области информационных технологий; в-третьих, отсутствие необходимого количества экспертов-криминалистов, в-четвертых, отсутствие криминалистических исследований и методических рекомендаций практическим работникам по расследованию преступлений в сфере компьютерной информации, в-пятых, отставание законодательной базы от потребностей практики.

Криминалистическая характеристика рассматриваемой нами категории преступлений находится на стадии начальной разработки. Эмпирической базы, как того требует закон больших чисел при познании статистических закономерностей в гуманитарных науках, явно не достаточно. Необходимость разработки криминалистической характеристики преступлений, а также криминалистической характеристики расследования преступлений в сфере компьютерной информации продиктована реализацией на практике одного из фундаментальных принципов деятельности правоохранительных органов в борьбе с преступностью -неотвратимости наказания.

Использование информационных следов в криминалистике основано на уголовном и уголовно-процессуальном законодательстве. Законодательная база в России в области информатизации начала формироваться с 1991 года, то есть до принятия УК РФ 1996 г. Она включила в себя десять основных законов44. Проведенные в данном направлении научные исследования привели в 1994 г. к разработке проекта закона о внесении дополнений в УК РСФСР, который предусматривал новые составы преступлений: незаконное овладение программами для ЭВМ, файлами и базами данных; фальсификация или уничтожение информации в автоматизированной системе; незаконное проникновение в АИС, совершенное путем незаконного завладения парольно-ключевой информацией, нарушение порядка доступа или обхода механизмов программной защиты информации с целью ее несанкционированного копирования, изменения или уничтожения;

внесение или распространение «компьютерного вируса»; нарушение правил, обеспечивающих безопасность АИС.

Судебно-следственная практика, а также научные исследования Государственно-правового Управления при Президенте Российской Федерации, депутатов Государственной Думы (членов Комитета по законодательству и судебно-правовой реформе Комитета по безопасности) потребовали оптимизации этих составов преступлений.

В вышеперечисленных статьях УК РФ речь шла о преступлениях, объектом которых являлись информационные системы и информация как таковая; основными терминами и понятиями в области компьютерной информации являлась компьютерная информация, программа для ЭВМ, ЭВМ, сеть ЭВМ, база данных; здесь же регулировались вопросы ее распространения; вопросы охраны авторских прав, имущественные и неимущественные о.тнощения, возникающие в связи с созданием, правовой охраной и использованием программного обеспечения и новых информационных технологий. Кроме того, в законах были определены понятия «информационной безопасности» и «международного информационного обмена».

Следует отметить Указы Президента РФ, которые касались, прежде всего, вопросов формирования государственной политики в сфере информатизации, включая организационные механизмы, создания системы правовой информации и информационно-правового сотрудничества с государствами СНГ, обеспечения информацией органов государственной власти, мер по защите информации (в частности, шифрования).

Технические и тактические приемы обнаружения и фиксации информационных следов

После принятия Уголовного кодекса РФ 1997 года в связи с появлением нового вида компьютерных преступлений в системе МВД РФ были созданы соответствующие подразделения, на которые были возложены функции по раскрытию и расследованию данных преступлений. Следует отметить, что уголовные дела в сфере компьютерной информации редко рассматривались судами, а те, которые были рассмотрены, не всегда заканчивались вынесением обвинительных приговоров. Этому способствовало, на наш взгляд, и отсутствие единого понимания видов доказательств по преступлениям в сфере компьютерной информации (допустимость, относимость, достоверность). Поэтому часто на стадии предварительного расследования уголовные дела прекращались следователями по изменению обстановки (ст. 26 УПК РФ) и деятельному раскаиванию (ст. 28 УПК РФ). Подобная практика имеет место и в настоящее время.

На наш взгляд, в определенной степени сложившаяся ситуация явилась следствием неквалифицированного расследования подобных преступлений сотрудниками, не обладающими должной квалификацией при обнаружении информационных следов: в компьютерной системе, телекоммуникационной сети или электронном носителе информации (магнитном, оптическом и т.п.) . Можно согласиться с тем, что своеобразие тактических приемов и технических средств, применяемых для поиска, обнаружения, фиксации и изъятия информационных следов, находящихся в компьютерной системе или электронных носителях информации, позволяет говорить об обязательном участии специалиста в области компьютерных технологий при производстве таких следственных действий, как осмотр места происшествия, обыск и выемка электронных носителей информации. Особые сложности возникают при распределенных компьютерных системах обработки информации, когда место совершения преступления не совпадает с местом происшествия и наступлениями преступного посягательства. Одним из ярких примеров может быть активизация программы вируса на одном из компьютеров, подключенном к сети, с последующим распространением этого вируса на других компьютерах этой сети118.

Анализ практики раскрытия и расследования преступлений в сфере компьютерной информации показывает, что следователь выстраивает систему доказательств на основе фактических данных, полученных при осмотре места прошествия, обыска в производстве (выемки), допросов, розыска и задержания подозреваемого. Так, на первом этапе в соответствии со ст.ст. 164, 176 и 177 УПК РФ в ходе осмотра места происшествия (например, осмотра компьютерной системы, сети, подвергшейся хакерской атаке) следователю необходимо уделять особое внимание снятию копии с диска на другой носитель информации, либо изъятию оригинала носителя информации и приобщению его к протоколу осмотра.

Эффективное применение тактических и технических приемов в криминалистике предполагает наличие у следователя определенных знаний о формировании информационных следов в процессе работы пользователей. Отсутствие таких знаний и понимания у следователя и дознавателя приводит к различным ошибкам по обнаружению, изъятию и сохранению информационных следов.

Вопросам следственных ошибок в юридической литературе уделено большое внимание. При этом следственная ошибка определялась как отступление следователя от требований уголовно-процессуального закона и научных рекомендаций при проведении процессуальных действий, а равно непроведение нужных по обстоятельствам дела процессуальных действий, повлекших за собой принятие решений, противоречащих закону и воспрепятствовавших достижению целей расследования119. Данное определение делает в большей степени акцент на процессуальные ошибки следователя, в нем не говорится о нарушении требований при применении им криминалистической техники.

Мы солидарны с более кратким понятием следственной ошибки как неправильного действия следователя, выразившегося в принятии итогового решения, незаконность и необоснованность которого отражены в процессуальном акте прокурором или судом

Предварительное исследование информационных следов и подготовка их для производства компьютерно-технической экспертизы

Следовая картина компьютерных преступлений имеет свою специфику, выраженную в том, что привычные материальные следы (рук, ног и т. п.), хотя и присутствуют, но для компьютерных преступлений имеют второстепенное значение. В криминалистике под следом понимается любое изменение среды под влиянием преступления. Совершение преступлений в сфере компьютерной информации происходит в особой среде -информационной, созданной средствами вычислительной техники, вычислительных систем и телекоммуникационными связями. Важнейшие следы компьютерных преступлений остаются в виде разнообразной информации на электронных носителях. К информационным следам относятся: файлы, специальные программы (например, для преодоления защиты), алгоритмы ложных условий, подобранные пароли, коды, идентификационные шрифты и др. В настоящее время идентификация владельца компьютера по информационным следам, имеющимся на электронных носителях, во многих случаях затруднена либо невозможна.

Учитывая, что компьютерная информация передается, обрабатывается и хранится с использованием компьютерных средств, криминалисты, следователи в своей деятельности будут всё чаще сталкиваться с потоком информации в электронном виде и на самых разнообразных носителях, где надо знать, какие файлы содержат доказательственную информацию, которая может представлять интерес для криминалистики.

Стремительными темпами идет развитие новых технологий в сфере компьютерных средств. Не обошлось, конечно, и без тотальных «программно-аппаратных» изменений. Имеется в виду файловая система WinFS «хотя это скорей дополнение к NTFS», которая может резко изменить все наши представления о файловых системах вообще. WinFS - реляционная база данных, основанная на SQL-запросах, что должно позволить существенно увеличить скорость обработки данных на электронных носителях. При этом все файлы «потеряют» свои расширения, хотя сегодня именно то, что стоит за точкой в именах файлов операционных систем семейства Microsoft Windows, определяет принадлежность к той или иной программе . Из этого следует, что предварительное исследование информационных следов необходимо производить обязательно с участием специалиста в области компьютерных преступлений.

Компьютерную информацию, представляющую криминалистический интерес, зафиксированную в информационных следах на электронном носителе, доступную восприятию компьютера при предварительном исследовании можно классифицировать по следующим основаниям: - по носителям информации; по расширению файла (текстовая, графическая, звуковая, программная, файлы данных); - по атрибутам файлов (архивная, только для чтения, системная, скрытая) и др.

Для сбора доказательственной информации необходимо учесть следующее:

1. При осмотре компьютера на предмет наличия информационных следов нужно исключить возможность посторонним лицам и неспециалистам соприкасаться с оборудованием, не допускать, чтобы кто-либо производил любые действия с компьютером. Риск, связанный с непосредственным вмешательством, значительно больше, чем шанс дистанционного влияния на систему с другого устройства.

2. Определить, соединены ли находящиеся в помещении компьютеры в локальную вычислительную сеть. На это могут указывать наличие сетевой карты или модема в системном блоке с программой выхода в сеть. При наличии локальной компьютерной сети наибольший интерес представляет головной компьютер, так называемый сервер, на котором хранится большая часть информации, и к которому имеют доступ все компьютеры, настроенные на совместный доступ. Этот компьютер необходимо обследовать более тщательно и осторожно. Установить, имеются ли соединения компьютера с каким-либо периферийным оборудованием или другими компьютерами вне осматриваемого помещения. Если есть, то существует реальная возможность непосредственного обмена информацией независимо от желания следователя, её изменения или уничтожения с удалённых рабочих мест, находящихся за несколько метров (за стеной) или даже километров от осматриваемого помещения. Для предотвращения этого на время поиска информации, представляющей доказательственное значение, необходимо отключить компьютер от локальной сети, желательно физически, путём отключения кабелей или устройств удаленного доступа.

3. Следует определить, запущены ли программы, сервисные службы на компьютере и какие именно. Если на компьютере работает программа или сервисная служба уничтожения данных или зашифровки, то её следует остановить. Если на момент осмотра компьютера на нем набирался текст, то выход из редактора текста нужно осуществлять только после сохранения набранного текста на жестком диске. Информация, которая может заинтересовать следователя, может находиться на электронных носителях и вне компьютера. Таким местом может служить и сам компьютер, т. е. системный блок.

Похожие диссертации на Возможность использования информационных следов в криминалистике