Задать вопрос юристу

§ 1. Криминалистическая характеристика преступлений в сфере экономической деятельности, совершаемых с использованием компьютерных и иных технологий

Понятие и содержание криминалистической характеристики отдельных видов преступлений в отечественной юридической литературе, на наш взгляд, изложено достаточно. Некоторые авторы ранее высказывали мнение о том, что научно-техническая революция оказывает существенное влияние на криминалистическую характеристику.

О.М. Глотов в 1972 г. отмечал: «...нельзя исключить возможность появления новых видов преступлений»7. Их основные элементы могут быть выделены как дополнение уже существующих характеристик. Следовательно, это требует новой разработки классификации криминалистической характеристики. Именно такая необходимость возникла и в связи с включением в уголовное законодательство компьютерных преступлений.

Научно-технический прогресс обусловливает не только положительные изменения в экономике России, но и появление новых видов криминальных деяний. Преступники все чаще применяют системный подход при планировании своих действий, разрабатывают оптимальные варианты проведения и обеспечения криминальных «операций», создают системы конспирации и скрытой связи, принимают дополнительные меры по оказанию противодействия правоохранительным органам, используют современные технологии и специальную технику, в том числе всевозможные компьютерные устройства и новые информационнообрабатывающие технологии.

В настоящее время значительно возрос объем изготовления, передачи, накопления и использования информации в различных ее формах: научно-техническая документация, программное обеспечение ЭВМ, базы данных, системы управления базами данных и др.

Сам факт появления компьютерной преступности многие исследователи отождествляют с появлением так называемых хакеров - пользователей вычислительных систем (обычно сетей ЭВМ), занимающихся поиском способов несанкционированного доступа к компьютерам.

Появление новых видов преступлений, совершаемых с использованием вычислительной техники и документов на машинных магнитных носителях информации, выделение в отдельную главу Уголовного кодекса РФ преступлений в сфере компьютерной информации подтверждают тот факт, что подготовка, совершение, сокрытие подобных преступлений имеет закономерные особенности, включая закономерности с ледообразования. Все это свидетельствует о необходимости научного изучения и анализа указанных преступлений, обобщения их типичных признаков и особенностей. Целью и результатом деятельности является создание криминалистической характеристики этой категории преступлений, обеспечивающей качественное расследование в установленный срок.

Криминалистической характеристике преступления как его модели, отражающей типичные признаки определенной категории преступных деяний, большое внимание уделяли О.Я. Баев, P.C. Белкин, В.М. Быков, А.Н. Васильев, И.А. Возгрин, И.Ф. Герасимов, В.А. Гуняев, Л.Я. Драпкин, А.Н. Колесниченко, С.П. Митричев, В.А. Образцов, И.Ф. Пантелеев, H.A. Селиванов, Л.А. Сергеев, В.Г. Танасевич, A.A. Эйсман, Н.П.

Яблоков и другие ученые. Несмотря на различие позиций авторов по отдельным вопросам, в качестве элементов криминалистической характеристики преступления в настоящее время рассматриваются типичная исходная информация, система данных о способах совершения и сокрытия данного вида преступления и типичных последствиях их применения, характеристика особенностей обстоятельств, подлежащих выяснению и исследованию по данной категории дел, и типичных версий, указания на личность вероятного преступника и его характеристика, вероятные мотивы и цели преступления, личность вероятного потерпевшего и его характеристика, описание типичных для данного вида преступлений обстоятельств, способствующих его совершению8. Криминалистическая характеристика преступлений может быть типовой - представляющей теоретическую модель преступления, определяющей ее сущность, значение и наиболее общую структуру; видовой - описывающей с криминалистической точки зрения предусмотренные законом конкретные общественно опасные наказуемые действия, и групповой - описывающей с криминалистических позиций отдельные группы преступлений внутри видовых криминалистических характеристик9.

Особый интерес для целей настоящего исследования представляет формулировка В.М. Быковым понятия криминалистической характеристики преступления как совокупности существенных и устойчивых качественных признаков преступления, обусловливающей основные закономерности раскрытия и расследования данной группы преступлений. Такой подход к понятию криминалистической характеристики преступления позволил ученому отказаться от требований ее единой структуры и содержания, так как для различных видов и групп преступлений оказывается существенной одна совокупность качественных признаков, а

для других - другая1.

Несмотря на то, что Уголовный кодекс РФ не предусматривает такой классификации преступлений, как преступления с использованием документов на машинных магнитных носителях информации, все чаще в процессе расследования преступлений экономической направленности и компьютерных преступлений следователь или лицо, производящее расследование, получают в свое распоряжение документы, денежные купюры, вещественные доказательства, изготовленные с помощью компьютерной техники. Все чаще доказательственная информация по уголовному делу содержится только на машинных носителях информации, а местонахождение ее аналогов на бумажном носителе не известно, либо эти документы утеряны, уничтожены или изначально отсутствовали. В связи с существованием закономерных особенностей подготовки, совершения и сокрытия преступлений, в тех случаях, когда в качестве доказательств по делу фигурируют документы на машинных магнитных носителях информации, целесообразно группирование преступлений по признаку использования при их совершении документов на машинных магнитных носителях информации - в целях получения новых доказа- •

тельств и выработки практических рекомендаций по эффективному ис

пользованию имеющихся доказательств. Вследствие специфики оперативно-розыскной, следственной и судебной практики по делам о преступлениях, совершаемых с использованием документов на машинных магнитных носителях информации, допустимо и целесообразно рассмотреть лишь некоторые элементы криминалистической характеристики указанных преступлений.

Документы на машинных магнитных носителях информации могут выступать в качестве: средства совершения преступлений в сфере компьютерной информации (компьютерных преступлений); средства

' Быков В.М. Проблемы расследования групповых преступлений: Автореф. дис. ... д-ра юрид. наук. М., 1992. С. 12. совершения иных преступлений с использованием компьютерной техники; объектов преступного посягательства при совершении преступлений; информационных «следов», возникающих в процессе подготовки к преступлению и совершения преступных действий.

Преступления в сфере компьютерных технологий перечислены законодателем в главе 28 Уголовного кодекса Российской Федерации: неправомерный доступ к компьютерной информации (ст. 272 УК РФ), создание, использование и распространение вредоносных программ для ЭВМ (ст. 273 УК РФ), нарушение правил эксплуатации ЭВМ, систем ЭВМ или их сети (ст. 274 УК РФ). Активным компонентом подобных преступлений нередко являются компьютерные программы, каждая из которых задокументирована. При условии использования в качестве носителя информации машинных носителей записанные на них программы могут рассматриваться в качестве средства совершения преступления.

Во многих случаях использование компьютерной техники при совершении преступлений, не подпадающих под действие ст. 272, 273, 274 УК РФ, подразумевает использование компьютерных программ, которые могут храниться на машинных, в том числе магнитных носителях информации. Указанные компьютерные программы могут рассматриваться в качестве средства совершения преступления.

При совершении преступлений, подпадающих под действие ст. 274 УК РФ, а также при совершении иных преступлений, документы на машинных магнитных носителях информации могут выступать в качестве объектов преступного посягательства. Такие документы могут содержать сведения, составляющие коммерческую или государственную тайну, сведения личного характера, являться ноу-хау в индустрии разработки программного обеспечения.

Особый интерес представляют документы, являющиеся информационным «следом», возникающим при подготовки и совершении преступления. Такие документы на машинных магнитных носителях ин- формации могут быть созданы при подготовке проектов договоров, писем, бухгалтерских и иных документов. Характер информационного «следа» носят также документы, представляющие собой тексты программ, отражающие процесс их создания и модификации. Кроме того, при подготовке к преступлениям, подпадающим под действие ст. 186 УК РФ «Изготовление или сбыт поддельных денег или ценных бумаг», 327 УК РФ «Подделка, изготовление или сбыт поддельных документов, государственных наград, штампов, печатей, бланков», 242 УК РФ «Незаконное распространение порнографических материалов или предметов», 325 УК РФ «Похищение или повреждение документов, штампов, печатей» на машинных магнитных носителях информации могут создаваться графические образы, содержащие элементы материального или интеллектуального подлога. Данные документы являются аналогом фотодокументов и могут нести информацию о технологии, месте, времени подготовки к преступлению.

Документы на машинных магнитных носителях информации являются актами, отражающими событие преступления, а их использование -возможным компонентом многих преступлений. Вследствие этого •

практический интерес представляет классификация документов на ма

шинных магнитных носителях информации, которая частично возможна по тем же критериям, что и для обычных документов (рукописных, машинописных, полиграфических, фоно-, фото-, видеодокументов и др.).

По юридической природе документы на машинных магнитных носителях информации могут быть подлинными и поддельными. Подлинность документа (подтверждение изготовления документа надлежа- щим должностным прием либо лицом, от имени которого он выполнен, при условии соответствия содержания документа действительности) может обеспечиваться автором с помощью дополнительных средств, либо без использования таковых.

В первом случае документ может быть заверен электронной циф-

ровой подписью. Подобная практика при совершении сделок предусмотрена п. 2 ст. 160 Гражданского кодекса РФ. Электронная цифровая подпись представляет собой особый код, формируемый программой генерации цифровой подписи, и жестко увязывает в одно целое содержание документа и секретней ключ подписывающего. При этом невозможно изменение документа без нарушения подлинности этой подписи. Технология электронной цифровой подписи применяется в межбанковском документообороте на основании соответствующих нормативных документов10. Другим способом обеспечения подлинности документов на машинных магнитных носителях информации может быть шифрование документа с «открытым ключом»; достигается цель - не только подтверждается авторство в создании документа, но и скрывается содержимое документа от посторонних. Подобный способ используется, как правило, при передаче документов по сети Интернет. Кроме перечисленных способов по смыслу п. 3. статьи 847 Гражданского кодекса РФ для обеспечения подлинности документов на машинных магнитах носителях информации допускается использование в них кодов, паролей и иных средств.

Подчеркнем, что перечисленными способами уже при создании документов на машинных магнитных носителях информации обеспечивается достоверность документов, имеющих характер средства удостоверения сведений об обстоятельствах (фактах), имеющих юридическое значение. При этом сложившаяся юридическая практика допускает использование подобных документов в качестве доказательства в суде1.

Для документов на машинных магнитных носителях информации, имеющий характер средства закрепления сведений о фактах или фиксации изображений, если последние имеют значение для дела, при создании, как правило, не предпринимается специальных методов подтверждения подлинности. В этом случае требуется использовать специальные познания привлекаемого специалиста в области компьютерных технологий, выводы которого в совокупности с иными данными следствия позволят решить вопрос о подлинности документа на машинном магнитном носителе информации.

Понятие поддельного документа на машинном магнитном носителе информации чаще всего применимо к документам как средству удостоверения сведений об обстоятельствах (фактах), имеющих юридическое значение, если документы изготавливаются на бумажном носителе с помощью средств компьютерной техники. В этом случае поддельный документ на машинном магнитном носителе информации создается в процессе изготовления поддельного документа на бумажном носителе и в совокупности с иной компьютерной информацией несет в себе дан- •

ные о способе подделки, использовавшихся программных средствах, времени и месте изготовления поддельного документа. Для получения этих данных также требуется использовать специальные познания привлекаемого специалиста в области компьютерных технологий.

По признаку дубликатности документы на машинных магнитных носителях информации могут быть оригиналами, дубликатами и копиями. *

1 См.: Об использовании в качестве доказательств по арбитражным делам документов, подготовленных с помощью электронно-вычислительной техники: Письмо Госарбитража СССР от 29 июня 1979 г. № И-1-4 // Кодекс: Инф.-правое, система Версия З.Ы ГП «Центр компьютерных разработок»; Об отдельных рекомендациях, принятых на совещаниях по судебно-арбитражной практике: Письмо Высшего Арбитражного Суда РФ от 19 августа 1994 г. № С1-7/ОП-587 // Законодательство России: Общероссийская справочная правовая система. М.: Элекс, 1998.

Оригинал документа на машинном магнитном носителе информации имеет дату записи информации на носитель. Для документов, удостоверяющих сведения об обстоятельствах (фактах), имеющих такое значение, текст документа должен быть защищен от несанкционированных изменений рассмотренными выше средствами удостоверения личности (электронной цифровой подписью, кодами, паролями и средствами в соответствии с требованиями п. 3 статьи 847 ГК РФ). Для документов, закрепляющих сведения о фактах или фиксирующих изображения, имеющие значение для дела, подтверждение тому, что данный документ является оригиналом, может быть получено только в результате экс- пертного исследования.

Дубликат документа на машинном магнитном носителе информации имеет более позднюю по времени дату записи информации на носитель, аутентичное оригиналу содержание документа, указание в тексте на то, что данный документ является дубликатом. Требования к дубликатам по защите держания документа для документов, удостоверяющих сведения об обстоятельствах (фактах), имеющих юридическое значение, и для документов, закрепляющих сведения о фактах или фиксирующих •

изображения, имеющее значение для дела, аналогичны соответствую

щим требованиям, предъявляемым к оригиналам.

Копия документа на машинном магнитном носителе информации является результатом перезаписи оригинала или дубликата документа с одного носителя информации на другой, при которой сохраняется аутентичность содержания документа. Копии документов, удостоверяющих сведения об обстоятельствах (фактах), имеющих юридическое значение, должны содержать указание на то, что данный документ является копией. При этом должна быть обеспечена защита подлинности указанных сведений. Для копий документов, закрепляющих сведения о фактах или фиксирующих изображения, имеющие значение для дела, указание на то, что данный документ является копией, как правило, от- сутствует, и данный факт также может быть удостоверен только в результате экспертного исследования.

По признаку общего происхождения документы на машинных магнитных носителях информации могут выступать в качестве первоначальных и производных. Если при создании нового экземпляра документа в качестве основы берется документ, в текст которого вносятся изменения, то исходный документ будет являться первоначальным, а итоговый - производным документом. Важность подобной классификации определена тем, что при создании документов с использованием современных вычислительных технологий многие компьютерные программы создают производные документы (резервные копии текущего варианта документа, расположенного в оперативной памяти компьютера, но не записанного на машинный носитель информации) автоматически, без указаний на то пользователя. Совокупность подобных документов может предоставить важную информацию для следствия. Факт наличия общего источника происхождения документов может быть удостоверен только в результате экспертного исследования.

По содержанию документы на машинных магнитных носителях информации могут быть классифицированы по тем же признакам, что и обычные документы. Считается, что для уголовного процесса и криминалистики наибольшее значение имеют классификации по назначению, месту возникновения и источнику11. Эти признаки учитываются при проведении следственных действий - осмотра, выемки, истребовании документов, целью которых является обнаружение и собирание доказательств.

По назначению документы на машинных магнитных носителях информации, как и обычные, подразделяются на распорядительные (приказы, указания, докладные записки, заключения, справки, обзоры,

У '

ж'

расчеты, постановления, решения, протоколы, правила, инструкции и т. п.), организационные (уставы, положения, структурные и организационные схемы, списки, планы работы, документы о связях с другими организациями и т. п.), документы правового обеспечения (переписка и документы по правовым вопросам) и иные документы12.

По месту возникновения документы на машинных магнитных носителях информации подразделяются на внутренние и внешние. Внутренние документы созданы в данной организации и не предназначены для передачи и использования их в другой организации. Внешние -

предназначены для передачи и использования их в другой организации, а также могут являться входящими или исходящими по отношению к отправляющей и принимающей их организации.

По статусу источника происхождения документы на машинных магнитных носителях информации подразделяют на официальные и частные. Официальные документы созданы и используются от имени организации или конкретного должностного лица. Частные документы созданы в частном порядке, и принадлежат частному лицу.

Классификация может иметь иной, технический характер, связанный с технологией автоматизированной подготовки документов (например, по способу фиксации информации документы могут быть исполнены с помощью знаков, графических изображений, быть звуковыми, представлять собой видеоряд; по способу создания документы могут быть отнесены к группе документов, созданных с помощью конкретной компьютерной программы; могут использоваться другие признаки классификации документов).

В отличие от отечественной правоприменительной практики, только набирающей опыт борьбы с преступлениями, совершаемыми с использованием НИТ и компьютерной техники, зарубежная юридическая практика набрала достаточный опыт в данной области. Представляет интерес созданная на основе обобщения этого опыта классификация способов совершения компьютерных преступлений, представленная в действующем кодификаторе Генерального Секретариата Интерпола13. Большинство перечисленных способов подразумевает использование двух групп документов на машинных носителях информации при подготовке и совершении преступлений.

К первой группе документов относятся документы, связанные исключительно с использованием компьютерных программ при совершении преступлений (наличие и характер документов не связаны со способом совершения преступления): тексты компьютерных программ, обеспечивающих подготовку и совершение преступления; описания работы программ и иная документация на программы; протоколы работы программ и иная автоматически порождаемая вспомогательная информация, обусловленная алгоритмом работы компьютерных программ; перспективные планы работы, проекты, частные записи, связанные с подготовкой и совершением преступления.

Ко второй группе документов относятся документы, связанные с конкретным способом совершения компьютерных преступлений по кодификации Генерального Секретариата Интерпола.

Дадим характеристику отдельным способам совершения преступлений, предполагающим использование документов на машинных магнитных носителях информации.

РАН - «компьютерный абордаж»: несанкционированный доступ в компьютер или компьютерную сеть. На изъятых машинных носителях информации кроме документов первой группы, могут быть обнаружены:

входящие и исходящие письма для сети Интернет;

информация служб новостей сети Интернет по соответствующей тематике;

похищенные из удаленного компьютера документы; сообщения, пересылаемые на удаленный компьютер.

С>А1 — «перехват»: несанкционированный перехват информации с помощью технических средств, несанкционированные обращения в компьютерную систему или сеть как из нее, так и внутри компьютерной системы или сети. На изъятых машинных носителях информации, кроме документов первой группы, могут находиться похищенные из удаленного компьютера или сети документы (сообщения). Если перехват осуществлен с помощью компьютерной программы-закладки на носителе компьютера, подвергшегося несанкционированному воздействию, может иметься программа-закладка и отправленные ей документы (тексты сообщений).

()АТ — «кража времени»: незаконное использование компьютерной системы или сети с намерением неуплаты. На изъятых машинных носителях информации, кроме документов первой группы, могут находиться полученные с помощью компьютерной системы или сети документы, записанные на носитель в период пользования компьютерной системой или сетью и утверждающие факт пользования этой системой или сетью.

СЮЬЛЗВТ — «логическая бомба», «троянский конь»: неправомерное изменение компьютерных данных путем внедрения «логической бомбы» или «троянского коня». Компьютерные программы могут быть незаконно модифицированы, при этом в исходный код программы может быть добавлен участок, активизирующийся при наступлении определенных событий в компьютерной системе. В этом случае говорят о внедрении в программу «логической бомбы». Если модификацией программы достигается цель скрытого выполнения программой непредусмотренных при ее разработке действий, говорят о внедрении в программу «троянского коня». На изъятых машинных носителях информации, кроме документов первой группы, могут находиться исходный и модифицированный тексты программы.

СЯЗУ — «вирус»: изменение компьютерных данных или программ без права на то путем внедрения в код программ или документов участков кода, способных к поиску и модификации еще не измененных программ и документов. Кроме задач модификации, участок незаконно дописываемого кода выполняет, как правило, деструктивные функции. На изъятых машинных носителях информации кроме документов первой группы могут быть обнаружены:

входящие и исходящие письма соответствующей тематики для сети Интернет;

информация служб новостей сети Интернет по данной тематике; тексты программ, содержащие код вируса и используемые для обучения созданию программ - носителей вируса;

варианты текста программы-вирусоносителя, создаваемой пользователем;

кодифицированные («зараженные») программы. -

«червь»: программа с заложенными в нее функциями автоматического дублирования своего кода, остающегося работоспособным. Как правило, не содержит операторов, модифицирующих другие программы. Обладает побочными деструктивными функциями, поскольку неограниченное дублирование новых работоспособных экземпляров программы в конечном итоге истощает ресурсы вычислительной системы или сети и приводит к ее отказу. На изъятых машинных носителях информации, кроме документов первой группы, могут быть обнаружены варианты текста программы-червя, создаваемой пользователем.

С)РС - компьютерные мошенничества с банкоматами: мошенничества, связанные с хищением наличных денег из банкомата. На изъятых машинных носителях информации, как правило, находятся только документы первой группы. —

компьютерные подделки: мошенничества и хищения из компьютерных систем путем создания поддельных устройств (карточек и т. п.). На изъятых машинных носителях информации, кроме документов первой группы, могут быть обнаружены:

описания реквизитов, содержащихся на подлинных устройствах; описания технологии использования подлинных устройств в компьютерных системах;

входящие и исходящие письма для сети Интернет; информация служб новостей сети Интернет по соответствующей тематике.

(2РМ - манипуляции с программами ввода-вывода: мошенничества и хищения посредством неверного ввода или вывода информационных данных путем манипуляции этих программ. На изъятых машинных носителях информации, кроме документов первой группы, могут быть обнаружены:

описания технологии работы компьютерной системы с подлинными данными;

описания компонентов программного обеспечения, отвечающего за ввод-вывод информации;

тексты исходных и модифицированных программ ввода информации в автоматизированную систему и вывода информации из нее;

программные модули, моделирующие те или иные аспекты неверного ввода-вывода.

С)РР - компьютерные мошенничества с платежными средствами. На изъятых машинных носителях информации, кроме документов первой группы, могут обнаружены:

описания технологии работы компьютерной системы с платежными средствами;

описания компонентов программного обеспечения, связанных с проведением платежей;

тексты исходных и модифицированных программ обеспечения прохождения платежей. -

незаконное копирование, распространение или опубликование компьютерных игр и другого программного обеспечения, защищенного законом. На изъятых машинных носителях информации, кроме документов первой группы, могут присутствовать:

для незащищенных программ - тексты программ, тексты лицензий на программы;

для защищенных программ дополнительно: руководство по преодолению защиты, наборы серийных номеров к программам.

С)8Н — саботаж с использованием аппаратного обеспечения; ввод, изменение, стирание или подавление компьютерных данных или программ, вмешательство в работу компьютерных систем с намерением помешать функционированию компьютерной или телекоммуникационной системы. К компьютерному саботажу относится стирание и фальсификация данных.

С>88 - компьютерный саботаж программы: несанкционированное стирание, повреждение, ухудшение или подавление компьютерных данных или программ.

На изъятых машинных носителях информации при совершении преступлений классификации (^Н, С)88, кроме документов первой группы, могут быть обнаружены:

нефальсифицированные (подлинные) экземпляры документов; сфальсифицированные или поврежденные экземпляры документов.

07Е — хищение информации, представляющей коммерческую тайну: приобретение незаконными средствами или передача информации, представляющей коммерческую тайну, без права на то или другого законного основания, с намерением причинить экономический ущерб или получить незаконные экономические преимущества.

(^8 — материал конфиденциального характера: использование компьютерных систем или сетей для хранения, обмена, распространения или перемещения информации конфиденциального характера.

На изъятых машинных носителях информации при совершении преступлений классификации С)2Е, кроме документов первой

группы, как правило, могут быть обнаружены сами похищенные документы или документы конфиденциального характера.

Использование документов на машинных магнитных носителях информации при совершении преступлений может значительно усложнить задачу установления места преступления и места происшествия.

Если при совершении преступления использовались документы, изготовленные с помощью принтера, то по технологии изготовления подобные документы имеют оригинал на машинном магнитном носителе информации. В этом случае местом преступления будет являться участок местности или помещение, где было совершено преступление, а местом происшествия - участок местности или помещения, где производились действия по изготовлению документа на машинном магнитном носителе информации и выводу его печатной копии. В связи с возможностью копирования информации с одного магнитного носителя на другой, в том числе с помощью компьютерной сети, а также в связи с тем, что места изготовления и вывода документа на печать могут не совпадать, мест происшествий может быть несколько.

Иная ситуация складывается в том случае, когда использование документов на машинных магнитных носителях информации при совершении преступления носит не опосредованный, а прямой характер, что свойственно так называемым «компьютерным» преступлениям. При этом объектом преступления нередко является не только отдельный компьютер, но и совокупность компьютеров в сети. Поскольку территориально компьютерная сеть может охватывать несколько помещений одного здания либо группы зданий, в качестве места преступления должна быть признана совокупность помещений, в которых функционирует компьютерная сеть либо ее пострадавший сегмент.

В связи с принимаемыми преступником мерами маскировки расположения компьютера, с которого предпринимается атака на удаленный компьютер или компьютерную сеть, в качестве места происшествия должны быть признаны, кроме помещения, где производились действия по изготовлению документа на машинном магнитном носителе информации, все помещения, в которых располагаются связанные в сеть компьютеры, использовавшиеся преступником при осуществлении преступных действий. Задача установления места происшествия в этом случае носит неочевидный характер и может быть решена только с участием специалиста в области компьютерных технологий.

При расследовании категорий дел, связанных с использованием документов на машинных магнитных носителях информации при совершении преступлений, важным элементом криминалистической характеристики является характеристика обстоятельств, подлежащих выяснению и исследованию. Учитывая требования ст. 68 УПК РСФСР (ст. 734 УПК РФ), а также особенности создания, распространения и использования документов на машинных магнитных, носителях информации, можно выделить следующие обстоятельства, установление и доказывание которых специфично по уголовным делам рассматриваемой категории преступлений. 1.

Событие преступления (время, место, способ и другие обстоятельства совершения преступления). Преступления с использованием документа на магнитных машинных носителях информации обладают большой латентностью именно в связи с тем, что время, место, способ и другие обстоятельства совершения преступления нередко могут быть установлены только на основании доказательств, полученных из компьютерных систем. Поскольку в качестве доказательства по рассматриваемой категории дел используются документы на машинных магнитных носителях информации, эти обстоятельства, как правило, могут быть установлены следователем только с использованием специальных познаний привлекаемого специалиста в области компьютерных технологий путем назначения соответствующих экспертиз. В связи с этим особую важность приобретают вопросы установления и изъятия средств вычислительной техники, которые, возможно, были использованы при совершении преступления. Это связано с угрозой частичного или полного уничтожения документов на машинных магнитных носителях информации лицом, противодействующим расследованию.

Так, в ходе расследования обстоятельств совершения преступления (уголовное дело № 43536, находившееся в производстве ГСУ ГУВД Ростовской области)14, необходимо было установить место изготовления С. поддельных выписок из реестра акционеров. Подозреваемый опасался печатать выписки у себя на работе, поэтому знакомился с сотрудницами фирм, имеющих компьютерную технику, и под предлогом выполнения срочных печатных работ в уединении печатал выписки на принтере. После окончания печати С. уничтожал имеющиеся на машинном носителе уличающие его документы.

Спустя три месяца, получив в ходе следствия информацию о возможном месте изготовления документов, следователь изъял машинные носители информации и назначил экспертизу. Эксперт обнаружил на машинных носителях информации части выписок, допускающие их идентификацию, и определил период времени, в течение которого документы были помещены на машинный носитель. Таким путем было точно установлено место, время печати выписок и получено одно из доказательств причастности С. к совершению преступления. 2.

Объективная сторона преступления. Изучение документов на машинных магнитных носителях информации может предоставить ценную информацию об объективной стороне преступления, но осложнено действием многих факторов. Так, в большинстве случаев к компьютерной системе имеют доступ несколько человек, компьютер входит в состав локальной или глобальной сети, не применяются процедуры разграничения доступа к ресурсам, не ведутся протоколы работы пользователей на компьютере.

В ходе расследования обстоятельств совершения вышеупомянутого преступления было высказано предположение о распределении ролей в преступной группе. С., работая юрисконсультом в акционерном обществе, имел постоянный доступ к компьютерной технике и документам АО, в том связанным с работой отдела акционирования. По предположению следователя именно С. похитил выписки на дискете из компьютера отдела акционирования, изготовил поддельные выписки из реестра акционеров на компьютере и печатал их по мере необходимости на принтере, однако члены преступной группы не упоминали С. при допросах и признавали его только в качестве дальнего знакомого.

Проведенные выемки компьютерной техники по месту работы подозреваемого и в иных местах, которые посещал С., позволили назначить ряд экспертиз, в ходе которых были обнаружены как подлинные выписки на машинных магнитных носителях информации, послужившие образцом для изготовления поддельных выписок, так и сами поддельные выписки, часть из которых была распечатана С. и впоследствии изъята при обыске. По совокупности этих и иных доказательств С. был признан судом виновным и осужден. 3.

Обстоятельства, влияющие на степень и характер ответственности обвиняемого, а также иные обстоятельства, характеризующие его личность. Эти обстоятельства могут быть выяснены в ходе осмотра всех документов, имеющихся на машинных магнитных носителях информации. Нередко подобные документы содержат подробности под готовки и осуществления выявленной преступной деятельности, доказательства подготовки к другим преступлениям, а совокупность документов, накапливающаяся в течение длительного времени, позволяет создать психологический портрет преступника. 4.

Характер и размер ущерба, причиненного преступлением. В отношении компьютерных преступлений значительную сложность представляет определение степени нарушения работоспособности аппаратных и программных компонентов компьютерной системы, определение влияния конкретных данных и их определенной совокупности на работоспособность вычислительного средства, целесообразность и объективность затрат на восстановление работоспособности системы, выражение ущерба в денежной форме. 5.

Причины и условия, способствовавшие совершению преступления находятся в тесной взаимосвязи с уровнем программной и аппаратной защиты компьютерной системы, уровнем квалификации персонала организации и профессиональной подготовки пользователей компьютерной системы, а также с проведенными организационными мероприятиями по защите информации.

По рассматриваемой категории дел не существует статистики, так как в настоящее время документы на машинных носителях информации крайне редко используются следствием. Однако опыт участия диссертанта в качестве следователя следственно-оперативной группы Генеральной прокуратуры и МВД России по расследовавшимся преступлениям, совершенным с использованием документов на машинных магнитных носителях информации, позволил ему выделить наиболее часто встречающиеся причины и условия, способствующие совершению преступления: 1)

предоставление комплекта техники, обладающего мощными полиграфическими возможностями, в бесконтрольное пользование сотруднику; 2)

отсутствие контроля за содержанием создаваемых в течение рабочего дня документов на машинных магнитных носителях информации; 3)

неофициальное предоставление сотруднику возможности выполнения посторонней работы, игр во внерабочее время; 4)

отсутствие разграничения доступа к компьютерной информации; 5)

предоставление неконтролируемого доступа в сеть Интернет; 6)

отсутствие структурного подразделения или сотрудника, обязанностью которого является установка программного обеспечения, контроль работоспособности программ, обеспечение антивирусной защиты организации; 7)

использование контрафактных компьютерных программ, не обеспеченных технической поддержкой фирм-производителей.

Преступления с использованием документов на машинных магнитных носителях информации по своему характеру являются подгруппой преступлений в информационной сфере. Многие криминалистические проблемы по данному виду преступлений, в том числе и изучение личности преступника, рассмотрены в работах В.Б. Вехова, A.B. Касаткина, В.В. Крылова, В.Д. Курушина. В.А. Минаева, В.Ю. Рогозина, Е.Р. Российской, К.С. Скоромникова, Н.И. Шумилова и других авторов.

Целесообразно уточнить, с учетом позиции Н.И. Шумилова15, вероятные мотивы и цели преступлений рассматриваемой категории: 1.

Компроментация отдельных лиц и организаций. Мотив имеет два аспекта: а) политический', приводящий к попытке дискредитации политических противников; б) экономический, приводящий к попытке получения преимуществ в ходе конкуренции. При совершении преступлений в первом случае возможно изготовление с помощью компьютерной техники компрометирующих лицо или организацию текстовых документов, фото- и видеодокументов для последующего распространения этих документов в средствах массовой информации и в сети Интернет. Во втором случае аналогичные документы создаются с целью дискредитации продукции или услуг фирмы-конкурента. В обоих случаях технология изготовления документа подразумевает создание документа на машинном магнитном носителе информации и сохранение на носителе криминалистически значимой информации о преступлении. 2.

Экономические мотивы (корыстные соображения). Наиболее часто встречающиеся мотивы при совершении преступлений с использованием документов на машинных магнитных носителях информации. В большинстве случаев они приводят к подделке с помощью компьютерной техники документов правоустанавливающего характера либо денежных купюр. Исполнитель, как правило, в течение некоторого времени пользуется мощными и разнообразными компьютерными программами, оставляя большое количество криминалистически значимых информационных «следов» на машинном носителе информации. 3.

Промышленный шпионаж. Особый случай экономических мотивов, выделяемый в отдельную позицию в связи с использованием в преступных целях возможностей локальных или глобальных компьютерных сетей. Принятие указанного мотива в качестве рабочей версии связано с необходимостью выявления «дыры» в программном обеспечении, через которую открыт доступ к документам, с необходимостью установления списка похищенных (измененных) документов, а также выявления компьютеров, которые использовались для совершения преступного действия. 4.

Противодействие деятельности правоохранительных органов. Мотив имеет два возможных целевых аспекта. Первый - нарушение работоспособности вычислительных средств (систем) правоохранительных органов. Второй - преднамеренное уничтожение документов на машинных носителях информации, принадлежащих преступнику, с целью противодействия проводимому или предполагаемому расследованию. Второй случай наиболее распространен и требует применения специальных познаний для выявления (при возможности) на машинных магнитных носителях информации указанных документов (частей документов) и определения их характеристик. 5.

Исследовательский интерес. Мотив связан с наличием в свободной продаже контрафактных экземпляров программ различного, в том числе деструктивного назначения, свободным распространением подобных программ в сети Интернет, возможностью бесконтрольно устанавливать неизвестное программное обеспечение на компьютерах организации, отсутствием у пользователя компьютера навыков обращения с программами неизвестного назначения и происхождения. Возможны неумышленные действия, подпадающие под действие ст. 272, 273, 274 УК РФ. 6.

Неприязненные отношения между физическими лицами, между индивидуумом и организацией. Мотив вытекает из событий, предшествующих преступной деятельности, в которые были вовлечены лица и (или) организации.

Могут встретиться и иные мотивы, которые можно будет обобщить в дальнейшем при наличии соответствующих статистических данных.

Преступления, совершаемые в сфере экономической деятельности с использованием компьютерной техники и технологий, в зависимости от способа их совершения различны, на наш взгляд, их следует разделить на две большие группы: незаконные операции, сопряженные с неправомерным доступом в компьютерные сети; незаконные операции с использованием пластиковых карт.

С учетом указанных способов в качестве первостепенных элементов криминалистической характеристики преступлений в сфере экономической деятельности с использованием компьютерной технологии и пластиковых карточек необходимо выделить следующее: механизм следообразования и сокрытия преступлений и с ним взаимосвязанный элемент; место преступления, компьютеры; машинные носители информации как место нахождения компьютерной информации, а также средства осуществления преступной деятельности, и личность преступника.

«Следовая картина - важный элемент механизма преступной деятельности. Следовая картина отражает особенности способа, а также признаки других элементов структуры преступной деятельности»16.

Правильная криминалистическая оценка следовой картины позволяет «создать основу для наиболее быстрого распознания в первоначальных следственных данных по делу того или иного характерного способа совершения расследуемого преступления даже по отдельным признакам» . Следовая картина включает: а) локализацию (место отображения следовых картин); б) форму отображения (вещественная, документальная, идеальная); в) релевантность (относимость к событию преступления); г) информативность (количественная и качественная характеристики следовых картин)17. Выделение типичных элементов следовой картины конкретных видов криминальной деятельности имеет большое методическое значение, так как, с одной стороны, предоставляет следователю и органу дознания набор отправных точек для поиска тех или иных следов, а с другой - при обнаружении следов определенного вида обеспечивает возможность выдвижения типовой версии о расследуемом событии.

Одной из важнейших проблем для изучения следовой картины данного вида является правильное понимание местонахождения предмета преступного посягательства - компьютерной информации. Поскольку РОССИЙСКАЯ

ГОСУДАРСТВ;; ПАЙ 4,

^ БИБЛИОТЕК

законодатель определил компьютерную информацию как информацию,

расположенную на машинном носителе, в ЭВМ, системе ЭВМ или вычислительной сети, а понятие «машинные носители» ранее нами не рассматривалось, необходимо уделить ему должно внимание.

Некоторые комментаторы термина «машинный носитель» указывают, что к таковому относятся предметы, изготовленные из материала с определенными физическими свойствами, которые могут быть использованы для хранения информации и обеспечивают совместимость с устройствами записи-считывания данных. Носителями информации можно считать, по их мнению, и ЭВМ18. Другие относят к машинным носителям лишь магнитные ленты, магнитные диски, перфокарты и т. д. Третьи вообще не расценивают машинные носители как специальные объекты, рассматривая их как «приложения» к вредоносным программам3.

Одним из важнейших машинных носителей компьютерной информации является внешняя память, реализуемая на различных устройствах. В момент, когда компьютер выключен, информация в виде файлов хранится в различных устройствах внешней памяти, которые находятся в неактивном состоянии и не могут использоваться данной ЭВМ •

для манипуляции с информацией, записанной на них.

Под файлом принято понимать ограниченный объем информации, существующей физически в устройствах внешней памяти ЭВМ, системе ЭВМ или сетях ЭВМ. Все операции, производимые компьютерами, осуществляются над файлами. Для файлов, обрабатываемых ЭВМ, характерны следующие стандартные свойства: тип содержащейся в нем информации (текстовая, числовая, графическая, программный код и др.); *

1 Научно-практический комментарий к Уголовному кодексу Российской Федерации. Т. 2. М., 1997. С. 234; Комментарий к Уголовному кодексу Российской Федерации. Особенная часть / Под общ. ред. проф. Ю.И. Скуратова, В.М. Лебедева. М., 1997. С. 412 - 413.

Уголовный кодекс Российской Федерации: Постатейный комментарий. С.

582. 3

Комментарий к Уголовному кодексу Российской Федерации / Отв. ред. д-р юрид. наук., проф. А.В. Наумов. С. 666. местонахождение информации (описание места расположения на временном или постоянном носителе и указание типа носителя); наименование (символьное описание названия); размер (объем) хранимой информации (количество страниц, абзацев, строк, слов, символов или байт); имя создания, время изменения; атрибуты информации (архивная, скрытая, системная только для чтения, и др.).

Факультативными свойствами файлов может быть автор (авторы), создавший или изменявший информацию, организация, где она была создана или изменена, группа в которую включен данный файл, ключевые слова, заметки автора или редактора.

Имеются различные типы устройств долговременного хранения данных во внешней памяти компьютеров.

Другим местом нахождения компьютерной информации является оперативное запоминающее устройство (ОЗУ) и постоянное запоминающее устройство (ПЗУ). Все преобразования информации в ЭВМ и ее устройствах осуществляет центральный процессор, включающий в свой состав постоянное ОЗУ и ПЗУ. В англоязычной литературе ПЗУ называется Read-Only Memory (ROM) - «только читаемая память». В ПЗУ изготовителем процессора записаны данные и команды, обеспечивающие запуск компьютера после включения питания. Это так называемая базовая система ввода-вывода (Basic Input/Output System - BIOS). Как указывается в специальной литературе, BIOS является частью ПЗУ, которая активно используется в течение всего времени работы компьютера.

Назначение BIOS - обеспечить выполнение всех основных служебных функций, необходимых для работы компьютера, в том числе и управление периферийными устройствами компьютера, такими как экран, клавиатура и дисководы'.

При запуске компьютера (включении электропитания) в ОЗУ (или Random Access Memory - RAM) ЭВМ загружаются в определенном порядке операционная система (ОС), файлы с командами (программы) и данными пользователя. Именно, прикладные программы (программы пользователя) обеспечивает их обработку информации на ЭВМ в интересах пользователя. Последовательность и характер такой обработки задается центральным процессором (ЦП) сначала по командам операционной системы, а затем командами программ пользователя. Важно знать, что при отключении электропитания ОЗУ утрачивает свое содержание, т. е. информация в нем стирается. Устройство управления, расположенное в нем, выдает команды на электрическом уровне на различные устройства ЭВМ в соответствии с определенным решаемой задачей порядком обработки данных - управляет памятью, вводом-выводом, периферийными устройствами и др.

Фактически к моменту окончания процесса запуска ЭВМ ее ОЗУ содержит набор команд и данных, в дальнейшем при работе прикладными программами данные в виде файлов или их частей перемещаются из ОЗУ назад на внешние запоминающие устройства или направляются в блоки памяти устройств вывода либо иным пользователям компьютерной сети с помощью устройств связи. Это перемещение обусловлено либо командами операционной системы, либо командами программы пользователя, либо прямыми командами пользователя.

Сведения о том, где и какая информация хранится или какими командами обрабатывается в ОЗУ в каждый конкретный момент времени доступны опытному пользователю и при необходимости могут быть им получены немедленно с помощью стандартных инструментов, существующих, например, в операционной системе WINDOWS 95, 98 и 2000. Другое дело, что большинство пользователей не интересуются этим вопросом и не осуществляют текущего контроля за состоянием обработки информации в ОЗУ, рассматривая только конечный результат обработки своих данных. Лишь в случаях, когда нормальный процесс обработки данных перерывается или внешне необоснованно задерживается, пользователь приступает к выяснению причин возникновения критической ситуации всеми доступными ему средствами. Таким образом, находящаяся в ОЗУ информация может быть всегда индивидуально определена, так, при нахождении в ОЗУ она не теряет своих типовых свойств, местоположение и порядок ее движения в ОЗУ достаточно жестко упорядочен командами операционной системы и программ пользователя.

Таким образом, оперативное запоминающее устройство ЭВМ фактически является также машинным носителем компьютерной информации, неправомерный доступ к которой охраняется уголовным законом.

В процессе обработки информации ЭВМ ведет активный обмен данными со своими периферийными устройствами, в том числе с устройствами управления, ввода и вывода информации, которые, в свою очередь, нередко имеют собственные ОЗУ, где временно хранятся массивы информации, предназначенные для обработки этими устройствами. Примером такого устройства является, в частности, лазерный принтер, где могут стоять «в очереди» на печать несколько документов, и др.

Создание у самостоятельных компьютерных периферийных устройств собственного ОЗУ - тенденция развития их производства. Передача в такие ОЗУ порций или «страниц» информации из ОЗУ основного компьютера увеличивает его быстродействие за счет увеличения ресурсов памяти. Периферийное ОЗУ сходно с ОЗУ ЭВМ. Оно поддается контролю и управлению и, следовательно, может рассматриваться как реальный машинный носитель компьютерной информации.

Таким образом, к машинным носителям компьютерной информации относят устройства непосредственно ЭВМ, ее периферийные устройства, компьютерные и иные устройства связи, сетевые устройства и сети электросвязи.

Рассмотрим более подробно некоторые частные случаи следовых

картин для выделенных нами ранее информационных преступлений.

Следы на машинных носителях. Как отмечалось, противоправные действия с компьютерной информацией включают в себя неправомерный доступ к ней с помощью компьютерной техники (в том числе уничтожение, блокирование, модификацию либо копирование информации) и создание, использование и распространение вредоносных программ для ЭВМ. Характерной особенностью данного вида деятельности является то, что место совершения непосредственно преступных действий и место, где наблюдаются и материализуются его результаты, могут находиться на значительном расстоянии (например, в разных точках земного шара) друг от друга. При неправомерном доступе и распространении вредоносных программ, а также при нарушении правил эксплуатации ЭВМ, системы ЭВМ или их сети, следовая картина включает в себя: следы на машинных носителях, посредством которых действовал преступник на своем рабочем месте; следы на «транзитных» машинных носителях, посредством которых преступник осуществлял связь с информационными ресурсами, подвергавшимися нападению; следы на машинных носителях информационной системы, в которую осуществлен неправомерный доступ.

Следы преступной деятельности на машинных носителях, находящихся у преступника и вокруг его ЭВМ, могут быть зафиксированы в ходе расследования.

Следы изменений в файловой системе могут наблюдаться в ходе изменений непосредственно пользователем или администратором системы, при проведении следственно-оперативных мероприятий - следственными работниками, с помощью соответствующих программных средств. Результаты изменений могут быть зафиксированы на долговременный носитель специальными программно-техническими средствами контроля доступа19, а также установлены при сравнении копий, сохраненных в результате резервного копирования файлов и их структуры. Явными следами криминальных действий являются обнаруженные на конкретном машинном носителе копии «чужих» файлов, специализированное программное обеспечение, предназначенное для «взлома» систем и файлов, и др. Сходные следы могут быть обнаружены и на машинных носителях, в которые проник преступник.

Особую группу следов, могущих стать важными доказательствами по делу, образуют материалы и устройства, которые могут быть обнаружены возле ЭВМ, использующейся для преступной деятельности. Из приведенного нами перечня многие материалы могут стать как прямыми, так и косвенными данными, устанавливающими факты неправомерного доступа, изготовления и распространения вредоносных программ и др.

Признаки воздействия на информацию. Воздействия злоумышленников, направленные на проникновение в информационные системы, осуществляются прежде всего на программно-технические устройства: управления связью с другими пользователями; управления устройствами ЭВМ; управления файлами (копирование, удаление, модификация).

Именно устройства управления связью с другими пользователями являются «воротами», открыв которые можно получить доступ к компьютерной информации. Распространены попытки несанкционированного входа в систему путем проверки всех телефонных номеров организации для определения места присоединения модема или создание специальной программы, автоматически подбирающей код входа в систему. Такая программа, перебирая возможные варианты, «дозванивается» до входа в систему.

Первичное обнаружение признаков неправомерных действий с компьютерами и информацией посторонними лицами осуществляется, как правило, специалистами и пользователями, работающими с конкретными ЭВМ. Косвенными признаками постороннего вмешательства в работу ЭВМ и доступа к информации, вызывающими подозрения, являются:

изменения заданной в предпоследнем сеансе работы с ЭВМ структуры файловой системы - переименование каталогов и файлов, изменения размеров и содержимого файлов, изменения стандартных реквизитов файлов, появление новых каталогов и файлов и т. п.;

изменения в заданной ранее конфигурации компьютера20 - изменение картинки и цвета экрана при включении, изменение порядка взаимодействия с периферийными устройствами (например, принтером, модемом и т. п.), появление новых и удаление прежних сетевых устройств и др.;

необычные проявления в работе ЭВМ - замедленная или неправильная загрузка операционной системы, замедление реакции машины на ввод с клавиатуры, замедление работы машины с дисковыми устройствами (загрузка и запись информации), неадекватные реакции ЭВМ на команды пользователя, появление на экране нестандартных символов и т. п.

Признаки действия вредоносных программ. Вызываемые вредоносными программами (ВП) эффекты могут быть классифицированы по следующим основным категориям:

отказ компьютера от выполнения стандартной функции;

выполнение компьютером действий, не предусмотренных программой;

разрушение отдельных файлов, управляющих блоков и программ, а иногда и всей файловой системы (в том числе путем стирания файла, форматирования диска, стирания таблицы расположения файлов

и др.);

выдача ложных, раздражающих, неприличных или отвлекающих

сообщений;

создание посторонних звуковых и визуальных эффектов; инициирование ошибок или сбоев в программе или операционной системе, перезагрузка или «зависание» программ или систем; блокирование доступа к системным ресурсам; имитация сбоев внутренних и периферийных аппаратных устройств;

ускорение износа оборудования или попытки его порчи.

При возникновении «вирусных» проблем с отдельной ЭВМ, входящей в состав сети, администратор сети обычно пытается локализовать эту ЭВМ с целью недопущения распространения ВП по сети, выявления и ликвидации этой ВП. Одновременно осуществляется поиск источника проникновения ВП в ЭВМ. Наиболее частый случай проникновения «вируса» в систему - работа пользователя с инфицированными дискетами, поэтому адекватной реакцией администратора системы является физическое прекращение работы всех пользователей системы с дисководами и требование о проверке всех пользовательских дискет. Иногда последнее действие дает результат, и по пояснениям добросовестного пользователя, принесшего инфицированную «вирусом» дискету, удается установить, где именно произошло заражение. Учитывая, что с помощью специальных «антивирусных» программ ВП идентифицируются, т. е. устанавливается тип, а иногда и наименование ВП, в дальнейшем имеется абстрактная возможность проследить шаг за шагом пути его «доставки» в конкретную ЭВМ.

В случаях «вирусной атаки» следует различать последствия этой атаки и действий по ее отражению. Обычно в подобных случаях используются антивирусные программы, подразделяющиеся на следующие:

«детекторы» - программы, определяющие, заражена ли программа тем или иным вирусом;

«ревизоры» - программы, определяющие, внесены ли какие-либо изменения в текст программы или нет;

«фаги» - программы, вырезающие компьютерные вирусы из зараженных программ;

«вакцины» - программы, делающие компьютер в целом или отдельные программы невосприимчивыми к тому или иному типу компьютерного вируса;

«сторожа» - программы, выявляющие попытки выполнить «незаконные» операции с файлами.

Действия с коммуникационным оборудованием. Коммуникационные преступления и противоправные действия с информационным оборудованием - наименее изученные в России виды криминальной деятельности. Противоправные действия и области телекоммуникаций включают в себя действия по незаконному получению информации с технических и радиотехнических средств связи.

Коммуникационные преступления могут включать: противоправные действия по прослушиванию и приборной фиксации информации в виде акустических сигналов - телефонных переговоров и иных сообщений (радиообмен, пейджинговые, радио, модемные, перехват информации с иных каналов связи), а также усиление сигнала на выходе, его фильтрация и иные специальные методы обработки;

противоправные действия по визуальному наблюдению и приборное документирование его результатов, в том числе увеличение, уменьшение, наблюдение в условиях плохой видимости и иные специфические методы наблюдения;

противоправные действия по перехвату и регистрация информации в виде электромагнитных колебаний с технических каналов и аппаратов связи;

противоправный приборный контроль почтовых сообщений и отправлений.

Этот, возможно, неполный обобщенный перечень преступных действий получил широкое распространение, однако в силу определенных вышеупомянутых исторических, политических и экономических причин не нашел адекватного отражения в следственной и судебной практике. О распространенности данного явления в России пока свидетельствует только пресса.

Способом совершения преступлений данной разновидности является неправомерные сбор, поиск, накопление и хранение конфиденциальной информации, которая может относиться к разряду различных тайн, в том числе к личной конфиденциальной информации, конфиденциальной информации юридических лиц, государственной конфиденциальной информации. Указанные действия реализуются с помощью специально приспособленных или адаптированных для преступных целей технических средств.

Для осуществления действий по перехвату информации применяются: средства акустического контроля (в том числе направленные, резонансные, лазерные и иные микрофоны, радиозакладки и т. д.); устройства перехвата телефонных сообщений; устройства перехвата радиосообщений; системы и устройства видеоконтроля21.

Перехваченная информация может анализироваться, группироваться и храниться с использованием специализированного программного обеспечения, установленного на ЭВМ или технических средствах звукозаписи.

Известные факты свидетельствуют, что преступная деятельность подобного рода осуществляется лицами, имеющими профессиональные навыки работы с информационной техникой, нередко прошедших специальное обучение. В литературе отмечалось, что шансы противодействующих друг другу сторон по нейтрализации усилий каждой из них (органы уголовной юстиции и профессиональная криминальная среда) в современных условиях практически уравновесились. Данная деятельность осуществляется, как правило, из корыстных побуждений, поскольку информация, являясь товаром, имеет высокую ценность. Так, у задержанного ФСБ Феофанова была обнаружена аппаратура для перехвата и обработки пейджинговых сообщений, позволяющая обрабатывать до 4 тыс. сообщений в час. За каждый поставленный на контроль номер Феофанову платили до 300 дол.22

Изъятие информации имеет весьма важные и специфические особенности. В тех случаях, когда эта информация в момент изъятия содержалась в линиях электросвязи или в физических полях, в которых сведения, составляющие тайну, находят свое отображение в виде символов, образов, сигналов, технических решений и процессов, доказательством действий по ее изъятию в том виде, в котором эта информация была включена в информационные процессы собственником, будут являться лишь копии этой информации, обнаруженные у преступника в ходе расследования. Подтверждением факта изъятия информации будет являться и специальная аппаратура, с помощью которой могло быть осуществлено изъятие.

Важной проблемой является также и оценка в процессе расследования значения полученной в ходе преступной деятельности аналитической информации. Речь идет о выводах, которые могли быть сделаны на основе анализа полученной информации. Представим себе, что полученные неправомерно данные не носят сами по себе характера конфиденциальных. Однако их анализ в совокупности создает новое знание, которое, безусловно, является для собственника данных конфиденциальным. Такими данными могут быть, например, сведения об отдельных статьях баланса банка. Собранные в совокупности и предоставленные гласности они могут составлять банковскую тайну, разглашение которой

может нанести крупный ущерб их собственнику.

Трудным вопросом в ходе расследования, не решаемым без участия специалистов и экспертов, является отнесение конкретного технического средства к категории устройств, обеспечивающих возможность изъятия информации. Поскольку описания и назначения таких устройств не слишком широко известны, криминалистической практике важна проблема их выявления, «опознания» и изъятия в ходе проведения соответствующих следственных действий. Представляется, что при производстве расследования данной разновидности преступлений можно использовать отдельные элементы тактики проведения следственных действий, описанные в разделе о расследовании преступлений в области компьютерной информации.

Противоправные действия с иным информационным оборудованием. Противоправные действия с информационным оборудованием включают в себя нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети, изготовление в целях сбыта или сбыт поддельных кредитных либо расчетных карт, когда карты обеспечивают неправомерный доступ к информационному оборудованию), незаконные производство, сбыт или приобретение в целях сбыта специальных технических средств, предназначенных для негласного получения информации; «телефонное мошенничество».

О распространенности конкретных общественно опасных действий с кредитными карточками свидетельствуют данные, полученные из следственной, судебной и оперативно-розыскной практики:

преступные действия с утраченными и похищенными карточками составляют 72,2%;

преступные действия с поддельными карточками - 20,5%; преступные действия с карточками, не полученными законным держателем - 2,8%;

преступные действия с использованием счета - 1,4%;

другие формы преступных действий - 1,4%.

Если проанализировать соотношение преступных действий с кредитными карточками по сервисным предприятиям, то выясняется, что чаще всего совершается мошенничество через рестораны - 26,4%; отели (мотели) - 25%; магазины - 20,7%; бары - 10,6%; телефонные услуги - 7,4%, т. е. предприятия коммерческой сети, обслуживающие пластиковые карточки.

Судебная и следственная практика показывает, что существует несколько разновидностей таких действий: установка телефона на основе ложной информации о его владельце с целью получения необходимого сервиса без оплаты; кража и подделка телефонных карточек, обеспечивающих безвозмездное получение услуг телефонной связи; неправомерное получение кодов доступа к телефонным линиям с целью бесплатного получения услуг телефонной связи; перекодирование сотовых телефонов для бесплатного получения услуг связи; неправомерное получение серийных и идентификационных номеров сотовых телефонов для невозможности их идентификации и бесплатного получения услуг связи.

Для «телефонного мошенничества» характерно, что преступные манипуляции с данной техникой часто совершаются вместе с преступлениями в области компьютерной информации. Дальнейшее развитие мобильной телефонной связи обеспечивает лицам, осуществляющим криминальную деятельность с использованием ЭВМ, возможности эффективного доступа к чужим информационным ресурсам. Имея «перекодированный» мобильный телефон, преступник может рассчитывать на анонимность и сравнительно беспрепятственно с минимальными затратами получать доступ к компьютерной информации практически без ограничения расстояния.

Основные способы совершения хищений с использованием пластиковых карт. В самом общем виде можно выделить дня способа совершения хищений с использованием пластиковых карт: использование подлинных карт и поддельных карт.

Внутри данных способов существуют определенные разновидности, в значительной степени влияющие на предмет показывания по уголовному делу. Подлинные карты могут быть использованы для хищения в следующих случаях: использование найденной или украденной карты для оплаты товаров или услуг либо для получения наличных денег в банкоматах; получение в кредитном учреждении пластиковой карточки по подложным документам с последующим невозвращением перерасходованных средств.

Указанные способы удобны для преступников тем, что им не надо устанавливать идентификационные данные карты (номер, имя владельца). Вместе с тем для получения кредитной карты в банке необходим первоначальный капитал. Возникает необходимость изготовления подложных или поддельных документов, отработки подписи лиц, на чье имя она открыт, поэтому данные обстоятельства включаются в предмет дока-зывания по уголовному делу.

С криминалистической точки зрения характеристику личности компьютерного преступника целесообразно разделить на три обособленные группы. К первой группе можно отнести лиц, отличительной особенностью которых является устойчивое сочетание профессионализма в области компьютерной техники и программирования с элементами своеобразного фанатизма и изобретательности. Эти субъекты воспринимают средства компьютерной техники как своеобразный вызов их творческим и профессиональным знаниям, умениям и навыкам. К первой группе преступников близко примыкает вторая, включающая лиц, которые страдают новым видом психических заболеваний - информационными или компьютерными фобиями. Компьютерные преступления, совершаемые ими, в основном связаны с преступными действиями, направленными на физическое уничтожение либо повреждение средств компьютерной техники (СКТ) без наличия преступного умысла, с частичной или полной потерей контроля над своими действиями. Третью группу составляют профессиональные «компьютерные» преступники с ярко выраженными корыстными целями. Именно эта группа представляет собой основную угрозу для общества, является кадровым ядром компьютерной преступности как в качественном, так и количественном отношени.

Наиболее распространенными мотивами совершения компьютерных преступлении являются: корыстные соображения (совершаются в основном преступниками третьей группы); исследовательский интерес (в основном преступниками первой группы); хулиганское побуждение (преступниками первой и второй группы); месть (совершаются в основном преступниками второй группы).

Компьютерные преступления представляют собой серьезную угрозу для любой располагающей компьютерной техникой организации. Так, в результате вывода из строя электронно-вычислительной системы при возникновении нештатной технической ситуации или совершении преступления самый крупный банк может быть полностью разорен за несколько суток, а более мелкое учреждение - за сутки.

Между тем количество зарегистрированных «компьютерных» преступлений мало, что объясняется их высокой латентностью. Многие организации предпочитают ограничиваться разрешением конфликта своими силами, поскольку убытки от расследования могут оказаться выше суммы причиненного ущерба (изъятие файлового сервера для проведения экспертизы может привести к остановке работы на срок до двух месяцев, что не приемлемо ни для одной организации.). Их руководители опасаются подрыва своего авторитета в деловых кругах, и, в результате, потери большого числа клиентов. Так, в 1997 г. в России возбуждено всего 17 уголовных дел о преступлениях в сфере компьютерной информации, а 2001 г. - 41.

Специалисты отмечают также некомпетентность сотрудников правоохранительных органов в установлении самого факта компьютерного преступления, его раскрытия и расследования. Таким образом, особое значение приобретает не только сам процесс расследования, но и профилактика и предупреждение данного вида преступлений.

Следы как источник информации о преступнике и его действиях при совершении преступления составляют самостоятельную категорию объектов криминалистической идентификации1. Разрабатывая общую классификацию следов и классификацию признаков, отображающихся в следе при различных сочетаниях следообразующих и следовоспринимающих объектов, отечественные ученые создали криминалистическое учение о механизме следообразования, теоретические положения которого достаточно подробно описаны в криминалистической литературе2. Особая роль в разработке проблем следообразования принадлежит таким ученым, как P.C. Белкин, Г.Л. Грановский, Б.Н. Ермоленко, С.М. Потапов, С.И. Поташник, Ф.П. Сова, Б.И. Шевченко и др.

В отличие от привычных криминалистических объектов, средой существования документов на машинных магнитных носителях информации является файловая структура, созданная с помощью системного программного обеспечения и подчиняющаяся заранее известным алгоритмам взаимодействия информационных объектов. Формой существования этих документов является особый информационный объект -

1 См.: Колдин В.Я. Идентификация и ее роль в установлении истины по уголовным делам. М.: МГУ, 1975; Шевченко Б.И. Теоретические основы трасологической идентификации в криминалистике. М.: МГУ, 1975; Колдин В.Я. Идентификация при расследовании преступлений. М.: Юрид. лит-ра, 1978; Белкин P.C. Курс криминалистики: В 3 т. Т. 2: Частные криминалистические теории. М.: Юристъ, 1997 и др.

См.: Шевченко Б.И. Научные основы современной трасологии. М., 1947; Грановский Г.Л. Основы трасологии. М., 1974; Железняк A.C. Материальные следы - важнейший источник криминалистической информации. Омск: ОВШ МВД СССР, 1975; Крылов И.Ф. Криминалистическое учение о следах. Л., 1976; Белкин P.C. Курс криминалистики: В 3 т. Т. 2: Частные криминалистические теории. М.: Юристъ, 1997. С. 50 - 80; Белкин Р. С. Криминалистическая энциклопедия. М.: БЕК, 1997. С. 201 -204 и др.

файл, который имеет фиксированную структуру (формат) и криминалистически значимые характеристики, поддерживаемые операционной системой. При этом как формат файла, так и его характеристики, отражают особенности создания информационного объекта и последующих воздействий на него. Существенной особенностью работы компьютерных программ является, как правило, такое их воздействие на содержимое файла (документа), формат файла и его характеристики, при котором информация о воздействии не сохраняется в воздействовавшей на файл программе. Однако в отдельных случаях такая информация может явно или латентно сохраняться.

Гносеологическое содержание понятия следа преступления при рассмотрении преступлений с использованием документов на машинных магнитных носителях информации сохраняется неизменным: следом преступления является любое изменение среды (файловой системы), связанное с событием преступления. Поскольку файловая система представляет собой совокупность особых информационных единиц - файлов, специальных служебных таблиц (каталогов, таблицы разделов, загрузочных записей, таблиц размещения файлов) и кластеров - эти изменения могут выражаться в изменении местоположения и содержимого файлов, изменении формата и(или) характеристик файлов, создании или удалении файлов, изменении содержимого специальных служебных таблиц (каталогов, таблицы разделов, загрузочных записей, таблиц размещения файлов), изменении состояния кластеров. При таком подходе нам импонирует научная точка зрения В.В. Сорокина, определяющего след как «всевозможные материальные изменения в окружающей обстановке, связанные с совершенным преступлением. Эти изменения могут выражаться в перемещении предметов или веществ, отсутствии или наличии их в определенном месте, потере или приобретении каких-либо

свойств»23.

Применительно к объектам материального мира термин «следо- отображение» имеет свою специфику: его принято определять в основном как отображение на одном материальном объекте внешнего строе- ния другого материального объекта , обнаруживаемое визуально (непосредственно) либо опосредовано, с помощью технических средств. Результат взаимодействия определяется по наблюдаемой разнице между двумя состояниями одного и того же объекта (физическим, химическим, биологическим и т. п.) При этом собственно акт отражения, хотя в целом и подчиняется детерминированным физическим законам, в деталях носит случайный характер. Благодаря значительной вероятностной составляющей, полнота, форма и особенности отражения в следе признаков внешнего строения объекта носят во многом случайный характер, что предопределяет, например, невозможность точного, до мельчайших деталей, воссоздания модели акта отражения.

Вовлеченные в событие преступления информационные объекты на машинных носителях лишены такой характеристики, как «внешнее строение». Подразделяясь на активные и пассивные (программы и данные соответственно), они взаимодействуют по алгоритмам, заложенным в активные объекты - компьютерные программы. Алгоритм компьютерных программ, являясь полностью детерминированным, определяет как характер и детали изменений, вносимых в документы на машинных магнитных носителях информации при воздействии на них, так и характер и детали изменений, вносимых собственные данные программы. В этом смысле формат содержит иные особенности файла, которые в любой момент времени определяются суммой предыдущих воздействий программ на файл, и являются своеобразным отображением особенностей

алгоритмов этих программ.

В настоящее время наиболее актуальна проблема сбора эмпирических данных о следах, связанных с информационными взаимодействиями в разных файловых системах, решение которой позволит существенным образом дополнить существующую классификацию следов и признаков. Вместе с тем, рассматривая файловую систему FAT, работающую под управлением операционных систем DOS, WINDOWS 95 и выше, можно выстроить несколько классификаций следов-отображений, связанных с информационными взаимодействиями.

По местоположению эти следы можно подразделить на следы в системных областях файловой системы, файлах, следы в кластерах.

Следы в системных областях файловой системы подразделяются на следы в каталогах, в таблице разделов, загрузочных записях, следы в таблицах размещения файлов.

Следы в файлах подразделяются по статусу файлов в системе на следы в файлах программ; следы в файлах данных.

Следы в файлах данных подразделяются по статусу файлов данных на следы в файлах настроек программ и в файлах документов.

Следы в кластерах подразделяются по статусу кластеров в системе на следы в «свободных» («unused») кластерах, в «потерянных» («unassigned») кластерах и следы в «зазорах» («slack») кластеров.

По механизму инициации изменений следы можно подразделить на следы, инициированные пользователем, и следы, инициированные программой.

По правомочности действий объекта (субъекта), вносящего изменения, следы можно подразделить на следы правомочных действий и следы неправомочных действий.

По сложности взаимодействия объектов следы можно подразделить на следы простого взаимодействия, следы комплексного взаимодействия.

Следы в системных областях файловой системы (каталогах, таблице разделов, загрузочных записях, таблицах размещения файлов) имеют следующие особенности.

Следы в каталогах возникают при удалении файла пользователем с помощью программ, а также при деструктивных действиях, инициируемых вредоносными программами, в результате чего имя файла исчезает из всех служебных программ и доступ к файлу обычным путем становится невозможен.

Алгоритм образования следов при удалении файла следующий: первому символу имени удаляемого файла в соответствующем элементе каталога присваивается шестнадцатеричное значение «Е5»;

все остальные компоненты элемента каталога, относящиеся к удаляемому файлу, остаются неизменными (временные характеристики файла, атрибуты файла, адрес первого кластера файла, размер файла);

в таблице размещения - файлов (FAT) элементам, соответствующим номерам занятых под файл кластеров, присваивается шестнадцатеричное значение «00», что означает придание кластерам признака «свободный» («unused»);

содержимое кластеров, входящих в указанную цепочку, не изменяется до тех пор, пока данные кластеры не будут фактически использованы для записи новых файлов.

Поскольку для записи новых файлов в первую очередь используются свободные кластеры с текущим минимальным номером, часто на практике возникает ситуация, когда состояние удаленного файла в течение некоторого времени сохраняется неизменным и позволяет с помощью системных программ изменить первый символ имени «удаленного» файла с шестнадцатеричного «Е5» на любой другой, что вновь делает файл доступным для обычной работы с ним.

С учетом действующего при удалении файла механизма изменения файловой системы можно выделить следующие состояния файла: 1.

Файл принадлежит файловой системе. Доступ к файлу, просмотр содержимого и характеристик файла возможен обычным путем. 2.

Файл удален, освободившийся элемент каталога сохранился, кластеры в цепочке кластеров файла не переписаны. Доступ к файлу обычным путем невозможен. Доступ к информации сохранившегося элемента каталога возможен с помощью специализированных программ типа Diskedit, входящей в пакет программ Norton Utilities. В связи с отсутствием специализированных программ, позволяющих просматривать содержимое файлов по кластерам (секторам) с учетом формата файла, просмотр содержимого файла носит нетривиальный характер и требует использования специальных знаний. Возможно восстановление файла и последующее обеспечение доступа к нему обычным порядком. 3.

Файл удален, освободившийся элемент каталога сохранился, кластеры в цепочке кластеров файла частично переписаны информацией другого файла. Доступ к информации сохранившегося элемента каталога возможен, как и в п. 2. Возможна «ручная» сборка файла из сохранившихся кластеров с потерей информации переписанных кластеров, которую позволяют провести программы типа Unerase, входящей в пакет программ Norton Utilities. 4.

Файл удален, освободившийся элемент каталога не сохранился, возможно чтение информации из потерянных и свободных кластеров на содержательном уровне без привязки к конкретному файлу.

Следы в таблице разделов возникают при преднамеренном воспрепятствовании со стороны пользователя доступу к файловой системе, расположенной в разделе, либо при деструктивных действиях, инициируемых вредоносными программами, в результате чего раздел носителя становится недоступным, однако файловая система в нем полностью сохранена. Используя сведения о физических адресах иных разделов и параметрах машинного магнитного носителя информации, возможно реконструировать содержание поврежденного элемента таблицы разделов

и получить доступ к документам, расположенным в этом разделе.

Следы в загрузочных записях возникают при преднамеренном воспрепятствовании со стороны пользователя доступу к логическому диску либо при деструктивных действиях, инициируемых вредоносными программами, в результате чего программы чтения информации получают ложную информацию о физических параметрах логического диска, что вызывает неправильное чтение кластеров и неправильное отождествление их с файлами. Файловая система логического диска полностью сохранена. Возможна реконструкция загрузочной записи и получение свободного доступа к документам, расположенным на логическом диске.

Следы в таблице размещения файлов возникают при модификации пользователем файловой системы, преднамеренном воспрепятствовании со стороны пользователя доступу к отдельным файлам, деструктивных действиях, инициируемых вредоносными программами, нестабильных режимах работы компьютера (например, выключении питания при работе некоторых служебных программ). В результате подобных действий может быть нарушен доступ к файлам, информация о кластерах которых инфицирована в таблице размещения файлов, и следовая картина будет характеризоваться наличием «потерянных» («unassigned») кластеров.

Следы в файлах программ и данных имеют следующие особенности.

Следы в файлах программ возникают при модификации пользователем либо вредоносными программами тела программы с целью изменения ее алгоритма и придания ей свойств, первоначально не предусмотренных разработчиком (автором) программы. Место внесения изменений можно определить при побитовом сравнении модифицированного и немодифицированного экземпляра программы. Характер изменения алгоритма и свойств программы можно определить, проведя дизассемблирование (преобразование в исходные коды команд языка программирования) модифицированного экземпляра программы и анализ измененного (добавленного) участка тела программы. Приближенно решить указанную задачу можно путем тестирования модифицированного экземпляра программы в различных режимах работы.

Кроме того, следы в файлах программ возникают вследствие реализации при ее работе функций, заложенных в программу разработчиком (автором). Например, при использовании функции поиска файлов по маске или тексту в программе DOS Navigator и большинстве аналогичных программ предусмотрено сохранение истории ввода критериев поиска; при работе с документами с помощью текстовых редакторов под управлением операционной системы Windows предусмотрено сохранение истории загружаемых файлов документов. Данные особенности программ могут быть использованы в криминалистических целях.

Следы в файлах настроек программ возникают при изменении конфигурации программы или операционной системы пользователем либо вредоносными программами. Файлы настроек программ нередко имеют стандартные расширения «ini», «cfg», «dat», являются текстовыми файлами, в которых значения параметров настроек указываются в символьном виде и описаны в документации на программу. Многие файлы настроек содержат указание не только на текущие настройки программы, но и на текущие настройки аппаратного обеспечения, с которым связана работа данной программы. Примером наиболее известных файлов настроек программ являются файлы «user.da» и «system, dat», знакомые пользователям программы Windows 95 под термином «реестр Windows 95».

Следы в файлах документов возникают при создании (модификации) пользователем либо вредоносными программами документов на машинных магнитных носителях информации. Поскольку файлы документов характеризуются содержанием (смысловой аспект) и форматом (программный аспект), следом может являться как изменение содержания, так и изменение формата файла документа. Особым случаем следа в файлах документов является модификация имеющихся в теле документа макрокоманд, которая скрытно производится вредоносными программами с деструктивными целями. Характерным примером этого являются следы заражения файлов документов текстового редактора Word для Windows вредоносной программой «Macro.Word.Cap», модифицирующей в теле документа макрокоманды открытия и закрытия документа.

Рассматривая следы в кластерах, необходимо раскрыть содержание терминов «свободный», «потерянный» кластер, «зазор» кластера.

Поскольку компьютерный файл записывается на магнитный машинный носитель информации с помощью кластеров, возможно, не смежных дуг другу, термином «полный кластер файла» будем обозначать кластеры, все пространство которых заполнено информацией текущего файла. Изложенное относится ко всем кластерам файла, входящим в цепочку, за исключением последнего кластера. В связи с тем, что содержимое файла доступно пользователю стандартным путем, необходимости анализировать следы в отдельных полных кластерах файла нет необходимости.

Поскольку компьютерный файл записывается на магнитный машинный носитель информации только с помощью целого числа кластеров, его длинна может быть не кратной границе последнего кластера, вследствие чего последний кластер файла, как правило, имеет «зазор» («slack») между последним битом файла и границей кластера. Этот «зазор» является частью содержимого другого файла, ранее существовавшего в системе, но впоследствии удаленного.

Следы в кластерах имеют следующие особенности.

Следы в «свободных» кластерах возникают при удалении файлов по инициативе пользователя или программ с деструктивными целями или в рабочем порядке при сокрытии пользователем информации с помощью подобного типа кластеров. При анализе таблицы размещения файлов «свободные» кластеры должны быть учтены, поскольку могут содержать информацию файлов, преднамеренно уничтоженных пользователем.

Поскольку любой кластер в системе либо числится «свободным», либо принадлежит цепочке кластеров некоторого файла, то любой иной статус кластера при нормальной работе программ и операционной системы невозможен. Однако существуют ситуации, которые могут приводить к тому, что некоторые кластеры не числятся среди «свободных» и одновременно не входят ни в одну цепочку кластеров. Такие кластеры называются «потерянными».

Следы в «потерянных» кластерах возникают при сбоях в работе программ, деструктивных действиях вредоносных программ и пользователей. Для исследования подобных следов необходимо вначале выявить «потерянные» кластеры с помощью специализированного программного обеспечения (например, программы Disk Doctor из пакета программ Norton Utilities), затем просмотреть содержимое таких кластеров с помощью специальных программ.

Следы в «зазорах» кластеров являются результатом особенностей функционирования операционной системы, среди следов в иных типах кластеров наиболее защищены от повреждений (существуют пока существует текущий файл) и являются наиболее информативными, так как есть возможность определения временных характеристик файла, к которому ранее принадлежал кластер. Поскольку рассматриваемый кластер был переписан существующим файлом, то дату и время создания файла, содержимое которого сохранилось в «зазоре», можно определить как предшествующее дате и времени текущего файла.

При работе операционной системы с файлами кластеры то выделяются для записи очередного файла, то высвобождаются при его удалении. При высвобождении кластера соответствующий элемент таблицы размещения файлов помечается шестнадцатеричным кодом «О» - признак «свободного» кластера.

Следы, инициированные пользователем, программой, имеют следующие особенности.

Следы, инициированные пользователем, возникают при любых модификациях файловой системы или отдельного файла по команде пользователя. Как правило, требуется специальное исследование для доказательства того, что имеющийся след был инициирован пользователем. В некоторых случаях подобный вывод очевиден (например, создан файл с именем, отражающим участие пользователя в создании файла).

Следы, инициированные программой, возникают при любых модификациях файловой системы или отдельного файла вследствие автоматической реализации некоторой программой заложенных в нее функций при наступлении определенных условий. Например, установка параметра «автосохранение каждые 15 минут» в настройках текстового редактора Word для Windows приведет к появлению последовательности сохраненных файлов (в том числе среди удаленных) с временными характеристиками, различающимися ровно на 15 минут.

Функционирование программного обеспечения под управлением операционной системы, особенности работы программ, функциональное предназначение программ и документов накладывает определенные ограничения на работу пользователя с документами и программами, а также на выполнение некоторых программ. Многие действия в рамках файловой системы возложены на строго определенные компоненты операционной системы, так как могут привести к нарушению сложного взаимодействия элементов файловой системы. Однако в рамках файловой системы DOS и Windows 95 и выше существует много возможностей вмешательства в структуру системы и нарушения нормального режима работы программ.

В этом смысле любые действия, инициируемые пользователем или программами, могут рассматриваться как правомочные или неправомочные с точки зрения выполнения действующих программнотехнических ограничений и соглашений.

Следы правомочных действий возникают при условии соблюдения пользователем активной программой действующих программнотехнических ограничений и соглашений, указанные действия могут носить деструктивный характер в пределах полномочий субъекта, инициирующего эти действия. Примеры следов правомочных действий: изменение пользователем содержимого файла при корректировке своего документа, автоматическое удаление кода вируса из тела программы программой-монитором.

Если условия, перечисленные выше, нарушаются, следы информационных взаимодействий действий являются следами неправомочных действий. Примеры следов неправомочных действий: удаление пользователем информации из таблицы разделов, внедрение вредоносной программой кода вируса в тело программы.

Некоторые виды следов являются результатом простого или комплексного взаимодействия программ, элементов файловой системы, пользователя. Например, при работе пользователя с любыми документами при помощи программ, работающих под управлением операционной системы Windows 95 и выше, данная операционная система создает в системном каталоге Recent файлы с расширением «Ink», имена которых совпадают с именами пользовательских файлов, временные характеристики указывают на дату и последней работы с документами, а содержимое хранит информацию о местоположении файлов документов. Все это позволяет восстановить хронологию работы пользователя с документами на данном компьютере, а также восстановить полностью или частично файлы документов, если они были преднамеренно удалены пользователем.

Таким образом, следы комплексного взаимодействия возникают при взаимодействии программ, элементов файловой системы, пользователя, результатом чего является наличие разнородных изменений в файловой системе, программах и данных.

Следы простого взаимодействия носят однородный характер независимо от масштаба произведенных изменений. Примеры следов простого «взаимодействия» удаление элементов описания файлов в каталоге при удалении каталога, внедрение вредоносной программой тела макровируса во все файлы документов на магнитном машинном носителе информации.

Разработка классификаций следов-отображений, связанных с информационными взаимодействиями, и рассмотрение особенностей этих следов позволяет сделать следующие выводы. 1.

Следы, связанные с информационными взаимодействиями, имеют криминалистическую значимость и могут использоваться для выяснения истины по делу в случае, если при совершении преступления использовалась компьютерная техника. 2.

Механизм образования следов, связанных с информационными взаимодействиями, базируется на закономерностях функционирования конкретной файловой системы, программ и требует дальнейшего изучения применительно к файловым системам FAT 16 (операционные системы DOS, Windows 95 и выше), FAT 32 (операционные системы WINDOWS 95 и выше), NTFS (операционная система WINDOWS NT), иным файловым системами, а также применительно к вновь появляющимся системным и прикладным программам 3.

Документы на машинных магнитных носителях информации являются новым криминалистическим объектом, обладающим особыми свойствами, не позволяющими применить к данным объектам имеющиеся определения следа и разработанные классификации следов. 4.

Разработанные классификации следов-отображений и выявленные особенности этих следов могут быть положены в основу криминалистических методик экспертного исследования документов и иной информации на магнитных носителях.

<< | >>
Источник: Тлиш, Арсен Даурович. Проблемы методики расследования преступлений в сфере экономической деятельности, совершаемых с использованием компьютерных технологий и пластиковых карт [Электронный ресурс]: Дис. ... канд. юрид. наук : 12.00.09 .-М.: РГБ, (Из фондов. 2002

Еще по теме § 1. Криминалистическая характеристика преступлений в сфере экономической деятельности, совершаемых с использованием компьютерных и иных технологий:

  1. ГЛАВА 1. КРИМИНАЛИСТИЧЕСКАЯ ХАРАКТЕРИСТИКА ПРЕСТУПЛЕНИЙ В СФЕРЕ ЭКОНОМИЧЕСКОЙ ДЕЯТЕЛЬНОСТИ, СОВЕРШАЕМЫХ С ИСПОЛЬЗОВАНИЕМ КОМПЬЮТЕРНЫХ И ИНЫХ ТЕХНОЛОГИЙ, И ИХ ЗНАЧЕНИЕ В ВОЗБУЖДЕ НИИ УГОЛОВНОГО ДЕЛА
  2. ГЛАВА 2. ОСОБЕННОСТИ ПРОИЗВОДСТВА ОСНОВНЫХ СЛЕДСТВЕННЫХ ДЕЙСТВИЙ НА ПЕРВОНАЧАЛЬНОМ ЭТАПЕ РАССЛЕДОВАНИЯ ПРЕСТУПЛЕНИЙ В СФЕРЕ ЭКОНОМИЧЕСКОЙ ДЕЯТЕЛЬНОСТИ, СОВЕРШАЕМЫХ С ИСПОЛЬЗОВАНИЕМ НОВЫХ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ КОМПЬЮТЕРНОЙ ТЕХНИКИ И ПЛАСТИКОВЫХ КАРТ
  3. Тлиш, Арсен Даурович. Проблемы методики расследования преступлений в сфере экономической деятельности, совершаемых с использованием компьютерных технологий и пластиковых карт [Электронный ресурс]: Дис. ... канд. юрид. наук : 12.00.09 .-М.: РГБ, (Из фондов, 2002
  4. 1. Криминалистическая характеристика преступлений в сфере компьютерной информации
  5. Особенности криминалистической характеристики преступлений, совершаемых ранее судимыми лицами
  6. § 1. Криминалистическая характеристика преступлений в области компьютерной информации
  7. § 1. Общая характеристика преступлений в сфере экономической деятельности. Понятие и виды
  8. § 2. Юридическая характеристика отдельных составов преступлений в сфере компьютерной информации
  9. § 1. Криминалистическая характеристика убийств, совершаемых наемными лицами
  10. Глава 2 Учение о способе преступления. Криминалистическая характеристика преступлений
  11. § 1. Понятие преступлений в сфере компьютерной информации
  12. Глава 22. ПРЕСТУПЛЕНИЯ В СФЕРЕ ЭКОНОМИЧЕСКОЙ ДЕЯТЕЛЬНОСТИ
  13. Глава 8. ПРЕСТУПЛЕНИЯ В СФЕРЕ ЭКОНОМИЧЕСКОЙ ДЕЯТЕЛЬНОСТИ
- Право интеллектуальной собственности - Авторсое право - Административный процесс - Арбитражный процесс - Гражданский процесс - Гражданское право - Жилищное право - Зарубежное право - Защита прав потребителей - Избирательное право - Инвестиционное право - Информационное право - Исполнительное производство - История государства и права - Коммерческое право - Конституционное право России - Криминалистика - Криминология - Международное право - Муниципальное право - Налоговое право - Нотариат - Оперативно-розыскная деятельность - Права человека - Право Европейского Союза - Право социального обеспечения - Правовая статистика - Правоведение - Правоохранительные органы - Правоприменительная практика - Предпринимательское право - Семейное право - Страховое право - Теория права - Трудовое право‎ - Уголовное право России - Уголовный процесс - Финансовое право - Хозяйственное право - Экологическое право‎ - Экономические преступления - Юридическая этика - Юридические лица -