Продолжим изложение ошибок следствия по компьютерным преступлениям, допускаемых в случае работы без помощи инструкций и сертифицированных экспертов. И попутное описание средств, которыми этих ошибок можно избежать. Остановились мы с вами на «Правиле не допуска к компьютеру других лиц и средствах защиты в этом случае». А вот и следующее правило для точного проведения КТЭ – компьютерно-технической экспертизы:
Специальная проверка техники на программные закладки и вирусы
Как обойти специальные защиты, которые могут уничтожить информацию, модифицировать ее или усложнить допуск, или послать кому-то сигнал, мы уже вкратце говорили. Это извлечение информации и работа с ней отдельно от систем. Есть еще и проблема нейтрализации влияния вредоносных программ и программных закладок. На диске, в программной оболочке, в программах и в железе, в аппаратной части изъятой техники могут находиться специальные программы, которые могут навредить и самой изъятой вами информации, и вашим инструментам, с помощью которых вы будете исследовать информацию.
Значит, надо и от этого защищаться. Есть два правила в этом отношении. Первое: при копировании информации с дисков изъятого компьютера, из его аппаратной части или с любых других изъятых носителей, все новые носители и вся эта информация специальными профессиональными экспертными средствами, если такая возможность есть, проверяется на наличие и работу вирусных, вредоносных и специальных программ.
Второе: изъятый для следствия компьютер не должен запускаться с его же собственной оперативной системы. Только с внешнего стендового жесткого диска, с помощью дискеты, или вообще не должен запускаться, а информация должна исследоваться после копирования на другие носители и проверки. Еще раз напомним, что и этими работами должны заниматься специально подготовленные эксперты.
Все действия следствия и компьютерных специалистов должны быть задокументированы, часть из них очень хорошо если пройдет при свидетелях и должна сниматься на видео с подробным объяснением всех действий на месте изъятия техники и документов. Подробнее о правильном проведении такой экспертизы в деталях, на этом и на другом этапе, вы можете узнать у наших специалистов в АНО «Судебный эксперт».
Наличие вирусов и всех специальных программ должно быть задокументировано. При снятии копий и при работе с информацией роли, параметры и настройки всех программ, включая вирусные, должны быть определены для выяснения целей создателей и пользователей информации. Далее вирусные программы могут быть удалены с новых носителей, есть практика удаления их и с изъятого компьютера. В тех случаях, если наличие вирусов может помешать следствию доказать свою правоту при ее наличии.
Дело в том, что при наличии вирусов и вредоносных программ на изъятых компьютерах суд и защита, были такие случаи, иногда обвиняют следствие в умышленном, или неумышленном, в результате ошибки, заражении компьютеров вирусами и в изменении содержания информации. Таким образом защита и суд могут, как говорится, «поставить под сомнение» и правомерность, и точность работы экспертов и всего следствия.
Общие рекомендации следствию и экспертам по компьютерным преступлениям
Уже перечисленные нами ошибки следствия и экспертной работы – это те, которые стояли на пути компьютерных расследований чаще всего, и из-за которых, без помощи сертифицированных экспертов, расследования чаще всего не могли привести к результату – к расследованию дел или к выяснению фактов. Существуют и другие сложности, встречающиеся там, где оперативникам и следственным органам не помогают работники сертифицированной компьютерной экспертизы.
Такую экспертизу предлагает вам независимая организация, одна из крупнейших в России, АНО «Судебный эксперт». На нашем счету тысячи проведенных исследований, полученных ответов, расследованных дел о преступлениях разного типа, в том числе и компьютерных.
В России пока что недостаточно опыта по проведению расследований компьютерных преступлений. Немного существует организаций, которые хорошо и достаточно подготовлены к этой работе и знают все ее подводные камни. Наши специалисты проходят специальные аттестации, изучают многие аспекты, касающиеся работы по своим профилям, поддерживают актуальное состояние базы знаний. Обращают внимание на тот опыт и те технологии, которые уже есть и используются за границей в развитых государствах, и их технологических сферах.
Работникам следствия и всем лицам, причастным к этому, необходимо обращать сегодня особенное внимание на продвижение и обучение в этой области. Есть и основные правила, выполнять которые могут и должны все работники следствия и правоохранительных органов. Эти правила, как видите, просты: те, которые касаются просто обращения с техникой, порядка допуска к ней и поведения при изъятии и копировании информации. Они уже обезопасят вас от грубых ошибок. В каждом, и тем более серьезном случае работы с компьютерной техникой и такими вопросами, нужно как можно быстрее вызвать сертифицированных и квалифицированных, лучше всего – независимых экспертов. Передав в их руки этот процесс, вы сможете не сомневаться в его успехе и правомерности.
Любым сертифицированным экспертам, занимающимся вопросами компьютерной экспертизы, нужно делать то же самое, что и специалистам АНО «Судебный эксперт» – изучать и изучать свой предмет, изучать технологии, экспертные алгоритмы, ловушки, которые создаются преступниками, современные специальные программы, аппаратные средства и их возможности. Сейчас в нашем экспертном центре экспертные работы в компьютерной области представлены в 11-и направлениях.
Рекомендации по детальной технической работе с изъятой информацией
Теперь мы с вами коснемся такой темы, как непосредственная работа с содержанием информации, которая была изъята для следствия. Раньше мы говорили обо всей информации как об объекте, теперь рассмотрим ее более детально. Соблюдение следующих правил поможет вам избежать ошибок в результате действий в самом начале расследования, и затем, во время работы с информацией, тоже не допустить ошибок. В первую очередь о том, что после изъятия информации делается резервная копия на месте или не на месте изъятия.
Этот вопрос необходимо учитывать при изъятии любых носителей информации. Информацию желательно копировать в условиях лаборатории, или по крайней мере не на том же месте, в котором были изъяты образцы техники и носители. Если речь идет о богатых людях и корпорациях, о тех, кто может обладать специальными техническими возможностями, то в том же помещении может быть нельзя запускать какое-то дополнительное оборудование. Носители и компьютеры нужно очень аккуратно вывезти из этого места. Далее при копировании нужно учитывать правила, которые были изложены в первой части этой статьи. Носители для копирования информации должны быть приготовлены заранее и храниться с соблюдением экспертных методик.
Хотя, конечно, тут наступает сложность в том смысле, что лучше всего копирование проводить, как и другие операции, при понятых, на месте изъятия, с подробными объяснениями. Возможно, что вы сами поймете, как лучше и как можно поступить в каждом конкретном случае – например пригласить свидетелей в лабораторию.
Соблюдать экспертные правила при сборе и упаковке вещественных доказательств
Здесь вам опять же может помочь консультация специалистов АНО «Судебный эксперт». Во многих делах и расследованиях защита и суд не принимают во внимание электронные доказательства, потому что во время обысков и изъятий они не были собраны и упакованы именно так, как этого требуют юридические правила. Существуют стандартизированные приемы и методики изъятия таких доказательств, и уголовно-процессуальные законодательные регламенты, а также экспертные правила, которые нужно соблюдать, чтобы принести в суд доказательства, которые он признает.
Временные файлы, Swap файлы, дубли текстовых документов
Временные файлы. Являются важной составляющей частью работы за компьютером, и в них содержится много важной информации. Это именно то, что мы удаляем при различных чистках компьютера сами или с помощью утилит. Сама система тоже удаляет эти документы после окончания сеанса работы. Сохранение временных файлов и выявление уже удаленных временных файлов должно стать одной из задач эксперта. Эти файлы могут дать информацию о документах, которые использовались в системе, но не были сохранены на диск, о закодированных документах и других файлах.
Swap File. Файл подкачки, как его называют, так как он дает возможность как бы увеличить объем вашей оперативной памяти. Этот файл – область на жестком диске, в которую записывается информация о текущей работе программ, для того, чтобы освободить оперативную память. Как и в оперативной памяти, в этом файле свопинга или «страничном файле» может содержаться информация о работе в системе и об используемых программах и документах. Например, фрагментарно или полностью в свап-файле может находиться текст документа, с которым велась какая-то работа. Это множество фрагментов разной информации, и место на диске, которое можно рассматривать также как базу данных.
Дубли текстовых документов. Распространенное явление для разных компьютеров, и на вашем вполне возможно они тоже есть. Разницы и изменения могут быть незначительными, но появляются версии документа. Разные расхождения и информация, которая есть на одной из копий могут стать доказательным материалом. Нужно сохранять эти дубли, фиксировать разницу информации, с помощью специальных программ или современных текстовых редакторов.
Исследование и действия на месте изъятия – общие рекомендации для следствия и экспертов
Как мы уже говорили, высший уровень профессионализма рекомендует вообще ничего не трогать до появления сертифицированного эксперта. Но часто что-то делается для фиксации понятыми и для проведения операций прилюдно. Приведем правила общие, которые используются также и простыми работниками следствия и органов:
Бережно относиться к технике. Соблюдать все стандартные правила и рекомендации операционной системы для обычных пользователей. Если выключается работающий компьютер, то перед этим нужно с помощью обычных команд остановить работу всех включенных программ. Нужно правильно остановить работу всех отдельно работающих устройств.
Постараться найти пароль, который мог бы предоставить возможность пользоваться программами и документами, которые защищены паролем. Постараться его найти, но не применять его – он понадобится экспертам. В некоторых случаях его применяют на месте, но о риске такого шага мы уже говорили.
В том случае, если лица, находящиеся в этом месте, например служащие компании или предприятия, пытаются помешать изъятию техники или ее изучению, существует следующий способ – отключение всего электропитания, изъятие всей компьютерной техники на объекте, всех носителей информации и документов, и опечатывание места.
Осторожность принятия консультаций от персонала и присутствующих лиц. Советы по поводу техники и носителей следует брать у нескольких лиц отдельно друг от друга. Это обезопасит от возможного вреда, даст возможность получить более правдивую информацию.
Как мы уже говорили, изъятию подлежит вся компьютерная техника. Это означает и периферийные устройства любого типа, в том числе мелкая периферия. В некоторых из них может оставаться информация о работе с файлами, их можно использовать для воссоздания комплексов оборудования и их работы, и получения информации по делу.
Если на объекте работает (работала) локальная сеть, то ее нужно будет исследовать отдельно с привлечением специалистов. Конечно, если работа с другими источниками не даст всю нужную информацию.
Рукописные записи. Опытные специалисты могут найти важные сведения о работе с компьютерной техникой, информацией и документами в рукописных записях, которые ведут или могут вести сотрудники учреждения или пользователи этих компьютеров, или кто-то еще на этом объекте, или те, кто имеет отношение к этому делу. Поэтому следует внимательно осмотреть место изъятия на предмет наличия рукописных записей, блокнотов и так далее, и изъять их. Также при работе с делом везде обращать внимание на рукописные записи, и предлагать их для осмотра опытным специалистам или сертифицированным экспертам.
Вся документация также должны быть найдена, собрана и изъята для изучения.
Список всех сотрудников объекта, компании, предприятия или группы должен быть составлен – для того, чтобы из числа работающих там или участвующих в этой деятельности, имеющих к ней отношение лиц, выявить тех, кто является специалистом, или имеет отношение к работе с компьютерами и информацией. Считается желательным сразу же устанавливать подробные сведения об этих лицах – паспортные данные, место жительства и так далее.
Составить список всех лиц на объекте, в группе, на предприятии или в компании, имеющих доступ к компьютерной технике, и к работе с программами.
Составить подробный список тех лиц, которые были в помещении, в котором произошло изъятие техники, носителей и документов. В список включаются все лица, независимо от того, почему они там находились.
Осмотр места и техники, работа при понятых, подготовка техники к перевозке
Как уже было сказано – лучше всего работать при понятых. Применение подробной видеосъемки обязательно. Осмотр техники и какие-то действия, при участии знающих или квалифицированных лиц и специалистов, могут происходить и на месте изъятия техники. В том случае, если нет опасности помех для этого, диверсий, неполадок с электричеством. Как мы уже говорили, самый лучший метод это создание резервных копий информации при понятых, с помощью специальных средств, и затем опечатывание компьютера и подготовка его к транспортировке с места изъятия.
Во время любых операций с компьютерами, носителями или периферийной техникой, и вообще во время любых действий на месте, эксперты и другие лица должны все очень понятно и четко объяснять присутствующим понятым. Происходящее должно быть снято на видео.
Если осмотр проводится на месте, то установлены и отмечены должны быть следующие параметры:
- тип, серийные номера, производители и номера моделей всех компьютерных устройств, в том числе и периферийных;
- для всех устройств – бухгалтерские инвентарные номера, которые были выданы при зачислении на баланс;
- для компьютеров – их конфигурация, насколько возможно это установить при первоначальном осмотре, и те данные, которые можно зафиксировать о компьютерах;
- сведения обо всех устройствах, имеющие отношение к компьютеру, работающих вместе с ним. Например, привод для дисков, жесткий диск, процессор, другие части;
- также фиксируется информация, путем записи данных фабричного ярлыка, о такой периферии, как мышки, клавиатуры и прочее.
Все эти сведения попадают в содержание протокола, по факту осмотра вычислительной техники. И наконец, нужно еще и подготовить компьютеры и технику к транспортировке – это еще одна интересная задача для работников следствия и экспертов. Для этого компьютеры, и технику, с передней, и задней стороны, нужно пометить маркировкой и крупно сфотографировать. Это очень важный шаг.
Записи и фотографии всех элементов и их комплексов важно для того, чтобы в условиях экспертной работы воссоздать все те же подключения и конфигурацию комплексов оборудования, которая существовала и на площадке.
Например, для модемов – и для другого сетевого и иного оборудования – важно, как стоят переключатели, которых может быть много и которые могут быть маленькими. Для того чтобы вся аппаратура на месте исследований могла быть подключена точно также, нужно промаркировать все устройства, и затем крупно сфотографировать все те участки устройств и систем, где находятся переключатели, соединения и другие детали, говорящие о текущих настройках всей этой техники.
Во время транспортировки или случайно иным образом могут быть передвинуты какие-то переключатели, еще что-то, поэтому все нужно понять и сфотографировать с маркировкой – где какое устройство и к чему оно относится и подключено. Можно и нужно сфотографировать в разных видах все подключенное оборудование. Вот таким образом вы сможете обезопасить себя и следствие от возможных ошибок, недочетов, пропусков важной информации.
И напомним вам еще раз, что все специалисты, в том числе и автор статьи, на которой основываются эти материалы, настоятельно советуют работать в области компьютерных преступлений и расследований только с помощью сертифицированных работников компьютерной экспертизы. Об этом говорит и практика, и логика. Независимая экспертиза в последнее время по некоторым параметрам предлагает больше возможностей, так как работает на свободном рынке. И если это будут опытные и хорошо подготовленные эксперты. При возникновении любых вопросов по этим темам просим вас обращаться в АНО «Судебный эксперт».