Расследование преступлений, совершаемых с использованием кмпьютерных технологий

Копирование (тиражирование) программ с преодолением программных  средств защиты. Этот способ предусматривает  незаконное создание копии ключевой дискеты, модификацию кода системы  защиты, моделирование обращения  к ключевой дискете, снятие системы  защиты из памяти ЭВМ и т. п. Не секрет, что подавляющая часть программного обеспечения, используемого в России, является пиратскими копиями взломанных хакерами программ. По данным антипиратской  организации BSA, свыше 90 % используемых в России программ установлены на компьютеры без лицензий, тогда как  в США не более 24 %.²³

 Можно привести в  качестве примера и широко  известную отечественную программу  "Консультант-плюс" содержащую  периодически обновляемую компьютерную  базу российского законодательства. Несмотря на постоянную работу  программистов фирмы по улучшению  систем защиты, тысячи нелегальных копий взломанной программы имеют хождение на территории страны. Например, шестая версия "Консультанта" была "привязана" к дате создания компьютера, записанной в его постоянной памяти. Не прошло и двух недель после выхода этой версии, как хакерами была создана программа, эмулирующая нужную дату на любой ЭВМ. Теперь любой желающий может найти такую программу в компьютерных сетях и бесплатно установить на свой компьютер базу данных стоимостью более 1000$ США.²⁴

Анализ данных о лицах, совершающих преступления с использованием компьютерных технологий, имеет не менее важное значение как и установление способа совершения преступления.  

Обобщенный портрет лица, посягающего на компьютерную информацию, по данным Экспертно-криминалистического  центра МВД, которым был проведен классификационный анализ лиц, замешанных в применении компьютеров для  совершения противоправных деяний²⁵, таков:

• это мужчина в возрасте от 15 до 45 лет, либо имеющий многолетний опыт работы на компьютере, либо почти не обладающий таким опытом;
• в прошлом к уголовной ответственности не привлекался;
• является яркой, мыслящей личностью, способной принимать ответственные решения;
• хороший, добросовестный работник, по характеру нетерпимый к насмешкам и к потере своего социального статуса в рамках группы окружающих его людей;
• любит уединенную работу;
• приходит на службу первым и уходит последним;
• часто задерживается на работе после окончания рабочего дня и очень редко использует отпуска и отгулы.

   Профессиональные  компьютерные взломщики обычно  работают только после тщательной  предварительной подготовки. Они  снимают квартиру на подставное  лицо, подкупают сотрудников организации,  знакомых с деталями электронных  платежей и паролями, и работников  телефонной станции, чтобы обезопаситься  на случай поступления запроса  от служб безопасности. Нанимают  охрану из бывших сотрудников  МВД. Чаще всего взлом компьютерной  сети осуществляется рано утром,  когда дежурный службы безопасности  теряет свою бдительность, а вызов  помощи затруднен.

Выделение типовых моделей  разных категорий преступников, знание основных черт этих людей позволяет  оптимизировать процесс выявления  круга лиц, среди которых целесообразно  вести поиск преступника и  точнее определить способы установления и изобличения конкретного правонарушителя. Уголовный кодекс РФ разделил "компьютерных преступников" на следующие категории:

1. лица, осуществляющие неправомерный доступ к компьютерной информации;
2. лица, осуществляющие неправомерный доступ к компьютерной информации в группе по предварительному сговору или организованной группой;
3. лица, осуществляющие неправомерный доступ к компьютерной информации с использованием своего служебного положения;
4. лица, имеющие доступ к ЭВМ, но осуществляющие неправомерный доступ к компьютерной информации или нарушающие правила эксплуатации ЭВМ;
5. лица, создающие, использующие и распространяющие вредоносные программы.

Напомним, что уголовной  ответственности по УК РФ за преступления рассматриваемого вида подлежат вменяемые  лица, достигшие 16 лет.

Последним элементом криминалистической характеристики преступлений, совершаемых с использованием компьютерных технологий, являются следы, совершенного преступления.

Следы совершения преступления в сфере компьютерной информации в силу специфики рассматриваемого вида преступлений редко остаются в  виде изменений внешней среды. Они  в основном не рассматриваются современной  трасологией, поскольку в большинстве  случаев носят информационный характер, т.е. представляют собой те или иные изменения в компьютерной информации, имеющие форму ее уничтожения, модификации, копирования, блокирования. Как справедливо  отмечает А.В. Касаткин, «при современном  развитии вычислительной техники и  информационных технологий «компьютерные  следы» преступной деятельности имеют  широкое распространение. Это должно учитываться следователями и  оперативными работниками в их деятельности по собиранию доказательств наряду с поиском уже ставших традиционными  следов».²⁶

На основании изложенного  представляется целесообразным следы  неправомерного доступа к компьютерной информации разделить на два типа: традиционные следы (следы-отображения, рассматриваемые трасологией, а  также следы-вещества и следы-предметы) и нетрадиционные - информационные следы.

К первому типу относятся  материальные следы. Ими могут являться какие-либо рукописные записи, распечатки и т.п., свидетельствующие о приготовлении  и совершении преступления. Материальные следы могут остаться и на самой  вычислительной технике (следы пальцев  рук, микрочастицы на клавиатуре, дисководах, принтере и т.д.), а также на автомобиле, на специальных устройствах (скиммерах, шиммерах).

Информационные следы  образуются в результате воздействия (уничтожения, модификации, копирования, блокирования) на компьютерную информацию путем доступа к ней и представляют собой любые изменения компьютерной информации, связанные с событием преступления. Прежде всего они остаются на машинных носителях информации и  отражают изменения в хранящейся в них информации (по сравнению  с исходным состоянием). Речь идет о  следах модификации информации (баз  данных, программ, текстовых файлов), находящейся на жестких дисках ЭВМ, дискетах, магнитных лентах, лазерных и магнито-оптических дисках. Кроме  того, магнитные носители могут нести  следы уничтожения или модификации  информации (удаление из каталогов  имен файлов, стирание или добавление отдельных записей, физическое разрушение или размагничивание носителей). Информационными следами являются также результаты работы антивирусных и тестовых программ. Данные следы  могут быть выявлены при изучении компьютерного оборудования, рабочих  записей программистов, протоколов работы антивирусных программ, программного обеспечения. Для выявления подобных следов необходимо участие специалистов.

Информационные следы  могут оставаться и при опосредованном (удаленном) доступе через компьютерные сети, например через Интернет. Они  возникают в силу того, что система, через которую производится доступ, обладает некоторой информацией, которую  эта система запрашивает у  лица, пытающегося соединиться с  другим компьютером. Она определяет электронный адрес, используемое программное обеспечение и его версию.²⁷

Механизм следообразования характеризуется тем, что косвенные  признаки постороннего вторжения в  ЭВМ, вызывающие подозрения и находящие  отражение в показаниях очевидцев:

1. изменение заданной при предыдущем сеансе работы с ЭВМ структуры файлов системы;
2. изменение в заданной ранее конфигурации компьютера (изменение картинки на компьютере, изменение взаимодействия с периферийными устройствами, наличие необычных деталей на ЭВМ (банкоматах));
3. необычные проявления при работе с ЭВМ: замедленная загрузка операционной системы; неадекватные команды ЭВМ на команды пользователя и т.п.
4. появление на экране нестандартных символов.²⁸