Каждый изымаемый блок должен быть упакован и еще раз опечатан. Вывоз всего оборудования нужно производить за один раз. При отсутствии транспорта следует организовать строгую охрану изъятого в специальном помещении, желательно оборудованном сигнализацией.
Если изъятые предметы хранятся на обыскиваемом объекте, нужно организовать охрану помещения таким образом, чтобы доступ посторонних лиц к ним был невозможен. Если вся интересующая следствие информация не скопирована на CD или другие носители с соблюдением требований УПК РСФСР, недопустимо предоставлять часть изъятого оборудования в распоряжение предприятия по причинам “производст-венной необходимости”, так как в процессе работы могут быть внесены изменения в файлы информации или программы, что повлечет за собой повреждение или уничтожение компрометирующей информации.
Все изъятое на предприятии необходимо вывозить для хранения в экспертное учреждение, на склад или в камеру хранения вещественных доказательств.
Меры предосторожности при транспортировке и хранении изъятых технических средств и магнитных носителей:
1. При перевозке компьютеров нужно исключить механические или химические повреждения. Следует помнить, что магнитное поле, создаваемое рацией в автомобиле, может нанести вред транспортируемым компьютерным доказательствам.
2. Нужно оградить компьютеры и магнитные носители информации от магнитных воздействий, чтобы избежать порчи или уничтожения информации путем размагничивания. Например, не следует проносить компьютерную технику и носители информации через металлоискатели, установленные в аэропортах, банковских учреждениях и т. п.
3. Нужно оградить изъятое от воздействия магнитосодержащих средств криминалистической техники (например, магнитных подъемников, магнитных кисточек для выявления следов рук и т. п.).
4. Необходимо соблюдать правила хранения и складирования технических средств. Нельзя ставить коробки с оборудованием в штабель выше трех штук, а также размещать их на каких-либо других вещах.
5. Помещение для хранения должно быть теплым, отапливаемым, без грызунов. Рекомендуемая температура воздуха от 0 до +50°С. Высокая температура может уничтожить или изменить компьютерные доказательства за очень короткий срок.
6. Компьютеры нельзя держать в одном помещении со взрывчатыми, легковоспламеняющимися, огнеопасными, едкими, легкоиспаряющимися химическими препаратами, а также с предметами, которые могут создавать магнитные поля.
7. Не рекомендуется курить, принимать пищу и содержать животных в помещениях, предназначенных для хранения компьютерной техники и магнитных носителей.
Все перечисленные выше требования к транспортировке и хранению изъятой техники и имеющейся в ней компьютерной информации необходимо неукоснительно соблюдать. В противном случае квалифицированный адвокат сможет доказать, что следственная группа проявила небрежность при хранении или транспортировке компьютерного оборудования, и дело может оказаться под угрозой развала. Много времени и усилий придется потратить, защищая позиции следствия, с тем чтобы доказательства приняли достоверный вид и были приняты судом.
9. ДОПОЛНИТЕЛЬНЫЕ РЕКОМЕНДАЦИИ
Мы твердо придерживаемся мнения, что целесообразнее исследовать компьютерную технику в условиях криминалистической лаборатории, где эту работу выполняют специалисты с необходимой профессиональной подготовкой.
Персональные компьютеры никогда не разрабатывались с учетом их безопасности, в результате чего чувствительные данные, пароли, время и другая потенциально ценная информация может быть записана как на жестком диске, так и на гибких дискетах в причудливом расположении, что является частью нормально действующего процесса. Для компьютерного пользователя в общепринятом смысле такая система может послужить защите его данных. Для опытного же следователя такая система может стать источником ценной информации.
Компьютерное доказательство очень хрупко и может быть легко изменено. Представление такого доказательства для использования в судебном процессе частным лицом и даже работником следствия без соответствующей подготовки невозможно. Только правильно обученные специалисты по сбору компьютерных доказательств должны их обрабатывать. Здесь нельзя недооценивать роль экспертизы, которая могла бы дать квалифицированное заключение по поставленным следствием вопросам.
Однако экспертиза требует некоторого времени не только на ее производство, но и на поиск соответствующих специалистов, а при изъятии компьютерной техники часто важным фактором, позволяющим сохранить необходимую следствию информацию, является внезапность и оперативность. Именно поэтому изъятие компьютеров и информации приходится проводить теми силами, которые в данный момент проводят следственные действия. В этом случае следствие как раз и не застраховано от совершения ошибок, обусловленных недостаточностью знаний, что позднее ловко используется защитой.
Поставленная проблема имеет два аспекта: общие ошибки, допускаемые сотрудниками правоохранительных органов при расследовании преступлений, связанных с компьютерами, и защита информации, устанавливаемая на компьютерах их непосредственными пользователями.
Рамки учебного пособия не позволяют досконально рассмотреть эти вопросы. Это тема отдельного исследования. Мы хотим акцентировать внимание следователей на ошибках, особенно часто совершаемых при проведении следственных действий в отношении компьютеров или информации, хранящейся в них, выделить некоторые правила работы с компьютерами, изъятыми (или “заподозренными”) при расследовании преступлений в сфере экономики, а также предложить общие советы, которые могут быть полезны при обработке компьютерных доказательств, связанных с базовыми компьютерными системами, работающими в операционных системах DOS или Windows.
Ошибка 1. Неграмотная работа с компьютером. Первое и основное правило, которое неуклонно должен выполнять любой следователь, состоит в следующем: никогда и ни при каких условиях не работать на изъятом компьютере. Это правило предполагает, что изъятый компьютер — прежде всего объект исследования специалистов. Поэтому его желательно даже не включать до передачи экспертам, поскольку категорически запрещено выполнять какие-либо программы на изъятом компьютере (или на “подозреваемом” компьютере) без принятия необходимых мер предосторожности (например, защиты записи или создания копий). Если на компьютере установлена система защиты на входе в него, то самовольное включение может вызвать уничтожение находящейся в нем информации. Не допускается загрузка “подозреваемого” компьютера или работа на нем с ис-пользованием его собственной операционной системы.
Такая мера объясняется достаточно просто: преступнику не составляет особой сложности снабдить свои компьютеры программой для уничтожения содержания жесткого диска или специальными файлами, записав в ПК программы-ловушки или через модификацию операционной системы. Например, простая команда DIR (директория), используемая для отображения каталога диска, может легко быть изменена, чтобы переформатировать жесткий диск.
После того как и данные и сама разрушающая программа уничтожены, никто не сможет достоверно сказать, был ли “подозреваемый” компьютер специально оснащен такими программами или это результат небрежности при обработке компьютерного доказательства?
Ошибка 2. Получение информации от владельца (пользователя) компьютера. Серьезной ошибкой следователя является допуск к “заподозренному” компьютеру владельца для помощи при эксплуатации. Во многих зарубежных источниках описываются случаи, когда подсудимым на допросе относительно компьютерных доказательств был позволен доступ к изъятому компьютеру. Позднее они рассказывали своим знакомым, как шифровали файлы “прямо под носом у полицейских”, а те об этом даже не догадывались. Тем не менее преступникам не всегда удавалось “проводить” следствие таким образом. Очень быстро компьютерные специалисты стали делать копии компьютера прежде, чем предоставлять доступ к ним подсудимому. В результате разрушительные действия становились еще одним доказательством вины.
Другая проблема связана с возможностью опровергнуть в суде идентичность предъявленного на процессе математического обеспечения тому, что находилось в данном компьютере на момент изъятия. Во избежание подобных ситуаций компьютер следует, не включая опечатать в присутствии понятых. Если же следователь принимает решение осмотреть компьютер на месте, первое, что следует сделать,— снять копию с жесткого диска и любой дискеты, которая будет изыматься в качестве вещественного доказательства. Это означает, что до проведения каких-либо операций с “заподозренным” компьютером необходимо зафиксировать его состояние на момент проведения следственных действий.
Ошибка 3. Отсутствие проверки компьютера на наличие вирусов. Первое, что необходимо сделать после загрузки компьютера операционной системой со своих дискет или со стендового компьютера,— это проверить его на наличие вирусов. Проверке подлежат все исследуемые дискеты и жесткий диск “заподозренного“ компьютера. Ее следует производить с помощью собственного надежного программного обеспечения специалиста, приглашенного для участия в следственных действиях.
Нельзя допустить, чтобы у защиты появилась возможность обвинить следствие в умышленном заражении компьютера вирусами, в некомпетентности при проведении следственных действий либо просто в халатности, поскольку доказать, что вирус был в компьютере до начала исследования, вряд ли возможно, а подобное обвинение поставит под сомнения весь труд эксперта и достоверность его заключений.
Еще хуже, если копии, сделанные с “заподозренного” компьютера, использует следователь для работы на компьютерах в своем отделе, тем самым перенося вирус в них.
Для копирования информации всегда нужно использовать только новые или предварительно очищенные (отформатированные) дискеты.
Таковы ошибки, наиболее часто встречающиеся при работе с компьютерами, находящимися в распоряжении следствия по делам об экономических преступлениях. Однако предложенный перечень, естественно, не охватывает все “промахи”, допускаемые сотрудниками правоохранительных органов. Этому легко найти объяснение: отсутствие достаточного опыта при ведении подобных дел в нашей стране. В то же время в странах Западной Европы и, особенно, США имеется уже достаточно богатый опыт по расследованию сложных дел о преступлениях в сфере экономики. Следует более тщательно изучать его, что позволит избежать многих ошибок.
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
