uasol.com
Додати статтю | Реєстрація
Інтернет і сервіси
Авто і Мото
Бізнес і фінанси
Будівництво та ремонт
Будинок, сім'я
Все про меблі
Дієти, ваша фігура
Діти і батьки
Закон і Право
    Інші питання права
    Авторські і суміжні права
    Документи (скарги, позови та інше)
    Житлове право
    Перевірки
    Податкове право
    Спадок
Захоплення і хобі
Зв'язок
Комп'ютери
Краса, мода, імідж
Кулінария
Культура та мистецтво
Лекції, посібники
Люди, суспільство
Медицина і здоров'я
Наука і освіта
Політика
Промисловість
Реферати
Робота, працевлаштування
Спорт
Товари і послуги
Туризм і подорожі
Чоловік + Жінка
  Морські свинки. Утримання і догляд.  
  Створення рінгтонов 
  Ліки для лікування кандидозу (молочниці)  
  ПЕРШІ ОЗНАКИ ВАГІТНОСТІ 
  Материк Євразія 
  ОРХІДЕЯ В БУДИНКУ - ДОГЛЯД 
  Черепахи: утримання та догляд 
  ПОВНА ТАБЛИЦЯ КАЛОРІЙНОСТІ ПРОДУКТІВ  
  Що це таке вегето-судинна дистонія? 
  Як скласти бізнес-план 
Каталог україномовних статей - uasol.com
 укр
 eng
 рус
ШУКАТИ!
Запам'ятати сторінку | Зробити стартовою | Поділитися з товарищем
ПАМ’ЯТКА щодо огляду комп’ютерних засобів на місці події, експертиза комп’ютерної техніки і програмних продуктів.
ПАМ’ЯТКА щодо огляду комп’ютерних засобів на місці події, експертиза комп’ютерної техніки і програмних продуктів.
Огляд комп”ютерних засобів на місці події, експертиза компютерної техніки і програмних продуктів (методичні рекомендації)


На сьогодні всі економічно розвинені країни перейшли до широкого використання нових інформаційних технологій у виробничій, комерційній та банківських сферах. Це пояснюється тим, що традиційними методами уже не можливо забезпечити вірне орієнтування в сучасному лавиноподібному інформаційному потоці. Причому найбільш активно розвиваються технології пов”язані з глобальною комп”ютерною мережею.
   
   У новому Кримінальному кодексі (КК) України, який набув чинності у вересні 2001 р., комп”ютерним злочинам присвячено розділ 16 “Злочини у сфері використання електронно-обчислювальних машин (комп”ютерів), систем комп”ютерних мереж”, який складається зі:
    ст. 361 «Незаконне втручання в роботу електронно-обчислювальних машин ( комп”ютерів) систем та комп”ютерних мереж”,
    ст. 362 “Викрадення, привласнення, вимагання комп”ютерної інформації або заволодіння нею шляхом шахрайства чи зловживання службовим становищем”.
    ст. 363 “Порушення правил експлуатації автоматизованих електронно обчислювальних систем”.
   
    1. Комп'ютери, як засоби здійснення злочинів.
   
   Засоби здійснення злочинів – це матеріальні об'єкти, які використовувалися для досягнення злочинного результату. Усі вони в процесі злочину приводяться у взаємодію і утворюють сліди – відображення, що несуть інформацію для їх розшуку і ототожнення.
   Комп'ютери, по їхньому специфічному призначенню, можуть бути віднесені до знарядь здійснення злочинів, як група приладів (інструментів), використовуваних для виконання деяких робіт. Наприклад:
   • для виготовлення різного роду текстових і графічних документів;
   • розробки і виготовлення програмних продуктів, що забезпечують досягнення злочинного результату;
   • використання комп'ютера, як засобу зв'язку для прийому і передачі різного роду інформації;
   • для несанкціонованого доступу до бази даних, для одержання інформації, яку можливо використовувати надалі в злочинних цілях.
   У криміналістичному плані всяка дія викликає утворення слідів, що можуть бути класифіковані.
   Наявність слідів дозволяє відтворити, тобто змоделювати дії злочинця при здійсненні комп'ютерного злочину й ототожнити слідообразуючий об'єкт (комп'ютер).
   
   2. Криміналістичне дослідження слідів обробки текстових документів на персональному комп'ютері.
   
   Текстовим документом назвемо будь-який документ (накладна, рахунок, договір, платіжне доручення, вихідні тексти програм, бази даних і т.і.), що містить алфавітно-цифровий набір символів і знаки форматування. При створенні друкованої форми текстового документа за допомогою комп'ютера, на резидентом носії інформації останнього можуть залишитися сліди (варіанти, чернетки, і т.і.).
   Графічним документом будемо називати будь-який документ, що містить інформацію (фотографії, факсимільні документи, відеофільми, банери, метафайли, кліше і т.д.).
   До обставин, що можуть бути визначені шляхом вивчення слідів, можуть бути віднесені наступні:
   1) ідентифікація слідообразуючого об'єкта;
   2) установлення цілого вроздріб на підставі аналізу частин інформації, що залишилася на резидентному носії;
   3) ототожнення конкретного комп'ютера слідами, що маються на резидентному носії.
   Для того щоб мати можливість орієнтуватися у всім різноманітті слідів і виробити раціональні прийоми їхньої фіксації і дослідження, необхідна класифікація, що дала би можливість виділити окремі групи слідів, поєднуваних тими чи іншими особливостями.
   
   На процес утворення слідів основний вплив мають наступні фактори:
   • режим експлуатації комп'ютера (автономний, клієнт мережі, сервер мережі);
   • тип операційної системи, експлуатованої на комп'ютері;
   • програмне забезпечення, установлене на комп'ютері.
   По особливостях механізму утворення з урахуванням зазначених факторів сліди можуть бути розділені на наступні групи:
   1) текстові файли;
   2) графічні образи текстових файлів;
   3) раніше вилучені текстові файли;
   4) частини вилучених текстових файлів, що займають кластери, не розподілені операційною системою для збереження знову створених файлів;
   5) частини вилучених файлів, що знаходяться у вільному просторі розподілених кластерів;
   6) файли і частини файлів, що знаходяться в області системного Кэша (FTP-, IP-; WWW-, Gopher – адреси, HTM, HTML, DHTML, ASP – документи або їх фрагменти);
   7) файли, що знаходяться в архівах;
   8) файли, що знаходяться в базі даних (упроваджені модулі, запити, форми, звіти, SQL-процедури).
   
   3. Механізми утворення слідів обробки документів на персональному комп'ютері.
   
   Розглянемо особливості механізму утворення слідів у залежності від приведеної вище класифікації. При цьому обмежимося розглядом платформи Windows 95/98/NT/XP , з огляду на ту обставину, що вона найбільше часто застосовується при організації систем обробки інформації, особливо на персональних комп'ютерах і робочих станціях – клієнтах мережі. У багатьох випадках платформа Windows 95/98/NT/XP застосовується також для організації локальних мереж.
   Експерту, що проводить дослідження, варто враховувати істотні особливості, характерні для різних режимів роботи комп'ютера, а саме:
   • якщо комп'ютер є компонентом комп'ютерної мережі, то його ресурси можуть бути захоплені мережним адміністратором, а це означає те, що захоплені документи не можуть бути відкриті для аналізу. Такий же ефект має місце при роботі штатної операційної системи (ОС). Для нейтралізації даного ефекту необхідно проводити дослідження шляхом вилучення резидентного носія і підключення його в якості нерезидентного;
   • якщо комп'ютер є компонентом комп'ютерної мережі, то при своїй роботі він може використовувати не тільки свої ресурси, але і ресурси інших комп'ютерів, тому для найбільш повного аналізу слідів необхідно досліджувати всі комп'ютери – члени локальної мережі у першу чергу сервер. Це особливо актуально при дослідженні бази даних, оскільки на комп'ютері-клієнті звичайно знаходиться тільки репліка бази даних, що у даний момент часу може не містити цікаву інформацію, у той час як у базі даних вона може міститися. Крім того, у репліку не включаються впроваджені SQL-процедури, що є найважливішою частиною бази даних;
   • при аналізі вмісту резидентного носія експерт повинний з'ясувати, яка операційна система є несущою. Для цього необхідно досліджувати таблицю розділів носія, у якій відбиті всі типи просторів даних, розподілених на носії. Це дослідження є дуже важливим тому, що при наявності на магнітному носії розділів UINIX, ці розділи не можуть бути виявлені ніякими засобами Windows, і вся інформація, що знаходиться в подібного роду розділах Windows недоступна. Варто мати на увазі, що ніякими штатними засобами Windows ідентифікувати розділи UNIX неможливо, їх навіть неможливо знайти.
   Оскільки текстові файли можуть містити вихідні тексти програм, написані на алгоритмічних мовах високого рівня, ідентифікація таких текстів припускає глибокі пізнання в наступних областях:
   1) Алгоритмічні мови високого рівня (Visual C++, MFC, Visual Basic, Pascal, Delphi);
   2) Архітектура операційної і файлової систем (DOS, Windows3.1/3.11, Win32, Win32s,Windows95/98, Windows NT, WinAPI, UNIX, FAT12,FAT16,FAT32, NFS, Active, DAO, MS Jet, ODBC);
   3) Архітектура баз даних (dBase, Clarion, FoxPro, Sybase, Oracle, MS Jet);
   4) Системи доступу до баз даних (ODBC, MS SQL Server, Sybase SQL Anywhere, DAO);
   5) Системи управління базами даних(dBase, Clarion, Visual FoxPro, Oracle, MS Access, MS Excel, PowerBuilder);
   6) Архітектура додатків клієнт-сервер (OLE, Active, Java, ASP, DHTML, Visual Basic, Visual C++, PowerBuilder);
   7) Архітектура розподілених додатків (PowerBuilder, Informix, Internet, Intranet, NSAPI, ISAPI);
   8) Системи захисту інформації, алгоритми стиску даних;
   9) Системи обробки графічної інформації (Microsoft, Adobe, U-Lead, Каі's, Autodesk, і т.д.).
   При проведенні дослідження носія інформації можливо одержати відповіді наступні питання:
   1) Чи використовувався даний комп'ютер для виготовлення даного документа?
   2) Чи маються на комп'ютері сліди підготовки документів по цікавлячої темі?
   3) Яке зміст документів по цікавлячої наслідок темі?
   4) Коли останній раз на комп'ютері провадилися роботи?
   5) Якого роду роботи провадилися на комп'ютері?
   6) Чи застосовувався даний комп'ютер для зв'язку?
   7) Коли здійснювалися сеанси зв'язку?
   8) З якими абонентами здійснювався зв'язок?
   9) Яка інформація передавалася абонентам?
   10) Яка інформація була отримана від абонентів?
   11) Чи виготовлялися на даному комп'ютері програми, що цікавить слідство?
   Виявлення та візуалізація різних документів мають ряд істотних особливостей, що розглядаються нижче стосовно до різних ситуацій.
   
    3.1. Актуальні файли.
   
   Актуальним файлом називається файл, доступний операційній системі для обробки. Для актуального файлу в директорії файлової системи мається одна чи кілька управляючих записів, що відображають його ім'я, тип, псевдонім (аліас), довжину в байтах, дату і час створення, дату і час останнього звертання, а також адреса початку ланцюжка кластерів, виділених файловою системою для розміщення інформації.
   Для доступу до даної інформації експерту варто враховувати, що при роботі в розширеному режимі віртуальної адресації, операційна система Windows 95/98/NT/XP, використовуючи DPMI, блокує прямий доступ до ROM BIOS, забороняючи використовувати переривання BIOS для діагностики носія. Використання для такого аналізу звичайного DOS-режиму (наприклад, завантаженням MS DOS 6.22) майже напевно приведе до руйнування інформації на досліджуваному носії через неможливість обробки в DOS FAT32. Для подолання подібного роду труднощів необхідно в рамках системи Windows95/98 понизити рівень захоплення носія системою до нуля. Варто мати на увазі, що режим емуляції DOC не має нічого загального з DOS-режимом і не усуває проблему. Точно так само, завантаження системи Windows95/98 у режимі емуляції DOS не означають переклад системи з розширеного режиму віртуальної адресації в звичайний режим.
   Текстові файли є результатом роботи текстових процесорів, редакторів, систем сканування і розпізнавання інформації, систем прийому і передачі повідомлень електронної пошти по локальній або глобальній мережі. Виявлення та ідентифікація перерахованих файлів не викликає великих труднощів і може бути здійснене за допомогою штатних системних засобів, таких, наприклад, як “Пошук файлів” з наступним застосуванням відповідних програмних засобів для їхньої візуалізації.
   Найпростіші засоби пошуку не можуть знайти текстові файли, поміщені в архіви, тобто оброблені відповідно до визначених алгоритмів списку даних. Для візуалізації архівіруваних файлів експерт повинний уміти чи змінювати видаляти паролі архівів.
   Необхідність виділення парольного захисту може виникнути і при спробі одержання інформації з захищених банків даних. Захист паролем банків даних, як зсіб захисту від несанкціонованого доступу до інформації, широко застосовується при організації роботи в локальних і розподілених мережах. Захист може бути переборена або зміною статусу клієнта, що, узагалі говорячи, може не дати бажаного результату, або прямим “зломом” бази даних, для чого в розпорядження експерта повинна бути надана база даних цілком, і ні в якому разі не її репліка, тому що по змісту репліки не можна судити про зміст бази даних.
   
    3.2. Вилучені файли.
   
   Процес виділення файлів засобами файлової системи означає установку прапора “вилучений” у відповідної даному файлу запису в директорії. При цьому всі кластери ланцюжка, що раніше належали вилученому файлу, вважаються вільними і можуть бути повторно розподілені системою для знову створюваного файлу. При цьому можливо виникнення трьох ситуацій:
   1) Усі кластери, що звільнилися, розподілені для нових файлів; у цьому випадку відновлення вилученого файлу неможливо в повному обсязі, однак, можливо часткове відновлення інформації, але нестандартними методами.
   2) Усі кластери, що звільнилися, залишилися вільними і не використовувалися файловою системою для виділення дискового простору для знову створюваних файлів; у цьому випадку відновлення файлу вкрай просто – досить зняти прапор “вилучений” в елементі директорії, чи скористатися штатними засобами системи, наприклад утилітою UNERASE пакета Norton Utilities. При використанні пакета Norton Utilities варто пам'ятати, що при неправильному настроюванні кодових таблиць системи операція перезапису директорії може привести до руйнування логічної структури носія інформації.
   3) Кластери, що звільнилися, частково розподілені для нових файлів, а частково залишилися вільними. Це досить складний випадок, що вимагає детального аналізу ситуації і не має однозначного рішення. Відновлення інформації вимагає інтерактивного втручання експерта, що виконує дослідження. При цьому доцільно застосовувати інші методи дослідження для аналізу змісту окремих кластерів, оскільки прямий візуальний аналіз інформації припускає перегляд декількох мільйонів фрагментів, що, природно, перевищує людські можливості. Стандартні утиліти Windows 95/98/NT/XP не дозволяють відновлювати інформацію в даній ситуації.
   
   1. Збереження інформації.
   1.1. Тверді диски.
   1.2. Гнучкі диски.
   1.3. Оптичні носії інформації (CD, DVD - диски).
   1.4. Флеш-карти пам'яті.
   1.5. Кишенькові комп'ютери.
   1.6. Електронні записні книжки.
   2. Захист інформації від несанкціонованого доступу.
   2.1. Програмні засоби.
   2.2. Апаратні засоби.
   2.3. Програмно-апаратні засоби.
   3. Області застосування комп'ютерної техніки.
   3.1. Облік і контроль (господарська діяльність підприємств і т.д.).
   3.2. Видавнича діяльність (виготовлення документів, грошових знаків і т.д.).
   3.3. Порушення авторських прав (виготовлення програм, виготовлення носіїв аудіо- і відео-інформації).
   3.4. Internet-технології (протизаконне виготовлення і поширення аудіо-візуальної інформації, здійснення незаконних банківських операцій по відмиванню коштів, організація і здійснення операцій, зв'язаних з торгівлею людьми).
   При виконанні слідчих дій треба дотримуватись таких правил:
   Залучати спеціалістів та понятих.
   Знеструмити комп'ютери.
   Зафіксувати в протоколі час відключення комп'ютерів, час проведення огляду (обшуку, вилучення) з обов'язковою вказівкою на факт вимикання комп'ютерів.
   З'ясувати, хто виконує функції адміністрування локальної мережі з метою визначення ступеня відповідальності даної особи за приховання інформації (надання невірних паролів, ключових фраз, електронних ключів і т.д.) і знищення речовинних доказів. Зазначені паролі необхідно внести до протоколу. З'ясувати місце розташування сервера мережі.
   Неприпустимо використовувати при огляді навіть за участю фахівця які-небудь програмні засоби для проведення огляду комп'ютерної техніки.
   Вилучити системний блок.
   
   Примітка : З погляду наявності інформації такі пристрої, як монітор, принтер, сканер, клавіатура та інші, у конструкцію яких не входять запам'ятовуючі пристрої, вилучати безглуздо.
   
   Крім цього використання програмного забезпечення електронних ключів, необхідно вилучати зазначені ключі. Ключі звичайно встановлюються на рознімання рівнобіжного порту, розташовані з тильної сторони комп'ютера і схожі на колодку кабелю принтера.
   Вилучати всі зовнішні носії інформації: диски, карти, кишенькові комп'ютери, електронні записні книжки.
   Системний блок, носії помістити в пакет та опечатати за підписами слідчого, спеціаліста, понятих.
   
   Своєчасне виявлення комп”ютерних засобів і правильна їх виїмка визначає ефективність послідуючої комп”ютерно-технічної експертизи, з метою добування інформації, яка зберігається на магнітних носіях, та виявлення слідів злочинної діяльності.
   Необхідно пом’ятати, що на підприємствах з різними формами власності використовуються деякі злочинні операції, котрі здійснюються за допомогою комп”ютерів, які залишають “сліди” на магнітному носії інформації (вінчестері).
   Виявлення, огляд і виїмка комп”ютерних засобів у ході попереднього слідства можуть здійснюватись під час проведення різних слідчих дій: при огляді, обшуку, виїмки, відтворення обстановки і обставин події.
   
   Необхідно пам”ятати, що приміщення nfкомп”ютерні засоби, як правило, знаходяться під надійною електронною охороною, один неправильний крок може привести до непоправних наслідків. Інформація може бути знищена автоматично : при розкриванні кожуха комп”ютера, відкриванні кімнати, в який знаходиться комп”ютер, при інших обставинах.
   
   На практиці використовуються слідуючи способи знищення важливої інформації, яка зберігається в комп”ютері : дистанційно по локальній мережі, шляхом натискання на тривожну кнопку, передача повідомлення по телефону на пейджер, який міститься в комп”ютері, використання пристрою “брелок-передавач” для відключення охоронної сигналізації автомобіля, чи з допомогою мобільного передавача тощо.
   
   З метою досягнення найбільш сприятливих результатів до участі у слідчій дії необхідно залучати спеціаліста, обізнаної особи в галузі комп”ютерної техніки.
    У керівника фірми необхідно відібрати пояснення, при порушенні кримінальної справи допитати і з”ясувати обставини:
    які засоби охоронної сигналізації і забезпечення безпеки комп”ютерної інформації є, зажадати вилучення документації,
    чи встановлені спеціальні засоби в комп”ютері для знищення інформації на випадок можливості несанкціонованого доступу до неї, витребувати документацію - реквізити організації, яка встановлювала цю систему,
    чи необхідний пароль ( додатковий пристрій - електронний ключ) для доступу до інформації ( окремим програмам, завданням, базам даних тощо), що знаходяться в комп”ютері, або до окремих ділянок інформації. Правила їх використання. Чи призведе порушення цих правил до псування інформації або неможливості її використання,
    чи з”єднані ( підключені) комп”ютери до локальної мережі підприємств ( фірми), об”єднання, яка схема локальної мережі, основні правила її безпечного використання. Після з”ясування цих питань слідчий знайомить спеціаліста з поясненням або протоколом допиту, після чого разом складають план проведення огляду ( як безпечно для комп”ютерної інформації увійти в приміщення, як відключити комп”ютери від мережі, як зупинити їх роботу тощо). Спеціаліст зі складу слідчої групи вживає заходів, спрямованих на недопущення псування інформації, що знаходиться в комп”ютерах.
   
   
    При огляді, обшуку, виїмки забов”язати працівників фірм не покидати свої робочі місця і припинити використання будь-яких засобів зв”язку, екранізувати системні блоки комп”ютера, виключити живлення .
   
    Слідчий, перш за все, візуально фіксує загальну картину місця події, фотографує загальний вигляд обстановки, організує охорону приміщення і спостереження за переміщенням осіб - працівників підприємства.
    Спеціаліст у цей час оперативно виконує дії згідно с планом, складним із слідчим.
   
    Спеціаліст зовнішнім оглядом встановлює такі специфічні обставини, що заносяться в протокол:
   
    наявність безперебійного джерела живлення, переферічних пристроїв та їх коротку характеристику,
    за розміщенням пристроїв на передній панелі системного блоку визначає наявність та види пристроїв, а також пристроїв зчитування кредитних карток, парольних карток тощо, особливо відмічається наявність невідомих йому пристроїв. За можливістю визначає присутність пристроїв для знищення інформації.
    за розміщенням роз”єднань на задній панелі системного блоку визначає наявність ( або відсутність) та види вмонтованих пристроїв: мережевої плати, модему (відмітити, чи був він підключений до телефонної чи якоїсь іншої лінії зв”язку), наявність портів послідовного та паралельного каналів, особливо відмітити, чи були вони підключені до зовнішні ліній зв”язку.
    Огляд закінчується складанням протоколу, схем, плану, виїмкою та опечатуванням матеріалів відеозапису. Системний блок комп”ютера опечатують та вилучають, про що відмічається в протоколі.
   
    Обшук та виїмка
   
   Обшук і виїмка, як і огляд місця події по кримінальних справах про злочини в сфері комп'ютерної інформації, безумовно, мають свої особливості та істотні розходження, однако загальна цель зазначених слідчих дій ( виявлення, фіксація і вилучення доказів здійсненого злочину) обумовлює схожість у методиці і тактиці їхнього проведення.
    обшук і виїмка проводяться тільки по порушеній кримінальній справі,
    якщо при огляді фіксується стан місця події з вилученням виявлених слідів і предметів, то при обшуку і виїмці йде пошук і вилучаються конкретні предмети і документи, що мають доказове значення в справі, а також цінності добуті злочинним шляхом.
   
    Стосовно до комп'ютерних злочинів обшук і виїмка провадяться найчастіше, коли є відомості про осіб, причетних до їх здійснення, способах, засобах чи місці злочинного посягання з використанням комп'ютерних технологій і ймовірному місці перебуванні доказів. При проведенні обшуку та виїмки ( на відзнаку від огляду) коло пошуку звужене не тільки до конкретного приміщення, де знаходиться комп'ютерна техніка, але і найчастіше до окремого комп'ютера.
   
    Обшук( виїмка) проводяться:
   
    на робочому місці конкретної особи в організації, підприємстві, де знаходиться комп'ютерне обладнання,
    у службових приміщеннях організацій, підприємств, з використанням комп'ютерного обладнання яких конкретним чи ще не встановленою особою ( особами) здійснене злочинне посягання на інформаційні бази даних сторонніх організацій і підприємств,
    по місту постійного чи тимчасового проживання підозрюваного чи осіб з найближчого його оточення, де встановлене комп'ютерне обладнання , що використовувалося при здійсненні злочину,
    у будь-якім місці перебування комп'ютерного обладнання ( наприклад, Notbook).
   
   Велике значення при розслідуванні злочинів даної категорії має особистий обшук підозрюваного при його затримці, у результаті якого може бути вилучені персональний комп'ютер та машинні носії, що містять інформацію, яка має доказове значення
   
   Особливу цінність для слідчого як докази представляє інформація, що знаходиться в комп'ютері і на машинних носіях. Вилучення її і запобігання спроб знищення - найважливіша задача слідчого при проведенні обшуку.
   
   На твердих дисках і знімних носіях інформації можуть міститися такі важливі дані, як:
   
    інформація про незаконні бухгалтерські і фінансові операції, зроблених у кредитно-фінансовій сфері,
    програми, що відповідають за проведення електронних платежів, списки зроблених перерахувань з чужих рахунків і кредитних карт,
    переписування співучасників, що стосується організації і виконання злочину,
    дані, що складають державну, комерційну, банківську таємницю, а також порушення авторських і суміжних прав,
    особиста інформація громадян( переписування),
    порнографічні зображення,
    шкідливі програми,
    файли, що містять інформацію про конфіденційні реквізити доступу до системних ресурсів персональних комп'ютерів і нелегального доступу в мережу Інтернет і т.д.
   
    Крім того, при обшуку ( виїмці) варто звертати увагу на повідомлення на дисплеях пейджеров, а також на зміст електронних записних книжок, відкіля можна почерпнути інформацію, що має значення для справи.
   
    Треба мати на увазі, що навіть при знищенні важливої інформації її зміст в окремих випадках може бути відновлено фахівцями.
   
    Немаловажне значення має виявлення і вилучення в приміщеннях, де встановлене комп'ютерне обладнання, традиційних речовинних доказів.
   
    При здійсненні комп'ютерних злочинів носіями потрібної інформації такими можуть бути :
   
    паперові носії інформації ( роздруківки з принтера, у тому числі залишені у середині його), рукописні записи, що містять коди та паролі доступу, тексти програм, чорнові записи і записні книжки з іменами, адресами і номерами телефонів осіб, причетних до злочину, номерами рахунків у банках і кредитних картках і т.д.
    кредитні картки співучасників та третіх осіб, за допомогою яких обналичивались і вилучалися кошти, викрадені з використанням комп'ютерних технологій,
    речі та цінності придбані на викрадені гроші,
    документи, посадові інструкції, що регламентують правила роботи з даною комп'ютерною системою, мережею ( були відомі та умисно порушувалися),
    особисті речі підозрюваного ( обвинувачуваного) і т.д.
   
    На початковій стадії обшуку ( виїмки) необхідно:
   
   1. Після прибуття на місце проведення слідчої дії заборонити всім особам, що знаходиться в приміщенні, доторкатися до комп'ютерів, машинам носіям, включати і виключати апаратуру і енергоживлення. Будь-які спроби здійснити які-небудь дії з комп'ютером чи підключеними до нього пристроями можуть бути розцінені як спроба знищення доказів, що варто відобразити в протоколі.
   2. Зробити оглядову фото і відеозйомку приміщення, яке обшукується, і комп'ютерного обладнання, що знаходиться в ньому, до того як приступити до виробництва слідчих дій.
   3. Визначити обсяг майбутніх слідчих дій.
   4. Вжити додаткових заходів по забезпеченню схоронності інформації, в цих цілях слід:
    оперативно вирішити питання з фахівцем про від'єднання системи від мереж і модемів, щоб ніхто не міг стерти чи змінити інформацію з використанням комп'ютерного обладнання поза приміщенням,
    заздалегідь по можливості, визначити ділянки комп'ютерної мережі, де можуть бути виявлені електронні докази, і взяти їх під контроль.
   
    При працюючому комп'ютері необхідно :
   
    визначити, яка програма використовується на початку обшуку ( огляду, виїмки) при виявленні працюючої програми по знищенню інформації зупинити її;
    встановити в комп'ютері наявність зовнішніх пристроїв - нагромаджувачів інформації на твердих дисках ( вінчестері), а також зовнішніх пристроїв вилученого доступу до системи ( підключення до локальної мережі, наявність модемів);
    відключити від мережі комп'ютер і виключити модем.
   
   
   
   
   
    При непрацюючому комп'ютері необхідно:
   
    зафіксувати в протоколі, місцезнаходження цікавлячого слідство комп'ютера і його периферійних пристроїв, указавши кожен пристрій ( назва, серійний номер, комплектація: наявність і тип дисководів, мережних карт та ін.), наявність з'єднання з локальною мережею чи мережами телекомунікації, стан пристроїв;
    зафіксувати порядок з'єднання між собою зазначених пристроїв;
    зробити пошук та фіксацію на комп'ютері і пристроях, біля комп'ютерного обладнання на робочому столі та в інших місцях службового приміщення, слідів пальців рук на поверхні комп'ютера.
   
   
   Примітка:
    1) Провадження всіх подальших процедур з опечатаним комп”ютером необхідно доручити експерту в постанові про призначення комп”ютерної криміналістичної експертизи. ( Не в якому разі під час виїмки комп”ютера. а також і після її, не використовувати комп’ютер в яких би то ні було цілях).
    2) При виїмці комп”ютерної техніки не в якому разі не організовувати її огляд, що може привести до непоправних наслідків, інформація на вінчестері може бути знищена автоматично або змінена.
   
   Основними завданнями експертизи комп”ютерної техніки та програмних продуктів є встановлення технічного стану комп”ютерної техніки, виявлення інформації, що міститься на комп”ютерних носіях, та визначення її цільового призначення, встановлення відповідності програмних продуктів певним параметрам, встановлення авторства програмного продукту, визначення вартості програмного продукту, визначення вартості комп”ютерної техніки.
   
   Орієнтовний перелік вирішуваних питань
   
   Які технічні несправності має даний комп”ютер або його окремі блоки та пристрої, як ці несправності впливають на роботу комп”ютера ( блока, пристрою)?
    Чи міститься на даному носії якась інформація, і якщо так, то яке її цільове призначення?
    Чи є на носії інформація, що була знищена, і чи можна її відновити?
    Чи можна за допомогою даного програмного продукту реалізувати функції, передбачені технічним завданням на його розробку?
    Чи можливе вирішення певного завдання за допомогою даного програмного продукту?
    Чи відповідає стиль програмування досліджуваного програмного продукту стилю програмування певної особи?
    Чи відповідають прийоми і засоби програмування, що використовувалися при створенні досліджуваного програмного продукту, прийомам і засобам, які властиві даному програмісту?
    Яка вартість програмного забезпечення на час його придбання, вилучення, проведення експертизи?
    Яка вартість окремих модулів, що входять до складу програмного продукту?
    Яка вартість комп”ютерної техніки, окремих комплектуючих на час придбання, вилучення, проведення експертизи?
    Чи можливо за допомогою даного системного блока, принтера, сканера і встановлене на їх магнітне накоплення системного блока програмне забезпечення виготовлять подроблені грошові знаки ?
    Чи міститься серед файлів записаних на даному магнітному носії документи, які відносяться к діяльності фірм ?
    Чи було зроблено документ за допомогою представленого на дослідження персонального комп”ютера?.
    Чи відповідають комплектуючі обчислювальної системи комплектуючим, характеристики котрих описані в представленої на дослідження специфікації?
   
    Для дослідження інформації, що міститься на комп”ютерних носіях, експертові надається сам комп”ютерний носій, а також комп”ютерний комплекс, до складу якого входить досліджуваний носій. В деяких випадках можна обмежитися наданням тільки комп”ютерного носія. При можливості необхідно до проведення такого дослідження попередньо проконсультуватись з експертом.
   
    Для встановлення відповідності програмних продуктів певним параметрам, а також вартості програмного продукту експертові надається носій з копією досліджуваного програмного продукту і еталонна ( дистрибутивна) копія програмного продукту. У разі відсутності дистрибутивної копії програмного продукту не слід відмовлятися від призначення експертизи, оскільки в окремих випадках її можна провести за наявності копії програмного продукту.
   
   Для дослідження технічного стану і визначення вартості комп”ютерної техніки експертові надається сама комп”ютерна техніка, а також технічна документація до неї. Вилучення блоків комп”ютерної техніки слід доручати експертові.
   
    Для встановлення авторства досліджуваного програмного продукту експертові надаються самі програми у вигляді вихідних текстів, бібліотечних та виконуваних модулів, а також програми ( вихідні тексти, бібліотечні та виконувані модулі), що створені особою, щодо якої перевіряється версія, чи вона є автором досліджуванного продукту.
   
    Щоб визначити, які саме об”єкти слід надавати експертові в кожному конкретному випадку, доцільно отримати консультацію експерта ( спеціаліста) в галузі комп”ютерної техніки.
   
   

Автор: lessis | Відгуки: 0 | Перегляди: 6200 | 02/08/2011 Закон і Право - Перевірки

Ссылка на статью:


Коментарій

Оставить комментарий
Ваше имя:
Комментарий:
Введите текст, изображенный на картинке:
 
 укр  |  рус  |  eng 
23.10.2020 14:46

Батько загиблого розвідника подав позов проти Зеленського

Батько загиблого на Донбасі розвідника Ярослава Журавля, Сергій Журавель подав позов проти президента Володимира Зеленського через перевищення ним службових повноважень.
23.10.2020 14:42

1200 грн на руки і більше 100 млн на все: в ОПОв дізналися, скільки коштуватиме "Зе-опитуваня"

На організацію і роботу волонтерів для проведення опитування з ініціативи президента Володимира Зеленського партії "Слуга народу" необхідно витратити 75 млн грн, а максимальна сума витрат може досягти 103 млн грн.
23.10.2020 14:22

Стало відомо, чого хоче Боголюбов від уряду у справі Приватбанку

Колишній акціонер Приватбанку Геннадій Боголюбов просить повернути йому 33,3% акцій фінустанову, що належали бізнесмену до націоналізації банку.
23.10.2020 13:41

Суд відмовився скасовувати опитування Зеленського

Окружний адміністративний суд Києва відмовився визнати протиправним оголошення президента Володимира Зеленського про проведення всенародного опитування громадської думки 25 жовтня 2020 року на виборчих дільницях.
23.10.2020 12:52

США завдали авіаудару в Сирії: вбито кількох ватажків "Аль-Каїди"

Армія США завдала авіаудару у провінції Ідліб на північному заході Сирії, внаслідок чого було вбито кількох ватажків терористичного угруповання "Аль-Каїда" у цій країні.
23.10.2020 12:01

США перед виборами звинуватили в атаках російських хакерів

Уряд США звинуватив підтримуваних державою російських хакерів у атках на десятки державних і місцевих урядових мереж протягом останніх тижнів. 
23.10.2020 10:52

Аграрії попереджають про ризики обвалу ринку зернових

Міністерство розвитку економіки, торгівлі та сільського господарства анонсувало проведення наради з представниками аграрних асоціацій щодо проблем з невиконанням форвардних контрактів.
23.10.2020 10:41

В Україні оновили перелік "червоних" зон

Комісія з питань техногенно-екологічної безпеки та надзвичайних ситуацій оновила перелік міст, які потрапили у червону, помаранчеву та інші зони, через показник захворюваності на коронавірус.
Усі новини