Входящая криминальная абонентская активность также может быть классифицирована по нескольким основаниям:
а) по географическому признаку:
- входящие мобильные локальные соединения (из той же области подключения);
- входящие мобильные междугородние соединения;
- входящие мобильные международные соединения;
б) по временным факторам:
- по времени суток;
- по дням недели;
- по особым периодам и событиям;
- по количеству входящих соединений за определенный интервал(ы) времени;
- по длительности входящих соединений за определенный интервал(ы) времени;
- по общему времени входящих соединений за определенный интервал времени (начиная с первого соединения в рамках определенного временного интервала);
в) по направленности входящих соединений:
- повторяющиеся соединения, исходящие от одного и того же номера проводной сети связи;
- повторяющиеся соединения, исходящие от одного и того же номера сотовой подвижной связи;
- повторяющиеся соединения, исходящие от одного и того же номера иных видов связи;
- повторяющиеся соединения, исходящие от одного и того же номера или разных номеров льготного тарифа;
- повторяющиеся соединения, исходящие от одного и того же freefone номера или разных freefone номеров;
г) по типу мобильного соединения – входящие соединения – конференции.
3. Идеальные следы остаются в памяти свидетелей и потерпевших, в числе которых сотрудники компании-оператора, легальные пользователи и др.
Следы при совершении рассматриваемого вида криминальных действий редко остаются в виде изменений внешней среды, что должно учитываться при сборе доказательств и поиске так называемых «традиционных» следов. Поэтому одной из основных задач успешного раскрытия и расследования «мошенничества» в сети сотовой связи является обеспечение следователем и другими уполномоченными лицами сохранности доказательственной информации, сбор и фиксация следов на стадии рассмотрения сообщения о возбуждении уголовного дела и первоначальном этапе расследования.
8.3 Экспертные исследования
В зависимости от стоящих перед следствием задач и спецификой объектов исследования для установления конструктивных особенностей и состояния компьютеров, периферийных устройств, магнитных носителей и пр., компьютерных сетей, причин возникновения сбоев в работе указанного оборудования, а также изучения информации, хранящейся в компьютере и на магнитных носителях, назначается компьютерно-техническая экспертиза. Рассмотрим методические рекомендации по расследованию преступлений в сфере компьютерной информации[98].
8.3.1 Объекты компьютерно-технической экспертизы
К объектам компьютерно-технической экспертизы относятся:
1. Компьютеры в сборке, их системные блоки.
2. Периферийные устройства (дисплеи, принтеры, дисководы, модемы, клавиатура, сканеры, манипуляторы типа «мышь», джойстики и пр.), коммуникационные устройства компьютеров и вычислительных сетей.
3. Магнитные носители информации (жесткие и флоппи-диски, оптические диски, ленты).
4. Словари поисковых признаков систем (тезаурусы), классификаторы и иная техническая документация, например, технические задания и отчеты.
5. Электронные записные книжки, пейджеры, телефонные аппараты с памятью номеров, иные электронные носители текстовой или цифровой информации, техническая документация к ним.
В системе Министерства внутренних дел России в настоящее время нет специальных экспертных подразделений, которые производят компьютерно-технические экспертизы носителей машинной информации, программного обеспечения, баз данных и аппаратного обеспечения ЭВМ. В связи с этим они могут быть назначены специалистам соответствующей квалификации из внеэкспертных учреждений. В частности, такие специалисты могут быть в информационных центрах, учебных и научно-исследовательских заведениях МВД России. Кроме того, для производства этого вида экспертиз можно привлекать специалистов учебных и научно-исследовательских заведений, не относящихся к системе МВД России, фирм и организаций, занимающихся разработкой программного и аппаратного обеспечения для компьютеров, их эксплуатацией и ремонтом. Данный вид экспертиз может быть поручен специалистам в области эксплуатации ЭВМ (системным программистам, инженерам по обслуживанию, непосредственно работающим с данного вида носителями и др.) и программистам, которые обладают соответствующей квалификацией.
При вынесении постановления о назначении компьютерно-технической экспертизы следователем в постановлении о ее назначении обязательно указываются серийный номер компьютера и его индивидуальные признаки (конфигурация, цвет, надписи на корпусе и т.д.).
Учитывая, что компьютерно-техническая экспертиза – новый формирующийся род судебных экспертиз, необходимость в которых обусловливается широким внедрением компьютерных технологий практически во все сферы человеческой деятельности, полезным будет дать краткую характеристику ее возможностей.
В настоящее время в рамках таких экспертиз выделяются два вида:
- техническая экспертиза компьютеров и их комплектующих, которая проводится в целях изучения конструктивных особенностей и состояния компьютера, его периферийных устройств, магнитных носителей и пр., компьютерных сетей, а также причин возникновения сбоев в работе вышеуказанного оборудования;
- экспертиза данных и программного обеспечения, осуществляемая в целях изучения информации, хранящейся в компьютере и на магнитных носителях.
8.3.2 Вопросы, выносимые на разрешение компьютерно-технической
экспертизы
Вопросы, выносимые на разрешение компьютерно-технической экспертизы, в зависимости от вида экспертизы также подразделяются на следующие группы:
1. Вопросы, разрешаемые технической экспертизой компьютеров и их комплектующих (диагностические):
1. Компьютер какой модели представлен на исследование? Каковы технические характеристики его системного блока и периферийных устройств? Каковы технические характеристики данной вычислительной сети?
2. Где и когда изготовлен и собран данный компьютер и его комплектующие? Осуществлялась ли сборка компьютера в заводских условиях или кустарно?
3. Соответствует ли внутреннее устройство компьютера и периферии прилагаемой технической документации? Не внесены ли в конструкцию компьютера изменения (например, установка дополнительных встроенных устройств: жестких дисков, устройств для расширения оперативной памяти, считывания оптических дисков и пр., иные изменения конфигурации)?
4. Исправен ли компьютер и его комплектующие? Каков их износ? Каковы причины неисправности компьютера и периферийных устройств? Не содержат ли физических дефектов магнитные носители информации?
5. Не производилась ли адаптация компьютера для работы с ним специфических пользователей (левша, слабовидящий и пр.)?
6. Каковы технические характеристики иных электронных средств приема, накопления и выдачи информации (пейджер, электронная записная книжка, телефонный сервер)? Исправны ли эти средства? Каковы причины неисправностей?
2. Диагностические вопросы, разрешаемые экспертизой данных и программного обеспечения:
1. Какая операционная система установлена в компьютере?
2. Каково содержание информации, хранящейся на внутренних и внешних магнитных носителях, в том числе какие программные продукты там находятся? Каково назначение программных продуктов? Каков алгоритм их функционирования, способа ввода и вывода информации? Какое время проходит с момента введения данных до вывода результатов при работе данной компьютерной программы, базы данных?
3. Являются ли данные программные продукты лицензионными (или несанкционированными) копиями стандартных систем или оригинальными разработками?
4. Не вносились ли в программы данного системного продукта какие-либо коррективы (какие), изменяющие выполнение некоторых операций (каких)?
5. Соответствует ли данный оригинальный компьютерный продукт техническому заданию? Обеспечивается ли при его работе выполнение всех предусмотренных функций?
6. Использовались ли для ограничения доступа к информации пароли, скрытые файлы, программы защиты и пр.? Каково содержание скрытой информации? Не предпринимались ли попытки подбора паролей, взлома защитных средств и иные попытки несанкционированного доступа?
7. Возможно ли восстановление стертых файлов? Возможно ли восстановление дефектных магнитных носителей информации? Каково содержание восстановленных файлов?
8. Каков механизм утечки информации из локальных вычислительных сетей, глобальных сетей и распределенных баз данных?
9. Имеются ли сбои в функционировании компьютера, работе отдельных программ? Каковы причины этих сбоев? Не вызваны ли сбои в работе компьютера влиянием вируса (какого)? Распространяется ли негативное влияние вируса на большинство программ или он действует только на определенные программы? Возможно ли восстановить в полном объеме функционирование данной программы (текстового файла), поврежденного вирусом?
10. Каково содержание информации, хранящейся на пейджере, в электронной записной книжке и пр.? Имеется ли в книжке скрытая информация и каково ее содержание?
11. Когда производилась последняя корректировка данного файла или инсталляция данного программного продукта?
12. Каков был уровень профессиональной подготовки в области программирования и работы с компьютерной техникой лица, произведшего данные действия с компьютером и программным обеспечением?
3. Вопросы идентификационного характера, разрешаемые компьютерно-технической экспертизой:
1. Имеют ли комплектующие компьютера (печатные платы, магнитные носители, дисководы и пр.) единый источник происхождения?
2. Не написана ли данная компьютерная программа определенным лицом (решается комплексно при производстве компьютерно-технической и автороведческой экспертиз)?
Кроме приведенного выше перечня вопросов, разрешаемых компьютерно-технической экспертизой, для использования на практике, в зависимости от объекта исследования и конкретной обстановки, можно привести дополнительные примеры, расширяющие перечень вопросов, подлежащих выяснению при исследовании таких объектов, как носители информации, программное обеспечение, базы данных и аппаратное обеспечение ЭВМ.
8.3.3 Перечень вопросов, разрешаемых при исследовании носителей
машинной информации
При исследовании носителей машинной информации разрешаются следующие вопросы:
1. Каков тип носителя, его технические характеристики (на каких типах ЭВМ может быть использован, максимально допустимая емкость записи и пр.)?
2. Имеет ли носитель механические повреждения?
3. Как размечен носитель, в каком формате информация записана на него?
4. Какая информация записана на данный носитель?
5. Как информация физически размещена на носителе (для лент – последовательность записи, для дисков – сектора, дорожки, цилиндры и пр.)?
6. Как информация размещена логически на носителе (файлы, каталоги, логические диски)?
7. Имеются ли повреждения информации (плохие сектора, потерянные блоки и пр.)?
8. Возможна ли коррекция информации на носителе?
9. Имеется ли на носителе компьютерный вирус, если да, то какой, какие изменения вносит и возможна ли его нейтрализация без ущерба для информации?
10. Являются ли изменения на носителе результатом действия вируса?
11. Возможно ли копирование информации с данного носителя и возможно ли физическое копирование носителя в целом?
12. При повреждении носителя возможно ли восстановление информации?
13. Какая информация ранее была записана на данный носитель (отмечена как стертые файлы) и возможно ли ее восстановление?
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37
