Молодой здоровый вирус (В. Погуляев, "эж-ЮРИСТ", N 23, июнь 2004 г.)

Молодой здоровый вирус

Проблема достоверности доказательств актуальна для любого вида процесса. Какими бы ни были процедуры ее определения, в дальнейшем суды будут обращать все более пристальное внимание на то, как доказательства получены и имеют ли представившие данные доказательства сотрудники необходимую квалификацию для их исследования. Рассмотрим ряд важных моментов, характеризующих экспертизу по делам, связанным с компьютерной техникой.

Высокая латентность

Правонарушения, совершаемые с использованием компьютерной техники и телекоммуникационных сетей связи, характеризуются высокой степенью латентности. Основной их отличительной чертой является то, что злоумышленник может совершать противоправные действия, не покидая своей квартиры, дачи или офиса.

Компьютерные преступления, в том числе хакерские "атаки" финансовых систем и крупных информационных порталов, давно приобрели уже не только организованный, но и трансграничный характер. Универсальные возможности сети Интернет позволяют нарушителям из разных стран договориться и координировать свои деструктивные действия.

Рост численности преступлений, совершаемых в сфере информационного обмена, их многочисленные разновидности и изощренность, способность нарушителей оперативно устранять следы своего вмешательства в нормальное течение информационных процессов - все это обусловливает необходимость в постоянном повышении квалификации, уровня знаний и подготовки правоведов и других специалистов, которые вынуждены противостоять хакерам и другим компьютерным злоумышленникам.

Несмотря на свою "молодость" по отношению к другим более древним видам противоправных деяний, компьютерная преступность уже имеет свою многолетнюю историю. Первые компьютерные преступления были зарегистрированы в конце 60-х годов прошлого века. Начиная с 90-х годов крупнейшие банки России вовсю подвергались хакерским "атакам".

Классификация преступлений

Существует Кодификатор Генерального Секретариата Интерпола, который делит компьютерные преступления определенным образом. В их число входят: 1) QA - несанкционированный доступ и перехват; 2) QD - изменение компьютерных данных; 3) QF - компьютерное мошенничество; 4) QR - незаконное копирование; 5) QS - компьютерный саботаж; 6) QZ - прочие компьютерные преступления (QZB - с использованием компьютерных досок объявлений; QZE - хищение информации, составляющей коммерческую тайну; QZS - передача информации, подлежащая судебному рассмотрению; QZZ - прочие компьютерные преступления).

Учитывая вышесказанное, очевидно, что для раскрытия преступлений в этой сфере, всестороннего и правильного рассмотрения дела в суде и вынесения обоснованного решения во многих случаях (а точнее - в большинстве) требуются специальные познания в области компьютерной техники.

Изучение состояния компьютерной информации, изменений, которые она претерпела в тот или иной период времени, носителей, на которых она содержится, программного и аппаратного обеспечения электронно-вычислительных машин, подвергшихся несанкционированному воздействию "извне", а также устройств, при помощи которых это воздействие предположительно осуществлялось, - способы исследования, именуемого в литературе компьютерной, компьютерно-технической, информационно-технической экспертизой.

Назначение экспертизы

Указанная экспертиза в основном назначается по уголовным делам. Однако ее роль представляется немаловажной также в гражданском и арбитражном процессе.

Назначается и проводится компьютерная экспертиза строго в соответствии с нормами УПК РФ, ГПК РФ и АПК РФ, а также Федерального закона от 31.05.2001 N 73-ФЗ "О государственной судебно-экспертной деятельности в Российской Федерации". Прежде всего это касается оснований и процедуры изъятия (ареста) средств компьютерной техники для проведения экспертизы.

Любые, на первый взгляд оперативные, а на деле безосновательные или совершенные с превышением полномочий, действия правоохранительных органов или суда в данном случае могут повлечь не только нарушения прав собственности отдельных лиц, но и простой в экономической деятельности целой организации и, как следствие, причинить значительные убытки. Отметим, что методика изъятия компьютерной техники подробно описана в специальной литературе (см., например: Россинская Е. Р. Судебная экспертиза в уголовном, гражданском, арбитражном процессе. - М.: Право и закон, 1996).

Привлечение специалиста

Нельзя не упомянуть о существовании еще одной процессуальной формы использования специальных познаний - участии специалиста. Специалист призван содействовать в обнаружении, закреплении и изъятии доказательств путем применения своих профессиональных знаний и навыков. Его участие очень важно на стадии проведения дознания и предварительного следствия.

Кроме того, специалист нередко привлекается для выполнения работ, предшествующих экспертизе, и, по сути, обеспечивающих ее проведение. Например, без его рекомендаций не следует отключать, упаковывать и транспортировать компьютерную технику.

В случае если компьютерную технику невозможно транспортировать, специалист привлекается для копирования необходимой информации (однако в этом случае существует риск упустить важные детали, так как какую именно информацию копировать, предстоит решать на месте) либо изъятия из компьютера "жесткого" диска и иных устройств, на которых может содержаться значимая для дела и экспертизы информация.

Квалификация эксперта и специалиста

Как отмечалось в литературе, понятие "специалист по компьютерной технике" не существует*(1), несмотря на широко распространенное убеждение в противоположном. Каждый специалист в области информационных технологий (IT) имеет, как правило, четкую, а во многих случаях - достаточно узкую, специализацию. Например, специалист по Windows зачастую не разбирается в Microsoft DOS и Unix.

Поэтому к проведению работ по сбору, фиксированию, обработке доказательств, а также экспертизе по делам, связанным с правонарушениями в области компьютерной информации, необходимо привлекать профессионала в той или иной конкретной области IT.

Сказанное касается не только программистов, но и лиц, обслуживающих операционные системы, аппаратное обеспечение ЭВМ, средства связи. Специальные познания в сфере IT могут быть условно разделены на четыре сферы:

- информационные процессы;

- межкомпьютерное (сетевое) взаимодействие;

- программирование;

- автоматизация.

В связи с этим во многих случаях существует необходимость в проведении комплексной экспертизы. Таковая назначается судом согласно ст. 82 ГПК РФ в том случае, если установление обстоятельств по делу требует одновременного проведения исследований с использованием различных областей знания или различных научных направлений в пределах одной области знания.

К примеру, компьютерная экспертиза может включать в себя исследования программного и аппаратного комплексов, сетей связи, поэтому комплексная компьютерная экспертиза иногда содержит элементы судебной автороведческой, судебной инженерно-технической, судебной психологической, различных судебно-экономических экспертиз.

Одной из наиболее сложных компьютерных экспертиз является компьютерно-сетевая (телематическая). Не менее трудоемки и функции специалистов по сбору, фиксации доказательств и подготовке к данной экспертизе.

Выявление нарушений

Чтобы доказать факт злоумышленного проникновения из Интернета и выявить его источник необходимо провести подробное изучение всего программного обеспечения, содержащегося на компьютере-"жертве". Внимание специалистов прежде всего будет обращено на интернет-браузеры, загрузочные компоненты интернет-приложений и следы (последствия) работы с ними, кэш-память. Будут проанализированы настройки удаленного доступа (в том числе протокола ТСР/IP и конфигурации DNS), имеющиеся на компьютере протоколы соединений.

Решающее значение порой имеют оперативные эксперименты, проводимые с учетом положений Федерального закона от 31.05.2001 N 73-ФЗ "Об оперативно-розыскной деятельности". Например, преднамеренное "заражение" распространяемым по сети конкретным компьютерным "червем" или "троянцем", а затем слежение за его работой и выявление получателей передаваемой им информации с помощью специальных программных средств.

Для определения подозреваемого (или, по крайней мере, круга подозреваемых лиц) могут быть использованы средства интерактивного общения (чаты, ICQ и т. д.). Нередко хакеры охотно делятся своими "успехами" в кругу коллег. Поэтому, осуществив авторизацию на соответствующем хакерском форуме (чате) и используя особый NIC-name (псевдоним), вполне можно выяснить если не имя и конкретные координаты нарушителя, то какую-то определенную информацию о нем (адрес личного сайта, электронной почты и т. д.). Такие действия правоохранительных органов по своему содержанию и смыслу подпадают еще под одно оперативно-розыскное мероприятие, предусмотренное вышеназванным Законом, - оперативное внедрение.

Более того, компьютерная экспертиза может осуществляться экспертами государственных и негосударственных судебно-экспертных учреждений. Государственными судебно-экспертными учреждениями являются специализированные учреждения федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, созданные для обеспечения исполнения полномочий судов, судей, органов дознания, лиц, производящих дознание, следователей и прокуроров посредством организации и производства судебной экспертизы (ст. 11 ФЗ "Об оперативно-розыскной деятельности").

С 1996 года экспертизы подобного рода на первых порах эпизодически, а затем и систематически, стали проводиться в экспертно-криминалистических подразделениях ОВД и судебно-экспертных учреждениях Минюста России*(2).

В. Погуляев,

заместитель генерального директора,

начальник договорного отдела ООО "Юридическое агентство "КОПИРАЙТ"

"эж-ЮРИСТ", N 23, июнь 2004 г.

------------------------------------------------------------------------------

*(1) Курушин В. Д., Минаев В. А. Компьютерные преступления и информационная безопасность. - М.: Новый Юрист, 1998, с. 157.

*(2) Россинская Е. Р., Усов А. И. Судебная компьютерно-техническая экспертиза. - М.: Право и закон, 2001, с. 11.