книги / Теория и практика борьбы с компьютерной преступностью

Рассматривая Internet как элемент информационно-разведывательного ресурса применительно к анализу открытой информации, обратим внимание на то, что существуют основные (стандартные) и дополнительные средства поиска информации.

Для решения стандартных, часто встречающихся поисковых задач сеть имеет стандартные средства —специально разработанные для этой цели программные инструменты. Данные средства поиска работают автоматиче­ ски и достаточно быстро отвечают на запрос. К ним относятся так называе­ мые «машины поиска» (Search Engine - SE) типа Yahoo, Altavista, Rambler, Infoseek, HotBot, WebCrawler, Excite и др.

Указанные системы позволяют осуществлять наиболее часто примени­ мый пользователями контекстный поиск в реальном масштабе времени.

Дополнительные средства поиска используют возможности, предостав­ ляемые некоторыми другими службами сети, ее персоналом и абонентами. Эти способы являются дополнительными, поскольку они:

■не предназначены для массового применения;

■не являются универсальными (накапливают адреса в недостаточном объеме или по узким направлениям);

■не являются стандартными или обязательными для того, кто их предос­ тавляет.

Характерным примером использования дополнительного способа поиска является, например, публикация вопроса в соответствующей телеконферен­ ции, когда кто-то обращается к ее участникам с просьбой оказать содейст­ вие в том или ином вопросе.

С появлением Internet резко возросла актуальность исследований семан­ тических аспектов информации. Эффективность работы поисковых машин существенно зависит от их способности учитывать морфологическую структуру запроса.

Наилучшими возможностями учета русской морфологии обладает поис­ ковая машина .Hndex-Web. Она еженедельно обходит 5 тыс. серверов, спи­ сок которых пополняется. При индексировании проверяется уникальность документов, т. е. если документ существует в нескольких кодировках и (или) на нескольких зеркалах, то в списке найденных он будет указан один раз (и соответственно один раз учтен в статистике).

Алгоритмы морфологического разбора основаны на морфологическом словаре, т. е. умеют нормализовать слова, находить их начальную форму. Для неизвестных слов строится гипотетическая словарная статья, позво­ ляющая обрабатывать такие слова аналогично известным.

Язык запросов включает стандартные операторы (И, ИЛИ), операторы

'исключения (И, НЕ), а также позволяет осуществлять поиск: [• внутри абзаца;

'* внутри документа; ■ в заголовках и других полях;

реализован также запрос по точной словоформе.

Найденные документы сортируются по релевантности, которая учитыва­ ет не только относительную частоту слов для данного документа, но и рас­ стояние между словами, а также положение слова в документе.

На основе законодательства Российской Федерации и технических тре­ бований, утвержденных ФСБ России, разработана система технических средств по обеспечению оперативно-розыскных мероприятий (СОРМ) на сетях документированной электросвязи, используемых для предоставления пользователям услуг телематических служб, передачи данных и доступа к Internet.

В состав СОРМ входят:

■аппаратно-программные средства, обеспечивающие реализацию требо­ ваний к СОРМ и входящие в состав удаленного пункта управления (ПУ)-АПССОРМПУ;

«аппаратно-программные средства, обеспечивающие реализацию требо­ ваний к СОРМ и входящие в состав оборудования узлов сети ДЭС - АПС СОРМ СДЭС;

■канал связи (линии связи и каналообразующая аппаратура), обеспечиваю­ щий организацию связи между АПС СОРМ СДЭС и АПС СОРМ ПУ;

■программные средства обеспечения безопасности и конфиденциально­ сти работы СОРМ.

Управление СОРМ СДЭС осуществляется из ПУ путем его взаимодей­ ствия с АСП СОРМ СДЭС по каналам связи, обеспечивающим передачу команд управления от ПУ в АПС СОРМ СДЭС и передачу информации из АПС СОРМ СДЭС в ПУ.

СОРМ обеспечивает передачу в ПУ по запросу оператора ПУ информа­ ционной базы пользователей СДЭС, содержащей следующие сведения об абонентах сети:

■дату регистрации в сети ДЭС;

■электронный адрес;

■регистрационный адрес;

■предоставляемые дополнительные виды обслуживания, в том числе межсетевой роуминг и услуги голосовой связи.

СОРМ обеспечивает определение:

■телефонного номера абонента при использовании последним телефон­ ной сети общего пользования (при наличии в этой сети такой возможно­ сти) для реализации услуг телематических служб и передачи данных;

■электронного адреса абонента при использовании последним иных теле­ коммуникационных сетей для реализации телематических служб и пере­ дачи данных.

Время реакции СОРМ с момента ввода команды с ПУ до передачи под­ тверждения об ее исполнении АПС СОРМ СДЭС составляет не более 30 с.

§4.3. Комплексная компьютерно-техническая

итехнико-криминалистическая экспертиза документов, изготовленных на матричных игольчатых принтерах

Одним из современных проявлений преступной деятельности является криминальное вмешательство в деятельность юридических и физических лиц путем фальсификации финансово-экономической и иной отчетной до­ кументации.

Снеобходимостью исследования поддельных документов, ценных бумаг

иденежных знаков, оттисков печатей, изготовленных с применением со­ временных информационных технологий, связан первый опыт проведения комплексных экспертиз в рассматриваемой сфере.

Сегодня комплексная КТЭ и технико-криминалистическая экспертизы до­ кументов (ТКЭД) представляют собой исследование, проводимое для решения вопросов диагностики и идентификации документов, выполненных с использо­ ванием СКТ. Объектами является как часть объектов КТЭ, предназначенных для создания, хранения и передачи информации, так и часть объектов ТКЭД - документы на бумажных носителях. В качестве объектов может выступать по­ лиграфическое оборудование, интегрированное с СКТ. Однако чаще всего на экспертизу направляются такие периферийные устройства, как принтеры, плот­ теры, а также факсы и копировальные аппараты.

Задачи комплексного экспертно-криминалистического исследования до­ кументов, изготовленных на матричных игольчатых принтерах, подробно рассмотрены в диссертации А. В. Гортинского [136]. При этом произведено разграничение объектов и предметов двух самостоятельных родов судебной экспертизы: КТЭ и технико-криминалистической экспертизы документов.

Вцелом оба исследования направлены на изучение системы свойств всего аппаратно-программного комплекса, использованного при изготовлении документа (рис. 3.4.2).

Рис. 3.4.2

По А. В. Гортинскому, задачами экспертного исследования документов, изготовленных с использованием принтера, входящими в сферу ТКЭД, яв­ ляются:

■ диагностика и идентификация принтера;

°диагностика программного обеспечения компьютера, управлявшего ра­ ботой принтера в момент изготовления документа.

Ксфере КТЭ могут быть отнесены следующие задачи:

■диагностика аппаратного и программного обеспечения компьютера, управлявшего процессом подготовки и печати документа;

■идентификация программного обеспечения и файлов данных либо ин­ формационных фрагментов, использованных для подготовки документа на принтере.

Вкачестве источников криминалистически значимой информации вы­ ступают следующие компоненты аппаратно-программного комплекса под­ готовки документов:

■элементы исполнительного механизма принтера (иглы печатающей го­ ловки, бумагопроводящее устройство, горизонтальный механизм пози­ ционирования печатающей головки, устройство подачи бумаги);

■программное обеспечение принтера (знакогенератор, язык управления работой принтера);

■программное обеспечение компьютера (программа, управляющая компо­ новкой и форматированием текстовой информации; программа, управ­ ляющая процессом печати; операционная система компьютера и исполь­ зуемый драйвер печати; данные, служащие прообразом текстовой части документа).

Экспертному исследованию подлежат:

■расстояния между оттисками игл печатающей головки принтера;

■взаиморасположение оттисков игл;

■форма этих оттисков;

■относительная интенсивность окраски оттисков;

■размер оттисков.

Программные и аппаратные компоненты принтера классифицируются в зависимости от их замены либо от возможности перенастройки их парамет­ ров. Соответственно определена и криминалистическая значимость произ­ водных от этих компонентов признаков. Исполнительные элементы, кото­ рые трудносменяемы, формируют и наиболее устойчивые идентификаци­ онные признаки. Легкосменяемые исполнительные элементы принтера с точки зрения процесса идентификации вносят помехи в идентификацион­ ные поля признаков, характеризующих данное печатающее устройство.

Позиционирующий механизм бумагопроводящего устройства. Свойст­ вами данного механизма обусловливается вертикальное разрешение мат­ ричного игольчатого принтера и возможность качественной печати.

Механизм горизонтального позиционирования печатающей головки. Свойствами данного механизма обусловливается горизонтальное разреше­ ние принтера, возможность и качество двунаправленной печати. Некоторые модели матричных принтеров обладают особенностью автоматически пере­ ходить в режим однонаправленной печати в случае, если в печатаемых под­ ряд строках встречаются псевдографические символы, т. е. независимо от программного обеспечения компьютера.

Другой особенностью ряда моделей принтеров является автоматическое установление в начале каждой страницы на определенном интервале режи­ ма однонаправленной печати.

Опорный валик и прижимные ролики служат источниками появления следующих устойчивых признаков:

■различного расстояния между началом строк;

■смещения строк текста влево или вправо от строчки к строчке на одина­ ковое расстояние по горизонтали;

■наличия на бумаге следов давления роликов прижимного механизма.

Печатающая головка. Признаками, индивидуализирующими печатаю­ щую головку принтера, являются:

"индивидуальное расположение оттиска каждой иглы относительно от­ тисков остальных игл;

■неодинаковая относительная интенсивность окраски оттисков игл в вер­ тикальном штрихе символа;

■неодинаковая интенсивность окраски оттиска одной иглы. К общим признакам печатающей головки относятся:

■размер оттиска иглы (от 0,3 до 0,2 мм);

■максимальное количество оттисков игл в вертикальных штрихах ядоволов;

■форма оттиска иглы (овальная, прямоугольная).

Ленточный картридж и величина удаления печатающей головки от опорного валика служат источником шумовых признаков, поскольку обла­ дают легкой сменяемостью и перенастройкой. В основном они влияют на интенсивность окраски оттиска иглы и иногда на его видимое положение. Кроме того, состояние ленточного картриджа влияет на качество двуна­ правленной печати (величину смещения начала строки).

Режимы печати принтера, встроенные и загружаемые шрифты.

Шрифт (рисунок, начертание, кегль), текущая вертикальная и горизонталь­ ная плотность печати, направление движения печатающей головки при на­ несении изображения могут быть изменены на основе функциональных возможностей практически всех современных текстовых процессоров по­ средством воздействия на программное обеспечение принтера.

Источником происхождения диагностических признаков служат те кон­ структивные особенности печатающих устройств, которые несут информа­ цию о наиболее существенных свойствах и о состоянии следообразующего механизма либо о ситуационных особенностях изготовления документа на этом устройстве.

Диагностические признаки, указывающие на способ изготовления доку­ мента:

■признаки матричного игольчатого печатающего устройства (признаки растровой печати, признаки ударного способа печати);

■признаки программного управления.

Диагностические признаки, указывающие на класс или группу матрич­ ных игольчатых принтеров, изображены на рис. 3.4.3.

Программно-зависимые признаки:

■горизонтальная и вертикальная плотность печати;

■рисунок чернового шрифта, ширина матрицы символа (при непропор­

циональной печати); ■ начертание символов шрифта (простой, жирный, удвоенный, курсив,

с подчеркиванием, субскрипт и суперскрипт);

■начертание цифры нуль (перечеркнутое или нет).

Аппаратно-зависимые признаки:

■интенсивность окраски оттисков игл, контрастность воспроизведения их краев;

■дефекты воспроизведения отдельных оттисков игл в одном символе (от­ носительное смещение начала строк, непараллельность строк);

■заминание печатной основы.

Частные признаки матричных игольчатых принтеров с однорядной печа­ тающей головкой подразделены на качественные и количественные.

Качественные признаки: непараллельность строк, неравномерность ок­ рашивания знаков по вертикали листа, равномерное смещение текста влево или вправо по всей длине листа, отклонение оттиска одной иглы в одну сто­ рону, нестабильное положение оттиска одной иглы, отсутствие оттиска од­ ной иглы, нерегулярное воспроизведение оттиска одной иглы, неодинаковая интенсивность окраски оттиска одной иглы.

Количественные признаки: отличие минимально возможного шага печа­ ти по горизонтали и вертикали от номинального, величина смещения начала строки при двунаправленной печати, исключительная интенсивность оттис­ ка одной иглы относительно других в вертикальном штрихе символа.

При проведении диагностической комплексной экспертизы, направлен­ ной на установление технического средства изготовления документов, ре­ шаются следующие задачи:

■установление способа изготовления документа (на основе признаков ударной растровой печати и признаков программного управления про­ цессом печати);

■установление классификационного звена матричного игольчатого принтера (на основе общих признаков аппаратного и пре. раммного происхождения: базовой формы и размеров оттиска, максима шного ко­ личества игл в вертикальных штрихах символов, признаков двунаправ­ ленной печати, наличия в тексте шрифтов различных рисунке J и начер­ таний);

■установление состояния принтера, включающее в себя решение сле­ дующих подзадач: установление состояния его исполнительных элемен­ тов и режима функционирования программного обеспечения;

■установление характера управляющего воздействия информационно­ го обеспечения компьютера на процесс печати (на основе выделения признаков, свидетельствующих об изменении режимов печати на од­ ном документе, которые невозможно произвести с панели управления принтера);

■установление факта использования различных печатающих устройств для изготовления одного документа;

■установление факта использования специализированного программного обеспечения, предназначенного для имитации печати документа ориги­ нальными программными средствами;

■установление факта несанкционированной замены работоспособных деталей и исполнительных механизмов в проверяемом принтере.

Вкачестве аппаратного инструментария для решения идентификацион­ ных задач предлагается использовать профессиональный откалиброванный сканер высокого разрешения (не менее 600 точек на дюйм). А. В. Гортинским разработано также программное обеспечение, предназначенное для обработки графических изображений, которое позволяет производить отсе­ чение фона сканированного образа, его поворот и скелетизацию, определе­ ние интенсивности изображения, построение горизонтальных и вертикаль­ ных направляющих (программа DeSign). Данная программа может быть ис­ пользована при проведении криминалистической экспертизы документов, изготовленных на матричных игольчатых принтерах.

ГЛАВА 5. ОСОБЕННОСТИ ВЫДВИЖЕНИЯ

ИПРОВЕРКИ СЛЕДСТВЕННЫХ ВЕРСИЙ ПО ДЕЛАМ

ОКОМПЬЮТЕРНЫХ ПРЕСТУПЛЕНИЯХ

Указанные ранее цели осмотра места происшествия по делам о компью­ терных преступлениях должны быть достигнуты как можно быстрее в про­ цессе обнаружения фактических данных, позволяющих путем выдвижения версий выяснить обстановку совершения преступления, а также обстоя­ тельства, имеющие значение для расследования. Поскольку выдвижение и оперирование версиями происходит на различных стадиях расследования, в том числе и на стадии принятия решения о возбуждении уголовного дела, возможно использование данных следственного осмотра как на первона­ чальном, так и на последующем этапе расследования компьютерного пре­ ступления.

На первоначальном этапе расследования о многих фактах, касающихся совершенного преступления, можно составить не истинное, а предполагае­ мое суждение. Так, в ряде случаев нельзя определенно утверждать, с какой целью, когда, где, кем и при каких обстоятельствах было совершено пре­ ступление. Зачастую неизвестно, было ли совершено компьютерное престу­ пление, или имеет место его инсценировка (инсценировка - это обстановка места определенного события, созданная искусственным путем, которая может сочетаться с соответственным притворным поведением и сооб­ щением ложных сведений лицом, создавшим эту обстановку, с целью вы­ звать у следователя и других лиц ошибочное объяснение происшедшего со­ бытия и, таким образом, скрыть истину) [148, с. 9]), либо заявитель о пре­ ступлении добросовестно заблуждается.

В зависимости от содержания предположения в процессе раскрытия и расследования компьютерных преступлений следует различать общие и ча­ стные версии.

Общие версии строятся следователем, иными лицами, производящими судебное исследование доказательств, для объяснения в целом события компьютерного преступления (например, совершено компьютерное престу­ пление, произошел программный или аппаратный сбой и т. д.).

Частные версии строятся указанными субъектами судебного исследова­ ния доказательств в виде предположительных суждений относительно от­ дельных обстоятельств совершения компьютерного преступления (мотив, способ, время, место совершения преступления и т. д.).

Особую роль осмотр места происшествия может сыграть при выдвиже­ нии общей версии об инсценировке компьютерного преступления с целью

скрыть хищение, совершенное путем присвоения, растраты или злоупотреб­ ления служебным положением.

Анализ компьютерной преступности показывает, что следы инсцениров­ ки на месте происшествия возникают помимо воли и желания инсцениров­ щика [52, с. 640]. Подобные промахи допускаются преступниками по раз­ личным причинам: волнению, спешке в условиях дефицита времени, отсут­ ствию необходимых навыков и т. д. Стремясь представить событие в выгодном ему свете, преступник прилагает максимум усилий для наиболее быстрого достижения преступной цели, но теряет при этом чувство меры. В таких случаях он может оставить чрезмерно большое количество следов имитируемого события, придать им излишне броский вид.

Сведения об инсценировке могут быть получены в результате исследо­ вания места происшествия, обнаруженных здесь предметов, следовотображений, следов-предметов, следов-веществ, а также на основе анализа доказательственной и иной информации.

В качестве признаков инсценировки, выявляемых при исследовании мес­ та происшествия, по рассматриваемой категории дел выступают:

■обнаруженные на месте происшествия следы, которых не должно было бы быть, если бы исследуемое событие было не мнимым, а реальным

(например, при аудите сети выявлено, что пользователь N не имеет пра­ ва доступа к сетевому ресурсу m со своего рабочего места, однако аудит самого ресурса ш показал, что N в такое-то время ресурс использовал);

■следы, которые не обнаружены в силу их отсутствия, но которые должны были возникнуть в случае реальности инсценированного собы­ тия (например, при аудите сети выявлено, что пользователь N имеет права доступа к сетевому ресурсу m со своего рабочего места, постоянно его использует в своей работе, но аудит ресурса, принадлежащего ш, по­ казал, что N продолжительное время не пользовался данным ресурсом). Г. Гросс в свое время отмечал: «...во всех протоколах осмотра надо упоминать не только о том, что найдено, но и о наиболее важных «отри­

цательных» обстоятельствах, для того чтобы было ясно, что ничто не упущено» [27, с. 21];

*следы, которые относятся к числу характерных для инсценированного события следов, однако их состояние не соответствует тому, в кото­

ром они должны находиться в сложившейся ситуации (например, не­ упорядоченное изменение даты и времени регистрируемых событий).

Наряду с версией об инсценировке компьютерного преступления могут быть выдвинуты и иные версии, например:

• произошел несанкционированный доступ извне (удаленный доступ);