Молодой здоровый вирус

(Погуляев В.) («ЭЖ-Юрист», N 23, 2004)

МОЛОДОЙ ЗДОРОВЫЙ ВИРУС

В. ПОГУЛЯЕВ

Вадим Погуляев, заместитель генерального директора, начальник договорного отдела ООО «Юридическое агентство «КОПИРАЙТ».

Проблема достоверности доказательств актуальна для любого вида процесса. Какими бы ни были процедуры ее определения, в дальнейшем суды будут обращать все более пристальное внимание на то, как доказательства получены и имеют ли представившие данные доказательства сотрудники необходимую квалификацию для их исследования. Рассмотрим ряд важных моментов, характеризующих экспертизу по делам, связанным с компьютерной техникой.

Высокая латентность

Правонарушения, совершаемые с использованием компьютерной техники и телекоммуникационных сетей связи, характеризуются высокой степенью латентности. Основной их отличительной чертой является то, что злоумышленник может совершать противоправные действия, не покидая своей квартиры, дачи или офиса. Компьютерные преступления, в том числе хакерские «атаки» финансовых систем и крупных информационных порталов, давно приобрели уже не только организованный, но и трансграничный характер. Универсальные возможности сети Интернет позволяют нарушителям из разных стран договориться и координировать свои деструктивные действия. Рост численности преступлений, совершаемых в сфере информационного обмена, их многочисленные разновидности и изощренность, способность нарушителей оперативно устранять следы своего вмешательства в нормальное течение информационных процессов — все это обусловливает необходимость в постоянном повышении квалификации, уровня знаний и подготовки правоведов и других специалистов, которые вынуждены противостоять хакерам и другим компьютерным злоумышленникам. Несмотря на свою «молодость» по отношению к другим, более древним видам противоправных деяний, компьютерная преступность уже имеет свою многолетнюю историю. Первые компьютерные преступления были зарегистрированы в конце 60-х годов прошлого века. Начиная с 90-х годов крупнейшие банки России вовсю подвергались хакерским «атакам».

Классификация преступлений

Существует Кодификатор Генерального Секретариата Интерпола, который делит компьютерные преступления определенным образом. В их число входят: 1) QA — несанкционированный доступ и перехват; 2) QD — изменение компьютерных данных; 3) QF — компьютерное мошенничество; 4) QR — незаконное копирование; 5) QS — компьютерный саботаж; 6) QZ — прочие компьютерные преступления (QZB — с использованием компьютерных досок объявлений; QZE — хищение информации, составляющей коммерческую тайну; QZS — передача информации, подлежащая судебному рассмотрению; QZZ — прочие компьютерные преступления). Учитывая вышесказанное, очевидно, что для раскрытия преступлений в этой сфере, всестороннего и правильного рассмотрения дела в суде и вынесения обоснованного решения во многих случаях (а точнее — в большинстве) требуются специальные познания в области компьютерной техники. Изучение состояния компьютерной информации, изменений, которые она претерпела в тот или иной период времени, носителей, на которых она содержится, программного и аппаратного обеспечения электронно-вычислительных машин, подвергшихся несанкционированному воздействию «извне», а также устройств, при помощи которых это воздействие предположительно осуществлялось, — способы исследования, именуемого в литературе компьютерной, компьютерно-технической, информационно-технической экспертизой.

Назначение экспертизы

Указанная экспертиза в основном назначается по уголовным делам. Однако ее роль представляется немаловажной также в гражданском и арбитражном процессе. Назначается и проводится компьютерная экспертиза строго в соответствии с нормами УПК РФ, ГПК РФ и АПК РФ, а также Федерального закона от 31.05.2001 N 73-ФЗ «О государственной судебно-экспертной деятельности в Российской Федерации». Прежде всего это касается оснований и процедуры изъятия (ареста) средств компьютерной техники для проведения экспертизы. Любые, на первый взгляд оперативные, а на деле безосновательные или совершенные с превышением полномочий, действия правоохранительных органов или суда в данном случае могут повлечь не только нарушения прав собственности отдельных лиц, но и простой в экономической деятельности целой организации и, как следствие, причинить значительные убытки. Отметим, что методика изъятия компьютерной техники подробно описана в специальной литературе (см., например: Россинская Е. Р. Судебная экспертиза в уголовном, гражданском, арбитражном процессе. М.: Право и закон, 1996).

Привлечение специалиста

Нельзя не упомянуть о существовании еще одной процессуальной формы использования специальных познаний — участии специалиста. Специалист призван содействовать в обнаружении, закреплении и изъятии доказательств путем применения своих профессиональных знаний и навыков. Его участие очень важно на стадии проведения дознания и предварительного следствия. Кроме того, специалист нередко привлекается для выполнения работ, предшествующих экспертизе и, по сути, обеспечивающих ее проведение. Например, без его рекомендаций не следует отключать, упаковывать и транспортировать компьютерную технику. В случае если компьютерную технику невозможно транспортировать, специалист привлекается для копирования необходимой информации (однако в этом случае существует риск упустить важные детали, так как, какую именно информацию копировать, предстоит решать на месте) либо изъятия из компьютера «жесткого» диска и иных устройств, на которых может содержаться значимая для дела и экспертизы информация.

Квалификация эксперта и специалиста

Как отмечалось в литературе, понятия «специалист по компьютерной технике» не существует <*>, несмотря на широко распространенное убеждение в противоположном. Каждый специалист в области информационных технологий (IT) имеет, как правило, четкую, а во многих случаях — достаточно узкую, специализацию. Например, специалист по Windows зачастую не разбирается в Microsoft DOS и Unix. ——————————— <*> Курушин В. Д., Минаев В. А. Компьютерные преступления и информационная безопасность. М.: Новый Юрист, 1998. С. 157.

Поэтому к проведению работ по сбору, фиксированию, обработке доказательств, а также экспертизе по делам, связанным с правонарушениями в области компьютерной информации, необходимо привлекать профессионала в той или иной конкретной области IT. Сказанное касается не только программистов, но и лиц, обслуживающих операционные системы, аппаратное обеспечение ЭВМ, средства связи. Специальные познания в сфере IT могут быть условно разделены на четыре сферы: — информационные процессы; — межкомпьютерное (сетевое) взаимодействие; — программирование; — автоматизация. В связи с этим во многих случаях существует необходимость в проведении комплексной экспертизы. Таковая назначается судом согласно ст. 82 ГПК РФ в том случае, если установление обстоятельств по делу требует одновременного проведения исследований с использованием различных областей знания или различных научных направлений в пределах одной области знания. К примеру, компьютерная экспертиза может включать в себя исследования программного и аппаратного комплексов, сетей связи, поэтому комплексная компьютерная экспертиза иногда содержит элементы судебной автороведческой, судебной инженерно-технической, судебной психологической, различных судебно-экономических экспертиз. Одной из наиболее сложных компьютерных экспертиз является компьютерно-сетевая (телематическая). Не менее трудоемки и функции специалистов по сбору, фиксации доказательств и подготовке к данной экспертизе.

Выявление нарушений

Чтобы доказать факт злоумышленного проникновения из Интернета и выявить его источник, необходимо провести подробное изучение всего программного обеспечения, содержащегося на компьютере-«жертве». Внимание специалистов прежде всего будет обращено на интернет-браузеры, загрузочные компоненты интернет-приложений и следы (последствия) работы с ними, кэш-память. Будут проанализированы настройки удаленного доступа (в том числе протокола ТСР/IP и конфигурации DNS), имеющиеся на компьютере протоколы соединений. Решающее значение порой имеют оперативные эксперименты, проводимые с учетом положений Федерального закона от 12.08.1995 N 144-ФЗ «Об оперативно-розыскной деятельности». Например, преднамеренное «заражение» распространяемым по сети конкретным компьютерным «червем» или «троянцем», а затем слежение за его работой и выявление получателей передаваемой им информации с помощью специальных программных средств. Для определения подозреваемого (или, по крайней мере, круга подозреваемых лиц) могут быть использованы средства интерактивного общения (чаты, ICQ и т. д.). Нередко хакеры охотно делятся своими «успехами» в кругу коллег. Поэтому, осуществив авторизацию на соответствующем хакерском форуме (чате) и используя особый NIC-name (псевдоним), вполне можно выяснить если не имя и конкретные координаты нарушителя, то какую-то определенную информацию о нем (адрес личного сайта, электронной почты и т. д.). Такие действия правоохранительных органов по своему содержанию и смыслу подпадают еще под одно оперативно-розыскное мероприятие, предусмотренное вышеназванным Законом, — оперативное внедрение. Более того, компьютерная экспертиза может осуществляться экспертами государственных и негосударственных судебно-экспертных учреждений. Государственными судебно-экспертными учреждениями являются специализированные учреждения федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, созданные для обеспечения исполнения полномочий судов, судей, органов дознания, лиц, производящих дознание, следователей и прокуроров посредством организации и производства судебной экспертизы (ст. 11 ФЗ «О государственной судебно-экспертной деятельности в Российской Федерации»). С 1996 года экспертизы подобного рода на первых порах эпизодически, а затем и систематически стали проводиться в экспертно-криминалистических подразделениях ОВД и судебно-экспертных учреждениях Минюста России <*>. ——————————— <*> Россинская Е. Р., Усов А. И. Судебная компьютерно-техническая экспертиза. М.: Право и закон, 2001. С. 11.

——————————————————————