3) идеальные следы, находящиеся в памяти виновного.

2. Объекты, находящиеся в ведении собственника, абонента сотовой связи:

- средства компьютерной техники коммутаторов сотовой связи;

- средства компьютерной техники сотовой связи, применяемые для выявления нелегальной абонентской активности. Системы проверки записей звонков на предмет обнаружения почти одновременных звонков из различных зон (сот), формирования профиля легального абонента и т.д. Указанные системы способны накапливать данные о вызовах каждого конкретного легального абонента и создавать на этой основе их индивидуальные профили. Они затем дополняются, анализируются по мере совершения новых звонков и способны немедленно обнаруживать аномальную активность.

К системам обнаружения криминальной абонентской активности относятся: система FraudBuster, система Signature Fraud Management System (Signature FMS), система визуального анализа информации Watson и др. Поскольку инфраструктура не связана с концепцией системы защиты, то она подходит для систем GSM, AMPS, CDMA, TDMA и др.

На указанных объектах возникают следующие типовые следы:

1) материальные следы практически отсутствуют, так как действия по пользованию ресурсами сотовой связи (абонентская активность) осуществляются «внутри» системы сотовой связи: абонентская подвижная станция - радиоинтерфейс - система базовых станций и т.д. («среда-посредник»).

2) виртуальные следы представляют собой компьютерную информацию коммутаторов сотовой связи и систем по выявлению и предотвращению «мошенничества», характеризующие абонентскую активность и, в частности, исходящие и входящие соединения.

Исходящие соединения. Легальный абонент компании сотовой связи, как правило, знает круг своих телефонных контактов, поэтому можно установить номера, на которые он соединения не производил. В частности, указывают на присутствие нелегального пользователя: трафик исходящих номеров легального абонента, когда его абонентская подвижная станция была отключена; появление в трафике иногородних и международных исходящих номеров, неизвестных легальному абоненту и другие показатели криминальной активности.

Исходящая криминальная абонентская активность может быть классифицирована по нескольким основаниям:

а) по географическому признаку:

- локальные соединения из области подключения;

- междугородние соединения из области подключения;

- международные соединения из области подключения;

- мобильные локальные соединения извне области подключения;

- мобильные междугородние соединения извне области подключения;

- мобильные международные соединения извне области подключения;

- порядок передвижения соединений в рамках одной ячейки (соты) или в рамках пространства занимаемых несколькими ячейками (сотами) за определенный интервал времени;

б) по временным факторам:

- по времени суток (например, с 7-00 до 19-00, с 19-00 до 7-00);

- по дням недели (рабочие дни, выходные дни);

- по особым периодам и событиям (Новый год, Рождество и т.д.);

- по количеству соединений за определенный интервал(ы) времени;

- по длительности соединений за определенный интервал(ы) времени;

- по общему времени соединений за определенный интервал времени (начиная с первого соединения);

в) по направленности исходящих соединений:

- повторяющиеся соединения с одними и теми же номерами проводной сети связи;

- повторяющиеся соединения с одними и теми же номерами сотовой подвижной связи;

- повторяющиеся соединения с одними и теми же номерами иных видов связи;

- повторяющиеся соединения с одними и теми же номерами льготных тарифов;

- повторяющиеся соединения с одними и теми же freefone номерами;

- общее соотношение входящих и исходящих соединений за определенный интервал времени;

г) по типу мобильного соединения:

- соединения конференции;

- активация и дезактивация дополнительных услуг.

Входящие соединения. На абонентскую подвижную станцию нелегального пользователя можно позвонить, но обычно этого не делают, так как звонок раздается у обоих абонентов (легального и нелегального), а говорить сможет тот, кто первый ответит на входящий вызов. Обычно в данном случае абонентская подвижная станция легального абонента блокируется, что может вызвать подозрение у легального абонента.

Входящая криминальная абонентская активность также может быть классифицирована по нескольким основаниям:

а) по географическому признаку:

- входящие мобильные локальные соединения (из той же области подключения);

- входящие мобильные междугородние соединения;

- входящие мобильные международные соединения;

б) по временным факторам:

- по времени суток;

- по дням недели;

- по особым периодам и событиям;

- по количеству входящих соединений за определенный интервал(ы) времени;

- по длительности входящих соединений за определенный интервал(ы) времени;

- по общему времени входящих соединений за определенный интервал времени (начиная с первого соединения в рамках определенного временного интервала);

в) по направленности входящих соединений:

- повторяющиеся соединения, исходящие от одного и того же номера проводной сети связи;

- повторяющиеся соединения, исходящие от одного и того же номера сотовой подвижной связи;

- повторяющиеся соединения, исходящие от одного и того же номера иных видов связи;

- повторяющиеся соединения, исходящие от одного и того же номера или разных номеров льготного тарифа;

- повторяющиеся соединения, исходящие от одного и того же freefone номера или разных freefone номеров;

г) по типу мобильного соединения - входящие соединения - конференции.

3. Идеальные следы остаются в памяти свидетелей и потерпевших, в числе которых сотрудники компании-оператора, легальные пользователи и др.

Следы при совершении рассматриваемого вида криминальных действий редко остаются в виде изменений внешней среды, что должно учитываться при сборе доказательств и поиске так называемых «традиционных» следов. Поэтому одной из основных задач успешного раскрытия и расследования «мошенничества» в сети сотовой связи является обеспечение следователем и другими уполномоченными лицами сохранности доказательственной информации, сбор и фиксация следов на стадии рассмотрения сообщения о возбуждении уголовного дела и первоначальном этапе расследования.

8.3 Экспертные исследования

В зависимости от стоящих перед следствием задач и спецификой объектов исследования для установления конструктивных особенностей и состояния компьютеров, периферийных устройств, магнитных носителей и пр., компьютерных сетей, причин возникновения сбоев в работе указанного оборудования, а также изучения информации, хранящейся в компьютере и на магнитных носителях, назначается компьютерно-техническая экспертиза. Рассмотрим методические рекомендации по расследованию преступлений в сфере компьютерной информации Расследование преступлений в сфере компьютерной информации: Методические рекомендации //Остроушко А.В., Прохоров А.С., Задорожко С.М., Тронин М.Ю., Гаврилюк С.В. Компьютерный ресурс. Режим доступа: http://zakon.kuban.ru/uk/272`274.htm..

8.3.1 Объекты компьютерно-технической экспертизы

К объектам компьютерно-технической экспертизы относятся:

1. Компьютеры в сборке, их системные блоки.

2. Периферийные устройства (дисплеи, принтеры, дисководы, модемы, клавиатура, сканеры, манипуляторы типа «мышь», джойстики и пр.), коммуникационные устройства компьютеров и вычислительных сетей.

3. Магнитные носители информации (жесткие и флоппи-диски, оптические диски, ленты).

4. Словари поисковых признаков систем (тезаурусы), классификаторы и иная техническая документация, например, технические задания и отчеты.

5. Электронные записные книжки, пейджеры, телефонные аппараты с памятью номеров, иные электронные носители текстовой или цифровой информации, техническая документация к ним.

В системе Министерства внутренних дел России в настоящее время нет специальных экспертных подразделений, которые производят компьютерно-технические экспертизы носителей машинной информации, программного обеспечения, баз данных и аппаратного обеспечения ЭВМ. В связи с этим они могут быть назначены специалистам соответствующей квалификации из внеэкспертных учреждений. В частности, такие специалисты могут быть в информационных центрах, учебных и научно-исследовательских заведениях МВД России. Кроме того, для производства этого вида экспертиз можно привлекать специалистов учебных и научно-исследовательских заведений, не относящихся к системе МВД России, фирм и организаций, занимающихся разработкой программного и аппаратного обеспечения для компьютеров, их эксплуатацией и ремонтом. Данный вид экспертиз может быть поручен специалистам в области эксплуатации ЭВМ (системным программистам, инженерам по обслуживанию, непосредственно работающим с данного вида носителями и др.) и программистам, которые обладают соответствующей квалификацией.

При вынесении постановления о назначении компьютерно-технической экспертизы следователем в постановлении о ее назначении обязательно указываются серийный номер компьютера и его индивидуальные признаки (конфигурация, цвет, надписи на корпусе и т.д.).

Учитывая, что компьютерно-техническая экспертиза - новый формирующийся род судебных экспертиз, необходимость в которых обусловливается широким внедрением компьютерных технологий практически во все сферы человеческой деятельности, полезным будет дать краткую характеристику ее возможностей.

В настоящее время в рамках таких экспертиз выделяются два вида:

- техническая экспертиза компьютеров и их комплектующих, которая проводится в целях изучения конструктивных особенностей и состояния компьютера, его периферийных устройств, магнитных носителей и пр., компьютерных сетей, а также причин возникновения сбоев в работе вышеуказанного оборудования;

- экспертиза данных и программного обеспечения, осуществляемая в целях изучения информации, хранящейся в компьютере и на магнитных носителях.

8.3.2 Вопросы, выносимые на разрешение компьютерно-технической

экспертизы

Вопросы, выносимые на разрешение компьютерно-технической экспертизы, в зависимости от вида экспертизы также подразделяются на следующие группы:

1. Вопросы, разрешаемые технической экспертизой компьютеров и их комплектующих (диагностические):

1. Компьютер какой модели представлен на исследование? Каковы технические характеристики его системного блока и периферийных устройств? Каковы технические характеристики данной вычислительной сети?

2. Где и когда изготовлен и собран данный компьютер и его комплектующие? Осуществлялась ли сборка компьютера в заводских условиях или кустарно?

3. Соответствует ли внутреннее устройство компьютера и периферии прилагаемой технической документации? Не внесены ли в конструкцию компьютера изменения (например, установка дополнительных встроенных устройств: жестких дисков, устройств для расширения оперативной памяти, считывания оптических дисков и пр., иные изменения конфигурации)?

4. Исправен ли компьютер и его комплектующие? Каков их износ? Каковы причины неисправности компьютера и периферийных устройств? Не содержат ли физических дефектов магнитные носители информации?

5. Не производилась ли адаптация компьютера для работы с ним специфических пользователей (левша, слабовидящий и пр.)?

6. Каковы технические характеристики иных электронных средств приема, накопления и выдачи информации (пейджер, электронная записная книжка, телефонный сервер)? Исправны ли эти средства? Каковы причины неисправностей?

2. Диагностические вопросы, разрешаемые экспертизой данных и программного обеспечения:

1. Какая операционная система установлена в компьютере?

2. Каково содержание информации, хранящейся на внутренних и внешних магнитных носителях, в том числе какие программные продукты там находятся? Каково назначение программных продуктов? Каков алгоритм их функционирования, способа ввода и вывода информации? Какое время проходит с момента введения данных до вывода результатов при работе данной компьютерной программы, базы данных?

3. Являются ли данные программные продукты лицензионными (или несанкционированными) копиями стандартных систем или оригинальными разработками?

4. Не вносились ли в программы данного системного продукта какие-либо коррективы (какие), изменяющие выполнение некоторых операций (каких)?

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32