Данная статья не претендует на звание памятки "кул-хацкеру". Ниже будут
описаны ситуации, которые возможны при задержании подозреваемого в совершении
компьютерного преступления "кул-хацкера".

 ВСЁ НИЖЕИЗЛОЖЕННОЕ НАПИСАНО ДЛЯ ОБЩЕГО РАЗВИТИЯ ЗАКОНОПОСЛУШНОГО
ПОВЕДЕНИЯ, НЕ ЯВЛЯЕТСЯ ПРИЗЫВОМ ИЛИ РУКОВОДСТВОМ К ДЕЙСТВИЮ И АВТОР НЕ НЕСЁТ
НИКАКОЙ ОТВЕТСТВЕННОСТИ ЗА ДЕЙСТВИЯ, СОВЕРШЁННЫЕ ЧИТАТЕЛЯМИ ДАННОЙ СТАТЬИ.
ДАННАЯ СТАТЬЯ ЯВЛЯЕТСЯ ВСЕГО ЛИШЬ ВЫРАЖЕНИЕМ ЧАСТНОЙ ТОЧКИ ЗРЕНИЯ ЧЕЛОВЕКА С
ЮРИДИЧЕСКИМ ОБРАЗОВАНИЕМ.

Итак, предположим, что совершено компьютерное преступление (одно из указанных
в главе 28 УК РФ). Кто будет его расследовать? Конечно, доблестная милиция, то
есть "внутренние органы" - МВД (а не ФСБ, как думают некоторые). Предположим
также, что "соответствующие органы" уже приняли меры и вычислили местонахождение
подозреваемого - его квартиру. Конечно, они будут осуществлять задержание, а
точнее захват, поскольку в данном случае нужно заполучить аппаратный комплекс
(компьютер). Если быть точнее; захватывать будут только системный блок (а вместе
с ним заберут абсолютно все диски, и потом никогда уже не отдадут, так что
делайте выводы). И в процессе дальнейшего расследования от задержанного
подозреваемого будут добиваться признательных показаний. Зачем? Чтобы подкрепить
ими вещественные доказательства. Ведь компьютер вещь простая; им может
пользоваться кто угодно; брат, мама, дедушка-паралитик, соседи, друзья, сестра
племянника жены дяди шурина по отцовской линии и многие другие, поэтому от
подозреваемого нужно получить признание, мол, да, это я сделал. Признания,
скорее всего не будет, поэтому следствие заранее ориентируется на работу с
вещественными доказательствами, то есть с "железом". А что у нас является самой
страшной уликой в данном случае? Информация! А хранится она где? Правильно, на
винчестере. Но вот беда; хранится она там в весьма специфичном виде, поэтому
суду нельзя просто показать системный блок, нужно представить заключение
эксперта.

Что это такое и зачем оно нужно? Заключение эксперта - это вывод эксперта о
том, что действительно данный аппаратный комплекс является действующим, содержит
на жёстком диске информацию, свидетельствующую о том, что тогда-то и тогда-то
было то-то и то-то... Признание подозреваемого и заключение эксперта в делах о
компьютерных преступлениях являются, по сути, единственными доказательствами в
руках следователя. И если показаний подозреваемый может вообще не давать (а он
имеет на это полное право, а также имеет право менять показания по сто сорок раз
в сутки), то у следствия остаётся только "железная" аргументация обвинения перед
судом. А вот как раз с "железом" дела обстоят неутешительно для "органов";
обвинение может рассыпаться ещё до суда. Ниже как раз и смоделирована такая
ситуация. Перво-наперво, необходимо учитывать, что в настоящее время во всей
России всего около 40 (!!!) сертифицированных экспертов судебной
компьютерно-технической экспертизы. Конечно, Уголовно-процессуальный кодекс
разрешает привлекать в качестве эксперта любого специалиста. Причём понятия
"эксперт" и "специалист" это не одно и то же. Согласно ст.58 УПК специалист -
лицо, обладающее специальными знаниями, привлекаемое к участию в процессуальных
действиях для содействия в обнаружении, закреплении и изъятии предметов и
документов, применении технических средств в исследовании материалов уголовного
дела, для постановки вопросов эксперту, а также для разъяснения суду вопросов,
входящих в его профессиональную компетенцию. А вот эксперт (согласно ст.57 УПК)
- это лицо, обладающее специальными знаниями и назначенное для производства
судебной экспертизы и дачи заключения. Что нужно понять из этих определений?
Во-первых, когда люди в погонах (или в штатском) придут "брать" подозреваемого,
то с ними обязательно будет человек, который сразу же бросится к системному
блоку. Точнее, бросится он не один, а с одним-двумя оперативниками: оперативники
будут хватать "кул-хацкера" за руки, за ноги, могут даже ударить (а потом скажут
что-то типа: "он сам упал"). Задача оперативников при "захвате" - оттащить
подозреваемого от компьютера, чтобы он не смог уничтожить следы преступления,
так что бесполезно кричать им отмазки типа: "не имеете права"...

Так вот, тот человек, который ломанётся к системному блоку, - всего-навсего
специалист. Однако это не значит, что на него можно вообще не обращать внимания;
наоборот, именно от него следует ждать неприятностей. Он может, например,
сказать оперативникам: "В системнике нет винчестера, нужно найти винчестер". И
всё; в ближайшие три-четыре часа всю квартиру перевернут вверх дном, могут даже
угрожать, чтобы подозреваемый испугался и сам отдал спрятанный винчестер.
Винчестер - самое, пожалуй, главное из того, что интересует оперативников и
специалиста. Далее ситуация может развиваться так; подозреваемый подходит к
шкафу/дивану/чемодану/мусорному ведру, вытаскивает оттуда винчестер и отдаёт в
руки оперативникам. Те передают его специалисту; мол, глянь, это то, что ищем?
Вот тут-то и появляется чудесный шанс для подозреваемого! Поскольку винчестер
потом должен попасть на экспертизу, то специалисту важно чтобы информация на нём
сохранилась в неизменном виде. Поэтому на месте он ничего в винчестером делать
не будет. С другой стороны, он тоже не дурак, и кота в мешке не возьмёт.
Специалист, естественно, захочет проверить винчестер, а для этого его нужно
подключить к системнику. Конечно, возможно, что на захват специалист возьмёт
свой компьютер, но это маловероятно, поэтому подключать он будет к системнику
подозреваемого. Вот он подключил, включил в сеть, смотрит... А там пусто! Ну,
может не совсем пусто, там может быть что угодно: рецепты корейской кухни,
коллекция мультфильмов, даже анимация на тему "Мусора обломались!" (или,
например, пять PGP-дисков по 4 гигабайта, забитых всякой лабудой). А вот никаких
видимых на первый же взгляд следов преступления там нет! Почему? Потому, что у
подозреваемого не один винчестер, а два; тот, на котором остались следы
преступления (например, 500-гигабайтовый Western Digital), тщательно спрятан, а
оперативникам отдан запасной (какой-нибудь Maxtor на 20 гигабайт, который
НИКОГДА не подключался к системнику подозреваемого). Специалист не может с ходу
определить тот ли это винчестер, да ему это и не надо, ведь дело ведёт не он,
его помощь "органам" скорее всего закончится сразу после «захвата»...

И вот через некоторое время винчестер (вместе с изъятым системником) попадёт
в руки эксперта. Обязательно попадёт; ведь "органы" должны доказать суду, что
все улики налицо. А эксперт поисследует-поисследует его, да и скажет: "А не тот
это винчестер!" Следователь удивится: "Как не тот?!" А эксперт положит ему на
стол заключение, в котором русским по белому написано: по итогам исследования
прихожу к выводу, что представленный на экспертизу жёсткий диск никогда не
работал в составе представленного на экспертизу аппаратного комплекса... Короче,
эксперт скажет, что этот винчестер работал в совсем другом системнике. После
этого подозреваемого будут долго (возможно даже с пристрастием) допрашивать,
задавая один и тот же вопрос: где винчестер? А винчестера и след простыл,
потому, что с момента захвата до итогов экспертизы пройдёт как минимум неделя
(или даже две). За это время оставшиеся на свободе сообщники уже успели
винчестер продать/развинтить и выбросить. Здесь у подозреваемого есть второй
шанс уйти от ответственности; для сокрытия и последующей продажи/выбрасывания
винчестера лучше всего использовать маму (или папу, или брата). Дело в том, что
Конституция и УПК закрепляют норму, в которой сказано, что свидетель (а
маму/папу/брата скорее всего привлекут как свидетелей) имеет право отказаться
давать показания против самого себя, своего супруга и близких родственников (это
родители, дети, родные братья, сёстры, дед и бабка). Так что на вопрос
следователя: "А куда делся винчестер?" мама/папа/брат улыбнётся, посмотрит
честными глазами и скажет: "Понятия не имею, что такое винчестер"...

Тут главное не увлечься и не превратиться из свидетеля в пособника... Что мы
имеем в итоге? Мы имеем развалившееся уголовное дело, поскольку суду не
представлена главная улика - винчестер, и нет никаких следов преступления
(
следы преступления могут появиться и на пустом винчестере, об одном
из таком случаев мы писали - прим. ред.
). Да,
следователь может представить суду (и представит) кипу бумажек - распечатки
лог-файлов. Но, увы, они доказывают только факт совершившегося преступления
(атаки на сервер, например, или дефейса сайта). Но логи сами по себе не являются
доказательством того, что преступление совершил конкретный человек. Да, в логах
есть IP-адрес, ну и что? Нет винчестера, с помощью которого совершалось
преступление, нет файлов, нет программ, с помощью которых совершалось
преступление. Кроме распечатки логов нет ничего! (опять же, для нашего
"самого гуманного" суда в мире это может оказаться вполне достаточным, так что
помощь профессионального адвоката нужна в любом случае - прим. ред.
) После
прочтения всего изложенного может возникнуть резонный вопрос; а как сделать так,
чтобы винчестер при задержании не нашли и не изъяли? Это уже дело фантазии.
Можно смыть винчестер в унитаз, можно сунуть в микроволновку и хорошенько
прожарить, можно сбросить с балкона или из окна (убедившись, что под окнами не
торчит оперативник), можно раздолбить молотком, можно засунуть в загаженный
кошачий туалет (туда по доброй воле никто не сунется). Для тех, кто верит в свою
маму, есть особый вариант: отдать винчестер маме/сестре и попросить спрятать его
под юбкой. Дело в том, что при задержании подозреваемого женщины обычно не
присутствуют (понятые женского пола не в счёт), поэтому проводить личный обыск
мамы/сестры никто не будет. Тут главное не сопротивляться, не нервничать, не
тянуть время, а быстро отдать в руки оперативникам "левый" винчестер, сесть с
ними в машину и уехать. Куда? Показания давать, куда же ещё! А вот когда все
уедут, мама/сестра смогут избавиться от винчестера... Ну а поскольку задержанный
(а подозреваемый уже на этот момент станет задержанным) имеет право на
телефонный звонок, то можно спокойно звонить домой, попросить найти адвоката, а
заодно услышать от мамы/сестры благую весть, что всё в порядке. И после этого не
колоться и не вестись ни на какие заманухи! А лучше вообще никогда не делать
ничего такого, за что можно попасть за решётку...

Советую так же прочитать:


Откройте, милиция!


Откройте, милиция! #2


Откройте, милиция! #3


Откройте, милиция! #4


Откройте, милиция! #5


Откройте, милиция! Мнение


КАК НЕ СЕСТЬ НА НАРЫ


Нас не посадят: log-файлы в реальном деле


Будь осторожен: если поймали

 

Check Also

Неинновационные инновации. Откуда растут корни технологий Apple

Тройная камера, умный режим HDR, «ночной режим» Night Shift, True Tone, Liquid Retina Disp…

Оставить мнение