Судебные компьютерно-технические экспертизы (СКТЭ) производятся в целях определения статуса объекта как компьютерного средства, выявления и изучения его роли в расследуемом преступлении, а также получения доступа к информации на носителях данных с последующим всесторонним ее исследованием.
Специальные знания СКТЭ составляют электроника, электротехника, информационные системы и процессы, радиотехника и связь, вычислительная техника (в том числе программирование) и автоматизация.
Общим предметом СКТЭ являются факты и обстоятельства, устанавливаемые на основе исследования закономерностей разработки и эксплуатации компьютерных средств, обеспечивающих реализацию информационных процессов, которые зафиксированы в материалах гражданского или уголовного дела, дела об административном правонарушении. Необходимость в СКТЭ обусловливается широким внедрением компьютерных технологий практически во все сферы человеческой деятельности.
Родовая классификация СКТЭ организована на основе обеспечивающих компонент любого компьютерного средства (аппаратного, или технического, программного и информационного обеспечения).
Соответственно этому выделяются виды:
1) аппаратно-компьютерная экспертиза;
2) программно-компьютерная экспертиза;
3) информационно-компьютерная экспертиза (данных);
4) компьютерно-сетевая экспертиза.
1. Сущность судебной аппаратно-компьютерной экспертизы заключается в проведении исследования технических (аппаратных) средств компьютерной системы. Предметом данного вида СКТЭ являются факты и обстоятельства, устанавливаемые на основе исследования закономерностей эксплуатации аппаратных средств компьютерной системы - материальных носителей информации о факте или событии гражданского либо уголовного дела.
Вопросы, разрешаемые судебной аппаратно-компьютерной экспертизой:
1. Относится ли представленное устройство к аппаратным компьютерным средствам?
2. К какому типу (марке, модели) относится аппаратное средство? Каковы его технические характеристики и параметры?
3. Каково функциональное предназначение аппаратного средства?
4. Каковы роль и функциональные возможности данного аппаратного средства в конкретной компьютерной системе?
5. Относится ли данное аппаратное средство к представленной компьютерной системе?
6. Используется ли данное аппаратное средство для решения конкретной функциональной задачи?
7. Какое первоначальное состояние (конфигурацию, характеристики) имело аппаратное средство?
8. Каково фактическое состояние (исправно, неисправно) представленного аппаратного средства? Имеются ли в нем отклонения от типовых (нормальных) параметров, в том числе и физические дефекты?
9. Какие эксплуатационные режимы установлены на данном аппаратном средстве?
10. Является ли неисправность данного средства следствием нарушения определенных правил эксплуатации?
11. Каковы причины изменения функциональных (потребительских) свойств в начальной конфигурации представленного аппаратного средства?
12. Является ли представленное аппаратное средство носителем информации?
13. Каков вид (тип, модель, марка) представленного носителя информации?
14. Какое запоминающее устройство предназначено для работы с данным накопителем информации? Имеется ли в составе представленной компьютерной системы запоминающее устройство для работы с этим носителем информации?
15. Каковы параметры (форм-фактор, емкость, среднее время доступа к данным, скорость передачи данных и др.) носителя информации? Какой метод хранения данных реализован на представленном носителе?
16. Доступен ли для чтения представленный носитель информации?
17. Каковы причины отсутствия доступа к носителю информации?
Объектами судебной аппаратно-компьютерной экспертизы являются:
а) персональные компьютеры (настольные, портативные);
б) периферийные устройства;
в) сетевые аппаратные средства (серверы, рабочие станции, активное оборудование, сетевые кабели и т.д.);
г) интегрированные системы (органайзеры); пейджеры;
д) мобильные телефоны и т.п.;
е) встроенные системы на основе микропроцессорных контроллеров (иммобилайзеры, транспондеры, круиз-контроллеры и проч.);
ж) любые комплектующие всех указанных компонент (аппаратные блоки, платы расширения, микросхемы и др.). В судебно-экспертном аспекте наиболее важны такие объекты, как запоминающие устройства и носители данных, включая все известные на момент проведения экспертизы электронные носители данных: микросхемы памяти, магнитные и лазерные диски, магнитооптические диски, магнитные ленты, флэш-карты и т.д.
2. Для осуществления экспертного исследования программного обеспечения предназначена судебная программно-компьютерная экспертиза.
Ее предметом являются закономерности разработки (создания) и применения (использования) программного обеспечения компьютерной системы, представленной на исследование в целях установления истины по гражданскому или уголовному делу.
Целью судебной программно-компьютерной экспертизы является изучение функционального предназначения, характеристик и реализуемых требований, алгоритма и структурных особенностей, текущего состояния представленного на исследование программного обеспечения компьютерной системы.
На разрешение судебных экспертиз этого рода ставятся следующие вопросы:
1. Какова общая характеристика представленного программного обеспечения, из каких компонент (программных средств) оно состоит?
2. Какую классификацию имеют конкретные программные средства (системные или прикладные) представленного программного обеспечения? Обладают ли они признаками контрафактности?
3. Каковы наименование, тип, версия, вид представления (явный, скрытый, удаленный) программного средства?
4. Каковы реквизиты разработчика и владельца данного программного средства?
5. Каков состав соответствующих файлов программного обеспечения, каковы их параметры (объемы, даты создания, атрибуты)?
6. Какое общее функциональное предназначение имеет программное средство?
7. Имеются ли на носителях информации программные средства для реализации определенной функциональной задачи?
8. Какие требования предъявляет данное программное средство к аппаратным средствам компьютерной системы?
9. Какова совместимость конкретного программного средства с программным и аппаратным обеспечением компьютерной системы?
10. Используется ли данное программное средство для решения определенной функциональной задачи?
11. Каковы фактическое состояние программного средства, его работоспособность по реализации отдельных (конкретных) функций?
12. Каким образом организованы ввод и вывод данных в представленном программном средстве?
13. Имеются ли в программном средстве отклонения от нормальных параметров типовых программных продуктов (например, свойства инфицирования, недокументированных функций)?
14. Имеет ли программное средство защитные возможности (программные, аппаратно-программные) от несанкционированного доступа и копирования?
15. Каким образом организованы защитные возможности программного средства?
16. Каков общий алгоритм данного программного средства?
17. Какие программные инструментальные средства (языки программирования, компиляторы, стандартные библиотеки) использовались при разработке данного программного средства?
18. Имеются ли на носителях информации тексты (коды) с первоначальным состоянием программы?
19. Подвергался ли алгоритм программного средства модификации по сравнению с исходным состоянием? В чем это нашло отражение?
20. Какой вид имело программное средство до его последней модификации?
21. Использованы ли в алгоритме программы и ее тексте какие-либо специфические (нестандартные) приемы алгоритмизации и программирования?
22. С какой целью было произведено изменение каких-либо функций в программном средстве?
23. Направлены ли внесенные изменения в программное средство на преодоление его защиты?
24. Достигается ли решение определенных задач после внесения изменений в программное средство?
25. Каким способом были произведены изменения в программе (преднамеренно, воздействием вредоносной программы, ошибками программной среды, аппаратным сбоем и др.)?
26. Какова хронология внесения изменений в программном средстве?
27. Какова хронология использования программного средства (начиная с ее инсталляции)?
28. Имеются ли в программном средстве враждебные функции, которые влекут уничтожение, блокирование, модификацию либо копирование информации, нарушение работы компьютерной системы?
29. Каковы последствия дальнейшей эксплуатации определенного программного средства?
Объектами программно-компьютерной экспертизы являются:
а) системное программное обеспечение (операционные системы);
б) вспомогательные программы - утилиты;
в) средства разработки и отладки программ;
г) служебная системная информация;
д) прикладное программное обеспечение (приложения общего назначения - текстовые и графические редакторы, системы управления базами данных, электронные таблицы, редакторы презентаций и т.д.; приложения специального назначения для решения задач в определенной области науки, техники, экономики и т.д.).
3. Судебная информационно-компьютерная экспертиза (данных) является ключевым видом СКТЭ, так как позволяет завершить целостное построение доказательственной базы путем окончательного разрешения большинства вопросов, связанных с компьютерной информацией.
Целью этого вида являются поиск, обнаружение, анализ и оценка информации, подготовленной пользователем или порожденной (созданной) программами для организации информационных процессов в компьютерной системе.
Судебная информационно-компьютерная экспертиза (данных) производится для разрешения следующих вопросов:
1. Как отформатирован носитель информации и в каком виде на него записаны данные?
2. Каковы характеристики физического размещения данных на носителе информации?
3. Каковы характеристики логического размещения данных на носителе информации?
4. Какие свойства, характеристики и параметры (объемы, даты создания-изменения, атрибуты и др.) имеют данные на носителе информации?
5. Какого вида (явный, скрытый, удаленный, архив) информация имеется на носителе?
6. К какому типу относятся выявленные (определенные) данные (текстовые, графические, база данных, электронная таблица, мультимедиа, запись пластиковой карты, данные ПЗУ и др.) и какими программными средствами они обеспечиваются?
7. Каким образом организован доступ (свободный, ограниченный и проч.) к данным на носителе информации и каковы его характеристики?
8. Какие свойства, характеристики имеют выявленные средства защиты данных и какие пути ее преодоления возможны?
9. Какие признаки преодоления защиты (либо попыток несанкционированного доступа) имеются на носителе информации?
10. Каково содержание защищенных данных?
11. Каково фактическое состояние выявленных данных и соответствует ли оно типовому состоянию на соответствующих носителях данных?
12. Какие несоответствия типовому представлению имеются в выявленных данных (нарушение целостности, несоответствие формата, вредоносные включения и проч.)?
13. Каковы пользовательские (потребительские) свойства и предназначение данных на носителе информации?
14. Какие данные для решения определенной функциональной (потребительской) задачи имеются на носителе информации?
15. Какие данные с фактами и обстоятельствами конкретного дела находятся на представленном носителе информации?
16. Какие данные о собственнике (пользователе) компьютерной системы (в том числе имена, пароли, права доступа и проч.) имеются на носителях информации?
17. Какие данные с представленных на экспертизу документов (образцов) и в каком виде (целостном, фрагментарном) находятся на носителе информации?
18. Каково первоначальное состояние данных на носителе (в каком виде, какого содержания и с какими характеристиками, атрибутами находились определенные данные до их удаления или модификации)?
19. Каким способом и при каких обстоятельствах произведены действия или операции (блокирование, модификация, копирование, удаление) определенных данных на носителе информации?
20. Какой механизм (последовательность действий) по решению конкретной задачи отражен в определенных данных на носителе информации?
21. Какая хронологическая последовательность действий (операций) с выявленными данными имела место при решении конкретной задачи (например, подготовки изображений денежных знаков, ценных бумаг, оттисков печатей и т.п.)?
22. Какая причинная связь имеется между действиями (вводом, модификацией, удалением и проч.) с данными и имевшим место событием (например, нарушением в работе компьютерной системы, в том числе сбоями в программном и аппаратном обеспечении)?
23. Какова степень соответствия (или несоответствия) действий с конкретной информацией специальному регламенту или правилам эксплуатации определенной компьютерной системы?
Объектами судебной информационно-компьютерной экспертизы (данных) являются файлы, подготовленные с использованием указанных выше и других программных средств - с расширениями текстовых форматов (.txt,.doc...), графических форматов (.bmp,.jpg,.tif,.cdr...), форматов баз данных (.dbf,.mdb...), электронных таблиц (.xls,.cal...) и др.
4. Судебная компьютерно-сетевая экспертиза, в отличие от предыдущих, основывается, прежде всего, на функциональном предназначении компьютерных средств, реализующих какую-либо сетевую информационную технологию. Она выделена в отдельный вид в связи с тем, что лишь использование специальных знаний в области сетевых технологий позволяет соединить воедино полученные объекты, сведения о них и эффективно решить поставленные экспертные задачи. Особое место в компьютерно-сетевой экспертизе занимают экспертные исследования, связанные с интернет-технологиями.
Судебная экспертиза этого рода производится для решения следующих задач:
а) определение свойств и характеристик аппаратного средства и программного обеспечения, установление места, роли и функционального предназначения исследуемого объекта в сети (например, для программного средства в отношении к сетевой операционной системе; для аппаратного средства - отношение к серверу, рабочей станции, активного сетевого оборудования и т.д.);
б) выявление свойств и характеристик вычислительной сети, установление ее архитектуры, конфигурации, выявление установленных сетевых компонент, организации доступа к данным;
в) определение соответствия выявленных характеристик типовым для конкретного класса средств сетевой технологии, определение принадлежности средства к серверной или клиентской части приложений;
г) определение фактического состояния и исправности сетевого средства, наличия физических дефектов, состояния системного журнала, компонент управлением доступа;
д) установление первоначального состояния вычислительной сети в целом и каждого сетевого средства в отдельности, возможного места покупки (приобретения), уточнение изменений, внесенных в первоначальную конфигурацию (например, добавление дополнительных сетевых устройств, устройств расширения на сервере либо рабочих станциях и проч.);
е) определение причин изменения свойств вычислительной сети (например, по организации уровней управления доступом), установление факта нарушения режимов эксплуатации сети, фактов (следов) использования внешних ("чужих") программ и т.п.;
ж) определение свойств и состояния вычислительной сети по ее отображению в информации носителей данных (например, RAID-массивы; жесткие диски, флоппи-диски, CD-ROM, ZIP-накопители и т.п.);
з) определение структуры механизма и обстоятельства события в сети по его результатам (например, сценария несанкционированного доступа, механизма распространения в сети вредоносных функций и т.д.);
и) установление причинной связи между использованием конкретных аппаратно-программных средств вычислительной сети и результатами их применения.
Как видно, задачи судебной компьютерно-сетевой экспертизы охватывают практически все основные задачи основных родов СКТЭ, т.е. решение аппаратных, программных и информационных аспектов при установлении фактов и обстоятельств дела.
Наиболее часто встречаемыми в практике вопросами являются следующие:
1. Имеются ли признаки работы данного компьютерного средства в сети Интернет?
2. Какие аппаратные средства использовались для подключения к Интернету?
3. Имеются ли заготовленные соединения с узлом сети Интернет и каковы их свойства (номера телефонов провайдера, имена и пароли пользователя, даты создания)?
4. Каково содержание установок программы удаленного доступа к сети и протоколов соединений?
5. Какие имеются адреса Интернета, по которым осуществлялся доступ с данного компьютерного средства?
6. Имеется ли какая-либо информация о проведении электронных платежей и использовании кодов кредитных карт?
7. Имеются ли почтовые сообщения, полученные (а также отправленные) по электронной почте?
8. Имеются ли сообщения, полученные (отправленные) посредством использования программ персональной связи через Интернет, и каково их содержание?
Практика показывает, что указанные основные виды СКТЭ при производстве большинства экспертных исследований применяются комплексно и чаще всего последовательно. Поэтому в настоящее время в постановлении на производство судебной экспертизы целесообразно указывать не родовое наименование экспертизы, а назначать судебную компьютерно-техническую экспертизу.
Кроме того, в ходе ряда пограничных исследований иногда возникает потребность привлекать специальные знания и из других научных областей. Так, например, обстоит дело с решением задач снятия парольной защиты, получения доступа к закодированным данным, обнаруженным в ходе проведения экспертного исследования, расшифровки информации с поврежденной структурой данных, всестороннего анализа различных криптографических алгоритмов, программ и аппаратных средств. Это направление экспертной деятельности тесно связано с самостоятельной областью исследований - криптографией и защитой информации.
Ведущее место среди судебных экспертиз, назначаемых в комплексе с судебной компьютерно-технической экспертизой, занимает судебно-техническая экспертиза документов (СТЭД). Именно с необходимостью исследования поддельных документов, ценных бумаг и денежных знаков, оттисков печатей, кредитных и расчетных карт, изготовленных с применением современных информационных технологий, связано большинство комплексных экспертиз в рассматриваемой сфере. Объектами такой комплексной экспертизы являются как некоторые объекты СКТЭ, предназначенные для создания, хранения и передачи информации, так и некоторые объекты СТЭД - документы в бумажной форме. В качестве объектов может также выступать полиграфическое оборудование и оргтехника, интегрированные с компьютерными средствами.
Наша организация имеет большой практический опыт проведения компьютерно-технических исследований:
-
Исследование автоматизированной системы мониторинга инвестиционных проектов;
-
Тестирование, соответствие ТЗ "1С Первый Бит";
-
Исследование терминалов покупателя – Киоск информационный сенсорный;
-
Исследование автоматизированной системы "Лесные Дачи";
-
Исследование программы "1С Предприятие";
-
Исследование веб-сайтов по типу "Интернет-магазин" и другие;
-
Исследование автоматизированной системы управления ЖКХ;
-
Исследование автоматизированной системы управления имущественными отношениями и земельными участками;
-
Исследование автоматизированной системы для мониторинга отдыха детей в РФ;
-
Исследование исправности серверного оборудования;
-
Поиск причины неисправности оборудования;
-
Поиск следов внесения изменения в программном обеспечении;
-
Исследование системы сравнения текста документов;
-
Сравнение программных кодов в программном обеспечении;
-
Исследование автоматизированной системы по измерению объема груза;
-
Исследование считывателей данных (системы оплаты);
-
Тестирование считывателей на соответствие функционалу;
-
Исследование автоматизированной системы по переводу данных в электронную форму;
-
Соответствие печатного оборудования требованиям ТЗ;
-
Исследование программного обеспечения на предмет нарушения условий защиты лицензии;
-
Тестирование системы "1С ERP".
Фото: автор АНО "СЭЦ"