Региональное экспертное бюро

Cудебная экспертиза. Эксперт.

Компьютерно-техническая экспертиза

Задачи экспертного исследования компьютерных данных


К основным задачам судебной информационно-компьютерной экспертизы (данных) как вида судебной компьютерно-технической экспертизы относятся:


- установление свойств и вида представления информации в компьютерной систееме при ее непосредственном исследовании;

- определение фактического состояния информации, выяснение наличия или отсутствия в ней отклонений от типового объектов СКТЭ (например, имеются ли вредоносные включения, нарушение его целостности);

- установление первоначального состояния информации на носителе данных;

- определение условий изменения свойств исследуемой информации (например, выяснение условий внесения изменений в содержимое файла, запись на пластиковой карте и т.п.);

- определение механизма и обстоятельств события (дела), установление отдельных этапов (стадий, фрагментов) события по имеющейся информации на носителе данных или ее копиям (например, подготовка нескольких копий делового письма и его рассылка факсимильной программой в разные адреса);

- определение времени (периода), хронологической последовательности воздействия на информацию (например, установление стадий подготовки изображений денежных знаков, оттисков печатей т.п.);

- выявление следов возможных участников события по признакам, характеризующим определенные профессиональные и пользовательские навыки, умения, привычки, установление условий, при которых была создана (модифицирована, удалена, скопирована) информация;

- установление причинной связи между имевшими место манипуляциями с компьютерной информацией и наступившими последствиями (например, связи между удалением информации и нарушением работоспособности компьютерной системы);

- диагностирование возможных последствий по совершенному действию и возможности его совершения;


К задачам информационно-компьютерной экспертизы можно отнести также отождествление содержания файла с данными в копии исследуемого файла, либо в представленном документе (в т.ч. в бумажной копии в комплексе с технико-криминалистическим исследованием документов). Групповая принадлежность может устанавливаться при поиске общего источника происхождения информации на носителях данных компьютерной системы, а также при определении класса, вида и типа программного обеспечения, при помощи которого были порождены (созданы) исследуемые данные.


Приемлемые вопросы для экспертизы


Для следователя и оперуполномоченного важно представлять, что именно может компьютерно-техническая экспертиза (КТЭ) и чего она не может. Также важно уметь верно формулировать вопросы для экспертизы.


Чтобы правильно сформулировать вопрос, нужно знать большую часть ответа. И разбираться в терминологии. А чтобы знать специальные термины, нужно представлять, что они означают. А это значит, что нужно самому обладать специальными знаниями в области ИТ.


Для формулировки вопросов для КТЭ всегда следует привлекать специалиста. Это может быть специально приглашенный специалист. Это может быть неофициальная консультация. В крайнем случае, сам эксперт, которому предстоит проводить КТЭ, поможет следователю верно поставить вопросы.


Поиск информации


Поиск на компьютерном носителе документов, изображений, сообщений и иной информации, относящейся к делу, в том числе в неявном (удаленном, скрытом, зашифрованном) виде.


Рекомендуем не конкретизировать вид и содержание искомой информации. Эксперт вполне может самостоятельно решить, относится ли тот или иной текст, изображение или программа к делу. В ходе поиска информации эксперту приходится просматривать глазами тысячи текстов и изображений. Понятно, что невозможно распечатать и приложить к заключению их все - с тем, чтобы потом следователь решил, что из найденного относится к делу.


Эксперт в любом случае вынужден проводить первичную селекцию и принимать решение, что именно из найденного приобщать. Вынужден в силу объемов информации. Типичный объем архива электронной почты среднего пользователя - мегабайты.


Для более активного - сотни мегабайт. Это не поместится ни в одно заключение (протокол). Поэтому эксперта следует ознакомить с уголовным делом или хотя бы кратко изложить его фабулу в постановлении о назначении КТЭ, И запросить у него поиск «любой информации, относящейся к данному делу».


Следы


Поиск «цифровых» следов различного рола действий, совершаемых над компьютерной информацией. Вопрос лучше формулировать не про следы, а про действия. То есть вместо «имеются ли следы создания таких-то веб-страниц?» лучше поставить вопрос так: «создавались ли на исследуемом компьютере такие-то веб-страницы?».


Когда компьютер используется как средство доступа к информации, находящейся в ином месте, и когда доступ к информации осуществляется на этом компьютере - в обоих случаях остаются «цифровые» следы, следы в виде компьютерной информации. КТЭ может определить, когда, при каких условиях и каким образом осуществлялся доступ. Кто его осуществлял, КТЭ определить не может. Лишь в некоторых случаях эксперту удается обнаружить некоторые сведения о пользователе исследуемого компьютера.


Действия, которые оставляют следы на компьютере или на носителе информации, включают: доступ к информации, ее просмотр, ввод, изменение, удаление, любую другую обработку или хранение, а также удаленное управление этими процессами.


Программы


Анализ программ для ЭВМ на предмет их принадлежности к вредоносным, к средствам преодоления ТСЗАП, к инструментам для осуществления неправомерного доступа к компьютерной информации, к специальным техническим средствам, предназначенным для негласного получения информации, А также анализ функциональности программ, принципа действия, вероятного их источника, происхождения, автора.


Иногда необходимо более глубокое исследование программ. То есть исследование не просто их свойств и функциональности, а происхождения, особенностей взаимодействия с другими программами, процесса создания, сопоставление версий. Такое глубокое исследование подразумевает дизассемблирование программы, запуск под отладчиком (пошаговое исполнение), исследование структуры данных.


Это предмет отдельной экспертизы, иногда ее называют программно-технической. Редко можно найти эксперта, сочетающего специальные знания по ИТ и по программированию. Поэтому рекомендуется проводить две отдельные экспертизы - первая изучает содержимое компьютерных носителей, а вторая особенности обнаруженных программ.


Такое более глубокое исследование программ необходимо далеко не всегда. Например, вредоносность программы — это совокупность ее функций. Вредоносность может установить эксперт-специалист по ИТ. А вот для сопоставления объектного кода программы с фрагментом исходного кода необходимо участие эксперта-программиста.


Время


Установление времени и последовательности совершения пользователем различных действий.


Благодаря наличию у компьютера внутренних энергонезависимых часов и простановке в различных местах временных меток становится возможным определить, когда и в какой последовательности пользователь производил различные действия.


Если внутренние часы компьютера были переведены вперед или назад (в том числе неоднократно), все равно имеются возможности восстановить правильное время и правильную последовательность событий. Перевод часов компьютера сам по себе оставляет следы. А если еще было и сетевое взаимодействие, то есть возможность сопоставить моменты событий, зафиксированные данным компьютером, с событиями по иным источникам и выяснить сдвиг внутренних часов.


Задача выполнима даже в том случае, если системный блок, содержащий внутренние часы, не находится в распоряжении экспертизы. Только по носителю информации (например, НЖМД*) можно получить кое-какие сведения о последовательности событий. Чем больше информации на носителе, тем полнее будет восстановлена картина.


Отмечена даже такая экзотическая задача, как подтверждение/опровержение алиби подозреваемого, который утверждает, что в определенное время работал за компьютером. В этом случае, хотя речь не идет о компьютерном преступлении, для проверки алиби потребуется КТЭ.


Пользователь


Оценка квалификации и некоторых других особенностей личности пользователя исследуемого компьютера.


При достаточно интенсивном использовании компьютера человек неизбежно оставляет в нем «отпечаток» собственной личности. Документы, фотографии, музыка, переписка, настройки, оформление, закладки, временной режим работы, подбор программ - все это индивидуализирует информационное содержимое компьютера. Все это отражает интеллект пользователя, его эмоции, наклонности, способности.


Нет уверенности, что вопрос полностью лежит в сфере КТЭ. Возможно, ради более строгого подхода такая экспертиза должна быть комплексной, компьютерно-психологической. Во всяком случае, вопрос квалификации пользователя в области ИТ точно в компетенции эксперта, проводящего КТЭ. Конечно, для оценки квалификации на исследуемом носителе должны находиться соответствующие объекты, результаты интеллектуальной деятельности — написанные пользователем программы, переписка по нетривиальным техническим вопросам, сложные программные инструменты (например, отладчик).


Следует заметить, что некорректно ставить вопрос об «установлении личности пользователя компьютера». Любые выводы о личности на основе найденных на диске плодов интеллектуальной и творческой деятельности могут носить лишь предположительный характер.


Итоги


Итак, обычно перед экспертом, проводящим компьютерно-техническую экспертизу, ставятся вопросы:


  • о наличии на исследуемых объектах информации, относящейся к делу (в том числе в неявном, удаленном, скрытом или зашифрованном виде);

  • о возможности (пригодности) использования исследуемых объектов для определенных целей (например, для доступа в сеть);

  • о действиях, совершенных с использованием объектов, их времени и последовательности;

  • об идентификации найденных электронных документов, программ для ЭВМ, о признаках пользователей компьютера;

  • о свойствах программ для ЭВМ, в частности, о принадлежности их к вредоносным.


Неприемлемые вопросы компьютерно-технической экспертизы


  • о лицензионности/контрафактности экземпляров произведений, записанных на исследуемых носителях;

  • о правомерности действий, произведенных с использованием исследуемых объектов;

  • о стоимости компьютеров, носителей, прав (лицензий) на содержащиеся там программы;

  • о переводах найденных текстов, интерфейсов программ, переписки и т.п. (кроме разъяснения терминов и жаргона).