Судебная компьютерно-техническая экспертиза (СКТЭ) – это исследование информационных компьютерных средств. Данная экспертиза является основным доказательством любого компьютерного преступления. Только судебный эксперт может интерпретировать весь набор данных и фактов из компьютерной системы, и сделать их понятными для суда.
Компьютерные экспертизы производятся в целях определения статуса объекта как компьютерного средства, выявления и изучения его роли в расследуемом преступлении, а также получения доступа к информации на носителях данных с последующим всесторонним ее исследованием.
Родовая классификация СКТЭ организована на основе обеспечивающих компонент любого компьютерного средства (аппаратного, или технического, программного и информационного обеспечения). Соответственно этому в СКТЭ выделяются:
- аппаратно-компьютерная экспертиза;
- программно-компьютерная экспертиза;
- информационно-компьютерная экспертиза (данных);
- компьютерно-сетевая экспертиза.
Данная классификация может быть эффективно использована при назначении комплексных экспертиз и решения большого перечня задач.
I. Сущность судебной аппаратно-компьютерной экспертизы
Она заключается в проведении исследования технических (аппаратных) средств компьютерной системы. Предметом данного вида СКТЭ являются факты и обстоятельства, устанавливаемые на основе исследования закономерностей эксплуатации аппаратных средств компьютерной системы — материальных носителей информации о факте или событии гражданского либо уголовного дела.
Вопросы, разрешаемые судебной аппаратно-компьютерной экспертизой
- Относится ли представленное устройство к аппаратным компьютерным средствам?
- К какому типу (марке, модели) относится аппаратное средство? Каковы его технические характеристики и параметры?
- Каково функциональное предназначение аппаратного средства?
- Какова роль и функциональные возможности данного аппаратного средства в конкретной компьютерной системе?
- Относится ли данное аппаратное средство к представленной компьютерной системе?
- Используется ли данное аппаратное средство для решения конкретной функциональной задачи?
- Какое первоначальное состояние (конфигурацию, характеристики) имело аппаратное средство?
- Каково фактическое состояние (исправно, неисправно) представленного аппаратного средства? Имеются ли в нем отклонения от типовых (нормальных) параметров, в том числе и физические дефекты?
- Какие эксплуатационные режимы установлены на данном аппаратном средстве?
- Является ли неисправность данного средства следствием нарушения определенных правил эксплуатации?
- Каковы причины изменения функциональных (потребительских) свойств в начальной конфигурации представленного аппаратного средства?
- Является ли представленное аппаратное средство носителем информации?
- Каков вид (тип, модель, марка) представленного носителя информации?
- Какое запоминающее устройство предназначено для работы с данным накопителем информации? Имеется ли в составе представленной компьютерной системы запоминающее устройство для работы с этим носителем информации?
- Каковы параметры (форм-фактор, емкость, среднее время доступа к данным, скорость передачи данных и др.) носителя информации? Какой метод хранения данных реализован на представленном носителе?
- Доступен ли для чтения представленный носитель информации?
- Каковы причины отсутствия доступа к носителю информации?
II. Судебная программно-компьютерная экспертиза
Для осуществления экспертного исследования программного обеспечения предназначена судебная программно-компьютерная экспертиза. Ее предметом являются закономерности разработки (создания) и применения (использования) программного обеспечения компьютерной системы, представленной на исследование в целях установления истины по гражданскому или уголовному делу. Целью судебной программно-компьютерной экспертизы является изучение функционального предназначения, характеристик и реализуемых требований, алгоритма и структурных особенностей, текущего состояния представленного на исследование программного обеспечения компьютерной системы.
На разрешение судебных экспертиз этого рода ставятся следующие вопросы.
- Какова общая характеристика представленного программного обеспечения, из каких компонент (программных средств) оно состоит?
- Какую классификацию имеют конкретные программные средства (системные или прикладные) представленного программного обеспечения? Обладают ли они признаками контрафактности?
- Каково наименование, тип, версия, вид представления (явный, скрытый, удаленный) программного средства?
- Каковы реквизиты разработчика и владельца данного программного средства?
- Каков состав соответствующих файлов программного обеспечения, каковы их параметры (объемы, даты создания, атрибуты)?
- Какое общее функциональное предназначение имеет программное средство?
- Имеются ли на носителях информации программные средства для реализации определенной функциональной за¬дачи?
- Какие требования предъявляет данное программное средство к аппаратным средствам компьютерной системы?
- Какова совместимость конкретного программного средства с программным и аппаратным обеспечением компьютерной системы?
- Используется ли данное программное средство для решения определенной функциональной задачи?
- Каково фактическое состояние программного средства, его работоспособность по реализации отдельных (конкретных) функций?
- Каким образом организован ввод и вывод данных в представленном программном средстве?
- Имеются ли в программном средстве отклонения от нормальных параметров типовых программных продуктов (например, свойства инфицирования, недокументированных функций)?
- Имеет ли программное средство защитные возможности (программные, аппаратно-программные) от несанкционированного доступа и копирования?
- Каким образом организованы защитные возможности программного средства?
- Каков общий алгоритм данного программного средства?
- Какие программные инструментальные средства (языки программирования, компиляторы, стандартные библиотеки) использовались при разработке данного программного средства?
- Имеются ли на носителях информации тексты (коды) с первоначальным состоянием программы?
- Подвергался ли алгоритм программного средства модификации по сравнению с исходным состоянием? В чем это нашло отражение?
- Какой вид имело программное средство до его последней модификации?
- Использованы ли в алгоритме программы и ее тексте какие-либо специфические (нестандартные) приемы алгоритмизации и программирования?
- С какой целью было произведено изменение каких-либо функций в программном средстве?
- Направлены ли внесенные изменения в программное средство на преодоление его защиты?
- Достигается ли решение определенных задач после внесения изменений в программное средство?
- Каким способом были произведены изменения в программе (преднамеренно, воздействием вредоносной программы, ошибками программной среды, аппаратным сбоем и др.)?
- Какова хронология внесения изменений в программном средстве?
- Какова хронология использования программного средства (начиная с ее инсталляции)?
- Имеются ли в программном средстве враждебные функции, которые влекут уничтожение, блокирование, модификацию либо копирование информации, нарушение работы компьютерной системы?
- Каковы последствия дальнейшей эксплуатации определенного программного средства?
III. Судебная информационно-компьютерная экспертиза (данных)
Является ключевым видом СКТЭ, так как позволяет завершить целостное построение доказательственной базы путем окончательного разрешения большинства вопросов, связанных с компьютерной информацией. Целью этого вида является поиск, обнаружение, анализ и оценка информации, подготовленной пользователем или порожденной (созданной) программами для организации информационных процессов в компьютерной системе.
Судебная информационно-компьютерная экспертиза (данных) производится для разрешения следующих вопросов.
- Как отформатирован носитель информации и в каком виде на него записаны данные?
- Каковы характеристики физического размещения данных на носителе информации?
- Каковы характеристики логического размещения данных на носителе информации?
- Какие свойства, характеристики и параметры (объемы, даты создания-изменения, атрибуты и др.) имеют данные на носителе информации?
- Какого вида (явный, скрытый, удаленный, архив) информация имеется на носителе?
- К какому типу относятся выявленные (определенные) данные (текстовые, графические, база данных, электронная таблица, мультимедиа, запись пластиковой карты, данные постоянного запоминающего устройства и др.) и какими программными средствами они обеспечиваются?
- Каким образом организован доступ (свободный, ограниченный и проч.) к данным на носителе информации и каковы его характеристики?
- Какие свойства, характеристики имеют выявленные средства защиты данных и какие пути ее преодоления возможны?
- Какие признаки преодоления защиты (либо попыток несанкционированного доступа) имеются на носителе информации?
- Каково содержание защищенных данных?
- Каково фактическое состояние выявленных данных и соответствует ли оно типовому состоянию на соответствующих носителях данных?
- Какие несоответствия типовому представлению имеются в выявленных данных (нарушение целостности, несоответствие формата, вредоносные включения и проч.)?
- Каковы пользовательские (потребительские) свойства и предназначение данных на носителе информации?
- Какие данные для решения определенной функциональной (потребительской) задачи имеются на носителе информации?
- Какие данные с фактами и обстоятельствами конкретного дела находятся на представленном носителе информации?
- Какие данные о собственнике (пользователе) компьютерной системы (в том числе имена, пароли, права доступа и проч.) имеются на носителях информации?
- Какие данные с представленных на экспертизу документов (образцов) и в каком виде (целостном, фрагментарном) находятся на носителе информации?
- Каково первоначальное состояние данных на носителе (в каком виде, какого содержания и с какими характеристиками, атрибутами находились определенные данные до их удаления или модификации)?
- Каким способом и при каких обстоятельствах произведены действия, или операции (блокирование, модификация, копирование, удаление определенных данных), на носителе информации?
- Какой механизм (последовательность действий) по решению конкретной задачи отражен в определенных данных на носителе информации?
- Какая хронологическая последовательность действий (операций) с выявленными данными имела место при решении конкретной задачи (например, подготовки изображений денежных знаков, ценных бумаг, оттисков печатей и т. п.)?
- Какая причинная связь имеется между действиями (вводом, модификацией, удалением и проч.) с данными и произошедшим событием (например, нарушением в работе компьютерной системы, в том числе сбоями в программном и аппаратном обеспечении)?
- Какова степень соответствия (или несоответствия) действий с конкретной информацией специальному регламенту или правилам эксплуатации определенной компьютерной системы?
В отличие от предыдущих основывается, прежде всего, на функциональном предназначении компьютерных средств, реализующих какую-либо сетевую информационную технологию. Она выделена в отдельный вид в связи с тем, что лишь использование специальных знаний в области сетевых технологий позволяет соединить воедино полученные объекты, сведения о них и эффективно решить поставленные экспертные задачи. Особое место в компьютерно-сетевой экспертизе занимают экспертные исследования, связанные с интернет-технологиями.
Судебная экспертиза этого рода производится для решения следующих задач:
- определение свойств и характеристик аппаратного средства и программного обеспечения, установление места, роли и функционального предназначения исследуемого объекта в сети (например, для программного средства в отношении к сетевой операционной системе; для аппаратного средства — отношение к серверу, рабочей станции, активного сетевого оборудования и т. д.);
- выявление свойств и характеристик вычислительной сети, установление ее архитектуры, конфигурации, выявление установленных сетевых компонент, организации доступа к данным;
- определение соответствия выявленных характеристик типовым для конкретного класса средств сетевой технологии, определение принадлежности средства к серверной или клиентской части приложений;
- определение фактического состояния и исправности сетевого средства, наличия физических дефектов, состояния системного журнала, компонент управлением доступа;
- установление первоначального состояния вычислительной сети в целом и каждого сетевого средства в отдельности, возможного места покупки (приобретения), уточнение изменений, внесенных в первоначальную конфигурацию (например, добавление дополнительных сетевых устройств, устройств расширения на сервере либо рабочих станциях и проч.);
- определение причин изменения свойств вычислительной сети (например, по организации уровней управления доступом), установление факта нарушения режимов эксплуатации сети, фактов (следов) использования внешних («чужих») программ и т. п.;
- определение свойств и состояния вычислительной сети по ее отображению в информации носителей данных (например, RAID-массивы; жесткие диски, флоппи-диски, CD-ROM, ZIP-накопители и т. п.);
- определение структуры механизма и обстоятельства события в сети по его результатам (например, сценария несанкционированного доступа, механизма распространения в сети вредоносных функций и т. д.);
- установление причинной связи между использованием конкретных аппаратно-программных средств вычислительной сети и результатами их применения.
Как видно, задачи судебной компьютерно-сетевой экспертизы охватывают практически все основные задачи основных родов СКТЭ, т. е. решение аппаратных, программных и информационных аспектов при установлении фактов и обстоятельств дела.
Наиболее часто встречаемыми в практике вопросами являются следующие.
- Имеются ли признаки работы данного компьютерного средства в сети Интернет?
- Какие аппаратные средства использовались для подключения к Интернету?
- Имеются ли заготовленные соединения с узлом сети Интернет и каковы их свойства (номера телефонов провайдера, имена и пароли пользователя, даты создания)?
- Каково содержание установок программы удаленного доступа к сети и протоколов соединений?
- Какие имеются адреса Интернета, по которым осуществлялся доступ с данного компьютерного средства?
- Имеется ли какая-либо информация о проведении электронных платежей и использовании кодов кредитных карт?
- Имеются ли почтовые сообщения, полученные (а также отправленные) по электронной почте?
- Имеются ли сообщения, полученные (отправленные) посредством использования программ персональной связи через Интернет, и каково их содержание?
Практика показывает, что рассмотренные выше основные виды СКТЭ при производстве большинства экспертных исследований применяются комплексно и чаще всего последовательно. Поэтому в настоящее время в постановлении на производство судебной экспертизы целесообразно указывать не родовое наименование экспертизы, а назначать судебную компьютерно-техническую экспертизу.
Можно сформулировать вопросы комплексного исследования при судебной экспертизе целостной компьютерной системы (устройства).
- Является ли представленное оборудование компьютерной системой?
- Является ли представленное оборудование целостной компьютерной системой или же ее частью?
- К какому типу (марке, модели) относится компьютерная система?
- Каковы общие характеристики сборки компьютерной системы и изготовления ее компонент?
- Какой состав (конфигурацию) и технические характеристики имеет компьютерная система?
- Является ли конфигурация компьютерной системы типовой или расширенной под решение конкретных задач?
- Какое функциональное предназначение имеет компьютерная система?
- Имеются ли в компьютерной системе наиболее выраженные функции (потребительские свойства)?
- Решаются ли с помощью представленной компьютерной системы определенные функциональные (потребительские) задачи?
- Находится ли компьютерная система в рабочем состоянии?
- Имеет ли компьютерная система какие-либо отклонения от типовых (нормальных) параметров, в том числе физические (механические) дефекты?
- Какой перечень эксплуатационных режимов имеется в компьютерной системе?
- Какие эксплуатационные режимы задействованы (установлены) в компьютерной системе?
- Существуют ли в компьютерной системе недокументированные (сервисные) возможности, если да, то какие?
- Какие носители информации имеются в данной компьютерной системе?
- Реализована ли в компьютерной системе какая-либо система защиты информации?
- Какая система защиты информации имеется в данной компьютерной системе? Каковы тип, вид и характеристики этой системы защиты? Каковы возможности по ее преодолению?
По результатам исследования судебные эксперты «Вышей Школы Экспертизы и Права» выносят экспертное заключение, содержащее истинные выводы на основании предоставленных данных для исследования.