Судебная компьютерно-техническая экспертиза назначается в целях определения статуса объекта как компьютерного средства, выявления и изучения его роли в расследуемом преступлении, а также получения доступа к машинным носителям информации с последующим ее исследованием.
В компьютерно-технической экспертизе (КТЭ) выделяют следующие подвиды: аппаратно-компьютерная, программно-компьютерная, информационно-компьютерная, а также компьютерно-сетевая экспертизы.
Кратко рассмотрим каждый из подвидов:
Сущность аппаратно-компьютерной экспертизы заключается в проведении исследования (в основном, диагностического) технических (аппаратных) средств компьютерной системы. К аппаратным средствам относятся: электрические, электронные и механические схемы, блоки, приборы и устройства, составляющие материальную часть компьютерной системы.
По указанным объектам на разрешение эксперту могут быть поставлены следующие вопросы:
- Каков тип, конфигурация и основные технические характеристики представленного на исследование аппаратного средства?
- Соответствует ли комплектация аппаратного средства представленной технической документации?
- Не внесены ли в конструкцию представленного аппаратного средства изменения (например, установка дополнительных встроенных устройств: накопителей на жестких магнитных дисках, модулей оперативной памяти, приводов для работы с компакт-дисками и пр., иные изменения конфигурации)?
- Работоспособно и исправно ли представленное на экспертизу аппаратное средство?
- Каковы причины неисправности, неработоспособности?
- Является ли неисправность представленного аппаратного средства нарушением определенных правил эксплуатации?
- Пригоден ли для исследования представленный машинный носитель информации?
- Каковы причины отсутствия доступа к машинному носителю информации?
- Имеют ли представленные аппаратные средства какие-либо повреждения?
- Соответствуют ли технические характеристики представленного аппаратного средства техническим характеристикам … ?
Для проведения экспертного исследования программного обеспечения предназначен такой подвид экспертизы, как программнокомпьютерная. Ее видовым предметом являются закономерности разработки (создания) и применения (использования) программного обеспечения компьютерной системы, представленной на исследование в целях установления истины по уголовному или гражданскому делу. Задачами экспертизы данного вида является изучение функционального предназначения и характеристик реализуемого алгоритма, структурных особенностей и текущего состояния системного и прикладного программного обеспечения компьютерной системы.
На разрешение эксперту могут быть поставлены следующие вопросы:
- Какой экземпляр (например, операционной системы) установлен на представленных машинных носителях, какова дата его установки?
- Имеется ли на представленных машинных носителях программное обеспечение для …?
- Имеется ли на машинных носителях информации, представленных на исследование, программное обеспечение, позволяющее сканировать ip-адреса компьютеров пользователей сети Интернет, имеющих открытые для удаленного доступа из сети Интернет ресурсы? Если да, то такое программное обеспечение (название, версии, место расположения на носителе)? Имеются ли данные, свидетельствующие об использовании этого программного обеспечения? Если да, то какие именно?
- Имеется ли на машинных носителях информации, представленных на исследование, программное обеспечение, позволяющее подобрать пароль для подключения к жесткому диску удаленного компьютера? Если да, то какое программное обеспечение (название, версии, место расположения на носителе)?
- Имеется ли на представленных машинных носителях программное обеспечение для работы с электронными платежными системами? Если да, то имеется ли информация об учетных данных пользователей, зарегистрированных в таких системах?
- Имеются ли на представленных машинных носителях информации, представленных на исследование, вредоносные программы, заведомо приводящие к модификации, блокированию, копированию или уничтожению компьютерной информации, нарушению работы ЭВМ, системы ЭВМ или их сети? Если да, то каково их назначение, предназначение, расположение? Имеются ли данные, свидетельствующие об их создании на исследуемом машинном носителе и распространении (в том числе по сети Интернет)? Если да, то какие именно?
- Экземпляры, каких программных продуктов, установлены на представленных машинных носителях информации?
- Имеются ли на представленных машинных носителях информации экземпляры программных продуктов для ведения бухгалтерского учёта и налоговой отчетности?
- Возможно ли вносить изменения в ранее созданный документ с помощью установленных экземпляров программных продуктов семейства «1С: Предприятие»?
- Какое количество учетных записей пользователей зарегистрировано в установленных экземплярах системного программного обеспечения, а также в экземплярах программных продуктов семейства «1С: Предприятие»?
- Имеют ли установленные зарегистрированные учетные записи пользователей пароли доступа к ресурсам системного программного обеспечения, а также к ресурсам в экземплярах программных продуктов семейства «1С: Предприятие»?
- Какие права доступа имеют установленные зарегистрированные учетные записи пользователей?
Информационно-компьютерная экспертиза является ключевым подвидом компьютерно-технической экспертизы, так как позволяет завершить целостное построение доказательственной базы путем окончательного разрешения большинства диагностических и идентификационных вопросов, связанных с компьютерной информацией. Задачами этого вида являются поиск, обнаружение, анализ и оценка информации, подготовленной пользователем или порожденной (созданной) программами для организации информационных процессов в компьютерной системе.
Вопросы эксперту могут быть сформулированы следующим образом:
- Имеются ли на представленных машинных носителях файлы, содержащие базы сообщений электронной почты, а также файлы, содержащие журналы сообщений программ по обмену мгновенными сообщениями (интернет-пейджеров)? Если да, то под какими учетными данными принимались (передавались) сообщения?
- Содержится ли на представленных машинных носителях информация о доступе к каким-либо форумам в сети Интернет? Если да, то имеется ли информация об учетных данных зарегистрированных в них пользователей?
- Имеются ли на представленных машинных носителях файлы, содержащие следующие «ключевые выражения» (текстовые последовательности): …?
- Имеются ли на представленных машинных носителях файлы, содержащие графические изображения представленных документов?
- Имеются ли на представленных машинных носителях файлы, которые являются электронными копиями файлов, представленных для сравнительного анализа? Если да, то какова дата их создания, изменения, печати, удаления, с помощью какого программного обеспечения они были созданы и изменены?
- Имеются ли на представленных машинных носителях файлы, содержащие фрагменты документов из представленных для сравнительного анализа файлов?
- Имеются ли на представленных накопителях на жестких магнитных дисках следы аномальных изменений даты и времени?
- Имеются ли на представленных машинных носителях файлы, содержащие информацию из представленных документов…?
- Имеются ли на представленных машинных носителях следы изменения файлов с именами … с помощью имеющегося программного обеспечения?
Компьютерно-сетевая экспертиза в отличие от предыдущих основывается прежде всего на функциональном предназначении компьютерных средств, реализующих какую-либо сетевую информационную технологию. Поэтому факты и обстоятельства, связанные с использованием сетевых и телекоммуникационных технологий и устанавливаемые по заданию следственных и судебных органов в целях установления истины по уголовному или гражданскому делу, составляют видовой предмет компьютерно-сетевой экспертизы.
Она выделена в отдельный подвид в связи с тем, что лишь использование специальных познаний в области сетевых технологий позволяет соединить воедино полученные объекты, сведения о них и эффективно решить поставленные экспертные задачи.
Особое место в судебной компьютерно-сетевой экспертизе занимают экспертные исследования по уголовным и гражданским делам, связанным с интернет-технологиями. Объект применения специальных познаний КТЭ может быть довольно разным – от компьютеров пользователей, подключенных к интернет, до различных ресурсов поставщика сетевых услуг (провайдера) и предоставляемых им информационных услуг (электронная почта, служба электронных объявлений, телеконференции, www-сервис и пр.)
При назначении экспертизы могут быть поставлены следующие вопросы:
- Возможно ли осуществление доступа к сети интернет с использованием представленных на исследование аппаратных средств? Если да, то каким образом осуществлялся доступ?
- Имеется ли на машинных носителях информации, представленных на исследование, программное обеспечение, позволяющее осуществлять соединение и работу в сети интернет? Если да, то, какое программное обеспечение (название, версии)?
- Имеется ли на машинных носителях информации, представленных на исследование, программное обеспечение, позволяющее пользоваться услугами электронной почты? Если да, то, какое программное обеспечение (название, версии)? Имеются ли на машинных носителях информации файлы, содержащие почтовые сообщения? Каков адрес электронного почтового ящика, на который получены входящие сообщения?
- Имеется ли на машинных носителях информации, представленных на исследование, информация об осуществлении сеансов доступа к сети Интернет за период с … по …, в том числе с использованием учетных данных …? Если да, то, какие учетные данные использовались для выхода в сеть интернет? В каких файлах содержатся сведения об использовавшихся логинах и паролях?
- Имеется ли на машинных носителях информации, представленных на исследование, файлы, полученные путем копирования из сети интернет за период с … по … (в том числе файлы «cookies»)?
Практический опыт показывает, что рассмотренные выше основные подвиды компьютерно-технической экспертизы при производстве большинства экспертиз применяются комплексно и, чаще всего, последовательно. При этом, как правило, изучение начинается с аппаратных средств, далее – программных, и в заключение – работа с данными. Именно информационно-компьютерная экспертиза позволяет в итоге построить целостное представление об исследуемом объекте, имеющее доказательственное значение. В результате проведения такого комплекса исследований, использования всего имеющегося родового экспертного инструментария достигается решение наиболее существенных экспертных задач – поиск, обнаружение, анализ и оценка криминалистически значимой компьютерной информации. Название такого комплексного исследования должно совпадать с родовым названием – компьютернотехническая экспертиза. Поэтому в настоящее время в постановлении на производство судебной экспертизы целесообразно указывать родовое наименование экспертизы, т.е. «произвести судебную компьютерно-техническую экспертизу».
Кроме того, в ходе таких пограничных исследований иногда возникает потребность привлекать специальные познания и из других смежных научных областей (например, криптографии и защиты информации). В экспертной практике уже намечены реальные перспективы развития комплексных экспертиз с использованием специальных познаний в СКТЭ и в следующих экспертизах: судебноэкономические экспертизы, технико-криминалистическая экспертиза документов, криминалистическая экспертиза видео- и звукозаписей, товароведческая и другие экспертизы.
Так, при назначении комплексной компьютерно-технической и технической экспертизы документов на разрешение экспертам могут быть поставлены вопросы:
- Имеются ли на машинном носителе информации данные с представленных на экспертизу документов (образцов)?
- В каком виде (целостном, фрагментарном) находятся данные с представленных документов на машинных носителях информации?
- Какие данные с представленных на экспертизу документов (образцов) находятся на машинном носителе информации?
- Изготовлены ли и распечатаны ли представленные документы при помощи изъятого по делу … комплекта компьютерной техники?
- Получены ли представленные документы с использованием данной компьютерной техники?
- Каким способом изготовлен представленный на исследование документ?
- Каким шрифтом выполнены письменные знаки в исследуемом документе?
- Имеются ли в представленном документе какие-либо письменные знаки, не относящиеся к стандартным шрифтам, а созданные самостоятельно пользователем?
- Имеются ли на машинных носителях информации, представленных на экспертизу, файлы, содержащие текст указанного документа?
- Имеются ли следы изготовления документа, представленного на исследование?
Подготовка материалов на компьютерно-техническую экспертизу
Собирание доказательств по делам, сопряженным с использованием компьютерных средств, достаточно сложно, т.к. связано со сложностью объектов. Не каждый следователь обладает специальными познаниями в области компьютерных технологий в достаточной мере, чтобы успешно организовать расследование. В этой связи необходима помощь специалиста, т.к. даже малейшее неквалифицированное действие с компьютерной системой зачастую заканчивается безвозвратной утратой ценной розыскной и доказательственной информации. Поэтому изъятие объектов исследования для производства компьютерно-технической экспертизы должен производить специалист.
Конкретный объект экспертизы – определенное компьютерное средство, исследуемое в процессе данной экспертизы, обладающее признаками индивидуальности и неповторимости, что и определяет специфику конкретного исследования.
Система объектов компьютерно-технической экспертизы по классификационному основанию видового деления выглядит следующим образом:
- класс аппаратные объекты, включающие в себя виды: персональные компьютеры (настольные, портативные), периферийные устройства, сетевые аппаратные средства, (серверы, рабочие станции, активное оборудование, сетевые кабели и т.д.), интегрированные системы (органайзеры, пейджеры, мобильные телефоны и т.п.), встроенные системы на основе микропроцессорных контроллеров (иммобилайзеры, транспондеры, круиз-контроллеры и т.п.), любые комплектующие всех указанных компонент (аппаратные блоки, платы расширения, микросхемы и т.п.). Указанные виды могут охватывать различные сочетания подвидов. В криминалистическом аспекте наиболее важен подвид запоминающих устройств и носителей данных – включает все известные на момент проведения экспертизы электронные носители данных: микросхемы памяти, магнитные и лазерные диски, магнитооптические диски, магнитные ленты, карты и т.п.;
- класс программные объекты, включающий в себя виды: системное программное обеспечение (подвиды: операционная система, вспомогательные программы- утилиты, средства разработки и отладки программ, служебная системная информация); прикладное программное обеспечение – подвид приложения общего назначения (текстовые и графические редакторы, системы управления базами данных, электронные таблицы, редакторы презентаций и т.д.) и подвид приложения специального назначения (для решения задач в определенной области науки, техники, экономики и т.д.);
- класс информационные объекты (данные), включающий в себя виды: текстовых и графических документов, изготовленных с использованием компьютерных средств; данных в форматах мультимедиа; информации в форматах баз данных и других приложений, имеющей прикладной характер.
При изъятии компьютеров и носителей данных их следует упаковывать и опечатывать. Системные блоки компьютеров должны быть пронумерованы, а все разъемы опечатаны. Следует пронумеровать все носители информации, а также пакеты, в которые они запакованы, проставить соответствующие опознавательные знаки на бумажных аналогах информации.
При опечатывании компьютеров не следует пользоваться жидким клеем или другими веществами, которые могут испортить техническое средство. Наиболее эффективен следующий способ фиксации компьютерного средства:
- выключить компьютер;
- отключить его от сети;
- отсоединить все разъемы;
- на длинной полосе бумаги поставить подписи следователя, специалиста, понятых, представителей персонала или администрации и номер;
- наложить эти полосы на разъемы для подключения питания, а также на кнопки сетевого включения. В качестве клеящего средства можно использовать липкую ленту или густой клей. При использовании липкой ленты ее надо наносить так, чтобы любая попытка снять ее нарушала целостность бумажной полосы с подписями;
- такой же бумажной полосой опечатать боковые стенки корпуса таким образом, чтобы исключить возможность доступа к внутренним элементам системного блока без нарушения ее целостности;
- при составлении протокола обыска и изъятия в нем следует указывать серийные номера всех изымаемых блоков и их балансовые номера (по документации бухгалтерии предприятия), если таковые имеются. Если номера полностью отсутствуют, следует подробно описать каждый блок в соответствии с его индивидуальными признаками.
Кроме указанного способа, в следственной практике все чаще указывается другой способ опечатывания системного блока. Последний помещается в полиэтиленовый (либо холщевый) пакет и далее опечатывается уже сам пакет (доступа не будет ни к разъемам, ни к кнопкам, ни к корпусу).
Для опечатывания носителей информации необходимо упаковать их в жесткую негнущуюся коробку и опечатать ее. Далее следует сделать на отдельном листке бумаги подробное описание упакованных носителей (тип каждого из них, их количество). Коробка с носителями и описание помещается в полиэтиленовый пакет, который заклеивается. Кроме коробок, в крайнем случае, для упаковки компьютерных средств могут быть использованы большие полотняные мешки или куски ткани.
Изъятие компьютерных средств должно производиться в один прием. При отсутствии транспорта следует организовать строгую охрану изъятого оборудования в специальном помещении. Недопустимо предоставление части изъятых средств в распоряжение организации (учреждения) по причинам «производственной необходимости», так как в процессе работы могут быть внесены изменения в файлы информации или программы. Такие действия могут повлечь за собой повреждение или уничтожение имеющейся компьютерной информации. Известны совершенно недопустимые случаи использования изъятых в качестве вещественных доказательств компьютерных средств следователями и сотрудниками оперативных аппаратов для составления процессуальных документов, отчетов, компьютерных игр. Такие действия должны решительно пресекаться, а виновные привлекаться к ответственности, даже если в следственном отделе, расследующем преступление, отказали все служебные компьютеры.
При перевозке компьютерных средств необходимо исключить их механические повреждения и взаимодействие с химически активными веществами. Следует экранировать от воздействий магнитных полей как компьютерные устройства, так и магнитные носители информации. Такое воздействие может привести к порче или уничтожению информации путем размагничивания.
При размещении изъятых объектов на хранение следует соблюдать установленные правила хранения и складирования электронных технических средств. Нельзя ставить системные блоки в штабель выше трех штук, а также размещать на них какие-либо другие предметы.
Хранят компьютеры и комплектующие в сухом, отапливаемом помещении. Следует удостовериться, что в нем нет грызунов (мышей и крыс), которые часто являются причиной неисправности аппаратуры. Кроме того, категорически не рекомендуется курить, принимать пищу и содержать животных в помещениях, предназначенных для хранения компьютерной техники и магнитных носителей.