<<
>>

§ 5. Криминалистическое исследование компьютерной информации

Криминалистическое исследование компьютерной (машиной) информации является одним из самых молодых направлений в криминалистической технике. Оно начало складываться в пер­вой половине 90-х гг.
XX в. Наиболее часто исследования компь­ютерной, в том числе документированной информации, прово­дятся при расследовании следующих видов преступлений: в сфере компьютерной информации; экономические и налоговые преступления, в том числе совершенные путем нарушения пра­вил бухгалтерского учета; связанные с изготовлением различной печатной продукции, в том числе бланков документов, денеж­ных знаков, ценных бумаг и других; преступные нарушения ав­торских и смежных прав.

На современном этапе в криминалистике окончательно не сформировались теоретические и методологические основы кри­миналистического исследования компьютерной информации. В частности, среди криминалистов нет единства взглядов на предмет, задачи и объекты криминалистического исследования компьютерной информации.

В настоящем учебнике криминалистическое исследование компьютерной информации отнесено к криминалистическому исследованию документов, но в дальнейшем возможно данное направление сформируется в самостоятельную отрасль кримина­листической техники.

Для целей технико-криминалистического исследования ком­пьютерной информации определяющее значение имеет физиче­ская природа данного вида информации.

Компьютерная информация является объектом материально­го мира, элементом искусственной среды, созданным человеком. Она может существовать только с помощью специально приспо­собленных технических средств: электронно-вычислительной тех­ники и электронных средств связи (системы телекоммуникаций).

Компьютерная информация, как и любой другой вид инфор­мации, состоит из двух элементов: содержания информации — сведений о каком-либо явлении объективной реальности и мате­риального носителя данных сведений.

В рассматриваемом направлении криминалистической тех­ники изучается компьютерная информация, содержание кото­рой представлено в форме, пригодной для обработки ЭВМ, а ее материальным носителем является электромагнитное поле.

Данный подход соответствует требованиям российского зако­нодательства. В ст. 2 Федерального закона «Об информации, ин­форматизации и защите информации» от 20 февраля 1995 г. № 24-ФЗ[24] установлено: «информация — сведения о лицах, пред­метах, фактах, событиях, явлениях и процессах независимо от формы их представления; .. .документированная информация (до­кумент) — зафиксированная на материальном носителе информа­ция с реквизитами, позволяющими ее идентифицировать».

В ст. 2 Закона РФ «О государственной тайне» от 21 июля 1993 г. № 5485-1[25] дается следующее определение носителей све­дений, составляющих государственную тайну: «...материальные объекты, в том числе физические поля, в которых сведения, со­ставляющие государственную тайну, находят свое отображение в виде символов, образов, сигналов, технических решений и про­цессов».

Физическая природа компьютерной информации обуславли­вает следующие ее свойства, делающие данный вид информации весьма сложным объектом криминалистического исследования: компьютерная информация не доступна для непосредственного человеческого восприятия; определенное содержание информа­ции не может быть однозначно закреплено за конкретным мате­риальным носителем; материальный носитель компьютерной информации (электромагнитное поле) невозможно индивидуали­зировать; как содержание информации, так и ее материальный носитель могут быть отделены друг от друга без их изменений; возможность быстрого изменения и удаления информации, в том числе путем удаленного доступа и вне контроля лиц, право­мерно пользующихся данной информацией; невозможность вы­деления точных и допускающих единую трактовку признаков, присущих компьютерной информации, позволяющих восстанав­ливать содержание измененной или удаленной информации.

В предмет криминалистического исследования компьютер­ной информации входит:

— разработка приемов, способов, рекомендаций по обнару­жению, фиксации, изъятию и хранению компьютерной инфор­мации и электронно-вычислительной техники;

— изучение состояния и процессов обработки компьютерной информации; состояния и функционирования электронно- вычислительной техники.

Компьютерная техника и иное электронное оборудование (далее — компьютерная техника) изучается в рамках данного раздела, главным образом, поскольку и в связи с тем, что эти технические средства использовались для создания, обработки и изменения компьютерной информации. Даже в тех случаях, ко­гда компьютерная техника является самостоятельным объектом исследования, например при решении вопроса, является ли оп­ределенное устройство ЭВМ. В конечном итоге такое исследова­ние является промежуточным шагом в решении задач, связан­ных с изучением компьютерной информации или процессов ее обработки.

В тех случаях, когда правоохранительные органы и суд инте­ресуют свойства собственно компьютерной техники (потреби­тельские свойства) вне связи с обрабатываемой этой техникой информацией, может назначаться судебно-товароведческая экс­пертиза, которая будет проводиться специалистами в области компьютерной техники или с участием таких специалистов.

В рамках криминалистического исследования компьютерной информации решаются идентификационные, классификацион­ные и диагностические задачи.

Идентификационные и классификационные задачи. Объ­единение этих задач сделано по двум причинам. Во-первых, на современном этапе в большинстве случаев криминалисты не рас­полагают инструментарием, позволяющим провести идентифи­кацию единичных материальных объектов, изучаемых при кри­миналистическом исследовании компьютерной информации, а также использовать эти объекты для индивидуальной идентифи­кации других объектов. Это обусловлено названными выше свойствами, присущими компьютерной информации. Во-вто­рых, при решении классификационных задач исследователи стремятся выйти на уровень как можно более узкой классифика­ционной группы, выделить отдельные индивидуализирующие признаки, пусть и недостаточные для индивидуальной иденти­фикации.

Поэтому решение классификационных задач осущест­вляется по идентификационным методикам.

Наиболее часто решаются следующие идентификационные и классификационные задачи:

— изготавливалась (обрабатывалась, передавалась, изменя­лась) ли данная информация с помощью определенного типа или конкретного технического устройства;

— какой тип (вид, модель, марка) аппаратных и программ­ных средств применялся при операциях с машинной информа­цией;

— к какому типу (текстовые файлы, программы, вирусы и т.д.) или более узкой классификационной группе (системное или прикладное программное обеспечение, версия программы, редакция тестового файла) относится представленная компью­терная информация;

— к какому типу (вид, модель, марка) относится представ­ленная компьютерная техника;

— определение общего источника происхождения содержа­ния информации, представленной на разных носителях (созда­ние ее определенной программой и т.п.).

Пока нет достаточно надежных методик установления автора или изготовителя компьютерной информации. Встречающиеся в литературе предложения использовать в этих целях методики, применяемые для решения аналогичных задач в других отрас­лях криминалистической техники (например, в автороведении или технико-криминалистическом исследовании документов) не имеют экспериментального подтверждения.

В литературе широко обсуждается возможность идентифика­ции технических комплексов (единичный компьютер, сеть ЭВМ). В настоящее время в криминалистике нет апробирован­ных методик, которые позволили бы провести такую идентифи­кацию. Представляется, что решить задачу идентификации ком­пьютера или сети ЭВМ в настоящее время только технико- криминалистическим путем в большинстве случае невозможно. Поскольку это требует установления временных, организацион­ных факторов, что нельзя сделать в рамках экспертных иденти­фикационных исследований. Установление единичной ЭВМ или компьютерной сети является задачей процессуального доказыва­ния. Экспертная идентификация выступает как один из методов используемых для достижения конечной цели.

Идентификация некоторых электронных печатающих уст­ройств (принтеров, телефаксимильных аппаратов и др.) проводит­ся по их признакам, отобразившимся в текстовой информации на бумажных носителях. Поэтому чаще всего идентификация данных устройств проводится в рамках технико-криминалис­тического исследования документов. При этом эксперт должен обладать знаниями в области вычислительной техники или при­влекать специалиста в данной области.

Типовыми диагностическими задачами являются следую­щие:

— установление свойств и состояния компьютерной инфор­мации и компьютерной техники;

— установление факта внесения изменений в компьютерную информацию после ее создания, выявление признаков такого из­менения;

— установление первоначального состояния машинной ин­формации;

— установление времени создания (удаления, изменения) информации, хронологической последовательности функциони­рования компьютера, компьютерной системы или сети;

— установление способа доступа к компьютерной информа­ции и/или техники;

— определение фактического состояния и исправности ком­пьютерной техники;

— установление соответствия реквизитов машинных доку­ментов требованиям, предъявляемым к ним, выявление призна­ков изменения данных реквизитов;

— порядка соблюдения установленных технических правил при работе с машинной информацией, в том числе правил, обес­печивающих ее защиту;

— установление причинной связи между действиями с ком­пьютерной техникой, машинной информации (например, про­граммным обеспечением) и наступившими последствиями, на­пример, удалением какой-либо информации, прекращением работы компьютера и т.п.

Основными объектами криминалистического исследования компьютерной информации являются: компьютерная информа­ция и компьютерная техника.

В криминалистике встречаются различные классификации компьютерной информации. Для целей технико-криминалисти­ческого исследования основное значение имеет три основания классификации: по физической природе носителя, на котором находится компьютерная информация, по ее функциональному назначению и по правовому статусу.

В соответствии с физической природой носителя, на котором находится компьютерная информация, можно выделить следую­щие виды машинной информации:

— жесткий магнитный диск (винчестер, НЖМД, HDD). Это устройство, которое может находиться как внутри компьютера, так и в отдельном блоке. Существует отдельный вид устройств, построенных на основе жестких дисков, который называется RAID (Redundant Arrays of Independent Disks) — массив незави­симых дисков с избыточностью;

— оперативное запоминающее устройство (ОЗУ-RAM) и по­стоянное запоминающее устройство (ПЗУ-ROM) обеспечиваю­щие все преобразования информации в компьютере и перифе­рийных устройствах;

— гибкие магнитные диски или дискеты (НГМД, FDD — floppy disk drive). Существует два типа таких устройств: диске­ты размером 5,25 дюйма (пятидюймовая дискета) и объемом па­мяти до 1,2 Мбайта, практически вышедшие из употребления, и дискеты размером 3,5 дюйма и объемом до 2,88 Мбайт;

— накопители на магнитных лентах (стримеры). Стримеры часто используются для дублирования других носителей инфор­мации (архивирования информации), так как обладают значи­тельной емкостью;

— оптические и магнитооптические диски. Принцип их ра­боты основан на считывании и, в некоторых видах, записи ин­формации с помощью луча лазера. Наиболее распространенным устройством данного типа является накопитель на компакт- дисках (CD-ROM). К этой группе относятся магнитооптические дисководы, ZIP-устройства и некоторые другие;

— существуют и другие реже употребляемые носители ин­формации, такие как модули памяти на цилиндрических маг­нитных доменах (ЦМД), перепрограммируемые карты памяти (Flesh-card), дисководы типа Бернулли и др.

В число носителей компьютерной информации часто включа­ются современные средства связи, например, линии электросвя­зи, компьютерные сети и другие, в которых машинная информа­ция находится при ее передаче.

По правовому статусу компьютерная информация подраз­деляется на два вида, имеющих разный правовой режим: до­кументированная информация (документ) и информация, не имеющая документированной формы. Сравнивая понятия «ин­формация» и «документированная информация (документ)», можно выделить признак, который, по мнению законодателя, присущ документу как виду информации — это реквизиты, по­зволяющие идентифицировать информацию, содержащуюся в документе.

Реквизитами компьютерной документированной информа­ции (машинного документа) в соответствии с действующим зако­нодательством могут быть различные коды, пароли, электронно- цифровая подпись, иные аналоги собственноручной подписи.

Таким образом, если при изучении экспертами «простой» компьютерной информации объектами исследования являют­ся содержание информации и ее материальный носитель, то при изучении машинных документов самостоятельным объектом ис­следования могут стать и их реквизиты, а также программные и аппаратные средства, используемые при их создании.

Компьютерная информация по функциональному назначе­нию подразделяется на текстовые и графические документы, данные в форматах мультимедиа, информация в форматах баз данных, программные средства. Программы в свою очередь классифицируются на операционные системы, сервисные про­граммы, языки программирования, средства обработки текстов и изображений, системы управления базами данных, системы управления знаниями («экспертные системы»), электронные таблицы, интегрированные пакеты, игровые программы, спе­циализированные программные средства, предназначенные для решения задач в узкой предметной области.

В качестве разновидности специализированных программ рассматриваются «вредоносные программы» (ст. 273 УК РФ): компьютерные вирусы, черви и др.

При криминалистическом исследовании компьютерной ин­формации с целью более полного изучения свойств исследуемых объектов могут использоваться следующие вспомогательные ма­териалы: любая информация, характеризующая свойства компь­ютерной информации и техники (например, распечатка данных, содержащихся в компьютере, на бумажном носителе), записи с паролями и кодами пользователей; видео- и аудиозаписи, изго­товленные (полностью или частично) с использованием компью­терных систем и средств копирования информации; компьютер­ные программы и их описание; компьютеры и их компоненты, периферийные устройства, средства связи, компьютерные сети; сопроводительная документация к компьютерной и электронной технике (например, руководства по их эксплуатации); инструк­ции пользователей, администраторов и других работников ком­пьютерных систем; множительная техника, средства связи, иные технические средства; расходные материалы и комплек­тующие (например, емкости с красящим веществом, которое ра­нее использовалось в периферийных устройствах при печати ин­формации).

Криминалистическое исследование компьютерной информа­ции должно производиться только лицами, обладающими спе­циальными познаниями. Оно может быть проведено в следую­щих процессуальных формах:

— в форме участия специалиста при производстве следствен­ных действий. Он привлекается для осуществления операций, связанных с обнаружением, осмотром, фиксацией и изъятием компьютерной информации и техники, при производстве от­дельных следственных действий, а также ее исследований по за­данию следователя. При этом специалист, как правило, привле­кается для решения поисковых задач, диагностирования состояния и изменения компьютерной информации и техники, решения вопроса о возможности в дальнейшем проведения экс­пертного исследования в отношении изъятых объектов. В случае если при этом возникает опасность утраты или изменения иссле­дуемой информации, а также при решении более сложных задач назначается экспертиза (см. также гл. 34 настоящего учебника);

— в форме экспертного исследования компьютерной инфор­мации и техники (компьютерно-технической экспертизы), охва­тывающей экспертные исследования как в отношении компью­терной информации, так и в отношении компьютерного оборудования.

При подготовке к назначению компьютерно-технической экспертизы следователь или суд должны прежде всего уяснить, имеются ли на носителях машинной информации и компьютер­ном оборудовании следы, не связанные с компьютерной инфор­мацией, изучение которых необходимо для успешного расследо­вания преступления. Такими следами могут быть: отпечатки пальцев, различные выделения человека, волосы, микрочасти­цы кожи, рукописные записи, микрочастицы различных ве­ществ, в том числе одежды, и некоторые другие.

В отношении данных следов могут быть назначены следую­щие экспертные исследования: дактилоскопическая экспертиза, судебно-медицинская или биологическая экспертиза, почерко- ведческая экспертиза, СТЭД и КЭМВИ. В случае наличия таких следов они фиксируются в протоколе соответствующего следст­венного действия, фотографируются и изымаются. Когда изъя­тие невозможно в силу того, что следы неразрывно связаны с но­сителем информации или техническим устройством (например, рукописные записи на дискете), должен быть решен вопрос об очередности проведения экспертиз с учетом обеспечения сохран­ности всех следов.

В настоящее время компьютерные экспертизы проводятся экспертными учреждениями МВД, ФСБ, Министерства юстиции РФ, Федеральной службы по контролю за оборотом наркотиче­ских средств и психотропных веществ РФ.

Основные задачи и вопросы, решаемые компьютерной экс­пертизой, связаны с установлением состояния и параметров ма­шинной информации, компьютерного оборудования, компьютер­ных систем, а также различных изменений происходивших в данных объектах. В то же время могут решаться и некоторые идентификационные задачи: поиск и идентификация конкрет­ной компьютерной информации; идентификация аппаратных и программных средств, используемых в процессе каких-либо опе­раций с информацией.

В связи со сложностью объектов исследования при назначе­нии конкретной экспертизы следователю рекомендуется предва­рительно согласовать вопросы с экспертом. Ниже приводится ряд типовых вопросов, которые достаточно часто ставятся при назначении компьютерной экспертизы:

— позволяет ли представленное программное обеспечение по­лучать доступ в компьютерные сети (в определенную компью­терную сеть, например Интернет);

— позволяет ли представленное программное обеспечение, подготовить представленную на экспертизу компьютерную ин­формацию;

— когда и каким образом осуществлялся доступ к машинной информации или к компьютеру? Был ли осуществлен доступ с определенного компьютера;

— имело ли конкретное лицо техническую возможность про­изводить определенные операции с данной компьютерной ин­формацией;

— имеются ли на представленных носителях компьютерной информации какие-либо программные средства для осуществле­ния доступа к информации в других компьютерах;

— позволяют ли представленные на экспертизу программные средства вносить изменения или заранее обусловливать резуль­тат работы определенной программы;

— какие системы защиты применялись в представленной на экспертизу ЭВМ;

— каково время создания (последней модификации) пред­ставленных данных;

— какие файлы были уничтожены и/или изменены, каковы их имена, размеры и даты создания;

— можно ли определить имена пользователей, их пароли при работе с представленным на экспертизу компьютером;

— является ли представленное на экспертизу техническое устройство электронно-вычислительной машиной.

В настоящее время правоохранительные органы довольно часто назначают экспертизу для проведения разнообразных вспомогательных действий: получить доступ к информации, хранящейся на представленных на экспертизу компьютерных носителях информации; осуществить вывод компьютерной ин­формации, находящейся на машинном носителе на бумажный носитель и другие подобные операции. Представляется, что вы­полнять указанные действия в рамках экспертного исследова­ния нецелесообразно. Данные операции могут быть проведены с участием специалиста в ходе следственного действия (например, осмотра компьютерной техники) или по назначению следовате­лем специалистом и оформлены путем дачи заключения специа­листа.

В ходе расследования может возникнуть необходимость в изучении компьютерных систем непосредственно в процессе их функционирования. Например, определение возможных сбоев в обработке информации, слабых мест в системе защиты и т.п. Ви­димо, в данных ситуациях можно говорить о проведении экс­пертных исследований на месте происшествия по методике экс­пертного эксперимента.

Основными методами и средствами экспертных исследова­ний являются общие математические и научно-технические ме­тоды, используемые в современных компьютерных технологиях. Это такие методы, как системный анализ, математическое и имитационное моделирование, инструментальный анализ, метод экспертных оценок и др. В то же время все больше ощущается необходимость развития данных методов именно в направлении криминалистической специализации и их интеграции со специ­альными методами других наук.

Особенное внимание в связи со спецификой объекта исследова­ния — компьютерной информации необходимо уделять требова­нию сохранности в неизменном виде соответствующих веществен­ных доказательств. Выполнение данного требования обеспечивает возможность проведения повторных исследований и возможность воспроизведения действий эксперта другими экспертами.

В практической деятельности эксперт реализует названные методы не напрямую, а с помощью широкого набора специаль­ных инструментальных (программных и технических) средств. В них включаются различные программные продукты, компью­терное стендовое оборудование, другие приборы. В качестве примера назовем нескольких видов программ, применяемых в экспертной практике. Например, блокираторы записи, инстру­менты для получения изображений, копирования, средства до­кументирования, инструменты для поиска и восстановления удаленных файлов, программы для просмотра информации, ин­струменты для декомпиляции и пошаговой трассировки, раз­личные утилиты, криптографические средства и т.д.

Конечно, помимо названных существует большое количество других средств. Дать их исчерпывающий перечень невозможно в связи с тем, что их арсенал постоянно расширяется вслед за увеличением разнообразия технического и программного обеспе­чения современных компьютеров, их систем и операционных сред.

Наиболее часто исследуются экспертом винчестеры, магнит­ные диски и дискеты.

Как уже отмечалось, предварительное условие проведения экспертного исследования состоит в фиксации представленной на экспертизу компьютерной информации в неизменном виде. Технически это реализуется с помощью создания точной копии исследуемой информации. В большинстве случаев достаточно создать копию жесткого диска. Для этого используется широкий набор устройств и средств резервного копирования. Такая копия для последующего производства экспертизы, как правило, соз­дается на дополнительном жестком диске стендового компьюте­ра, т.е. компьютера эксперта, на котором выполняются исследо­вания объектов экспертизы. При этом основные технические параметры этого дополнительного винчестера (емкость, среднее время доступа к данным и др.) должны совпадать с параметрами жесткого диска исследуемого компьютера. При невозможности получения резервной копии содержимого винчестера экспертом должны быть предприняты все меры для обеспечения сохранно­сти исследуемой информации (например, путем использования программных блокираторов записи типа Disklock, HDSEntry и др.).

Винчестер стендового компьютера подключается на primary (основной) канал интерфейса IDE в качестве master (главного) диска, а винчестер исследуемого компьютера подключается к secondary (дополнительному) контроллеру IDE (в дальнейшем этот винчестер будем называть исследуемым). При такой схеме подключения винчестеров загрузка операционной системы про­исходит со стендового винчестера, а исследуемый винчестер ви­дится в операционной системе как дополнительный диск.

Системный блок компьютера в соответствии с эксплуатаци­онными правилами соединяется с дополнительными устройства­ми компьютера (монитор, клавиатура, мышь) и подключается к сети электропитания 220 В.

При включении компьютера загрузка операционной системы после тестирования прерывается соответствующей клавишей (чаще всего [Del]) для выявления технических характеристик, установленных в BIOS (базовая система ввода-вывода). Просмотр установок системного блока с помощью программы SETUP вы­являет установку главных позиций, параметров устройств на материнской плате, детектирование, наличие парольной защиты и др. В SETUP следует установить порядок загрузки операцион­ной системы (ОС) с дисковода «А:». Загрузку ОС обычно произ­водят со специально подготовленной загрузочной дискеты экс­перта.

Далее могут быть использованы следующие программные средства диагностики и анализа компьютерной информации: System Information (Norton Utilites, Symantec) и версии Norton Commander. System Information представляет подробную инфор­мацию о компьютере, a Norton Commander позволяет просмот­реть содержание винчестера и по найденным системным файлам определить установленную операционную систему. Эти програм­мы должны также использоваться только с дискет эксперта и исключать любую возможность модификации данных на жест­ком диске исследуемого компьютера.

Затем работа с исследуемым винчестером строится в зависи­мости от задач, стоящих перед экспертом, с помощью программ­ных средств, предварительно инсталлированных на стендовом компьютере.

Для просмотра содержимого дисков в операционных систе­мах Windows 95, 98, 2000 широко используется стандартная оболочка для работы с файлами — Explorer (Проводник). Более широкий спектр возможностей, в том числе дешифровку ряда шифровальных алгоритмов данных и мониторинг дискового пространства, обеспечивают программы PowerDesk Utilities 98 и Turbo Browser. Программы, существенно мощнее Проводника Windows, поддерживают работу с архивами, обеспечивают встроенный просмотр файлов различных форматов.

При решении задачи получения первоначального доступа к информации на исследуемом винчестере, широко используется Norton Commander. С помощью этого программного продукта (функциональная клавиша [F3]) может быть просмотрено боль­шинство форматов данных. Достаточно часто используются соот­ветствующие версии программ KeyView Pro и Quick View Plus, обеспечивающие тесную интеграцию с Windows, поддержку большого числа форматов, возможность распаковки файлов. В большинстве случаев одним из неотъемлемых условий доступа к информации, созданной на персональных ЭВМ, является ис­пользование программного пакета Microsoft Office. При исследо­вании баз данных, кроме перечисленных выше средств, могут быть использованы специализированные профессиональные про­граммы по анализу широкого набора типов баз данных: IRC, Data Mining, 2y_index, i2.

Для получения доступа к графическим файлам и их после­дующего анализа в экспертных исследованиях нашли, широкое применение такие средства, как Adobe Photoshop, CorelDraw, a также такие программы, как Quick Time (for Win), ACDSee32 Viewer и др.

При решении вопроса о нахождении на жестком диске фай­лов или фрагментов файлов, содержание которых необходимо сравнить с представленной на экспертизу информацией, исполь­зуются утилиты DiskEditor из пакета Norton Utilites. С по­мощью DiskEdjtor можно просматривать файлы и данные на уровне секторов. При этом может быть реализован поиск объек­та в текстовом или НЕХ-виде.

Для восстановления удаленных файлов или их фрагментов широкое применение находит утилита Unerase из пакета Norton Utilites. Программа UnErase Wisard реализует все этапы про­цедуры удаленных файлов. Если файл пригоден для восстановле­ния, но автоматически его восстановить не удается, программа по­может сделать это вручную. Данную работу рекомендуется проводить в режиме MS-DOS. В ручном режиме можно указать и выбрать фрагменты диска (кластеры) с целью попытки собрать рассеянный файл или восстановить его часть. С помощью утилиты Unerase можно также осуществлять поиск файла по имени или по содержащемуся в нем тексту. Эта функция особенно полезна в тех случаях, когда перед экспертом стоит задача поиска данных с за­данным содержанием. Любое восстановление исследуемых дан­ных эксперт осуществляет только на стендовом винчестере.

Рассмотренные выше рекомендации характеризуют лишь об­щее направление реализации основных методов экспертного ис­следования компьютерной информации на примере типовой ситуации. Даже в случае исследования других видов персональ­ных компьютеров (например, несовместимых с IBM PC) эксперт­ное исследование будет иметь существенные отличия. Описан­ные методы оказываются во многом не применимы, когда исследуются компьютеры, построенные на платформе, отличной от архитектуры х86, накопители данных под управлением SCSI контролера, сетевые серверы и др.

Осложняет исследование и то, что для доступа к информации в компьютерной системе зачастую требуется преодоление систем защиты, которые могут препятствовать ее получению как на разных стадиях загрузки компьютера, так и на стадиях доступа к винчестеру и отдельным файлам.

Оценка результатов компьютерно-технической экспертизы наряду с соблюдением общих требований, которые в уголовном процессе и криминалистике предъявляют к оценке экспертного заключения как доказательства, имеет свои особенности. Они обусловлены как спецификой объектов исследования, так и своеобразием методов и средств, применяемых при экспертном исследовании. Данные особенности могут быть рассмотрены применительно к основным направлениям, выделяемым при оценке заключения эксперта: 1) анализу соблюдения процессу­ального порядка подготовки, назначения и проведения экспер­тизы (и последствий его нарушения, если они допущены);

2) анализу соответствия заключения эксперта заданию, постав­ленному перед экспертом лицом, назначившим экспертизу;

3) анализу полноты заключения; 4) оценке научной обоснован­ности заключения; 5) оценке содержащихся в заключении экс­перта фактических данных с точки зрения их относимости к делу и места в системе доказательств.

В первом случае особое внимание необходимо обращать на полноту представленных объектов на экспертизу. В случае если на экспертизу были представлены не все изъятые объекты, то это может повлиять на результаты проведенного исследования. Аналогично следует поступать в отношении дополнительной ин­формации и вспомогательных объектов, предоставляемых экс­перту.

Необходимо обратить внимание на соблюдение режима хране­ния компьютерной информации и компьютерной техники экспер­том, учитывая повышенную степень уязвимости данных объектов от посторонних факторов. В частности, если эксперт не смог отве­тить на вопросы в связи с утратой содержания информации или носителей информации, то надо принимать во внимание причины изменения состояния компьютерной информации — произошло ли это в результате воздействия заинтересованных лиц, или не­правильных действий при их обнаружении и изъятии, или явля­ется последствием ненадлежащего хранения.

Точное установление одной из указанных причин может помочь при оценке вывода эксперта, его значения в системе до­казательств. В зависимости от установленной причины на экс­пертизу могут быть вынесены дополнительные вопросы, направ­ленные на установление механизма утраты информации.

В процессе анализа соответствия заключения эксперта по­ставленному перед ним заданию надо установить, соответству­ет ли задание и заключение компетенции эксперта. Изменения в компьютерной информации могут быть вызваны использова­нием как программных, так и технических средств, соответст­венно их исследование может входить в компетенцию разных специалистов либо специалист должен обладать подготовкой в нескольких областях знаний. Представляется, в последнем случае это должно быть отражено в экспертном заключении. Особенно важно обращать на это внимание при производстве экспертиз вне системы экспертных учреждений правоохрани­тельных органов.

Оценивая полноту заключения эксперта, необходимо прове­рить, насколько полно использовались предоставленные экспер­ту материалы, в частности надо учитывать, что направляемая на экспертизу машинная информация, а также материалы с допол­нительной информацией часто содержат очень большой объем сведений, не имеющих отношения к вопросам, поставленным перед экспертом. Например, следователя может интересовать поиск и восстановление определенных файлов, содержащих ин­формацию о конкретных лицах. Эти файлы могут находиться среди другой информации на нескольких носителях компьютер­ной информации. На каких точно, следователь может и не знать. Эксперт, имея данные о типе файлов, их названии, не должен будет исследовать всю информацию на всех представлен­ных носителях, а, обнаружив по указанным признакам искомые файлы, будет изучать только их. В этом случае эксперт должен указать, почему он ограничился изучением только определен­ных объектов из всех представленных ему.

Анализируя полноту описания в экспертном заключении проделанной экспертом работы, в частности описание применен­ных им средств и методов, надо понимать, что нельзя требовать от эксперта подробного их описания. Это невыполнимо в силу огромного объема такого описания. Но эксперт должен обяза­тельно в заключении показать последовательность своей работы, дать характеристики использованных им программных, аппа­ратных и технических средств (название, тип, назначение, фир­му производителя). В тех случаях, когда эксперт использует свои оригинальные разработки (например, специально изменен­ные стандартные программы), он должен указать, для ответа на какие вопросы применялись данные разработки и почему нельзя было использовать стандартные средства.

При оценке научной обоснованности заключения эксперта необходимо учитывать, что эксперт не всегда может применить самые современные программные и аппаратные средства, что связано с достаточно большой стоимостью программного продук­та и технических средств. Однако это не означает, что результа­ты экспертизы не будут достоверны и научно обоснованны. Мно­гие модификации программных средств отличаются друг от друга лишь тем набором удобств, которые они предоставляют пользователю. Задачи же, которые они решают, совпадают. Сле­довательно, достоверность выводов эксперта не пострадает. Сни­зить остроту проблемы может официальная сертификация мето­дик проведения экспертных исследований.

Оценивая заключение эксперта с точки зрения задач рассле­дования, следователь должен учитывать, что только в очень ред­ких случаях эксперт может точно установить лицо, которое про­извело те или иные действия с компьютерной информацией. В частности, такое возможно, если указанные действия были произведены с помощью уникальных программ (например, ви­русов), которые были обнаружены у лица, и в этих программах удалось установить признаки, характеризующие этого человека. Как правило же, эксперт может провести идентификационные или классификационные исследования средств, с помощью кото­рых были проведены действия с определенными объектами, либо указать, что с помощью представленных на экспертизу средств такие действия могли быть произведены.

Нельзя недооценивать значение таких исследований для ус­тановления конкретного лица, совершившего преступление. Но для того, чтобы их результаты действительно приобрели доказа­тельственное значение, надо провести большую следственную работу по установлению действий подозреваемого, в том числе получить полную информацию об используемом им оборудова­нии, установить, что у посторонних лиц в момент совершения преступления не было доступа к техническим средствам, кото­рые использовал подозреваемый.

Следственная и экспертная практика указывает на ряд типо­вых ошибок, которые наиболее часто допускаются при назначе­нии и производстве компьютерной экспертизы:

1) при назначении компьютерных экспертиз перед экспертом довольно часто ставятся вопросы, связанные с исследованием со­держательной стороны компьютерной информации. Например: находятся ли на представленном магнитном носителе файлы, совпадающие с содержанием (аутентичные по содержанию) представленного на бумажном носителе договора № ... от ...? На­ходятся ли на представленном магнитном носителе файлы, со­держащие экономические (бухгалтерские) сведения?

Оценка содержания компьютерной информации не входит в специальные знания, которыми должен обладать эксперт в этой области. Ответ на первый вопрос целиком входит в компетенцию следователя. Эксперт может осуществить только поиск нужной информации по параметрам, указанным следователем (дата, но­мер, ключевые слова и т.п.). Решение второго вопроса входит в компетенцию соответствующего специалиста-предметника (экономиста, бухгалтера). Участие «эксперта-компьютерщика» возможно для выполнения операций по поиску информации, обеспечения доступа к ней (снятие паролей, восстановление уничтоженной информации и т.д.);

2) на экспертизу ставятся вопросы, в которых от эксперта требуют дать правовую оценку обнаруженным им фактам, в час- ности, является ли представленное на экспертизу программное обеспечение контрафактным (имеет ли признаки контрафактно- сти); являются ли представленные на экспертизу программы вредоносными; какие имеются возможности по идентификации компьютера, с которого произведен незаконный доступ к инфор­мации, с учетом электронных следов совершенного преступле­ния, которые могли в нем остаться.

В случае если эксперт сформулирует выводы в точном соот­ветствии с предлагаемой формулировкой вопроса, то он выйдет за пределы своей компетенции, а экспертное заключение лишит­ся статуса доказательства.

В некоторых случаях при постановке задачи по идентифика­ции информации происходит смешение понятий идентифици­руемого и идентифицирующего объекта.

Например, задача сопоставления информации в электромаг­нитной форме с информацией на бумажном носителе. В связи с решением этой задачи перед экспертом ставятся следующие во­просы: «Аутентичны ли данные, содержащиеся на носителях информации, представленным документам? Тождественна ли выявленная компьютерная информация на носителе данным с представленных на экспертизу документов?».

Информация, находящаяся на электромагнитном поле, и ин­формация на бумажном носителе — это разные и не тождествен­ные объекты. В рассматриваемом случае возможно проведение либо классификационных, либо диагностических исследований с целью установления признаков присущих двум разным объек­там — информации, находящейся в форме электромагнитного поля и информации на бумажном носителе.

Не является задачей данной экспертизы сличение заводских номеров, описаний в паспортной документации, гарантийном договоре и т.п. с представленным техническим устройством.

Идентификация лица в ходе выполнения компьютерных экс­пертиз весьма затруднена в связи с отражением его свойств в знаковой форме.

В качестве реквизитов, обозначающих лицо, от которого ис­ходит компьютерная информация, используются: фамилия или иные сведения о лице, псевдонимы, коды, в том числе электронно-цифровая подпись (ЭЦП).

Иногда встречается утверждение, что возможна идентифика­ция лица по таким данным. В одной из экспертиз был сделан следующий вывод об авторах программы: «Авторами вредонос­ной программы и инструкции по ее установке являются лица, имеющие «хакерские клички»... Оба они входят в хакерскую организацию...». Основанием для данного вывода явилось при­сутствие в одном из файлов исследуемой вредоносной програм­мы псевдонимов — хакерских кличек.

, Установление только указанного признака вряд ли позволяет сделать данный вывод. Лицо может поместить в программу или другой вид компьютерной информации любое имя (в целях мас­кировки, плагиата и т.п.).

Главной причиной обусловливающей невозможность крими­налистической идентификации человека как личности по кодо­вым средствам, в том числе и по ЭЦП, является отсутствие непо­средственной связи между кодовыми средствами и личностью человека. Связь между кодом и человеком устанавливается в ре­зультате взаимодействия организационных, технических, соци­альных факторов. Теория идентификации не располагает инст­рументарием для установления данных факторов.

В настоящее время комплексные экспертные исследования в указанной области в основном проводятся для установления со­держания компьютерной информации. Поскольку компьютер­ная информация применяется в самых разнообразных сферах человеческой деятельности, то комплексные компьютерные и иные «предметные» экспертизы будут самые разнообразные. Наиболее распространенной является комплексная компьютер­но-техническая и судебно-бухгалтерская экспертиза.

Объектом данной комплексной экспертизы являются сведе­ния о хозяйственных операциях, находящиеся в компьютерах и их сетях, зафиксированные на носителях информации и об­ладающие свойствами, изучение и оценка которых требует привлечения интегрированных знаний специалистов в области компьютерной техники и информации и в области судебной бух­галтерии. В качестве таких объектов могут выступать: автор­ские и модифицированные типовые программы, обрабатываю­щие информацию о хозяйственных операциях, правила работы которых специалист-бухгалтер не может понять без помощи программистов; зашифрованная бухгалтерская информация, процедуры расшифровки которой имеют значение не только для установления ее функционального значения, но и для оценки ее содержания; отдельные фрагменты данных, установить относи- мость которых к бухгалтерской информации возможно только совместными усилиями экспертов двух специальностей.

При анализе данных объектов «эксперт-компьютерщик» не только участвует в их исследовании, но и принимает участие в формировании конечных выводов экспертизы, оценивает итого­вые результаты данной экспертизы, подписывает экспертное за­ключение совместно с экспертом — судебным бухгалтером.

<< | >>
Источник: Отв. ред. Н.П. Яблоков. Криминалистика: Учебник — 3-е изд., перераб. и доп.— М.: Юристъ, — 781 с.. 2005

Еще по теме § 5. Криминалистическое исследование компьютерной информации:

  1. Список диссертационных исследований по военному праву и военным аспектам других отраслей права
  2. § 1. Понятие криминалистического документоведения. Документы как носители криминалистически значимой информации
  3. 16.3. Компьютерные технологии экспертных исследований
  4. 15.3 Компьютерные технологии производства экспертных исследований
  5. 43.1 Расследование фактов неправомерного доступа к компьютерной информации
  6. § 4. Информатизация экспертных исследований
  7. § 1. Понятие и система криминалистической техники, правила применения технико-криминалистических средств, их классификация
  8. § 3. Компьютеризация экспертных исследований
  9. § 1. Расследование фактов неправомерного доступа к компьютерной информации
  10. Тема 9. Криминалистическое исследование документов Лекция 1. Криминалистическое исследование почерка и письменной речи
- Кодексы Российской Федерации - Юридические энциклопедии - Авторское право - Аграрное право - Адвокатура - Административное право - Административное право (рефераты) - Арбитражный процесс - Банковское право - Бюджетное право - Валютное право - Гражданский процесс - Гражданское право - Диссертации - Договорное право - Жилищное право - Жилищные вопросы - Земельное право - Избирательное право - Информационное право - Исполнительное производство - История государства и права - История политических и правовых учений - Коммерческое право - Конституционное право зарубежных стран - Конституционное право Российской Федерации - Корпоративное право - Криминалистика - Криминология - Международное право - Международное частное право - Муниципальное право - Налоговое право - Наследственное право - Нотариат - Оперативно-розыскная деятельность - Основы права - Политология - Право - Право интеллектуальной собственности - Право социального обеспечения - Правовая статистика - Правоведение - Правоохранительные органы - Предпринимательское право - Прокурорский надзор - Разное - Римское право - Сам себе адвокат - Семейное право - Следствие - Страховое право - Судебная медицина - Судопроизводство - Таможенное право - Теория государства и права - Трудовое право - Уголовно-исполнительное право - Уголовное право - Уголовный процесс - Участникам дорожного движения - Финансовое право - Юридическая психология - Юридическая риторика - Юридическая этика -