Компьютерно-техническая экспертиза

КОМПЬЮТЕРНО-ТЕХНИЧЕСКАЯ ЭКСПЕРТИЗ

Значимость СКТЭ объясняется возросшей ролью компьютера в современном мире. Огромное количество правонарушений и преступлений совершается именно с помощью компьютерной техники. Особую актуальность компьютерно-техническая экспертиза и экспертиза компьютерной техники приобретает в уголовных делах.

Объектом СКТЭ служат аппаратные объекты:

– системные блоки персональных компьютеров и переносные устройства (ноутбуки, нетбуки, планшетные устройства);

– периферийные устройства (модем, принтер, сканер, дисплей, дисковод);

– компьютерные комплектующие;

– сетевые аппаратные средства (сетевые кабели, рабочие станции, серверы);

– системное и прикладное программное обеспечение;

– информация с компьютерных баз данных;

– классификаторы.

Поэтому выделяются следующие виды экспертизы: аппаратно-компьютерная; программно-компьютерная; информационно-компьютерная (экспертиза данных). Кроме того, достаточно оправданным представляется выделение еще одного вида – компьютерно-сетевой экспертизы. Такое деление на виды наиболее полно охватывает технологические особенности, эксплуатационные свойства объектов экспертизы, предъявляемых для исследования. Данная классификация позволяет уже на ранних этапах становления экспертизы дифференцированно подойти к разработкам методов и методик экспертного исследования.

Родовой предмет СКТЭ – факты (обстоятельства), имеющие значение для уголовного либо судебного дела и устанавливаемые на основе исследования закономерностей разработки и эксплуатации компьютерных средств и систем, обеспечивающих реализацию информационных процессов.

Проведение СКТЭ необходимо в тех случаях, когда преступление или правонарушение было осуществлено с использованием компьютерных средств или информационных данных, и для установления следов преступления и иной криминалистически значимой информации требуются специальные знания в области компьютерной техники. В частности, СКТЭ обеспечивает решение следующих экспертных задач:

– выявление свойств, качеств, статуса и особенностей использования технических компьютерных систем;

– установление особенностей разработки и использования программных продуктов (при установлении фактов использования программного обеспечения с нарушением авторских прав его разработчика);

– установление фактов использования того или иного оборудования при создании документов или совершении иных действий, имеющих отношение к преступлению;

– получение доступа к информации на носителях;

– исследования информации, созданной пользователем или программой для реализации информационных процессов;

– установление особенностей функционирования компьютерных средств, реализующих сетевую информационную технологию.

При установлении обстоятельств использования компьютерных средств ставятся следующие вопросы:

Производилось ли подключение внешних носителей информации к представленному компьютеру? Производились ли какие-либо операции с файлами, имеющимися на внешнем носителе в момент подключения? Производилось ли копирование/удаление информации?

Использовался ли представленный компьютер в указанный период времени? Если да, то какие операции с компьютером были проведены в указанный период?

Изменялось ли системное время компьютера в указанный период?

При установлении фактов разработки и использования программного обеспечения:

   Содержится ли на представленном компьютере программное обеспечение «…»? Если да, то каковы время и источник его установки, какова версия программного обеспечения, является ли оно работоспособным?

Применялись ли при установке и использовании указанной программы средства защиты авторских прав? Если да, то какие именно средства?

  Выполнялись ли в ходе установки представленного программного обеспечения действия, направленные на нейтрализацию средств защиты авторского права?

Соответствует ли разработанное программное обеспечение требованиям технического задания, а также иным нормативным и техническим документам?

Какова дата начала использования системы/оборудования?

При установлении обстоятельств создания и использования документов и баз данных:

  Имеются ли признаки того, что документ «…» был изготовлен при помощи компьютерных средств, представленных на исследование?

Содержатся ли в памяти компьютерных средств, представленных на исследование, следы изготовления документа «…»?

 Имеются ли на представленных носителях информации сведения о создании документа «…»? Если да, то когда данный документ был создан, когда и какие изменения в него вносились, производилась ли печать документа?

Имеются ли в представленной базе данных сведения о документе «…»? Удалялся ли данный документ из базы данных?

Посредством какой учетной записи было проведено создание или удаление документа и когда?

Возможно ли восстановить информацию с представленного носителя/накопителя информации?

При установлении фактов использования сетевых технологий:

Осуществлялось ли посредством представленной компьютерной техники подключение к сети Интернет?

Какие логины и пароли использовались для подключения и работы в сети Интернет?

В какие временные периоды пользователь был подключен к сети Интернет?

Осуществлялись ли при помощи представленного оборудования вход на почтовый сервер «…» или переписка при помощи программ мгновенного обмена сообщениями? Если да, то каковы реквизиты отправителя и адресатов сообщений? Какие сообщения были приняты или отправлены, когда, от кого и кому?

    Осуществлялся ли вход в банк-клиент в период с «…» по «…»? Если да, то сохранилась ли информация о создании и отправке платежного поручения № «…»?

Видовая классификация организуется на основе обеспечивающих компонент любого компьютерного средства (аппаратного (технического), программного и информационного обеспечения) и используется в виде, соответствующем процессам разработки и эксплуатации компьютерных систем.

Сущность аппаратно-компьютерной экспертизы заключается в проведении исследования (в основном, диагностического) технических (аппаратных) средств компьютерной системы. К аппаратным средствам относятся: электрические, электронные и механические схемы, блоки, приборы и устройства, составляющие материальную часть компьютерной системы. Предметом данного вида экспертизы являются факты и обстоятельства, имеющие значение для уголовного либо гражданского дела и устанавливаемые на основе исследования закономерностей разработки и эксплуатации аппаратных средств компьютерной системы – материальных носителей информации о факте или событии уголовного либо гражданского дела.

Для проведения экспертного исследования программного обеспечения предназначен такой вид экспертизы как программно-компьютерная. Ее видовым предметом являются закономерности разработки (создания) и применения (использования) программного обеспечения компьютерной системы, представленной на исследование в целях установления истины по уголовному или судебному делу. Задачами экспертизы данного вида является изучение функционального предназначения и характеристик реализуемого алгоритма, структурных особенностей и текущего состояния системного и прикладного программного обеспечения компьютерной системы.

Информационно-компьютерная экспертиза (данных) является ключевым видом СКТЭ, так как позволяет завершить целостное построение доказательственной базы путем окончательного разрешения большинства диагностических и идентификационных вопросов, связанных с компьютерной информацией. Задачами этого вида являются поиск, обнаружение, анализ и оценка информации, подготовленной пользователем или порожденной (созданной) программами для организации информационных процессов в компьютерной системе.

Компьютерно-сетевая экспертиза в отличие от предыдущих основывается прежде всего на функциональном предназначении компьютерных средств, реализующих какую-либо сетевую информационную технологию. Поэтому факты и обстоятельства, связанные с использованием сетевых и телекоммуникационных технологий и устанавливаемые по заданию следственных и судебных органов в целях установления истины по уголовному или судебному делу, составляют видовой предмет компьютерно-сетевой экспертизы. Она выделена в отдельный вид в связи с тем, что лишь использование специальных знаний в области сетевых технологий позволяет соединить воедино полученные объекты, сведения о них и эффективно решить поставленные экспертные задачи.

Особое место в судебной компьютерно-сетевой экспертизе занимают экспертные исследования по уголовным и гражданским делам, связанным с интернет-технологиями. Объект применения специальных познаний СКТЭ может быть довольно разным от компьютеров пользователей, подключенных к Интернет, до различных ресурсов поставщика сетевых услуг (провайдера) и предоставляемых им информационных услуг (электронная почта, служба электронных объявлений, телеконференции, www-сервис и пр.).

В связи со стремительным развитием современных телекоммуникаций и связи, обособлением предмета исследований в компьютерно-сетевой экспертизе можно выделить как подвид телематическую экспертизу. Предметом телематической экспертизы являются фактические данные, устанавливаемые на основе применения специальных научных знаний при исследовании средств телекоммуникаций и подвижной связи как материальных носителей информации о факте или какого-либо события.

Практический опыт показывает, что в настоящее время рассмотренные выше основные виды СКТЭ при производстве большинства экспертных исследований применяются комплексно и чаще всего последовательно. Экспертная деятельность зачастую связана с необходимостью исследования целостной компьютерной системы или ее части – персонального компьютера, электронного органайзера и т.д. При этом, как правило, изучение начинается с аппаратных средств, далее – программных, и в заключении – работа с данными. Именно информационно-компьютерная экспертиза как вид СКТЭ позволяет в итоге построить целостное представление об исследуемом объекте, имеющее доказательственное значение. В результате проведения такого комплекса исследований, использования всего имеющегося родового экспертного инструментария достигается решение наиболее существенных экспертных задач — поиск, обнаружение, анализ и оценка криминалистически значимой компьютерной информации. Название такого комплексного исследования должно совпадать с родовым названием –  компьютерно-техническая экспертиза. Поэтому, в настоящее время, в определении (постановлении) на производство судебной экспертизы указывается родовое наименование экспертизы, то есть «произвести судебную компьютерно-техническую экспертизу».

Кроме того, в ходе таких пограничных исследований иногда возникает потребность привлекать специальные познания и из других смежных научных областей (например, криптографии и защиты информации). В экспертной практике уже намечены реальные перспективы развития комплексных экспертиз с использованием специальных познаний в СКТЭ и в следующих экспертизах: судебно-экономические экспертизы, технико-криминалистическая экспертиза документов, видеофоноскопическая, товароведчекая и другие экспертизы.

Родовой (видовой) объект – определенная категория предметов, обладающих общими признаками и относящихся к компьютерным средствам. Одной из важных особенностей объекта СКТЭ является его составной характер. Конкретный объект экспертизы – определенное компьютерное средство, исследуемое в процессе данной экспертизы, обладающее признаками индивидуальности и неповторимости, что и определяет специфику конкретного исследования.

Система объектов СКТЭ по классификационному основанию видового деления выглядит следующим образом:

а) класс аппаратные объекты, включающий в себя виды: персональные компьютеры (настольные, портативные), периферийные устройства, сетевые аппаратные средства (серверы, рабочие станции, активное оборудование, сетевые кабели и т.д.), интегрированные системы (органайзеры, пейджеры, мобильные телефоны и т.п.), встроенные системы на основе микропроцессорных контроллеров (иммобилайзеры, транспондеры, круиз-контроллеры и т.п.), любые комплектующие всех указанных компонент (аппаратные блоки, платы расширения, микросхемы и т.п.). Указанные виды могут охватывать различные сочетания подвидов.

В криминалистическом аспекте наиболее важен подвид запоминающих устройств и носителей данных, включающий все известные на момент проведения экспертизы электронные носители данных: микросхемы памяти, магнитные и лазерные диски, магнитооптические диски, карты и т.п.;

б) класс программные объекты, включающий в себя виды: системное программное обеспечение (подвиды: операционная система, вспомогательные программы-утилиты, средства разработки и отладки программ, служебная системная информация); прикладное программное обеспечение (подвид приложения общего назначения (текстовые и графические редакторы, системы управления базами данных, электронные таблицы, редакторы презентаций и т.д.) и подвид приложения специального назначения (для решения задач в определенной области науки, техники, экономики и т.д.));

в) класс информационные объекты (данные), включающий в себя виды: текстовых и графических документов, изготовленных с использованием компьютерных средств; данных в форматах мультимедиа; информации в форматах баз данных и других приложений, имеющей прикладной характер.

Помимо уголовного, непрерывно возрастают потребности в СКТЭ и в других видах судопроизводства. Так, в настоящее время, в связи с глобальной компьютеризацией коммерческой деятельности, возникает большое количество споров (в т.ч. в арбитражных судах). Кроме того, в административном порядке защиты потребителей проводятся экспертизы в соответствии с нормами КоАП России. К ним относятся экспертизы по фактам нарушения прав потребителей на приобретение компьютеров и компьютерных систем надлежащего качества и безопасности для жизни и здоровья, на получение информации о товарах (компьютерных средствах) и об изготовителях этих средств т.д. Основной задачей СКТЭ в указанных делах является диагностика производственных и эксплуатационных дефектов компьютерных средств с целью установления их стоимости. Решается данная задача с использованием комплексного методического подхода (в т.ч. с использованием товароведческих специальных знаний), посредством которого устанавливаются факты и обстоятельства наличия тех или иных дефектов компьютерных средств (в целом и по комплектующим), изменения их качеств (сущности изменения качества),  наименование и количество компьютерных средств, пригодности для использования по назначению и пр. Полученные результаты экспертизы широко используются для установления истины по делу и  в совокупности с другими выводами, могут способствовать установлению размеров ущерба и пр.

Эксперты в области компьютерно-технической экспертизы должны обладать специальными знаниями в области автоматизации, информационных систем и процессов, программировании, электротехники, радиотехники. Наличие таких системных знаний позволяет специалисты КИСЭ решать экспертные задачи.