В последнее время возрастает количество преступлений в сфере компьютерной информации. Ответственность за совершение таких преступлений предусмотрена ст.ст. 361 – 363 УК Украины (раздел ХVI. Преступления в сфере использования электронно-вычислительных машин (компьютеров), систем и компьютерных сетей).
Важнейшим аспектом расследования указанных преступлений является использование специальных познаний в области современных информационных технологий. Основная процессуальная форма использования специальных познаний – компьютерно-техническая экспертиза, относящаяся к классу инженерно-технических экспертиз, результаты которой имеют важное доказательственное значение при исследовании аппаратных средств, программного обеспечения, компьютерной информации. В связи с этим первостепенными задачами следователя являются выявление, фиксация, изъятие необходимых материальных объектов – носителей компьютерной информации. Ключевая роль в подготовке материалов экспертизы и извлечении из носителей компьютерной информации принадлежит специалистам и экспертам.
В компьютерно-технической экспертизе можно выделить следующие виды:
- Аппаратно-компьютерная экспертиза – исследование технических (аппаратных) средств компьютерных систем. Целью экспертизы является исследование закономерностей эксплуатации аппаратных средств – материальных носителей информации о факте (событии) преступления. Основные задачи экспертизы:
- определение вида, типа, марки, свойств аппаратного средства, его технических и функциональных характеристик;
- выяснение технического состояния аппаратного средства, наличия неисправностей, дефектов;
- установление механизма и обстоятельств события по результатам использования аппаратных средств;
- выявление причинной связи между использованием аппаратных средств и результатами их применения;
- определение условий применения аппаратных средств, хронологической последовательности их применения;
- установление групповой принадлежности и отождествление конкретных аппаратных средств по выявленным признакам.
- Программно-компьютерная экспертиза, имеющая своей целью изучение функционального предназначения программного средства, его характеристик, алгоритма, текущего состояния. При проведении экспертизы могут быть решены такие задачи:
- определение основных характеристик операционной системы;
- выяснение состояния программного объекта, состава соответствующих файлов, их параметров (объем, дата создания, атрибуты и т.п.), способов ввода и вывода информации, наличия или отсутствия каких-либо отклонений от типовых параметров;
- выявление и исследование функциональных свойств и настроек программного обеспечения, времени инсталляции;
- диагностирование алгоритмов программного продукта, типов поддерживаемых аппаратно-программных платформ;
- установление первоначального состояния программы и ее изменений;
- определение целей и условий изменения свойств и состояния программного обеспечения (преднамеренное изменение определенных функций; изменение конфигурации в зависимости от конкретной аппаратной среды и т.п.);
- выявление способа осуществления изменений в программе (воздействие вредоносной программы, несанкционированный доступ и др.);
- установление свойств и состояния программы по содержанию служебных, системных файлов;
- выяснение механизма события преступления по результатам работы программного обеспечения и в процессе работы (динамике);
- установление причинной связи между действиями пользователя компьютерной системы (в отношении программного обеспечения) и наступившими последствиями;
- отождествление оригинала программы (инсталляционной версии) и ее копии на носителях данных компьютерной системы;
- установление групповой принадлежности программного обеспечения;
- выявление частных признаков программы, позволяющих впоследствии идентифицировать авторство;
- установление признаков контрафактности программных продуктов.
- Информационно-компьютерная экспертиза (экспертиза компьютерных данных), целью которой является исследование функционального предназначения, характеристики реализуемых требований, алгоритма и текущего состояния представленного программного средства компьютерной системы. К основным задачам информационно-компьютерной экспертизы относятся:
- установление вида представления информации в компьютерной системе и ее свойств;
- определение фактического состояния информации, выяснение наличия в ней отклонений от типового состояния объектов (имеются ли нарушения целостности информации, вредоносные включения и т.п.);
- установление первоначального состояния информации на носителе данных (винчестере, жестком диске);
- выявление условий изменения свойств исследуемой информации (условия внесения изменений в содержание файла, пластиковую карту и т.п.);
- определение по имеющейся информации на носителе данных или ее копиям механизма и обстоятельств события (например подготовка копий документа и его рассылка факсимильной программой по разным адресам);
- выяснение времени (периода) и хронологической последовательности воздействия на информацию (например установление стадий подготовки изображения денежных знаков, оттисков печатей и т.п.);
- выявление причинной связи между имевшими место манипуляциями с компьютерной информацией и наступившими последствиями (например связи между удалением информации и нарушением работоспособности компьютерной системы);
- отождествление содержания файла с данными в копии исследуемого файла либо в представленном документе;
- определение класса, вида, типа программного обеспечения, при помощи которого были созданы исследуемые данные.
- Компьютерно-сетевая экспертиза преследует цель исследования фактов и обстоятельств, связанных с использованием сетевых телекоммуникационных технологий в целях установления определенных обстоятельств. Экспертизой могут быть решены следующие задачи:
- определение характеристик и свойств вычислительной (информационной) сети, установление архитектуры, конфигурации, сетевых компонентов, организации доступа к данным;
- установление соответствия характеристик сети типовым для данного класса средств сетевой технологии;
- определение принадлежности средства сетевой технологии к серверной или клиентской части приложений;
- выяснение фактического состояния сетевого средства, наличия неисправностей, дефектов и т.п.;
- установление первоначального состояния вычислительной сети в целом и каждого сетевого средства в отдельности, уточнение изменений, внесенных в первоначальную конфигурацию (например добавление устройств расширения на сервере или рабочих станциях);
- определение причин изменения свойств вычислительной сети (например изменение организации уровней управления доступом к базе данных);
- выявление свойств и состояния вычислительной сети по ее отображению в иной информации носителей данных (жесткие диски, флоппи-диски, СD-ROM и т.п.);
- установление структуры механизма и обстоятельств события в сети по его результатам (определение сценария несанкционированного доступа к данным; уяснение механизма распространения в сети вредоносных функций и т.д.);
- выяснение причинной связи между использованием конкретных аппаратно-программных средств вычислительной сети и результатами их применения.
Следует отметить, что компьютерно-сетевая экспертиза охватывает практически все основные задачи, решаемые остальными видами компьютерно-технической экспертизы, при проведении которых исследуются аппаратные, программные и информационные аспекты установления определенных фактов и обстоятельств. Как максимизировать свои выигрыши в казино пинап634 Роль же компьютерно-сетевой экспертизы состоит в объединении отдельных объектов и сведений о них, а также их исследовании с точки зрения составляющих вычислительных (информационных) сетей.
Объектами компьютерно-технической экспертизы являются:
- вычислительные машины;
- накопители информации, печатающие устройства и др.;
- средства коммуникации и взаимодействия в вычислительной сети.
На разрешение экспертизы могут быть поставлены следующие вопросы:
- К какой модели относится компьютер (принтер, модем и т.д.), представленный на исследование? Каковы его технические характеристики?
- Каковы технические характеристики данной вычислительной сети?
- Проводилась сборка модема в заводских условиях или кустарных?
- Соответствует ли внутреннее устройство системного блока прилагаемой технической документации?
- Исправен ли компьютер? Если нет, то каковы причины неисправности?
- Возможно ли совместное функционирование технических средств, входящих в комплект? Если возможно, имел ли место факт совместного функционирования?
- Имеется ли на данном носителе какая-либо информация, если да, то каково ее целевое назначение?
- Имеется ли на данном носителе информация, которая была уничтожена? Имеется ли возможность ее восстановления?
- Возможно ли с помощью данного программного продукта реализовать функции, предусмотренные техническим заданием на его разработку?
- Возможно ли решение конкретной задачи с помощью данного программного продукта?
- Отвечает ли стиль программирования исследуемого программного продукта стилю программирования определенного лица?
- Какие операционные системы используются в компьютере?
- Являются обнаруженные программные продукты лицензионными или нелицензионными?
- Являются обнаруженные программные продукты оригинальными разработками или копиями стандартных программ?
- Использовались ли для ограничения доступа к информации пароли (скрытые файлы, программы защиты и пр.)? Не осуществлялись ли попытки несанкционированного доступа?
- Возможно ли раскодировать и распечатать информацию, представленную в сложных стандартных формах?
- Подготовлены ли имеющиеся документы с помощью данных технических средств?
- Каковы возможные каналы и механизмы утечки информации из представленных на экспертизу информационно-вычислительных систем?
- Имеются ли на представленных информационно-вычислительных системах компьютерные вирусы? Каковы фактические и возможные последствия воздействия обнаруженных компьютерных вирусов? Возможно ли полное или частичное восстановление информации, поврежденной (уничтоженной) вирусом?
- Каковы машинные дата и время последней корректировки
- Каков уровень профессиональной подготовки в области программирования и использования средств вычислительной техники лица, производившего данные действия с компьютером и программным обеспечением?
Источник: глава из учебного пособия
Кобзарь С.И. Организация назначения криминалистических экспертиз и использования их результатов в расследовании преступлений: Учебное пособие / МВД Украины, Луган. гос. ун-т внутр. дел им. Э.А. Дидоренко. – Луганск: РИО ЛГУВД, 2007. – 256 с. – Библиогр.: С. 249 – 251.