Назначение компьютерно-технической экспертизы

В последнее время возрастает количество преступлений в сфере компьютерной информации. Ответственность за совершение таких преступлений предусмотрена ст.ст. 361 – 363 УК Украины (раздел ХVI. Преступления в сфере использования электронно-вычислительных машин (компьютеров), систем и компьютерных сетей).

Важнейшим аспектом расследования указанных преступлений является использование специальных познаний в области современных информационных технологий. Основная процессуальная форма использования специальных познаний – компьютерно-техническая экспертиза, относящаяся к классу инженерно-технических экспертиз, результаты которой имеют важное доказательственное значение при исследовании аппаратных средств, программного обеспечения, компьютерной информации. В связи с этим первостепенными задачами следователя являются выявление, фиксация, изъятие необходимых материальных объектов – носителей компьютерной информации. Ключевая роль в подготовке материалов экспертизы и извлечении из носителей компьютерной информации принадлежит специалистам и экспертам.

В компьютерно-технической экспертизе можно выделить следующие виды:

  1. Аппаратно-компьютерная экспертиза – исследование технических (аппаратных) средств компьютерных систем. Целью экспертизы является исследование закономерностей эксплуатации аппаратных средств – материальных носителей информации о факте (событии) преступления. Основные задачи экспертизы:
    • определение вида, типа, марки, свойств аппаратного средства, его технических и функциональных характеристик;
    • выяснение технического состояния аппаратного средства, наличия неисправностей, дефектов;
    • установление механизма и обстоятельств события по результатам использования аппаратных средств;
    • выявление причинной связи между использованием аппаратных средств и результатами их применения;
    • определение условий применения аппаратных средств, хронологической последовательности их применения;
    • установление групповой принадлежности и отождествление конкретных аппаратных средств по выявленным признакам.
  2. Программно-компьютерная экспертиза, имеющая своей целью изучение функционального предназначения программного средства, его характеристик, алгоритма, текущего состояния. При проведении экспертизы могут быть решены такие задачи:
    • определение основных характеристик операционной системы;
    • выяснение состояния программного объекта, состава соответствующих файлов, их параметров (объем, дата создания, атрибуты и т.п.), способов ввода и вывода информации, наличия или отсутствия каких-либо отклонений от типовых параметров;
    • выявление и исследование функциональных свойств и настроек программного обеспечения, времени инсталляции;
    • диагностирование алгоритмов программного продукта, типов поддерживаемых аппаратно-программных платформ;
    • установление первоначального состояния программы и ее изменений;
    • определение целей и условий изменения свойств и состояния программного обеспечения (преднамеренное изменение определенных функций; изменение конфигурации в зависимости от конкретной аппаратной среды и т.п.);
    • выявление способа осуществления изменений в программе (воздействие вредоносной программы, несанкционированный доступ и др.);
    • установление свойств и состояния программы по содержанию служебных, системных файлов;
    • выяснение механизма события преступления по результатам работы программного обеспечения и в процессе работы (динамике);
    • установление причинной связи между действиями пользователя компьютерной системы (в отношении программного обеспечения) и наступившими последствиями;
    • отождествление оригинала программы (инсталляционной версии) и ее копии на носителях данных компьютерной системы;
    • установление групповой принадлежности программного обеспечения;
    • выявление частных признаков программы, позволяющих впоследствии идентифицировать авторство;
    • установление признаков контрафактности программных продуктов.
  3. Информационно-компьютерная экспертиза (экспертиза компьютерных данных), целью которой является исследование функционального предназначения, характеристики реализуемых требований, алгоритма и текущего состояния представленного программного средства компьютерной системы. К основным задачам информационно-компьютерной экспертизы относятся:
    • установление вида представления информации в компьютерной системе и ее свойств;
    • определение фактического состояния информации, выяснение наличия в ней отклонений от типового состояния объектов (имеются ли нарушения целостности информации, вредоносные включения и т.п.);
    • установление первоначального состояния информации на носителе данных (винчестере, жестком диске);
    • выявление условий изменения свойств исследуемой информации (условия внесения изменений в содержание файла, пластиковую карту и т.п.);
    • определение по имеющейся информации на носителе данных или ее копиям механизма и обстоятельств события (например подготовка копий документа и его рассылка факсимильной программой по разным адресам);
    • выяснение времени (периода) и хронологической последовательности воздействия на информацию (например установление стадий подготовки изображения денежных знаков, оттисков печатей и т.п.);
    • выявление причинной связи между имевшими место манипуляциями с компьютерной информацией и наступившими последствиями (например связи между удалением информации и нарушением работоспособности компьютерной системы);
    • отождествление содержания файла с данными в копии исследуемого файла либо в представленном документе;
    • определение класса, вида, типа программного обеспечения, при помощи которого были созданы исследуемые данные.
  4. Компьютерно-сетевая экспертиза преследует цель исследования фактов и обстоятельств, связанных с использованием сетевых телекоммуникационных технологий в целях установления определенных обстоятельств. Экспертизой могут быть решены следующие задачи:
    • определение характеристик и свойств вычислительной (информационной) сети, установление архитектуры, конфигурации, сетевых компонентов, организации доступа к данным;
    • установление соответствия характеристик сети типовым для данного класса средств сетевой технологии;
    • определение принадлежности средства сетевой технологии к серверной или клиентской части приложений;
    • выяснение фактического состояния сетевого средства, наличия неисправностей, дефектов и т.п.;
    • установление первоначального состояния вычислительной сети в целом и каждого сетевого средства в отдельности, уточнение изменений, внесенных в первоначальную конфигурацию (например добавление устройств расширения на сервере или рабочих станциях);
    • определение причин изменения свойств вычислительной сети (например изменение организации уровней управления доступом к базе данных);
    • выявление свойств и состояния вычислительной сети по ее отображению в иной информации носителей данных (жесткие диски, флоппи-диски, СD-ROM и т.п.);
    • установление структуры механизма и обстоятельств события в сети по его результатам (определение сценария несанкционированного доступа к данным; уяснение механизма распространения в сети вредоносных функций и т.д.);
    • выяснение причинной связи между использованием конкретных аппаратно-программных средств вычислительной сети и результатами их применения.

Следует отметить, что компьютерно-сетевая экспертиза охватывает практически все основные задачи, решаемые остальными видами компьютерно-технической экспертизы, при проведении которых исследуются аппаратные, программные и информационные аспекты установления определенных фактов и обстоятельств. Роль же компьютерно-сетевой экспертизы состоит в объединении отдельных объектов и сведений о них, а также их исследовании с точки зрения составляющих вычислительных (информационных) сетей.

Объектами компьютерно-технической экспертизы являются:

  • вычислительные машины;
  • накопители информации, печатающие устройства и др.;
  • средства коммуникации и взаимодействия в вычислительной сети.

На разрешение экспертизы могут быть поставлены следующие вопросы:

  1. К какой модели относится компьютер (принтер, модем и т.д.), представленный на исследование? Каковы его технические характеристики?
  2. Каковы технические характеристики данной вычислительной сети?
  3. Проводилась сборка модема в заводских условиях или кустарных?
  4. Соответствует ли внутреннее устройство системного блока прилагаемой технической документации?
  5. Исправен ли компьютер? Если нет, то каковы причины неисправности?
  6. Возможно ли совместное функционирование технических средств, входящих в комплект? Если возможно, имел ли место факт совместного функционирования?
  7. Имеется ли на данном носителе какая-либо информация, если да, то каково ее целевое назначение?
  8. Имеется ли на данном носителе информация, которая была уничтожена? Имеется ли возможность ее восстановления?
  9. Возможно ли с помощью данного программного продукта реализовать функции, предусмотренные техническим заданием на его разработку?
  10. Возможно ли решение конкретной задачи с помощью данного программного продукта?
  11. Отвечает ли стиль программирования исследуемого программного продукта стилю программирования определенного лица?
  12. Какие операционные системы используются в компьютере?
  13. Являются обнаруженные программные продукты лицензионными или нелицензионными?
  14. Являются обнаруженные программные продукты оригинальными разработками или копиями стандартных программ?
  15. Использовались ли для ограничения доступа к информации пароли (скрытые файлы, программы защиты и пр.)? Не осуществлялись ли попытки несанкционированного доступа?
  16. Возможно ли раскодировать и распечатать информацию, представленную в сложных стандартных формах?
  17. Подготовлены ли имеющиеся документы с помощью данных технических средств?
  18. Каковы возможные каналы и механизмы утечки информации из представленных на экспертизу информационно-вычислительных систем?
  19. Имеются ли на представленных информационно-вычислительных системах компьютерные вирусы? Каковы фактические и возможные последствия воздействия обнаруженных компьютерных вирусов? Возможно ли полное или частичное восстановление информации, поврежденной (уничтоженной) вирусом?
  20. Каковы машинные дата и время последней корректировки
  21. Каков уровень профессиональной подготовки в области программирования и использования средств вычислительной техники лица, производившего данные действия с компьютером и программным обеспечением?

Источник: глава из учебного пособия

Кобзарь С.И. Организация назначения криминалистических экспертиз и использования их результатов в расследовании преступлений: Учебное пособие / МВД Украины, Луган. гос. ун-т внутр. дел им. Э.А. Дидоренко. – Луганск: РИО ЛГУВД, 2007. – 256 с. – Библиогр.: С. 249 – 251.

Реклама
Задачи по экономике с решениями
Статьи по экономике