Исследование аппаратных и программных средств ком­пьютерной техники

Следователь не в состоянии отслеживать все технологические изменения в сфере компьютерных технологий и информатики, в связи с чем, в исследовании следов компьютерных преступлений велика роль специалистов и экспертов. Особое внимание при этом должно уделяться использованию возможностей экспертизы компьютерных систем и компьютерной информации.

Выделяют два вида компьютерно-технических экспертиз:

(1) техническая экспертиза компьютеров и их комплектую­щих, и

(2) экспертиза программного обеспечения и компьютерной информации.

Последняя иногда называется «информационно - аналитиче­ской технической экспертизой».

Применительно к источникам и носителям информации, объ­ектами таких экспертиз могут являться:

1. Компьютеры в сборке и их системные блоки.

2. Компьютерные системы (компьютерные сети).

3. Периферийные устройства (дисплеи, принтеры, дисководы, клавиатура и др.).

4. Технические средства и магнитные носители информации, множительная техника, средства спецтехники и связи.

5. Электронные записные книжки, пейджеры, телефоны подвиж­ной связи, иные носители текстовой или цифровой информации.

6. Распечатки программных и текстовых файлов.

7. Словари поисковых признаковых систем, классификаторы.

8. Документы, изготовленные с использованием компьютер­ных систем и электронных средств передачи и копирования ин­формации (факсы, ксерокопии и т. д.).

9. Компьютерная информация (программы, тексты), в том числе визуальная и аудио информация.

10. Техническая и сопроводительная документация к компью­терной и электронной технике.

11. Системные процессы обмена информацией и связи между элементами компьютерных систем.

12. Видео- и звукозаписи, в том числе на лазерных дисках. Основными методами исследования таких объектов являются

квалифицированное наблюдение, системный анализ, математиче­ское моделирование, инструментальный анализ с применением ЭВМ, статистический и социальный эксперимент, метод эксперт­ных оценок, специальные методы предметных наук.

Задачи, решаемые при компьютерно-технической экспертизе, делятся на диагностические и идентификационные:

а) диагностические задачи (или задачи общего системного анализа): диагностика и классификация систем (например, клас­сификация компьютерной системы (принтера, факса, копира) по тексту, изготовленному с ее применением; отнесение информа­ции к категории программного обеспечения ЭВМ); определение

структуры и функций систем; определение элементов системы и ее границ; анализ системных норм; определение семантики и грамматики спорных текстов, работы неизвестных компьютер­ных систем, воздействия деятельности систем на окружающую микро- и макросреду; реконструкция и прогнозирование поведе­ния систем; определение надежности и устойчивости компью­терных систем; отнесение конкретных программ к вредоносным;

б) идентификационные задачи: идентификация системы; иден­тификация автора машинного текста; криминалистическая диаг­ностика системных процессов и поведения систем; системный анализ обстановки места происшествия (ОМП); реконструкция ОМП методами математического анализа и компьютерного мо­делирования; криминалистическая диагностика роли и функцио­нального назначения отдельных элементов компьютерной систе­мы, диагностика межэлементных связей и отношений; диагно­стика интеллектуального взлома системы.

Из перечня задач вытекают и конкретные вопросы, которые могут быть поставлены перед экспертом, которые могут форму­лироваться следующим образом:

При технической экспертизе компьютеров и их комплектующих:

а) диагностические задачи:

- К какой модели относится представленный на исследование компьютер?

- Каковы технические характеристики системного блока и пе­риферийных устройств данного компьютера?

- Каковы технические характеристики конкретной вычисли­тельной сети?

- Где и в какое время собран данный компьютер и его ком­плектующие?

- В заводских условиях или кустарно осуществлена сборка

данного компьютера?

- Соответствует ли внутреннее устройство компьютера и его периферии прилагаемой технической документации?

- Не внесены ли в конструкцию компьютера какие-либо из­менения?

- Исправен ли данный компьютер и его комплектующие?

- Какова степень износа компьютера и его комплектующих?

- Какова причина неисправности компьютера и периферийных устройств?

- Имеют ли магнитные носители информации какие-либо фи­зические дефекты?

- Не производилась ли переделка (адаптация) компьютера для работы на нём специфических пользователей (человек со слабым зрением, левша и др.)?

- Каковы технические характеристики иных электронных средств приёма, накопления и передачи информации?

- Какое время необходимо для копирования представленной информации на представленный носитель магнитной информа­ции?

б) идентификационные задачи:

- Имеют ли комплектующие компьютера единый источник происхождения?

- Какова конфигурация и состав компьютерных средств и можно ли с помощью этих средств осуществить действия, ин­криминируемые обвиняемому?

При экспертизе программного обеспечения и компьютерной информации:

а) диагностические задачи:

- Какая операционная система использована в данном ком­пьютере?

- Каково содержание информации, хранящейся на внутренних и внешних магнитных носителях?

- Имеется ли на жестком диске представленного на исследова­ние компьютера информация, соответствующая представленному образцу?

- Каково предназначение данных программных продуктов?

- Каково функциональное назначение, характер, содержание информации, имеющейся на представленном на исследование компьютере (носителе магнитной информации)?

- Каков алгоритм функционирования программных продуктов, способ ввода и вывода информации?

- Является ли данный программный продукт лицензированным?

- Не внесены ли в данный программный продукт какие-либо кор­рективы, изменяющие выполнение некоторых операций?

- Соответствует ли полученный программный продукт техни­ческому заданию?

- Имело ли место использование паролей, программ защиты, скрытых файлов для затруднения доступа к информации?

- Каково содержание скрытой информации?

- Каково содержание информацию, находящейся в зашифро­ванном файле, поименованном..., на носителе магнитной ин­формации...?

- Предпринимались ли попытки подбора паролей, взлома за­щитных средств или иные попытки несанкционированного дос­тупа к закрытой информации?

- Осуществлялся ли несанкционированный доступ к компью­терной информации, содержащейся на...?

- Подвергалась ли данная компьютерная информация уничто­жению, копированию, модификации, блокированию?

- Возможно ли восстановление стёртых файлов, дефектных магнитных носителей информации и каково содержание инфор­мации на них? Если да - восстановить стертые файлы с представ­ленного носителя.

- Каков механизм утечки информации из локальных сетей, глобальных сетей и распределённых баз данных?

- Какие правила эксплуатации ЭВМ существуют в данной ин­формационной системе, и были ли нарушены эти правила?

- Находится ли нарушение правил эксплуатации ЭВМ в при­чинной связи с уничтожением (копированием, модификацией или блокированием информации)?

- Имеются ли сбои в функционировании компьютера, работе отдельных программ, какова их причина?

- Нарушение каких правил эксплуатации компьютерной сис­темы привело к потере информации на ней? Можно ли восстано­вить информацию?

- Не является ли представленная для исследования программа вредоносной, и если да, то каков механизм ее действия?

- Не являются ли представленные файлы зараженными вредо­носной программой, и если да, то какой именно?

- Не является ли причиной сбоев в работе компьютера наличие вредоносной программы?

- Возможно ли восстановление повреждённой вредоносной программой информации?

- Каково содержание информации, хранящейся на пейджере, в электронной записной книжке?

- Когда созданы (произведено последнее изменение) данных на представленном для исследования носителе магнитной ин­формации?

- Когда проводилась последняя корректировка данного файла (инсталляция конкретного программного продукта)?

- Каков уровень профессиональной подготовки в области про­граммирования и работы с компьютерной техникой человека, производившего данные действия с компьютером и программ­ным обеспечением?

б) идентификационные задачи:

- Каковы технические характеристики аппаратных средств, необходимых для изготовления представленного на исследование документа...?

- Кем создана данная компьютерная программа?

- Могла ли данная компьютерная программа быть создана конкретным специалистом?

- Каков способ изготовления представленных документов (программ, текстов, данных иного формата)?

- Не являются ли обнаруженные файлы копиями информации, находившейся на конкретной ЭВМ?

- Не являются ли представленные тексты на бумажном носи­теле записями исходного кода программы, и каково назначение этой программы?

- Какие программные и технические средства использованы при изготовлении представленного на исследование документа?

Перед назначением экспертизы формулировки вопросов целе­сообразно согласовать с экспертом.

Большую помощь в исследовании аппаратных и программные средств компьютерной техники могут оказать специалисты ин­формационно-вычислительных центров региональных УВД МВД России. Следует иметь в виду, что в системе МВД начато произ­водство так называемых программно-технических экспертиз, ко­торыми могут решаться следующие задачи:

1) восстановление стертых файлов и стертых записей в базах данных, уточнение времени уничтожения, внесения изменений, копирования и модификации компьютерной информации;

2) установление времени ввода в компьютер определенных файлов, записей в базы данных;

3) расшифровка закодированных файлов и другой информа­ции, преодоление рубежей защиты, подбор паролей;

4) выяснение каналов утечки информации из локальных вы­числительных сетей, глобальных сетей и распределенных баз данных;

5) выяснение технического состояния и исправности средств компьютерной техники.

Наряду с этими основными задачами при проведении про­граммно-технической экспертизы могут быть решены и некото­рые задачи вспомогательного характера, а именно:

1) оценка стоимости компьютерной техники, периферийных устройств, магнитных носителей, программных продуктов, а также проверка контрактов на их поставку;

2) установление уровня профессиональной подготовки от­дельных лиц в области программирования и работы со средства­ми компьютерной техники;

3) перевод документов технического содержания.

В связи с тем, что при осмотре ЭВМ и носителей информации производится изъятие различных документов, в ходе расследова­ния может возникнуть необходимость в назначении криминали­стической экспертизы для исследования документов. Дактило­скопическая экспертиза позволит выявить на документах, частях ЭВМ и машинных носителях следы пальцев рук причастных к делу лиц.

Оценка проведенных экспертиз компьютерных систем, ком­пьютерных программ и информации, а также тактика их исполь­зования в качестве доказательств по делу, в сущности не отлича­ются от оценки и использования заключений экспертиз традици­онных видов¹.

_______________________________

¹ См. также: Российская Е.Р. Судебная экспертиза в уголовном, гра­жданском, арбитражном процессе. - М., 1996. - 224 с.

Дата добавления: 2014-12-29; Просмотров: 1396; Нарушение авторских прав?; Мы поможем в написании вашей работы!