Экспертные исследования компьютерных средств

Тезисы лекции

Современное состояние мирового сообщества характеризуется всеобъемлющим проникновением компьютерных технологий в различные области человеческой деятельности – экономическую, социальную, управленческую и другие. В конце 80-х — первой половине 90-х годов массовая компьютеризация, начавшаяся в России, привела к развитию рынка компьютеров и программного обеспечения, повышению профессиональной подготовки пользователей, увеличению потребностей организаций в совершенствовании технологий обработки данных, значительно расширила сферу применения компьютеров, которые все чаще организуются в локальные сети, подключаются к сетям широкого доступа.

Однако, наряду с неоспоримыми достижениями, информатизация принесла с собой целый ряд сложных негативных явлений, связанных с противоправным использованием компьютерных систем. Криминальные структуры также приняли на вооружение современные информационные технологии для всестороннего обеспечения своей преступной деятельности. Раскрытие и расследование преступлений в сфере компьютерной информации (гл.28 УК РФ), а также таких «традиционных» преступлений, как: присвоение, мошенничество, фальшивомонетничество, лжепредпринимательство и др., когда современные информационные технологии используются как средство совершения и сокрытия преступлений невозможно без использования соответствующих специальных познаний.

Специальные познания в сфере современных информационных технологий могут использоваться в процессуальной форме (участие специалиста в проведении следственных и судебных действий и производство судебных экспертиз) и в непроцессуальной форме (справочно-консультационная деятельность специалиста и предварительные исследования). Причем эти формы использования специальных познаний тесно взаимосвязаны. От того насколько полно и глубоко при производстве следственных действий и оперативно-розыскных мероприятий выявлены, зафиксированы и изъяты следы преступной деятельности в рассматриваемой сфере, как собраны образцы для сравнительного исследования зависит успех экспертного исследования компьютерных средств.

Основной формой использования специальных познаний в судопроизводстве, безусловно, является судебная экспертиза. Поэтому появление нового рода судебных экспертиз, связанных с исследование компьютерных средств было обусловлено насущными потребностями практики.

Проведенный нами анализ экспертной практики, показывает, что начиная с 1996 г. экспертно-криминалистические подразделения органов внутренних дел РФ выполняют ежегодно около сотни экспертиз различных компьютерных средств. Еще большее количество обращений сотрудников следственных аппаратов ОВД и прокуратуры, судов по поводу проведения подобных исследований остаются неисполненными по причинам отсутствия методологических, инструментальных и методических основ производства экспертиз в сфере современных информационных технологий (в том числе компьютерной информации).

Вопрос 1. Классификация и предмет экспертных исследований компьютерных средств

Компьютерно-техническая экспертиза – самостоятельный род судебных экспертиз, относящийся к классу инженерно-технических экспертиз, проводимая в целях: определения статуса объекта как компьютерного средства, выявления и изучения его следовой картины в расследуемом преступлении, а также получения доступа к информации на носителях данных с последующим всесторонним её исследованием. Указанные цели представляются родовыми задачами КТЭ

Родовой предмет КТЭ - факты и обстоятельства, устанавливаемые на основе исследования закономерностей разработки и эксплуатации компьютерных средств, обеспечивающих реализацию информационных процессов, которые зафиксированы в материалах уголовного либо гражданского дела.

Специальные познания КТЭ составляют следующие научные направления: - электроника, электротехника, информационные системы и процессы, радиотехника и связь, вычислительная техника (в т.ч. программирование) и автоматизация.

Основные специальные термины, принимаемые в КТЭ, приведены в прил.1.

Видовая классификация КТЭ организуется на основе обеспечивающих компонент любого компьютерного средства (аппаратного (технического), программного и информационного обеспечения) и используется в виде, соответствующем процессам разработки и эксплуатации компьютерных систем. Поэтому в КТЭ выделяются: аппаратно-компьютерная экспертиза; программно-компьютерная экспертиза; информационно-компьютерная экспертиза (данных). Кроме того, достаточно оправданным представляется введение еще одного вида КТЭ – компьютерно-сетевой экспертизы. Такое деление на виды КТЭ наиболее полно охватывает технологические особенности, эксплуатационные свойства объектов экспертизы, предъявляемых для исследования. Кроме того, данная классификация позволяет уже на ранних этапах становления экспертизы дифференцированно подойти к разработкам методов и методик экспертного исследования. Кратко рассмотрим каждый из видов КТЭ.

Сущность аппаратно-компьютерной экспертизы заключается в проведении исследования технических (аппаратных) средств компьютерной системы. К аппаратным средствам относятся: электрические, электронные и механические схемы, блоки, приборы и устройства, составляющие материальную часть компьютерной системы. Предметом данного вида КТЭ являются факты и обстоятельства, устанавливаемые на основе исследования закономерностей разработки и эксплуатации аппаратных средств компьютерной системы – материальных носителей информации о факте или событии уголовного либо гражданского дела.

Для проведения экспертного исследования программного обеспечения предназначен такой вид КТЭ как программно-компьютерная экспертиза. Её видовым предметом являются закономерности разработки (создания) и применения (использования) программного обеспечения компьютерной системы, представленной на исследование в целях установления истины по уголовному или гражданскому делу. Целью программно-компьютерной экспертизы является изучение функционального предназначения, характеристик и реализуемых требований, алгоритма и структурных особенностей, текущего состояния представленного на исследование программного средства компьютерной системы.

Информационно-компьютерная экспертиза (данных) является ключевым видом КТЭ, так как позволяет завершить целостное построение доказательственной базы путём окончательного разрешения большинства диагностических и идентификационных вопросов, связанных с компьютерной информацией. Целью этого вида является поиск, обнаружение, анализ и оценка информации, подготовленной пользователем или порожденной (созданной) программами для организации информационных процессов в компьютерной системе.

Отдельный вид КТЭ -– компьютерно-сетевая экспертиза, в отличие от предыдущих основывается, прежде всего, на функциональном предназначении компьютерных средств, реализующих какую-либо сетевую информационную технологию. Поэтому исследование фактов и обстоятельств, связанных с использованием сетевых и телекоммуникационных технологий, по заданию следственных и судебных органов в целях установления истины по уголовному или гражданскому делу составляют видовой предмет судебной компьютерно-сетевой экспертизы. Выделена в отдельный вид в связи с тем, что лишь использование специальных познаний в области сетевых технологий позволяет соединить воедино полученные объекты, сведения о них и эффективно решить поставленные экспертные задачи. Особое место в судебной компьютерно-сетевой экспертизе занимают экспертные исследования по уголовным и гражданским делам, связанным с Интернет-технологиями. Объект применения специальных познаний КТЭ может быть довольно разным – от компьютеров пользователей, подключённых к Интернет, до различных ресурсов поставщика сетевых услуг (провайдера) и предоставляемых им информационных услуг (электронная почта, служба электронных объявлений, телеконференции, WWW-сервис и пр.). В связи со стремительным развитием современных телекоммуникаций и связи, обособлением предмета исследований в компьютерно-сетевой экспертизе можно выделить судебную телематическую экспертизу. Предметом телематической экспертизы являются фактические данные, устанавливаемые на основе применения специальных научных познаний при исследовании средств телекоммуникаций и подвижной связи как материальных носителей информации о факте или событии какого-либо уголовного либо гражданского дела.

Практический опыт показывает, рассмотренные выше основные виды КТЭ при производстве большинства экспертных исследований применяются комплексно и, чаще всего, последовательно. Кроме того, в ходе таких пограничных исследований иногда возникает потребность привлекать специальные познания и из других научных областей. Так, например, обстоит дело с решением задач снятия различных парольных защит, получения доступа к закодированным данным, обнаруженным в ходе проведения экспертного исследования, расшифровки неидентифицируемой информации, всестороннего анализа различных криптографических алгоритмов, программ и аппаратных средств. Эта область экспертной деятельности тесно связана с самостоятельной областью исследований – криптографией и защитой информации.

2. Вопрос 1. Задачи компьютерно-технической экспертизы

Экспертные задачи, которые являются одной из ключевых категорий общей теории судебной экспертизы, принято дифференцированно рассматривать как задачи рода, вида, подвида судебной экспертизы и задачи конкретного экспертного исследования. Применим данный подход к КТЭ.

Родовые задачи КТЭ обозначены выше в определении целей данного рода судебных экспертиз. Для достижения объективности получения сведений о фактах дела и установления обстоятельств в сфере современных информационных технологий, значимых для расследования и судебного рассмотрения, видовые задачи КТЭ определяются в соответствии с видовыми предметами экспертиз. За основу классификации задач КТЭ принимается конечная цель исследования по решению диагностических и идентификационных вопросов. Причём при определении диагностических задач исследуются не только свойства и состояние объекта КТЭ, но и механизм, процессы и действия по результатам применения (использования) компьютерного средства. А идентификационные задачи КТЭ имеют своей целью установить факт индивидуально-конкретного тождества или общей групповой принадлежности представленных объектов экспертизы. Кратко рассмотрим решаемые задачи каждого из указанных видов КТЭ.

При производстве аппаратно-компьютерной экспертизы решаются в основном следующие диагностические задачи:

определение вида (типа, марки), свойств аппаратного средства, а так же его технических и функциональных характеристик (например, для решения определённых функциональных задач);

определение фактического состояния и исправности аппаратного средства, наличия физических дефектов;

определение структуры механизма и обстоятельства события по его результатам за счёт использования выявленных аппаратных средств, как по отдельности, так и в комплексе в составе компьютерной системы;

установление причинной связи между использованием конкретных возможностей аппаратных средств и результатами их применения;

определение условий (обстановки) применения аппаратных средств, восстановление хронологической последовательности их использования, места действия и функционирования.

В то же время этим видом экспертизы может проводиться установление групповой принадлежности и отождествление конкретных аппаратных средств по выделенным признакам – общим и частным (например, серийные номера, форм-факторы, ёмкость и структура накопителя, среднее время доступа к данным, скорость передачи данных, способ и плотность магнитной записи и др.).

При проведении программно-компьютерной экспертизы решаются следующие экспертные задачи, основными из которых являются, прежде всего, задачи криминалистической диагностики:

определение основных характеристик операционной системы;

выявление и исследование функциональных свойств, а также настроек программного обеспечения, времени инсталляции;

определение фактического состояния программного продукта и состава соответствующих файлов, их параметров (объемы, даты создания, атрибуты и др.), способов ввода-вывода информации, наличия или отсутствия каких-либо отклонений от типовых параметров (например, недокументированных функций и т.п.);

выявление признаков отношения программного обеспечения к системному или прикладному и т.д.;

диагностирование алгоритма программного продукта, видов использованных при его разработке инструментальных средств, а также типов поддерживаемых аппаратно - программных платформ;

установление первоначального состояния программы (например, при начальной инсталляции) и выявление возможных изменений;

определение целей и условий изменения свойств и состояния программного обеспечения (преднамеренное изменение каких-либо функций, конфигурирование на конкретную аппаратную среду и др.), установление способа осуществления изменений в программе (например, воздействием вредоносной программы, ошибками программной среды, путём несанкционированного доступа и т.д.);

диагностирование свойств и состояния программы по ее отображению в подготовленных данных (по содержанию служебных, системных файлов), соответствия обеспечивающих аппаратных средств;

выявление структуры механизма события по результатам работы программного обеспечения и в динамике;

установление причинной связи между действиями пользователя компьютерной системы в отношении программного обеспечения и наступившими последствиями.

Кроме этого, при проведении программно-компьютерной экспертизы могут решаться идентификационные задачи, связанные с индивидуальным отождествлением оригинала программы (инсталляционной версии) и её копии на носителях данных компьютерной системы, установлением групповой принадлежности программного обеспечения по общим признакам, выявление частных признаков программы, позволяющие в последствии идентифицировать её авторство, а также взаимосвязь с информационным обеспечением исследуемой компьютерной системы.

К диагностическим задачам информационно-компьютерной экспертизы (данных) относятся:

установление свойств и вида представления информации в компьютерной системе при её непосредственном исследовании;

определение фактического состояния информации, выяснение наличия или отсутствия в ней отклонений от типового объектов КТЭ (например, имеются ли вредоносные включения, нарушение его целостности);

установление первоначального состояния информации на носителе данных;

определение и условий изменения свойств исследуемой информации (например, выяснение условий внесения изменений в содержимое файла, запись на пластиковой карте, данные ППЗУ и т.п.);

определение механизма и обстоятельств события (дела), установление отдельных этапов (стадий, фрагментов) события по имеющейся информации на носителе данных или её копиям (например, подготовка нескольких копий делового письма и его рассылка факсимильной программой в разные адреса);

определение времени (периода), хронологической последовательности воздействия на информацию (например, установление стадий подготовки изображений денежных знаков, оттисков печатей т.п.);

выявление следов возможных участников события по признакам, характеризующих определённые профессиональные и пользовательские навыки, умения, привычки, установление условий при которых была создана (модифицирована, удалена, скопирована) информация;

установление причинной связи между имевшими место манипуляциями с компьютерной информацией и наступившими последствиями (например, связи между удалением информации и нарушением работоспособности компьютерной системы);

диагностирование возможных последствий по совершенному действию и возможности его совершения.

К идентификационными задачами информационно--компьютерной экспертизы можно отнести индивидуальное отождествление содержания файла с данными в копии исследуемого файла, либо в представленном документе (в т.ч. в бумажной копии в комплексе с технико-криминалистическим исследованием документов). Групповая принадлежность может устанавливаться при поиске общего источника происхождения информации на носителях данных компьютерной системы, а также при определение класса, вида и типа программного обеспечения, при помощи которого были порождены (созданы) исследуемые данные.

Для компьютерно-сетевой экспертизы характерна следующая группа экспертных задач:

определение свойств и характеристик аппаратного средства и программного обеспечения; установление места, роли и функционального предназначения исследуемого объекта в сети (например, для программного средства в отношении к сетевой операционной системе; для аппаратного средства – отношение к серверу, рабочей станции, активного сетевого оборудования и т.д.);;

выявление свойств и характеристик вычислительной сети, установление её архитектуры, конфигурации, выявление установленных сетевых компонент, организации доступа к данным;

определение соответствия выявленных характеристик типовым для конкретного класса средств сетевой технологии; определение принадлежности средства к серверной или клиентской части приложений;;

определение фактического состояния и исправности сетевого средства, наличия физических дефектов, состояния системного журнала, компонент управлением доступа;

установление первоначального состояния вычислительной сети в целом, и каждого сетевого средства в отдельности,, возможного места покупки (приобретения), уточнение изменений, внесённых в первоначальную конфигурацию (например, добавление дополнительных сетевых устройств, устройств расширения на сервере, либо рабочих станциях и пр.);

определение причин изменения свойств вычислительной сети (например, по организации уровней управления доступом; установление факта нарушения режимов эксплуатации сети;, фактов (следов) использования внешних («чужих») программ и т.п.);

диагностирование свойств и состояния вычислительной сети по ее отображению в информации носителей данных (например, RAID-массивы; жёсткие диски, флоппи-диски, CD-ROM, ZIP-накопители и т.п.);, и пр.;

определение структуры механизма и обстоятельства события в сети по его результатам (например, сценария несанкционированного доступа, механизма распространения в сети вредоносных функций и т.д.);

установление причинной связи между использованием конкретных аппаратно-программных средств вычислительной сети и результатами их применения.

Как видно, задачи компьютерно-сетевой экспертизы охватывают практически все основные задачи рассмотренных выше видов КТЭ, т.е. решение аппаратных, программных и информационных аспектов установления фактов и обстоятельств по делам. Тем не менее, следует ещё раз подчеркнуть, что лишь использование специальных познаний в области сетевых технологий позволяет соединить воедино полученные объекты, сведения о них и эффективно решить поставленные экспертные задачи.

В целом, все рассмотренные выше видовые задачи КТЭ могут быть детализированы также и для каждого этапа экспертного исследования (стадии экспертизы). Так, например, частными задачами КТЭ в зависимости от алгоритма доступа и анализа информации, хранящейся на представленных носителях данных, являются: диагностика и установление содержимого носителя, реализация доступа к данным, распознавание форматов данных, разархивация, поиск и просмотр файлов (в.ч. их фрагментов), восстановление удаленных файлов, выполнение программного кода, декомпиляция программного кода и его трассировка, анализ файла регистрации, просмотр и проверка файла данных, снятие парольной защиты, расшифровка и т. д.

Особо следует подчеркнуть, что конкретные экспертные задачи КТЭ ставятся перед экспертом при производстве определённой экспертизы. Вообще говоря, они не тождественны вопросам, сформулированным в постановлении (определении). Иногда несколько вопросов направлены, по существу, к решению одной экспертной задачи. И наоборот, один вопрос может включать решение двух и более задач.

3. Вопрос 1. Система объектов КТЭ

Общая классификация объектов экспертизы

Родовой (видовой) объект КТЭ – определённая категория предметов, обладающих общими признаками и относящихся к компьютерным средствам. Одной из важных особенностей объекта КТЭ является его составной характер.

Конкретный объект КТЭ – определенное компьютерное средство, исследуемое в процессе данной экспертизы, обладающее признаками индивидуальности и неповторимости, что и определяет специфику конкретного исследования.

Система объектов КТЭ по классификационному основанию видового деления выглядит следующим образом:

вид аппаратные объекты, включающий в себя классы: персональные компьютеры (настольные, портативные), периферийные устройства, сетевые аппаратные средства (серверы, рабочие станции, активное оборудование, сетевые кабели и т.д .), интегрированные системы (органайзеры, пейджеры, мобильные телефоны и т.п.), встроенные системы на основе микропроцессорных контроллеров (иммобилайзеры, транспондеры, круиз-контроллеры и т.п.), любые комплектующие всех указанных компонент (аппаратные блоки, платы расширения, микросхемы и т.п.). Указанные классы могут охватывать различные сочетания подклассов. В криминалистическом аспекте наиболее важен подкласс запоминающих устройств и носителей данных - включает все известные на момент проведения экспертизы электронные носители данных: микросхемы памяти, магнитные и лазерные диски, магнитооптические диски, магнитные ленты и карты и т.п.;

вид программные объекты, включающий в себя: класс системное программное обеспечение (подклассы: операционная система, вспомогательные программы- утилиты, средства разработки и отладки программ, служебная системная информация), класс прикладное программное обеспечение (подкласс приложения общего назначения (текстовые и графические редакторы, системы управления базами данных, электронные таблицы, редакторы презентаций и т.д.) и подкласс приложения специального назначения (для решения задач в определённой области науки, техники, экономики и т.д.));

вид информационные объекты (данные), включающий в себя: класс текстовых и класс графических документов, изготовленных с использованием компьютерных средств; класс данных в форматах мультимедиа; класс информации в форматах баз данных и других приложений, имеющей прикладной характер.

Дата добавления: 2014-01-07; Просмотров: 5236; Нарушение авторских прав?; Мы поможем в написании вашей работы!