1.2.Определение понятия компьютерно–технической экспертизы и ее классификация
Основной процессуальной формой использования специальных знаний при расследовании и судебном рассмотрении уголовных дел о преступлениях, сопряженных с использованием компьютерных технологий, является компьютерно-техническая экспертиза.
В целях обнаружения, фиксации и изъятия следов преступления,обнаруженных на компьютере, следователю требуется помощь экспертов, как в области использования компьютерной техники, так и в области программирования, связи и коммуникаций.
Изучение состояния компьютерной информации, изменений, которые она претерпела в тот или иной период времени. Носители, на которых содержится информация программного и аппаратного обеспечения компьютерной техники, средств мобильной радиосвязи, банкоматов и так далее, подвергшихся несанкционированному воздействию извне, а также устройства, при помощи которых это воздействие предположительно исполнялось, осуществляется при помощи проведения компьютерных экспертиз.
Участие экспертов в расследовании преступлений, совершенных при помощи компьютерных технологий, обусловлено тем, что успех расследования зависит от участия эксперта в осмотре, обыске, выемке и дальнейшем изучении содержимого.
Приказ Минюста России от 13.10.2004 N 169 «Об утверждении программы подготовки государственных судебных экспертов государственных судебно-экспертных учреждений Министерства юстиции Российской Федерации по компьютерно-технической экспертизе».
и Следственного комитета России предписывают производство указанного рода экспертизы, именуемой «Компьютерно–техническая экспертиза», в рамках которой производится исследование информации на электронных носителях..
По мнению С.А. Каткова, И.В. Собецкого и А.Л. Федорова, данную экспертизу нужно называть «программно-технической, однако такое название было слишком узким и не отвечало всему кругу решаемых этой экспертизой задач»7. Были и другие наименования судебной экспертизы этого рода: «инженерно-компьютерная, судебно-техническая экспертиза информационно-вычислительных систем, судебно-кибернетическая экспертиза и др.»8
Также существует другая точка зрения, когда судебная компьютерно-техническая экспертиза именуется «экспертизой компьютерных средств»9.
По мнению Е.Р. Россинской, «вид экспертизы, в ходе которых исследуется техника и её компоненты, носит название компьютерно-техническая экспертиза, поскольку своим рождением вычислительная (иначе, компьютерная техника) обязана именно инженерно-техническим наукам. Общепринятый термин «компьютерная техника», исторически включающий в себя все виды обеспечения автоматизированных систем управления (техническое, математическое, программное, лингвистическое, информационное и иные), фактически стал прародителем современного названия СКТЭ».10
Мы согласны с Е.Р. Россинской., о том, что экспертиза компьютерной техники, должна носить название компьютерно-техническая экспертиза. На наш взгляд это самый оптимальный термин, так как он охватывает не только само устройство, но и его «начинку», а именно программное обеспечение, сетевые проводники и информацию, содержащиеся на таком устройство.
Под компьютерно-технической экспертизой следует понимать экспертизу, объектом которой является компьютерная техника и компьютерные носители информации.
Компьютерно-техническая экспертиза проводится в целях определения статуса объекта как компьютерного средства, выявление и изучение его роли в расследуемом преступлении, а также получения доступа к информации на электронных носителях с последующим всестороннем исследованием.
«Специальные знания компьютерно-технической экспертизы составляют электроника, электротехника, информационные системы и процессы, радиотехника и связь, вычислительная техника, в том числе и программирование, и автоматизация».11
В компьютерно-технической экспертизе выделяются следующие виды:
1. Аппаратно-компьютерная экспертиза.
2. Программно-компьютерная экспертиза.
3. Информационно-компьютерная экспертиза.
4. Компьютерно-сетевая экспертиза.
Данную классификацию предложили В.С.Зубаха и А. И. Усов. По их мнению, компьютерно-сетевая экспертиза является дополнительной и приемлема лишь в определённых случаях. Первые же три вида, как заявляют авторы, в практике расследования преступлений с использованием высоких технологий применяются и в большинстве случаев последовательно, то есть сначала следователь назначает аппаратно-компьютерную экспертизу, затем программно-компьютерную экспертизу, а после этого информационно- компьютерную экспертизу.
На пример, «В процессе проведения экспертизы из системного блока извлечен жесткий диск Maxtor модель 5Т030Н3, серийный номер Т3RRW1AC. Установлены характеристики представленных жестких дисков и сетевой карты. Данные устройства полностью работоспособны.Установлено, что для выхода в сеть Интернет использовались следующие обозреватели: «InternetExplorer». Установлен перечень ресурсов, посещенных с использованием данных обозревателей. Определена сохраненная регистрация информация на Интернет - ресурсах.При исследовании жесткого диска установлено, что пользователь использовал электронную платежную систему «WebMoneyTransfer», установлена информация об используемых идентификаторах системы «WebMoneyTransfer» (WMDI).Установлено наличие программного клиента «QIP» версии 8020 (для обращения в системе мгновенного обмена сообщения ICQ), определены идентификационные номера (UIN), их свойства. Также обнаружена история переписки данных пользователей. В результате экспертизы жестких дисков обнаружена информация, возможно имеющая отношение к делу. В директории «D:\Xlam\1» обнаружен файл «cool.txt», содержание которого приведено выше в тексте Заключения эксперта. В свободных кластерах обнаружены сведения для доступа расчетным счетам в системе Альфа-Банк Клик(т.3 л.д.56-240).
Большинство вредоносных программ являются троянцами и нацелены на похищение конфиденциальной информации пользователя. Также присутствуют вирусные утилиты, что говорит о намеренной их установке в системе. Все указанные вредоносы никак не связаны между собой, не являются компонентами одного комплекса и не управляются из одного источника (т.3 л.д.6-46).Exploit.JS.CVE-2006-1359.t, Exploit.JS.ADODB.Stream.b»12.
В данном примере прослеживается последовательность проведенных экспертиз.
Такая последовательность обусловлена тем, что нужно установить принадлежность устройства к компьютерным технологиям, далее исследовать программное обеспечение устройства на наличие специальных программ и вредоносных систем, а только после этого исследовать информацию, найденную на электронном устройстве.
Следует отметить, что аппаратно-компьютерная и программно-компьютерная экспертизы, в основном, предназначены для решения диагностических и классификационных задач, включающих установление групповой принадлежности, отождествление конкретных Аппаратных средств по выделенным признакам.
При этом информационно - компьютерная экспертиза является ключевым видом компьютерно-технической экспертизы. Информационно-компьютерная экспертиза «позволяет завершить целостность построение доказательственной базы путём окончательного, разрешения большинства диагностических и информационных задач, связанных с компьютерной информацией». 13
Существуют также иные позиции, связанные с родовой классификацией компьютерно-технической экспертизы.
Так, Е. Р. Российская выделяет два подвида данной экспертизы: техническую экспертизу компьютеров или/и иных комплектующих и экспертиза программного обеспечения14. Разделяя такую позицию Е.Р. Россинской Т.В. Аверьянова предлагает дополнить компьютерно-техническую экспертизу ещё несколькими видами - инженерно -психологической и экспертизой функционирования компьютеров в составе сети. Такой же точки зрения придерживаются и научно-практические работники экспертно-криминалистических подразделений Министерства внутренних дел Российской Федерации”. 15
При анализе нами судебной практики, а также исследовании научной литературы, предложенная А.И.Усовым и В.С.Зубаха классификация видов компьютерно-технической экспертизы является самой оптимальной ввиду более детального подхода к разделению объектов и задач соответствующих видов экспертизы. Данная классификация компьютерно-технической экспертизы основана на обеспечивающих компонентах компьютерного средства (системны блок, жесткий диск, программное обеспечение, сопутствующие программы, информация на электронных носителях, сетевые технологии).
Аппаратно-компьютерная экспертиза заключается в выявлении и исследовании закономерностей использования аппаратных устройств и средств компьютерной технологии. В ходе проведении аппаратно-компьютерной экспертизы можно выявить марку, тип, свойства аппаратного устройства, а также выявить все их технические характеристики.
Это даёт возможность судить о том, каким образом «устройство» используют в том или ином случае. «Кроме того, в ходе экспертизы, можно достоверно точно установить состояние аппаратного устройства, и в случае выявления дефектов технического, или физического характера, классифицировать их.Ещё одной важной причиной проведения аппаратно-компьютерной экспертизыявляется необходимость проверки возможностей устройства и оценки использования его для конкретного применения».16
На сегодняшний день наиболее востребованными являются экспертизы установления фактического состояния и исправности аппаратного средства.
Программно-компьютерная экспертиза представляет собой вид компьютерно-технической экспертизы.
Основная задача данной экспертизы – выявить и расследовать факты и обстоятельства, которые, так или иначе, относятся к уголовному делу, связанные с использованием, созданием, а так же распространением тех или иных компьютерных программ.
Как правило, подобная экспертиза назначается в ходе дела о нарушении авторских прав, или незаконному распространению программного обеспечения.
«В наше время, с помощью компьютера можно управлять большим количеством аспектов жизни человека. Написав определенную программу, можно повлиять на личную информацию людей, например, всем широко известны программы—вирусы»17.
На сегодняшний день программно-компьютерной экспертиза включает в себя следующие разновидность «подвидов».
- экспертиза системного программного обеспечения;
- экспертиза сервисов веб-серверов;
- программно-компьютерная экспертиза системной безопасности;
- программно-компьютерная экспертиза баз и банков данных.
Данное деление базируется на необходимости познаний не только в общей теории программирования, но и в ряде отличных друг от друга областей. В первую очередь это касается инструментария и углубленного знания характеристик не только отдельных операционных систем, но и их частей.
Информационно-компьютерная экспертиза является наиболее распространенным видом компьютерно-технических экспертиз, проводимых в экспертных учреждениях РФ. Информационно-компьютерная экспертиза проводится для исследования данных, являющихся информационной составляющей компьютерной системы. Целью этого рода экспертиз является поиск, обнаружение, анализ и оценка информации, подготовленной пользователем или порожденной (созданной) программами для организации информационных процессов в компьютерной системе.
«При производстве информационно-компьютерной экспертизы имеется возможность проводить исследование не только реально присутствующих на носителе информации данных, но и «удаленных» — считающихся потерянными».18
Компьютерно-сетевая экспертиза основывается на проверке физического и функционального состояния компьютерных средств и устройств, которыми обеспечены информационно-сетевые технологии. «Она выделена в отдельный вид в связи с тем, что при исследовании корпоративных сетей, используемых в большинстве государственных и частных предприятий, лишь использование специальных знаний в области сетевых технологий позволяет эффективно решить поставленные перед экспертом задачи».19
Подобная экспертиза обязательна при проведении оценки возможности внедрения посторонних объектов в сеть на государственных, коммерческих и прочих предприятиях. Например, она помогает выяснить, можно ли подключиться к работе офиса и повлиять на данные, связанные с отчетами и коммерческой информацией организации. Также можно установить факты попыток подключения (неправомерного доступа) к компьютеру.
|
