Компьютерно-техническая экспертиза

Судебная компьютерно-техническая экспертиза (СКТЭ)  — самостоятельный род судебных экспертиз, относящийся к классу инженерно-технических экспертиз, проводимый в целях: определения статуса объекта как компьютерного средства, выявления и изучения его роли в расследуемом преступлении, а также получения доступа к информации на электронных носителях с последующим всесторонним ее исследованием.

Специальные познания СКТЭ составляют следующие научные направления: автоматизация, информационные системы и процессы, электроника, электротехника, радиотехника и связь, вычислительная техника (в том числе программирование) и др.

Выделяются следующие виды компьютерно-технической экспертизы: аппаратно-компьютерная, информационно-компьютерная (экспертиза данных), программно-компьютерная , компьютерно-сетевая экспертизы.

Сущность аппаратно-компьютерной экспертизы заключается в проведении исследования (в основном, диагностического) технических (аппаратных) средств компьютерной системы. К аппаратным средствам относятся: электрические, электронные и механические схемы, блоки, приборы и устройства, составляющие материальную часть компьютерной системы.

Для проведения экспертного исследования программного обеспечения предназначен такой вид экспертизы как программно-компьютерная. Задачами экспертизы данного вида является изучение функционального предназначения и характеристик реализуемого алгоритма, структурных особенностей и текущего состояния системного и прикладного программного обеспечения компьютерной системы.

Задачами информационно-компьютерной экспертизы (данных) являются поиск, обнаружение, анализ и оценка информации, подготовленной пользователем или порожденной (созданной) программами для организации информационных процессов в компьютерной системе.

Компьютерно-сетевая экспертиза основывается на функциональном предназначении компьютерных средств, реализующих какую-либо сетевую информационную технологию. Объектами применения специальных познаний КТЭ могут быть компьютеры пользователей, подключенных к Интернет, различные ресурсы поставщика сетевых услуг (провайдера) и предоставляемые им информационные услуги (электронная почта, служба электронных объявлений, телеконференции, www-сервис и пр.).

Практический опыт показывает, что в настоящее время рассмотренные выше основные виды СКТЭ при производстве большинства экспертных исследований применяются комплексно и, чаще всего, последовательно. Экспертная деятельность зачастую связана с необходимостью исследования целостной компьютерной системы или ее части — персонального компьютера, электронного органайзера, сотового телефона и т.д. При этом, как правило, изучение начинается с аппаратных средств, далее – программных, и в заключении – работа с данными. Именно информационно-компьютерная экспертиза как вид СКТЭ позволяет в итоге построить целостное представление об исследуемом объекте, имеющее доказательное значение. В результате проведения такого комплекса исследований, использование всего имеющегося родового экспертного инструментария достигается решение наиболее существенных экспертных задач – поиск, обнаружение, анализ и оценка криминалистически значимой компьютерной информации. Название такого комплексного исследования должно совпадать с родовым названием – компьютерно-техническая экспертиза. Поэтому, в настоящее время, в постановлении (определении) на производство судебной  экспертизы целесообразно указывать родовое наименование экспертизы, т.е. – произвести судебную компьютерно-техническую экспертизу.

Система объектов СКТЭ выглядит следующим образом:

а) аппаратные объекты:

 — персональные компьютеры (настольные, портативные);

— периферийные устройства;

— сетевые аппаратные средства (серверы, рабочие станции, активное оборудование, сетевые кабели и т.д.);

— интегрированные системы (органайзеры, пейджеры, мобильные телефоны и т.п.);

— встроенные системы на основе микропроцессорных контроллеров (иммобилайзеры, транспондеры, круиз-контроллеры и т.п.);

— любые комплектующие всех указанных компонентов (аппаратные блоки, платы расширения, микросхемы и т.п.).

б) программные объекты:

— системное программное обеспечение (операционная система, вспомогательные программы-утилиты, средства разработки и отладки программ, служебная системная информация);

 — прикладное программное обеспечение (подвид приложения общего назначения (текстовые и графические редакторы, системы управления базами данных, электронные таблицы, редакторы презентаций и т.д.);

— приложения специального назначения (для решения задач в определенной области науки, техники, экономики и т.д.);

в) информационные объекты (данные):

— текстовые и графические документы, изготовленные с использованием компьютерных средств;

— данные в форматах мультимедиа;

—  информация в форматах баз данных и других приложений, имеющих прикладной характер.

СКТЭ решает следующие задачи:

— диагностика аппаратных средств и их частей в целях установления их технического состояния и потребительских свойств;

— исследование машинных носителей с целью поиска заданной информации;

— поиск латентной и закодированной информации на машинных носителях информации;

— исследование фрагментов информации в целях ее реконструкции;

— исследование программ для ЭВМ и баз данных для определения их предназначения, работоспособности и потребительских свойств.

 

Сведения, которые необходимо указывать в фабуле при назначении СТЭ:

— какая компьютерная техника имелась на месте происшествия кроме той, что представлена на — был ли компьютер подключен к локальной или глобальной сети;

— какие устройства были подключены к системному блоку компьютера;

— каким образом был выключен компьютер перед его изъятием, какие предпринимались действия с компьютером (носителем информации), влияющие на информацию на компьютере;

— сведения об известных попытках подозреваемых уничтожить информацию на носителе  при помощи программ или механического повреждения машинного носителя;

— соответствовали ли в момент выемки машинного магнитного носителя значения системной даты и времени истинным значениям даты и времени (при представлении на исследование одного носителя информации без системного блока);

— иные обстоятельства, влияющие на состояние файловой системы на машинном носителе информации, либо факторы, воздействующие на сам машинный носитель.

 

Объекты, которые могут быть представлены эксперту при производстве СКТЭ:

— машинные носители информации – накопители на жестких магнитных дисках, дискеты, компакт-диски, флэш-карты, иные носители;

— системный блок компьютера, комплектующие и другие аппаратные средства;

— техническая документация на отдельные устройства (компоненты) компьютера или на весь компьютер в целом (технические описания, руководства по эксплуатации, иные документы);

— документация на программные продукты (руководства пользователя, инструкции по установке, иные документы);

— распечатка компьютерной информации (документы).

 

Формулировки вопросов при исследование аппаратных средств:

— Каков тип, конфигурация и основные технические характеристики представленного на исследование аппаратного средства?

— Соответствует ли комплектация аппаратного средства представленной технической документации?

— Не внесены ли в конструкцию представленного аппаратного средства изменения (например, установка дополнительных встроенных устройств: накопителей на жестких магнитных дисках, модулей оперативной памяти, приводов для работы с компакт-дисками и пр., иные изменения конфигурации)?

— Работоспособно ли представленное на экспертизу аппаратное средство?

— Каковы причины неработоспособности?

— Является ли неисправность представленного аппаратного средства нарушением определенных правил эксплуатации?

— Пригоден ли для исследования представленный машинный носитель информации?

— Каковы причины отсутствия доступа к машинному носителю информации?

 

Формулировки вопросов при поиске информации:

— Имеются ли представленных машинных носителях файлы, содержащие  …? Если да, то есть ли среди них изображения…?

— Имеются ли на представленных машинных носителях удаленные и (или) скрытые файлы, содержащие  …? Если да, то есть ли среди них изображения..?

— Имеются ли на представленных машинных носителях текстовые файлы, содержащие информацию о документах с наличием названия фирм и учреждений…, а  также электронные копии представленных на исследование документов?

— Имеются ли представленных машинных носителях удаленные и (или) скрытые файлы, содержащие информацию о документах с наличием названия фирм и учреждений…, а также электронные копии представленных на исследование документов?

— какова дата и время создания (последнего редактирования, последнего доступа, печати) обнаруженного файла?

 

Формулировка вопросов при исследовании механизма доступа в интернет и программного обеспечения:

— Возможно ли осуществление доступа в сети Интернет с использованием представленных на исследование аппаратных средств? Если да, то каким образом осуществлялся доступ?

— Имеется ли машинных носителях информации, представленных на исследование, программное обеспечение, позволяющее осуществлять соединение и работу в сети Интернет? Если да, то какое программное обеспечение (название, версии)?

— Имеется ли на машинных носителях информации, представленных на исследование, программное обеспечение, позволяющее пользоваться услугами электронной почты? Если да, то какое программное обеспечение (название, версии)? Имеются ли на машинных носителях информации файлы, содержащие почтовые сообщения?  Каков адрес электронного почтового ящика, на который получены входящие сообщения?

— Имеется ли на машинных носителях информации, представленных на исследование, информация об осуществлении сеансов доступа к сети Интернет за период с … по …, в том числе с использованием учетных данных…? Если да, то какие учетные данные использовались для выхода в сеть Интернет? В каких файлах содержатся сведения об использовавшихся логинах и паролях?

— Имеются ли на машинных носителях информации, представленных на исследование, файлы, полученные путем копирования из сети Интернет за период с … по … (в том числе файлы «cookies»)?

— Какой экземпляр (например, операционной системы) установлен на представленных машинных носителях, какова дата его установки?

— Имеется ли на представленных машинных носителях программное обеспечение для…?

Формулировки вопросов (по назначению комплексной компьютерно-технической экспертизы и технической экспертизы документов):

— Имеются ли на машинном носителе информации данные с представленных на экспертизу документов (образцов)?

— В каком виде (целостном, фрагментарном) находятся данные с представленных документов на машинных носителях информации?

— Какие сведения с представленных на экспертизу документов (образцов) находятся на машинном носителе информации?

— Изготовлены ли и распечатаны ли представленные документы при помощи изъятого по делу … комплекта компьютерной техники?

— Получены ли представленные документы с использованием данной компьютерной техники?

— Каким способом изготовлен представленный на исследование документ?

— Каким шрифтом выполнены письменные знаки в исследуемом документе?

— Имеются ли в представленном документе какие-либо письменные знаки, не относящиеся к стандартным шрифтам, а созданные самостоятельно пользователем?

— Имеются ли на машинных носителях информации, представленных на экспертизу, файлы, содержащие текст указанного документа?

— Имеются ли на машинных носителях информации следы изготовления документа, представленного на исследования?