КОМПЬЮТЕРНО-ТЕХНИЧЕСКАЯ ЭКСПЕРТИЗА
COMPUTER FORENSICS AND INVESTIGATIONS
- ‹Портал http://computer-forensics-lab.org/‹Ресурсы Интернет
- Изменить размер шрифта
- Версия для печати
Web-кольцо
Web-кольцо
Igor Mikhaylov » 19 ноя 2006, 11:13
Igor Mikhaylov » 19 ноя 2006, 11:14
WWW.CYBERPOL.RU – Специализированный научно-методический и информационный сайт «Компьютерная преступность и борьба с нею». На его электронных страницах содержательно раскрываются понятие, виды, антология развития и статистика компьютерных преступлений, совершенных на территории СССР и Российской Федерации. Рассказывается о средства, методах и системе борьбы российских спецслужб с данными преступными посягательствами.
На странице http://www .сyberрol.ru/infoprotection.shtml излагается понятие, принципы, цели и основные задачи государственной Системы защиты информации, действующей в России. Кратко рассмотрены субъекты, объекты, средства, методы и мероприятия по защите информации. Указаны типичные виды угроз безопасности информации. Приведены термины и определения в области защиты информации.
Страница http://www .сyberрol.ru/infolaw.shtml представляет собой автоматизированный тематический каталог с текстами Законов, Указов, Положений, Постановлений и Государственных стандартов в области информации, информатизации и защиты информации в Российской Федерации.
На странице http://www .сyberрol.ru/cybercrime.shtml приведены понятие, криминалистическая характеристика и классификация компьютерных преступлений.
На странице http://www .сyberрol.ru/statcrime.shtml показана антология развития компьютерной преступности в СССР и России, начиная с 1982 года. Цветными диаграммами проиллюстрирована официальная статистика, динамика и виды компьютерных преступлений, совершенных в России (СССР) за период с 1982 по 2003 годы.
На странице http://www .сyberрol.ru/hackers.shtml даны понятие, виды, криминологическая и криминалистическая характеристики компьютерных правонарушителей. Приведены полнотекстовые Жаргонные словари хакеров, кардеров, фрикеров.
Страница http://www .сyberрol.ru/cybercops.shtml рассказывает об история создания и развития Киберполиции в России. Изложены функции, задачи и электронные адреса Отделов «К» МВД России – специализированных подразделений по борьбе с компьютерными преступлениями.
На странице http://www .сyberрol.ru/sorm.shtml раскрыты понятие, история создания и развития, а также правовые основы применения правоохранительными органами автоматизированных информационных систем специального назначения в борьбе с компьютерными преступлениями. Рассказывается о функционировании российской Системы оперативно-розыскных мероприятий (СОРМ) и ее зарубежных аналогах. Указаны нормативно-правовые акты, регулирующие применение СОРМ.
Igor Mikhaylov » 19 ноя 2006, 11:29
Федеральный правовой портал: Компьютерные преступления: квалификация, расследование, профилактика
Проект посвящен исследованию особенностей квалификации, расследования и профилактики преступлений в сфере компьютерной информации (ст.ст. 272-274 УК РФ).
Поводом к созданию данного научно-исследовательского проекта послужила растущая популярность научно-практических исследований в области защиты информации и расследования компьютерных преступлений. В тоже время, наблюдается острая нехватка добротного, научно-ценного теоретического и эмпирического материала.
Цель проекта — накопление результатов научно-практических исследований в области уголовного права, процесса, криминалистики и криминологии, касающихся квалификации, расследования, предупреждения и профилактики преступлений в сфере компьютерной информации.
Проект создан для оказания теоретической и практической помощи студентам (курсантам), аспирантам (адъюнктам), преподавателям юридических вузов и факультетов, работникам правоохранительных органов, владельцам, собственникам и пользователям компьютерной информации.
Главные положения проекта:
1. Самое эффективное противодействие компьютерным преступлениям — это их предупреждение и профилактика.
2. Предупреждение и профилактика преступлений невозможна без наличия обширных теоретических и практических знаний.
3. Самый эффективный способ пополнения таких знаний — взаимовыгодное сотрудничество и обмен информацией.
4. Взаимовыгодный обмен информацией — самое эффективное средство борьбы с компьютерными преступлениями.
Cайт проекта «Федеральный правовой портал: Компьютерные преступления: квалификация, расследование, профилактика»: http://www.cyber-crimes.ru/
В разделе «Книги и монографии» представлена, в том числе, работа:
Россинская Е.Р., Усов А.И. Судебная компьютерно-техническая экспертиза. – М.: Право и закон, 2001. – 416 с. (Серия «Практическая юриспруденция. Судебная экспертиза»)
Перейти в раздел «Книги и монографии» проекта «Федеральный правовой портал: Компьютерные преступления: квалификация, расследование, профилактика»: http://www.cyber-crimes.ru/liblary/Books2.html
В разделе «Учебные и практические пособия, справочники» представлены, в том числе, работы:
Кушниренко С.П., Панфилова Е.И. Уголовно-процессуальные способы изъятия компьютерной информации по делам об экономических преступлениях. Учебное пособие. 2-е изд. испр. и доп. – СПб.: Санкт-Петербургский юридический институт Генеральной прокуратуры Российской Федерации, 2001. – 88 с.
Усов А.И. Методы и средства решения задач компьютерно-технической экспертизы Учебное пособие. – М., Государственное учреждение «Экспертно-криминалистический центр Министерства внутренних дел Российской Федерации»: – М., ГУ ЭКЦ МВД России, 2002.
Усов А.И. Судебно-экспертное исследование компьютерных средств и систем: Основы методического обеспечения: Учебное пособие / А.И. Усов // Под ред. проф. Е.Р. Россинской. – М.: Издательство «Экзамен», издательство «Право и закон», 2003. – 368 с.
Перейти в раздел «Учебные и практические пособия, справочники» проекта «Федеральный правовой портал: Компьютерные преступления: квалификация, расследование, профилактика»:
http://www.cyber-crimes.ru/liblary/Manuals2.html
В разделе «Методика судебных компьютерно-технических экспертиз» представлены работы:
Бурданова В.С. Совершенствование методов проведения судебно-кибернетической экспертизы. // «Компьютеры в уголовном судопроизводстве». Материалы криминалистического семинара 31 марта 1997 г. – СПб.: Санкт-Петербургский юридический институт Генеральной прокуратуры РФ, 1998. – .
Вандер М.Б., Васильев В.Л. К вопросу о судебно-кибернетической экспертизе. // «Компьютеры в уголовном судопроизводстве». Материалы криминалистического семинара 31 марта 1997 г. – СПб.: Санкт-Петербургский юридический институт Генеральной прокуратуры РФ, 1998. – .
Егорышев А.С. Особенности назначения технических экспертиз при расследовании неправомерного доступа к компьютерной информации. / Министерство внутренних дел России за 200 лет: история, теория, практика: материалы Всероссийской научно-практической конференции: г. Уфа, 25-26 апреля 2002 года. В 2-х частях. Часть II. – Уфа: Уфимский юридический институт МВД России, 2002. – C. 166 – 171.
Катков С.А., Собецкий И.В., Федоров А.Л. Подготовка и назначение программно-технической экспертизы // Информационный бюллетень следственного комитета МВД России, 1995. – № 4 (85). – С. 87 – 96.
Меликов А.С. Компьютерно-техническая экспертиза как новый вид судебных экспертиз. – .
Разумов М. Компьютерная экспертиза на платформах Windows, часть 1. –
Разумов М.Компьютерная экспертиза на платформах Windows, часть 2. – .
Россинская Е.Р., Усов А.И. Компьютерно-техническая экспертиза и ее видовое деление. – .
Россинская Е.Р., Усов А.И. Возможности судебной экспертизы в раскрытии и расследовании преступлений, сопряженных с использованием компьютерных средств. – .
Семенов В.Н., Мотуз О.В. Судебно-кибернетическая экспертиза – инструмент борьбы с преступностью ХХI века. // Конфидент, 1999. – № 3. – .
Серова Е.Б. Некоторые вопросы подготовки программно-технической экспертизы по делам о преступлениях, совершаемых организованными преступными группами. // «Компьютеры в уголовном судопроизводстве». Материалы криминалистического семинара 31 марта 1997 г. – СПб.: Санкт-Петербургский юридический институт Генеральной прокуратуры РФ, 1998. – .
Собецкий И.В. Организация технико-криминалистической экспертизы компьютерных систем. – .
Усов А.И. Применение специальных познаний при раскрытии и расследовании преступлений, сопряженных с использованием компьютерных средств. – .
Перейти в раздел «Методика судебных компьютерно-технических экспертиз» проекта «Федеральный правовой портал: Компьютерные преступления: квалификация, расследование, профилактика»:
http://www.cyber-crimes.ru/liblary/arti . rtiza.html
В разделе «Уголовный процес; криминалистика и судебная экспертиза; оперативно-розыскная деятельность (12.00.09)» представлены, в том числе, работы:
Васильев А.А. Судебная аппаратно-компьютерная экспертиза: правовые, организационные и методические аспекты: 12.00.09. – М., 2003.
Кукарникова Т.Э. Электронный документ в уголовном процессе и криминалистике: 12.00.09. – Воронеж, 2003.
Милашев В.А. Проблемы тактики поиска, фиксации и изъятия следов при неправомерном доступе к компьютерной информации в сетях ЭВМ: 12.00.09. – М, 2004.
Усов А.И. Концептуальные основы судебной компьютерно-технической экспертизы: 12.00.09. – М., 2002.
Яковлев А.Н. Теоретические и методические основы экспертного исследования документов на машинных носителях информации: 12.00.09. – Саратов, 2000.
Перейти в раздел «Уголовный процес; криминалистика и судебная экспертиза; оперативно-розыскная деятельность (12.00.09)» проекта «Федеральный правовой портал: Компьютерные преступления: квалификация, расследование, профилактика»:
http://www.cyber-crimes.ru/liblary/thesis/12_00_09.html
В разделе «Примерные методические программы по подготовке, переподготовке и повышению квалификации сотрудников органов внутренних дел в области информационной безопасности и борьбы с компьютерной преступностью» представлены, в том числе, методические программы:
Типовая программа подготовки экспертов СКТЭ по специальности «Исследование информационных компьютерных средств» / Усов А.И. Судебно-экспертное исследование компьютерных средств и систем: Основы методического обеспечения: Учебное пособие // Под ред. проф. Е.Р. Россинской. – М.: Издательство «Экзамен», издательство «Право и закон», 2003. – С. 355 – 364.
Примерная программа «Судебная компьютерно-техническая экспертиза» переподготовки и повышения квалификации по специальности 350600 – “Судебная экспертиза”. – М.: ИМЦ ГУК МВД России, 2003. – 30 с.
Перейти в раздел «Примерные методические программы» проекта «Федеральный правовой портал: Компьютерные преступления: квалификация, расследование, профилактика»: http://www.cyber-crimes.ru/liblary/Programs.html
Igor Mikhaylov » 19 ноя 2006, 11:45
Азбука Криминалистики. Наследники Холмса
Все об истории и сегодняшнем состоянии криминалистики в мире
История экспертно-криминалистической службы органов внутренних дел Российской Федерации ведет свой отсчет с 1 марта 1919 года, когда при Московском Уголовном розыске — знаменитом МУРе — было организовано бюро дактилоскопической регистрации.
С развитием науки и, в первую очередь, естествознания, возможности использования научно-технических средств и методов в борьбе с преступностью значительно расширились. Сегодня в криминалистической службе эксперты работают в лабораториях: дактилоскопической, трасологической, баллистической, почерковедческой, технического исследования документов, медико-криминалистической, физико-химической, пищевой, фоноскопической, пожарно-технической и других.
Этот сайт создан на основе материалов из общедоступных источников, какими являются свободно продающиеся книги по криминалистике. Так что это, в полной мере, «азбука криминалистики». Однако часть материалов сайта (в основном из разделов История и Советы эксперта) являются эксклюзивными и представлены для того, чтобы передать наш богатый опыт и практические знания людям в той их части, которая может оказаться им полезна. Естественно, мы не раскрываем здесь профессиональные тайны. Есть множество вещей, которые не являясь секретными все равно будут интересны людям и принесут им немалую пользу.
Надеемся, что этот сайт будет очень интересен и полезен как обычным людям, так и студентам — будущим юристам, которые обязательно изучают курс «Криминалистика». Изучая материалы этого сайта легко будет написать рефераты по криминалистике или курсовые по криминалистике.
Igor Mikhaylov » 19 ноя 2006, 16:39
Центр исследования компьютерной преступности
Digital Evidences is the international board about digital evidences.
Igor Mikhaylov » 19 ноя 2006, 16:44
Юридическая фирма «Интернет и Право»
Это- некоммерческий, научно-практический, информационный ресурс юридической фирмы «Интернет и Право». Хочется надеяться, что человек, интересующийся юридическими аспектами компьютерной индустрии найдет здесь интересующую его информацию. Назначение сайта — повышение юридической грамотности пользователей Сети.
Digital Evidences is the international board about digital evidences.
Igor Mikhaylov » 18 фев 2010, 18:20
Группа Информационной Безопасности (Group-IB)
Группа Информационной Безопасности (Group-IB) была образована в 2003 году и стала первой в России и одной из первых в странах СНГ компанией, профессионально занявшейся расследованиями компьютерных инцидентов и преступлений.
Group-IB разрабатывает методики расследования современных компьютерных преступлений, например, таких как DDoS атаки.
Group-IB поддерживает несколько некоммерческих исследовательских проектов, направленных на борьбу с кибер преступностью: Russian honey pot project, RISSPA RTAM Group и др.
Digital Evidences is the international board about digital evidences.
Источник статьи: http://www.computer-forensics-lab.org/forum/viewtopic.php?t=3
2. Рода и виды судебной экспертизы компьютерной техники и информации
Вместе с различными вариантами наименования рода судебной экспертизы, объектами исследования которой являются средства компьютерной техники и компьютерная информация, предлагаются и различные виды ее классификации.
— техническая экспертиза компьютеров и их комплектующих, которая проводится в целях изучения конструктивных особенностей и состояния компьютера, его периферийных устройств, магнитных носителей, компьютерных сетей, а также причин возникновения сбоев в работе вышеуказанного оборудования;
— экспертиза данных программного обеспечения, осуществляемая в целях изучения информации, хранящейся в компьютере и на иных носителях [68] .
Рассматривая компьютерно-техническую экспертизу как самостоятельный род судебных экспертиз, Е. Р. Россинская и А. И. Усов, выделяют 4 её вида:
1) аппаратно-компьютерная экспертиза;
2) программно-компьютерная экспертиза;
3) информационно-компьютерная экспертиза (данных);
4) компьютерно-сетевая экспертиза [69] .
Предложенная Е. Р. Россинской и А. И. Усовым классификация принята за основу при описании судебных экспертиз, назначаемых для исследования средств компьютерной техники и информации, большинством авторов, занимающихся исследованием проблем борьбы с преступностью в сфере компьютерной информации [70] . В связи с этим представляется необходимым привести краткое описание видов, включенных в эту классификацию.
Аппаратно-компьютерная экспертиза заключается в проведении диагностического исследования аппаратных компонентов средств компьютерной техники, исследовании машинных носителей информации. К аппаратным средствам относятся: электрические, электронные и механические схемы, блоки, приборы и устройства, составляющие материальную часть компьютерной системы.
Сущность аппаратно-компьютерной экспертизы заключается в исследовании технических (аппаратных) средств компьютерной системы. Предметом данного вида КТЭ являются факты и обстоятельства, устанавливаемые на основе исследования закономерностей разработки и эксплуатации аппаратных средств компьютерной системы – материальных носителей информации о факте или событии уголовного либо гражданского дела.
К основным задачам судебной аппаратно-компьютерной экспертизы относятся:
— определение вида (типа, марки), свойств аппаратного средства, а также его технических и функциональных характеристик для решения определенных функциональных задач (например, обработки графических изображений с высоким разрешением);
— определение фактического состояния и исправности аппаратного средства, наличие физических дефектов;
— определение структуры механизма и обстоятельства события по его результатам за счет использования выявленных аппаратных средств, как по отдельности, так и в комплексе в составе компьютерной системы;
— установление причинной связи между использованием конкретных возможностей аппаратных средств и результатами их применения;
— определение условий (обстановки) применения аппаратных средств, восстановление хронологической последовательности их использования, места действия и функционирования;
— установление групповой принадлежности и отождествление конкретных аппаратных средств по выделенным признакам – общим и частным (например, серийные номера, емкость и структура накопителя, среднее время доступа к данным, скорость передачи данных, способ и плотность магнитной записи и др.) [71] .
Более подробно этот вид КТЭ рассмотрен в исследовании А.А. Васильева «Судебная аппаратно-компьютерная экспертиза: правовые, организационные и методические аспекты» [72] .
Следующий вид экспертиз – программно-компьютерная. В.Е. Козлов определяет данный вид КТЭ как исследование операционных систем [73] , однако круг её объектов значительно шире. Объектами программно-компьютерной экспертизы являются:
— системное программное обеспечение (операционные системы);
— вспомогательные программы – утилиты;
— средства разработки и отладки программ;
— служебная системная информация;
— прикладное программное обеспечение (приложения общего назначения – текстовые и графические редакторы системы управления базами данных, электронные таблицы, редакторы презентаций и т. д.; приложения специального назначения для решения задач в определенной области науки, техники, экономики и т. д.) [74] .
Предметом судебной программно-компьютерной экспертизы являются закономерности разработки (создания) и применения (использования) программного обеспечения компьютерной системы, представленной на исследование в целях установления истины по гражданскому или уголовному делу. Целью судебной программно- компьютерной экспертизы является изучение функционального предназначения, характеристик и реализуемых требований алгоритма и структурных особенностей, текущего состояния, представленного на исследование программного обеспечения компьютерной системы.
К задачам программно-компьютерной экспертизы относятся:
— определение основных характеристик операционной системы;
— выявление и исследование функциональных свойств, а также настроек программного обеспечения, времени его инсталляции;
— определение фактического состояния программного объекта, состава соответствующих ему файлов, их параметров, способов ввода, вывода информации, наличия или отсутствия каких-либо отклонений от типовых параметров (например, недокументированных функций);
— выявление признаков отношения программного обеспечения к системному или прикладному и т.д.;
— диагностирование алгоритма программного продукта, видов использованных при его разработке инструментальных средств, а также типов поддерживаемых аппаратно-программных платформ;
— установление первоначального состояния программы (например, при начальной инсталляции) и выявление возможных последующих изменений;
— определение целей и условий изменения свойств и состояния программного обеспечения (преднамеренное изменение каких-либо функций, конфигурирование на конкретную аппаратную среду и др.), установление способа осуществления изменений в программе (например, воздействием вредоносной программы, ошибками программной среды, путем несанкционированного доступа);
— определение свойств и состояния программы по ее отображению в обрабатываемых данных (по содержанию служебных, системных файлов), соответствия обеспечивающих аппаратных средств установленному программному обеспечению и исполняемым задачам;
— выявление структуры механизма события по результатам работы программного обеспечения и в динамике;
— установление причинной связи между действиями пользователя компьютерной системы в отношении программного обеспечения и наступившими последствиями.
Также могут решаться идентификационные задачи, связанные с индивидуальным отождествлением оригинала программы и ее копии на носителях данных компьютерной системы, установлением групповой принадлежности программного обеспечения по общим признакам, выявления частных признаков программы, позволяющих впоследствии идентифицировать ее авторство, а также взаимосвязь с информационным обеспечением исследуемой компьютерной системы. Кроме того, в рамках экспертного исследования программных средств могут устанавливаться признаки контрафактности представленных на экспертизу информационно-программных продуктов.
В своем исследовании А.И. Семикаленова в составе программно- компьютерной экспертизы выделяет экспертизу системного программного обеспечения; экспертизу сервисов Web-серверов; программно- компьютерную экспертизу системной безопасности; программно- компьютерную экспертизу баз и банков данных [75] .
Информационно-компьютерная экспертиза (данных) представляет собой исследование системы управления базой данных (СУБД) и является ключевым видом КТЭ, так как позволяет завершить целостное построение доказательственной базы путем окончательного разрешения большинства диагностических и идентификационных вопросов, связанных с компьютерной информацией. Целью этого вида экспертиз является поиск, обнаружение, восстановление, анализ и оценка информации, подготовленной пользователем или порожденной (созданной) программами для организации информационных процессов в компьютерной системе.
Оставляя за программно-компьютерной экспертизой исследование операционных систем, как упоминалось выше, В. Е. Козлов исследование прикладного программного обеспечения отводит иформационно- компьютерной экспертизе. Однако более правильной представляется точка зрения Е.Р. Россинской, которая считает, что объектами судебной информационно-компьютерной экспертизы (данных) являются файлы, подготовленные с использованием различных программных средств [76] .
Основными задачами судебной информационно-компьютерной экспертизы являются:
— установление свойств и вида представления информации в компьютерной системе при ее непосредственном исследовании;
— определение фактического состояния информации, выяснение наличия или отсутствия в ней отклонений от типового;
— установление первоначального состояния информации на носителе данных;
— определение условий изменения свойств исследуемой информации (например, выяснение условий внесения изменений в содержимое файла, запись на пластиковой карте и т.п.);
— определение механизма и обстоятельств события (дела), установление отдельных этапов (стадий, фрагментов) события по имеющейся информации на носителе данных или ее копиям (например, подготовка нескольких копий делового письма и его рассылка факсимильной программой в разные адреса);
— определение времени (периода), хронологической последовательности воздействия на информацию (например, установление стадий подготовки изображений денежных знаков, оттисков печатей т.п.);
— выявление следов возможных участников события по признакам, характеризующим определенные профессиональные и пользовательские навыки, умения, привычки, установление условий, при которых была создана (модифицирована, удалена, скопирована) информация;
— установление причинной связи между имевшими место манипуляциями с компьютерной информацией и наступившими последствиями (например, связи между удалением информации и нарушением работоспособности у компьютерной системы);
— диагностирование возможных последствий по совершенному действию и возможности его совершения;
— отождествление содержания файла с данными в копии исследуемого файла, либо в представленном документе.
Групповая принадлежность может устанавливаться при поиске общего источника происхождения информации на носителях данных компьютерной системы, а также при определении класса, вида и типа программного обеспечения, при помощи которого были созданы исследуемые данные.
Четвертый вид КТЭ – компьютерно-сетевая экспертиза. В отличие от предыдущих основывается на функциональном предназначении компьютерных средств, реализующих какую-либо сетевую информационную технологию. Она выделена в отдельный вид в связи с тем, что лишь использование специальных знаний в области сетевых технологий позволяет соединить воедино полученные объекты, сведения о них и эффективно решить поставленные экспертные задачи.
Объект применения специальных познаний этой СКТЭ может быть разным – от компьютеров пользователей, подключенных к Internet, до различных ресурсов поставщика сетевых услуг (провайдера Internet) и предоставляемых им информационных услуг (электронная почта, служба электронных объявлений, телеконференции, WWW-сервис и пр.).
В связи со стремительным развитием современных телекоммуникаций и связи, обособлением предмета исследований в компьютерно-сетевой экспертизе можно выделить как подвид судебную телематическую экспертизу, применяемую для исследования средств телекоммуникаций и подвижной связи как материальных носителей информации о факте или событии какого-либо дела.
Задачи судебной компьютерно-сетевой экспертизы охватывают практически все основные задачи основных родов КТЭ, главным отличием является необходимость использования специальных познаний в области сетевых технологий, которая позволяет делать выводы из полученных сведений об объектах судебного исследования.
Экспертизой этого рода решаются следующие задачи:
— определение свойств и характеристик аппаратного средства и программного обеспечения, установление места, роли и функционального предназначения исследуемого объекта в сети (например, для программного средства в отношении к сетевой операционной системе; для аппаратного средства – отношение к серверу, рабочей станции, активного сетевого оборудования и т. д.);
— выявление свойств и характеристик вычислительной сети, установление ее архитектуры, конфигурации, выявление установленных сетевых компонент, организации доступа к данным;
— определение соответствия выявленных характеристик типовым для конкретного класса средств сетевой технологии, определение принадлежности средства к серверной или клиентской части приложений;
— определение фактического состояния и исправности сетевого средства, наличия физических дефектов, состояния системного журнала, компонент управлением доступа;
— установление первоначального состояния вычислительной сети в целом и каждого сетевого средства в отдельности, возможного места покупки (приобретения), уточнение изменений, внесенных в первоначальную конфигурацию (например, добавление дополнительных сетевых устройств, устройств расширения на сервере либо рабочих станциях и проч.);
— определение причин изменения свойств вычислительной сети (например, по организации уровней управления доступом), установление факта нарушения режимов эксплуатации сети, фактов (следов) использования внешних («чужих») программ и т, п.;
— определение свойств и состояния вычислительной сети по ее отображению в информации носителей данных (например, RAID-массивы; жесткие диски, флоппи-диски, СD-RОМ, ZIР-накопители и т. п.);
— определение структуры механизма и обстоятельства события в сети по его результатам (например, сценария несанкционированного доступа, механизма распространения в сети вредоносных функций и т. д.);
— установление причинной связи между использованием конкретных аппаратно-программных средств вычислительной сети и результатами их применения [77] .
Схожей с описанной классификацией Е.Р. Россинской, является классификация судебных компьютерно-технических экспертиз, представленная В.А. Мещеряковым, который выделяет в ней следующие направления:
— интегральная компьютерно-техническая экспертиза [78] .
Первые три вида классификации по своим объектам и задачам во многом совпадают с аналогичными видами классификации, предложенной Е.Р. Россинской. Приведем их краткую характеристику:
— аппаратно-техническая экспертиза проводится для оценки технических возможностей средств вычислительной техники;
— программно-технологическая экспертиза проводится для оценки основных функциональных свойств программного обеспечения, установленного на том или ином вычислительном устройстве;
— информационная экспертиза проводится для оценки основных характеристик информационного обеспечения, хранимого на магнитном носителе или в составе технических средств вычислительной техники (ПЗУ, смарт-карты, flash-BIOS).
Заслуживает особого внимания четвертый вид этой классификации – интегральная компьютерно-техническая экспертиза, которая, как нам представляется, является альтернативой назначения комплексных аппаратно-программных и информационных экспертиз.
Согласно В.А. Мещерякову интегральная компьютерно- техническая экспертиза проводится для общей оценки возможности и действительного использования представленного вычислительного комплекса для определенных функциональных задач и призвана ответить на следующие вопросы:
1) возможно ли осуществление заданного вида деятельности с использованием представленных технических средств и размещенного на нем информационного и специального программного обеспечения (например, ведение «двойного» бухгалтерского учета, перехват электронной корреспонденции, передаваемой по информационной сети, подготовка и изготовление поддельных денежных знаков и т.п.)?
2) каковы последствия (ущерб) применения комплекса технических средств, вредоносных программ в данной автоматизированной информационной системе, сети ЭВМ? [79]
В классификации В.А. Мещерякова отсутствует вид экспертизы, которая бы занималась исследованием вопросов, связанных с использованием сетевых технологий. Рассмотрение этих вопросов (исследование возможностей технических комплексов или предназначения программного обеспечения) предоставляется соответствующим видам компьютерно-технических экспертиз.
Отчасти такой подход можно признать обоснованным, в рамках названных видов экспертиз можно провести исследования и ответить на вопросы, разрешение которых другие авторы ставят перед сетевой экспертизой. В некоторых случаях может оказаться достаточным без привлечения специалистов в области сетевых технологий выяснить:
— возможен ли с помощью представленного технического комплекса выход в Интернет? (аппаратно-техническая экспертиза);
— предназначение программных средств, например, получение электронной почты и т.п. (программно-технологическая экспертиза);
— наличие на представленном магнитном носителе информации, свидетельствующей о работе в сети Интернет в заданный период времени (информационная экспертиза).
Но не всегда это может удовлетворить интересы следствия, такая ситуация может возникнуть при расследовании преступления в сфере компьютерной информации, совершенной с помощью (опосредованного) удаленного доступа. Тогда появляется необходимость использования специальных познаний в области сетевых технологий, для обобщения сведений об объектах исследования, формировании представления о целой картине происшествия и формулировании окончательных выводов.
В связи с этим представляется интересным взгляд на сетевую экспертизу зарубежных авторов, занимающихся исследованиями в области компьютерной безопасности и защиты информации. Они используют термин «сетевая судебная экспертиза» и определяют ее «как изучение сетевого трафика в поисках истины в гражданских, криминальных и административных вопросах для защиты пользователей и ресурсов от эксплуатации, посягательства на частную жизнь и любого другого преступления, обусловленного непрерывным ростом сетевых соединений» [80] .
Однако задачи, которые они ставят перед «сетевой судебной экспертизой» носят иной характер, чем это принято в отечественной теории. В качестве способа решения поставленных задач служит не поиск и исследование имеющихся объектов и сведений о них, а мониторинг сетевого трафика, отслеживание действий правонарушителя в сети. «Использование информации о прошлых событиях для идентификации и мониторинга атак может помочь перехватить любителей, которые повторно используют одну и ту же тактику, но вы должны быть способны выполнить так называемую настоящую сетевую судебную экспертизу для перехвата искушенных профессионалов. Чтобы развить подобный навык, необходимо научиться предвидеть действия атакующего и сравнивать эти предположения с наблюдаемым трафиком. Распознавание шаблонов поведения трафика является важным умением сетевой судебной экспертизы» [81] .
Еще одной близкой к описанным выше классификациям Е.Р. Россинской и В.А. Мещерякова является классификация, предложенная Ю.В. Гаврилиным. В своей диссертационной работе он выделяет следующие виды компьютерно-технических экспертиз:
1) техническая экспертиза компьютеров и периферийных устройств. Назначается и проводится в целях изучения технических особенностей компьютера, его периферийных устройств, технических параметров компьютерных сетей, а также причин возникновения сбоев в работе компьютерного оборудования;
2) техническая экспертиза оборудования защиты компьютерной информации. Проводится в целях изучения технических устройств защиты информации, используемых на данном предприятии, организации, учреждении или фирме;
3) экспертиза машинных данных и программного обеспечения ЭВМ. Осуществляется в целях изучения информации, хранящейся в компьютере и на магнитных носителях, в том числе изучение программных методов защиты компьютерной информации;
4) экспертиза программного обеспечения и данных, используемых в компьютерной сети. Проводится в целях изучения информации, которая обрабатывается с помощью компьютерных сетей, эксплуатируемых на данном предприятии, организации, учреждении, фирме или компании [82] .
В отличие от описанных выше экспертиз Ю.В. Гаврилин объединяет исследования информации (машинных данных) и программного обеспечения в один вид экспертизы, а также, предлагает исследование аппаратных средств компьютерной защиты информации выделить в отдельный вид экспертного исследования.
В своей работе, посвященной экспертному исследованию документов на машинных носителях информации, А.Н. Яковлев предлагает уточнить классификацию разработанную Е.Р. Россинской и ввести в нее новый вид – «судебная компьютерно-техническая экспертиза документов на машинных носителях информации». Предложенный им вариант выглядит следующим образом:
— техническая экспертиза компьютеров и их комплектующих;
— экспертиза служебных данных и программного обеспечения;
— экспертиза документов на машинных носителях информации [83] .
Во многом отличной от описанных выше классификаций является классификация, предложенная экспертами СЗ РЦСЭ. При этом они пользуются названием «судебная информационно-технологическая экспертиза (СИТЭ)» .
Согласно этой классификации общий класс экспертиз информации, информационных систем, технологий и следов их применения предлагается поделить на семь родов – по более узкому родовому объекту экспертных исследований. Каждый род, в свою очередь, делится на виды и подвиды, как это принято в традиционной классификации судебных экспертиз.
Первые три рода (1, 2, 3) СИТЭ соответствуют трем родовым объектам исследования, чаще других встречающихся в экспертной практике судебно-экспертных учреждений (СЭУ) России:
Род 1. Экспертиза изолированных компьютерных систем.
Род 2. Экспертиза компьютерных и иных информационных сетей.
Род 3. Экспертиза устройств информационной безопасности и специальных технических средств негласного получения информации (УИБ и СТС НПИ).
Подразделение этих трех родов экспертизы производится по одной и той же схеме – по основным направлениям решаемых задач, интересующих следствие и суд:
Вид 1. Криминалистическое исследование.
Вид 2. Технико-диагностическое исследование.
Вид 3. Телеологическое исследование.
Вид 4. Товароведческое исследование.
Род 4. Экспертиза средств массовой информации.
Вид 1. Определение адекватности отображения средством массовой информации (СМИ) фактически происшедшего события.
Вид 2. Исследование влияния продукции СМИ на социальный статус отображаемого объекта (субъекта).
Вид 3. Исследование наличия в продукции СМИ определенных программ, установок, целей (агитация, пропаганда и пр.), влияющих на поведение реципиента.
Вид 4. Исследование наличия в продукции СМИ технических и технологических средств, влияющих на подсознание реципиента (25-й кадр и др.).
Род 5. Экспертиза объектов интеллектуальной собственности.
Вид 1. Исследование программного обеспечения ЭВМ и баз данных.
Вид 2. Исследование литературных, аудиовизуальных, музыкальных, иных произведений (в том числе устных и письменных выступлений, публикаций в электронных сетях).
Вид 3. Исследование объектов смежных прав: фонограмм, передач эфирного вещания, передач кабельного вещания, исполнений, постановок.
Вид 4. Исследование средств индивидуализации участников гражданского оборота товарных знаков, знаков обслуживания, фирменных наименований, наименований мест происхождения товаров.
Вид 5 – Исследование контрафактных объектов интеллектуальной собственности.
Вид 6. Оценка результатов интеллектуальной деятельности.
Объекты интеллектуальной собственности исследуются в целях идентификации их содержания, определения источника их происхождения, идентификации их изготовителей и правообладателей.
Род 6. Экспертиза социально опасных, вредных, ограниченных в обороте информационных объектов.
Вид 1. Исследование вредоносных программ для ЭВМ.
Вид 2. Исследование тайной информации: государственной тайны, служебной тайны, коммерческой тайны, банковской тайны, тайны личной жизни, тайны переписки.
Вид 3. Исследование рекламы.
Вид 4. Исследование продукции и зрелищных мероприятий сексуально-эротического характера.
Род 7. Экспертиза иных информационных систем и объектов.
Вид 1. Исследование криптографических систем и декодирование зашифрованной информации.
Вид 2. Исследование контрольно-кассовых машин (ККМ).
Вид 3. Исследование иных устройств, содержащих микропроцессоры и (или) обладающих памятью.
Вид 4. Исследование информационной составляющей события и места преступления (иного правонарушения), в том числе криминалистическое исследование интеллектуальной деятельности, ее следов и результатов.
Рассматривая данную классификацию, следует обратить внимание на видовое деление первых трех родов выделенных в ней, как на получившие наибольшее развитие в практике. Как уже было сказано выше, деление производится не по видовому объекту, а по основным направлениям решаемых задач.
К задачам первого вида криминалистического исследования относятся:
— идентификация компьютерных и иных информационных систем по следам их применения на различных материальных носителях информации (бумажных документах, магнитных и компакт-дисках и др.);
— идентификация информационных систем по их памяти;
— исследование элементного состава, структуры, эктогенеза и иных свойств информационной системы в целях ее идентификации;
— исследование следов деятельности оператора информационной системы в целях идентификации его личности;
— исследование программ для ЭВМ и баз данных в целях установления их исполнителей.
— обнаружение латентной, преобразованной и закодированной информации на материальных носителях;
— исследование фрагментированной информации в целях реконструкции единого целого источника;
— декодирование и интерпретация информации, содержащейся в системе, в целях криминалистической реконструкции происшествия, выявления внутренних и внешних семантических связей;
— исследование элементного состава, структуры, актогенеза [84] информационной системы в целях моделирования технологии происшествия (события);
— определение устойчивых параметров информационной системы в целях ее криминалистической классификации и криминалистического прогнозирования.
Объектами второго вида – технико-диагностического исследования прежде всего служат компьютерно-технические и иные аппаратные средства.
Технико-диагностическое исследование предполагает решение следующих задач:
— определение технического состояния, исправности, работоспособности системы и ее составных частей;
— причины выхода из строя какого-либо элемента системы;
— техническая классификация системы;
— поиск заданной информации на материальных носителях, восстановление уничтоженной информации автоматизированными техническими средствами (без криминалистического анализа информации);
— диагностика устройств и систем коммуникации в целях установления технической возможности информационного обмена в заданных условиях;
— исследование программ для ЭВМ и баз данных в целях определения их предназначения, работоспособности, иных технических характеристик.
3 вид – технологические исследования. Основным объектом экспертного исследования здесь становится не столько сама система, сколько технология – способ решения какой-либо производственной или иной задачи с применением данной информационной системы.
Назовем некоторые возможные объекты экспертного технологического исследования:
— технология изготовления документа (пакета документов) с помощью компьютера;
— технология передачи документа (иной информации) на расстояние с помощью систем связи (компьютерных сетей);
— технология городской, междугородной (международной), мобильной телефонной связи;
— технология ведения бухгалтерского учета на предприятии с помощью компьютерной системы;
— компьютеризированная технология деятельности банка, медицинского учреждения, предприятия или иной организации, работающей с потоками клиентов;
— технология оплаты услуги, например оплата в Интернет-магазине, оплата услуг таксофонной связи (телефонных переговоров): легальная – с помощью штатных таксофонных карт, нелегальная с помощью самодельных эмуляторов;
— технология кражи или разрушения информации (например, в сети Internet);
— технология скрытого получения информации;
— технология компьютерной полиграфии (верстка и редактирование текста, сканирование и создание изображений, цветоделение и цветопередача, создание оригинал-макета, печать);
— технология проведения лотереи с помощью компьютерной системы;
— технология разработки программного продукта.
4 вид – товароведческое исследование обычно опирается на результаты технических и технологических исследований. Как и в товароведческой экспертизе материальных объектов, информационная система здесь изучается с точки зрения ее потребительских свойств. Экспертом решаются задачи классификации товара (например, компьютера, веб-сайта, автомобильной сигнализации, микропроцессорной системы), задачи определения его качества и стоимости [85] .
Разработка классификации экспертизы компьютерной техники и информации имеет перед собой определенные трудности, вызванные постоянным расширением перечня возможных объектов экспертного исследования, ростом качественного и количественного уровня применения компьютерных технологий в различных областях человеческой деятельности. При всей своей несомненной важности для науки описанные выше классификации имеют определенный недостаток – все они могут носить лишь условный характер. Даже такое, на первый взгляд, простое деление на экспертизу техники и экспертизу программно-информационных объектов, несет в себе значительные сложности и требует проведения комплексных исследований. Экспертиза одного зачастую невозможна без экспертного исследования другого. Это обусловлено тем, что компьютерная информация не может существовать без средств компьютерной техники, носителей, а любая самая совершенная техника без соответствующего программного обеспечения – неработоспособный набор микросхем.
Сказанное выше можно иллюстрировать следующей рекомендацией Е.Р. Россинской и А.И. Усова: «Практика показывает, что рассмотренные выше основные виды СКТЭ при производстве большинства экспертных исследований применяются комплексно и, чаще всего, последовательно. Поэтому в настоящее время в постановлении на производство судебной экспертизы целесообразно указывать родовое наименование экспертизы, т.е. ”произвести судебную компьютерно-техническую экспертизу”» [86] .
Развитие и совершенствование экспертизы компьютерной техники и информации находится в прямой зависимости от научно-технического прогресса в сфере компьютерных и информационных технологий. Следствием этой зависимости является то, что создание окончательной совершенной классификации в ближайшее время не представляется возможным.
При отсутствии единого понимания не только объектов и методов проведения экспертиз такого рода, но и самого их существа, принятие и использование какой-либо жесткой классификации может привести к существенному сужению возможностей применения специальных знаний при производстве экспертных исследований компьютерной техники и информации.
Соглашаясь с тем, что «в постановлении на производство судебной экспертизы целесообразно указывать родовое наименование экспертизы», для получения представления о возможностях исследуемого рода экспертизы предлагаем в рекомендациях для практических работников по использованию специальных знаний в сфере компьютерных технологий при расследовании преступлений использовать не классификацию, а обозначать основные объекты и решаемые экспертизой задачи.
Понятие объекта экспертного исследования является основным в экспертной практике. Р.С. Белкин определяет его как «материальный объект, содержащий информацию, необходимую для решения экспертной задачи» [87] .
Согласно отечественному законодательству объектами исследований являются вещественные доказательства, документы, предметы, животные, трупы и их части, образцы для сравнительного исследования, а также материалы дела, по которому производится судебная экспертиза [88] .
Объекты экспертизы компьютерной техники и информации имеют свою специфику, нередко в качестве таковой выступает информация, а не материальный объект ее содержащий. Так, например, при исследовании информации, содержащейся на жестком диске, может быть создан его образ на другом носителе, который и будет подлежать исследованию.
Подробно понятие объекта СКТЭ и его классификация рассматриваются Е.Р. Россинской и А.И. Усовым [89] .
Анализ практики производства экспертиз компьютерной техники и информации, а также обобщение сведений, имеющихся в специальной литературе, позволяет выделить следующие виды объектов исследования:
— операционные системы, программное обеспечение комплектующих и периферийных устройств, прикладные программы, а также различная вспомогательная компьютерная информация, необходимая для их функционирования;
— базы данных – компьютерные данные и сведения, представленные в форматах, обеспечивающих их автоматизированное хранение, поиск, обработку и передачу (.db, .mdb ,.dbf, .mdf и др.);
— текстовые документы и электронные таблицы и т.п. (файлы с расширениями .txt, .doc, .rtf, .xml., xls, .ppt, .htm, .html и др.);
— файлы с графическими изображениями (.gif, .img, .bmp, .jpg, .tif, .pcx, .psd, и др.);
— аудио-визуальная информация, представленная в форматах мультимедиа видео- (.avi, .mpg, .mov и др.) и звукозаписи (.wav, .mid, .mp3);
— файлы, создаваемые программами архиваторами, для сжатия одного или нескольких файлов, доступ к таким файлам может быть ограничен паролем (.arj, .arc, .zip, .rar, .tar, .7z и т.д.);
— файлы исходных тестов программ, созданных на различных языках программирования (.asm, .c, .cpp, .pas, .vbs, .bas и т.д.);
— любая компьютерная информация, к которой можно отнести не только информацию на компьютерных носителях, но и информацию, содержащую тексты программ, баз данных и комментарий к ним на любых других носителях (бумага, видео- и аудиозаписи и т.п.)
— компьютерные системы (компьютеры и их компоненты, периферийные устройства, вычислительные системы и сети, множительная техника и т.д.);
— контрольно-кассовые машины, игровые автоматы, мобильные и базовые станции электронные органайзеры, мобильные телефоны, магнитные и ЧИП-карты, SIM-карты [90] , иные устройства, содержащие микропроцессоры и (или) обладающие памятью;
— физические носители информации различной природы (магнитные, оптические и т.п.);
— распечатки компьютерной информации; документы, изготовленные с использованием средств компьютерной и копировальной техники;
— техническая документация на отдельные составляющие компьютера или на весь компьютер в целом (технические описания, руководства по эксплуатации, иные документы), документация на программные продукты (руководства пользователя, инструкции по установке, иные документы);
— изъятая техническая литература, имеющая отношение к делу;
— пользователи автоматизированных информационных систем (разработчики компьютерных программ, операторы вычислительных систем, администраторы вычислительных сетей и т.п.) [91] .
Криминалистической теорией среди основных задач, разрешаемых судебными экспертизами, по характеру основных целей экспертного исследования выделяются:
— идентификационные задачи, направленные на отождествление объекта по его отображениям, установление групповой принадлежности;
— диагностические задачи – состоят в выявлении механизма события; времени, способа и последовательности действий, событий, явлений, причинных связей между ними; природы, качественных и количественных характеристик объектов, их свойств и признаков, не поддающихся непосредственному восприятию и т.д.
— классификационные задачи – направлены на установление соответствия объекта определенным заранее заданным характеристикам и отнесение его на этом основании к определенному классу, роду, виду.
Нередко экспертное исследование компьютерной информации проводится с целью обнаружения заданной информации в компьютерной системе или на магнитных, оптических и других машинных носителях. Это позволяет выделить самостоятельную разновидность задач, свойственную экспертным исследованиям компьютерной информации – поисково – идентификационные задачи.
В методических рекомендациях и другой специальной литературе, посвященной расследованию преступлений в сфере компьютерной информации, приводится немало типовых вопросов, ставящихся на разрешение соответствующей экспертизы [92] . Однако пользоваться ими следует осторожно поскольку, вопросы, которые ставятся на разрешение эксперта, не должны выходить за рамки его компетенции, не могут носить правового характера и должны быть правильно сформулированы. С этой целью перед вынесением постановления о назначении экспертизы следует проконсультироваться со специалистом (экспертом, который будет проводить исследование) в отношении вопросов, ставящихся на разрешение.
Задачи, ставящиеся этими вопросами согласно описанной классификации можно сгруппировать следующим образом:
— установление места и времени сборки компьютера, его комплектующих, периферийных устройств;
— сопоставление и отождествление изображений денежных билетов, печатей, документов и т.п., хранящихся в исследуемой компьютерной системе (на машинном носителе информации) и их аналогов, созданных с помощью средств множительной техники;
— идентификации печатающего устройства;
— установление тождественности программного продукта, представленного на исследование с программным продуктом, представленным в качестве образца;
— определение и изучение конструктивных особенностей компьютеров, технических параметров оборудования и других устройств, обеспечивающих их работу, установление их состояния;
— установление неисправности объектов, предоставленных для исследования и причины неполадок;
— определение возможности выполнения определенных действий с помощью представленного программно-аппаратного комплекса (печать изображений денежных билетов, выход в Интернет, запись оптических дисков и т.п.);
— определение возможности выполнения определенных действий с помощью представляемой на исследование программы (работа в сети Интернет, обработка изображений и т.п.);
— установление факта осуществления определенных действий с использованием представляемого на исследование программно- аппаратного комплекса (выход в Интернет и т.п.), установление даты, времени и других обстоятельств совершения этих действий;
— установление факта корректировки файлов, объёмов корректировок, способов;
— выявление в представленном на исследование программном продукте признаков программы, заведомо приводящей к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ либо их сети;
— установление каналов доступа к защищаемой информации и путей ее возможной утечки;
— выявление аппаратных средств для несанкционированного доступа к данным;
— установление наличия пароля при доступе к информации;
— обнаружение (расшифровка закодированных данных, восстановление данных, подвергшихся удалению или модификации) в представленной на исследование компьютерной системе, машинном носителе и т.п.:
а) информации о финансово-хозяйственной деятельности;
б) следов работы пользователя в сети Интернет;
в) файлов, содержащих изображения, представляющие интерес для следствия (фрагменты изображений);
г) сведений о каком-либо интересующем следствие объекте, событии или явлении;
д) программ, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ либо их сети;
— установление пользователя ЭВМ;
— распечатка информации или её части;
— определение уровня профессиональной подготовки лица в области программирования и работы с вычислительной техникой и т.п.;
— установление родовой или видовой принадлежности представляемого на исследование программного обеспечения;
— установление соответствия технических характеристик объектов предоставленных на исследование с данными, содержащимися в прилагаемой технической документации;
— определение стоимости компьютерной техники;
— установление авторства программного продукта;
— определение стоимости программного продукта и т.п.
Предложенный перечень задач не является исчерпывающим, и может быть изменен и дополнен с учетом дальнейшего развития компьютерной техники и программного обеспечения, а также разработок новых методик исследования технических и программных средств.
Возвращаясь к проблемам классификации экспертных исследований компьютерной техники и информации, следует повторить, что классификационное деление «компьютерно-технической экспертизы» (Е.Р. Россинская) и «информационно-технологической» (СЗ РЦСЭ) носит скорее условный характер, поскольку выделяемые в них виды экспертиз, производятся зачастую комплексно и последовательно. Поэтому перед назначением и проведением экспертизы имеет смысл определиться не с названием (как уже говорилось ранее, целесообразно указывать родовое наименование), а с характером специальных знаний, необходимых для проведения исследования и решения поставленных задач.
Целесообразность решения поставленных задач в рамках проведения одной экспертизы или параллельное проведение нескольких различных по характеру привлекаемых специальных знаний, экспертиз с последующей интегральной оценкой их результатов (при большом объеме объектов, сложности их исследования и т.п.) следователю следует определять при помощи компетентных специалистов.
Такой подход позволяет обеспечить более правильный подбор отдельных экспертов и экспертных организаций, а также сократить время проведения экспертиз за счет четкого определения ставящихся задач и их разделения между соответствующими специалистами.
Источник статьи: http://lib.sale/kriminalisticheskaya-metodika-pravo/roda-vidyi-sudebnoy-ekspertizyi-kompyuternoy-105848.html