Судебная экспертиза, оценка - Томский экспертно-правовой центр РЕГИОН 70 9 лет в судебной экспертизе - ООО Судебная экспертиза"

 ООО "СУДЕБНАЯ ЭКСПЕРТИЗА"
  основано в 2002 г.

"Искусство речи на суде", Пороховщиков П. 1910 г.:
"Эксперты бывают..."
На главную
Судебная экспертиза
Строительно-технический отдел
Оценка
Правовая основа
деятельности
Наша приборная база
Наши сертификаты
Обучающие семинары
Трехмерное моделирование
в судебной экспертизе
Контакты



Главная  >>>   Судебная экспертиза  >>>  Компьютерно-техническая экспертиза

Компьютерно-техническая экспертиза
Экспертиза информационных компьютерных средств

        ООО "Судебная экспертиза" информирует Вас о том, что в нашем Центре экспертизу информационных компьютерных средств (компьютерно-техническую экспертизу) проводит эксперт Ли Елена Александровна.

        Задачи экспертного исследования компьютерных данных

        К основным задачам судебной информационно-компьютерной экспертизы (данных) как вида судебной компьютерно-технической экспертизы относятся:
        - установление свойств и вида представления информации в компьютерной систееме при ее непосредственном исследовании;
        - определение фактического состояния информации, выяснение наличия или отсутствия в ней отклонений от типового объектов СКТЭ (например, имеются ли вредоносные включения, нарушение его целостности);
        - установление первоначального состояния информации на носителе данных;
        - определение условий изменения свойств исследуемой информации (например, выяснение условий внесения изменений в содержимое файла, запись на пластиковой карте и т.п.);
        - определение механизма и обстоятельств события (дела), установление отдельных этапов (стадий, фрагментов) события по имеющейся информации на носителе данных или ее копиям (например, подготовка нескольких копий делового письма и его рассылка факсимильной программой в разные адреса);
        - определение времени (периода), хронологической последовательности воздействия на информацию (например, установление стадий подготовки изображений денежных знаков, оттисков печатей т.п.);
        - выявление следов возможных участников события по признакам, характеризующим определенные профессиональные и пользовательские навыки, умения, привычки, установление условий, при которых была создана (модифицирована, удалена, скопирована) информация;
        - установление причинной связи между имевшими место манипуляциями с компьютерной информацией и наступившими последствиями (например, связи между удалением информации и нарушением работоспособности компьютерной системы);
        - диагностирование возможных последствий по совершенному действию и возможности его совершения;
        К задачам информационно-компьютерной экспертизы можно отнести также отождествление содержания файла с данными в копии исследуемого файла, либо в представленном документе (в т.ч. в бумажной копии в комплексе с технико-криминалистическим исследованием документов). Групповая принадлежность может устанавливаться при поиске общего источника происхождения информации на носителях данных компьютерной системы, а также при определении класса, вида и типа программного обеспечения, при помощи которого были порождены (созданы) исследуемые данные.

        Приемлемые вопросы для экспертизы

        Для следователя и оперуполномоченного важно представлять, что именно может компьютерно-техническая экспертиза (КТЭ) и чего она не может. Также важно уметь верно формулировать вопросы для экспертизы.
        Чтобы правильно сформулировать вопрос, нужно знать большую часть ответа. И разбираться в терминологии. А чтобы знать специальные термины, нужно представлять, что они означают. Короче, нужно самому обладать специальными знаниями в области ИТ.
        Для формулировки вопросов для КТЭ всегда следует привлекать специалиста. Это может быть специально приглашенный специалист. Это может быть неофициальная консультация. В крайнем случае, сам эксперт, которому предстоит проводить КТЭ, поможет следователю верно поставить вопросы.

        Поиск информации
        Поиск на компьютерном носителе документов, изображений, сообщений и иной информации, относящейся к делу, в том числе в неявном (удаленном, скрытом, зашифрованном) виде.
        Рекомендуем не конкретизировать вид и содержание искомой информации. Эксперт вполне может самостоятельно решить, относится ли тот или иной текст, изображение или программа к делу. В ходе поиска информации эксперту приходится просматривать глазами тысячи текстов и изображений. Понятно, что невозможно распечатать и приложить к заключению их все - с тем, чтобы потом следователь решил, что из найденного относится к делу.
        Эксперт в любом случае вынужден проводить первичную селекцию и принимать решение, что именно из найденного приобщать. Вынужден в силу объемов информации. Типичный объем архива электронной почты среднего пользователя - мегабайты.
        Для более активного ного - сотни мегабайт. Это не поместится ни в одно заключение (протокол). Поэтому эксперта следует ознакомить с уголовным делом или хотя бы кратко изложить его фабулу в постановлении о назначении КТЭ, И запросить у него поиск «любой информации, относящейся к данному делу».

        Следы
        Поиск «цифровых» следов различного рола действий, совершаемых над компьютерной информацией. Вопрос лучше формулировать не про следы, а про действия. То есть вместо «имеются ли следы создания таких-то веб-страниц?» лучше поставить вопрос так: «создавались ли на исследуемом компьютере такие-то веб-страницы?».
        Когда компьютер используется как средство доступа к информации, находящейся в ином месте, и когда доступ к информации осуществляется на этом компьютере - в обоих случаях остаются «цифровые» следы, следы в виде компьютерной информации. КТЭ может определить, когда, при каких условиях и каким образом осуществлялся доступ. Кто его осуществлял, КТЭ определить не может. Лишь в некоторых случаях эксперту удается обнаружить некоторые сведения о пользователе исследуемого компьютера.
        Действия, которые оставляют следы на компьютере или на носителе информации, включают: доступ к информации, ее просмотр, ввод, изменение, удаление, любую другую обработку или хранение, а также удаленное управление этими процессами.

        Программы
        Анализ программ для ЭВМ на предмет их принадлежности к вредоносным, к средствам преодоления ТСЗАП, к инструментам для осуществления неправомерного доступа к компьютерной информации, к специальным техническим средствам, предназначенным для негласного получения информации, А также анализ функциональности программ, принципа действия, вероятного их источника, происхождения, автора.
        Иногда необходимо более глубокое исследование программ. То есть исследование не просто их свойств и функциональности, а происхождения, особенностей взаимодействия с другими программами, процесса создания, сопоставление версий. Такое глубокое исследование подразумевает дизассемблирование программы, запуск под отладчиком (пошаговое исполнение), исследование структуры данных.
        Это предмет отдельной экспертизы, иногда ее называют программно-технической. Редко можно найти эксперта, сочетающего специальные знания по ИТ и по программированию. Поэтому рекомендуется проводить две отдельные экспертизы - первая изучает содержимое компьютерных носителей, а вторая особенности обнаруженных программ.
        Такое более глубокое исследование программ необходимо далеко не всегда. Например, вредоносность программы — это совокупность ее функций. Вредоносность может установить эксперт-специалист по ИТ. А вот для сопоставления объектного кода программы с фрагментом исходного кода необходимо участие эксперта-программиста.

        Время
        Установление времени и последовательности совершения пользователем различных действий.
        Благодаря наличию у компьютера внутренних энергонезависимых часов и простановке в различных местах временных меток становится возможным определить, когда и в какой последовательности пользователь производил различные действия.
        Если внутренние часы компьютера были переведены вперед или назад (в том числе неоднократно), все равно имеются возможности восстановить правильное время и правильную последовательность событий. Перевод часов компьютера сам по себе оставляет следы. А если еще было и сетевое взаимодействие, то есть возможность сопоставить моменты событий, зафиксированные данным компьютером, с событиями по иным источникам и выяснить сдвиг внутренних часов.
        Задача выполнима даже в том случае, если системный блок, содержащий внутренние часы, не находится в распоряжении экспертизы. Только по носителю информации (например, НЖМД*) можно получить кое-какие сведения о последовательности событий. Чем больше информации на носителе, тем полнее будет восстановлена картина.
        Отмечена даже такая экзотическая задача, как подтверждение/опровержение алиби подозреваемого, который утверждает, что в определенное время работал за компьютером. В этом случае, хотя речь не идет о компьютерном преступлении, для проверки алиби потребуется КТЭ.

        Пользователь
        Оценка квалификации и некоторых других особенностей личности пользователя исследуемого компьютера.
        При достаточно интенсивном использовании компьютера человек неизбежно оставляет в нем «отпечаток» собственной личности. Документы, фотографии, музыка, переписка, настройки, оформление, закладки, временной режим работы, подбор программ - все это индивидуализирует информационное содержимое компьютера. Все это отражает интеллект пользователя, его эмоции, наклонности, способности.
        Нет уверенности, что вопрос полностью лежит в сфере КТЭ. Возможно, ради более строгого подхода такая экспертиза должна быть комплексной, компьютерно-психологической. Во всяком случае, вопрос квалификации пользователя в области ИТ точно в компетенции эксперта, проводящего КТЭ. Конечно, для оценки квалификации на исследуемом носителе должны находиться соответствующие объекты, результаты интеллектуальной деятельности — написанные пользователем программы, переписка по нетривиальным техническим вопросам, сложные программные инструменты (например, отладчик).
        Следует заметить, что некорректно ставить вопрос об «установлении личности пользователя компьютера». Любые выводы о личности на основе найденных на диске плодов интеллектуальной и творческой деятельности могут носить лишь предположительный характер.

        Итоги
        Итак, обычно перед экспертом, проводящим компьютерно-техническую экспертизу, ставятся вопросы:
  • о наличии на исследуемых объектах информации, относящейся к делу (в том числе в неявном, удаленном, скрытом или зашифрованном виде);
  • о возможности (пригодности) использования исследуемых объектов для определенных целей (например, для доступа в сеть);
  • о действиях, совершенных с использованием объектов, их времени и последовательности;
  • об идентификации найденных электронных документов, программ для ЭВМ, о признаках пользователей компьютера;
  • о свойствах программ для ЭВМ, в частности, о принадлежности их к вредоносным.

        Неприемлемые вопросы компьютерно-технической экспертизы

  • о лицензионности/контрафактности экземпляров произведений, записанных на исследуемых носителях;
  • о правомерности действий, произведенных с использованием исследуемых объектов;
  • о стоимости компьютеров, носителей, прав (лицензий) на содержащиеся там программы;
  • о переводах найденных текстов, интерфейсов программ, переписки и т.п. (кроме разъяснения терминов и жаргона).

Главная  >>>   Судебная экспертиза  >>>  Компьютерно-техническая экспертиза



© Copyright ООО "СУДЕБНАЯ ЭКСПЕРТИЗА", 2007-2018