8 (495) 766 06 78

expertiza@ceae-ocenka.ru

Судебные компьютерно-технические экспертизы

Судебные компьютерно-технические экспертизы (СКТЭ) производятся в целях определения статуса объекта как компью­терного средства, выявления и изучения его роли в расследуе­мом преступлении, а также получения доступа к информации на носителях данных с последующим всесторонним ее исследо­ванием. Специальные знания СКТЭ составляют электроника, электротехника, информационные системы и процессы, радио­техника и связь, вычислительная техника (в том числе програм­мирование) и автоматизация. Общим предметом СКТЭ яв­ляются факты и обстоятельства, устанавливаемые на основе исследования закономерностей разработки и эксплуатации компьютерных средств, обеспечивающих реализацию информа­ционных процессов, которые зафиксированы в материалах гражданского или уголовного дела, дела об административном правонарушении. Необходимость в СКТЭ обусловливается ши­роким внедрением компьютерных технологий практически во все сферы человеческой деятельности.

Родовая классификация СКТЭ организована на основе обеспечивающих компонент любого компьютерного средства (аппаратного, или технического, программного и информаци­онного обеспечения).
Соответственно этому в СКТЭ выделя­ются:

  • аппаратно-компьютерная экспертиза;
  • программно-компьютерная экспертиза;
  • информационно-компьютерная экспертиза (данных);
  • компьютерно-сетевая экспертиза.

Данная классификация может быть эффективно использова­на при назначении комплексных экспертиз и решения большо­го перечня задач.

  1. Сущность судебной аппаратно-компьютерной экспертизы заключается в проведении исследования технических (аппарат­ных) средств компьютерной системы. Предметом данного вида СКТЭ являются факты и обстоятельства, устанавливаемые на основе исследования закономерностей эксплуатации аппарат­ных средств компьютерной системы — материальных носите­лей информации о факте или событии гражданского либо уго­ловного дела.

Вопросы, разрешаемые судебной аппаратно-компьютерной экспертизой.

  1. Относится ли представленное устройство к аппаратным компьютерным средствам?
  2. К какому типу (марке, модели) относится аппаратное сред­ство? Каковы его технические характеристики и параметры?
  3. Каково функциональное предназначение аппаратного средства?
  4. Какова роль и функциональные возможности данного ап­паратного средства в конкретной компьютерной системе?
  5. Относится ли данное аппаратное средство к представлен­ной компьютерной системе?
  6. Используется ли данное аппаратное средство для решения конкретной функциональной задачи?
  7. Какое первоначальное состояние (конфигурацию, харак­теристики) имело аппаратное средство?
  8. Каково фактическое состояние (исправно, неисправно) представленного аппаратного средства? Имеются ли в нем от­клонения от типовых (нормальных) параметров, в том числе и физические дефекты?
  9. Какие эксплуатационные режимы установлены на данном аппаратном средстве?

10. Является ли неисправность данного средства следствием нарушения определенных правил эксплуатации?
11. Каковы причины изменения функциональных (потреби­тельских) свойств в начальной конфигурации представленного аппаратного средства?

  1. Является ли представленное аппаратное средство носите­лем информации?
  2. Каков вид (тип, модель, марка) представленного носите­ля информации?
  3. Какое запоминающее устройство предназначено для ра­боты с данным накопителем информации? Имеется ли в соста­ве представленной компьютерной системы запоминающее уст­ройство для работы с этим носителем информации?
  4. Каковы параметры (форм-фактор, емкость, среднее вре­мя доступа к данным, скорость передачи данных и др.) носите­ля информации? Какой метод хранения данных реализован на представленном носителе?
  5. Доступен ли для чтения представленный носитель ин­формации?
  6. Каковы причины отсутствия доступа к носителю инфор­мации?

Объектами судебной аппаратно-компьютерной экспертизы являются:

а)  персональные компьютеры (настольные, портативные);
б)  периферийные устройства;
в) сетевые аппаратные средства (серверы, рабочие станции, активное оборудование, сетевые кабели и т. д.)
г)  интегрированные системы (органайзеры); пейджеры;
д)  мобильные телефоны и т. п.;
е) встроенные системы на основе микропроцессорных кон­троллеров (иммобилайзеры, транспондеры, круиз-контроллеры и проч.);
ж)  любые комплектующие всех указанных компонент (аппа­ратные блоки, платы расширения, микросхемы и др.).

В судебно-экспертном аспекте наиболее важны такие объек­ты, как запоминающие устройства и носители данных, включая все известные на момент проведения экспертизы электронные носители данных: микросхемы памяти, магнитные и лазерные диски, магнитооптические диски, магнитные ленты, флэш-кар­ты и т. д.

Примером аппаратно-компьютерной экспертизы является изучение возможностей применения нетипичных или нештат­ных (например, в случае удара или внезапного отказа) способов исследования носителей данных (чаще всего жестких дисков) с целью извлечения криминалистически значимой информации, хранящейся на них. Другой пример связан с установлением ра­ботоспособности системного блока компьютера.

Так, по одному из гражданских дел на экспертизу был представлен системный блок персонального компьютера. Вопросы эксперту были сформулированы следующим образом.

  1. Находится ли системный блок в работоспособном состоянии, ес­ли нет, то какие имеются неисправности?
  2. Является ли выявленная неисправность заводским браком либо следствием нарушения эксплуатации?
  3. Имеется ли причинная связь между выходом из строя видеокон­троллера системного блока и установкой внутреннего модема?
  4. Мог ли заряд статического электричества повредить комплек­тующие элементы системного блока при их самостоятельной установ­ке либо замене?

В результате выявленного комплекса диагностических признаков в ходе экспертного исследования было доказано наличие в материнской плате системного блока компьютера заводского брака, приведшего к аппаратной неисправности всего компьютера.

II. Для осуществления экспертного исследования программ­ного обеспечения предназначена судебная программно-компью­терная экспертиза. Ее предметом являются закономерности разработки (создания) и применения (использования) про­граммного обеспечения компьютерной системы, представлен­ной на исследование в целях установления истины по граждан­скому или уголовному делу. Целью судебной программно-ком­пьютерной экспертизы является изучение функционального предназначения, характеристик и реализуемых требований, ал­горитма и структурных особенностей, текущего состояния представленного на исследование программного обеспечения компьютерной системы.

На разрешение судебных экспертиз этого рода ставятся сле­дующие вопросы.

  1. Какова общая характеристика представленного программ­ного обеспечения, из каких компонент (программных средств) оно состоит?
  2. Какую классификацию имеют конкретные программные средства (системные или прикладные) представленного про­граммного обеспечения? Обладают ли они признаками контра­фактности?
  3. Каково наименование, тип, версия, вид представления (явный, скрытый, удаленный) программного средства?
  4. Каковы реквизиты разработчика и владельца данного программного средства?
  5. Каков состав соответствующих файлов программного обеспечения, каковы их параметры (объемы, даты создания, ат­рибуты)?
  6. Какое общее функциональное предназначение имеет про­граммное средство?
  7. Имеются ли на носителях информации программные средства для реализации определенной функциональной за­дачи?
  8. Какие требования предъявляет данное программное сред­ство к аппаратным средствам компьютерной системы?
  9. Какова совместимость конкретного программного средст­ва с программным и аппаратным обеспечением компьютерной системы?
  10. Используется ли данное программное средство для ре­шения определенной функциональной задачи?
  11. Каково фактическое состояние программного средства, его работоспособность по реализации отдельных (конкретных) функций?
  12. Каким образом организован ввод и вывод данных в представленном программном средстве?
  13. Имеются ли в программном средстве отклонения от нор­мальных параметров типовых программных продуктов (напри­мер, свойства инфицирования, недокументированных функ­ций)?
  14. Имеет ли программное средство защитные возможности (программные, аппаратно-программные) от несанкциониро­ванного доступа и копирования?
  15. Каким образом организованы защитные возможности программного средства?
  16. Каков общий алгоритм данного программного средства?
  17. Какие программные инструментальные средства (языки программирования, компиляторы, стандартные библиотеки) использовались при разработке данного программного сред­ства?
  18. Имеются ли на носителях информации тексты (коды) с первоначальным состоянием программы?
  19. Подвергался ли алгоритм программного средства моди­фикации по сравнению с исходным состоянием? В чем это на­шло отражение?
  20. Какой вид имело программное средство до его послед­ней модификации?
  21. Использованы ли в алгоритме программы и ее тексте какие-либо специфические (нестандартные) приемы алгорит­мизации и программирования?
  22. С какой целью было произведено изменение каких-либо функций в программном средстве?
  23. Направлены ли внесенные изменения в программное средство на преодоление его защиты?
  24. Достигается ли решение определенных задач после вне­сения изменений в программное средство?
  25. Каким способом были произведены изменения в про­грамме (преднамеренно, воздействием вредоносной програм­мы, ошибками программной среды, аппаратным сбоем и др.)?
  26. Какова хронология внесения изменений в программном средстве?
  27. Какова хронология использования программного средст­ва (начиная с ее инсталляции)?
  28. Имеются ли в программном средстве враждебные функ­ции, которые влекут уничтожение, блокирование, модифика­цию либо копирование информации, нарушение работы ком­пьютерной системы?
  29. Каковы последствия дальнейшей эксплуатации опреде­ленного программного средства?

Объектами программно-компьютерной экспертизы являются:

а) системное программное обеспечение (операционные сис­темы);
б)  вспомогательные программы — утилиты;
в)  средства разработки и отладки программ;
г)  служебная системная информация;
д) прикладное программное обеспечение (приложения об­щего назначения — текстовые и графические редакторы, систе­мы управления базами данных, электронные таблицы, редакто­ры презентаций и т. д.; приложения специального назначения для решения задач в определенной области науки, техники, экономики и т. д.).

Показательным примером программно-компьютерной экспертизы является экспертное исследование программного обеспечения, позво­лившее успешно расследовать хищение денежных средств путем ис­пользования несовершенства компьютерной программы. Л., являясь клиентом одного из коммерческих банков, обратил внимание на час­тичную несовместимость программы автоматизации банковских опера­ций «ПАБА» и программы обслуживания пластиковых карточек «Ар­канзас». Первая программа предусматривала для любой валюты два до­полнительных знака, рассчитанных на центы, копейки и т. д. Вторая же программа при операциях с валютами, не имеющими деления на более мелкие единицы (такие, как итальянская лира, японская иена и проч.), считывала последний знак как единицу основной валюты. В ре­зультате при снятии через банкомат средств со счета в иностранной ва­люте, не имеющей деления на мелкие единицы, остаток на счету оста­вался большим в сто раз, чем было в действительности. Это позволяло снимать со счета суммы в указанной валюте, стократно превышающие вклад. Произведенное в процессе экспертного исследования изучение используемого программного обеспечения позволило выявить имею­щуюся нестыковку и установить фактические обстоятельства выполне­ния ошибочных операций.

  1. Судебная информационно-компьютерная экспертиза (дан­ных) является ключевым видом СКТЭ, так как позволяет завер­шить целостное построение доказательственной базы путем окончательного разрешения большинства вопросов, связанных с компьютерной информацией. Целью этого вида является по­иск, обнаружение, анализ и оценка информации, подготовлен­ной пользователем или порожденной (созданной) программами для организации информационных процессов в компьютерной системе.

Судебная информационно-компьютерная экспертиза (дан­ных) производится для разрешения следующих вопросов.

  1. Как отформатирован носитель информации и в каком ви­де на него записаны данные?
  2. Каковы характеристики физического размещения данных на носителе информации?
  3. Каковы характеристики логического размещения данных на носителе информации?
  4. Какие свойства, характеристики и параметры (объемы, даты создания-изменения, атрибуты и др.) имеют данные на носителе информации?
  5. Какого вида (явный, скрытый, удаленный, архив) инфор­мация имеется на носителе?
  6. К какому типу относятся выявленные (определенные) данные (текстовые, графические, база данных, электронная таб­лица, мультимедиа, запись пластиковой карты, данные посто­янного запоминающего устройства и др.) и какими программ­ными средствами они обеспечиваются?
  7. Каким образом организован доступ (свободный, ограни­ченный и проч.) к данным на носителе информации и каковы его характеристики?
  8. Какие свойства, характеристики имеют выявленные сред­ства защиты данных и какие пути ее преодоления возможны?
  9. Какие признаки преодоления защиты (либо попыток не­санкционированного доступа) имеются на носителе информа­ции?
  10. Каково содержание защищенных данных?
  11. Каково фактическое состояние выявленных данных и соответствует ли оно типовому состоянию на соответствующих носителях данных?
  12. Какие несоответствия типовому представлению имеются в выявленных данных (нарушение целостности, несоответствие формата, вредоносные включения и проч.)?
  13. Каковы пользовательские (потребительские) свойства и предназначение данных на носителе информации?
  14. Какие данные для решения определенной функциональ­ной (потребительской) задачи имеются на носителе информа­ции?
  15. Какие данные с фактами и обстоятельствами конкретно­го дела находятся на представленном носителе информации?
  16. Какие данные о собственнике (пользователе) компью­терной системы (в том числе имена, пароли, права доступа и проч.) имеются на носителях информации?
  17. Какие данные с представленных на экспертизу докумен­тов (образцов) и в каком виде (целостном, фрагментарном) на­ходятся на носителе информации?
  18. Каково первоначальное состояние данных на носителе (в каком виде, какого содержания и с какими характеристика­ми, атрибутами находились определенные данные до их удале­ния или модификации)?
  19. Каким способом и при каких обстоятельствах произведе­ны действия, или операции (блокирование, модификация, ко­пирование, удаление определенных данных), на носителе ин­формации?
  20. Какой механизм (последовательность действий) по ре­шению конкретной задачи отражен в определенных данных на носителе информации?
  21. Какая хронологическая последовательность действий (операций) с выявленными данными имела место при решении конкретной задачи (например, подготовки изображений денеж­ных знаков, ценных бумаг, оттисков печатей и т. п.)?
  22. Какая причинная связь имеется между действиями (вво­дом, модификацией, удалением и проч.) с данными и произо­шедшим событием (например, нарушением в работе компью­терной системы, в том числе сбоями в программном и аппарат­ном обеспечении)?
  23. Какова степень соответствия (или несоответствия) дейст­вий с конкретной информацией специальному регламенту или правилам эксплуатации определенной компьютерной системы?

Объектами судебной информационно-компьютерной эксперти­зы (данных) являются файлы, подготовленные с использовани­ем указанных выше и других программных средств: с расшире­ниями текстовых форматов (.txt, .doc...), графических форматов (.bmp, .jpg, .tif, .cdr...), форматов баз данных (.dbf, .mdb...), электронных таблиц (.xls, .cal...) и др.

Примером судебной информационно-компьютерной является экс­пертиза по выявлению фактов и обстоятельств образования недостачи в одной крупной торговой компьютерной фирме. На разрешение экс­пертизы был поставлен вопрос: «Какая информация по реализации то­варно-материальных ценностей за период с марта по август 200... г. имеется на представленных компьютерах?»

В ходе предварительно проведенного допроса сетевого администра­тора данной фирмы было установлено, что информация по реализа­ции товарно-материальных ценностей представлена следующими рек­визитами: номер товарного чека, наименование товара, цена в долла­рах США и рублях, количество, сумма по чеку, менеджер, дата и хранится в сводных таблицах помесячно. При производстве эксперти­зы эксперт СКТЭ исследовал все файлы, имеющиеся на жестких дис­ках представленных компьютеров, на предмет наличия в них вышепе­речисленной информации за указанный период. Все найденные фай­лы оказались электронными таблицами, подготовленными средствами Microsoft Excel, что соответствовало показаниям сетевого администра­тора. Для дальнейшего анализа реализации товарно-материальных ценностей полученная информация была распечатана и передана экс­перту судебно-бухгалтерской экспертизы, участвующему в данной ком­плексной экспертизе.

  1. Судебная компьютерно-сетевая экспертиза в отличие от предыдущих основывается, прежде всего, на функциональном предназначении компьютерных средств, реализующих какую- либо сетевую информационную технологию. Она выделена в отдельный вид в связи с тем, что лишь использование специ­альных знаний в области сетевых технологий позволяет соеди­нить воедино полученные объекты, сведения о них и эффек­тивно решить поставленные экспертные задачи. Особое место в компьютерно-сетевой экспертизе занимают экспертные иссле­дования, связанные с интернет-технологиями.

Судебная экспертиза этого рода производится для решения следующих задач:

а) определение свойств и характеристик аппаратного средст­ва и программного обеспечения, установление места, роли и функционального предназначения исследуемого объекта в сети (например, для программного средства в отношении к сетевой операционной системе; для аппаратного средства — отношение к серверу, рабочей станции, активного сетевого оборудования и т. д.);
б) выявление свойств и характеристик вычислительной сети, установление ее архитектуры, конфигурации, выявление уста­новленных сетевых компонент, организации доступа к данным;
в) определение соответствия выявленных характеристик ти­повым для конкретного класса средств сетевой технологии, оп­ределение принадлежности средства к серверной или клиент­ской части приложений;
г) определение фактического состояния и исправности сете­вого средства, наличия физических дефектов, состояния сис­темного журнала, компонент управлением доступа;
д) установление первоначального состояния вычислитель­ной сети в целом и каждого сетевого средства в отдельности, возможного места покупки (приобретения), уточнение измене­ний, внесенных в первоначальную конфигурацию (например, добавление дополнительных сетевых устройств, устройств рас­ширения на сервере либо рабочих станциях и проч.);
е)  определение причин изменения свойств вычислительной сети (например, по организации уровней управления досту­пом), установление факта нарушения режимов эксплуатации сети, фактов (следов) использования внешних («чужих») про­грамм и т. п.;
ж)  определение свойств и состояния вычислительной сети по ее отображению в информации носителей данных (напри­мер, RAID-массивы; жесткие диски, флоппи-диски, CD-ROM, ZIP-накопители и т. п.);
з)   определение структуры механизма и обстоятельства собы­тия в сети по его результатам (например, сценария несанкцио­нированного доступа, механизма распространения в сети вре­доносных функций и т. д.);
и)  установление причинной связи между использованием конкретных аппаратно-программных средств вычислительной сети и результатами их применения.

Как видно, задачи судебной компьютерно-сетевой эксперти­зы охватывают практически все основные задачи основных ро­дов СКТЭ, т. е. решение аппаратных, программных и инфор­мационных аспектов при установлении фактов и обстоятельств дела.

Наиболее часто встречаемыми в практике вопросами явля­ются следующие.

  1. Имеются ли признаки работы данного компьютерного средства в сети Интернет?
  2. Какие аппаратные средства использовались для подклю­чения к Интернету?
  3. Имеются ли заготовленные соединения с узлом сети Ин­тернет и каковы их свойства (номера телефонов провайдера, имена и пароли пользователя, даты создания)?
  4. Каково содержание установок программы удаленного дос­тупа к сети и протоколов соединений?
  5. Какие имеются адреса Интернета, по которым осуществ­лялся доступ с данного компьютерного средства?
  6. Имеется ли какая-либо информация о проведении элек­тронных платежей и использовании кодов кредитных карт?
  7. Имеются ли почтовые сообщения, полученные (а также отправленные) по электронной почте?
  8. Имеются ли сообщения, полученные (отправленные) по­средством использования программ персональной связи через Интернет, и каково их содержание?

Весьма показательным является пример проведения судеб­ной компьютерно-сетевой экспертизы так называемых про­граммных закладок, предоставляющих возможность несанк­ционированного доступа по сети к данным чужих компьюте­ров. Суть экспертного исследования программных закладок заключается в установлении признаков «несанкционирован­ных» действий (т. е. возможности выполнения своих действий с информацией на ЭВМ без уведомления и согласия ее закон­ного пользователя), а также выявление адресов, по которым производится «несанкционированная» пересылка тех или иных данных с ЭВМ.

Наиболее достоверным методом проведения подобной экс­пертизы является метод эксперимента в среде вычислительной сети. В случае решения задач экспертизы программных закла­док относительно сети Интернет (при постановке вопросов от­носительно механизма действий программ «троянцев») требу­ется создание некой модели сети Интернет (точнее, ее сегмен­та). Эта модель обычно состоит из четырех компьютеров, имитирующих основных участников сетевого взаимодействия в Интернете. Первый компьютер имитирует компьютер какого- либо физического лица или организации, подключенный к се­ти Интернет через определенного провайдера. Вторым имити­руемым компьютером является сервер интернет-провайдера. Именно с его помощью определяются интернет-адреса других компьютеров в сети, к которым обращается программная за­кладка. Третий компьютер имитирует работу сервера доменной системы имен (DNS). Четвертым компьютером имитируется компьютер-получатель, по адресу которого программная за­кладка передает те или иные данные.

Таким образом, только использование в ходе производства экспертизы указанного аппаратно-программного комплекса позволяет провести достоверное исследование программных закладок, которые отправляют по электронной почте (e-mail) регистрационные данные пользователей для доступа к сети Ин­тернет, и получить соответствующие категорические выводы.

В связи со стремительным развитием современных телеком­муникаций и связи в судебной компьютерно-сетевой эксперти­зе можно выделить судебную телематическую экспертизу, пред­метом которой являются фактические данные, устанавливаемые на основе применения специальных знаний при исследовании средств телекоммуникаций и подвижной связи как материаль­ных носителей информации о факте или событии, имеющем от­ношение к гражданскому или уголовному делу.

Практика показывает, что рассмотренные выше основные виды СКТЭ при производстве большинства экспертных иссле­дований применяются комплексно и чаще всего последователь­но. Поэтому в настоящее время в постановлении на производ­ство судебной экспертизы целесообразно указывать не родовое наименование экспертизы, а назначать судебную компьютерно­техническую экспертизу.

Можно сформулировать вопросы комплексного исследования при судебной экспертизе целостной компьютерной системы (устройства).

  1. Является ли представленное оборудование компьютерной системой?
  2. Является ли представленное оборудование целостной компьютерной системой или же ее частью?
  3. К какому типу (марке, модели) относится компьютерная система?
  4. Каковы общие характеристики сборки компьютерной системы и изготовления ее компонент?
  5. Какой состав (конфигурацию) и технические характери­стики имеет компьютерная система?
  6. Является ли конфигурация компьютерной системы типо­вой или расширенной под решение конкретных задач?
  7. Какое функциональное предназначение имеет компью­терная система?
  8. Имеются ли в компьютерной системе наиболее выражен­ные функции (потребительские свойства)?
  9. Решаются ли с помощью представленной компьютерной системы определенные функциональные (потребительские) за­дачи?

10. Находится ли компьютерная система в рабочем состоя­нии?
11. Имеет ли компьютерная система какие-либо отклонения от типовых (нормальных) параметров, в том числе физические (механические) дефекты?

  1. Какой перечень эксплуатационных режимов имеется в компьютерной системе?
  2. Какие эксплуатационные режимы задействованы (уста­новлены) в компьютерной системе?
  3. Существуют ли в компьютерной системе недокументиро­ванные (сервисные) возможности, если да, то какие?
  4. Какие носители информации имеются в данной компью­терной системе?
  5. Реализована ли в компьютерной системе какая-либо сис­тема защиты информации?
  6. Какая система защиты информации имеется в данной компьютерной системе? Каковы тип, вид и характеристики этой системы защиты? Каковы возможности по ее преодолению?

Кроме того, в ходе ряда пограничных исследований иногда возникает потребность привлекать специальные знания и из других научных областей. Так, например, обстоит дело с ре­шением задач снятия парольной защиты, получения доступа к закодированным данным, обнаруженным в ходе проведения экспертного исследования, расшифровки информации с по­врежденной структурой данных, всестороннего анализа раз­личных криптографических алгоритмов, программ и аппарат­ных средств. Это направление экспертной деятельности тесно связано с самостоятельной областью исследований — крипто­графией и защитой информации.

Ведущее место среди судебных экспертиз, назначаемых в комплексе с СКТЭ, занимает судебно-техническая экспертиза документов (СТЭД). Именно с необходимостью исследования поддельных документов, ценных бумаг и денежных знаков, от­тисков печатей, кредитных и расчетных карт, изготовленных с применением современных информационных технологий, свя­зано большинство комплексных экспертиз в рассматриваемой сфере. Объектами такой комплексной экспертизы являются как некоторые объекты СКТЭ, предназначенные для создания, хранения и передачи информации, так и некоторые объекты СТЭД — документы в бумажной форме. В качестве объектов может также выступать полиграфическое оборудование и орг­техника, интегрированные с компьютерными средствами.

В последние годы широкое распространение получают мультимедийные технологии, которые основаны на представле­нии данных в формате видеоизображения с применением ани­мации и звукового сопровождения. Звуковые и видеофайлы в форматах мультимедиа на носителях данных, в том числе на компакт-дисках c аудио- и видеопродукцией, могут фигуриро­вать в деле в качестве объектов, несущих доказательственную информацию о фактах, событиях, людях. Для непосредственно­го исследования цифровых видеозаписей и звуковых записей должна быть назначена судебная видеофоноскопическая экспер­тиза. Только в ходе указанного исследования могут быть пол­ностью разрешены вопросы относительно достоверности муль­тимедийной записи, а также установлено, выполнена ли она на конкретном устройстве. Пограничными здесь оказываются и вопросы, связанные с возможностью монтажа записи, непре­рывности ее выполнения и т. п. В случае разрешения вопросов, касающихся исследования звуковой речевой информации, т. е. файлов со звуковыми форматами, требуется назначение комплексной СКТЭ и судебной фоноскопической экспертизы1. Эти вопросы часто возникают в связи с широким распростра­нением контрафактной продукции на компакт-дисках.

Следующая пограничная область специальных знаний явно просматривается в экономической и кредитно-финансовой сфе­ре. При производстве судебно-экономических экспертиз инфор­мация о действительном состоянии исследуемых объектов зачас­тую имеется лишь в компьютере, а документированные сведения на бумажных носителях представлены в значительно изменен­ном виде и могут не отражать действительного положения ве­щей. Использование «двойной» бухгалтерии становится типич­ным способом сокрытия таких преступлений, как присвоение или растрата, уклонение от уплаты налогов, мошенничество и другие, служит средством противодействия расследованию. В общем случае, следы хозяйственных операций, сопоставление фактически совершенных операций с данными, отраженными в бухгалтерском учете и отчетности, устанавливаются судебно­бухгалтерской экспертизой, которая часто производится по граж­данским делам при разрешении споров между юридическими и физическими лицами.

Для автоматизации бухгалтерского учета используется раз­нообразное программное обеспечение. Весьма ценная доказа­тельственная и ориентирующая информация может быть полу­чена при исследовании компьютерных средств, обеспечиваю­щих бухгалтерские проводки, а также данных, содержащихся в компьютерных системах хозяйственных субъектов разных форм собственности. В таких случаях целесообразно назначение ком­плексной СКТЭ и судебно-бухгалтерской экспертизы.

Для решения задач, касающихся финансовой деятельности предприятий, соблюдения законодательных актов, регулирую­щих их финансовые отношения с государственным бюджетом, выполнения договорных обязательств, распределения и выпла­ты дивидендов, операций с ценными бумагами, инвестициями, и назначаются судебные финансово-экономические экспертизы, которые, как правило, также должны выполняться комплексно с СКТЭ.

Другой род класса экономических экспертиз — судебно­товароведческая экспертиза также стыкуется в определенных случаях с СКТЭ. Если при рассмотрении гражданского или уголовного дела речь заходит о технологии производства (изго­товления) компьютерной техники, то налицо необходимость назначения комплексной товароведческой и компьютерно-тех­нической экспертизы. В сути этого исследования лежит инте­грация специальных знаний в технологии производства товара и компьютерных технологий. Эксперты изучают в этом случае не только сами товары — компьютерные средства, но и их по­требительские свойства, факторы, оказывающие влияние на потребительскую стоимость, основные и вспомогательные ма­териалы, из которых изготовлено компьютерное средство, изу­чается тара и упаковка.

Поскольку результаты СКТЭ напрямую зависят от сохран­ности информации, необходимо при изъятии объектов и подго­товке их на экспертизу соблюдать ряд правил, указанных в со­ответствующих методических руководствах. При производстве следственных или иных действий, в процессе которых изыма­ются объекты для экспертизы, необходимо исключить намерен­ную порчу или уничтожение хранящейся в компьютерах ин­формации. Для сокрытия информации на компьютерах могут быть установлены специальные защитные программы, которые при некорректном обращении с защищаемыми данными вклю­чают процесс их уничтожения, искажения, маскировки.

Включать и выключать компьютеры, производить с ними ка­кие-либо манипуляции может только специалист, участвующий в производстве данного следственного действия.

Если на объекте было отключено электроснабжение, напри­мер, в связи с пожаром или взрывом, до его включения следует проверить, находятся ли все компьютеры и периферийные уст­ройства в отключенном состоянии. Если компьютер на момент начала осмотра (обыска) оказался включен, необходимо оценить информацию, изображенную на дисплее, и определить, какая программа исполняется на данный момент. В случае работы стандартного программного обеспечения нельзя приступать к каким-либо манипуляциям на входе без предварительного визу­ального осмотра технических средств. Экран монитора необхо­димо сфотографировать. Отключить все телефонные линии, под­ключенные к компьютеру (если таковые соединения имеются).

Необходимо подробно описать все соединения на задней стенке системного блока. Если это признано целесообразным, вскрывается кожух системного блока, и визуально определяют конфигурацию ЭВМ, описывают месторасположение электрон­ных плат. Следование данной рекомендации позволит обезопа­сить поиск информации от различного рода устройств повреж­дения или уничтожения, как аппаратных средств, так и инфор­мационной базы. Такими устройствами могут быть электронные ключи, радиозакладки-шумоподавители и др. В случае если при осмотре аппаратных средств выявлены неизвестные участникам следственного действия устройства (платы расширения, нестан­дартные соединения и т. д.), компьютер необходимо сразу вы­ключить. При этом следует не отключать тумблер блока пита­ния, а вынимать вилку из розетки.

Затем следует промаркировать всю систему подключения до того, как провода будут отсоединены, промаркировать все пор­ты и разъемы с тем, чтобы потом можно было осуществить точ­ную реконструкцию расположения кабелей, плат расширения и других устройств. Если конфигурация процессора стандартна, следует корректно завершить работу исполняемой в данный момент программы либо дождаться завершения ее работы для получения дополнительных, возможно искомых, данных. Если для поиска информации задействуется программное обеспече­ние, не находящееся в компьютере, это необходимо отметить в протоколе. Такие программы должны быть стандартны и ли­цензированы и предусматривать возможность наглядного кон­троля за их работой.

При необходимости специалистом может быть выполнено копирование компьютерной информации на заранее приготов­ленные носители или стендовый компьютер. По существующей методике это специализированные малогабаритные персональ­ные компьютеры, оснащенные набором тестовых программных средств.

При обнаружении, фиксации и изъятии криминалистически значимой информации в вычислительной сети необходимо ус­тановить общее количество компьютеров и их распределение по другим помещениям, а также количество и тип используемых серверов и рабочих мест. Далее важно выяснить тип используе­мой сетевой операционной системы и состав прикладного про­граммного обеспечения, используемого в вычислительной сети. Следует также установить факт наличия резервных копий дан­ных и места их хранения.

Особое внимание должно уделяться выявлению выхода в другие, в том числе и глобальные сети, установлению возмож­ностей использования коммуникационных средств для связи с удаленными пользователями, другими организациями (фирма­ми), частными лицами. В это же время определяются принятые в организации мероприятия по защите информации и наличие выхода в Интернет. В случае использования телефонной линии для связи с другими сетями обеспечить отключение телефона, по возможности удалить из помещения все взрывчатые, едкие и легковоспламеняющиеся материалы.

Сразу же при установлении факта наличия в осматриваемом помещении локальной вычислительной сети следует точно ус­тановить местоположение серверов. Как правило, для сервера выделяется специальная комната (серверная), вход в которую ограничен. Однако помимо центральной серверной в других помещениях могут находиться местные локальные серверы. Внешне определить местоположение компьютеров, подключен­ных к вычислительной сети, иногда помогает электропроводка: достаточно проследить трассы кабелей или специальных коро­бов для защиты кабелей.

Иногда в процессе фиксации и изъятия может возникнуть необходимость описания содержимого жесткого диска. Однако, по нашему мнению, совпадающему с мнением большинства специалистов в сфере современных информационных техноло­гий, эту процедуру необходимо проводить только в ходе экс­пертного исследования.

При изъятии компьютеров и носителей данных их следует упаковывать и опечатывать. Системные блоки компьютеров должны быть пронумерованы, а все разъемы опечатаны. Следу­ет пронумеровать все носители информации, пакеты, в которые они запакованы, проставить соответствующие опознавательные знаки на бумажных аналогах информации (при наличии тако­вых). При опечатывании компьютеров не следует пользоваться жидким клеем или другими веществами, которые могут испор­тить техническое средство. Наиболее эффективен следующий способ фиксации компьютерного средства:

1)   выключить компьютер;
2)    отключить его от сети;
3)    отсоединить все разъемы;
4)   на длинной полосе бумаги поставить подписи следовате­ля, специалиста, понятых, представителей персонала или адми­нистрации и номер;
5)   наложить эти полосы на разъемы для подключения пита­ния, а также на кнопки сетевого включения. В качестве клея­щего средства можно использовать липкую ленту или густой клей. При использовании липкой ленты ее надо наносить так, чтобы любая попытка снять ее нарушала целостность бумажной полосы с подписями;
6)   такой же бумажной полосой опечатать крышку корпуса таким образом, чтобы исключить возможность доступа к внут­ренним элементам системного блока без нарушения ее целост­ности.

Кроме указанного способа, на практике все чаще использу­ется другой способ опечатывания системного блока. Последний помещается в полиэтиленовый (либо холщовый) пакет и далее опечатывается уже сам пакет (доступа не будет ни к разъемам, ни к кнопкам, ни к корпусу).

Для опечатывания носителей информации необходимо упаковать их в жесткую негнущуюся коробку и опечатать ее. Далее следует сделать на отдельном листе бумаги подробное описание упакованных носителей (тип каждого из них, коли­чество). Коробка с носителями и описание помещается в по­лиэтиленовый пакет, который заклеивается. Кроме коробок, в крайнем случае, для упаковки компьютерных средств могут быть использованы большие полотняные мешки или куски ткани. Если изымается жесткий диск (винчестер), то его не­обходимо упаковать в антистатический пакет, предотвратить его свободное перемещение в упаковке при транспортировке и опечатать.

Изъятие компьютерных средств должно производиться в один прием. При отсутствии транспорта следует организовать строгую охрану изъятого оборудования в специальном помеще­нии. Недопустимо предоставление части изъятых средств в рас­поряжение организации (учреждения) по причинам «производ­ственной необходимости», так как в процессе работы могут быть внесены изменения в файлы информации или програм­мы. Такие действия могут повлечь за собой повреждение или уничтожение имеющейся компьютерной информации. Извест­ны совершенно недопустимые случаи использования изъятых в качестве вещественных доказательств компьютерных средств следователями и сотрудниками оперативных аппаратов для со­ставления процессуальных документов, отчетов, компьютерных игр. Такие действия должны решительно пресекаться, а винов­ные привлекаться к ответственности, даже если в следственном отделе, расследующем преступление, отказали все служебные компьютеры.

При перевозке компьютерных средств необходимо исклю­чить их механические повреждения и взаимодействие с хими­чески активными веществами. Следует экранировать от воздей­ствий магнитных полей как компьютерные устройства, так и магнитные носители информации. Такое воздействие может привести к порче или уничтожению информации путем размаг­ничивания. Поскольку компьютерные средства попадают на исследование в экспертные учреждения, особое внимание сле­дует обратить на ограждение изъятых объектов от воздействия широко используемых в этих учреждениях магнитосодержащих средств криминалистической техники (например, магнитных подъемников, магнитных кисточек для выявления следов рук и проч.).

При размещении изъятых объектов на хранение соблюдать установленные правила хранения и складирования электрон­ных технических средств. Нельзя ставить системные блоки компьютеров в штабель выше трех штук, а также размещать на них какие-либо другие предметы. Хранят компьютеры и комплектующие в сухом, отапливаемом помещении. Следует удостовериться, что в нем нет грызунов (мышей и крыс), ко­торые часто являются причиной неисправности аппаратуры. Кроме того, категорически не рекомендуется курить, прини­мать пищу и содержать животных в помещениях, предназна­ченных для хранения компьютерной техники и магнитных но­сителей.