8 (495) 766 06 78

expertiza@ceae-ocenka.ru

Судебная компьютерно-сетевая экспертиза

Судебная компьютерно-сетевая экспертиза в отличие от предыдущих основывается, прежде всего, на функциональном предназначении компьютерных средств, реализующих какую- либо сетевую информационную технологию. Она выделена в отдельный вид в связи с тем, что лишь использование специ­альных знаний в области сетевых технологий позволяет соеди­нить воедино полученные объекты, сведения о них и эффек­тивно решить поставленные экспертные задачи. Особое место в компьютерно-сетевой экспертизе занимают экспертные иссле­дования, связанные с интернет-технологиями.

Судебная экспертиза этого рода производится для решения следующих задач:

а) определение свойств и характеристик аппаратного средст­ва и программного обеспечения, установление места, роли и функционального предназначения исследуемого объекта в сети (например, для программного средства в отношении к сетевой операционной системе; для аппаратного средства — отношение к серверу, рабочей станции, активного сетевого оборудования и т. д.);
б) выявление свойств и характеристик вычислительной сети, установление ее архитектуры, конфигурации, выявление уста­новленных сетевых компонент, организации доступа к данным;
в) определение соответствия выявленных характеристик ти­повым для конкретного класса средств сетевой технологии, оп­ределение принадлежности средства к серверной или клиент­ской части приложений;
г) определение фактического состояния и исправности сете­вого средства, наличия физических дефектов, состояния сис­темного журнала, компонент управлением доступа;
д) установление первоначального состояния вычислитель­ной сети в целом и каждого сетевого средства в отдельности, возможного места покупки (приобретения), уточнение измене­ний, внесенных в первоначальную конфигурацию (например, добавление дополнительных сетевых устройств, устройств рас­ширения на сервере либо рабочих станциях и проч.);
е)  определение причин изменения свойств вычислительной сети (например, по организации уровней управления досту­пом), установление факта нарушения режимов эксплуатации сети, фактов (следов) использования внешних («чужих») про­грамм и т. п.;
ж)  определение свойств и состояния вычислительной сети по ее отображению в информации носителей данных (напри­мер, RAID-массивы; жесткие диски, флоппи-диски, CD-ROM, ZIP-накопители и т. п.);
з)   определение структуры механизма и обстоятельства собы­тия в сети по его результатам (например, сценария несанкцио­нированного доступа, механизма распространения в сети вре­доносных функций и т. д.);
и)  установление причинной связи между использованием конкретных аппаратно-программных средств вычислительной сети и результатами их применения.

Как видно, задачи судебной компьютерно-сетевой эксперти­зы охватывают практически все основные задачи основных ро­дов СКТЭ, т. е. решение аппаратных, программных и инфор­мационных аспектов при установлении фактов и обстоятельств дела.

Наиболее часто встречаемыми в практике вопросами явля­ются следующие.

  1. Имеются ли признаки работы данного компьютерного средства в сети Интернет?
  2. Какие аппаратные средства использовались для подклю­чения к Интернету?
  3. Имеются ли заготовленные соединения с узлом сети Ин­тернет и каковы их свойства (номера телефонов провайдера, имена и пароли пользователя, даты создания)?
  4. Каково содержание установок программы удаленного дос­тупа к сети и протоколов соединений?
  5. Какие имеются адреса Интернета, по которым осуществ­лялся доступ с данного компьютерного средства?
  6. Имеется ли какая-либо информация о проведении элек­тронных платежей и использовании кодов кредитных карт?
  7. Имеются ли почтовые сообщения, полученные (а также отправленные) по электронной почте?
  8. Имеются ли сообщения, полученные (отправленные) по­средством использования программ персональной связи через Интернет, и каково их содержание?

Весьма показательным является пример проведения судеб­ной компьютерно-сетевой экспертизы так называемых про­граммных закладок, предоставляющих возможность несанк­ционированного доступа по сети к данным чужих компьюте­ров. Суть экспертного исследования программных закладок заключается в установлении признаков «несанкционирован­ных» действий (т. е. возможности выполнения своих действий с информацией на ЭВМ без уведомления и согласия ее закон­ного пользователя), а также выявление адресов, по которым производится «несанкционированная» пересылка тех или иных данных с ЭВМ.

Наиболее достоверным методом проведения подобной экс­пертизы является метод эксперимента в среде вычислительной сети. В случае решения задач экспертизы программных закла­док относительно сети Интернет (при постановке вопросов от­носительно механизма действий программ «троянцев») требу­ется создание некой модели сети Интернет (точнее, ее сегмен­та). Эта модель обычно состоит из четырех компьютеров, имитирующих основных участников сетевого взаимодействия в Интернете. Первый компьютер имитирует компьютер какого- либо физического лица или организации, подключенный к се­ти Интернет через определенного провайдера. Вторым имити­руемым компьютером является сервер интернет-провайдера. Именно с его помощью определяются интернет-адреса других компьютеров в сети, к которым обращается программная за­кладка. Третий компьютер имитирует работу сервера доменной системы имен (DNS). Четвертым компьютером имитируется компьютер-получатель, по адресу которого программная за­кладка передает те или иные данные.

Таким образом, только использование в ходе производства экспертизы указанного аппаратно-программного комплекса позволяет провести достоверное исследование программных закладок, которые отправляют по электронной почте (e-mail) регистрационные данные пользователей для доступа к сети Ин­тернет, и получить соответствующие категорические выводы.

В связи со стремительным развитием современных телеком­муникаций и связи в судебной компьютерно-сетевой эксперти­зе можно выделить судебную телематическую экспертизу, пред­метом которой являются фактические данные, устанавливаемые на основе применения специальных знаний при исследовании средств телекоммуникаций и подвижной связи как материаль­ных носителей информации о факте или событии, имеющем от­ношение к гражданскому или уголовному делу.

Практика показывает, что рассмотренные выше основные виды СКТЭ при производстве большинства экспертных иссле­дований применяются комплексно и чаще всего последователь­но. Поэтому в настоящее время в постановлении на производ­ство судебной экспертизы целесообразно указывать не родовое наименование экспертизы, а назначать судебную компьютерно­техническую экспертизу.

Можно сформулировать вопросы комплексного исследования при судебной экспертизе целостной компьютерной системы (устройства).

  • Является ли представленное оборудование компьютерной системой?
  • Является ли представленное оборудование целостной компьютерной системой или же ее частью?
  • К какому типу (марке, модели) относится компьютерная система?
  • Каковы общие характеристики сборки компьютерной системы и изготовления ее компонент?
  • Какой состав (конфигурацию) и технические характери­стики имеет компьютерная система?
  • Является ли конфигурация компьютерной системы типо­вой или расширенной под решение конкретных задач?
  • Какое функциональное предназначение имеет компью­терная система?
  • Имеются ли в компьютерной системе наиболее выражен­ные функции (потребительские свойства)?
  • Решаются ли с помощью представленной компьютерной системы определенные функциональные (потребительские) за­дачи?
  • Находится ли компьютерная система в рабочем состоя­нии?
  • Имеет ли компьютерная система какие-либо отклонения от типовых (нормальных) параметров, в том числе физические (механические) дефекты?
  • Какой перечень эксплуатационных режимов имеется в компьютерной системе?
  • Какие эксплуатационные режимы задействованы (уста­новлены) в компьютерной системе?
  • Существуют ли в компьютерной системе недокументиро­ванные (сервисные) возможности, если да, то какие?
  • Какие носители информации имеются в данной компью­терной системе?
  • Реализована ли в компьютерной системе какая-либо сис­тема защиты информации?
  • Какая система защиты информации имеется в данной компьютерной системе? Каковы тип, вид и характеристики этой системы защиты? Каковы возможности по ее преодолению?

Кроме того, в ходе ряда пограничных исследований иногда возникает потребность привлекать специальные знания и из других научных областей. Так, например, обстоит дело с ре­шением задач снятия парольной защиты, получения доступа к закодированным данным, обнаруженным в ходе проведения экспертного исследования, расшифровки информации с по­врежденной структурой данных, всестороннего анализа раз­личных криптографических алгоритмов, программ и аппарат­ных средств. Это направление экспертной деятельности тесно связано с самостоятельной областью исследований — крипто­графией и защитой информации.

Ведущее место среди судебных экспертиз, назначаемых в комплексе с СКТЭ, занимает судебно-техническая экспертиза документов (СТЭД). Именно с необходимостью исследования поддельных документов, ценных бумаг и денежных знаков, от­тисков печатей, кредитных и расчетных карт, изготовленных с применением современных информационных технологий, свя­зано большинство комплексных экспертиз в рассматриваемой сфере. Объектами такой комплексной экспертизы являются как некоторые объекты СКТЭ, предназначенные для создания, хранения и передачи информации, так и некоторые объекты СТЭД — документы в бумажной форме. В качестве объектов может также выступать полиграфическое оборудование и орг­техника, интегрированные с компьютерными средствами.

В последние годы широкое распространение получают мультимедийные технологии, которые основаны на представле­нии данных в формате видеоизображения с применением ани­мации и звукового сопровождения. Звуковые и видеофайлы в форматах мультимедиа на носителях данных, в том числе на компакт-дисках c аудио- и видеопродукцией, могут фигуриро­вать в деле в качестве объектов, несущих доказательственную информацию о фактах, событиях, людях. Для непосредственно­го исследования цифровых видеозаписей и звуковых записей должна быть назначена судебная видеофоноскопическая экспер­тиза. Только в ходе указанного исследования могут быть пол­ностью разрешены вопросы относительно достоверности муль­тимедийной записи, а также установлено, выполнена ли она на конкретном устройстве. Пограничными здесь оказываются и вопросы, связанные с возможностью монтажа записи, непре­рывности ее выполнения и т. п. В случае разрешения вопросов, касающихся исследования звуковой речевой информации, т. е. файлов со звуковыми форматами, требуется назначение комплексной СКТЭ и судебной фоноскопической экспертизы. Эти вопросы часто возникают в связи с широким распростра­нением контрафактной продукции на компакт-дисках.

Следующая пограничная область специальных знаний явно просматривается в экономической и кредитно-финансовой сфе­ре. При производстве судебно-экономических экспертиз инфор­мация о действительном состоянии исследуемых объектов зачас­тую имеется лишь в компьютере, а документированные сведения на бумажных носителях представлены в значительно изменен­ном виде и могут не отражать действительного положения ве­щей. Использование «двойной» бухгалтерии становится типич­ным способом сокрытия таких преступлений, как присвоение или растрата, уклонение от уплаты налогов, мошенничество и другие, служит средством противодействия расследованию. В общем случае, следы хозяйственных операций, сопоставление фактически совершенных операций с данными, отраженными в бухгалтерском учете и отчетности, устанавливаются судебно­бухгалтерской экспертизой, которая часто производится по граж­данским делам при разрешении споров между юридическими и физическими лицами.

Для автоматизации бухгалтерского учета используется раз­нообразное программное обеспечение. Весьма ценная доказа­тельственная и ориентирующая информация может быть полу­чена при исследовании компьютерных средств, обеспечиваю­щих бухгалтерские проводки, а также данных, содержащихся в компьютерных системах хозяйственных субъектов разных форм собственности. В таких случаях целесообразно назначение ком­плексной СКТЭ и судебно-бухгалтерской экспертизы.

Для решения задач, касающихся финансовой деятельности предприятий, соблюдения законодательных актов, регулирую­щих их финансовые отношения с государственным бюджетом, выполнения договорных обязательств, распределения и выпла­ты дивидендов, операций с ценными бумагами, инвестициями, и назначаются судебные финансово-экономические экспертизы, которые, как правило, также должны выполняться комплексно с СКТЭ.

Другой род класса экономических экспертиз — судебно­товароведческая экспертиза также стыкуется в определенных случаях с СКТЭ. Если при рассмотрении гражданского или уголовного дела речь заходит о технологии производства (изго­товления) компьютерной техники, то налицо необходимость назначения комплексной товароведческой и компьютерно-тех­нической экспертизы. В сути этого исследования лежит инте­грация специальных знаний в технологии производства товара и компьютерных технологий. Эксперты изучают в этом случае не только сами товары — компьютерные средства, но и их по­требительские свойства, факторы, оказывающие влияние на потребительскую стоимость, основные и вспомогательные ма­териалы, из которых изготовлено компьютерное средство, изу­чается тара и упаковка.

Поскольку результаты СКТЭ напрямую зависят от сохран­ности информации, необходимо при изъятии объектов и подго­товке их на экспертизу соблюдать ряд правил, указанных в со­ответствующих методических руководствах. При производстве следственных или иных действий, в процессе которых изыма­ются объекты для экспертизы, необходимо исключить намерен­ную порчу или уничтожение хранящейся в компьютерах ин­формации. Для сокрытия информации на компьютерах могут быть установлены специальные защитные программы, которые при некорректном обращении с защищаемыми данными вклю­чают процесс их уничтожения, искажения, маскировки.

Включать и выключать компьютеры, производить с ними ка­кие-либо манипуляции может только специалист, участвующий в производстве данного следственного действия.

Если на объекте было отключено электроснабжение, напри­мер, в связи с пожаром или взрывом, до его включения следует проверить, находятся ли все компьютеры и периферийные уст­ройства в отключенном состоянии. Если компьютер на момент начала осмотра (обыска) оказался включен, необходимо оценить информацию, изображенную на дисплее, и определить, какая программа исполняется на данный момент. В случае работы стандартного программного обеспечения нельзя приступать к каким-либо манипуляциям на входе без предварительного визу­ального осмотра технических средств. Экран монитора необхо­димо сфотографировать. Отключить все телефонные линии, под­ключенные к компьютеру (если таковые соединения имеются).

Необходимо подробно описать все соединения на задней стенке системного блока. Если это признано целесообразным, вскрывается кожух системного блока, и визуально определяют конфигурацию ЭВМ, описывают месторасположение электрон­ных плат. Следование данной рекомендации позволит обезопа­сить поиск информации от различного рода устройств повреж­дения или уничтожения, как аппаратных средств, так и инфор­мационной базы. Такими устройствами могут быть электронные ключи, радиозакладки-шумоподавители и др. В случае если при осмотре аппаратных средств выявлены неизвестные участникам следственного действия устройства (платы расширения, нестан­дартные соединения и т. д.), компьютер необходимо сразу вы­ключить. При этом следует не отключать тумблер блока пита­ния, а вынимать вилку из розетки.

Затем следует промаркировать всю систему подключения до того, как провода будут отсоединены, промаркировать все пор­ты и разъемы с тем, чтобы потом можно было осуществить точ­ную реконструкцию расположения кабелей, плат расширения и других устройств. Если конфигурация процессора стандартна, следует корректно завершить работу исполняемой в данный момент программы либо дождаться завершения ее работы для получения дополнительных, возможно искомых, данных. Если для поиска информации задействуется программное обеспече­ние, не находящееся в компьютере, это необходимо отметить в протоколе. Такие программы должны быть стандартны и ли­цензированы и предусматривать возможность наглядного кон­троля за их работой.

При необходимости специалистом может быть выполнено копирование компьютерной информации на заранее приготов­ленные носители или стендовый компьютер. По существующей методике это специализированные малогабаритные персональ­ные компьютеры, оснащенные набором тестовых программных средств.

При обнаружении, фиксации и изъятии криминалистически значимой информации в вычислительной сети необходимо ус­тановить общее количество компьютеров и их распределение по другим помещениям, а также количество и тип используемых серверов и рабочих мест. Далее важно выяснить тип используе­мой сетевой операционной системы и состав прикладного про­граммного обеспечения, используемого в вычислительной сети. Следует также установить факт наличия резервных копий дан­ных и места их хранения.

Особое внимание должно уделяться выявлению выхода в другие, в том числе и глобальные сети, установлению возмож­ностей использования коммуникационных средств для связи с удаленными пользователями, другими организациями (фирма­ми), частными лицами. В это же время определяются принятые в организации мероприятия по защите информации и наличие выхода в Интернет. В случае использования телефонной линии для связи с другими сетями обеспечить отключение телефона, по возможности удалить из помещения все взрывчатые, едкие и легковоспламеняющиеся материалы.

Сразу же при установлении факта наличия в осматриваемом помещении локальной вычислительной сети следует точно ус­тановить местоположение серверов. Как правило, для сервера выделяется специальная комната (серверная), вход в которую ограничен. Однако помимо центральной серверной в других помещениях могут находиться местные локальные серверы. Внешне определить местоположение компьютеров, подключен­ных к вычислительной сети, иногда помогает электропроводка: достаточно проследить трассы кабелей или специальных коро­бов для защиты кабелей.

Иногда в процессе фиксации и изъятия может возникнуть необходимость описания содержимого жесткого диска. Однако, по нашему мнению, совпадающему с мнением большинства специалистов в сфере современных информационных техноло­гий, эту процедуру необходимо проводить только в ходе экс­пертного исследования.

При изъятии компьютеров и носителей данных их следует упаковывать и опечатывать. Системные блоки компьютеров должны быть пронумерованы, а все разъемы опечатаны. Следу­ет пронумеровать все носители информации, пакеты, в которые они запакованы, проставить соответствующие опознавательные знаки на бумажных аналогах информации (при наличии тако­вых). При опечатывании компьютеров не следует пользоваться жидким клеем или другими веществами, которые могут испор­тить техническое средство. Наиболее эффективен следующий способ фиксации компьютерного средства:

1)   выключить компьютер;
2)    отключить его от сети;
3)    отсоединить все разъемы;
4)   на длинной полосе бумаги поставить подписи следовате­ля, специалиста, понятых, представителей персонала или адми­нистрации и номер;
5)   наложить эти полосы на разъемы для подключения пита­ния, а также на кнопки сетевого включения. В качестве клея­щего средства можно использовать липкую ленту или густой клей. При использовании липкой ленты ее надо наносить так, чтобы любая попытка снять ее нарушала целостность бумажной полосы с подписями;
6)   такой же бумажной полосой опечатать крышку корпуса таким образом, чтобы исключить возможность доступа к внут­ренним элементам системного блока без нарушения ее целост­ности.

Кроме указанного способа, на практике все чаще использу­ется другой способ опечатывания системного блока. Последний помещается в полиэтиленовый (либо холщовый) пакет и далее опечатывается уже сам пакет (доступа не будет ни к разъемам, ни к кнопкам, ни к корпусу).

Для опечатывания носителей информации необходимо упаковать их в жесткую негнущуюся коробку и опечатать ее. Далее следует сделать на отдельном листе бумаги подробное описание упакованных носителей (тип каждого из них, коли­чество). Коробка с носителями и описание помещается в по­лиэтиленовый пакет, который заклеивается. Кроме коробок, в крайнем случае, для упаковки компьютерных средств могут быть использованы большие полотняные мешки или куски ткани. Если изымается жесткий диск (винчестер), то его не­обходимо упаковать в антистатический пакет, предотвратить его свободное перемещение в упаковке при транспортировке и опечатать.

Изъятие компьютерных средств должно производиться в один прием. При отсутствии транспорта следует организовать строгую охрану изъятого оборудования в специальном помеще­нии. Недопустимо предоставление части изъятых средств в рас­поряжение организации (учреждения) по причинам «производ­ственной необходимости», так как в процессе работы могут быть внесены изменения в файлы информации или програм­мы. Такие действия могут повлечь за собой повреждение или уничтожение имеющейся компьютерной информации. Извест­ны совершенно недопустимые случаи использования изъятых в качестве вещественных доказательств компьютерных средств следователями и сотрудниками оперативных аппаратов для со­ставления процессуальных документов, отчетов, компьютерных игр. Такие действия должны решительно пресекаться, а винов­ные привлекаться к ответственности, даже если в следственном отделе, расследующем преступление, отказали все служебные компьютеры.

При перевозке компьютерных средств необходимо исклю­чить их механические повреждения и взаимодействие с хими­чески активными веществами. Следует экранировать от воздей­ствий магнитных полей как компьютерные устройства, так и магнитные носители информации. Такое воздействие может привести к порче или уничтожению информации путем размаг­ничивания. Поскольку компьютерные средства попадают на исследование в экспертные учреждения, особое внимание сле­дует обратить на ограждение изъятых объектов от воздействия широко используемых в этих учреждениях магнитосодержащих средств криминалистической техники (например, магнитных подъемников, магнитных кисточек для выявления следов рук и проч.).

При размещении изъятых объектов на хранение соблюдать установленные правила хранения и складирования электрон­ных технических средств. Нельзя ставить системные блоки компьютеров в штабель выше трех штук, а также размещать на них какие-либо другие предметы. Хранят компьютеры и комплектующие в сухом, отапливаемом помещении. Следует удостовериться, что в нем нет грызунов (мышей и крыс), ко­торые часто являются причиной неисправности аппаратуры. Кроме того, категорически не рекомендуется курить, прини­мать пищу и содержать животных в помещениях, предназна­ченных для хранения компьютерной техники и магнитных но­сителей.