8 (495) 766 06 78

expertiza@ceae-ocenka.ru

Судебные компьютерно-технические экспертизы (СКТЭ)

Судебные компьютерно-технические экспертизы (СКТЭ) производятся в целях определения статуса объекта как компью­терного средства, выявления и изучения его роли в расследуе­мом преступлении, а также получения доступа к информации на носителях данных с последующим всесторонним ее исследо­ванием. Специальные знания СКТЭ составляют электроника, электротехника, информационные системы и процессы, радио­техника и связь, вычислительная техника (в том числе програм­мирование) и автоматизация. Общим предметом СКТЭ яв­ляются факты и обстоятельства, устанавливаемые на основе исследования закономерностей разработки и эксплуатации компьютерных средств, обеспечивающих реализацию информа­ционных процессов, которые зафиксированы в материалах гражданского или уголовного дела, дела об административном правонарушении. Необходимость в СКТЭ обусловливается ши­роким внедрением компьютерных технологий практически во все сферы человеческой деятельности.

Родовая классификация СКТЭ организована на основе обеспечивающих компонент любого компьютерного средства (аппаратного, или технического, программного и информаци­онного обеспечения).
Соответственно этому в СКТЭ выделя­ются:

1)   аппаратно-компьютерная экспертиза;
2)    программно-компьютерная экспертиза;
3)    информационно-компьютерная экспертиза (данных);
4)    компьютерно-сетевая экспертиза.

Данная классификация может быть эффективно использова­на при назначении комплексных экспертиз и решения большо­го перечня задач.

I. Сущность судебной аппаратно-компьютерной экспертизы заключается в проведении исследования технических (аппарат­ных) средств компьютерной системы. Предметом данного вида СКТЭ являются факты и обстоятельства, устанавливаемые на основе исследования закономерностей эксплуатации аппарат­ных средств компьютерной системы — материальных носите­лей информации о факте или событии гражданского либо уго­ловного дела.

Вопросы, разрешаемые судебной аппаратно-компьютерной экспертизой.

  • Относится ли представленное устройство к аппаратным компьютерным средствам?
  • К какому типу (марке, модели) относится аппаратное сред­ство? Каковы его технические характеристики и параметры?
  • Каково функциональное предназначение аппаратного средства?
  • Какова роль и функциональные возможности данного ап­паратного средства в конкретной компьютерной системе?
  • Относится ли данное аппаратное средство к представлен­ной компьютерной системе?
  • Используется ли данное аппаратное средство для решения конкретной функциональной задачи?
  • Какое первоначальное состояние (конфигурацию, харак­теристики) имело аппаратное средство?
  • Каково фактическое состояние (исправно, неисправно) представленного аппаратного средства? Имеются ли в нем от­клонения от типовых (нормальных) параметров, в том числе и физические дефекты?
  • Какие эксплуатационные режимы установлены на данном аппаратном средстве?
  • Является ли неисправность данного средства следствием нарушения определенных правил эксплуатации?
  • Каковы причины изменения функциональных (потреби­тельских) свойств в начальной конфигурации представленного аппаратного средства?
  • Является ли представленное аппаратное средство носите­лем информации?
  • Каков вид (тип, модель, марка) представленного носите­ля информации?
  • Какое запоминающее устройство предназначено для ра­боты с данным накопителем информации? Имеется ли в соста­ве представленной компьютерной системы запоминающее уст­ройство для работы с этим носителем информации?
  • Каковы параметры (форм-фактор, емкость, среднее вре­мя доступа к данным, скорость передачи данных и др.) носите­ля информации? Какой метод хранения данных реализован на представленном носителе?
  • Доступен ли для чтения представленный носитель ин­формации?
  • Каковы причины отсутствия доступа к носителю инфор­мации?

Объектами судебной аппаратно-компьютерной экспертизы являются:

а)  персональные компьютеры (настольные, портативные);
б)  периферийные устройства;
в) сетевые аппаратные средства (серверы, рабочие станции, активное оборудование, сетевые кабели и т. д.)
г)  интегрированные системы (органайзеры); пейджеры;
д)  мобильные телефоны и т. п.;
е) встроенные системы на основе микропроцессорных кон­троллеров (иммобилайзеры, транспондеры, круиз-контроллеры и проч.);
ж)  любые комплектующие всех указанных компонент (аппа­ратные блоки, платы расширения, микросхемы и др.).

В судебно-экспертном аспекте наиболее важны такие объек­ты, как запоминающие устройства и носители данных, включая все известные на момент проведения экспертизы электронные носители данных: микросхемы памяти, магнитные и лазерные диски, магнитооптические диски, магнитные ленты, флэш-кар­ты и т. д.

Примером аппаратно-компьютерной экспертизы является изучение возможностей применения нетипичных или нештат­ных (например, в случае удара или внезапного отказа) способов исследования носителей данных (чаще всего жестких дисков) с целью извлечения криминалистически значимой информации, хранящейся на них. Другой пример связан с установлением ра­ботоспособности системного блока компьютера.

Так, по одному из гражданских дел на экспертизу был представлен системный блок персонального компьютера.

Вопросы эксперту были сформулированы следующим образом.

  1. Находится ли системный блок в работоспособном состоянии, ес­ли нет, то какие имеются неисправности?
  2. Является ли выявленная неисправность заводским браком либо следствием нарушения эксплуатации?
  3. Имеется ли причинная связь между выходом из строя видеокон­троллера системного блока и установкой внутреннего модема?
  4. Мог ли заряд статического электричества повредить комплек­тующие элементы системного блока при их самостоятельной установ­ке либо замене?

В результате выявленного комплекса диагностических признаков в ходе экспертного исследования было доказано наличие в материнской плате системного блока компьютера заводского брака, приведшего к аппаратной неисправности всего компьютера.

II. Для осуществления экспертного исследования программ­ного обеспечения предназначена судебная программно-компью­терная экспертиза. Ее предметом являются закономерности разработки (создания) и применения (использования) про­граммного обеспечения компьютерной системы, представлен­ной на исследование в целях установления истины по граждан­скому или уголовному делу. Целью судебной программно-ком­пьютерной экспертизы является изучение функционального предназначения, характеристик и реализуемых требований, ал­горитма и структурных особенностей, текущего состояния представленного на исследование программного обеспечения компьютерной системы.

На разрешение судебных экспертиз этого рода ставятся сле­дующие вопросы.

  1. Какова общая характеристика представленного программ­ного обеспечения, из каких компонент (программных средств) оно состоит?
  2. Какую классификацию имеют конкретные программные средства (системные или прикладные) представленного про­граммного обеспечения? Обладают ли они признаками контра­фактности?
  3. Каково наименование, тип, версия, вид представления (явный, скрытый, удаленный) программного средства?
  4. Каковы реквизиты разработчика и владельца данного программного средства?
  5. Каков состав соответствующих файлов программного обеспечения, каковы их параметры (объемы, даты создания, ат­рибуты)?
  6. Какое общее функциональное предназначение имеет про­граммное средство?
  7. Имеются ли на носителях информации программные средства для реализации определенной функциональной за­дачи?
  8. Какие требования предъявляет данное программное сред­ство к аппаратным средствам компьютерной системы?
  9. Какова совместимость конкретного программного средст­ва с программным и аппаратным обеспечением компьютерной системы?
  10. Используется ли данное программное средство для ре­шения определенной функциональной задачи?
  11. Каково фактическое состояние программного средства, его работоспособность по реализации отдельных (конкретных) функций?
  12. Каким образом организован ввод и вывод данных в представленном программном средстве?
  13. Имеются ли в программном средстве отклонения от нор­мальных параметров типовых программных продуктов (напри­мер, свойства инфицирования, недокументированных функ­ций)?
  14. Имеет ли программное средство защитные возможности (программные, аппаратно-программные) от несанкциониро­ванного доступа и копирования?
  15. Каким образом организованы защитные возможности программного средства?
  16. Каков общий алгоритм данного программного средства?
  17. Какие программные инструментальные средства (языки программирования, компиляторы, стандартные библиотеки) использовались при разработке данного программного сред­ства?
  18. Имеются ли на носителях информации тексты (коды) с первоначальным состоянием программы?
  19. Подвергался ли алгоритм программного средства моди­фикации по сравнению с исходным состоянием? В чем это на­шло отражение?
  20. Какой вид имело программное средство до его послед­ней модификации?
  21. Использованы ли в алгоритме программы и ее тексте какие-либо специфические (нестандартные) приемы алгорит­мизации и программирования?
  22. С какой целью было произведено изменение каких-либо функций в программном средстве?
  23. Направлены ли внесенные изменения в программное средство на преодоление его защиты?
  24. Достигается ли решение определенных задач после вне­сения изменений в программное средство?
  25. Каким способом были произведены изменения в про­грамме (преднамеренно, воздействием вредоносной програм­мы, ошибками программной среды, аппаратным сбоем и др.)?
  26. Какова хронология внесения изменений в программном средстве?
  27. Какова хронология использования программного средст­ва (начиная с ее инсталляции)?
  28. Имеются ли в программном средстве враждебные функ­ции, которые влекут уничтожение, блокирование, модифика­цию либо копирование информации, нарушение работы ком­пьютерной системы?
  29. Каковы последствия дальнейшей эксплуатации опреде­ленного программного средства?

Объектами программно-компьютерной экспертизы являются:

а) системное программное обеспечение (операционные сис­темы);
б)  вспомогательные программы — утилиты;
в)  средства разработки и отладки программ;
г)  служебная системная информация;
д) прикладное программное обеспечение (приложения об­щего назначения — текстовые и графические редакторы, систе­мы управления базами данных, электронные таблицы, редакто­ры презентаций и т. д.; приложения специального назначения для решения задач в определенной области науки, техники, экономики и т. д.).

Показательным примером программно-компьютерной экспертизы является экспертное исследование программного обеспечения, позво­лившее успешно расследовать хищение денежных средств путем ис­пользования несовершенства компьютерной программы. Л., являясь клиентом одного из коммерческих банков, обратил внимание на час­тичную несовместимость программы автоматизации банковских опера­ций «ПАБА» и программы обслуживания пластиковых карточек «Ар­канзас». Первая программа предусматривала для любой валюты два до­полнительных знака, рассчитанных на центы, копейки и т. д. Вторая же программа при операциях с валютами, не имеющими деления на более мелкие единицы (такие, как итальянская лира, японская иена и проч.), считывала последний знак как единицу основной валюты. В ре­зультате при снятии через банкомат средств со счета в иностранной ва­люте, не имеющей деления на мелкие единицы, остаток на счету оста­вался большим в сто раз, чем было в действительности. Это позволяло снимать со счета суммы в указанной валюте, стократно превышающие вклад. Произведенное в процессе экспертного исследования изучение используемого программного обеспечения позволило выявить имею­щуюся нестыковку и установить фактические обстоятельства выполне­ния ошибочных операций.