§ 6. Назначение экспертиз

При расследовании преступлений в сфере компьютерной информации назначаются и проводятся различные экспертизы, в том числе традиционные криминалистические, экспертизы веществ и материалов, экономические и др. Назначение и проведение перечисленных экспертиз особых затруднений не вызывает, что касается собственно компьютерно-технических экспертиз, то они относятся к новому роду и представляют значительные сложности. Это объясняется отсутствием соответствующих специалистов а так же отра­ботанных методик проведения отдельных ее видов.

Комплекс экспертиз, назначаемых при расследовании неправомерного доступа к компьютерной информации будет меняться и зависеть от способа совершения и механизма преступления.

Рассматривая компьютерно-техническую экспертизу как самостоятельный род судебных экспертиз, относящийся к классу инженерно-технических, Е.Р.Россинская и А.И.Усов выделяет следующие ее виды: аппаратно-компьютерная экспертиза; программно-компьютерная экспертиза; компью­терно-сетевая экспертиза. Рассмотрим данные виды более подробно:

Сущность судебной аппаратно-компьютерной экспертизы заключается в проведении исследования технических (аппаратных) средств компьютерной системы. Предметом данного вида судебной компьютерно-технической экспертизы являются факты и обстоятельства, устанавливаемые на основе исследования закономерностей эксплуатации аппаратных средств компью­терной системы - материальных носителей информации о факте или событии уголовного или гражданского дела.

Для проведения экспертного исследования программного обеспечения предназначен такой вид компьютерно-технической экспертизы, как программно-компьютерная экспертиза. Ее видовым предметом являются закономерности разработки (создания) и применения (использования) программного обеспечения компьютерной системы, представленной на исследование в целях установления истины по гражданскому или уголовному делу. Целью программно-компьютерной экспертизы является изучение функционального предназначения, характеристик и реализуемых требований, алгоритма и структурных особенностей, текущего состояния представленного на исследование программного обеспечения компью­терной системы.

Судебная информационно-компьютерная экспертиза (данных) является ключевым видом судебной компьютерно-технической экспертизы, так как позволяет завершить целостное построение доказательственной базы путем окончательного разрешения большинства диагностических и идентифика­ционных вопросов, связанных с компьютерной информацией. Целью этого вида является поиск, обнаружение, анализ и оценка информации, подгото­вленной пользователем или порожденной (созданной) программами для организации информационных процессов в компьютерной системе.

Отдельный вид компьютерно-технической экспертизы - судебная компьютерно-сетевая экспертиза, в отличие от предыдущих основывается, прежде всего, на функциональном предназначении компьютерных средств, реализующих какую-либо сетевую информационную технологию. Поэтому исследование фактов и обстоятельств, связанных с использованием сетевых и телекоммуникационных технологий, по заданию следственных и судебных органов в целях установления истины по уголовному или гражданскому делу составляют видовой предмет компьютерно-сетевой экспертизы. Она выделена в отдельный вид в связи с тем, что лишь использование специаль­ных познаний в области сетевых технологий позволяет соединить воедино полученные объекты, сведения о них и эффективно решить поставленные экспертные задачи. Особое место в компьютерно-сетевой экспертизе занимают экспертные исследования по уголовным и гражданским делам, связанным с Интернет-технологиями.

Объект применения специальных познаний этой СКТЭ может быть разным - от компьютеров пользователей, подключенных к Internet, до различных ресурсов поставщика сетевых услуг (провайдера Internet) и предоставляемых им информационных услуг (электронная почта, служба электронных объявлений, телеконференции, WWW-сервис и пр.). В связи со стремительным развитием современных телекоммуникаций и связи, в судебной компьютерно-сетевой экспертизе можно выделить судебную телематическую экспертизу, предметом которой являются фактические данные, устанавливаемые на основе применения специальных познаний при исследовании средств телекоммуникаций и подвижной связи как мате­риальных носителей информации о факте или событии какого-либо уголо­вного либо гражданского дела.

Нам представляется, что можно выделить следующие виды компьютерно-технических экспертиз, необходимость назначения которых возникает при расследовании преступлений в сфере компьютерной информации компьютерной информации:

техническая экспертиза компьютеров и периферийных устройств. Она назначается и проводится в целях изучения технических особенностей компьютера, его периферийных устройств, технических параметров компьютерных сетей, а также причин возникновения сбоев в работе компью­терного оборудования;

техническая экспертиза оборудования защиты компьютерной информа­ции. Проводится в целях изучения технических устройств защиты информа­ции, используемых на данном предприятии, организации, учреждении или фирме;

экспертиза машинных данных и программного обеспечения ЭВМ. Осуществляется в целях изучения информации, хранящейся в компьютере и на магнитных носителях, в том числе изучение программных методов защиты компьютерной информации;

экспертиза программного обеспечения и данных, используемых в компьютерной сети. Проводится в целях изучения информации, которая обрабатывается с помощью компьютерных сетей, эксплуатируемых на данном предприятии, организации, учреждении, фирме или компании.

С.А.Катков выделяет в качестве самостоятельного вида экспертизы по восстановлению содержания документов на магнитных носителях. Нам представляется, что исходя из решаемых данным видом экспертного исследования вопросов, оно целиком относится к экспертизе машинных данных и программного обеспечения.

Как показывает практика, возможно так же назначение комплексной экспертизы, сочетающей в себе дактилоскопическую, компьютерно-техничес­кую экспертизу, экспертизу веществ и материалов, технико-криминалисти­ческую экспертизу документов, а так же иные виды экспертного исследования.

На разрешение технической экспертизы компьютеров ставятся следую­щие диагностические вопросы:

какая модель компьютера представлена на исследование, каковы его технические характеристики, параметры периферийных устройств?

находится ли представленная компьютерная техника в исправном состоянии? Возможна ли ее эксплуатация? Если нет, то по каким причинам;

соответствует ли представленная документация данным техническим устройствам и периферийному оборудованию?

каковы условия сборки компьютера и его комплектующих: фирменная сборка, сборка из комплектующих в другой фирме или кустарная сборка? Имеются ли в наличии дополнительные устройства, не входящие в базовый комплект поставки (базовый комплект определяется из документации)?

имеет ли место наличие неисправностей отдельных устройств, магнитных носителей информации (выявляются различными тестовыми программами)?

не проводилась ли адаптация компьютера для работы с ним специфи­ческих пользователей (левша, слабовидящий и пр.)?

К идентификационным можно отнести вопрос о наличии у комплектую­щих компьютера (например, печатных плат, магнитных носителей, дисково­дов и пр.) единого источника происхождения.

При технической экспертизе оборудования защиты ставятся следующие вопросы:

какие технические устройства используются для защиты компьютерной информации? Каковы их технические характеристики?

есть ли в наличии техническая документация на эти изделия? Соотве­тствуют параметры устройств, изложенным в документации?

подвергались или нет средства защиты программной модификации или физическому воздействию? Используются или нет кустарные средства защиты информации?

При экспертизе данных и программного обеспечения могут решаться как диагностические, так и идентификационные задачи. В зависимости от конкретных обстоятельств при решении диагностических задач вопросы могут быть следующими:

каков тип операционной системы, используемой в компьютере? Какова ее версия?

какие программные продукты эксплуатируются на данном компьютере? Являются ли они лицензионными, или «пиратскими» копиями, или собственными оригинальными разработками? Когда производилась инсталляция (установка) данных программ?

каково назначение программных продуктов? Для решения каких прикладных задач они предназначены? Какие способы ввода и вывода информации используются? Соответствуют ли результаты выполнения программ требуе­мым действиям?

какие программные методы защиты информации используются (пароли, идентификационные коды, программы защиты и т.д.)? Не предпринимались ли попытки подбора паролей или иные попытки неправомерного доступа к компьютерной информации?

какая информация содержится в скрытых файлах?

имеются ли на представленном магнитном носителе стертые (удаленные) файлы? Если да, то каковы их имена, размеры и даты создания, давность удаления?

возможно ли восстановление ранее удаленных файлов и каково их содержание?

изменялось ли содержание файлов (указать, каких именно), если да, то в чем оно выразилось?

в каком виде хранится информация о результатах работы антивирусных программ, программ проверки контрольных сумм файлов? Каково содержание данной информации?

имеет ли место наличие сбоев в работе отдельных программ? Каковы причины этих сбоев?

в каком состоянии находятся и что содержат файлы на магнитных носите­лях? Когда производилась последняя корректировка этих файлов?

к каким именно файлам делала обращение программа (указать, какая именно), представленная на машинном носителе и какие информационные файлы она создавала?

При решении идентификационных задач могут быть поставлены следующие вопросы:

выполнена ли отдельная программа (или ее часть) определенным лицом?

соответствуют ли используемые в программах пароли и идентифика­ционные коды вводимым пользователем.

При экспертизе сетевого программного обеспечения и данных ставятся следующие вопросы:

какое программное обеспечение используется для функционирования компьютерной сети? Является ли оно лицензионным?

каким образом осуществляется соединение компьютеров сети? Имеется ли выход на глобальные компьютерные сети?

какие компьютеры являются серверами (главными компьютерами) сети?

каким образом осуществляется передача информации на данном предприятии, учреждении, организации, фирме или компании по узлам компьютерной сети?

используются ли для ограничения доступа к информации компьютерной сети пароли, идентификационные коды? В каком виде они используются?

имеются ли сбои в работе отдельных программ, отдельных компьютеров при функционировании их в составе сети? Каковы причины этих сбоев?

какая информация передается, обрабатывается и модифицируется с использованием компьютерной сети?

Необходимо отметить, что объектами компьютерно-технических экспертиз кроме компьютеров в привычном понимании, их отдельных блоков, периферийных устройств, технической документации к ним, а так же носителей компьютерной информации могут выступать и компьютеры в непривычном понимании: электронные записные книжки, пейджеры, сотовые телефоны, электронные кассовые аппараты, иные электронные носители текстовой или цифровой информации, документация к ним. При этом на разрешения эксперта ставятся аналогичные вопросы.

Представляет интерес позиция В.В.Агафонова и А.Г.Филиппова, считающих, что в определенных случаях производство экспертизы можно заменить другим следственным действием, в частности, следственным осмотром или следственным экспериментом. Не вдаваясь в дискуссию по данному вопросу, отметим, что в тех случаях, когда собственных познаний следователя достаточно, и ему не требуются привлечения специальных познаний (например, при установлении факта нахождения определенной информации на машинном носителе), экспертизу действительно можно не назначать, а зафиксировать факт нахождения данной информации путем следственного осмотра с участием специалиста.

В экспертно-криминалистическом центре МВД России в 1994 году разработана методика идентификации оператора компьютера по его клавиатурному «почерку». На основе проведения обширного эксперимента, использования аппарата математической статистики было установлено существование комплекса признаков, идентифицирующих конкретного оператора ЭВМ. К числу таких признаков относятся: темп работы (среднее количество нажатий на клавиши клавиатуры за единицу времени, характери­зующее опыт и технику работы оператора на клавиатуре); время удержания отдельных клавиш в нажатом состоянии; время перехода от одной клавиши к другой; использование альтернативных клавиш (например, Shift, CapsLock и т.д.). На основе этого компьютерная программа производит фиксацию и анализ статистически значимых признаков индивидуального «почерка» работы оператора на клавиатуре.

Необходимо отметить, что в настоящее время, класс компьютеро-технических экспертиз находится еще в стадии разработки. Проведенное исследование показало, что следователи испытывают значительные сложности с назначением подобных экспертиз, поскольку не во всех эксперт­ных учреждениях имеются соответствующие специалисты, большинство следователей не знают о возможностях компьютерно-технических экспертиз, какие вопросы ставятся на их разрешение и какие материалы предоставля­ются в распоряжение экспертов.