20. Какой механизм (последовательность действий) по решению конкретной задачи отражен в определенных данных на носителе информации?
21. Какая хронологическая последовательность действий (операций) с выявленными данными имела место при решении конкретной задачи (например, подготовки изображений денежных знаков, ценных бумаг, оттисков печатей и т.п.)?
22. Какая причинная связь имеется между действиями (вводом, модификацией, удалением и проч.) с данными и имевшим место событием (например, нарушением в работе компьютерной системы, в том числе сбоями в программном и аппаратном обеспечении)?
23. Какова степень соответствия (или несоответствия) действий с конкретной информацией специальному регламенту или правилам эксплуатации определенной компьютерной системы?
Объектами судебной информационно-компьютерной экспертизы (данных) являются файлы, подготовленные с использованием указанных выше и других программных средств - с расширениями текстовых форматов (.txt,.doc...), графических форматов (.bmp,.jpg,.tif,.cdr...), форматов баз данных (.dbf,.mdb...), электронных таблиц (.xls,.cal...) и др.
Примером судебной информационно-компьютерной экспертизы является экспертиза по выявлению фактов и обстоятельств образования недостачи в одной крупной торговой компьютерной фирме. На разрешение экспертизы был поставлен вопрос: "Какая информация по реализации товарно-материальных ценностей за период с марта по август 200_ г. имеется на представленных компьютерах?"
В ходе предварительно проведенного допроса сетевого администратора данной фирмы было установлено, что информация по реализации товарно-материальных ценностей представлена следующими реквизитами: номер товарного чека, наименование товара, цена в долларах и рублях, количество, сумма по чеку, менеджер, дата, и хранится в сводных таблицах помесячно. При производстве экспертизы эксперт СКТЭ исследовал все файлы, имеющиеся на жестких дисках представленных компьютеров, на предмет наличия в них вышеперечисленной информации за указанный период. Все найденные файлы оказались электронными таблицами, подготовленными средствами Microsoft Excel, что соответствовало показаниям сетевого администратора. Для дальнейшего анализа реализации товарно-материальных ценностей полученная информация была распечатана и передана эксперту судебно-бухгалтерской экспертизы, участвующему в данной комплексной экспертизе.
4. Судебная компьютерно-сетевая экспертиза, в отличие от предыдущих, основывается, прежде всего, на функциональном предназначении компьютерных средств, реализующих какую-либо сетевую информационную технологию. Она выделена в отдельный вид в связи с тем, что лишь использование специальных знаний в области сетевых технологий позволяет соединить воедино полученные объекты, сведения о них и эффективно решить поставленные экспертные задачи. Особое место в компьютерно-сетевой экспертизе занимают экспертные исследования, связанные с интернет-технологиями <1>.
--------------------------------
<1> См.: Осипенко А.Л. Борьба с преступностью в глобальных компьютерных сетях: международный опыт. М.: Норма, 2004.
Судебная экспертиза этого рода производится для решения следующих задач:
а) определение свойств и характеристик аппаратного средства и программного обеспечения, установление места, роли и функционального предназначения исследуемого объекта в сети (например, для программного средства в отношении к сетевой операционной системе; для аппаратного средства - отношение к серверу, рабочей станции, активного сетевого оборудования и т.д.);
б) выявление свойств и характеристик вычислительной сети, установление ее архитектуры, конфигурации, выявление установленных сетевых компонент, организации доступа к данным;
в) определение соответствия выявленных характеристик типовым для конкретного класса средств сетевой технологии, определение принадлежности средства к серверной или клиентской части приложений;
г) определение фактического состояния и исправности сетевого средства, наличия физических дефектов, состояния системного журнала, компонент управлением доступа;
д) установление первоначального состояния вычислительной сети в целом и каждого сетевого средства в отдельности, возможного места покупки (приобретения), уточнение изменений, внесенных в первоначальную конфигурацию (например, добавление дополнительных сетевых устройств, устройств расширения на сервере либо рабочих станциях и проч.);
е) определение причин изменения свойств вычислительной сети (например, по организации уровней управления доступом), установление факта нарушения режимов эксплуатации сети, фактов (следов) использования внешних ("чужих") программ и т.п.;
ж) определение свойств и состояния вычислительной сети по ее отображению в информации носителей данных (например, RAID-массивы; жесткие диски, флоппи-диски, CD-ROM, ZIP-накопители и т.п.);
з) определение структуры механизма и обстоятельства события в сети по его результатам (например, сценария несанкционированного доступа, механизма распространения в сети вредоносных функций и т.д.);
и) установление причинной связи между использованием конкретных аппаратно-программных средств вычислительной сети и результатами их применения.
Как видно, задачи судебной компьютерно-сетевой экспертизы охватывают практически все основные задачи основных родов СКТЭ, т.е. решение аппаратных, программных и информационных аспектов при установлении фактов и обстоятельств дела.
Наиболее часто встречаемыми в практике вопросами являются следующие.
1. Имеются ли признаки работы данного компьютерного средства в сети Интернет?
2. Какие аппаратные средства использовались для подключения к Интернету?
3. Имеются ли заготовленные соединения с узлом сети Интернет и каковы их свойства (номера телефонов провайдера, имена и пароли пользователя, даты создания)?
4. Каково содержание установок программы удаленного доступа к сети и протоколов соединений?
5. Какие имеются адреса Интернета, по которым осуществлялся доступ с данного компьютерного средства?
6. Имеется ли какая-либо информация о проведении электронных платежей и использовании кодов кредитных карт?
7. Имеются ли почтовые сообщения, полученные (а также отправленные) по электронной почте?
8. Имеются ли сообщения, полученные (отправленные) посредством использования программ персональной связи через Интернет, и каково их содержание?
Весьма показательным является пример проведения судебной компьютерно-сетевой экспертизы так называемых программных закладок, предоставляющих возможность несанкционированного доступа по сети к данным чужих компьютеров. Суть экспертного исследования программных закладок заключается в установлении признаков несанкционированных действий (т.е. возможности выполнения своих действий с информацией на ЭВМ без уведомления и согласия ее законного пользователя), а также выявление адресов, по которым производится несанкционированная пересылка тех или иных данных с ЭВМ.
Наиболее достоверным методом проведения подобной экспертизы является метод эксперимента в среде вычислительной сети. В случае решения задач экспертизы программных закладок относительно сети Интернет (при постановке вопросов относительно механизма действий программ "троянцев" <1>) требуется создание некой модели сети Интернет (точнее, ее сегмента). Эта модель обычно состоит из четырех компьютеров, имитирующих основных участников сетевого взаимодействия в Интернете. Первый компьютер имитирует компьютер какого-либо физического лица или организации, подключенный к сети Интернет через определенного провайдера. Вторым имитируемым компьютером является сервер интернет-провайдера. Именно с его помощью определяются интернет-адреса других компьютеров в сети, к которым обращается программная закладка. Третий компьютер имитирует работу сервера доменной системы имен (DNS). Четвертым компьютером имитируется компьютер-получатель, по адресу которого программная закладка передает те или иные данные.
--------------------------------
<1> "Троянец", или "троянский конь", - тайное введение в чужую программу команд, позволяющих, не изменяя работоспособности программы, осуществить не планировавшиеся ее владельцем функции.
Таким образом, только использование в ходе производства экспертизы указанного аппаратно-программного комплекса позволяет провести достоверное исследование программных закладок, которые отправляют по электронной почте (e-mail) регистрационные данные пользователей для доступа к сети Интернет, и получить соответствующие категорические выводы.
В связи со стремительным развитием современных телекоммуникаций и связи в судебной компьютерно-сетевой экспертизе можно выделить судебную телематическую экспертизу, предметом которой являются фактические данные, устанавливаемые на основе применения специальных знаний при исследовании средств телекоммуникаций и подвижной связи как материальных носителей информации о факте или событии, имеющем отношение к гражданскому или уголовному делу.
Практика показывает, что рассмотренные выше основные виды СКТЭ при производстве большинства экспертных исследований применяются комплексно и чаще всего последовательно. Поэтому в настоящее время в постановлении на производство судебной экспертизы целесообразно указывать не родовое наименование экспертизы, а назначать судебную компьютерно-техническую экспертизу.
Можно сформулировать вопросы комплексного исследования при судебной экспертизе целостной компьютерной системы (устройства).
1. Является ли представленное оборудование компьютерной системой?
2. Является ли представленное оборудование целостной компьютерной системой или же ее частью?
3. К какому типу (марке, модели) относится компьютерная система?
4. Каковы общие характеристики сборки компьютерной системы и изготовления ее компонент?
5. Какой состав (конфигурацию) и технические характеристики имеет компьютерная система?
6. Является ли конфигурация компьютерной системы типовой или расширенной под решение конкретных задач?
7. Какое функциональное предназначение имеет компьютерная система?
8. Имеются ли в компьютерной системе наиболее выраженные функции (потребительские свойства)?
9. Решаются ли с помощью представленной компьютерной системы определенные функциональные (потребительские) задачи?