11. Имеет ли компьютерная система какие-либо отклонения от типовых (нормальных) параметров, в том числе физические (механические) дефекты?
12. Какой перечень эксплуатационных режимов имеется в компьютерной системе?
13. Какие эксплуатационные режимы задействованы (установлены) в компьютерной системе?
14. Существуют ли в компьютерной системе недокументированные (сервисные) возможности, если да, то какие?
15. Какие носители информации имеются в данной компьютерной системе?
16. Реализована ли в компьютерной системе какая-либо система защиты информации?
17. Какая система защиты информации имеется в данной компьютерной системе? Каковы тип, вид и характеристики этой системы защиты? Каковы возможности по ее преодолению?
Кроме того, в ходе ряда пограничных исследований иногда возникает потребность привлекать специальные знания и из других научных областей. Так, например, обстоит дело с решением задач снятия парольной защиты, получения доступа к закодированным данным, обнаруженным в ходе проведения экспертного исследования, расшифровки информации с поврежденной структурой данных, всестороннего анализа различных криптографических алгоритмов, программ и аппаратных средств. Это направление экспертной деятельности тесно связано с самостоятельной областью исследований - криптографией и защитой информации.
Ведущее место среди судебных экспертиз, назначаемых в комплексе с судебной компьютерно-технической экспертизой, занимает судебно-техническая экспертиза документов (СТЭД) <1>. Именно с необходимостью исследования поддельных документов, ценных бумаг и денежных знаков, оттисков печатей, кредитных и расчетных карт, изготовленных с применением современных информационных технологий, связано большинство комплексных экспертиз в рассматриваемой сфере. Объектами такой комплексной экспертизы являются как некоторые объекты СКТЭ, предназначенные для создания, хранения и передачи информации, так и некоторые объекты СТЭД - документы в бумажной форме. В качестве объектов может также выступать полиграфическое оборудование и оргтехника, интегрированные с компьютерными средствами.
--------------------------------
<1> См. главу 22.
В последние годы широкое распространение получают мультимедийные технологии, которые основаны на представлении данных в формате видеоизображения с применением анимации и звукового сопровождения. Звуковые и видеофайлы в форматах мультимедиа на носителях данных, в том числе на компакт-дисках с аудио- и видеопродукцией, могут фигурировать в деле в качестве объектов, несущих доказательственную информацию о фактах, событиях, людях. Для непосредственного исследования цифровых видеозаписей и звуковых записей должна быть назначена судебная видеофоноскопическая экспертиза. Только в ходе указанного исследования могут быть полностью разрешены вопросы относительно достоверности мультимедийной записи, а также установлено, выполнена ли она на конкретном устройстве. Пограничными здесь оказываются и вопросы, связанные с возможностью монтажа записи, непрерывности ее выполнения и т.п. В случае разрешения вопросов, касающихся исследования звуковой речевой информации, т.е. файлов со звуковыми форматами, требуется назначение комплексной СКТЭ и судебной фоноскопической экспертизы <1>. Эти вопросы часто возникают в связи с широким распространением контрафактной продукции на компакт-дисках.
--------------------------------
<1> См. главу 24.
Следующая пограничная область специальных знаний явно просматривается в экономической и кредитно-финансовой сферах. При производстве судебно-экономических экспертиз информация о действительном состоянии исследуемых объектов зачастую имеется лишь в компьютере, а документированные сведения на бумажных носителях представлены в значительно измененном виде и могут не отражать действительного положения вещей. Использование двойной бухгалтерии становится типичным способом сокрытия таких преступлений, как присвоение или растрата, уклонение от уплаты налогов, мошенничество и другие, служит средством противодействия расследованию. В общем случае, следы хозяйственных операций, сопоставление фактически совершенных операций с данными, отраженными в бухгалтерском учете и отчетности, устанавливаются судебно-бухгалтерской экспертизой, которая часто производится по гражданским делам при разрешении споров между юридическими и физическими лицами.
Для автоматизации бухгалтерского учета используется разнообразное программное обеспечение. Весьма ценная доказательственная и ориентирующая информация может быть получена при исследовании компьютерных средств, обеспечивающих бухгалтерские проводки, а также данных, содержащихся в компьютерных системах хозяйственных субъектов разных форм собственности. В таких случаях целесообразно назначение комплексной СКТЭ и судебно-бухгалтерской экспертизы.
Для решения задач, касающихся финансовой деятельности предприятий, соблюдения законодательных актов, регулирующих их финансовые отношения с государственным бюджетом, выполнения договорных обязательств, распределения и выплаты дивидендов, операций с ценными бумагами, инвестициями, и назначаются судебные финансово-экономические экспертизы, которые также должны, как правило, выполняться комплексно с судебными компьютерно-техническими экспертизами.
Другой род класса экономических экспертиз - судебно-товароведческая экспертиза <1>, также стыкуется в определенных случаях с СКТЭ. Если при рассмотрении гражданского или уголовного дела речь заходит о технологии производства (изготовления) компьютерной техники, то налицо необходимость назначения комплексной товароведческой и компьютерно-технической экспертизы. В сути этого исследования лежит интеграция специальных знаний в технологии производства товара и компьютерных технологий. Эксперты изучают в этом случае не только сами товары - компьютерные средства, но и их потребительские свойства, факторы, оказывающие влияние на потребительскую стоимость, основные и вспомогательные материалы, из которых изготовлено компьютерное средство, изучаются тара и упаковка.
--------------------------------
<1> См. главу 35.
Поскольку результаты судебной компьютерно-технической экспертизы напрямую зависят от сохранности информации, необходимо при изъятии объектов и подготовке их на экспертизу соблюдать ряд правил, указанных в соответствующих методических руководствах <1>. При производстве следственных или иных действий, в процессе которых изымаются объекты для экспертизы, необходимо исключить намеренную порчу или уничтожение хранящейся в компьютерах информации. Для сокрытия информации на компьютерах могут быть установлены специальные защитные программы, которые при некорректном обращении с защищаемыми данными включают процесс их уничтожения, искажения, маскировки.
--------------------------------
<1> См., например: Россинская Е.Р., Усов А.И. Указ. соч.
Включать и выключать компьютеры, производить с ними какие-то манипуляции может только специалист, участвующий в производстве данного следственного действия.
Если на объекте было отключено электроснабжение, например, в связи с пожаром или взрывом, до его включения следует проверить, находятся ли все компьютеры и периферийные устройства в отключенном состоянии. Если компьютер на момент начала осмотра (обыска) оказался включен, необходимо оценить информацию, изображенную на дисплее, и определить, какая программа исполняется на данный момент. В случае работы стандартного программного обеспечения нельзя приступать к каким-либо манипуляциям на входе без предварительного визуального осмотра технических средств. Экран монитора необходимо сфотографировать. Отключить все телефонные линии, подключенные к компьютеру (если таковые соединения имеются).
Необходимо подробно описать все соединения на задней стенке системного блока. Если это признано целесообразным, вскрывается кожух системного блока и визуально определяют конфигурацию ЭВМ, описывают месторасположение электронных плат. Следование данной рекомендации позволит обезопасить поиск информации от различного рода устройств повреждения или уничтожения, как аппаратных средств, так и информационной базы. Такими устройствами могут быть электронные ключи, радиозакладки-шумоподавители и др. В случае, если при осмотре аппаратных средств выявлены неизвестные участникам следственного действия устройства (платы расширения, нестандартные соединения и т.д.), компьютер необходимо сразу выключить. При этом следует не отключать тумблер блока питания, а вынимать вилку из розетки.
Затем следует промаркировать всю систему подключения до того, как провода будут отсоединены, промаркировать все порты и разъемы с тем, чтобы потом можно было осуществить точную реконструкцию расположения кабелей, плат расширения и других устройств. Если конфигурация процессора стандартна, следует корректно завершить работу исполняемой в данный момент программы либо дождаться завершения ее работы для получения дополнительных, возможно искомых, данных. Если для поиска информации задействуется программное обеспечение, не находящееся в компьютере, это необходимо отметить в протоколе. Такие программы должны быть стандартны и лицензированы, а контроль над их работой - нагляден.
При необходимости специалистом может быть выполнено копирование компьютерной информации на заранее приготовленные носители или стендовый компьютер. По существующей методике <1> - это специализированные малогабаритные персональные компьютеры, оснащенные набором тестовых программных средств <2>.
--------------------------------
<1> См.: Россинская Е.Р., Усов А.И. Указ. соч.
<2> См.: Мещеряков В.А. Преступления в сфере компьютерной информации: Основы теории и практики расследования. Воронеж, 2002.
При обнаружении, фиксации и изъятии криминалистически значимой информации в вычислительной сети необходимо установить общее количество компьютеров и их распределение по другим помещениям, а также количество и тип используемых серверов и рабочих мест. Далее важно выяснить тип используемой сетевой операционной системы и состав прикладного программного обеспечения, используемого в вычислительной сети. Следует также установить факт наличия резервных копий данных и места их хранения.
Особое внимание должно уделяться выявлению выхода в другие, в том числе и глобальные, сети, установлению возможностей использования коммуникационных средств для связи с удаленными пользователями, другими организациями (фирмами), частными лицами. В это же время определяются принятые в организации мероприятия по защите информации и наличие выхода в Интернет. В случае использования телефонной линии для связи с другими сетями обеспечить отключение телефона, по возможности удалить из помещения все взрывчатые, едкие и легковоспламеняющиеся материалы.
Сразу же при установлении факта наличия в осматриваемом помещении локальной вычислительной сети следует точно установить местоположение серверов. Как правило, для сервера выделяется специальная комната (серверная), вход в которую ограничен. Однако помимо центральной серверной в других помещениях могут находиться местные локальные серверы. Внешне определить местоположение компьютеров, подключенных к вычислительной сети, иногда помогает электропроводка: достаточно проследить трассы кабелей или специальных коробов для защиты кабелей.
Иногда в процессе фиксации и изъятия может возникнуть необходимость описания содержимого жесткого диска. Однако, по нашему мнению, совпадающему с мнением большинства специалистов в сфере современных информационных технологий, эту процедуру необходимо проводить только в ходе экспертного исследования <1>.
--------------------------------
<1> См.: Зубаха В.С. и др. Общие положения по назначению и производству компьютерно-технической экспертизы (методические рекомендации). М., 2001.
При изъятии компьютеров и носителей данных их следует упаковывать и опечатывать. Системные блоки компьютеров должны быть пронумерованы, а все разъемы опечатаны. Следует пронумеровать все носители информации, пакеты, в которые они запакованы, проставить соответствующие опознавательные знаки на бумажных аналогах информации (при наличии таковых). При опечатывании компьютеров не следует пользоваться жидким клеем или другими веществами, которые могут испортить техническое средство. Наиболее эффективен следующий способ фиксации компьютерного средства:
1) выключить компьютер;
2) отключить его от сети;
3) отсоединить все разъемы;
4) на длинной полосе бумаги поставить подписи следователя, специалиста, понятых, представителей персонала или администрации и номер;
5) наложить эти полосы на разъемы для подключения питания, а также на кнопки сетевого включения. В качестве клеящего средства можно использовать липкую ленту или густой клей. При использовании липкой ленты ее надо наносить так, чтобы любая попытка снять ее нарушала целостность бумажной полосы с подписями;