Експертиза комп'ютерної техніки і програмних продуктів або комп'ютерно-технічна експертиза

Широке впровадження комп'ютерної техніки та комп'ютерних технологій у суспільне життя супроводжується поширенням кола злочинів з їх використанням. Боротьба з кіберзлочинами є актуальною для всієї світової спільноти. Одним з ефективних засобів у розслідуванні таких злочинів є експертиза комп'ютерної техніки і програмних продуктів, яка вже культивується у багатьох країнах світу.

Експертиза комп'ютерної техніки і програмних продуктів (у літературі ще вживається термін "комп'ютерно-технічна експертиза") призначається у випадках, коли необхідно встановити фактичні дані, що мають значення для справи і пов'язані із застосуванням комп'ютерної техніки, та вчинені за її допомогою певні дії, які виявляються на основі спеціальних знань у галузях обчислювальної техніки та програмування.

Об'єктами судової експертизи є комп'ютерна техніка з носіями інформації (дискети, жорсткі диски, CDR-диски, флеш-карти тощо), периферійні пристрої (принтери, сканери, звукові карти), програмні продукти. Об'єктами цієї експертизи також можуть бути пристрої, що не є комп'ютерами в класичному розумінні цього слова, наприклад електронні касові апарати, гральні автомати, карт-рідери тощо.

Найчастіше об'єкти експертизи, що розглядається, є засобами вчинення злочинів (підробка документів, ухилення від сплати податків, виготовлення фальшивих грошей, приховування слідів злочину тощо). Однак не менш поширеними є злочини, при скоєнні яких об'єктом посягання стає інформація, що знаходиться в комп'ютері, на якому-небудь носії, чи саме програмне забезпечення. Крім того магнітні носії комп'ютерів нерідко є місцем зберігання чи навіть приховування інформації, що становить інтерес для досудового розслідування злочину. (У певних випадках комп'ютер або комп'ютерна мережа досліджуються як середовище, в якому вчинені ті чи інші дії.)

Експертиза комп'ютерної техніки і програмних продуктів передбачає три самостійних експертних підвиди.

Експертиза комп'ютерної техніки встановлює факти й обставини, що мають значення у справі і пов'язані із закономірностями функціонування та експлуатації комп'ютерної системи. Основними задачами цього підвиду експертизи є встановлення комплектації, технічного стану та функціональних можливостей комп'ютерної системи.

Експертиза програмних продуктів встановлює факти й обставини, пов'язані із закономірностями розробки та використання програмних продуктів комп'ютерної системи. Задачею цього підвиду експертизи є визначення функціонального призначення, технічних параметрів, вимог, алгоритму, структури, стану та особливостей програмного забезпечення.

Інформаційно-комп'ютерна експертиза встановлює факти й обставини, пов'язані із закономірностями створення, обробки та збереження інформації на комп'ютерних носіях. Її задачею є пошук, виявлення, відтворення й технічний аналіз інформації, створеної користувачем чи програмами в комп'ютерній системі.

Користуйтеся консультацією: Все про почеркознавчу експертизу

На вирішення судової експертизи комп'ютерної техніки і програмних продуктів ставляться такі питання:

• 1) Комп'ютер якої моделі надано на дослідження, і якими є технічні характеристики його системного блока й периферійних пристроїв?
• 2) Які технічні несправності має даний комп'ютер або його окремі блоки та пристрої, і як ці несправності впливають на роботу комп'ютера (блока, пристрою)?
• 3) Чи проводилась адаптація комп'ютера для роботи з ним специфічних користувачів (особи з поганим зором, шульги та ін.)? (Така адаптація робиться досить швидко, не має незворотного характеру, не впливає, або майже не впливає на можливість використання.)
• 4) Чи міститься на даному носії інформація, яка має ключові слова "..."?
• 5) Чи міститься на даному носії інформація, в якій є дані про вказані в постанові підприємства (фірми, організації)?
• 6) Коли, ким створені досліджувані файли?
• 7) Чи є дані програмні продукти ліцензійними копіями загальновідомих систем, чи вони є оригінальними розробками?
• 8) У який період часу створені файли, та яка дата останнього редагування?
• 9) Чи вносились до програми даного системного продукту, які- небудь корективи, що змінювали виконання певних операцій?
• 10) Чи містилися на носії файли, що були згодом знищені? Якщо так, то які саме файли та який їх зміст?
• 11) З якого з наданих комп'ютерів здійснювався вихід у мережу Інтернет, за якими адресами, в який період часу?
• 12) Чи можна за допомогою даного програмного продукту реалізувати функції, передбачені технічним завданням на його розробку?
• 13) Чи містяться на досліджуваному комп'ютері програмні продукти, призначені для злому пароля та несанкціонованого доступу до комп'ютерних систем?
• 14) Чи можливе вирішення певного завдання за допомогою даного програмного продукту?
• 15) Яким є рівень професійної підготовки в галузі програмування і роботи з комп'ютерною технікою особи, яка виконала дані дії з комп'ютером і програмним забезпеченням?
• 16) Чи відповідає стиль програмування досліджуваного програмного продукту стилю програмування певної особи?
• 17) Чи відповідають прийоми і засоби програмування, що застосовувалися при створенні досліджуваного програмного продукту, прийомам і засобам, якими користується даний програміст?

При призначенні експертизи комп'ютерної техніки та програмних продуктів необхідно враховувати таке.

Програмні продукти та інформація в комп'ютерній техніці мають свій життєвий цикл, який функціонує за певними закономірностями, залишаючи по собі на кожному етапі сліди. Однією з типових форм існування інформації в комп'ютерних системах є файл.

Під файлом розуміється порція інформації, що зберігається на комп'ютері та на яку є посилання. Файл може бути безструктурним, мати досить складну структуру або містити інші файли. Із структурою файлу пов'язаний термін "формат", яким позначається спосіб організації інформації у файлі. Ряд складних форматів файлу може містити значну кількість додаткової інформації стосовно останнього та інформації, що він містить, але про яку необізнаний користувач й гадки не має. Такими, наприклад, є формати документів текстового процесора Microsoft Word, які містять значну кількість додаткових супровідних даних. Кожен файл стає саме файлом, а не порцією інформації, завдяки посиланню на нього у файловій системі – каталозі, який містить адресну інформацію стосовно всіх файлів, записаних на носій.

Цифрова форма представлення інформації в комп'ютері дозволяє здійснювати нескінченну кількість актів копіювань інформації без втрати якості її запису. Тобто цілком нормальним явищем є існування двох (або більшої кількості) об'єктів (файлів), які неможливо розрізнити між собою за фізичними параметрами запису. Така природа представлення та запису інформації потребує більш тонких експертних підходів у визначенні первинності та оригінальності записів, встановленні фактів використання файлів для виконання документів на паперових носіях тощо.

Сучасні комп'ютерні системи оперують інформацією, яка за обсягами може відповідати університетській бібліотеці. Тому питання про встановлення всієї інформації, що містить комп'ютер, є некоректним, як і задача її роздруківки. З іншого боку, ця обставина унеможливлює повний контроль за станом комп'ютерного носія під час будь-яких операцій з інформацією з боку користувача, що дає можливість експерту встановлювати ознаки її функціонування у комп'ютері. Крім файлів, створених користувачем, часто існують ще й суто службові, так би мовити технологічні файли. Це, наприклад, тимчасові файли текстового процесора Microsoft Word, які містять копії документів, або тимчасові файли підсистеми друку, файли принтерних черг. Такі файли мають видалятись автоматично, але внаслідок різних причин можуть залишатися на носіях.

Слідовою інформацією в комп'ютерних системах є записи в журналах – спеціально пристосованих для цього файлах або інших логічних структурах, до яких вносяться відомості про різні події. У журналах ступінь деталізації відомостей може бути досить різним, немає й універсального переліку журналів. За журналами експерт може виконувати або пошук посилань на файли, що його зацікавили, або послідовність певних подій. Так, наприклад, за системними журналами та журналами антивірусних програмних засобів зазвичай діагностують маніпуляції з таймером, аналізують діяльність в Інтернеті тощо.

Принципово інший тип слідів залишається в комп'ютерних системах при видаленні файлу. При цьому каталожний запис про файл ліквідується або помічається як такий, що втратив актуальність. Фізичного знищення інформації у такому стані "видаленого файлу" не відбувається. Однак такий стан є дуже нестабільним, оскільки та частина адресного простору накопичувана, яку займав файл, уже доступна для запису даних іншого файлу, що з часом і відбувається. У методологічному сенсі вже неможливо впевнено стверджувати, шо саме цей каталожний запис відповідав тому, який в момент дослідження містить ця частина адресного простору, навіть якщо файл зберігся цілком.

У більшості випадків перезапис інформації на носії відбувається не цілком, а по частинах. На цьому етапі експерт уже має справу з іншим типом слідів – фрагментами інформації в нерозподіленому дисковому просторі або неініціалізованому просторі, розподіленому під інший файл. Зв'язок інформації з файловою системою вже остаточно втрачений. У такому стані й інформація, яка становить зміст, може бути неповною, а якщо застосовується компресія даних, – то навіть наявна інформація може бути невідновлюваною. Експертне дослідження такого типу слідів є досить складним, і за недотримання методологічних вимог можливі помилки як у визначенні часових меж етапів існування цієї інформації, так і в об'єднанні фрагментів різних текстів в один. З часом, у результаті перезапису, на носієві не лишається жодного з фрагментів "видаленої" інформації. Після цього відновити інформацію "видаленого" файлу неможливо – так закінчується життєвий шлях файлу на носії.

Сучасні програмні засоби, за допомогою яких обробляють і кодують інформацію, мають значний рівень інтеграції програмних функцій, які в певних реалізаціях можуть давати збої або помилки. Якщо ці помилки ускладнюють роботу з програмою несуттєво або виявляються лише при дуже рідкісних збігах обставин, вони можуть протягом значного часу залишатись невиявленими. Такі помилки можуть бути вельми корисними з точки зору експерта, оскільки дозволяють діагностувати застосування тих чи інших програмних засобів за характерними для них помилками.

Ще одна технологія, яку застосовує експерт з дослідження комп'ютерної техніки та програмних продуктів, – це аналіз особливостей запису інформації. Найяскравішим прикладом цього є виявлення артефактів застосування оптичного розпізнання символів у текстових документах з використанням візуально подібних символів. Наприклад, символи "3" та "З" є дуже подібними. Але цілком зрозуміло, що при наборі тексту навряд чи оператор замість літери "з" використовуватиме цифру "3" в слові, і букву замість цифри в цифровій комбінації.

Для забезпечення результативності експертного дослідження на етапі досудового слідства необхідно провести обшук та виїмку комп'ютерних систем чи носіїв інформації із застосуванням методів і засобів її збереження. Як правило, для виконання цієї слідчої дії залучається спеціаліст, який є фахівцем з комп'ютерної техніки та програмного забезпечення.

До початку фізичного огляду комп'ютерної техніки слідчий повинен встановити технічні пристрої та технології, що задіяні на даному об'єкті для захисту інформації. Це встановлюється шляхом як опитування осіб, котрі відповідають за безпеку об'єкта, так і вивчення технічної документації по захисту інформації на об'єкті. При цьому з'ясовуються такі обставини:

• 1) чи заблоковане приміщення, в якому перебуває комп'ютер, електронною системою допуску або охоронною сигналізацією, і які технічні засоби використовуються для цього;
• 2) чи встановлені в комп'ютері спеціальні засоби для знищення інформації у разі спроби несанкціонованого доступу до неї; з'ясувати місце перебування організації, що встановила цю систему;
• 3) чи необхідні пароль (додатковий пристрій – електронний ключ) для доступу до інформації, що знаходиться в комп'ютері, або окремих її частин, правила його використання;
• 4) чи з'єднані (включені) комп'ютери в локальну мережу установи, організації, підприємства (фірми), об'єднання, яка схема локальної мережі, основні правила її безпечного використання?

Якщо комп'ютер підключений до мережі Інтернет, то необхідно вилучити договори у керівника підприємства (фірми), де буде проводитись огляд, негайно зв'язатися з мережним адміністратором – провайдером вузла, до якого підключена дана установа (підприємство, організація), і організувати за його допомогою вилучення і збереження електронної інформації, що належить даному підприємству або надійшла на його адресу. В такому разі оперативним шляхом доречно встановити, чи зберігає власник усі свої дані у зовнішньому сховищі, і якщо це так, то інформацію на локальних машинах можна не виявити і необхідно з'ясувати доступ до зовнішнього накопичувана;

5) у осіб, відповідальних за резервне копіювання і збереження протоколів, з'ясовується місцезнаходження відповідних документів і копій на магнітних носіях та вживаються заходи з їх вилучення та збереження;

При проведенні фізичного огляду необхідно: наказати співробітникам фірми (підприємства) відійти від комп'ютерних засобів і розмістити їх у приміщенні так, щоб виключалась можливість використання будь-яких засобів зв'язку. У процесі огляду не приймати допомоги від співробітників фірми (підприємства); вилучити у персоналу пейджери, електронні записні книжки, ноутбуки, індивідуальні пристрої відключення сигналізації автомобіля тощо; зафіксувати інформацію на екранах працюючих комп'ютерів шляхом фотографування (детальна зйомка); виключити живлення міні-АТС і опечатати її (якщо така є); скласти схему підключення зовнішніх кабелів до комп'ютерних пристроїв і позначити кабелі для правильного відновлення з'єднання в майбутньому; ізолювати комп'ютери від усякого зв'язку ззовні: модемної, локальної комп'ютерної мережі, радіозв'язку; найбільш ефективним способом відключити всі комп'ютерні засоби від джерел живлення (у тому числі і від джерел безперебійного живлення).

Фахівець оперативно виконує дії відповідно до плану, розробленого спільно зі слідчим. Зовнішнім оглядом встановлюються специфічні обставини, що стосуються комп'ютерних засобів, дані про які заносяться до протоколу огляду комп'ютерного засобу: наявність системного блоку, монітора, клавіатури, принтера, модему, безперебійного джерела живлення, акустичних систем тощо, периферійних і мультимедійних пристроїв.

За розташуванням частин пристроїв на передній панелі системного блоку фахівець визначає їх види (пристрої збереження інформації, дисководи), а також види пристроїв зчитування кредитних карт, смарт- чи чіп-карт тощо. Особливої уваги потребують наявні не відомі йому пристрої. За розташуванням розйомів на задній панелі системного блоку визначаються наявність і види вбудованих пристроїв, мережної плати, модему (чи був він підключений до телефонної чи іншої лінії зв'язку), наявність послідовних і паралельних портів, чи були вони підключені до зовнішніх ліній зв'язку.

У протоколі необхідно навести схему підключення кабелів до комп'ютерної системи. Кабелі, що відключаються, підлягають маркуванню з метою відновлення з'єднання при проведенні експертизи комп'ютерної техніки і програмних продуктів. Системний блок комп'ютера, принтер, виявлені дискети, магнітні стрічки й інші носії комп'ютерної інформації (наприклад роздруківки) упаковують і вилучають. Упаковка об'єктів має унеможливлювати як доступ до об'єктів, так і їх пошкодження у процесі збереження чи транспортування.

Погоджені дії слідчого і фахівця при огляді і вилученні речових доказів з місця події дозволять уникнути незворотних втрат інформації, що міститься на машинних носіях.