<<
>>

Приемлемые вопросы

Для следователя и оперуполномоченного важно представлять, что именно может компьютерно-техническая экспертиза (КТЭ) и чего она не может. Также важно уметь верно формулировать вопросы для экспертизы.

На памяти автора следователь ни разу не поставил вопросы для КТЭ корректно.

Оно и неудивительно. Чтобы правильно сформулировать вопрос, нужно знать большую часть ответа. И разбираться в терминологии. А чтобы знать специальные термины, нужно представлять, что они означают. Короче, нужно самому обладать специальными знаниями в области ИТ.

Была издана работа, содержащая перечень возможных вопросов для КТЭ [42]. Формулировки всех вопросов там заранее выверены и должны быть понятны эксперту. Следователю оставалось лишь выбрать нужный. Разумеется, ни к чему хорошему это не привело. Раньше, не имея подобной подсказки, следователь формулировал вопросы некорректно. Это приводило к объяснению между ним и экспертом. В ходе разговора вопросы уточнялись, следователь переписывал свое постановление в соответствии с рекомендациями эксперта. А пользуясь шпаргалкой, но по- прежнему не понимая значения терминов, следователь попросту выбирает из списка не те вопросы. В результате вместо плодотворного диалога получается, что эксперт просто выполняет ненужную работу. А нужную — не выполняет.

Автор полагает, что для формулировки вопросов для КТЭ всегда следует привлекать специалиста. Это может быть специально приглашенный специалист. Это может быть неофициальная консультация. В крайнем случае, сам эксперт, которому предстоит проводить КТЭ, поможет следователю верно поставить вопросы.

Автор, не желая повторять чужих ошибок, не станет приводить здесь списка возможных вопросов для КТЭ. Вместо перечня вопросов автор предпочитает дать перечень решаемых экспертизой задач с необходимыми разъяснениями.

Поиск информации

Поиск на компьютерном носителе документов, изображений, сообщений и иной информации, относящейся к делу, в том числе в неявном (удаленном, скрытом, зашифрованном) виде.

Автор рекомендует не конкретизировать вид и содержание искомой информации. Эксперт вполне может самостоятельно решить, относится ли тот или иной текст, изображение или программа к делу. В ходе поиска информации эксперту приходится просматривать глазами тысячи текстов и изображений. Понятно, что невозможно распечатать и приложить к заключению их все — с тем, чтобы потом следователь решил, что из найденного относится к делу. Эксперт в любом случае вынужден проводить первичную селекцию и принимать решение, что именно из найденного приобщать. Вынужден в силу объемов информации. Типичный объем архива электронной почты среднего пользователя — мегабайты. Для более актив

ного — сотни мегабайт. Это не поместится ни в одно заключение (протокол). Поэтому эксперта следует ознакомить с уголовным делом или хотя бы кратко изложить его фабулу в постановлении о назначении КТЭ. И запросить у него поиск «любой информации, относящейся к данному делу».

Следы

Поиск «цифровых» следов различного рода действий, совершаемых над компьютерной информацией. Вопрос лучше формулировать не про следы, а про действия. То есть вместо «имеются ли следы создания таких- то веб-страниц?» лучше поставить вопрос так: «создавались ли на исследуемом компьютере такие-то веб-страницы?».

Когда компьютер используется как средство доступа к информации, находящейся в ином месте, и когда доступ к информации осуществляется на этом компьютере — в обоих случаях остаются «цифровые» следы, следы в виде компьютерной информации. КТЭ может определить, когда, при каких условиях и каким образом осуществлялся доступ. Кто его осуществлял, КТЭ определить не может. Лишь в некоторых случаях эксперту удается обнаружить некоторые сведения о пользователе исследуемого компьютера.

Действия, которые оставляют следы на компьютере или на носителе информации, включают: доступ к информации, ее просмотр, ввод, изменение, удаление, любую другую обработку или хранение, а также удаленное управление этими процессами.

Программы

Анализ программ для ЭВМ на предмет их принадлежности к вредоносным, к средствам преодоления ТСЗАП, к инструментам для осуществления неправомерного доступа к компьютерной информации, к специальным техническим средствам, предназначенным для негласного получения информации. А также анализ функциональности программ, принципа действия, вероятного их источника, происхождения, автора.

Иногда необходимо более глубокое исследование программ. То есть исследование не просто их свойств и функциональности, а происхождения, особенностей взаимодействия с другими программами, процесса создания, сопоставление версий. Такое глубокое исследование подразумевает дизассемблирование программы, запуск под отладчиком (пошаговое исполнение), исследование структуры данных. Это предмет отдельной экспертизы, иногда ее называют программно-технической. Редко можно найти эксперта, сочетающего специальные знания по ИТ и по программированию. Поэтому рекомендуется проводить две отдельные экспертизы — первая изучает содержимое компьютерных носителей, а вторая особенности обнаруженных программ.

Такое более глубокое исследование программ необходимо далеко не всегда. Например, вредоносность программы — это совокупность ее функций [81, 70]. Вредоносность может установить эксперт-специалист по ИТ. А вот для сопоставления объектного* кода программы с фрагментом исходного* кода необходимо участие эксперта-программиста.

Время

Установление времени и последовательности совершения пользователем различных действий.

Благодаря наличию у компьютера внутренних энергонезависимых часов и простановке в различных местах временных меток становится возможным определить, когда и в какой последовательности пользователь производил различные действия.

Если внутренние часы компьютера были переведены вперед или назад (в том числе неоднократно), все равно имеются возможности восстановить правильное время и правильную последовательность событий. Перевод часов компьютера сам по себе оставляет следы.

А если еще было и сетевое взаимодействие, то есть возможность сопоставить моменты событий, зафиксированные данным компьютером, с событиями по иным источникам и выяснить сдвиг внутренних часов.

Задача выполнима даже в том случае, если системный блок, содержащий внутренние часы, не находится в распоряжении экспертизы. Только по носителю информации (например, НЖМД*) можно получить кое-ка- кие сведения о последовательности событий. Чем больше информации на носителе, тем полнее будет восстановлена картина.

Отмечена даже такая экзотическая задача, как подтверждение/опровержение алиби подозреваемого, который утверждает, что в определенное время работал за компьютером [43]. В этом случае, хотя речь не идет о компьютерном преступлении, для проверки алиби потребуется КТЭ.

Пользователь

Оценка квалификации и некоторых других особенностей личности пользователя исследуемого компьютера.

При достаточно интенсивном использовании компьютера человек неизбежно оставляет в нем «отпечаток» собственной личности. Документы, фотографии, музыка, переписка, настройки, оформление, закладки, временной режим работы, подбор программ — все это индивидуализирует информационное содержимое компьютера. Все это отражает интеллект пользователя, его эмоции, наклонности, способности.

Нет уверенности, что вопрос полностью лежит в сфере КТЭ. Возможно, ради более строгого подхода такая экспертиза должна быть комплексной, компьютерно-психологической. Во всяком случае, вопрос квалифи

кации пользователя в области ИТ точно в компетенции эксперта, проводящего КТЭ. Конечно, для оценки квалификации на исследуемом носителе должны находиться соответствующие объекты, результаты интеллектуальной деятельности — написанные пользователем программы, переписка по нетривиальным техническим вопросам, сложные программные инструменты (например, отладчик).

Следует заметить, что некорректно ставить вопрос об «установлении личности пользователя компьютера». Любые выводы о личности на основе найденных на диске плодов интеллектуальной и творческой деятельности могут носить лишь предположительный характер.

Итоги

Итак, обычно перед экспертом, проводящим КТЭ, ставятся вопросы: о наличии на исследуемых объектах информации, относящейся к делу (в том числе в неявном, удаленном, скрытом или зашифрованном виде); о возможности (пригодности) использования исследуемых объектов для определенных целей (например, для доступа в сеть); о действиях, совершенных с использованием объектов, их времени и последовательности; об идентификации найденных электронных документов, программ для ЭВМ, о признаках пользователей компьютера; о свойствах программ для ЭВМ, в частности, о принадлежности их к вредоносным. 

<< | >>
Источник: Федотов Н.Н. Форензика — компьютерная криминалистика. 2007

Еще по теме Приемлемые вопросы:

  1. Концепция приемлемого риска
  2. 7.4. Экологически приемлемый риск
  3. 6. Понятие приемлемого риска
  4. МАТРИЦА МИРА-ЭКОНОМИКИ ВПОЛНЕ ПРИЕМЛЕМА
  5. 2 этап—достижение взаимопонимания: углубление обмена информацией, поиск приемлемых решений.
  6. Краткая антология вопроса об отношении христианской античности и средневековья к натурфилософским вопросам
  7. МЕТОДОЛОГИЧЕСКИЕ ВОПРОСЫ ИСТОРИИ ФИЛОСОФИИ. ОБОБЩАЮЩИЕ ВОПРОСЫ ПО ИСТОРИКО-ФИЛОСОФСКИМ ПРОБЛЕМАМ
  8. Вопрос 8. Вопрос 8. Методы социальной работы
  9. ВОПРОСЫ
  10. Вопросы:
  11. ОТВЕТЫ НА ВОПРОСЫ
  12. ОТВЕТЫ НА ВОПРОСЫ
  13. §2. Опасные вопросы.
  14. Вопросы и ответы
  15. Вопросы и ответы