Компьютерно-техническая экспертиза

СКТЭ (судебная компьютерно-техническая экспертиза) является одним из самых сложных видов исследований, так как компьютерная техника, компьютерные и сетевые технологии постоянно совершенствуются. И для анализа аппаратно-технических средств, ПО, баз данных и различных файлов экспертам нужно «держать руку на пульсе» этого развития.

Объекты исследования данного вида экспертизы делятся на два подвида: аппаратные объекты и информационные объекты.

СКТЭ изучает следующие аппаратные объекты:

• классификаторы;
• информацию с компьютерных баз данных;
• системное и прикладное программное обеспечение;
• аппаратные сетевые средства – серверы, рабочие станции, сетевые кабели и другое оборудование;
• компьютерные комплектующие;
• компьютерные периферийные устройства – сканеры, принтеры, дисководы, модемы и прочее;
• системные блоки персональных компьютеров и переносные (мобильные) устройства.

Информационные объекты компьютерно-технической экспертизы:

• информация из баз данных и других приложений;
• любые данные в мультимедиа форматах;
• любые документы и документацию, изготовленные с помощью компьютерных средств.

Независимая компьютерно-техническая экспертиза – ее цели:

• определение состояния и статуса компьютерного средства;
• получение доступа к информации, находящейся на различных носителях данных;
• анализ этой информации;
• получение дополнительных доказательств;
• определение роли компьютерных средств и технологий в рассматриваемом деле.

Компьютерно-техническая экспертиза делится на следующие подвиды исследований:

• нормативно-техническая экспертиза;
• компьютерно-сетевая экспертиза;
• информационно-компьютерная экспертиза (данных);
• программно-компьютерная экспертиза;
• аппаратно-компьютерная экспертиза.

Компьютерно-техническая экспертиза исследует документацию. И получает информацию из документов, а также из свойств документов. Специфичен этот вид исследований благодаря узкому профилю решаемой задачи и необходимости глубокой компетенции эксперта по одному из направлений.

Это может быть проектирование автоматизированных систем, управление проектами, криптография, и другие направления. Эксперту могут понадобиться знания из области механизмов управления в области информационных технологий, знания руководящих документов регуляторов отрасли, и другие знания.

Нормативно-техническая экспертиза изучает:

• организационно-распорядительную документацию;
• проектную документацию;
• технические задания и договоры на разработку систем и сервисов;
• эксплуатационную документацию на системы;
• техническую документацию на системы, ИТ-сервисы и оборудование;
• и другую документацию.

Нормативно-технические экспертизы проводятся по направлению информационной безопасности. Примеры таких экспертиз:

• экспертиза соответствия процессов и деятельности требованиям законодательства в области информационной безопасности и защиты информации;
• экспертиза соответствия обеспечения информационной безопасности требованиям регуляторов (ФСТЭК России, ФСБ России, Роскомнадзор, Банк России);
• экспертиза договоров на разработку/модернизацию ПО;
• экспертиза трудовых договоров по вопросам ИТ и ИБ;
• экспертиза договорной работы с контрагентами по вопросам ИТ и ИБ;
• экспертиза Технического задания, Технического проекта и прочей технической документации на предмет соответствия требованиям руководящих документов ФСТЭК России и ФСБ России;
• и другие экспертизы этого направления.

Независимая компьютерно-техническая экспертиза в «Наука и Право» также включает в себя компьютерно-сетевую экспертизу

Компьютерно-сетевая экспертиза изучает функциональное предназначение компьютерных средств, реализующих какую-либо сетевую информационную технологию. Задачи компьютерно-сетевой экспертизы:

• установление причинной связи между использованием конкретных аппаратно-программных средств вычислительной сети и результатами их применения;
• определение структуры механизма и обстоятельства события в сети по его результатам;
• выяснение причин изменения свойств вычислительной сети;
• обнаружение следов использования внешних программ;
• установление первоначального состояния всей вычислительной сети и всех сетевых средств по отдельности;
• определение состояния сетевого средства, определение наличия физических дефектов;
• выяснение характеристик и свойств программного обеспечения и аппаратного средства;
• установление их роли и функционального предназначения в сети;
• определение характеристик вычислительной сети, установление ее конфигурации, архитектуры;
• определение для данной сети установленных компонент и организации доступа к данным;
• выяснение степени соответствия выявленных характеристик типовым характеристикам для данного класса средств сетевой технологии.

Примеры основных вопросов и задач, которые задаются эксперту в процессе проведения компьютерно-сетевой экспертизы:

• проверить наличие признаков подключения данной системы к сети интернет;
• выяснить, с помощью каких аппаратных средств осуществлялось подключение к интернет;
• определить содержание установок протоколов соединений и программы для удаленного доступа к интернет;
• выяснить, можно ли обнаружить какую-либо информацию об использовании номеров кредитных карт и проведения платежей через интернет;
• выяснить наличие сообщений, отправленных или полученных с помощью программ персональной связи, и если такие сообщения имеются, то каково их содержание.

Компьютерно-техническая экспертиза: информационно-компьютерная экспертиза данных в «Наука и Право»

Наиболее часто востребованный в гражданских и уголовных делах тип компьютерно-технической экспертизы. Этот вид исследований представляет собой поиск, обнаружение и анализ информации, созданной программами и пользователями. Ключевой вид экспертизы, дающий возможность найти ответы на большинство имеющихся вопросов по компьютерной информации.

В порядке информационно-компьютерной экспертизы наши специалисты исследуют:

• файлы электронных таблиц (.xls, .cal);
• файлы форматов баз данных (.dbf, .mdb);
• файлы графических форматов (.bmp, .jpg, .tif, .cdr);
• файлы текстовых форматов (.txt, .doc);
• и другие виды файлов, других форматов.

В порядке изучения созданных программами или пользователями документов и данных перед экспертами могут ставиться следующие вопросы:

• какое форматирование применялось для носителя информации;
• в каком виде на носитель информации записаны данные;
• параметры, характеристики и свойства данных на носителе информации – каковы они;
• носитель содержит явную, скрытую, удаленную или архивную информацию;
• носитель содержит информацию какого типа – мультимедиа, электронные таблицы, базы данных, графические, текстовые или другие файлы;
• на носителе информации доступ к данным является свободным или ограниченным;
• если на носителе информации выявлены работающие средства защиты данных, то какие у них характеристики и можно ли их преодолеть;
• на носителе информации – можно ли установить признаки попыток или успешного преодоления защиты данных либо попыток несанкционированного доступа к данным;
• какую информацию содержат защищенные данные;
• в каком состоянии находятся обнаруженные данные, и соответствует ли оно типовому состоянию;
• на носителе информации – какую информацию можно найти о пользователе (пользователях);
• каким было первоначальное состояние данных на носителе;
• действия по изменению данных на носителе – каким образом были произведены;
• имеется ли, и если имеется то какая, причинная связь между действиями пользователя с данными и каким-либо событием – нарушением в работе компьютерной сети, сбоями в аппаратном и программном обеспечении, и прочее.

Таким образом путем изучения данных на различных носителях, и путем изучения действий с данными можно установить:

• причастность лиц к совершению тех или других действий и операций;
• роль компьютерного средства в том или ином деле;
• конкретно характер произведенных действий;
• получить информацию о намерениях лиц, и о различных событиях.

Компьютерно-техническая экспертиза: программно-компьютерная экспертиза в «Наука и Право»

Этот вид компьютерной экспертизы исследует программное обеспечение. В том числе закономерности его разработки и применения. Этот вид экспертизы исследует:

• программные приложения общего назначения: электронные таблицы, системы управления базами данных, графические и текстовые редакторы;
• редакторы презентаций;
• служебную системную информацию;
• средства по разработке и отладке программ;
• разнообразные утилиты;
• операционные системы.

Вопросы, которые ставятся перед экспертами программно-компьютерной экспертизы:

• каковы функционал и общая характеристика программного обеспечения;
• каковы компоненты, из которых состоит программный продукт;
• можно ли найти признаки контрафактности в данных программных средствах;
• могут ли быть обнаружены и каковы реквизиты владельца и разработчика данного программного средства;
• каковы функциональные возможности программного средства;
• имеются ли на носителях программные средства для реализации определенной функциональной задачи;
• для решения определенной функциональной задачи – используется ли данное программное средство;
• в каком фактическом состоянии находится программное средство, и можно ли с его помощью реализовать отдельные конкретные функции;
• в данном ПО – каким образом организован ввод и вывод данных;
• отклонения от обычных параметров типовых программных продуктов – имеются ли в данном программном средстве;
• есть ли у ПО средства предотвращения несанкционированного доступа и копирования и как они организованы;
• для данного ПО – каковы общие алгоритмы установки и эксплуатации;
• для разработки данного ПО – какие использовались стандартные библиотеки, компиляторы, языки программирования;
• можно ли обнаружить на данных носителях информации коды с первоначальным состоянием программ;
• по сравнению с исходным состоянием, подвергался ли исходный алгоритм и код программы каким-либо модификациям, и если да, то в чем выразились последствия;
• изменение каких-либо функций в программе – с какой целью было произведено;
• направлены ли изменения, внесенные в программное обеспечение, на преодоление его защиты;
• какова причина появления изменений в программном обеспечении – это преднамеренное вмешательство, аппаратный сбой, ошибки программной среды, воздействие вредоносной программы, или другие причины;
• в какой хронологии вносились изменения в программное обеспечение;
• можно ли обнаружить в ПО функции нарушения работы компьютерной системы, копирования, модификации, блокирования, или уничтожения информации;
• к каким последствиям приведет дальнейшее использование данного ПО.

Состояние и сохранность программных средств очень важна – в том числе для предприятий, крупных компаний, банковского сектора – неисправности программного обеспечения могут дать возможность злоумышленникам похитить данные или деньги. И затем только независимая компьютерно-техническая экспертиза сможет выяснить, кто за это ответственен. Если причина в уязвимости программ, то вина ложиться на предприятие, использующее «слабое» ПО.