 |
|
Судебные экспертизы при расследовании преступлений в сфере компьютерной информации
Основной род судебных экспертиз по делам этой категории -судебные компьютерно-технические, в рамках которых выделяют четыре вида:
а) судебная аппаратно-компьютерная экспертиза, заключающаяся в проведении исследования:
▪ технических (аппаратных) средств компьютерной системы: персональных компьютеров;
▪ периферийных устройств, сетевых аппаратных средств (серверы, рабочие станции, активное оборудование, сетевые кабели и т. д.);
▪ интегрированных систем (органайзеры, пейджеры, мобильные телефоны и т. п.);
▪ встроенных систем (иммобилайзеры, транспондсры, круиз- контроллеры и др.);
▪ любых комплектующих всех указанных компонентов (аппаратные блоки, платы расширения, микросхемы и т. д.).
При этом решаются задачи:
▪ классификации и определения свойств аппаратного средства; выяснения фактического и первоначального состояния;
▪ диагностики технологии изготовления, причин и условий изменения свойств (эксплуатационных режимов);
▪ определения структуры механизма и обстоятельства события за счет использования выявленных аппаратных средств как по отдельности, так и в комплексе в составе компьютерной системы;
б) судебная программно-компьютерная экспертиза, назначаемая для исследования программного обеспечения. Объекты включают: системное программное обеспечение; прикладное программное обеспечение (текстовые и графические редакторы, системы управления базами данных, электронные таблицы); авторское программное обеспечение потребительского назначения.
Задачами экспертизы являются:
▪ классификация и определение основных характеристик операционной системы, используемых технологий системного программирования;
▪ выявление, исследование функциональных свойств и состояния программного обеспечения;
▪ исследование алгоритма программного продукта, типов поддерживаемых аппаратных платформ;
▪ определение причин, целей и условий изменения свойств и состояния программного обеспечения;
▪ индивидуальное отождествление оригинала программы (инсталляционной версии) и ее копии на носителях данных компьютерной системы;
▪ установление групповой принадлежности программного обеспечения;
▪ выявление индивидуальных признаков программы, позволяющих впоследствии идентифицировать ее автора, а также взаимосвязи с информационным обеспечением исследуемой компьютерной системы;
в) судебная информационно-компьютерная экспертиза, имеющая цель поиск, обнаружение, анализ и оценку информации, подготовленной пользователем или порожденной программами для организации информационных процессов в компьютерной системе.
Информационные объекты (данные) включают:
▪ текстовые и графические документы (в бумажной и электронной формах), изготовленные с использованием компьютерных средств;
▪ данные в форматах мультимедиа;
▪ базы данных и другие приложения, имеющие прикладной характер.
Экспертными задачами здесь являются: установление вида, свойств и состояния информации (фактического и первоначального, в том числе до ее удаления и модификации) в компьютерной системе;
▪ определение причин и условий изменения свойств исследуемой информации;
▪ определение механизма, динамики и обстоятельств события по имеющейся информации на носителе данных или ее копиям;
▪ установление участников события, их роли, места, условий, при которых была создана (модифицирована, удалена) информация;
▪ установление соответствия либо несоответствия действий с информацией специальному регламенту (правилам), например, правомерно ли конкретное использование информации, защищенной паролем, и др.;
г) судебная компьютерно-сетевая экспертиза, основывающаяся прежде всего на функциональном предназначении компьютерных средств, реализующих какую-либо сетевую информационную технологию. Задачи этой экспертизы включают практически все основные задачи рассмотренных выше видов экспертизы. Это объясняется тем, что ее объекты интегрированы из объектов рассмотренных выше видов экспертиз (аппаратные, программные и данные), но лишь с той разницей, что они все функционируют в определенной сетевой технологии.
По делам данной категории могут назначаться судебные экспертизы других классов и родов:
▪ судебно-трасологические — для анализа следов взлома, следов рук как на внешних, так и на внутренних поверхностях компьютеров и их комплектующих;
▪ судебно-экономические, в частности финансово-экономические и бухгалтерские, если преступления совершаются в кредитно-финансовой сфере;
▪ судебно-технические экспертизы документов, когда компьютер используется как средство для изготовления поддельных документов, фальшивых денежных билетов и проч.;
▪ фоноскопические экспертизы — при использовании средств прослушивания переговоров и др.
5 ВОПРОС . 
7 ВОПРОС. Проведение криминалистического исследования является важной частью расследования инцидента информационной безопасности. Это связано с тем, что носители информации содержат сведения, которые могут пролить свет на произошедший инцидент, а также помочь в идентификации лиц, причастных к его совершению. Благодаря полученной информации заключение о проведенном криминалистическом исследовании может быть использовано в качестве доказательства. Однако такое заключение должно быть составлено независимым компетентным специалистом с использованием криминалистически верных методик иинструментов.
Криминалистическое исследование компьютерной информации и средств вычислительной техники проводится на основании:
• Постановлений о назначении судебных экспертиз от правоохранительных органов и судов
• Запросов правоохранительных органов
• Договоров с физическими и юридическими лицами
Специалисты Group-IB выполняют следующий спектр работ, связанных с проведением криминалистических исследований:
• Комплексные исследования при инцидентах в системах интернет-банкинга
• Восстановление хронологии каких-либо событий в информационной системе
• Поиск следов предположительно несанкционированного доступа
• Извлечение и анализ переписки (электронная почта, программы мгновенного обмена сообщениями)
• Поисковые задачи по заданным критериям
• Криминалистическое исследование мобильных устройств
• Исследование баз данных
• Исследование скимминговых устройств
• Исследование дампов сетевого трафика, дампов ОЗУ
• Поиск вредоносного программного обеспечения, присутствующего на компьютере
• Исследование содержимого криптоконтейнеров
• Сравнение программных продуктов на предмет плагиата
• Установление целостности (неизменности) содержимого машинных носителей информации после их изъятия
Все криминалистические исследования, включая судебные экспертизы, проводятся в соответствии с требованиями российского законодательства с учетом методических рекомендаций ведущих государственных экспертных учреждений страны и международных организаций и принимаются в качестве допустимых доказательств в российских и иностранных судах.
8ВОПРОС. 
Современные компьютеры могут работать с пятью видами информации:
1. Числовой информацией (числа);
2. Текстовой информацией (буквы, слова, предложения, тексты);
3. Графической информацией (картинки, рисунки, чертежи);
4. Звуковой информацией (музыка, речь, звуки);
5. Видеоинформацией (видеофильмы, мультфильмы, кинофильмы).
Все эти пять видов информации вместе называют одним словом: - мультимедиа.
Если компьютер может работать со всеми этими пятью видами информации, то его называют мультимедийным.
Если компьютерная программа использует все эти виды информации, то её называют мультимедийной.
Для восстановления данных с внешнего жесткого диска из архивов, созданных программой «Архивация и восстановление» Windows 7, нужно сначала подключить внешний жесткий диск с архивами к ПК и далее воспользоваться одним из двух способов. 1-ый способ восстановления данных с внешнего жесткого диска: запустить программу «Архивация и восстановление». И затем нажать на кнопку «Восстановить мои файлы»
Программа предложит выбрать наиболее актуальный архив (как правило, это самый последний, самый поздний по времени архив данных), после чего данные будут автоматически восстановлены. Все просто... 2-ой способ восстановления данных с внешнего жесткого диска состоит в том, чтобы восстанавливать данные из архива, не запуская программу «Архивация и восстановление». Это делается следующим образом.
С помощью обычной программы «Проводник» открываем окно с содержимым внешнего жесткого диска (в нашем примере – это диск F:), находим там папку с именем архивируемого ПК (эта папка создается автоматически при первой архивации данных с помощью программы «Архивация и восстановление» и все последующие архивы пишутся только в эту папку) и дважды щелкаем по ней левой кнопкой мыши. Папка с именем архивируемого компьютера показана на рисунке – ее имя «NADEZDA-VAIO»:
Папка с именем архивируемого компьютера в Проводнике Windows 7 После двойного щелчка по этой «именной» папке, появляется окно (см. ниже на рисунке), в котором нам предлагается восстановить файлы из резервной копии: Окно "Программы архивации данных" Windows 7 После нажатия на эту призывную надпись, запустится программа восстановления данных, которая предложит выбрать файлы из архива и выполнит их восстановление.
9ВОПРОС. Исследование технических (аппаратных) средств компьютерной системы компьютеров и их комплектующих, программного обеспечения, компьютерной информации.
Применение:
Примеры вопросов для эксперта:
- К какому типу (марке, модели) относится аппаратное средство? Каковы его технические характеристики и параметры?
- Каковы роль и функциональные возможности данного аппаратного средства в конкретной компьютерной системе?
- Является ли представленное аппаратное средство носителем информации?
- Каков вид (тип, модель, марка) представленного носителя информации?
- Какой метод хранения данных предусмотрен на представленном носителе?
- Какова характеристика представленного программного обеспечения, из каких компонент (программных средств) оно состоит?
- Каковы наименование, тип, версия, вид представления программного средства?
- Каков состав файлов программного обеспечения, каковы их параметры?
- Как отформатирован носитель информации и в каком виде на него записаны данные?
- Каковы характеристики размещения данных на носителе информации?
- Какие свойства, характеристики и параметры (объемы, даты создания-изменения, атрибуты и др.) имеют данные на носителе информации?
- Какого вида (явный, скрытый, удаленный, архив) информация имеется на носителе?
- К какому типу относятся выявленные (определенные) данные (текстовые, графические, база данных, электронная таблица, мультимедиа, запись пластиковой карты, данные ПЗУ и др.) и какими программными средствами они обеспечиваются?
идентификация компьютера
В сети происходит совместное использование одного ресурса (сетевого кабеля) несколькими компьютерами. Все компьютеры должны быть способны принимать данные, передаваемые по сети. Но если бы каждый компьютер идентифициро
вался именем Bob или Sasha, невозможно было бы определить, кому из них следует посылать данные. Отсюда возникает необходимость назначения компьютеру уникального идентификатора.
диагностика распознает состояние объектов, познает события, явления, процессы.