Компьютерно-техническая экпертиза
В настоящее время рассмотренные выше основные виды КТЭ при производстве большинства экспертных исследований применяются комплексно и, чаще всего, последовательно. Экспертная деятельность зачастую связана с необходимостью исследования целостной компьютерной системы или ее части — персонального компьютера, электронного органайзера, сотового телефона и т. д. При этом, как правило, изучение… Читать ещё >
Компьютерно-техническая экпертиза (реферат, курсовая, диплом, контрольная)
Компьютерно-техническая экпертиза.
- Введение
- 1 Понятие, предмет и виды компьютерно-технической экспертизы
- 2 Цели и задачи компьютерно-технической экспертизы
- Заключение
- Список использованных источников
компьютерная техническая экспертиза правовая.
Особенностью современного периода развития общества является повсеместное практическое применение ЭВМ во всех общественно значимых сферах человеческой деятельности, создание индустрии производства и обработки информации.
Информатизация, на начальном этапе которой мы находимся, как общественно-экономическое и научно-техническое явление объективно связана с неизбежными социальными издержками. Опыт развитых зарубежных стран свидетельствует, что компьютеры могут быть использованы для совершения преступлений.
Речь идёт о так называемых «компьютерных преступлениях» — противоправных деяниях, при которых информационно-вычислительные системы (ИВС) становятся предметом либо орудием совершения преступных посягательств. Практически все известные мировой практике их виды регистрируются уже и в Республике Беларусь.
Стремительное развитие и совершенствование информационных технологий уже сегодня порождает и новые способы совершения и сокрытия преступлений. Информационные системы все чаще становятся не только объектом преступного посягательства, но и сами используются в качестве орудия совершения разнообразных преступлений, оставляя при этом своеобразные «информационные» следы, которые необходимо исследовать. Подобные исследования требуют специальных инженерных знаний в области компьютерных систем и компьютерной информации и проводятся в рамках судебной компьютерно-технической экспертизы.
Все вышесказанное говорит об актуальности темы данной работы, ее основная цель изучить предмет, цели, виды и задачи компьютерно-технической экспертизы.
1. Понятие, предмет и виды компьютерно-технической экспертизы.
Компьютерно-техническая экспертиза (КТЭ) — самостоятельный род судебных экспертиз, относящийся к классу инженерно-технических экспертиз, проводимый в целях: определения статуса объекта как компьютерного средства, выявления и изучения его роли в расследуемом преступлении, а также получения доступа к информации на электронных носителях с последующим всесторонним ее исследованием.
Родовой предмет — факты (обстоятельства), имеющие значение для уголовного либо гражданского дела и устанавливаемые на основе исследования закономерностей разработки и эксплуатации компьютерных средств и систем, обеспечивающих реализацию информационных процессов.
Специальные познания КТЭ составляют следующие научные направления: автоматизация, информационные системы и процессы, электроника, электротехника, радиотехника и связь, вычислительная техника (в том числе программирование) и др.
Видовую классификацию КТЭ целесообразно рассматривать на основе обеспечивающего предназначения СКТ (аппаратных, программных, информационных) и использовать ее в виде, соответствующем процессам разработки и эксплуатации СКТ. Таким образом, можно выделить следующие пять видов экспертиз.
1. Аппаратно-компьютерная экспертиза, т. е. исследование аппаратных компонентов СКТ, магнитных носителей, документации.
Правоохранительными органами г. Минска предъявлено обвинение студенту-заочнику банковского факультета БГЭУ М., в том, что он, работая старшим специалистом отдела операций с безналичной валютой Главного управления валютных операций АКБ «Приорбанк», использовал служебное положение с целью совершения преступления. М. систематически совершал хищение валютных средств, используя на своем рабочем месте компьютер. С целью сокрытия следов преступления М. 3 раза уничтожал базу данных АКБ «Приорбанк», но преступнику не повезло в банке сохранялись копии. Проведение аппаратно-компьютерной экспертизы позволило выйти на след преступника и раскрыть дело.
2. Программно-компьютерная экспертиза, т. е. исследование операционных систем. В силу многих причин сложилось так, что в одних сетевых операционных системах какие-то сервисы реализованы лучше, какие-то хуже, поэтому для многих сетей, вне зависимости от их масштаба, свойственно одновременное использование различных сетевых операционных систем. Для автоматизированных систем Республики Беларусь и Российской Федерации характерно доминирование сетевых операционных систем от Microsoft и Novell.
3. Информационно-компьютерная экспертиза — исследование прикладного программного обеспечения, и т. д.
Указанные КТЭ можно проводить как в лабораторных условиях, если при проведении осмотра места происшествия следователь положительно оценил возможность изъятия СКТ, так и непосредственно на месте происшествия. Тактика производства рассматриваемых экспертиз была рассмотрена нами ранее.
4. Комплексные экспертизы проводятся на пограничных областях специальных знаний. Примерами могут быть:
комплексная компьютерно-техническая и технико-криминалистическая экспертиза документов;
комплексная компьютерно-техническая и бухгалтерская экспертиза и др.
5. Компьютерно-сетевая экспертиза. Для эффективного информационного обеспечения раскрытия и расследования преступлений комплексно используются процессуальные и не процессуальные методы, так как процессуальная деятельность без применения не процессуальных методов была бы невозможной, а не процессуальная деятельность без последующего использования ее результатов в уголовном процессе — бесполезной. В этой связи особый интерес представляет информационно-разведывательный ресурс сети Internet, предоставляющий оперативным подразделениям, осуществляющим аналитический поиск, принципиально новые возможности для сбора, систематизации, накопления и изучения данных оперативно-розыскного профиля.
Рассматривая Internet как элемент информационно-разведывательного ресурса применительно к анализу открытой информации, обратим внимание на то, что существуют основные (стандартные) и дополнительные средства поиска информации.
Для решения стандартных, часто встречающихся поисковых задач сеть имеет стандартные средства — специально разработанные для этой цели программные инструменты. Данные средства поиска работают автоматически и достаточно быстро отвечают на запрос. К ним относятся так называемые «машины поиска» (Search Engine — SE) типа Yahoo, Altavista, Rambler, Infoseek, HotBot, WebCrawler, Excite и др.
Указанные системы позволяют осуществлять наиболее часто применимый пользователями контекстный поиск в реальном масштабе времени.
Дополнительные средства поиска используют возможности, предоставляемые некоторыми другими службами сети, ее персоналом и абонентами. Эти способы являются дополнительными, поскольку они:
не предназначены для массового применения;
не являются универсальными (накапливают адреса в недостаточном объеме или по узким направлениям);
не являются стандартными или обязательными для того, кто их предоставляет.
Характерным примером использования дополнительного способа поиска является, например, публикация вопроса в соответствующей телеконференции, когда кто-то обращается к ее участникам с просьбой оказать содействие в том или ином вопросе.
С появлением Internet резко возросла актуальность исследований семантических аспектов информации. Эффективность работы поисковых машин существенно зависит от их способности учитывать морфологическую структуру запроса.
В настоящее время рассмотренные выше основные виды КТЭ при производстве большинства экспертных исследований применяются комплексно и, чаще всего, последовательно. Экспертная деятельность зачастую связана с необходимостью исследования целостной компьютерной системы или ее части — персонального компьютера, электронного органайзера, сотового телефона и т. д. При этом, как правило, изучение начинается с аппаратных средств, далее — программных, и в заключении — работа с данными. Именно информационно-компьютерная экспертиза как вид КТЭ позволяет в итоге построить целостное представление об исследуемом объекте, имеющее доказательственное значение. В результате проведения такого комплекса исследований, использования всего имеющегося родового экспертного инструментария достигается решение наиболее существенных экспертных задач — поиск, обнаружение, анализ и оценка криминалистически значимой компьютерной информации. Название такого комплексного исследования должно совпадать с родовым названием — компьютерно-техническая экспертиза. Поэтому, в настоящее время, в постановлении на производство судебной экспертизы целесообразно указывать родовое наименование экспертизы, т. е. «произвести судебную компьютерно-техническую экспертизу».
Кроме того, в ходе таких пограничных исследований иногда возникает потребность привлекать специальные познания и из других смежных научных областей (например, криптографии и защиты информации). В экспертной практике уже намечены реальные перспективы развития комплексных экспертиз с использованием специальных познаний в КТЭ и в следующих экспертизах: судебно-экономические экспертизы, технико-криминалистическая экспертиза документов, видеофоноскопическая, товароведчекая и другие экспертизы.
Родовой (видовой) объект — определенная категория предметов, обладающих общими признаками и относящихся к компьютерным средствам. Одной из важных особенностей объекта КТЭ является его составной характер. Конкретный объект экспертизы — определенное компьютерное средство, исследуемое в процессе данной экспертизы, обладающее признаками индивидуальности и неповторимости, что и определяет специфику конкретного исследования.
Система объектов КТЭ по классификационному основанию видового деления выглядит следующим образом:
а) класс аппаратные объекты, включающий в себя виды: персональные компьютеры (настольные, портативные), периферийные устройства, сетевые аппаратные средства (серверы, рабочие станции, активное оборудование, сетевые кабели и т. д.), интегрированные системы (органайзеры, пейджеры, мобильные телефоны и т. п.), встроенные системы на основе микропроцессорных контроллеров (иммобилайзеры, транспондеры, круиз-контроллеры и т. п.), любые комплектующие всех указанных компонент (аппаратные блоки, платы расширения, микросхемы и т. п.). Указанные виды могут охватывать различные сочетания подвидов.
В криминалистическом аспекте наиболее важен подвид запоминающих устройств и носителей данных — включает все известные на момент проведения экспертизы электронные носители данных: микросхемы памяти, магнитные и лазерные диски, магнитооптические диски, магнитные ленты, карты и т. п.;
б) класс программные объекты, включающий в себя виды: системное программное обеспечение (подвиды: операционная система, вспомогательные программы-утилиты, средства разработки и отладки программ, служебная системная информация); прикладное программное обеспечение [подвид приложения общего назначения (текстовые и графические редакторы, системы управления базами данных, электронные таблицы, редакторы презентаций и т. д.) и подвид приложения специального назначения (для решения задач в определенной области науки, техники, экономики и т. д.)];
в) класс информационные объекты (данные), включающий в себя виды: текстовых и графических документов, изготовленных с использованием компьютерных средств; данных в форматах мультимедиа; информации в форматах баз данных и других приложений, имеющей прикладной характер.
2. Цели и задачи компьютерно-технической экспертизы.
КТЭ производятся в целях определения статуса объекта как компьютерного средства, выявления и изучения его роли в расследуемом преступлении, а также получения доступа к информации на носителях данных с последующим всесторонним ее исследованием.
КТЭ решаются следующие экспертные задачи:
1) распечатка всей или части информации, содержащейся на жестких дисках компьютеров (в необходимых случаях) и на внешних магнитных носителях, в том числе из нетекстовых документов (в форматах текстовых процессоров и электронных таблиц Windows, со связями DDE и OLE) и баз данных;
2) распечатка информации по определенным темам (найденной по ключевым словам);
3) восстановление стертых файлов и стертых записей в базах данных, уточнение времени стирания и внесения изменений;
4) установление времени ввода в компьютер определенных файлов, записей в базы данных;
5) расшифровка закодированных файлов и другой информации, преодоление рубежей защиты, подбор паролей;
6) выяснение каналов утечки информации из информационных систем, глобальных сетей и распределенных баз данных;
7) установление авторства, места подготовки и способа изготовления некоторых документов;
8) выяснение технического состояния и исправности компьютерной техники (наличие встроенных устройств и программных средств, адаптация компьютера под конкретного пользователя).
Наряду с этими основными задачами при проведении КТЭ могут быть решены и некоторые вспомогательные экспертные задачи:
1) оценка стоимости компьютерной техники, периферийных устройств, магнитных носителей и программных продуктов, а также проверка контрактов на их поставку;
2) установление уровня профессиональной подготовки отдельных лиц в области программирования и работы с компьютерной техникой;
3) перевод документов технического содержания (в отдельных случаях).
КТЭ как самостоятельный род экспертиз сформировалась недавно и настоящее время находится в стадии совершенствования научно-технических и методических разработок. Расширяется перечень ее объектов, совершенствуются методы проведения исследований, формируются новые научные методики экспертных исследований. Развитие и совершенствование КТЭ находится в прямой зависимости от научно-технического прогресса в сфере новых информационных технологий.
Изучение средств компьютерной техники (СКТ), как было отмечено выше, начинается с аппаратных средств, далее — программных, затем — работа с данными. В результате такого комплексного характера исследований в рамках КТЭ достигается решение наиболее существенных экспертных задач — поиск, обнаружение, анализ и оценка криминалистически значимой компьютерной информации.
Современный методический и организационный уровень КТЭ характеризуется как этап становления нового рода судебной экспертизы. В связи с этим большинство экспертных задач могут решаться пока при разработке специальных экспертных методик для каждого частного случая. Причем, в каждой конкретной судебно-следственной ситуации рекомендуется предварительно согласовать возможность проведения необходимого исследования, а также круг задач и вопросов, ставящихся на разрешение эксперта.
В уголовном судопроизводстве применительно к типичным объектам рассматриваемого рода экспертизы возможности судебно-экспертного исследования компьютерных средств и систем отражены в следующем методическом подходе, отражающем сущность современной КТЭ.
Исследование системного блока персонального компьютера проводится путем:
визуального осмотра внутренних аппаратных компонентов системного блока;
извлечения из системного блока жесткого диска;
подключения к системному блоку монитора, клавиатуры и манипулятора «мышь» и прерывания его загрузки для определения установок программы SETUP BIOS;
определения системной даты, времени компьютера, других конфигурационных установок в программе SETUP BIOS;
загрузки операционной системы с системной дискеты эксперта и диагностирования соответствующими программными средствами аппаратных компонентов системного блока (все выполняется без жесткого диска).
Исследование носителей компьютерной информации проводится путем:
определения класса носителя (например, для компакт-дисков: CD-ROM, CD-R, CD-RW и др.);
определения интерфейса, состояния перемычек и переключателей (для НЖМД);
определения назначения носителя;
подключения к стендовому компьютеру исследуемого жесткого диска в качестве дополнительного диска;
определения основных технических параметров (номеров цилиндров, сторон (головок), секторов, количества секторов, размеров секторов и емкости);
выявления таблицы разделов диска с определением их основных характеристик (начало и конец раздела, тип файловой системы, идентификаторы и метки разделов, размер и количество кластеров);
определения логической адресации системных областей разделов (загрузочной записи, таблиц FAT и корневого каталога);
поиска признаков повреждения целостности структуры данных (несоответствие заявленных параметров раздела фактическим, наличие сбойных, потерянных и др. кластеров, отличия фактического размера файлов от размеров, записанных в каталоге, некорректно сохраненные имена каталогов и файлов и т. п.).
Исследование файлов проводится путем:
создания «зеркальной» копии всего содержимого носителя информации на вспомогательном носителе (посекторное копирование с фиксацией технических параметров формата носителя, например, используются программы типа Disk Edit (Symantec Norton Utilities);
при невозможности создания вспомогательного носителя, перед подключением исследуемого жесткого диска к стендовому компьютеру, необходимо отключить все резидентные программы, загружаемые в ОС Windows и производящие операции записи на диск. Исследуемый диск должен быть установлен в системе как дополнительный съемный диск. Все файлы с исследуемого диска копируются на диск стендового компьютер. После отключается исследуемый диск, и проводиться исследование скопированных файлов на рабочем жестком диске стендового компьютера;
определения основных количественных параметров каталогов и файлов, содержащихся на носителе (с разбиением по логическим дискам);
определения основных статистических параметров и временных атрибутов каталогов и файлов;
определения соответствия дат создания и редактирования файлов системному времени компьютера и общей ситуации проведения экспертизы;
определения перечня программного обеспечения, содержащегося на магнитном носителе (уставленное программное обеспечение и дистрибутивы) с указанием назначения программ, названия программ, типовых расширений файлов, с классификацией по разделам (операционные системы, архиваторы, антивирусы, работа в Интернет, работа с графикой, работа со звуком, языки программирования, работа со сканером и распознавание текста, программы переводчики, игры и т. д.);
выделения общедоступных и предположительно подготовленных пользователем файлов данных (с указанием каталогов и программ подготовки файлов);
определения общего объема файлов данных;
выделения защищенной от несанкционированного доступа информации (зашифрованные диски и файлы, электронные сжатые диски, защищенные паролями архивы и др.);
поиска удаленных файлов и остаточной информации (например, с помощью программ Unerase, DiskEdit (Symantec Norton Utilities) и т. п.);
выделения файлов, представляющих интерес для экспертизы;
определения содержимого и атрибутов файлов операционной системы, характеризующих работу пользователя в операционной системе, в локальных и глобальных сетях;
поиска программ (файлов), содержащих признаки заражения компьютерными вирусами (например, с использованием программ AVP, Dr. Web и пр.).
Поиск признаков выполнения несанкционированных действий или использования специальных программ удаленного администрирования производится путем:
поиска программ, предназначенных для подбора паролей, и результатов их работы (файлов результатов и файлов настроек программ);
поиска фактов работы с использованием чужих учетных записей или других системных ресурсов;
установления содержимого рукописных и печатных материалов, текстовых файлов и файлов электронной почты;
поиска программ с деструктивными (вредоносными) функциями и их экспериментального исследования на стендах, моделирующих предполагаемые условия их функционирования;
выявления текстовых файлов, содержащих ключевые слова;
выявления пользовательских файлов (звуковых, графических, текстовых, исполняемых модулей), имеющих отношение к заданной тематике (обстоятельствам дела);
уяснения диагностических параметров настройки программ (регистрационные имя пользователя и название организации в программах подготовки документов Microsoft Office или системах программирования);
исследования защищенных паролями файлов;
определения особенностей подготовки текстового файла с учетом среды подготовки, регистрационных параметров использовавшегося текстового редактора, времени создания документа, времени редактирования и количества редакций (в режиме автосохранения и по команде пользователя), внесенных изменений, наличия макрокоманд и макровируса в тексте и пр.;
выявления и определения назначения программ с минимальным пользовательским интерфейсом и не содержащих пояснительных указаний и комментариев (с установлением относящихся к этим программам файлов данных);
сравнительного исследования нескольких версий программ, конфигурационных файлов (настроек) и файлов данных;
изучения протоколов работы пользователя (или программ) и интерпретации их действий;
определения работоспособности и уточнения фактически выполняемых функций программ с рекламируемыми и заявленными свойствами;
выявления и уточнения назначения программ управления другими аппаратными средствами, подключаемыми и используемыми с представленным компьютером;
уяснения настройки кодовых таблиц (или переустановки всей операционной системы на стендовом компьютере) для исследования файлов на национальных языках.
Помимо уголовного, непрерывно возрастают потребности в КТЭ и в других видах судопроизводства. Так, в настоящее время, в связи с глобальной компьютеризацией коммерческой деятельности, возникает большое количество гражданских споров (в т.ч. в хозяйственных судах). Кроме того, в административном порядке защиты потребителей проводятся экспертизы в соответствии с нормами КоАП. К ним относятся экспертизы по фактам нарушения прав потребителей на приобретение компьютеров и компьютерных систем надлежащего качества и безопасности для жизни и здоровья, на получение информации о товарах (компьютерных средствах) и об изготовителях этих средств т.д.
В ходе самозащиты в досудебном споре по заявленному требованию потребителя используются следующие формы специальных знаний в области компьютерных технологий: проверка качества компьютеров и компьютерных систем (работ по их обслуживанию, ремонту и пр.); экспертиза качества компьютеров и компьютерных систем (в т.ч. проектных работ по созданию компьютерных систем и пр.).
Основной задачей КТЭ в указанных делах является диагностика производственных и эксплуатационных дефектов компьютерных средств с целью установления их стоимости. Решается данная задача с использованием комплексного методического подхода (в т.ч. с использованием товароведческих специальных знаний), посредством которого устанавливаются факты и обстоятельства наличия тех или иных дефектов компьютерных средств (в целом и по комплектующим), изменения их качеств (сущности изменения качества), наименование и количество компьютерных средств, пригодности для использования по назначению и пр. Полученные результаты экспертизы широко используются для установления истины по делу и в совокупности с другими выводами, могут способствовать установлению размеров ущерба и пр.
Заключение
.
Процесс предупреждения, раскрытия и расследования компьютерных преступлений является весьма сложным. Большую помощь в расследовании оказывают специалисты зональных информационно-вычислительных центров региональных УВД МВД РБ. В настоящее время, в системе МВД в целях определения статуса объекта как компьютерного средства, выявления и изучения его роли в расследуемом преступлении, а также получения доступа к информации на электронных носителях с последующим всесторонним ее исследованием, проводится компьютерно-техническая экспертиза.
Экспертные исследования свидетельствуют об имеющейся потребности судебно-следственных органов в компьютерно-технических экспертизах, при этом состояние развития и совершенствования для данного вида экспертиз является внутренне обусловленным и диктуется научно-техническим прогрессом в сфере новых информационных технологий, внедрением новых средств вычислительной техники и телекоммуникационных систем.
Список использованных источников
.
1 Козлов В. Е. Теория и практика борьбы с компьютерной преступностью. — М: Горячая линия — Телеком, 2002. — 336 с.
2 Компьютерно-техническая экспертиза / Российский федеральный центр судебной экспертизы при Министерстве юстиции Российской Федерации / [Электронный ресурс]. — Режим доступа: http://www.sudexpert.ru/possib/comp.php. — Дата доступа: 18.12.2010.
3 Правовая информатизация Республики Беларусь: становление и перспективы развития / Н. Н. Радиванович [и др.]; под общ. ред. Н. Н. Радивановича. — Минск: Нац. центр правовой информ. Республики Беларусь, 2007. — 400 с.
4 Правовая информатика: учебно-методический комплекс / Остапенко А. В. — Минск: Веды, 2007. — 172 с.
5 Преступления в сфере компьютерной информации: квалификация и доказывание: Учеб. пособие / Под ред. Ю. В. Гаврилина. — М.: ЮИ МВД РФ, 2003. — 245 с.
6 Российская Е. Р., Усов А. И. Судебная компьютерно-техническая экспертиза. — М: Право и закон, 2001. — 43 6 с.