Комп'ютерна експертиза

Цей різновид відноситься до категорії інженерно-технічних. Він є важливою ланкою в ряду судово-експертних досліджень, оскільки дозволяє комплексно побудувати цілісну систему доказів. Значущість КТЕ пояснюється зростанням ролі комп'ютера в сучасному світі. Величезна кількість правопорушень, злочинів скоюється саме за допомогою цифрової техніки. Особливої актуальності вона набуває в кримінальних, цивільних справах. Аналізування основного об’єкта, апаратно-технічних засобів, ПО, баз даних внаслідок постійного вдосконалення сучасної техніки, програмного забезпечення є одним із найскладніших видів досліджень.

На відміну від криміналістичних процедур, які ви можете ініціювати самостійно на будь-якому етапі розслідування, комп'ютерно-технічна (звана також програмно-технічною або комп'ютерною експертизою) являється судовою та призначається постановою слідчого.

Вимоги до IT-експертизи та експертів, що проводять її, жорсткіше, а значення для винесення вироку - більше, ніж результатів непроцесуальних перевірок. Останні можуть бути долучені до справи як прямі докази, але не можуть підміняти собою висновок експерта.

Випадків, для яких потрібно провести дослідження кібертехніки велика кількість:

• обробка, зберігання тієї інформації, яка піддалася неправомірному посяганню;
• використання IT-агрегатів для злочинного віддаленого проникнення до даних;
• несанкціонований запис на машинні носії;
• використання матеріалів, отриманих шляхом порушення права власності.

 

Окрім самого технічного устаткування, експерти проводять аналіз речових та інформаційних слідів, залишених порушниками. Останні вказують на редагування базової файлової структури.

Якщо говорити про речові, то згадаємо відбитки пальців рук, інші сліди на електронних засобах (клавіатурі, принтері, т.д.), рукописні елементи, документи, залишені на робочому місці, а також ті, що залишилися на засобах, призначених для захисту даних.

IT-дослідження прямо залежить від попередньої взаємодії з ним слідчих чи інших представників уповноважених органів. Зумовлено це можливістю умисного або ненавмисного знищення матеріалів, важливих для формування доказової бази. Тобто найголовніша умова огляду предметів є беззаперечне виконання правил поводження із технічними елементами, носіями інформації.

Головна вимога до учасників слідчо-оперативної групи - забезпечення максимальної цілісності апаратури та недопущення сторонніх осіб до місця, що потребує огляд.

Які дані повинні бути зібрані до початку ходу досліджень? Насамперед це інформація про систему в цілому, окремі частини (сервер, електронно-обчислювальна машина, програмне забезпечення, тощо), а також про способи її використання для вчинення неправомірних дій.

Усі операції з технікою проводяться лише фахівцем у сфері інформаційних технологій. Щоб транспортувати обладнання до лабораторії для подальшої експертизи, треба вимкнути від електроживлення всі засоби, опечатати і негайно вилучити з усіма носіями.

Що конкретно підлягає комп’ютерно-технічному аналізу?

1. Ноутбуки, системні блоки стаціонарних машин або комплектувальні.
2. Допоміжні пристрої (комунікаційні апарати, принтери, сканери, інші).
3. Жорсткі, гнучкі носії, магнітні, оптичні диски, картки пам’яті.
4. Різного роду гаджети (телефони, планшети, пейджери).

Об’єкти експертизи повинні:

• упаковуватися, опечатуватися, щоб уникнути вірогідність ушкодження, ввімкнення в електромережу, розбирання;
• зафіксовуватись в протоколі (стан, зовнішній вигляд, час, місце вилучення);
• захищатись від взаємодії з хімічними речовинами.

 

Упаковувати предмети слід в поліетиленовий чи полотняний пакет, пластмасову ємність, картонний короб. Зверху здійснюється опечатування. Обов’язково прикладається аркуш - докладний опис усіх запакованих елементів. 

Детальніше опрацювати вимоги щодо передачі матеріальних та інформаційних об’єктів на вищезгаданий тип аналізу можна в наказі Міністерства юстиції України №53/5 від 08.10.1998 (зі змінами та доповненнями, внесеними згідно з наказом Мінюста №563/5 від 22.02.2019), за яким:

• для експертного дослідження матеріалів, які перебувають на IT-носіях, вони надаються в експертну службу, а також увесь комплекс, в який входить досліджуваний предмет (за згодою експерта можна передати тільки носій);
• для визначення відповідності певних програмних продуктів конкретним параметрам, варто надати копію того продукту;
• якщо під експертну процедуру попадає технічний стан оснащення, то у наявності повинні бути відповідні засоби, документація до них.

 

Попередня консультація спеціаліста в інформаційній галузі допоможе визначити, що саме слід дослідити в конкретному випадку.

Різновиди програмно-технічної експертизи:

• Апаратно-комп'ютерна.
• Комп'ютерно-мережева.
• Програмно-комп'ютерна.
• Інформаційно-комп'ютерна.

 

Вивчення технічних засобів дає можливість отримати наступні дані:

• належність наданого пристрою до електронних засобів взагалі та до вказаної системи зокрема;
• марка та модель агрегату, його основні параметри, детальна характеристика;
• функціональне призначення досліджуваного предмета;
• його функціональні можливості і роль у відповідній комп’ютерній системі;
• здатність цього апарату виконати те завдання, яке цікавить замовника;
• фактичний стан, тобто справний/несправний;
• вірогідність накопичувати та зберігати певну інформацію;
• спосіб, тип накопичення, модель, марка, та на якому пристрої можливо скористатися ним;
• змога користуватись носієм на піддослідному обладнанні;
• всі параметри (тривалість читання даних, розмір, швидкість передачі та ін.);
• чи існує спосіб отримати з нього інформацію.

 

Аналіз програмних продуктів допомагає дізнатися:

• загальний опис цього об’єкту, з чого він складається;
• класифікація усіх складових програмних засобів;
• найменування, номер версії, який тип, спосіб подання (явний/прихований/віддалений);
• зміст кожного файлу, повний перелік параметрів (рік, місяць, число, час створення, об’єм, атрибути);
• які функції виконує;
• вимоги до технічних агрегатів і системи в цілому;
• чи допоможе використання піддослідного продукту вирішити вказану функціональну задачу;
• працездатність та загальний стан об’єкта;
• якими методами можуть вводитись дані та виводитись результати діяльності;
• засоби, призначені для захисту від злочинного доступу, несанкціонованого копіювання матеріалів, та які з них активовані.

 

Стосовно інформації ви можете отримати відповіді на питання:

• наявність такої на наданих предметах, системах, пристроях;
• характерні особливості: розмір, дата виникнення, коли відбулось редагування, тощо);
• вигляд розміщених відомостей (прихований або явний, чи взагалі віддалений);
• якими засобами може оброблятись;
• тип (текстовий чи графічний, мультимедійний, заповнені таблиці, ін.);
• вільний до неї доступ, обмежений, іншої організації;
• властиві характеристики визначених засобів захисту, якими шляхами їх обійти;
• чи містить кіберносій сліди несанкціонованого доступу;
• зміст;
• що з матеріалів можливо використати для вказаного завдання;
• відомості про користувачів системи (логіни, паролі, імена та подібне);
• наявність видалених фрагментів, можливість відновлення;
• повернення до первинного виду.

 

Щодо комп’ютерних мереж, експерти мають змогу з’ясувати:

• чи виступає піддослідний об’єкт мережею;
• окрема це одиниця чи частина великої системи;
• тип, робочий, неробочий стан, склад, докладний опис;
• за участю яких засобів реалізований захист;
• яким чином його подолати.

 

У сферу компетенції експерта НЕ входить:

• визначення вартості IT-техніки;
• вказівка на правомірність/неправомірність дій, які були зроблені за допомогою аналізованих об'єктів;
• переклади програм, текстів, виявлених при аналізі.

 

Проведення незалежного програмно-технічного дослідження, як вже відзначалось, проводиться виключно при наявності спеціального судового дозволу чи процесуальної необхідності проведення цієї процедури.

Вона включає вищезгадані підвиди, які доволі часто використовуються для комплексного дослідження.

Трапляється, для отримання найбільш правдивих відомостей IT-експертиза проводиться із застосуванням інших типів експертиз, наприклад криптографічного, відеофоноскопічного, т.д., що дозволяє незалежним професіоналам надати слідству об'єктивні висновки.

Спеціаліст повинен володіти професійними знаннями в області автоматизації, інформаційних систем, процесів, програмуванні, електротехніки, радіотехніки. Наявність таких системних знань дозволить фахівцеві провести якісну експертизу. Хоча зовні алгоритм КТЕ зводиться до пошуку доказів, їх аналізу та фіксування у звіті. Крім того, необхідно володіти лабораторією для її проведення.

Наша дослідницька служба проводить комп’ютерно-технічний аналіз апаратури будь-якої складності. Завдяки досвіду висококваліфікованих спеціалістів експертиза здійснюється в найкоротші терміни. Як результат виступає звіт і підсумки експертів.