Криминалистика

Организация технико-криминалистической экспертизы компьютерных систем.

Июн 15, 2023
logo11d 4 1

В учреждениях, обеспеченных финансированием, эксперты могут использовать специализированное программное обеспечение.

В ряде стран Западной Европы и США разработаны программы, предназначенные специально для производства экспертизы компьютерной техники.

Наилучшей среди них, бесспорно, является программа EnCase – разработка американской компании Guidance Software.

Первоначально эта программа была разработана исключительно для нужд таких государственных организаций США, как Секретная служба Министерства финансов, ФБР и АНБ, но в настоящее время предлагается к свободной продаже.

Программа EnCase практически полностью автоматизирует как процесс создания копии исследуемого жесткого диска, так и исследование его содержимого.

Основными возможностями этой программы являются:

  • проведение контекстного поиска и анализа информации на магнитных носителях с различными файловыми системами одновременно, включая FAT12, FAT16, FAT32, NTFS, Linux, UNIX, Macintosh, а также CD-ROM и DVD-R;
  • встроенный макроязык дает возможность составлять мощные фильтры и программы для настройки EnCase и применять «продвинутые» методы для автоматического анализа всех данных, содержащихся на исследуемом носителе;
  • подсистема коллекционирования картинок автоматически опознает все файлы, содержащие фрагменты графических изображений, и показывает их в виде пиктограмм, которые легко можно пометить закладками или скопировать на CD-ROM;
  • просмотр файлов без изменения их содержания или времени создания;
  • «простой» поиск информации по всему диску с использованием любого количества ключевых слов;
  • «сложный» поиск информации с использованием мощного синтаксиса UNIX GREP;
  • просмотр файлов сложной структуры, таких как реестр Windows, файлы-вложения в сообщения электронной почты и Zip-файлы;
  • просмотр всех существенных отметок времени для всех файлов в компьютере с помощью мощной программы с временной шкалой.

EnCase и аналогичные ей программы не являются экспертными системами или базами знаний, они не могут анализировать лог-файлы и файлы протоколов, а также не дают каких-либо советов лицу, ведущему расследование.

Фактически, эти программы представляют собой многофункциональный и довольно удобный инструмент для анализа содержимого изъятых носителей компьютерной информации.

Методика работы с этими программами обеспечивает доказательственное значение анных данных, даже по более строгому в данном отношении законодательству США.

За счёт использования EnCase и подобных ей программ время исследования одного сервера сокращается до 3-4 дней, а компьютер с жёстким диском не слишком большого объёма исследуется менее чем за 1 день.

К сожалению, многие государственные экспертные учреждения не в состоянии приобрести экспертное программное обеспечение по причине недофинансирования.

В то же время автору не хотелось бы создать впечатление, что эксперты из негосударственных учреждений могут свысока смотреть на своих коллег, состоящих на государственной службе.

Дело в том, что практически все сотрудники государственных экспертных учреждений в совершенстве изучили процессуальную сторону дела и имеют весьма ценный опыт защиты своих выводов непосредственно в судебном заседании.

Специалисты же из негосударственных структур, в целом обладая более высокой квалификацией в области компьютерных систем, зачастую не уделяют достаточного внимания ни процессуальному оформлению своих заключений, ни выступлению в суде.

Срабатывает старый стереотип программиста – эти вопросы решаются «по умолчанию», всё важное в заключении было написано, а неважное само собой разумеется.

Между тем заключение эксперта – не роман, и вольный стиль тут неуместен. Статья 204 Уголовно-процессуального кодекса РФ оговаривает основные требования к заключению эксперта:

  1. В заключении эксперта указываются:
    1. дата, время и место производства судебной экспертизы;
    2. основания производства судебной экспертизы;
    3. должностное лицо, назначившее судебную экспертизу;
    4. сведения об экспертном учреждении, а также фамилия, имя и отчество эксперта, его образование, специальность, стаж работы, ученая степень и (или) ученое звание, занимаемая должность;
    5. сведения о предупреждении эксперта об ответственности за дачу заведомо ложного заключения;
    6. вопросы, поставленные перед экспертом;
    7. объекты исследований и материалы, представленные для производства судебной экспертизы;
    8. данные о лицах, присутствовавших при производстве судебной экспертизы;
    9. содержание и результаты исследований с указанием примененных методик;
    10. выводы по поставленным перед экспертом вопросам и их обоснование.
  2. Если при производстве судебной экспертизы эксперт установит обстоятельства, которые имеют значение для уголовного дела, но по поводу которых ему не были поставлены вопросы, то он вправе указать на них в своем заключении.
  3. Материалы, иллюстрирующие заключение эксперта (фотографии, схемы, графики и т.п.), прилагаются к заключению и являются его составной частью.

Добротное заключение эксперта, имеющее хорошие шансы на признание в суде, должно состоять из трёх частей – вводной, где в соответствии c пунктами 1-8 части 1 ст. 204 излагаются все необходимые формальности, описательной, где в подробностях описывается весь процесс исследования, и резолютивной, где указываются основные выводы.

При этом в заключении желательно использовать вполне определённую терминологию. Например, на поставленные следователем вопросы эксперт может давать только три типа ответов, как в армии, – «категорически да», «категорически нет» и «предположительно».

Не котируются в судах такие откровения экспертов, как «по моему скромному мнению», «всем известно, что…» и даже «на основании анных данных я догадался…» Процитированного последним автора до сих пор вспоминают в одном из судов под ласковым псевдонимом «догадливый», что не помешало отклонить его заключение.

Следует помнить также, что в соответствии со статьёй 282 Уголовно-процессуального кодекса РФ автор экспертного заключения может быть вызван для допроса в суд:

  1. По ходатайству сторон или по собственной инициативе суд вправе вызвать для допроса эксперта, давшего заключение в ходе предварительного расследования, для разъяснения или дополнения данного им заключения.
  2. После оглашения заключения эксперта ему могут быть заданы вопросы сторонами. При этом первой вопросы задает сторона, по инициативе которой была назначена экспертиза.
  3. При необходимости суд вправе предоставить эксперту время, необходимое для подготовки ответов на вопросы суда и сторон.

Ещё ни один известный автору статьи эксперт не готовился специально к такому походу. Эти специалисты полагают, что в суде в ходе общения с дилетантами в компьютерной сфере достаточно сказать пару терминов и настоять на своём заключении.

На самом же деле допрос эксперта – самостоятельное действие. В ходе допроса суд имеет возможность как проверить квалификацию эксперта, так и получить дополнительную информацию, не вошедшую в заключение.

Однако неготовые к такой ситуации частные эксперты зачастую становятся лёгкой добычей адвокатов противной стороны. Опытному адвокату с большим стажем выступлений в суде обычно не составляет труда запутать и подавить человека, никогда в суде не выступавшего.

Соответствующий набор неджентльменских, но тем не менее вполне законных приёмов описан в специальной литературе.

Даже если эксперт отличается крепкими нервами и завидной самостоятельностью, его можно поймать на несложную провокацию. Так, в Петербурге перед судебным разбирательством по уголовному делу о преступлении в сфере экономики помощник адвоката вежливо попросил эксперта зайти в такую-то комнату – «Вас туда вызывают!».

После этого адвокату осталось только зафиксировать со свидетелями, как независимый эксперт перед процессом зашёл в комнату, отведённую в суде для представителей прокуратуры, — после чего на суде эксперту был заявлен отвод по мотивам его личной заинтересованности в исходе дела.

Несмотря на бесспорный профессионализм эксперта в области информационной безопасности, его заключение лишилось доказательственного значения вследствие всего лишь одного неверного шага!

Адвокаты настолько привыкли к правовой безграмотности негосударственных экспертов, что даже обижаются, когда эксперт не «ведётся».

В одном из московских судов после небольшой дискуссии с автором статьи адвокат искренне возмущался: «Вы меня перед клиентом опозорили! Кто вам позволил кодексы цитировать?!».

Эту же фразу с разной степенью аффектации повторяли и другие проигравшие адвокаты…

В целом можно считать, что на современном этапе целесообразно организовать качественную экспертизу компьютерных систем как по уголовным, так и по гражданским делам на базе негосударственных учреждений, специализирующихся в области информационной безопасности.

Разумеется такой подход предполагает усиление внимания к правовой стороне вопроса, в частности обязательный процессуальный «ликбез» для работников этих организаций, непосредственно задействованных в производстве экспертиз.

1 2
Мы используем cookie-файлы для наилучшего представления нашего сайта. Продолжая использовать этот сайт, вы соглашаетесь с использованием cookie-файлов.
Принять