Компьютерно-техническая экспериза (КТЭ)


linkКраткое описание задач КТЭ

linkВопросы, решаемые КТЭ

linkОбщие задачи КТЭ

askЭкспертизы проводятся с участием практикующих специалистов в области цифровых технологий, имеющих многолетний опыт сервисного обслуживания, восстановления информации, продвижения собственных программных и аппаратных разработок. При этом уже имеющийся опыт и в производстве экспертиз как по гражданским, так и уголовным процессам, обеспечит органичность и непредвзятость выводов в ответах на поставленные вопросы.

noteКТЭ - род экспертизы, относящийся к классу инженерно­технических, проводимый в целях идентификации компьютерного средства, всестороннего исследования его аппаратного и программного содержимого и установления связей с расследуемым правонарушением или преступлением.

Принято выделять три основных подвида экспертизы: аппаратно-компьютерная, программно-­компьютерная, информационно­-компьютерная (экспертиза данных).
Четвертый подвид - компьютерно­-сетевая экспертиза на практике является совокупным исследованием объектов, объединенных в одну сеть и имеющие определенные признаки и элементы (настройки сети и доп. оборудование). Однако формально, с повсеместным распространением беспроводных протоколов подключения, общественных (офисных) и частных домашних сетей, в настоящее время практически любое устройство имеет подобные свойства, поэтому данный подвид экспертизы может проводиться только в комплексе с другими. Притом, что три основных подвида в большинстве случаев также логически нераздельны и подвергаются комплексному исследованию.

КТЭ, наверное, одна из самых объемлющих и в то же время наиболее противоречивых видов экспертиз продуктов (и действий, совершенных с их помощью), созданных человеком, которые занимают все более обширные сферы бытовой и профессиональной деятельности общества. "Оцифровке" подвергается в том числе и все большее количество объектов и явлений, фигурирующие в других видах и направлениях экспертиз. Сложность составления КТЭ определяется многовекторностью причинно-следственных связей как и в самих исследуемых предметах и явлениях, так и в научных основах и методиках самих исследований.

Остается фактом, что на сегодняшний день стремительно развившаяся сфера IT достигла очень высокого уровня, но темпы ее развития на несколько порядков отличаются от уровня ее же интеллектуального осваивания не только на бытовом уровне, но даже и на профессиональном, не говоря уже о наболевших вопросах в дискуссиях об уровне нашей деградирующей системы образования в целом. Развитие IT тормозится падением покупательской способности населения и вынужденным удешевлением производственной базы, вызванными общемировым экономическим кризисом и просто нездоровой конкуренцией. Подливая масла в огонь, за техническим прогрессом не спешат законодательные и правовые нормы, что также является естественным следствием вышеупомянутой разницы уровней развития. Поэтому очень часто компьютерно-техническая экспертиза является юридическим средством манипуляции и имеет не сугубо научный фундамент, то есть выполняется с соблюдением правовых норм, но которые явно противоречат общенаучным принципам и логике. Причины такого явления и как построить правильную стратегию инициации и проведения КТЭ мы постараемся раскрыть в наших будущих публикациях.

askС наиболее полной информацией о КТЭ, ее методах и возможностях Вы можете ознакомиться на сайте Российского Федерального Центра Судебной Экспертизы при Министерстве юстиции РФ

Объекты экспертизы


1. Персональные компьютеры:
- стационарные;
- ноутбуки;
- моноблоки.

2. Периферийные устройства;

3. Сетевое оборудование:
- серверные станции;
- активное оборудование и т.д.

4. Комбинированные устройства:
- планшеты;
- смартфоны;
- сотовые телефоны;
- аудиоплееры и т.д.

5. Отдельные комплектующие всех указанных объектов.

6. Электронные носители информации:
- HDD (НЖМД);
- SSD;
- Flash-память;
- Оптические диски и т.д.

7. Программные продукты:
- операционные системы;
- утилиты;
- прикладные программы.

8. Информационные объекты:
- файлы;
- базы данных;
- сообщения электронной коммуникации и т.п.


Краткое описание задач КТЭ


Аппаратное обеспечение

- идентификация оборудования (или комплекса) и его функциональных особенностей;
- установление его степени работоспособности.

Поиск информации

- Поиск на предоставленных носителях документов, изображений, сообщений, баз данных и т.п., относящихся к делу, в том числе в архивированном, удаленном, скрытом или зашифрованном виде.

Следы действий

- Создания, копирования, удаления информации;
- Осуществления доступа к информации;
Важно отметить, что определить физическое лица, осуществлявшее действия, КТЭ не может.

Программное обеспечение

- Принадлежность ПО к вредоносным;
- Принадлежность к средствам преодоления технических средств защиты авторских прав;
- Принадлежность к специальным техническим средствам для негласного и/или неправомерного получения информации;
- Анализ функциональности программ, принципа действия, вероятного их источника, происхождения, автора.
- Сравнительный анализ копий программных продуктов.

Время

- Установление действительного времени исследуемых событий и цифровых объектов.
Достаточно нетривиальная задача, которая больше зависит от количества маркируемой временными метками информации, имеющейся в распоряжении эксперта. Однозначно при наличии, например, только атрибутов времени конкретного файла, ответить на вопрос о времени его создания, изменения или открытия невозможно. Задача эксперта учесть и соотнести все факторы и следы, относящиеся к исследуемому временному периоду, и в частности немаловажен тот факт, что на любой компьютерной системе время устанавливается вручную самим пользователем.

Идентификация пользователя

- Установление его квалификации (компьютерной грамотности);
- Сбор личной информации для возможности проведения психологической экспертизы (в комплексе с КТЭ).
Как и в случае обнаружения следов действий, вопрос об установлении личности пользователя компьютера будет некорректным. Любые выводы о причастности конкретного физического лица к конкретным действиям пользователя ПК будут иметь только предположительный характер, особенно если на компьютере будет отсутствовать индивидуальная информация - фотографии, подписанные материалы, копии документов и т.п.


Вопросы, решаемые КТЭ


Данный перечень вопросов продекларирован в издании: Экспертизы на предварительном следствии: Краткий справочник / Под общ. ред. В.В.Мозякова. – М.: ГУ ЭКЦ МВД России, 2002.
Но составляя вопросы в каждом конкретном случае, необходимо учитывать, что с развитием научно-технической мысли меняется не только объекты исследований, но и терминологические смыслы и общий подход к вопросам и методикам, поэтому нижеперечисленное является скорее отправной точкой, а не утвержденным правилом.

Итак:

1. Относится ли представленный объект к объектам КТЭ?

2. Является ли объект экспертизы компьютерной системой либо представляет какую-либо его компоненту (аппаратную, программную, информационную)?

3. Каковы тип (марка, модель), конфигурация и общие технические характеристики представленной компьютерной системы (либо ее части)?

4. Решаются ли с помощью представленной компьютерной системы определенные (указывается – какие конкретно) функциональные (потребительские) задачи?

5. Находится ли компьютерная система в рабочем состоянии? Имеются ли какие-либо неисправности в ее работе?

6. Имеются ли признаки (указывается интересуемый перечень конкретных признаков) нарушения правил эксплуатации компьютерной системы?

7. Реализована ли в компьютерной системе какая-либо система защиты доступа к информации? Каковы возможности по ее преодолению?

8. Какие носители данных имеются в представленной компьютерной системе?

9. Каков вид (тип, модель, марка) представленного носителя данных, и каковы его параметры?

10. Какое устройство предназначено для работы с представленным носителем данных? Имеется ли в составе представленной компьютерной системы устройство, предназначенное для работы (чтения, записи) с указанным носителем данных?

11. Какие общую характеристику и функциональное предназначение имеет программное обеспечение представленного объекта?

12. Каковы реквизиты разработчика, правообладателя представленного программного средства?

13. Имеет ли программное средство признаки (указывается интересуемый перечень конкретных признаков) контрафактно-сти?

14. Имеется ли на носителях данных программное обеспечение для решения конкретной (потребительской) задачи?

15. Каково функциональное предназначение представленной прикладной программы?

16. Имеются ли программы с признаками (указывается интересуемый перечень конкретных признаков) вредоносности?

17. Какая информация, имеющая отношение к обстоятельствам дела(указывается интересуемый перечень конкретных данных либо ключевых слов), содержится на носителе данных? Каков вид ее представления (явный, скрытый, удаленный, архивный)?

18. Имеется ли на носителе данных информация, аутентичная по содержанию представленным образцам? Каков вид ее представления (явный, скрытый, удаленный, архивный)?

19. К какому формату относятся выявленные данные (текстовые документы, графические файлы, базы данных и т.д.), и с помощью каких программных средств они могут обрабатываться?

20. Имеются ли в компьютерной системе признаки (указывается интересуемый перечень конкретных признаков) неправомерного доступа к данным?

21. Какие сведения о собственнике (пользователе) компьютерной системы (в том числе имена, пароли, права доступа и пр.) имеются на носителях данных?

22. Имеются ли признаки функционирования данного компьютерного средства в составе локальной вычислительной сети? Каково содержание установленных сетевых компонент?

23. Имеются ли признаки работы представленного компьютерного средства в сети Интернет? Каково содержание установок удаленного доступа и протоколов соединений?


Общие задачи в области компьютерно-технических экспертиз и исследований:


Неоднократно в различных делопроизводствах с участием каких-либо продуктов цифровых технологий возникают тупиковые ситуации с научно-технической точки зрения, которые зачастую решаются вольной интерпретацией научных определений для удобства адаптации какого-либо юридического аспекта. Проблемы чаще всего заключаются в изначальной несогласованности юридической и технической стороны дела. Поэтому:

Мы предлагаем максимально просчитать технические возможности исследования и уже вокруг них построить модель юридического поведения. В случае необходимости назначения в комплексе с товароведческой экспертизой проводить консультации перед составлением исков до их подачи. Для объективности необходим первичный осмотр (не редко и диагностика) оборудования и консультация (бесплатная - устно, формулировка общих положений и действий, платная - в случае письменного оформления и/или диагностики с реальными затратами, согласно договоренности) для правильной постановки вопросов или для избегания ненужных затрат времени и средств на заведомо необоснованные экспертизы и исследования. Многие вопросы могут отпасть и после проведения нами в роли посредника переговоров со специалистами ремонтных мастерских и сервисных центров для выяснения причин разногласий.

Одно из основных решений - составление фундамента, научной основы под любое делопроизводство с участием цифровых технологий, описание и учет максимального количества участвующих в процессе технических факторов, выбор методик и стратегии на подготовительном этапе. Это позволит создать большую площадь для доказательной базы, а для оппонентов - вынужденное составление опровержения именно на научной основе, до юридических манипуляций.


ВАЖНО! В процессе предварительного осмотра и диагностики оборудования и информационного содержимого мы гарантируем неизменность и целостность объектов исследования и вещественных доказательств. Все процедуры проходят с использованием предназначенного для этих целей оборудования. В случае применения метода разрушающего контроля составляются соответствующие соглашение и акт (в судебном порядке - после принятого ходатайства).

По вопросам, связанные с проведением экспертных исследований в области цифровых технологий, консультация БЕСПЛАТНО.

Обращаем Ваше внимание, что органичность консультирования и дальнейшего исследования зависит от первоначального изложения проблематики предмета споров, которую лучше всего излагать в письменном виде, по возможности с приложением необходимых сопутствующих документов.