CC BY
313
УДК 343.983 ББК 67.5
О ПРОБЛЕМАХ СУДЕБНОЙ КОМПЬЮТЕРНО-ТЕХНИЧЕСКОЙ ЭКСПЕРТИЗЫ И ПУТЯХ ИХ РЕШЕНИЯ
КОНСТАНТИН ЕВГЕНЬЕВИЧ ДЁМИН,
доцент кафедры оружиеведения и трасологии учебно-научного комплекса судебной экспертизы Московского университета МВД России имени В.Я. Кикотя, кандидат юридических наук, доцент Научая специальность: 12.00.12 — криминалистика;
судебно-экспертная деятельность; оперативно-разыскная деятельность E-mail: [email protected]
Citation-индекс в электронной библиотеке НИИОН
Аннотация. Рассматриваются теоретические и методические вопросы судебных компьютерно-технических исследований электронных носителей информации как нового класса судебных экспертиз.
Ключевые слова: информационно-телекоммуникационная система; компьютерные преступления; судебная компьютерно-техническая экспертиза; электронные носители информации.
Annotation. This article deals with theoretical and methodological issues of legal and technical research kompyutemo electronic media as a new class of forensic examinations.
Keywords: information and communication system; computer Crime, computer forensic and technical expertise, electronic media.
Как показывает практика, на сегодняшний момент преступность активно внедряется в такие сферы деятельности, как распространение детской порнографии через Интернет; несанкционированный доступ в информационные системы; мошенничества с банкоматами и платежными системами; мошенничества в области мобильной связи; нарушение авторских и смежных прав в сфере системного программного обеспечения и аудио- видео- и игровых носителей информации и и т.д. [5, 13-18]. Кроме того при совершении ряда преступлений, таких как мошенничество, кража, злоупотребление властью, служебным положением, должностной подлог и ряда других электронные средства в процессе доказывания могут рассматриваются в качестве способа совершения преступлений.
Указанные обстоятельства привели к необходимости получения доказательственной информации с электронных носителей информации. Именно поэтому, за последние десятилетия в практике ведущих экспертных подразделений России (ГУ РФЦСЭ, ЭКЦ МВД России и др.) прочно вошла практика проведения исследований и экспертиз электронно-вычислительной техники, средств мобильной связи, их систем и сетей. Специально созданная в 1998 году по по-
становлению Правительства Российской Федерации межведомственная рабочая группа, в которую вошли правоохранительные ведомства Министерства юстиции, МВД, ФСБ подготовила и направила в Правительство России предложения о развитии судебных экспертиз в сфере информационных технологий. На основании этого, в 2000 году ЭКЦ МВД России были созданы отдел «компьютерных экспертиз и технологий» и «научно-исследовательская лаборатория», которыми обосновывались основные направления перспективного развития этого класса экспертных исследований и разрабатывались соответствующие методические основы. Следует отметить, что разработка данного направления в экспертных подразделениях МВД России проводилась велась на основе уже имеющегося наработок иных правоохранительных органов1. В настоящее время, терминологический аппарат устоялся и во многих ведомствах, в частности, в министерстве юстиции «Компьютерно-техническая экспертиза» введена в принятый реестр экспертных методик, в МВД — «Компьютерная экспертиза» [3, 409-416; 4; 7]. Отметим, что правильное использование терминологического аппарата экспертных исследований важно, как при назначении экспертизы
следователем, так и в процессе проведения судебного разбирательства. Ведь именно название экспертизы, утвержденное в реестре соответствующего ведомства выполняющего экспертные исследования, позволяет однозначно определить предмет, объект и задачи экспертных исследований, что безусловно является выполнением принципа допустимости доказательств по отношению к экспертному заключению, не допуская «различных трактовок», и делая экспертное исследование соответствующее процессуальным принципам оценки доказательств. При этом вопросы, поставленные перед экспертом следователем, определяются предметом и объектами экспертного исследования [4, 194-199].
Анализ деятельности ведущих экспертных подразделений Европы (Великобритании, Нидерландов, Франции, Германии) показывает, что в качестве основных областей исследований специалистов в области СКТЭ являются интегрированные и встраиваемые системы, открытые системы, системы связи, а также мультимедийные объекты. В большинстве случаев целью подобных исследований является решение диагностических и идентификационных задач при исследованиях информационной системы, получение доступа к электронному оборудованию и информации. Так, особое внимание при исследованиях мобильных терминалов уделяется телекоммуникационным сервисам SMS, EMS, MMS, так как они могут представлять сведения о лицах причастных к совершению криминальных действий, в том числе и в сетях мобильной связи [2, 203-217].
Большой объем работы судебных экспертов (например, в Нидерландах, Чехии, Италии) связан с исследованием открытых систем Открытые системы охватывают различные операционные системы, их архитектуру, аппаратно-программные комплексы ИТКС. Аппаратными объектами экспертизы в этих случаях являются различные компьютерные системы: от миниатюрных персональных компьютеров (ПК) до суперкомпьютеров. Для этих систем характерно наличие разнообразных электронных накопителей данных: от жестких и флоппи-дисков, лент, CD-ROM, DVD, магнитооптических накопителей до RAID-массивов. Экспертные процедуры исследования называются здесь как анализ компьютерной среды. Базовой основой этой области является установление типа и непосредственное исследование файловых систем FAT32, FAT64, NTFS и др. В целом криминалистами Европы успешно применяются при расследовании преступлений и получению доказательственной информации с электронных носителей, такие операции как взлом парольных защит; моделирование памяти изъятых электронных аппаратов в памяти компьютера: электронных записных книжек (органайзеров), сотовых телефонов, сим-карт, смарт-карт и модулей, смартфонов и других носителей информации, с помощью аппаратно-программного инструментария (Cardreader CardLавs,
DiskEditor, Zert,Simeditor, Simemulator,OPC). Исследования по разработке экспертных методов и инструментальных средств для изъятия информации из большинства моделей электронных органайзеров моделей Casio и Sharp проводятся экспертами Пражского института криминалистики. Ими создано специализированное программное обеспечение CasioTool, которое способно моделировать на персональном компьютере эксперта, органайзер такого же типа. Модель функционирует в интерактивном режиме и позволяет читать содержимое всей памяти исследуемого устройства, в том числе и его протоколы, а также производить анализ данных и отображать найденный пароль [1, 190-192].
Географические информационные системы и коммуникационные информационные системы являются следующим перспективным полем обширной деятельности экспертов, специализирующихся в сетевом и межсетевому взаимодействии в открытых системах. Наиболее интересными разработками этой области являются исследования экспертов Франции и Германии. Основными задачами здесь является исследование различных информационных потоков с целью их выявления, интерпретации сообщений, восстановления информации, раскодирования данных, выявления использованных различных алгоритмов. Главное место в экспертном исследовании занимает изучение протоколов передачи данных, в том числе полного стека протоколов по уровням OSI2. Эта модель включает в себя маршрутизируемые и транспортные протоколы. Отдельным видом является проведение исследований телекоммуникационных сетей обеспечения сотовой связи GSM, GPS, GPRS- коммуникаций. Однако действия специалистов по перехвату сигналов связи, их анализу, идентификации систем частичной и глобальной связи, географической области, локализации пользователя и адресата зачастую связаны с проведением оперативно-розыскной деятельности и используются экспертами-криминалистами лишь в прикладных целях для решения определенных задач. Подобная ситуация наблюдается и в исследованиях, связанных с расследованием различных преступлений в глобальных сетях. Эта область специальных знаний включает в себя как задачи идентификации и диагностики пользователей сети, их ресурсов, так и анализ работы провайдеров, характеристик изучаемых трафиков и информационных систем Internet (электронная почта, телеконференции, архивы на серверах, многоканальный разговор с помощью службы IRQ, служба WWW), активное использование различных программ-браузеров. Современные Интернет технологии, технологии разработки программного обеспечения (OLE, ActiveX), различные plug-ins, Java-апплеты и т.д. значительно расширяют список возможных форматов данных и объектов программного обеспечения, попадающих во внимание экспертам [2, 203-217; 7, 228-257].
В ходе экспертизы действия специалиста вклю-
чают довольно широкий набор действий: от диагностики и анализа аппаратной среды, установления ее характеристик, до анализа сигналов и электронного анализа на уровне исследования микросхем, анализа специализированного микропроцессорного оборудования. В случае анализа поврежденного устройства (или его части) иногда возникает необходимость разработать модель цельной системы в аппаратном или информационном (электронном) виде. Далее в ходе моделирования функционирования изучаемого объекта решаются вопросы экспертизы. Многие судебные экспертные учреждения имеют достаточный опыт исследования компьютеров IBM PC, Apple, Atari, Amstrad и др. В Нидерландах и Германии интенсивно разрабатываются методики аппаратной экспертизы применительно к интегрированным системам и встроенным компьютерным устройствам. Необходимо отметить, что эта работа зачастую направлена на аппаратно-программное решение задачи преодоления защитных функций компьютерных устройств, предъявленных для экспертного исследования. В профессиональной среде судебных экспертов эти действия иногда называются «экспертный взлом» [6, 286-287].
Развитие нанотехнологий и сращивание нейро-технологий с микроэлектроникой, становление психотехнических экспертиз, технологий географических информационных систем (ГИС) в жизнь общества и государства, активное внедрение принципиально отличных от современных технологий, основанных на телекоммуникационных и информационных составляющих, свидетельствуют о важности дальнейшего развития уже существующих и формирования новых направлений судебной компьютерно-технической экспертизы.
В заключение отметим, что для успешной борьбы с компьютерной преступностью наряду с разработкой методического обеспечения производства экспертных исследований необходимо проведение регулярных международных встреч представителей правоохранительных органов. Целью этих встреч, должна быть конкретизация основных направлений
данного вида деятельности и обмен опытом, а также взаимодействия по борьбе с международными преступными группами, специализирующихся на преступлениях в области информационных технологий.
Литература
1. Васильев А.А., Дёмин К.Е. Электронные носители данных как источники получения криминалистически значимой информации. Учебно-методическое пособие. М.: МГОУ, 2009.
2. Вехов В.Б. Основы криминалистического учения об исследовании и использовании компьютерной информации и средств ее обработки: монография. Волгоград: Волгоградская академия МВД России, 2008.
3. Возможности производства судебной экспертизы в государственных судебно-экспертных учреждениях Минюста России. Научное издание — М.: АНТИДОР, 2004.
4. Дёмин К.Е. О современном состоянии и перспективах развития судебной компьютерно-технической экспертизы. // Вестник Московского университета МВД России — М.: Московский университет МВД России, 2012(3).
5. Нехорошев А.Б. Компьютерные преступления: Квалификация, расследование, экспертиза. Часть 1. / Под ред. В.Н. Черкасова. Саратов: СЮИ МВД России, 2003.
6. Осипенко А.Л. Борьба с преступностью в глобальных компьютерных сетях. — М.: Норма, 2004.
7. Усов А.И. Судебно-экспертное исследование компьютерных средств и систем. Учебное пособие. Под. ред. Е.Р. Россинской. — М.: 2003.
1 В одних случаях они получили название «Судебные компьютерно-технические экспертизы (СКТЭ)», в других «Компьютерные экспертизы (КЭ)», «Информационно-аналитические технические экспертизы (ИАТЭ)», а также «Экспертизы электронно-вычислительной тех-ники и ее комплектующих» (ЭВТК)».
2 Стандартизированная модель сетевой архитектуры.
