Компьютерно-техническая экспертиза

Компьютерно-техническая экспертиза (КТЭ) (англ. computer forensics) — одна из разновидностей судебных экспертиз[1], а также область деятельности специальных служб, объектом которой является: компьютерная техника (среди прочих аппаратное обеспечение), компьютерные носители информации, метаданные, периферийное устройства, программное обеспечение (также компьютерные вирусы), вычислительная сеть, телекоммуникационное устройства напр. смартфон, цифровой фотоаппарат, ИТ-компоненты напр. маршрутизатор, программируемый логический контроллер, встраиваемая система и другие, а целью — поиск и закрепление доказательств и для получения данных, информации, для ознакомления с техническими характеристиками, способом работы и т. д. Причисление к возможным объектам данного вида экспертизы удалённых объектов, не находящихся в полном распоряжении эксперта (прежде всего, компьютерных сетей) пока является спорным вопросом и решается по-разному.

Основная цель КТЭ — поддержать или опровергнуть гипотезу в уголовном или гражданском суде.

Типичный процесс судебной экспертизы включает изъятие, визуализацию (получение) и анализ цифровых носителей, а также составление отчета о собранных доказательствах

История

Впервые термин «компьютерная преступность» появился в американских СМИ в 1960-х, в связи с выявлением первых преступлений, совершенных с использованием ЭВМ[2].Так, в 1969 года Альфонсо Конфессоре совершил первое компьютерное преступление, получив незаконно доступ к информации в электронно-вычислительной сети. Ущерб составил 620 000 $. В 1970 году, также путем незаконного доступа к информации, с одного из счетов «Security Pacific Bank» было незаконно похищено 10,2 млн $.

До 1970-х годов преступления, связанные с компьютерами, рассматривались в соответствии с существующими законами. Первые компьютерные преступления были признаны в Законе Флориды от 1978 года о компьютерных преступлениях, который включал законодательный акт против несанкционированного изменения или удаления данных в компьютерной системе.[3][4] В течение следующих нескольких лет ряд совершаемых преступлений, и были приняты законы, касающиеся вопросов авторского права, конфиденциальности / преследования (интернет-травля, «радостное избиение», киберсталкинг) и детской порнографией[5][6]. Только в 1983 году компьютерные преступления были включены в федеральный закон Канады. За этим последовали Федеральный закон США о компьютерном мошенничестве и злоупотреблении в 1986 году, британский Закон о неправомерном использовании компьютеров в 1990 году и Закон об ответственности за правонарушения при работе с информацией РСФСР в 1991.[3][6][7]

1980—1990-е годы: развитие отрасли

Рост информационной преступности в 1980-х и 1990-х годах заставил правоохранительные органы начать создавать специализированные группы, обычно на национальном уровне, для решения технических аспектов расследований. Например, в 1984 году ФБР создало группу компьютерного анализа и реагирования, а в следующем году был создан отдел компьютерных преступлений в составе отдела мошенничества британской столичной полиции. Многие из первых членов этих групп были не только профессионалами в правоохранительных органах, но также любителями в области компьютерной техники и стали ответственными за первоначальные исследования и направление в этой области.[8][9]

Одним из первых практических (или, по крайней мере, обнародованных) примеров цифрового расследования было преследование Клиффом Столлом хакера Маркуса Хесса в 1986 году. Столл, в расследовании которого использовались компьютерные и сетевые методы судебной экспертизы, не был специализированным экспертом. То же самое можно сказать о многих из самых ранних компьютерно-технических экспертизах.[10]

На протяжении 1990-х годов был высокий спрос на эти новые базовые ресурсы для расследования. Нагрузка на центральные подразделения привела к созданию групп регионального и даже местного уровня, которые помогают справиться с нагрузкой. Например, в 2001 году был создан Британский национальный отдел по борьбе с преступлениями в сфере высоких технологий для обеспечения национальной инфраструктуры для компьютерных преступлений; с личным составом, расположенным как в центре Лондона, так и в различных региональных полицейских подразделениях (в 2006 году этот отдел был преобразован в Агентство по борьбе с серьёзной организованной преступностью (SOCA)).[9]

2000-е: разработка стандартов

Начиная с 2000 года, в ответ на потребность в стандартизации, различные органы и агентства опубликовали руководящие принципы по цифровой криминалистике. В 2002 году научная рабочая группа по цифровым доказательствам (Scientific Working Group on Digital Evidence) подготовила документ «Лучшие методы компьютерной криминалистики», за которым в 2005 году последовала публикация стандарта ISO/IEC 17025:2005 «General requirements for the competence of testing and calibration laboratories».[3][11][12] Европейские государства ввели международное соглашение, Конвенция о киберпреступности, которое вступило в силу в 2004 году с целью согласования национальных законов о компьютерных преступлениях, методов расследования и международного сотрудничества. Договор подписали 43 страны (включая США, Канаду, Японию, Южную Африку, Великобританию и другие европейские страны) и утвердили 16.

Коммерческие компании (часто разработчики программного обеспечения для судебной экспертизы) начали предлагать сертифицированные программы, и цифровой криминалистический анализ был включен в качестве британский центр подготовки следователей Centrex.[3][9]

С конца 1990-х годов мобильные устройства стали более доступными, превзойдя простые устройства связи, и оказались богатыми формами информации, даже в отношении преступлений, традиционно не связанных с цифровой криминалистикой[13]. Несмотря на это, криминалистический анализ телефонов отставал от традиционных компьютеров, в основном из-за проблем, связанных с частным характером устройств.[14]

Акцент также сместился на преступность в Интернете, особенно на риск кибервойны и кибертерроризма. В отчете Командования объединённых сил США за февраль 2010 г. делается вывод:

Через киберпространство враги будут ориентироваться на промышленность, научные круги, правительство, а также на вооруженные силы в воздухе, на суше, на море и в космосе. Во многом так же, как авиация изменила поле битвы Второй мировой войны, киберпространство разрушило физические барьеры, которые защищают страну от атак на её коммерческую и коммуникационную деятельность.[15]

В области цифровой криминалистики по-прежнему существуют нерешенные проблемы. В докладе Петерсона и Шеноя 2009 г. «Цифровые судебные исследования: хорошее, плохое и безрезультатное» в исследованиях цифровой криминалистики выявлено предвзятое отношение к операционным системам Windows[16]. В 2010 году Симсон Гарфинкель выявил проблемы, с которыми предстоит столкнуться цифровым расследованиям в будущем, в том числе увеличение размера цифровых носителей, широкая доступность шифрования для потребителей, растущее разнообразие операционных систем и форматов файлов, увеличение числа лиц, владеющих несколькими устройствами и правовые ограничения в отношении следователей.[8]

Компьютерная криминалистика в СССР и России

Первый случай злоупотребления при помощи компьютерного средства зарегистрирован в 1958 году. Первое компьютерное преступление с использованием ЭВМ было совершено в СССР в конце 1970-х. В 1979 году в Вильнюсе было похищено 78584 рублей. Данный факт был занесен в международный реестр подобных правонарушений и явился своеобразной отправной точкой в развитии нового данного преступности в нашей стране.[17]

Первоначально, столкнувшись с компьютерной преступностью, органы уголовной юстиции государства боролись с ней при помощи традиционных норм о краже, присвоении, мошенничестве, злоупотреблении доверием и др. Однако такой подход оказался совершенно не удачным, поскольку многие компьютерные преступления не охватываются составами традиционных преступлений (например, воровство из квартиры — это одно, а копирование секретной компьютерной информации — это другое).

Попытки регламентации ответственности за совершение компьютерных преступлений имели место в РСФСР после того, как было зафиксировано первое подобное преступление с использованием компьютера. В 1991 году, во Внешэкономбанке СССР были похищены 125 500 $[18]. 06 декабря 1991 года был представлен проект Закона РСФСР «Об ответственности за правонарушения при работе с информацией», который предусматривал введение в действующий УК РСФСР норм, устанавливающих ответственность за совершение компьютерных преступлений[7]. Затем последовало Постановление Верховного Совета Российской Федерации "О порядке введения в действие Закона Российской Федерации «О правовой охране программ для электронных вычислительных машин и баз данных», связанные с вопросами внесения в Гражданский и Уголовный кодекс РСФСР законодательных актов, связанных с вопросами правовой охраны программ для электронных вычислительных машин и баз данных.[19]

Виды компьютерно-технической экспертизы

Видовая классификация КТЭ экспертизы организуется на основе обеспечивающих компонент любого компьютерного средства, что позволяет наиболее полно охватить технологические особенности и эксплуатационные свойства объектов экспертизы, предъявляемых для исследования. Данная классификация позволяет уже на ранних этапах становления экспертизы дифференцированно подойти к разработкам методов и методик экспертного исследования.[20]

Аппаратно-компьютерная экспертиза

Объекты исследования: электрические, электронные и механические схемы, блоки, приборы и устройства, составляющие материальную часть компьютерной системы.

Предметы исследования: становление факта или обстоятельства, связанного с эксплуатацией технических средств.

Задачи исследования: определение классификационной принадлежности объекта — его марка, модель или тип; установление технических параметров и характеристик компьютеров, представленных для проведения экспертизы; установление функциональной природы исследуемого аппаратного средства.

Данное исследование заключается в проведении анализа технических или, как их ещё называют, аппаратных средств компьютерных систем.

Сущность аппаратно-компьютерной экспертизы заключается в проведении диагностического исследования аппаратных средств компьютерной системы.

Программно-компьютерная экспертиза

Объекты исследования: операционные системы (системное программное обеспечение), утилиты (вспомогательные программы), программные средства для разработки программного обеспечения, а также для его отладки.

Предметы исследования: особенности разработки и применения программных средств компьютерной системы

Задачи исследования: изучение функционального предназначения и характеристик реализуемого алгоритма, структурных особенностей и текущего состояния системного и прикладного программного обеспечения компьютерной системы.

Программно-компьютерная экспертиза предназначена для проведения экспертного исследования программного обеспечения. В процессе осуществления этой экспертизы специалист ставит перед собой цели поиска, сбора, исследования и экспертной оценки обнаруженной информации.

Информационно-компьютерная экспертиза

Объекты исследования: все файлы компьютерной системы, не являющиеся исполняемыми модулями и подготовленные пользователем или самой системой с точки зрения их информативности.

Предметы исследовани: цифровые данные, то есть информация, содержащаяся в компьютерной системе.

Задачи исследования: поиск, обнаружение, анализ и оценка информации, подготовленной пользователем или порожденной программами

Данный вид компьютерно-технической экспертизы является ключевым, так как он позволяет завершить целостное построение доказательственной базы путем окончательного разрешения большинства диагностических и идентификационных вопросов, связанных с компьютерной информацией.

Компьютерно-сетевая экспертиза

Объекты исследования: компьютерные средства, реализующие какую-либо сетевую информационную технологию.

Предметы исследования: фактические данные, устанавливаемые на основе применения специальных научных познаний при исследовании средств телекоммуникаций и подвижной связи как материальных носителей информации о факте или событии какого-либо уголовного либо гражданского дела.

Задачи исследования: исследование программных сетевых средств, персональных компьютеров, имеющих выход во всемирную сеть интернет, больших компьютерных систем, организованных сетевым образом с доступом в интернет.

В отличие от предыдущих основывается прежде всего на функциональном предназначении компьютерных средств, реализующих какую-либо сетевую информационную технологию.

Она выделена в отдельный вид в связи с тем, что лишь использование специальных познаний в области сетевых технологий позволяет соединить воедино полученные объекты, сведения о них и эффективно решить поставленные экспертные задачи.

Этапы компьютерно-технической экспертизы

Компьютерно-техническую экспертизу принято делить на четыре этапа:

  • Сбор — на данном этапе эксперт ищет и собирает данные и всевозможные носители информации, относящиеся к делу, помечая источники происхождения данных и объектов. Иногда при сборе информации требуется применять специальные меры, для фиксации недолговечной информации, такой как сетевые соединения, оперативная память.
  • Исследование — данный этап заключается в изучении собранной информации. Информация считывается с носителей, при необходимости декодируется и фильтруется (экспертом вычисляется информация непосредственно относящаяся к делу). Обработка информации может быть частично автоматизирована, с помощью искусственного интеллекта, но несмотря на это основную работу выполняет эксперт.
  • Анализ — на этом этапе информация анализируется. При анализе эксперт ищет ответы на поставленные в деле вопросы, используя только научные методы, правильность и аккуратность которых ранее подтверждена.
  • Представление — финальный этап на котором эксперт оформляет результаты экспертизы и представляет их в установленной законом и понятной неспециалистам форме.

На каждом этапе эксперт должен обеспечить сохранность, неизменность информации, а при необходимости и конфиденциальность информации.[21]

Вопросы компьютерно-технической экспертизы

Обычно перед экспертом ставятся вопросы:

  • о наличии на исследуемых объектах информации, относящейся к делу (в том числе, в неявном, удалённом, скрытом или зашифрованном виде);
  • о возможности (пригодности) использования исследуемых объектов для определённых целей (например, для доступа в сеть);
  • о действиях, совершённых с использованием объектов;
  • о функциях программ для ЭВМ, в частности, предназначенных для уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации;
  • об идентификации найденных электронных документов, программ для ЭВМ, пользователей компьютера.

Следующие вопросы не должны относиться к данному виду экспертизы, их включение в постановление представляется ошибочным:

  • о принадлежности программ к вредоносным, (определение вредоносности — уголовно-правовая оценка, находящаяся в компетенции правоприменителя);
  • о лицензионности /контрафактности экземпляров программ, записанных на исследуемых объектах;
  • о правомерности действий, произведённых с использованием исследуемых объектов;
  • о стоимости компьютеров, носителей, лицензий на содержащиеся там программы;
  • о переводах найденных текстов, интерфейсов программ, переписки и т. п.

Помимо выявления прямых доказательств преступления, экспертиза может использоваться для приписывания доказательств конкретным подозреваемым, подтверждения алиби, определения намерений, выявления источников (например, в делах об авторском праве) или аутентификации документов. Расследования намного шире по охвату, чем другие области судебной экспертизы, часто с участием сложных временных рамок или гипотез.

Классы объектов компьютерно-технической экспертизы

Объекты КТЭ обычно разделяются на 3 класса, в соответствии с их видом:

  • аппаратные объекты: персональные компьютеры (настольные, портативные), периферийные устройства (принтеры, модемы и т. п.), сетевые аппаратные средства (серверы, рабочие станции, активное оборудование, сетевые кабели), интегрированные системы (пейджеры, мобильные телефоны и т. п.), встроенные системы на основе микропроцессорных контроллеров, любые комплектующие всех указанных компонент (аппаратные блоки, платы расширения, микросхемы и т. п.).
  • программные объекты: системное программное обеспечение (операционная система, вспомогательные программы-утилиты, служебная системная информации); прикладное программное обеспечение [подвид приложения общего назначения (текстовые и графические редакторы, системы управления базами данных, электронные таблицы, редакторы презентаций и т. д.) и подвид приложения специального назначения (для решения задач в определённой области науки, техники, экономики и т. д.)].
  • информационные объекты: текстовые и графические документы, изготовленные с использованием компьютерных средств; данные в форматах мультимедиа; информация в форматах баз данных и других приложений, имеющая прикладной характер, оцифрованные данные (архивные документы).

Случаи применения компьютерно-технической экспертизы

Проведение компьютерно-технической экспертизы необходимо в тех случаях, когда преступление или правонарушение было осуществлено с использованием компьютерных средств или данных, и для установления следов преступления, подтверждения улик и иной криминалистически значимой информации, требуемой специальные знания в области компьютерной техники.

Уголовные дела связаны с предполагаемым нарушением законов установленных законодательством, которые преследуются полицией и преследуются государством, например, убийства, кражи и нападения на человека. В подобном случае экспертиза может быть назначена следователем (в рамках досудебного следствия) или судом и поручается конкретному эксперту или экспертному учреждению. Результатом экспертизы является заключение эксперта, которое служит доказательством по делу.

С другой стороны, гражданские дела часто связанны с бытовыми спорами и имеют дело с защитой прав и собственности физических лиц. Они также могут касаться споров по контрактам между коммерческими организациями, в которых может быть задействована форма цифровой судебной экспертизы, называемая e-Discovery (поиск электронной информации). По гражданским делам экспертиза может быть назначена судом, заказана одной из сторон или назначена нотариусом по инициативе стороны.

Судебная экспертиза может также применяться в частном секторе; например, во время внутренних корпоративных расследований или экспертиз несанкционированного сетевого вторжения.

Компьютерно-техническая экспертиза обеспечивает решение следующих экспертных задач:

  1. Выявление свойств, качеств, особенностей использования и статуса технических компьютерных систем.
  2. Установление особенностей разработки, отладки и использования программных продуктов.
  3. Установление фактов применения того или иного оборудования при создании, редактировании документов или совершении иных действий, имеющих возможное отношение к преступлению.
  4. Получение доступа к информации на компьютерных носителях данных.
  5. Исследование информации, созданной пользователем или программой для реализации информационных процессов, относящихся к преступлению.
  6. Установление особенностей компьютерных средств, реализующих сетевые информационные технологии.

Следственные инструменты

Приемлемость цифровых доказательств зависит от инструментов, используемых для их получения. В США инструменты судебной экспертизы подчиняются стандарту Даубера, согласно которому судья несет ответственность за обеспечение допустимость используемых процессов и программного обеспечения. В статье 2003 года Брайан Кэрриер утверждал, что руководящие принципы Даубера требуют публикации и рецензирования кода инструментов судебной экспертизы. Он пришел к выводу, что «инструменты с открытым исходным кодом могут более четко и полно соответствуют требованиям руководства, чем инструменты с закрытым исходным кодом»[22]. Джош Бранти утверждал, что «наука о цифровой криминалистике основана на принципах повторяемости методик расследования и качественных доказательств, поэтому знание того, как разработать и правильно поддерживать хорошую методику расследования, является ключевым требованием для любого эксперта цифровой судебной экспертизы для защиты своих методов в суде».

Роль искусственного интеллекта в цифровой криминалистике

См. также

Примечания

  1. Приказ Минюста России от 27.12.2012 N 237 «Об утверждении Перечня родов (видов) судебных экспертиз, выполняемых в федеральных бюджетных судебно-экспертных учреждениях Минюста России, и Перечня экспертных специальностей, по которым представляется право самостоятельного производства судебных экспертиз в федеральных бюджетных судебно-экспертных учреждениях Минюста России»
  2. Волеводз А. Г. Противодействие компьютерным преступлениям: правовые основы международного сотрудничества.. — М.: Юрлитинформ, 2001. — 496 с.
  3. 1 2 3 4 Eoghan Casey, Eoghan Casey, BS MA. Digital Evidence and Computer Crime. — Academic Press, 2004-03-22. — 710 с. — ISBN 978-0-12-163104-8. Архивировано 4 декабря 2021 года.
  4. «Florida Computer Crimes Act». Archived from the original on 12 June 2010. Retrieved 31 August 2010.
  5. Aaron Philipp, David Cowen, Chris Davis. Hacking Exposed Computer Forensics, Second Edition: Computer Forensics Secrets & Solutions. — McGraw Hill Professional, 2009-10-06. — 545 с. — ISBN 978-0-07-162678-1. Архивировано 8 апреля 2022 года.
  6. 1 2 M, M. E. «A Brief History of Computer Crime: A» Архивная копия от 21 августа 2010 на Wayback Machine. Norwich University. Archived from the original on 21 August 2010. Retrieved 30 August 2010.
  7. 1 2 Курушин В.Д., Минаев В.А. Компьютерные преступления и информационная безопасность. (рус.) // Новый Юрист. — 1998. — С. 257.
  8. 1 2 George M. Mohay. Computer and intrusion forensics. — Boston ; London : Artech House, 2003. — 417 с. — ISBN 978-1-58053-369-0.
  9. 1 2 3 Peter Sommer. The future for the policing of cybercrime (англ.) // Computer Fraud & Security. — 2004-01-01. — Vol. 2004, iss. 1. — P. 8–12. — ISSN 1361-3723. — doi:10.1016/S1361-3723(04)00017-X. Архивировано 27 августа 2011 года.
  10. For Dummies (англ.) // Wikipedia. — 2020-11-28. Архивировано 8 мая 2022 года.
  11. «Best practices for Computer Forensics». SWGDE.
  12. «ISO/IEC 17025:2005» Архивная копия от 27 ноября 2020 на Wayback Machine. ISO. Archived from the original on 5 August 2011. Retrieved 20 August 2010.
  13. SG Punja (2008). «Mobile device analysis». Small Scale Digital Device Forensics Journal 2011-07-28.
  14. Rizwan Ahmed (2008). «Mobile forensics: an overview, tools, future trends and challenges from law enforcement perspective» Архивная копия от 3 марта 2016 на Wayback Machine. 6th International Conference on E-Governance.
  15. «The Joint Operating Environment» Archived 2013-08-10 at the Wayback Machine, Report released, 18 February 2010, pp. 34-36
  16. Nicole Beebe. Digital Forensic Research: The Good, the Bad and the Unaddressed (англ.) // Advances in Digital Forensics V. — 2009. — Vol. 306. — P. 17. — doi:10.1007/978-3-642-04155-6_2. Архивировано 12 ноября 2019 года.
  17. Батурин Ю. М. Проблемы компьютерного права.. — М.: Юрид. лит., 1991. — 126 с.
  18. Сычев Ю.Н. Основы информационной безопасности Учебно-практическое пособие.. — М.: Изд. центр ЕАОИ, 2007. — С. 300.
  19. Ведомости Съезда Народных Депутатов Российской Федерации и Верховного Совета Российской Федерации, 1992. — No 42. — Ст. 2326.
  20. В. Я. Колдин и др. Вещественные доказательства: Информационные технологии процессуального доказывания. Под общ. ред. д. ю. н., проф. В. Я. Колдина. — М.: «Норма», 2002. — 768 с.
  21. Н. Н. Федотов. Форензика — компьютерная криминалистика. — М.: «Юридический мир», 2007. — 433 с.
  22. Brian Carrier (October 2002). «Open Source Digital Forensic Tools: The Legal Argument» Архивная копия от 26 июля 2011 на Wayback Machine. @stake Research Report. Archived from the original on 2011-07-26.

Ссылки