Семикаленова
.pdf141 Продуктов. Под правообладателем в законе «О правовой охране щхярсмм для электронных вычислительных машин и^оз данных» понимается авт(ф,«п> на следники, а также любое физическое или юридическое лицо, 1М)тсфое обладает исключительными имущественными правами, полученными в силу закона или договора. Примененный в законе термин «правообладатель» является юриди ческой категорией, требующей соответствующего толковш1ия, которое в свою оч^>едь должно основываться на знашга материшпшстэ шртт. Qpisaso из оп ределения области спещ1альных познаний, котс^^пьш должен обладать экс перт, известно, что эти познания не могут являться таковыми*'*\ Данные пра вовые задачи решаются уполномоченными на то лицш^и: следователями или судьями. Установление пр^юобладателя осуществляется путем следст^нных действий и оперативно-розыскных мероприятий. Следует особо отметить, что в сл^^чае несанкционнроваин€»т> тираж1фсмв^1ия няострашшх щозгршмм встает проблема установления физического или юридического лнцв, являющегося представителем правообладателя на территорти нашей crpami, определения объема прав, ему делегированных. Это также необходимо и для оценки нане сенного ему ущерба. Так, например, для исследования аудио-продукции суще ствуют &ОЫ дантак об авторсюк пршюх, содер31^щне И1^юрма1щю о фоно граммах, фирмах их производящих, их автсфах и исполнителях. Эти сведения также можно получить и в меяд1ун^юдных (^ганижищях, шнимаюпщхо! за щитой авторских прав иностранных 1Цх>изводителей фонсмпрамм на т^)ритории Российской Федерации (IFPI).
Установление правообладателя связано с непосредетвенным ощзеделением суммы нанесенного ущерба.
'^' См., Hsatj^atepy Научно-п1)актичес1Шй ксммеяпфнй к Уголовнопроцессуальному кодассу РСФСР/ Под с15щ. ред. 1федседвтеля В^рхошюго Суда РФ В.М. /кбедева. Научиый редактор професссф В.П. Воакыт. - М.: СПАРК, 1995; Кршшшшнствка. Учебник для вуз(п//Под ред. заслуженншч> деятеля 1шухи РФ профессора Р.С. Белкина. - М.: Издательская группа НОРМА-ИНФРЛ, 1990; Уголстный щхщесс: Учебник /Отв. Реда]тф щюфеесор П.А. Лупткжва. - М.: К^жст, 199S.
142 Оценка размера ущерба, причиненного правообладателю, играет суще
ственную роль в квалификации 1фестуш1ения.
Очевидно, что для решения этой задачи необходимо применение спе циальных познаний из области экономических наук в форме судебной эко номической экспертизы. Это объясняется спецификой получения и использо вания в расчетах исходных данных, определяемых процессами создания, производства и сбыта информационно-про1раммных продукте». Однако ус тановление размера ущерба (например, признание размеров ущ^^ба крупны ми) требует качественной оценки, которая находится в компетенции следст вия и суда. Кроме того, само понятие «ущерб» включает в себя ряд состав ляющих (юридических категорий): реальный ущерб, упущенная выгода, мо ральный вред.
Псюколысу в :^конодательстве 1^змер крупного ущерба точно не oiq>e- делен, его оценка должна проводиться в соответствии с данными, предостав ленными производителями информационно-программной продукции. Они должны сообща-п. о способах исчисления размера ущерба за нелегальное использовшше принадлежащих им объектов авторского права. Следует под- ч^жнуть, что без участия правообладателя, подсчет разм^)а общетЪ ущерба осуществляется по рыночным ценам на лицензионную продукцию и требует мониторинга рынка в этой области. Это в свою очередь является длительным и трудоемким npoi^ccoM, который на данный момент методически и органи зационно не обеспечен '*^. Но при этом необходимо уточнить, что рещение этого вопроса в компетенцию ^ccnqyra по судебной программнокомпьютерной экспертизе не входит.
Рассматривая исследовательский этап проведения судебной программ но-компьютерной экспертизы, мы считаем необходимым ^лее 1ю,гфо6но ос-
'^^ Уест А.И., П|юэор(п АА., Семяклжяшошл А.И. Шртлеялтл (гасщшяышх по знаний вря установлении хцжзнаков контрафактяости инфс^жащкшно-програю^ж^ про дукции / Сб. Экспертная практика. Jfe49, M.JY ЭКЦ^ЮД России, 2000.
143 тановиться на решении еще одной задачи, а именно поиске признаков та- полнения несанкционированных действий или использования специальньвс программ удаленного администрирования
Поиск признаков выполнения несанкционированных действий или ис пользования специальных программ удаленного администрирования проводится по следующей схеме:
1. Поиск прогрШк1м, предиаэтш1ченньпс ддя подбс^ пщ>01№й^ и ре зультатов их работы (файлов результатов и файлов настроек программ).
2.Поиск фактов работы с использовш1ием чужих учетных записей или других системных ресурсов.
3.Установление содержимого рукописных и печатных материалов, текстовых файлов и файлов электронной почты.
4.Поиск программ с вредоносными функциями и их эксперимен тальное исследование на стендах, моделирующих предполагаемые усло вия их функционирования, с использованием специализированных про грамм. Для этой цели могут быть использованы такие пакеты, как, напри мер, FileMon, для анализа обращений к файлам, RegMon, для анализа об ращений к системному реестру, программного пакета Microsoft Netwoik Monitor, для перехвата и анализа сетевых пакетов и профшммы I^View, для слежения за процессами ОС.
5.Выявление текстовых файлов, сод^зжащих кшочевые слова.
6.Выявление пользовательских файлов (звуковых, графических, текстовых, исполняемых модулей), имеюощх отношение к обстоятельст вам дела.
7.Уяснение диагностических параметров нжггройки программ (ре гистрационные имя пользователя и наз]юние органи^щии в про{|^1ммах подготовки документов Microsoft ОШсе или системшс 1ф01рвмм1фОвания).
8.Исследование защищенных паролями файлов. Дяя этого 1«>гут быть использованы специализированные программы т»сие, как Advaneed
144 Office 97 Password Recovery или другие программы специальной {шзработки.
9.Определение особенностей подготовки текстового файла с уче том среды подготовки, регистрационных параметров использовавшегося текстового редактора, времени создания документа, времени редакпцрования и количества редакций (в режиме автосохранения и по ко¥Аанд,е поль зователя), ^1есекных изменений, наличия макрокомшщ и макрови^са в тексте и пр.
Ю.Выявление и определение назначения nporp£UkiM с минимальным пользовательским интерфейсом и не сод^жащих пояснительных указаний
икомментариев (с установлением относящихся к этим 1фОфаммам фай лов данных).
П.Сравнительное исследовгшие несколысих версий прохрамм, коифигур>ационных файлов (настроек) и файлов данных.
12.Изучение протоколов работы пользователя (или программ) и ин терпретации их действий.
13.Выявление исполняемых модулей, нетипичных для современного состояния программного обеспечения, в чшлгиости, ха{мис1е1жзуемых средствгми отладки такими, как модули Old style DOS executable file.
14.Определение работоспособности и уточнение фактически выпол няемых функций прог^^мм и их сош1адеи1Ю с :^явлениыми свойспвшми.
15.Выявление и уточнение назначения прог[Шмм управляющих спе циальной annaj^iypoft, подключаемой к компьют^^.
16.Настройка кодовых таблиц или переустанов!® всей операцион ной системы на стендовом компьют^зе для исследования файлов на на циональных языках.'^^
^*^ Судебно-компькУте{нюе исследование ММПЫОГР^ШЫХ срстл» и cacroti: Основы методическснх» обеспечения: Учебное поссбие / А.И. Усе» // Под {)ед. проф. Е.Р. Россий ской. - М.: Издательство «1^сзшк1«1», издэтельетво <^^>аво и »асон», 2003.
145 Анализ результатов исследования и ф(фмул1фование выводов эксперта являются заключительной частью аналитического этапа. Анализ результатов проводится путем обобщения всех ранее рассмотренных признаков в их со вокупности. В этой стадии находят свое 1фименение логические методы: синтез, дедукция, индукция; вероятностно-статистические методы и модель
ные методы исследования.
Нео^одимо иметь в ыщу^ что иидщвидуаяьж>сть объекта хараяпеершзу- ется не одним — двумя признаками, а системой общих и частных признаков; только в совокупности признаки каждого объекта неповторимы'^. Таким об разом, эксперт должен выявить именно совокупность признаков, а не какоелибо их количество.
В случае проведения комплексного исследования представленного про граммного продукта либо комиссионной эксаертты анализ результатов вы полняется в синтезирующей части экспертизы. Наличие сит«зщ)ующей час ти обусловлено, прежде всего, потребностыо выработки общей суммарной оценки результатов проведенного исследования и обоснования выводов, к которым пришел эксперт. Важнейшим моментом анализа результатов явля ется определение значимости обнаруженных диагаостическнх и/или иден тификационных призншсов, что завист от вида решаемой задачи.
Так, при ицентификационном исследо^яии подводится итоговая оценка совпадающих и различающихся признаков сравниваемых объектов, констатируется, что совпадающие признаки являются {либо, не являются) устойчивыми, существенными и образуют (либо, не образуют) индивиду альную неповторимую совос^ность. При диагностическом исследовании выполняется итоговая оценка выявленных диагностических признаков, где
'^ Терзиев И.В. Идентификация и определение родовой п|ят{М1яежностн. - М.,
1961.
146 также констатируется устойчивость, существенность и неповторимость ус тановленной совокупности применительно к исследуемому объекту*'^.
Лишь при таком порядке анализа результатов и последующей моти вировки принятия того, или иного решения поставленного вопроса СПКЭ может быть достигнута впоследствии положительная оценка заключения эксперта. Данный этап работы завершается формулированием выводов эксперта о результатах проведенного исследования.
Выводы должны содержать ответы на вощюсы, поставленные следова телем или судом, в которых сообщаются установленные эксп^>том фактиче ские данные. На каждый из этих вопросов должен быть дан ответ по сущест ву либо указано на невозможность его решения. Вывод является квинтэссен цией экспертного исследования. Именно он определяет его доказательствен ное значение по делу'*.
В логическом аспекте вывод по экспертному исследованию про1раммных средств - это умозаключение эксперта, сделанное по результатам прове денных исследований на основе выявленных или 1федставленш|х ему дан ных об исследуемом объекте и общего научного положения соответствую щей отрасли знания сферы современных инф<фмационных технологий, и в частности программирования. Основными требованиями, предъявляемыми к выводу эксперта, являются его определенность и допустимость.
Определенность, т.е. недопустимость формулирования неопределен ных, двусмысленных выводов, позволяющих различное толкование.
Доступность, т.е. в процтосе доказывания могут быть использованы только такие выводы эксперта, которые не требуют для своей интерпретации специальных познаний, являются доступными для следователей, судей и
'^^ Энцишкикдш судебной экспергазы / Под ред. Т.В>Айе|я»яж>вой, Е.Р.Россш1С1со11. - М.: «Юристы»,1999.
'^ Оряхл Ю.К. Заключение жсперта н ето снцеша по угожипош ташм. - М.: Юрист, 1995.
147 других лиц. Не соответствуют данному принципу, наприм^, выводы при ди агностическом исследовании вредоносных программ с^ эвристическом опре делении неясной сигнатуры полиморфного программного кода, поскольку следователь и суд, не обладая специальными познаниями, не в состоянии оценить доказательственное значение такого вывода. Итак, необходимо до водить цепь своих умозаключений до такого этапа, когда его вывод станет общедоступным и понятным для шобого лищц не обладающего специаль ными познаниями'^^.
Выводы эксперта СПКЭ могут иметь различную логическую форму. Существует много таких форм. Поскольку от этого во многом зависит дока зательственное значение заключения, рассмотрим основные из них.
По содержанию выводы эксперта можно разделить на идентификаци01шыв и диагностические. Для ццоггафикационных исследований характер ны три вида выводов - об индивидуальной принадлежности, о родовой (групповой) принадлежности и о том, что объекты имеют единый источник происхождения. Второй дается тогда, когда индивидуальное тождество ока залось по каким-либо причинам недостижимым. Последняя группа выводов формулируется в тех случаях, когда невозможно корректно ответить на во просы о полном отождествлении программных продуктов, чаще всего они даются 1фи исследовании объектов поступивших на экспертизу в различном исполнении (nanpHMq), 1фог|^ммный модуль и текст профаммы).
В ходе диагностического исследования может быть сформулировано несколько типов видов. Так, при проведении классификации, т.е. установле нии принадлежности объекта к какому-то классу объектов СПКЭ, формули руется классификационный вывод. В отличие от идентификационных иссле дований, здесь задача установления индивидуального тождества не ставится, объект исследуется в единственнсш чжцю, f«3 какого-либо срашюния с рру-
^*^ Судебно-ком11Ы(Уге|жое исакд^юанню 1амшыогре{шых средств и снеток: Осн(мвы методического обеспечения: Ученое пособие / А.И. Усов // Нод ред. 1фоф. Е.Р. Россий ской. - М.: Издательство «Экзамен», нздатезоство «Прюо и закон», 2003.
148 гимн, и отнесение »Х) к какому-либо классу является конечной целью иссле дования. Он обычно имеет самостоятельное доказательственш)е ЗЕЮчюние*^ (например, при отнесении объекта СПКЭ к котлетному ввду профаммного обеспечения - прикладное, системное).
При проведении общего диагностического исследования компьютер ных средств определяются свойства и состояние объекта, соответствие или несоответствие их какой-то но]»ю'*' (шяпрмькр^ соответстгаю пша ф^ла, описания его содержания и указанного в имени файла расширения).
При ситуалогических исследованиях объектов СПКЭ (когда анализу подвергается какое-то событие, информационный процесс) даются выводы о механизме события или его отдельных фрагментах, условиях и обстоятельст вах (месте, времени, последовательности и т.п.) ^^. Например, при ощ)еделении дейст^й, 1№Шолнявшихся с прогршк1Мным обеспечен1юм, с иштяешшем количества, времени, условий их модификации, при проведении нелегально го доступа в компьк)т^>ные системы.
Кроме приведенного деления выводов по их содержанию существуют и другие ф(фмы выводов (по иным основаниям)'^'.
По определенности {степеяи их пoдтвqpждeннocти) выводы делятся на: категорические - выводы, содеряшоще достоверные зшшш! эксперта о факте, независимо от кшсих-л1^к> условий его суп^ствошшия. Могут быть утвердительно положительными и утв^р'дительно отрицательными. Даются тогда, когда результаты исследования полностыо его подтв^ждают '^^. На-
'^' См., например, Криминалиспи». Уче&шк под ред. Р.С. Белкина. - М.: 1999 '^ Там же.
'* Там же.
"^ Ордо» Ю.К. Зшслюч^яве эксперп в ото ощяша но утояюташ деяам.-М.^Ю|й9СГ,
1995.
'^^ Энциклопедия судб^ой эносаерааы/Тищ ред. Т.В.Аве1миаким}#, Е.Р. Россий ской. - М.: *Ю}рясть»Л999.
149
пример, выявленные программные средства (указывается nq)e*ieHb файлов) обладает признаками ]федоносности;
вероятные - выводы, содержащие обоснованное предположение (гипо тезу) эксперта об установленном факте. Обычно они отражают неполную внутреннюю психологическую убежденность в достоверности аргументов, среднестатистическую доказанность факта, невозможность достижения пол ного знания. Они дог^скают возможность еуществовавия факта, ио не ис ключают абсолютно другого (противоположного вывода). По существующе му законодательству вероятный вывод не может быть использован в обвини тельном заключении, решении суда и пр. Однако подобный вывод может яв ляться обосновывающим новые знания, быть использован как ориентирую щая информация при разработке следственных версий и т.п. Кроме того, не обходимо отметить, что щт получении общего вероятного выво|^ по экс пертизе некоторые п]х>межуточные выводы могут быть и категоричными'^^.
В выводах о возможности, в отличие от выводов о действительности, констатируется не факт объективной действительности, а лишь возможность какого-либо события, явления (например, нюличив установок средств удален ного доступа к сети о возможности работы в сета Инт^нет). Возможность не следует смешивать с вероягностыо. Если вероятность — это х^>актеристика нашего знания, которая может повышаться по мере его углубления, то воз можность - это объективное состояние вещей. Возможность устанавливается достоверно и, будучи установленной, не меняется от того, реализовалась она практически или нет. Поэтому недопустима встречающаяся в пршстике под мена вероятных выводов выводами о возможности. Это может привести к путанице и ошибкам. Например, вывод типа: «Использование данного про граммного продукта могло повлечь за собой несанкционированную модифи кацию информации», — можно понять и юж то, что модификация инфс^шации, вероятно, произошла в результате работы именно этой программы, и как
'"Там же.
150 ТО, что данная программ не имеет к этому никакого отношения. Она лишь может совершить модификацию, при определенном стечении обстоятельств, происшествие которых эксперту достоверно установить не удалось. Поэтому выводы о «возможности» должны формулироваться экспертом только в том случае, когда им решается вопрос не о имевшем место в действительности факте, а о фактической возможности какого-либо события, явления'^ (напртЕмер, о во^^южиосга осуществления несанкционированного доступа к шт- формации с помощью представленного программного обеспечения).
По отношению к устшювленному факту:
положительные (утвердительные) и отрицательные - отрицательный вывод констатирует отсутствие устанавливаемого факта, свойства (например, на представленном компьютере не обнаружено программное обеспечение с праонакшли контра(|»ктности). Обычно отрицательной вывод является оп равдательным доказательством. От отрицательных выводов необходимо от личать отрицающие формулировки типа «не исключено», «не означает» и т.п. Употребление тшсих формулировок в выводах справедливо признается недопустимым. Так, вывод типа «не исключено, что данный документ был подготовлен на представленном компьютере», по существу равнозначен выг воду о невозможности решения вопроса, поскольку последний тоже не ис ключает такой возможности. Поэтому отрицающие фо1»|улировки не несут никакой дополнительной информации, а лишь затрудняют понимшше выво да. Вместе с тем они вполне допустимы не в самом выводе, а в пояснениях (комментариях) к нему, которые нередко выносятся в синтезирующую часть заключения эксперта и могут иметь большое значение для правильного по нимания и оценки вывода'^^ (например, эксп^т, установив, что исследуемые файлы относятся к файлам баз данных, что они ^ши созданы и управляются
'^См., iianpRMq), Сфл<» Ю.К. ^жлкга^пе эюямуга н его «юика по утошятлл де лам. - М.: Юрист, 199S.
''' Орлов Ю.К. Заключение эксперта и его оценка по уголовньш делш. - М.:
Юрист, 1995.