4.11. Експертиза комп'ютерів, носіїв і технологій

Судова і слідча практика свідчить про залучення у сферу кри­мінального судочинства таких специфічних об'єктів, як комп'ю­терна техніка і програмні продукти. Найчастіше ці об'єкти висту­пають як інструменти здійснення злочинів (підробка документів, ухиляння від сплати податків, виготовлення фальшивих грошей, приховування слідів злочину тощо). Однак не менш поширеними є злочини, при здійсненні яких об'єктом посягання стає інформа­ція, що знаходиться в комп'ютері, на якому-небудь носії, чи саме програмне забезпечення. Крім того, магнітні носії комп'ютерів нерідко є місцем зберігання, чи навіть приховування, інформа­ції, що являє інтерес для розслідування злочину.

Об'єктами судової експертизи є комп'ютерна техніка, носії ін­формації (дискети, жорсткі диски, CDR-диски, флеш-карти то­що), периферійні пристрої (принтери, сканери, звукові карти), мережа INTERNET, програмні продукти.

Судова експертиза комп'ютерної техніки і програмних продук­тів вирішує такі задачі:

• встановлення технічного стану комп'ютерної техніки;

• виявлення інформації, яка міститься на комп'ютерних но­ сіях, та визначення її цільового призначення;

• встановлення відповідності програмних продуктів певним параметрам;

• встановлення авторства програмного продукту;

• визначення вартості програмного продукту та комп'ютерної техніки.

На вирішення судової експертизи комп'ютерної техніки і про­грамних продуктів можуть бути поставлені такі питання:

1. Комп'ютер якої моделі надано на дослідження? Якими є тех­ нічні характеристики його системного блока і периферійних при­ строїв?

2. Які технічні несправності має даний комп'ютер або його окремі блоки та пристрої, і як ці несправності впливають на ро­ боту комп'ютера (блока, пристрою)?

3. Чи не проводилась адаптація комп'ютера для роботи з ним специфічних користувачів (особи з поганим зором, лівші та ін.)?

4. Чи міститься на даному носії якась інформація, і якщо так, яке її цільове призначення?

5. Чи міститься на даному носії інформація, яка має ключові слова «...»?

6. Чи міститься на даному носії інформація, в якій є дані про вказані в постанові підприємства (фірми, організації)?

7. Коли, ким були створені досліджувані файли?

8. Чи є дані програмні продукти ліцензійними копіями стан­ дартних систем, чи вони є оригінальними розробками?

9. У який період часу створені файли, та яка дата останнього редагування?

10. Чи не вносились у програми даного системного продукту які- небудь корективи, що змінювали виконання певних операцій?

11. Чи містилася на носії інформація, що була знищена, якщо так, то яка саме?

12. 3 якого з наданих комп'ютерів здійснювався вихід у мере­ жу INTERNET, за якими адресами, в який період часу?

13. Яким є механізм утрати інформації з локальних обчислю­ вальних мереж, глобальних мереж і розподілених баз даних?

14. Чи можна за допомогою даного програмного продукту ре­ алізувати функції, передбачені технічним завданням на його роз­ робку?

15) Чи містяться на досліджуваному комп'ютері програмні продукти, які можуть використовуватися для злому пароля та несанкціонованого доступу до комп'ютерних мереж?

16. Чи можливе вирішення певного завдання за допомогою да­ ного програмного продукту?

17. Яким є рівень професійної підготовки в галузі програму­ вання і роботи з комп'ютерною технікою особи, яка виконала да­ ні дії з комп'ютером і програмним забезпеченням?

18. Чи відповідає стиль програмування досліджуваного про­ грамного продукту стилю програмування певної особи?

19. Чи відповідають прийоми і засоби програмування, що за­ стосовувалися при створенні досліджуваного програмного про­ дукту, прийомам і засобам, якими користується даний програ­ міст?

20. Чи написана дана комп'ютерна програма певною особою (вирішується разом з експертом у галузі авторознавства)?

21. Якою є вартість програмного забезпечення (на час його придбання, вилучення, проведення експертизи)?

22. Якою є вартість окремих модулів, що входять до складу програмного продукту?

23) Якою є вартість комп'ютерної техніки (окремих комплекту­ ючих) на час придбання (вилучення, проведення експертизи)?

Проблема визначення об'єктів судової експертизи комп'ютер­ної техніки і програмних продуктів полягає в тому, що у зв'язку

11 — 4-2531

162

Розділ 2

ОКРЕМІ ВИДИ ЕКСПЕРТИЗ

163

ДЇРЖЛИНАЛОДЛЇКОЄА АДМІНІСТРАЦІЯ УКРАЇНИ ПОДАТКОВА ПОЛІЦІР

СЛУЖБОВЕ ПОСВІДЧЕН

Серія** №0038'8

'tepCViJL 199fp

дІгждвнАтод*т<ов* «дммсттмде ухміий

ДЕ'ЖАвИА ПОДАТКОМ АДМвИСТМШЙ ГІСМИП 'ПОДАТКОВА ПОЛІЦІЙ ,

СЛУЖБОВЕ! ПОСВІДЧЕННЯ

Рис. 47 а; б. Зображення в іншому файлі того ж комп'ютера.

державна податки» *дміиісграц>й жраіцй

даод?*а,

6 4 S

Рис. 49. Фрагменти текстів службових посвідчень з фаль-

лрадаиллт xsa^hc . ™~*^~_ш— ~.~ щуванням шляхом поетапного НОСТЄЙ, необхідно паМЯТаТИ, ЩО ДЄЯК1 редагування за допомогою гра-

злочинні операції, здійснювані за допо-

фічного редактора.

з бурхливим розвитком комп'ютерної техніки їх перелік щодня зростає. З'являються нова комп'ютерна техніка, периферійні пристрої і прилади, що виготовлені і працюють на основі техно­логій побудови персональних комп'ютерів. У деяких випадках об'єктом даної судової експертизи виступають пристрої, що не є комп'ютерами в класичному розумінні цього слова, наприклад електронні касові апарати.

ДЕРЖАВНА ПОДАТКОВА АДМВШЗДШР 3*»ЭД*1

ДАТКОЙА ПОЛІЦІЙ

'""; ,.ГЮЛЛТКОвА80|1Н$11» ;

'.^-i.

Таким чином, об'єктами судової експертизи комп'ютерної тех­ніки і програмних продуктів є комп'ютерна техніка, периферія (сканери, принтери, плотери тощо), різноманітні носії інформації (магнітні, оптичні, лазерні тощо), програмне забезпечення, інша інформація, що знаходиться на носіях і в запам'ятовуючих при­строях (постійних та оперативних), а також: органайзери, пей­джери, мобільні телефони й інші пристрої, що виготовлені і пра­цюють на основі технологій побудови персональних комп'ютерів. До цієї ж категорії належать модеми і пристрої, що підтримують роботу комп'ютерних систем (свічі, хаби тощо). Паперові доку­менти, виготовлені за допомогою друкувальних пристроїв, є об'єктом комплексної експертизи, при якій загальне дослідження здійснюють експерт у галузі комп'ютерної техніки й експерт у га­лузі технічного дослідження документів.

Рис. 45. Зображення службового посвідчення у файлі комп'ютера.

Рис. 46. Посвідчення, яке, за підозрою, використовувалось для виготовлення фальшивого.

І4Амиюгі*

Рис. 48. Результат комп'ютерної підробки.

При розслідуванні злочинів, вчине­них з використанням комп'ютерної техніки, слідчий стикається з нетради­ційними речовими доказами злочин­ної діяльності. Тому для використання фактичних даних, отриманих у ході розслідування таких злочинів, базова юридична підготовка слідчого може виявитися недостатньою. Отже, необ­хідно залучати фахівця для проведен­ня слідчих дій.

Розслідуючи злочини, пов'язані з роз­краданням коштів і матеріальних цін-

164

Розділ 2

ОКРЕМІ ВИДИ ЕКСПЕРТИЗ

165

могою комп'ютерів, залишають сліди на магнітних носіях інфор­мації (вінчестері, дискетах, стрічках). Своєчасне виявлення ком­п'ютерних засобів і правильне їх вилучення обумовлює ефектив­ність наступної експертизи комп'ютерної техніки і програмних продуктів, яка призначається з метою виявлення інформації, що зберігається на магнітних носіях, і виявлення, таким чином, певних слідів злочинної діяльності.

Слідчі дії для вилучення інформації, що міститься на машин­них носіях, і самих машинних носіїв з інформацією потребують ретельної, добре спланованої підготовки, обумовленої особливос­тями комп'ютерної техніки.

Приміщення, де розташовані комп'ютерні засоби, і вони самі, як правило, знаходяться під надійною електронною охороною. Недостатні знання учасників слідчої дії про захист комп'ютерної інформації від несанкціонованого доступу й особливості кон­струкції апаратних засобів, які використовуються для цього, мо­же призвести до непоправних наслідків. При неправильних діях інформація на вінчестері може бути знищена автоматично при розкритті корпуса комп'ютера, відкритті кімнати, в якій знахо­диться комп'ютер, чи за інших обставин, визначених керівником підприємства (фірми) чи особи, яка відповідає за комп'ютерне устаткування. На практиці дуже часто застосовуються різні спо­соби знищення важливої інформації, що зберігається в комп'юте­рі: дистанційно (наприклад, по локальній чи глобальній мережі (INTERNET); шляхом натискання на тривожну кнопку; переда­чею повідомлення по телефону на пейджер, що знаходиться в комп'ютері; передачею повідомлення на мобільний телефон, включений в архітектуру комп'ютера; використанням пристрою типу «брелок» — передавача для відключення охоронної сигна­лізації автомобіля тощо.

Виявлення, огляд і вилучення комп'ютерних засобів у ході до-судового слідства та судового розгляду можна поділити на попе­редній, основний і заключний етапи.

Попередній етап включає такі дії.

1. У керівника підрозділу, персоналу, який відповідає за екс­плуатацію комп'ютерної техніки, або іншого співробітника орга­нізації, фірми необхідно взяти пояснення, а при порушеній кри­мінальній справі допитати і з'ясувати такі обставини:

— чи заблоковане приміщення, в якому знаходиться комп'ю­тер, електронною системою допуску або охоронною сигналіза­цією, і які технічні засоби забезпечення використовуються для цього. Оскільки систему блокування вибирає користувач, то тре-

ба взяти документацію і відповідний електронний або фізичний пароль (код), а в деяких випадках — і додатковий пристрій (елек­тронний ключ) для доступу до об'єктів, що зберігаються. При цьо­му необхідно пам'ятати, що електронне блокування приміщення з'єднано з системою блокування самознищення важливої інфор­мації в комп'ютері, яка працює від вбудованого в комп'ютер дже­рела живлення. При порушенні встановленого порядку входу в приміщення спрацьовує захист і комп'ютер знищує інформацію на вінчестері, навіть якщо він відключений від живлення. Уста­нови, підприємства й організації, що використовують подібні си­стеми знищення важливої інформації на комп'ютері, обов'язково мають надійно заховану щоденну копію цієї інформації або вико­ристовують «дзеркальний» вінчестер. Вміст останнього є точною копією основного вінчестера, зміни якого відслідковуються що­миті. «Дзеркальний» вінчестер розташований на певній відстані від основного під особливою охороною;

— які є засоби охоронної сигналізації і забезпечення безпеки комп'ютерної інформації, де знаходиться відповідна документація;

• чи встановлені в комп'ютері спеціальні засоби для знищення інформації у разі спроби несанкціонованого доступу до неї; з'ясу­ вати місце перебування організації, що встановила цю систему;

• чи необхідний пароль (додатковий пристрій — електронний ключ) для доступу до інформації, що знаходиться в комп'ютері, або окремих її частин, правила його використання; чи призво­ дить порушення цих правил до псування інформації; чи з'єднані (включені) комп'ютери в локальну мережу установи, організації, підприємства (фірми), об'єднання, яка схема локальної мережі, основні правила її безпечного використання.

2. Необхідно пам'ятати, що при правильно організованій робо­ ті комп'ютерних засобів наприкінці робочого дня здійснюється обов'язкове резервне копіювання даних зі складанням повного протоколу роботи комп'ютера за день. Тому в осіб, відповідаль­ них за резервне копіювання і збереження протоколів, з'ясовуєть­ ся місцезнаходження відповідних документів і копій на магніт­ них носіях.

3. Якщо комп'ютер підключений до мережі INTERNET, то необ­ хідно вилучити договори у керівника підприємства (фірми), де буде проводитись огляд, негайно зв'язатися з мережним адміні­ стратором — провайдером вузла, до якого підключена дана уста­ нова, підприємство (організація), і організувати за його допомо­ гою вилучення і збереження електронної інформації, що нале­ жить даному підприємству або надійшла на його адресу.

166

Розділ 2

ОКРЕМІ ВИДИ ЕКСПЕРТИЗ

4. Вилучити і вивчити документацію, пов'язану із забезпеченням на підприємстві (в установі, організації) безпеки комп'ютерної ін­формації, яка цікавить слідство. Вилучити протоколи і резервні ко­пії вінчестера. За наявності протоколів можна встановити вилуче­ну (стерту) інформацію на вінчестері (магнітному носії).

Основний етап огляду починається з усунення блокування вхід­них дверей. Для цього необхідно:

• наказати співробітникам фірми (підприємства) відійти від комп'ютерних засобів і розмістити їх у приміщенні так, щоб ви­ ключалась можливість використання будь-яких засобів зв'язку. У процесі огляду не приймати допомоги від співробітників фірми (підприємства);

• вилучити у персоналу пейджери, електронні записні книж­ ки, ноутбуки, індивідуальні пристрої відключення сигналізації автомобіля тощо;

• зафіксувати інформацію на екранах працюючих комп'юте­ рів шляхом фотографування (детальна зйомка) або складання креслення;

• виключити живлення міні-АТС і опечатати її (якщо така є);

• скласти схему підключення зовнішніх кабелів до комп'ютер­ них пристроїв і позначити кабелі для правильного відновлення з'єднання в майбутньому;

• ізолювати комп'ютери від усякого зв'язку ззовні: модемної, локальної комп'ютерної мережі, радіозв'язку;

• найбільш ефективним способом відключити всі комп'ютерні засоби від джерел живлення (у тому числі і від джерел безперебій­ ного живлення);

• екранувати системний блок комп'ютера, помістивши його у спеціальний футляр.

Фахівець оперативно виконує дії відповідно до плану, розроб­леному спільно зі слідчим. Зовнішнім оглядом встановлюються специфічні обставини, що стосуються комп'ютерних засобів, да­ні про які заносяться до протоколу огляду комп'ютерного засобу: наявність системного блоку, монітора, клавіатури, принтера, мо­дему, безперебійного джерела живлення, акустичних систем то­що, периферійних і мультимедійних пристроїв.

За розташуванням пристроїв на передній панелі системного блоку фахівець визначає наявність і види пристроїв збереження інформації (дисководи), а також пристроїв зчитування кредит­них карт, парольних карт тощо, особливої уваги потребує наяв­ність невідомих йому пристроїв. По можливості, він визначає присутність пристрою для знищення інформації.

За розташуванням розйомів на задній панелі системного визначаються наявність і види вбудованих пристроїв, мережної плати, модему (чи був він підключений до телефонної чи іниІ₀ї лінії зв'язку), наявність послідовних і паралельних портів, чи буди вони підключені до зовнішніх ліній зв'язку.

Заключна стадія огляду — це складання протоколу, схем, пла-нів. Кабелі, що відключаються, підлягають маркуванню з метою відновлення з'єднання при проведенні експертизи комп'ютерної техніки і програмних продуктів. Екранований системний блок комп'ютера, принтер, виявлені дискети, магнітні стрічки й інціі носії комп'ютерної інформації (наприклад роздруківки) опечату­ють і вилучають.

Істотне значення має упакування об'єктів дослідження, що на­правляються на експертизу. Воно повинно гарантувати ливість їх пошкодження як у процесі збереження, так і під транспортування.

Погоджені дії слідчого і фахівця з огляду і вилучення речовцх доказів з місця події дозволять уникнути необоротних втрат і^_ формації, що міститься на машинних носіях, і забезпечать най­більш достовірні дані для проведення наступної судової експер­тизи комп'ютерної техніки і програмних продуктів.

Якщо зазначених заходів не було вжито, виникають серйозні підстави сумніватися у вірогідності висновків експерта.