Исследование компьютерных баз данных

Подать онлайн заявку на проведение экспертизыУзнать стоимость проведения экспертизы
Особенности получения доказательственной информации при исследовании компьютерных баз данных

Особенности получения доказательственной информации при исследовании компьютерных баз данных

Анализируя различную информацию по компьютерной преступности, можно увидеть, что в настоящее время компьютерные преступления могут совершаться путем неправомерного доступа, копирования, модификации и удаления как служебной, так и прикладной информации, имеющей разнообразные смысловое содержание и внутренние форматы хранения. Но несмотря на значительный период развития компьютерных техники и технологий, до сих пор оперативные службы и следствие интересует в основном информация, имеющая формат текстовых и графических документов.

Используя стандартное программное обеспечение, электронные документы этих форматов можно однозначно воспроизвести в бумажном виде, напрямую воспринимаемом человеком. Но значительному объему криминалистически значимой информации, представленной в иной форме, не всегда уделяется должное внимание. И это объясняется, в частности, тем, что традиционное мышление следователя направлено на поиск документов, содержащих именно человеко-ориентированную информацию. Кроме этого, именно такие документы в настоящее время удобно укладываются в привычный процесс доказывания, в отличие от, например, файлов программ или баз данных.

Тем не менее основой любой автоматизированной информационно- поисковой системы, объектом ее обработки является база данных (БД). Безусловно, наиболее эффективным является использование БД при решении учетных и информационно-справочных задач, в рамках которых осуществляется обработка большого количества однотипной информации, ее систематизация и выборка по требуемым признакам.

Заявка на компьютерную экспертизу

Так, подавляющее большинство экономических, финансовых, кадровых, складских и других аналогичных задач решается именно при помощи операций с данными, хранящимися в компьютерных БД разного типа. Переход на безбумажные технологии обработки такой информации также стимулируется введением в повседневную практику электронных форм коммерции в Интернете и электронных форм отчетностей как внутри предприятий и учреждений, так и на государственном уровне. Да и в самом web-сервисе Интернет, изначально представлявшем собой слабо структурированную совокупность документов, в настоящее время все большее количество web-узлов используется для хранения информации именно базы данных.

Помимо этого, довольно часто можно встретить компьютерные БД в системах управления предприятием, при учете движения документов, в компьютерных записных книжках, органайзерах, при хранении служебной информации, с целью обеспечения работоспособности системного и прикладного программного обеспечения компьютера (пароли, настройки, реестры, журналы и т.п.). Поэтому вполне естественно, что наряду с иными электронными документами БД все чаще выступают в качестве объектов криминалистического исследования, являются источником доказательственной информации различного рода.

Но не надо забывать и о том, что, являясь независимым от средств обработки хранилищем данных, база данных всегда предполагает наличие на компьютере комплекса специальных программных средств, ориентированных на обеспечение функций по созданию и управлению этими данными. Такой комплекс программ получил название системы управления базами данных (СУБД). Поэтому объектами преступного посягательства в данном случае могут выступать как собственно хранящаяся в БД прикладная и служебная информация, так и программы ее обработки, обычно включаемые в состав специализированной СУБД, решающей конкретную прикладную задачу.

Как и в отношении иной компьютерной информации, мотивы и цели совершения преступлений в отношении или с использованием компьютерных БД разнообразны. И это, прежде всего, корысть. Изменив текущее состояние банковского счета или количества товара на складе, можно получить денежные или материальные ценности; внеся искаженную информацию о доходе — уменьшить размер выплачиваемого налога; осуществив несанкционированный доступ к базе данных провайдера Интернета и узнав чужие коды доступа — воспользоваться ими для подключения к нему; продавая нелицензионные копии коммерческой базы данных — получать материальную выгоду и т.п.

Оставаясь, по сути, компьютерной информацией, компьютерные БД тем не менее имеют ряд особенностей в принципах хранения, доступа и обработки данных. И эти особенности определяют специфику исследования и использования компьютерных БД в судопроизводстве. К таковым, прежде всего, следует отнести следующие:

  1. В базах данных информация хранится в рамках строго определенной структуры, описывающей логическую модель предметной области, ограниченной только существенными для решения конкретной задачи сведениями. При этом довольно часто для описания такой модели используется не единичный информационный объект, а несколько взаимосвязанных структурированных хранилищ данных, иногда располагающихся в различных файлах. Причем далеко не всегда эти связи указаны в БД и, соответственно, очевидны. В этом случае целостная оценка содержащейся в БД информации обычно не может быть произведена в ходе оперативных мероприятий либо следственного осмотра и требует привлечения специальных знаний в области информационных технологий. При этом и следователю, и специалисту необходимо учитывать тот факт, что наибольшее распространение в настоящее время получили реляционные БД (РБД). В таких базах данные хранятся в структурах, сопоставимых с прямоугольными таблицами, напоминающими традиционный журнальный учет. Описание структуры РБД в кодированном виде находится в самой базе, а для выяснения наличия и вида связей между отдельными таблицами приходится изучать принципы работы с соответствующей СУБД или обращаться к технической документации, сопровождающей данную базу. Поэтому при выемке и фиксации БД необходимо тщательно контролировать полноту изымаемых объектов — собственно баз данных, использованной для их обработки СУБД, соответствующей технической документации. Данное замечание имеет особую важность в тех случаях, когда приходится иметь дело с распределенными БД, в которых информация хранится на различных ЭВМ в компьютерной сети, а также с сетевыми БД и БД, используемыми в технологии «клиент-сервер». В последнем случае обычно пространственно разнесены база данных и обрабатывающая ее СУБД.
  2. В отличие от текстовых и графических документов информация в БД типизирована, т. е. для хранения информации внутри одной структуры могут применяться различные способы еѐ кодирования, и, соответственно, в процессе осмотра, поиска и исследования должны быть использованы различные процедуры для еѐ чтения и обработки.
  3. С точки зрения обнаружения и использования доказательственной информации еще одним существенным принципом организации работы с БД является независимость хранимых данных от программ их обработки. Поэтому при расследовании дел, связанных с использованием компьютерных БД, необходимо помнить о том, что для осуществления противоправных действий в отношении информации, хранимой в БД, может применяться как специализированное программное обеспечение, предназначенное для решения узконаправленной учетной задачи, так и стандартные СУБД общего назначения. И если в первом случае в составе специализированной СУБД в целях безопасности часто присутствуют процедуры, разграничивающие доступ к данным, запрещающие определенным категориям пользователей осуществлять несанкционированный доступ к информации, ведущие журналирование выполняемых операций над данными, то в случае применения СУБД общего назначения оставляемых специализированной СУБД следов практически не остается.

Говоря о субъекте преступного деяния в отношении информации, хранящейся в БД, следует отметить то, что при использовании средств специализированной СУБД им может быть любой человек, имеющий доступ к соответствующему программному обеспечению, обладающий определенным набором прав в информационной системе и не обладающий высокой квалификацией в информационных технологиях. Наиболее часто таковыми являются операторы ЭВМ, должностные и иные лица, имеющие доступ к ЭВМ. Способы сокрытия преступления в данном случае либо отсутствуют, либо таковыми могут быть вход в систему под чужим именем и паролем, возврат БД к первоначальному состоянию после осуществления непосредственного хищения товарно-денежных ценностей, нарушение работоспособности БД, СУБД или компьютера в целом.

Осуществление несанкционированных изменений в БД посредством иного программного обеспечения, безусловно, характеризуется высоким уровнем квалификации человека как в общих областях информационных технологий, так и в отношении устройства и принципов функционирования конкретной БД. Такими людьми могут быть программисты и администраторы БД, имеющие доступ непосредственно к файлам базы данных. Как правило, в компьютерной системе в этом случае должен присутствовать необходимый инструмент, например СУБД общего назначения, поддерживающая использующийся в БД формат записей, системы программирования с поддержкой доступа к БД, программы прямого редактирования содержимого файлов БД, подготовленные субъектом преступления исходные тексты либо скомпилированные программные модули, предназначенные для осуществления несанкционированного воздействия на БД в обход специализированной СУБД.

Часто компьютерные БД используются для фальсификации бухгалтерских или хозяйственных данных, движение которых учитывается параллельно в документах электронной и бумажной форм с несовпадающим содержанием. При осуществлении сговора с лицами, непосредственно ответственными за учет и отпуск материальных и финансовых ценностей, это позволяет осуществлять хищения.

Наибольшую сложность при выявлении и расследовании преступлений с использованием компьютерных баз данных вызывает задача установления времени совершения преступления, а также факта и содержания многократных модификаций конкретной записи БД. Эта проблема связана со способом хранения и обращения к записям компьютерных БД, приводящим к прямой перезаписи модифицируемых данных на устройстве хранения. То есть часто отсутствует возможность поиска следов во временных и удаленных файлах, что возможно при экспертном исследовании других видов компьютерных данных, например документов MS Word. Для решения указанной задачи зачастую приходится производить сравнительный анализ текущего состояния БД с созданной на ее основе бумажной документацией, файлами архивов БД, файлами резервных копий БД, создаваемых некоторыми СУБД при обновлении своей версии. Информация о времени и лице, производившем какие-либо действия с БД, может находиться как в журналах работы операционной системы, так и в журналах работы СУБД. Например, программный комплекс «1С Предприятие 7.7» ведет журнал учета операций, фиксирующий дату, время, тип операции, имя пользователя, реквизиты обрабатываемого документа, но не сохраняет сведения о содержании производимых изменений документа.

Таким образом, знание общих принципов теории БД, особенностей конкретной БД и СУБД при расследовании преступлений, связанных с необходимостью исследования компьютерных баз данных, часто является ключевым фактором для выявления максимально возможной доказательственной информации. Поэтому следственные действия в отношении БД и СУБД требуют обязательного привлечения специальных знаний не только в виде производства экспертного исследования, но и на всех предыдущих этапах работы с этими объектами, включая консультационную деятельность специалиста.

Автор:
А. Н. Нешко — Преподаватель Саратовского юридического института МВД России.

Нашли в тексте ошибку? Выделите её, нажмите Ctrl + Enter, и мы всё исправим!