Становление судебной компьютерно-технической экспертизы

Полезная информация?
Становление судебной компьютерно-технической экспертизы

Становление судебной компьютерно-технической экспертизы

Претворение в жизнь положений Федерального закона «О государственной судебно-экспертной деятельности в Российской Федерации» в настоящее время является важнейшей стороной деятельности как экспертно-криминалистических служб, так и учебных заведений МВД России.

Развитие новых научных направлений в области судебных экспертиз, разработка новых и совершенствование старых методик их производства, а также подготовка квалифицированных кадров, могущих на высоком уровне выполнять эту работу, — задачи взаимосвязанные и взаимообусловленные. В значительной степени это касается тех экспертиз, объектами или инструментами которых являются новые технические устройства, использующие высоконаучные технологии и разработки. Удовлетворение требования объективности, всесторонности и полноты экспертных исследований, а также их научной обоснованности достигается только в том случае, если:

  • во-первых, исследование выполняется специалистом, имеющим высокопрофессиональную подготовку не только в области общей теории судебной экспертизы, но и в тех науках, к которым относятся непосредственный объект и метод экспертного исследования;
  • во-вторых, имеются сертифицированные соответствующими органами методики и средства исследования.

Судебная компьютерно-техническая экспертиза, выполняемая рядом судебно-экспертных лабораторий и научных учреждений с 1994 года, но фактически еще не имеющая официального статуса, по крайне мере, в системе МВД России, находится в связи с этим в положении «бедного родственника». Отсутствие единых методик закономерно делает эту экспертизу предметом споров в судах и «черным ящиком» для следователей, зачастую не могущих полноценно использовать ее результаты. Однако практика постепенно вырабатывает подход к назначению, производству и оценке результатов данной экспертизы.

Следует подчеркнуть, что наметились следующие тенденции в подходах к криминалистическому исследованию информации, содержащейся на носителях компьютерных систем.

Учет относительности исследуемых событий и фактов. Компьютерное время компьютерной системы имеет относительный характер. Дата, являющаяся атрибутом файла, относительна и зависит от того, какие данные содержатся в специальных ячейках CMOS аппаратной части компьютерной системы. Эти данные легко изменяются с использованием различных средств (BIOS Utility или команд ОС) и, следовательно, не могут служить достоверными данными о дате маркированного системой события. Так же, как известно, легко может быть изменен атрибут файла — дата его создания или изменения. Делается это с использованием средств прямого доступа к диску (типа Disk Editor) путем редактирования содержимого каталога.

Однако объективному установлению обстоятельств в этом случае помогает анализ следов, возникающих в результате следующих событий:

  • протоколирование времени входа и выхода из системы, которое выполняют ряд системных программ (обнаружение принудительного изменения времени в обратном направлении и довольно часто в пределах суток вперед);
  • фиксация системного времени создания файла, содержащего документ, и субъективного времени его создания в соответствующем реквизите самого документа;
  • расположение данных, несущих информацию о субъективном времени их создания в slack [ref] Ni.: Яковлев А.Н. Теоретические и методические основы экспертного исследования документов на машинных магнитных носителях информации: Автореф. дис. … канд. юрид. наук. Саратов, 2000. С. 14. [/ref] («хвосте» последнего кластера файла);
  • фиксация времени создания файла в самом документе.

Местоположение и само наличие объектов информационной среды также относительно. Месторасположение файла меняется еще проще, чем атрибуты файла, как в структуре памяти местного компьютера, так и в среде киберпространства [ref] Термин использован В.А. Мещеряковым (см.:Мещеряков В.А. Основы методики расследования преступлений в сфере компьютерной информации: Дис. … д-ра юрид. наук. Воронеж, 2001. С. 17). [/ref] в целом (т.е. файл перемещается на носитель, пространственно отнесенный от носителей данного компьютера). Фактическое наличие определенной информации в логической структуре носителя может быть показано одними программами и проигнорировано другими.

В этом случае объективному анализу состояния компьютерной системы могут помочь следы, образующиеся в ходе следующих событий:

  • фиксация каталога и имени логического устройства, где происходило создание файла, в самом документе [ref] См.: Яковлев А.Н. Указ. соч. С. 14. [/ref];
  • наличие кросс-ссылок на файл в системных КЭШах (cache) либо иных пользовательских каталогах;
  • наличие информации в собственном КЭШ прикладной программы;
  • информация, остающаяся в результате «экономного» удаления информации (т.е. затирание фактических данных только в случае записи новых на место старых) операционной системой.

Разработка не частных конкретных, а обобщенных методик исследования. Данная тенденция, вероятнее всего, будет превалировать. Это связано с высокой динамикой развития непосредственных объектов исследования. Фирмы, занимающиеся разработкой программного обеспечения в мировом масштабе, уже обозначили те направления, по которым будет двигаться технология создания новых продуктов.

С одной стороны, будут разрабатываться новые алгоритмы обработки информации и, как следствие, будут возникать новые форматы и структуры организации информации. Это ведет к созданию все новых методик исследования конкретных информационных объектов. Если учесть, что новые форматы наиболее распространенных объектов исследования возникают каждые полгода, то на разработку, апробирование и утверждение частной методики с момента возникновения потребности в этом должно быть потрачено не более месяца. Однако в настоящих условиях организации российской правоохранительной системы такие сроки нереальны. Скорее всего период разработки частной методики будет сопоставим со временем возникновения новых непосредственных объектов исследования, что сводит на нет ее эффективность.

С другой стороны, следует отметить, что некоторые уже достигнутые стандарты, удовлетворяющие разработчиков и пользователей, благодаря существующей технологии разработки компьютерных программ переходят из поколения в поколение, сохраняя свои основные черты. Это касается требований к программному продукту, которые не могут быть пересмотрены в сторону их отмены. Например, такие удобства для пользователя, которые составляют списки недавно открывавшихся файлов, возможность отката изменений, и для разработчика — быстрое изменение состояния системы путем модификации описания структур, а не их содержимого, блочная адресация во внешней памяти для ускорения обмена данными между «медленными» устройствами, контейнерная организация файлов данных сложного формата, использование стандартных функций библиотек для наиболее широко распространенных компиляторов и др., будут сохраняться еще довольно длительное время. Данное обстоятельство позволяет создавать методики, ориентированные на использование этих относительно устойчивых явлений. Однако эти методики будут носить общий характер, поскольку конкретность методики, например, расположение файлов КЭШа в определенном каталоге или наличие контейнера определенного формата в файле могут быть губительны для исследования в случае изменения этих компонент разработчиком.

Данный факт объясняется тем, что закономерности возникновения следов в компьютерных системах на основе свойств программных продуктов в общем случае носят не строго объективный, а смешанный (и объективный, и субъективный) характер.

Соблюдение принципа некомпрометации доказательств. Этот принцип следует из положения о производстве дополнительной и повторной экспертизы. На случай возникновения необходимости производства дополнительной или повторной экспертизы эксперт, проводящий исследование, должен использовать такие методики и средства исследования, которые не изменяют состояния объекта исследования. Это общее требование, сформулированное в теории судебной экспертизы, приобретает очень большое значение конкретно для случая судебной компьютерно-технической экспертизы. В настоящее время он принят на вооружение большинством специалистов и экспертов. Поскольку все следы в компьютерной системе являются следствием функционирования программ, то и следы, которые может оставить сам исследователь, тоже будут следами программ, обезличенными, указывающими на факт воздействия на систему. Отличить их от следов, оставленных до этапа изъятия вещественного доказательства, может оказаться крайне сложно.

Таким образом, нарушение этого принципа ведет не просто к уничтожению следов воздействия на компьютерную информацию, а к возникновению новых, указывающих на наличие воздействия, которого в спорный момент, возможно, и не было. Возможность такого воздействия должна быть категорически исключена, поскольку компрометирует получение объективного результата. Поэтому практически всеми экспертами изучение содержимого внешней памяти предваряется клонированием (побитовым копированием) содержимого исследуемого носителя на сторонний носитель.

Исследование направлено не только на обнаружение пользовательских объектов информационной системы, но и на установление обстоятельств их возникновения. Поскольку следы, оставляемые пользователем в информационной системе, опосредованы программной средой, то установление факта присутствия искомого объекта на исследуемом носителе в большинстве случаев не позволяет считать его доказательством по делу. Исходной информацией для поиска служат, как правило, данные, представленные в пользовательской форме (а не в форме внутреннего представления информации в компьютере). Это пользовательские свойства программы, форма и содержание документа в файле, описание свойств объекта в базе данных и т.д. Наличие искомого объекта может служить доказательством того, что он возник по желанию пользователя, если только следствием точно установлено и доказано, что на данном компьютере больше никто не работал, этот компьютер изолирован от других компьютеров и на его состояние не могли повлиять помимо желания пользователя какие-либо программы, работающие в информационной сети. А поскольку большинство персональных компьютеров доступно более чем одному пользователю и в системе возможно наличие программ, не контролируемых пользователем, то при исследовании состояния внешней памяти следует устанавливать не только наличие объекта, сходного с искомым, но и обстоятельства его возникновения. На такие обстоятельства указывает, как правило, информация, возникающая в системе помимо желания пользователя на основе функционирования сервисных программ или вследствие особенностей работы прикладного программного обеспечения.

Такая информация называется служебной, поскольку не предназначена для пользователя (он о ее наличии чаще всего не подозревает). На основании анализа этой информации возможно получение относительно достоверных данных — о дате, времени и источнике информации.

Комплексность исследования. Практика расследования уголовных дел показывает, что криминалистическое исследование компьютерных систем чаще всего связано с нарушением прав субъектов не только в сфере компьютерной информации, но и в иных областях человеческой деятельности. Поэтому в качестве предмета экспертного исследования будут выступать не только процессы возникновения, хранения, передачи и обработки компьютерной информации, но и процессы, происходящие в других сферах человеческой деятельности, таких как делопроизводство, управление производством, финансовая и банковская сфера, искусство и т.д. Поэтому в большинстве случаев по делу должна назначаться комплексная экспертиза, решающая вопросы установления совокупности обстоятельств. По нашему мнению, желательно также, чтобы исследование родового объекта производилось экспертами разных специальностей совместно и одновременно. Это позволит полно и всесторонне оценить имеющиеся следы и дать объективное заключение.

В статье 23 Закона сказано, что при комплексной экспертизе «общий вывод делают эксперты, компетентные в оценке полученных результатов и формулировании данного вывода». Фактически это должны быть эксперты, обладающие смежными знаниями. Однако ранее в Законе сказано, что «при производстве комиссионной судебной экспертизы экспертами разных специальностей (далее — комплексная экспертиза) каждый из них проводит исследования в пределах своих специальных знаний».

Если предположить, что эксперт как личность и эксперт как специалист — одно и то же лицо, отсюда можно сделать вывод, что комплексную экспертизу не может производить один эксперт, обладающий специальными знаниями в разных областях. Таким образом, на этапе исследования и формулирования промежуточных выводов должны работать разные личности, а на этапе формулирования общих выводов могут работать лица, обладающие комплексными познаниями. Но что тогда мешает этим людям проводить и исследование? Если объем требуемых знаний не позволяет этого сделать, то конечно же, подобные исследования должны выполнять несколько сотрудников. А если объем знаний и умений доступен одному человеку, то почему бы не позволить производить комплексную экспертизу сотруднику, признанно обладающему разнородными познаниями?

По нашему мнению, необходимо уточнить законодательно, эквивалентно ли понятие «специалист в судебной экспертизе» личности эксперта?

Таким образом, можно сделать выводы:

  1. Разработка общих методик должна начинаться с изучения основ технологий разработки программного обеспечения и учитывать закономерности, диктуемые тем или иным набором библиотек подпрограмм, используемых при создании конкретного пакета прикладных программ. Эти методики должны содержать примерный перечень следов, характерных для конкретных следственных ситуаций.
  2. При паспортизации методик должны быть утверждены только общие правила исследования компьютерной информации с возможным перечнем рекомендованного инструментария, использование которого в дальнейшем не должно вызывать вопросов в суде, подвергающих сомнению объективность полученных результатов с использованием этих программ и оборудования.
  3. Частные методики не должны быть жесткими и должны позволять изменять область поиска и форму представления искомой информации.
  4. Применение методик потребует уровня знаний специалистов, обладающих профессиональными знаниями в области компьютерных технологий, следовательно, обучение этому роду судебных экспертиз должно вестись на основе уже имеющегося высшего математического или соответствующего физико-технического образования.
  5. Должно быть дано официальное толкование Закона, где была бы указана возможность производства комплексной экспертизы одним сотрудником, имеющим соответствующие разнородные специальные знания.

Автор:
А. В. Гортинский — Доцент Саратовского юридического института МВД России, кандидат юридических наук.

[references/]

Вам может также понравиться...