Исследование компьютерных баз данных

Особенности получения доказательственной информации при исследовании компьютерных баз данных

Анализируя различную информацию по компьютерной преступности, можно увидеть, что в настоящее время компьютерные преступления могут совершаться путем неправомерного доступа, копирования, модификации и удаления как служебной, так и прикладной информации, имеющей разнообразные смысловое содержание и внутренние форматы хранения. Но несмотря на значительный период развития компьютерных техники и технологий, до сих пор оперативные службы и следствие интересует в основном информация, имеющая формат текстовых и графических документов.

Используя стандартное программное обеспечение, электронные документы этих форматов можно однозначно воспроизвести в бумажном виде, напрямую воспринимаемом человеком. Но значительному объему криминалистически значимой информации, представленной в иной форме, не всегда уделяется должное внимание. И это объясняется, в частности, тем, что традиционное мышление следователя направлено на поиск документов, содержащих именно человеко-ориентированную информацию. Кроме этого, именно такие документы в настоящее время удобно укладываются в привычный процесс доказывания, в отличие от, например, файлов программ или баз данных.

Тем не менее основой любой автоматизированной информационно- поисковой системы, объектом ее обработки является база данных (БД). Безусловно, наиболее эффективным является использование БД при решении учетных и информационно-справочных задач, в рамках которых осуществляется обработка большого количества однотипной информации, ее систематизация и выборка по требуемым признакам.

Так, подавляющее большинство экономических, финансовых, кадровых, складских и других аналогичных задач решается именно при помощи операций с данными, хранящимися в компьютерных БД разного типа. Переход на безбумажные технологии обработки такой информации также стимулируется введением в повседневную практику электронных форм коммерции в Интернете и электронных форм отчетностей как внутри предприятий и учреждений, так и на государственном уровне. Да и в самом web-сервисе Интернет, изначально представлявшем собой слабо структурированную совокупность документов, в настоящее время все большее количество web-узлов используется для хранения информации именно базы данных.

Помимо этого, довольно часто можно встретить компьютерные БД в системах управления предприятием, при учете движения документов, в компьютерных записных книжках, органайзерах, при хранении служебной информации, с целью обеспечения работоспособности системного и прикладного программного обеспечения компьютера (пароли, настройки, реестры, журналы и т.п.).
Поэтому вполне естественно, что наряду с иными электронными документами БД все чаще выступают в качестве объектов криминалистического исследования, являются источником доказательственной информации различного рода.

Но не надо забывать и о том, что, являясь независимым от средств обработки хранилищем данных, база данных всегда предполагает наличие на компьютере комплекса специальных программных средств, ориентированных на обеспечение функций по созданию и управлению этими данными. Такой комплекс программ получил название системы управления базами данных (СУБД). Поэтому объектами преступного посягательства в данном случае могут выступать как собственно хранящаяся в БД прикладная и служебная информация, так и программы ее обработки, обычно включаемые в состав специализированной СУБД, решающей конкретную прикладную задачу.

Как и в отношении иной компьютерной информации, мотивы и цели совершения преступлений в отношении или с использованием компьютерных БД разнообразны. И это, прежде всего, корысть. Изменив текущее состояние банковского счета или количества товара на складе, можно получить денежные или материальные ценности; внеся искаженную информацию о доходе — уменьшить размер выплачиваемого налога; осуществив несанкционированный доступ к базе данных провайдера Интернета и узнав чужие коды доступа — воспользоваться ими для подключения к нему; продавая нелицензионные копии коммерческой базы данных — получать материальную выгоду и т.п.

Оставаясь, по сути, компьютерной информацией, компьютерные БД тем не менее имеют ряд особенностей в принципах хранения, доступа и обработки данных. И эти особенности определяют специфику исследования и использования компьютерных БД в судопроизводстве. К таковым, прежде всего, следует отнести следующие:

1. В базах данных информация хранится в рамках строго определенной структуры, описывающей логическую модель предметной области, ограниченной только существенными для решения конкретной задачи сведениями. При этом довольно часто для описания такой модели используется не единичный информационный объект, а несколько взаимосвязанных структурированных хранилищ данных, иногда располагающихся в различных файлах. Причем далеко не всегда эти связи указаны в БД и, соответственно, очевидны. В этом случае целостная оценка содержащейся в БД информации обычно не может быть произведена в ходе оперативных мероприятий либо следственного осмотра и требует привлечения специальных знаний в области информационных технологий. При этом и следователю, и специалисту необходимо учитывать тот факт, что наибольшее распространение в настоящее время получили реляционные БД (РБД). В таких базах данные хранятся в структурах, сопоставимых с прямоугольными таблицами, напоминающими традиционный журнальный учет. Описание структуры РБД в кодированном виде находится в самой базе, а для выяснения наличия и вида связей между отдельными таблицами приходится изучать принципы работы с соответствующей СУБД или обращаться к технической документации, сопровождающей данную базу. Поэтому при выемке и фиксации БД необходимо тщательно контролировать полноту изымаемых объектов — собственно баз данных, использованной для их обработки СУБД, соответствующей технической документации. Данное замечание имеет особую важность в тех случаях, когда приходится иметь дело с распределенными БД, в которых информация хранится на различных ЭВМ в компьютерной сети, а также с сетевыми БД и БД, используемыми в технологии «клиент-сервер». В последнем случае обычно пространственно разнесены база данных и обрабатывающая ее СУБД.
2. В отличие от текстовых и графических документов информация в БД типизирована, т. е. для хранения информации внутри одной структуры могут применяться различные способы еѐ кодирования, и, соответственно, в процессе осмотра, поиска и исследования должны быть использованы различные процедуры для еѐ чтения и обработки.
3. С точки зрения обнаружения и использования доказательственной информации еще одним существенным принципом организации работы с БД является независимость хранимых данных от программ их обработки. Поэтому при расследовании дел, связанных с использованием компьютерных БД, необходимо помнить о том, что для осуществления противоправных действий в отношении информации, хранимой в БД, может применяться как специализированное программное обеспечение, предназначенное для решения узконаправленной учетной задачи, так и стандартные СУБД общего назначения. И если в первом случае в составе специализированной СУБД в целях безопасности часто присутствуют процедуры, разграничивающие доступ к данным, запрещающие определенным категориям пользователей осуществлять несанкционированный доступ к информации, ведущие журналирование выполняемых операций над данными, то в случае применения СУБД общего назначения оставляемых специализированной СУБД следов практически не остается.

Говоря о субъекте преступного деяния в отношении информации, хранящейся в БД, следует отметить то, что при использовании средств специализированной СУБД им может быть любой человек, имеющий доступ к соответствующему программному обеспечению, обладающий определенным набором прав в информационной системе и не обладающий высокой квалификацией в информационных технологиях. Наиболее часто таковыми являются операторы ЭВМ, должностные и иные лица, имеющие доступ к ЭВМ. Способы сокрытия преступления в данном случае либо отсутствуют, либо таковыми могут быть вход в систему под чужим именем и паролем, возврат БД к первоначальному состоянию после осуществления непосредственного хищения товарно-денежных ценностей, нарушение работоспособности БД, СУБД или компьютера в целом.

Осуществление несанкционированных изменений в БД посредством иного программного обеспечения, безусловно, характеризуется высоким уровнем квалификации человека как в общих областях информационных технологий, так и в отношении устройства и принципов функционирования конкретной БД. Такими людьми могут быть программисты и администраторы БД, имеющие доступ непосредственно к файлам базы данных. Как правило, в компьютерной системе в этом случае должен присутствовать необходимый инструмент, например СУБД общего назначения, поддерживающая использующийся в БД формат записей, системы программирования с поддержкой доступа к БД, программы прямого редактирования содержимого файлов БД, подготовленные субъектом преступления исходные тексты либо скомпилированные программные модули, предназначенные для осуществления несанкционированного воздействия на БД в обход специализированной СУБД.

Часто компьютерные БД используются для фальсификации бухгалтерских или хозяйственных данных, движение которых учитывается параллельно в документах электронной и бумажной форм с несовпадающим содержанием. При осуществлении сговора с лицами, непосредственно ответственными за учет и отпуск материальных и финансовых ценностей, это позволяет осуществлять хищения.

Наибольшую сложность при выявлении и расследовании преступлений с использованием компьютерных баз данных вызывает задача установления времени совершения преступления, а также факта и содержания многократных модификаций конкретной записи БД. Эта проблема связана со способом хранения и обращения к записям компьютерных БД, приводящим к прямой перезаписи модифицируемых данных на устройстве хранения. То есть часто отсутствует возможность поиска следов во временных и удаленных файлах, что возможно при экспертном исследовании других видов компьютерных данных, например документов MS Word. Для решения указанной задачи зачастую приходится производить сравнительный анализ текущего состояния БД с созданной на ее основе бумажной документацией, файлами архивов БД, файлами резервных копий БД, создаваемых некоторыми СУБД при обновлении своей версии. Информация о времени и лице, производившем какие-либо действия с БД, может находиться как в журналах работы операционной системы, так и в журналах работы СУБД. Например, программный комплекс «1С Предприятие 7.7» ведет журнал учета операций, фиксирующий дату, время, тип операции, имя пользователя, реквизиты обрабатываемого документа, но не сохраняет сведения о содержании производимых изменений документа.

Таким образом, знание общих принципов теории БД, особенностей конкретной БД и СУБД при расследовании преступлений, связанных с необходимостью исследования компьютерных баз данных, часто является ключевым фактором для выявления максимально возможной доказательственной информации. Поэтому следственные действия в отношении БД и СУБД требуют обязательного привлечения специальных знаний не только в виде производства экспертного исследования, но и на всех предыдущих этапах работы с этими объектами, включая консультационную деятельность специалиста.

Автор:
А. Н. Нешко — Преподаватель Саратовского юридического института МВД России.