Судебная компьютерно-техническая экспертиза (СКТЭ) — достаточно новый род судебных экспертиз. Моментом ее становления как самостоятельного рода можно считать 2001—2002 гг., когда в свет вышла книга Е. Р. Россинской и А. И. Усова «Судебная компьютернотехническая экспертиза»1, а также А. И. Усовым2 была защищена докторская диссертация «Концептуальные основы судебной компьютерно-технической экспертизы». С этого времени разработки методического обеспечения производства экспертных исследований, доступного для экспертного и научного сообщества, в основном ведутся в соответствующих подразделениях при Минюсте, МВД, ФСКН России.

При этом необходимо отметить, что приоритетным направлением этих разработок является обеспечение производственного процесса, направленного на решение конкретных практических задач судебной информационно-компьютерной экспертизы. В связи с этим данный род судебных экспертиз в экспертных подразделениях МВД России получил название «компьютерная экспертиза», что связано с аналогичными исследованиями в области компьютерной информации за рубежом, которые имеют название «computer forensics». Однако необходимо отметить, что такое название используется там в основном в контексте информационной безопасности. У нас судебная компьютерно-техническая экспертиза рассматривается гораздо шире, в том числе экспертные исследования, связанные:

с установлением качества и работоспособности вычислительной техники, под которой понимаются не только сами компьютеры, но и их комплектующие, микропроцессорные устройства бытовой техники (пылесосы, стиральные машины, телевизоры и др.);

программными продуктами на разных стадиях их готовности к использованию;

такими сложными электронными устройствами, как мобильные телефоны, смартфоны, ряд разновидностей планшетов.

В связи с этим нельзя, на наш взгляд, сводить судебную компьютерно-техническую экспертизу к сугубо компьютерной (computer forensics), которая, без сомнения, является ее составляющей и занимает львиную долю исследований, проводимых по уголовным делам. Однако не стоит забывать и другие виды процессов, в которых интерес представляет анализ больших информационно-вычислительных систем, включающих аппаратное, программное, информационное и сетевое обеспечение. Такие исследования наиболее востребованы в арбитражных, гражданских и даже административных судопроизводствах. По этой причине постараемся привести актуализированную [1] [2] систему СКТЭ, которая уже переросла рамки рода инженерно-технических экспертиз.

В 2000 г. Е. Р. Россинская и А. И. Усов ввели классификацию СКТЭ, основанную на обеспечивающих компонентах компьютерного средства1. В соответствии с этим были выделены следующие виды судебных экспертиз: аппаратно-компьютерная, программно-компьютерная и информационно-компьютерная. Также был введен еще один вид экспертиз — компьютерно-сетевая. Появление данного вида базировалось на выделении в отдельную отрасль знаний и быстром развитии сетевых технологий.

Поддерживая подобное деление судебных компьютерно-технических экспертиз, обосновывая требования как к специальным знаниям, необходимым для их проведения, так и к экспертам, их проводящим, уже сами родоначальники этой экспертизы, а в дальнейшем и их последователи приводили виды специальных знаний, обусловливающих компетентность компьютерно-технического эксперта2. К ним были отнесены познания в областях: электроники и электротехники; сетей ЭВМ и средств телекоммуникаций; интернет-технологий; методов и средств защиты информации; основ алгоритмизации и программирования; баз и банков данных; периферийных устройств; схемотехники телекоммуникационных устройств; методов и средств экспертного исследования компьютерных средств и мобильных устройств.

При таком комплексном подходе предложенная видовая классификация, как представлялось, полностью учитывала различия не только в обеспечивающей компоненте вычислительной техники, но и в специальных знаниях, необходимых для исследования объектов, относящихся к различным видам судебной компьютерно-технической экспертизы.

Однако дальнейшее развитие информационно-цифровых технологий привело к появлению новых, нетипичных для компьютерной техники объектов, требующих познаний в основах не только программирования и вычислительной техники, но и ряда других направлений высоких технологий (радиотехники, связи и др.). К таким объектам уже сегодня можно отнести сотовые телефоны, смартфоны, цифровые микропроцессорные блоки бытовой техники (холодильни- [3] [4] ков, пылесосов, стиральных машин и др.). Сегодня все это уже стало объектами СКТЭ.

В связи с этим достаточно остро встает вопрос о расширении не только официально признанных экспертологией видов СКТЭ, но и ее перевода в разряд класса судебных экспертиз. Это объясняется как увеличением видов объектов, так и расширением задач, которые решаются при их исследовании. Еще одним очень важным моментом, требующим выведения судебной компьютерно-технической экспертизы за рамки класса инженерно-технических экспертиз и выделения в отдельный класс судебных экспертиз, является расширение и гибридизация методов, применяемых при исследовании уже имеющихся и новых появившихся объектов. К ним, без сомнения, можно причислить методы радиотехники, волновых технологий, квантовой механики.

Остановимся подробнее на требующей расширения классификации судебной компьютерно-технической экспертизы. Рассмотрим предлагаемую классификацию в целом, а также каждый из родов судебной компьютерно-технической экспертизы — как уже существующих, так и требующих введения.

Класс: судебная компьютерно-техническая экспертиза. Развивая ранее данное определение1, можно сказать, что предмет экспертизы составляют факты и обстоятельства, устанавливаемые на основе специальных знаний в области электроники, электротехники, информационных систем и процессов, радиотехники и связи, вычислительной техники и автоматизации, а также исследования закономерностей разработки и эксплуатации компьютерных средств, обеспечивающих реализацию информационных технологий, которые зафиксированы в материалах уголовного, гражданского дела, дела об административном правонарушении. «Информационные технологии — процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов»2.

Объекты — типичные компьютерные устройства (персональные компьютеры, периферийные устройства, сетевые аппаратные средства (серверы, рабочие станции, активное оборудование); средства сотовой связи и нетипичные компьютерные средства; компьютерные программы и информация. Кроме того, объектами СКТЭ являются [5] [6] материалы дел, в которых изложены технические характеристики и иная информация об обстоятельствах изменения свойств объектов (условия маркировки, эксплуатации, сертификаты, технические паспорта).

Род: экспертиза типичных компьютерных устройств; вид: судебная аппаратно-компьютерная экспертиза (САКЭ) — занимается исследованием аппаратно-компьютерных средств. Предметом этого рода экспертиз являются факты и обстоятельства, устанавливаемые на основе исследования закономерностей эксплуатации аппаратных средств компьютерной системы — материальных носителей информации о факте или событии гражданского, арбитражного либо уголовного дела.

Объектами САКЭ являются: персональные компьютеры (настольные, портативные); периферийные устройства; сетевые аппаратные средства (серверы, рабочие станции, активное оборудование, сетевые кабели и т. д.); интегрированные системы (органайзеры, пейджеры, мобильные телефоны и т. п.); встроенные системы на основе микропроцессорных контроллеров (иммобилайзеры, транспондеры, круиз-контроллеры и т. п.); любые комплектующие всех указанных компонент (аппаратные блоки, платы расширения, микросхемы и т. п.).

На сегодняшний день САКЭ решает следующий круг задач:

определение вида (типа, марки), свойств аппаратного средства, а также его технических и функциональных характеристик для решения определенных функциональных задач;

определение фактического состояния и исправности аппаратного средства, наличия физических дефектов;

определение структуры механизма и обстоятельства события по его результатам за счет использования выявленных аппаратных средств как по отдельности, так и в комплексе в составе компьютерной системы;

установление причинной связи между использованием конкретных возможностей аппаратных средств и результатами их применения;

определение условий (обстановки) применения аппаратных средств, восстановление хронологической последовательности их использования, места действия и функционирования.

Наиболее востребованными являются экспертизы установления фактического состояния и исправности аппаратного средства. Ярким и достаточно часто встречающимся примером подобной экспертизы может служить исследование компьютерной системы на предмет обнаружения причин неработоспособности. Так, в частности, к экспертам обратилась фирма С, которая заказала у фирмы N компьютеризацию производства торговых залов и склада, находящихся на значительном расстоянии друг от друга. Однако после установки системы и функционирования ее некоторое время было обнаружено, что в комплексе информационно-вычислительной системы не работают несколько терминалов операционного зала. Фирма С отказалась оплачивать последний этап произведенных работ и подала в арбитражный суд иск с требованием к фирме N восстановить работоспособность системы в целом за свой счет. В ходе проведенного исследования экспертами было установлено, что причиной отказа в работе системы стали не скрытые дефекты комплектующих, поставленных фирмой N, а неверная эксплуатация терминалов сотрудниками торгового зала, которые каждый раз после передачи смены и закрытия операционного дня на одном из терминалов полностью его обесточивали. Частые перепады энергопитания терминалов привели к их выходу из строя. В результате анализа судом сделанных экспертом выводов исковые требования фирмы С не были удовлетворены.

Род: судебная программно-компьютерная экспертиза (СПКЭ). Она проводится для осуществления экспертного исследования программного обеспечения. Предмет СПКЭ можно определить как факты и обстоятельства, имеющие значение для уголовного, гражданского или арбитражного дела, связанные с созданием, использованием или распространением компьютерных программ, устанавливаемые на основе специальных познаний в области информационно-вычислительной техники, программирования и алгоритмизации.

Поскольку компьютерные программы в процессе своего создания проходят три стадии: алгоритм, исходный тексты программы и сама программа, родовыми объектами судебной программно-компьютерной экспертизы являются исполняемые модули, пакеты, алгоритмы и исходные тексты программ.

Задачами СПКЭ являются:

индивидуальное отождествление оригинала программы (инсталляционной версии) и ее копии на носителях данных компьютерной системы;

установление групповой принадлежности программного обеспечения по общим признакам;

выявление частных признаков программы, позволяющих впоследствии идентифицировать ее авторство;

выявление частных признаков программы, позволяющих впоследствии выявить взаимосвязь с информационным обеспечением исследуемой компьютерной системы;

выявление частных признаков программы, позволяющих впоследствии выявить взаимосвязь с аппаратным обеспечением исследуемой компьютерной системы;

установление признаков контрафактности представленных на экспертизу информационно-программных продуктов;

определение основных характеристик операционной системы;

выявление и исследование функциональных свойств, а также настроек программного обеспечения, времени его инсталляции (установки на машинный носитель);

определение фактического состояния программного объекта, состава соответствующих ему файлов, их параметров (объем, дата создания, атрибуты), способов ввода-вывода информации, наличия или отсутствия каких-либо отклонений от типовых параметров (например, недокументированных функций);

диагностирование алгоритма программного продукта (представленного в виде как программного продукта, так и графического или текстового файла);

установление видов инструментальных средств, использованных при разработке программного продукта (алгоритма);

установление типов аппаратно-программных платформ, поддерживаемых программным продуктом;

установление первоначального состояния программы (например, при начальной инсталляции) и выявление возможных последующих изменений (обновлений, изменений состава);

определение целей и условий изменения свойств и состояния программного обеспечения (преднамеренное изменение каких-либо функций, конфигурирование на конкретную аппаратную среду);

установление способа осуществления изменений в программе (например, воздействие вредоносной программы, ошибки программной среды, несанкционированный доступ);

определение свойств и состояния программы по ее отображению в обрабатываемых данных (по содержанию служебных, системных файлов), по обеспечивающим аппаратным средствам;

выявление структуры механизма события по результатам работы программного обеспечения и в динамике;

установление причинной связи между действиями пользователя компьютерной системы в отношении программного обеспечения и наступившими последствиями.

Ярким примером проведения СПКЭ является исследование программных продуктов на наличие признаков контрафактности и установление единого источника происхождения программных продуктов. Последняя задача решается в рамках определения авторства программного продукта.

Так, например, в экспертную организацию обратился суд с определением о проведении экспертизы на предмет установления полного совпадения программных продуктов, написанных гражданином В., и программного продукта, распространяемого фирмой «SSSS». На исследование гражданином В. был представлен листинг программы, а торговая фирма представила исполняемый модуль. Для корректного сравнения эксперты привели объекты к единому виду. В результате последующего исследования было установлено, что программы имеют одинаковый алгоритм работы, одинаковые формы ввода и вывода информации, а также написаны на одном и том же языке программирования, однако была обнаружена незначительная разница в экранных формах. В итоге сделать однозначный вывод о том, что на исследование был представлен один и тот же программный продукт, экспертам не представилось возможным. Однако однозначно было установлено, что продукты имеют единый источник происхождения.

Род: судебная информационно-компьютерная экспертиза (данных) (СИКЭ) — проводится для исследования данных, являющихся информационной составляющей компьютерной системы. Целью СИКЭ являются поиск, обнаружение, анализ и оценка информации, подготовленной пользователем или порожденной (созданной) программами для организации информационных процессов в компьютерной системе.

К объектам СИКЭ относятся все файлы компьютерной системы, не являющиеся исполняемыми модулями и подготовленные пользователем или самой системой с точки зрения их информативности.

Судебная информационно-компьютерная экспертиза (данных) является наиболее распространенным родом компьютерно-технических экспертиз, проводимых в экспертных учреждениях РФ. К сожалению, приходится отмечать, что распространенность и широкое применение СИКЭ помимо положительных имеет и отрицательные моменты. В связи с широким кругом решаемых ею вопросов и огромным количеством информации, подлежащей переработке в процессе проведения исследования, она является одной из самых продолжительных по времени исполнения компьютерно-технических экспертиз. Кроме того, кажущаяся простота в исполнении СИКЭ влечет непродуманность, допускаемую заказчиком экспертизы в постановке вопросов эксперту. К примеру, часто встречается ситуация, когда вопрос звучит следующим образом: «Какая информация, имеющая отношение к представленному в фабуле делу, имеется на магнитном (оптическом) носителе информации?». Такая постановка ставит перед экспертом практически малоразрешимую задачу, поскольку требует помимо специальных знаний, которыми он владеет, еще и оценку доказательственного значения всей совокупности исследуемой им информации.

Род: судебная компьютерно-сетевая экспертиза (СКСЭ) — основывается на функциональном предназначении компьютерных средств, реализующих информационно-сетевые технологии. Она выделена в отдельный вид в связи с тем, что лишь использование специальных знаний в области сетевых технологий позволяет соединить воедино полученные объекты, сведения о них и эффективно решить поставленные экспертные задачи.

Судебная экспертиза этого рода производится для решения следующих задач:

определение свойств и характеристик аппаратного средства и программного обеспечения; установление места, роли и функционального предназначения исследуемого объекта в сети (например, для программного средства — в отношении к сетевой операционной системе; для аппаратного средства — в отношении к серверу, рабочей станции, активному сетевому оборудованию и т. д.);

выявление свойств и характеристик вычислительной сети, установление ее архитектуры, конфигурации, выявление установленных сетевых компонент, организации доступа к данным;

определение соответствия выявленных характеристик типовым для конкретного класса средств сетевой технологии; определение принадлежности средства к серверной или клиентской части приложений;

определение фактического состояния и исправности сетевого средства, наличия физических дефектов, состояния системного журнала, компонент управления доступом;

установление первоначального состояния вычислительной сети в целом и каждого сетевого средства в отдельности, возможного места покупки (приобретения), уточнение изменений, внесенных в первоначальную конфигурацию (например, добавление дополнительных сетевых устройств, устройств расширения на сервере либо рабочих станциях и проч.);

определение причин изменения свойств вычислительной сети (например, по организации уровней управления доступом; установление факта нарушения режимов эксплуатации сети, фактов (следов) использования внешних («чужих») программ и т. п.);

определение свойств и состояния вычислительной сети по ее отображению в информации носителей данных (например, RAID- массивы; жесткие диски, флоппи-диски, CD-ROM, ZIP-накопители и т. п.) и проч.;

определение структуры механизма и обстоятельства события в сети по его результатам (например, сценария несанкционированного доступа, механизма распространения в сети вредоносных функций ит. д.).;

установление причинной связи между использованием конкретных аппаратно-программных средств вычислительной сети и результатами их применения.

Ярким примером необходимости проведения СКСЭ является исследование сетевой компьютерной системы работы офиса, когда необходимо установить возможность внесения каких-либо изменений, связанных с работой бухгалтерии. Наиболее оптимальным будет проведение исследования внутри вычислительной среды. Работа с отдельными компьютерами в данном случае может не дать никакого результата, поскольку большинство сетевых систем подразумевают распределенное хранение информации и многоуровневый доступ к ней, а нарушение целостности системы может повлечь потерю значимых данных.

Говоря о СКСЭ, необходимо обратить внимание на то, что при ее производстве, в частности как это показано в примере выше, может встречаться неполнота проведения исследования. Это происходит в том случае, когда из поля зрения эксперта исключается ряд объектов, являющихся составной частью единого информационного процесса.

Примером может служить исследование сервера провайдера и конечного оборудования пользователя (компьютер) в случае установления возможности осуществления пользователем доступа к определенным интернет-ресурсам в определенное время. К сожалению, при этом из поля зрения эксперта выпадает одна важная составляющая, несущая криминалистически значимую информацию, а именно промежуточное оборудование. Обычно при проведении анализа данных, предоставленных провайдером, устанавливаются ip-адреса роутера, а не пользователя. Нередко это обусловлено тем, что у крупных провайдеров чаще всего не ведется учет действий оконечных пользователей, а ведется только учет обращений, идущих от общих роутеров, к которым возможно подключение от 5 до 100 оконечных пользователей. В связи с этим серьезной ошибкой эксперта будет являться исключение из исследования информации, содержащейся в роутере — промежуточном звене между провайдером и оконечным пользователем. Подобная ситуация, связанная с исключением части системы, может встречаться при проведении исследования, связанного с анализом больших взаимосвязанных объектов.

Род: экспертиза нетипичных компьютерных средств. Появление данного рода экспертизы стало необходимо в силу того, что сегодня большое количество техники не соответствует по функциональному назначению понятию «вычислительная техника» (ЭВМ)1, однако в своем составе имеет микропроцессорное устройство с встроенной программой, которая может обновляться.

Объекты — последние модели телевизоров, медиаплееров, стиральных машин, швейных машинок, фоторамок, цифровых фотоаппаратов и т. п., которые обладают некоторыми функциональными возможностями компьютера.

Аппаратное исследование целесообразно оставить в рамках экспертизы электробытовой техники, а в рамках компьютерно-технической экспертизы они рассматриваются только на основании некоторых функциональных возможностей компьютера, которыми обладают.

Возможные задачи:

определение функционального назначения и возможностей микропроцессорного блока;

определение работоспособности микропроцессорного блока;

определение информационного содержания.

Здесь надо отметить, что необходимость выделения данного рода компьютерно-технической экспертизы назрела, однако она требует более детальной проработки.

Род: экспертиза средств сотовой связи. Предмет — факты и обстоятельства, устанавливаемые на основе исследования закономерностей разработки и эксплуатации средств сотовой связи, обеспечивающих реализацию информационных процессов, которые зафиксированы в [7] материалах дела. Объектами выступают мобильные телефоны сотовой связи, смартфоны, коммуникаторы, IPhone, ряд планшетов.

Вид: аппаратно-компьютерная экспертиза (АКЭ), предметом которой являются факты и обстоятельства, устанавливаемые на основе исследования закономерностей эксплуатации аппаратной составляющей средств сотовой связи.

Объектами выступают аппаратные компоненты (чипы, микросхемы, SIM-карты) мобильных телефонов сотовой связи, смартфонов, коммуникаторов GPRS-навигаторов.

Задачами экспертизы являются:

определение работоспособности мобильного телефона;

определение дефектов мобильного телефона и причин их возникновения;

определение соответствия аппаратных параметров заявленным.

Вид: программно-компьютерная экспертиза (ПКЭ), предметом которой являются факты и обстоятельства, связанные с созданием, использованием и распространением программ для средств сотовой связи.

Объектом выступает программное обеспечение, реализующее функциональные возможности средства мобильной связи.

Задачами экспертизы являются:

определение общей характеристики и функционального предназначения программного обеспечения представленного объекта;

определение реквизитов разработчика, правообладателя представленного программного средства;

определение наличия на носителях данных программного обеспечения для решения конкретной (потребительской) задачи;

определение совместимости конкретного программного средства с представленной аппаратно-программной системой;

определить, имеются ли программы с признаками (указывается интересующий перечень конкретных признаков) вредоносности;

установить, имеет ли программное средство защитные возможности (программные, аппаратно-программные) от несанкционированного доступа и копирования;

выяснить, каким образом организованы защитные возможности программного средства.

Вид: информационно-компьютерная экспертиза (ИКЭ). Предметом являются фактические данные (сведения) о содержимом памяти телефонных аппаратов, модулей идентификации абонента (SIM-карт), дополнительных носителей данных, используемых совместно с мобильными телефонами (карт памяти, USB-накопителей, персональных компьютеров), исследуемые и устанавливаемые на основе специальных знаний в области радиотехники, информатики и вычислительной техники, информационной безопасности, систем управления и связи1.

Объектами являются файлы, подготовленные с использованием указанных выше и других программных средств.

Задачами экспертизы являются:

определение данных, находящихся в памяти мобильного телефона (наименование или модель), SIM-карты и карты памяти;

восстановление информации, находящейся в представленных на исследование мобильных телефонах и SIM-картах без PIN-кодов;

определение взаимосвязи информации, находящейся в представленных на исследование мобильных телефонах и SIM-картах без PIN-кодов, — в одном телефоне и различных телефонах2.

Из представленной классификации видно, что для полноценного исследования новых объектов необходимы применение ряда методов и средств, являющихся составляющей специальных знаний в области радиотехники и связи, специальные знания аппаратной составляющей средств сотовой связи, связанные с созданием, использованием и распространением программ для средств сотовой связи и микропроцессорных устройств бытового назначения; специальные знания в области разработки и эксплуатации средств сотовой связи, обеспечивающих реализацию информационных процессов, и особенностей использования инструментальных средств и аппаратно-программных комплексов.

На сегодняшний день наиболее развитым из новых направлений СКТЭ с точки зрения методического обеспечения можно считать экспертизу средств сотовой связи. В ней имеются уже разработанные методики по установлению работоспособности аппаратных средств (РФЦСЭ при Минюсте России), а также несколько инструментальных методик по исследованию информационного содержания: «XRY COMPLETE» (производитель — шведская компания Micro Systema- tion (MSAB)); «Мобильный криминалист» (ЗАО «Оксиджен Софтвер» (Россия)); «MOBILedit Forensic CONPELSON Labs» (США); «Celle- brite’s UFED» (компания Cellebrite (США)). На наш взгляд, именно в этом направлении будет в ближайшее время развиваться компьютерно-техническая экспертиза. Остальные же направления находятся в стадии разработки. [8] [9]

Если же рассматривать развитие судебной экспертизы более масштабно, то мы считаем, что стремительное внедрение информационных технологий практически во все сферы человеческой жизни — от производства до здоровья — потребует развития методик решения комплексных задач практически для всех уже существующих видов экспертиз, что неизбежно повлечет появление новых специальных знаний, находящихся на стыке информационных технологий и различных видов науки и практики.

[1] См.: Российская Е. Р., Усов А. И. Судебная компьютерно-техническая экспертиза.

[2] См.: Усов А. И. Концептуальные основы судебной компьютерно-технической экспертизы: дис. ... д-ра юрид. наук. М., 2002.

[3] См.: Россинская Е. Р., Усов А. И. Классификация компьютерно-технической экспертизы // Уголовный процесс и криминалистика на рубеже веков. М., 2000.

[4] См. работы Е. Р. Россинской, А. И. Усова, А. А. Васильева, А. Н. Яковлева, Г. В. Семенова, Т. И. Абдурогимовой, А. И. Семикаленовой и др.

[5] См.: Российская Е. Р., Усов А. И. Классификация компьютерно-технической экспертизы и ее задачи.

[6] Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (ст. 2).

[7] См., например: ГОСТ 16325-88* «Машины вычислительные электронные цифровые общего назначения. Общие технические требования» (утв. постановлением Госстандарта СССР от 9 сентября 1988 г. № 3128); ГОСТ 15971-90 «Системы обработки информации. Термины и определения» (утв. постановлением Госстандарта СССР от 26 октября 1990 г. № 2698).

[8] См.: Русских Д. Л., Сыромятников С. В., Баталин С. В., Михайлов И. Ю. Методические рекомендации по криминалистическому исследованию мобильных телефонов сотовой связи в органах по контролю за оборотом наркотических средств и психотропных веществ / под ред. А. М. Черенкова. М., 2008. С. 5.

[9] Там же. С. 521, 522.