- •Тезисы лекции
- •Вопрос 1. Формы использования специальных познаний при расследовании уголовных дел в сфере компьютерной информации
- •Вопрос 2. Судебная компьютерная экспертиза и ее задачи
- •Вопрос 3. Объекты судебной компьютерной экспертизы
- •Вопрос 4. Вопросы, выносимые при назначении экспертизы
- •Вопрос 5. Оценка заключения эксперта
Вопрос 3. Объекты судебной компьютерной экспертизы
При производстве СКЭ традиционно выделяют родовой и конкретный объекты исследования.
Родовой (видовой) объект СКЭ – определенная категория предметов, обладающих общими признаками и относящихся к компьютерным средствам. Одной из важных особенностей объекта СКЭ является его составной характер.
Конкретный объект СКЭ – определенное компьютерное средство, исследуемое в процессе данной экспертизы, обладающее признаками индивидуальности и неповторимости, что и определяет специфику конкретного исследования.
Система объектов СКЭ по классификационному основанию видового деления выглядит следующим образом:
1. Класс аппаратные объекты, включающий в себя виды:
персональные компьютеры (настольные, портативные);
периферийные устройства;
сетевые аппаратные средства (серверы, рабочие станции, активное оборудование, сетевые кабели и т. д.);
интегрированные системы (органайзеры, пейджеры, мобильные телефоны и т.п.);
встроенные системы на основе микропроцессорных контроллеров (иммобилайзеры, транспондеры, круиз-контроллеры и т. п.);
любые комплектующие всех указанных компонентов (аппаратные блоки, платы расширения, микросхемы и т. п.).
2. Класс программные объекты, включающий в себя виды:
системное программное обеспечение (подвид: операционная система; вспомогательные программы-утилиты; средства разработки и отладки программ; служебная системная информация);
прикладное программное обеспечение: подвид приложения общего назначения (текстовые и графические редакторы, системы управления базами данных, электронные таблицы, редакторы презентаций и т. д.) и подвид приложения специального назначения (для решения задач в определенной области науки, техники, экономики и т. д.).
3. Класс информационные объекты (данные), включающий в себя виды:
текстовые и графические документы, изготовленные с использованием компьютерных средств;
данные в форматах мультимедиа;
информация в форматах баз данных и других приложений, имеющая прикладной характер и пр.
Здесь будет интересно знать типичное распределение класса аппаратных объектов, представляемых на СКЭ:
системный блок — 65%;
принтер —31%;
модем, сетевая плата — 1%;
устройство чтения, записи CD и DVD дисков — 1%;
иное — 2%.
Весьма распространены накопители на оптических дисках.
Вопрос 4. Вопросы, выносимые при назначении экспертизы
Примерный перечень вопросов, выносимых на компьютерно-техническую экспертизу при расследовании неправомерного доступа к охраняемой законом компьютерной информации – к электронным номерам, находящимся на SIM-картах сотовых телефонов стандарта GSM.
Вопросы, относящиеся к системным блокам компьютера:
Какие программы установлены в системных блоках компьютеров?
Какие соединения с сетью Интернет настроены: через какого провайдера, под какими логинами и паролями?
С помощью какой программы велась работа в сети Интернет?
Какие почтовые программы имеются в системных блоках компьютеров?
Имеется ли на ЭВМ информация об адресах, с которыми велась переписка по электронной почте, каково содержание писем?
Имеются ли в системных блоках компьютеров программы для ЭВМ, позволяющие несанкционированно копировать, блокировать, модифицировать, уничтожать компьютерную информацию, находящуюся на машинном носителе, в том числе на сим-карте операторов сотовой связи?
Имеются ли в памяти ЭВМ следы неправомерного доступа к информации, содержащейся в памяти компьютеров, представленных на исследование?
Имеются ли на компьютерах установленные программы работы с периферийным оборудованием, подключаемым к СОМ-порту или USB-порту компьютера, позволяющие считывать и записывать информацию на сим-карты операторов сотовой связи?
Возможно ли восстановить текстовые файлы на жестком диске компьютера за период работы компьютера (указать какой)?
Имеются ли в ЭВМ данные, в том числе и в восстановленных файлах, полученные с SIM-карт сотовых операторов связи?
Вопросы, относящиеся к сканерам SIM-карт (устройства для считывания информации с сим-карт):
Что представляют из себя данные устройства и из каких компонентов они состоят?
Возможно ли подключение данных устройств к компьютеру, если да, то каким образом?
Какие функции выполняют данные устройства?
Имеются ли в памяти представленных на экспертизу системных блоков компьютера программное обеспечение, позволяющее функционировать данным устройствам, если да, то какое именно?
Возможно ли при помощи представленных на экспертизу системных блоков компьютера и данных устройств осуществлять считывание, копирование и модификацию информации, содержащейся на SIM-картах?
Вопросы, относящиеся к сим-картам:
Работоспособны ли представленные SIM-карты?
К какому виду носителей относятся представленные на исследование SIM-карты?
Какая информация содержится на SIM-карте «Мегафон» №8970102022100483546?
Имеет ли информация, содержащаяся на SIM-карте №…., различия или сходства с информацией, содержащейся на SIM-карте «Мегафон» №8970102022100483546. Если да, то какие?
Примерный перечень вопросов, выносимых на компьютерно-техническую экспертизу при расследовании неправомерного доступа к охраняемой законом компьютерной информации — имени пользователя и паролю для подключения к глобальной компьютерной сети Интернет:
Какие настройки для подключения к сети Интернет имеются на представленном компьютере?
Сколько удаленных соединений настроено на представленном на исследовании компьютере?
Какие номера телефонов использовались для подключения к сети Интернет с представленного на исследование компьютера?.
Какие имена регистрации в сети — «логины» и пароли использовались для подключения к сети Интернет (в том числе и стертые)?
С помощью каких программ велась работа в сети Интернет с данных компьютеров?
Каково время начала, окончания и общее время подключений к сети Интернет с персонального компьютера, представленного на исследование (по каждому логину и паролю отдельно)?
Имеются ли в системном блоке персонального компьютера, представленном на исследование, следы неправомерного доступа?
Какой аппаратный адрес имеют сетевые карты, находящиеся в компьютере, представленном на исследование? Изменялись ли аппаратные адреса?
Имеются ли на жестких дисках представленного на исследование компьютера исходные тексты, а также готовые к использованию экземпляры каких-либо вредоносных программ, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, если имеются, то когда и кем они могли быть созданы, модифицированы и использованы?
Имеется ли на жестком диске представленного на исследование компьютера другая информация, относящаяся к осуществлению при помощи данных ЭВМ несанкционированного доступа к данным ЭВМ или сетям ЭВМ?
Примерный перечень вопросов, выносимых на компьютерно-техническую экспертизу при расследовании создания, распространения, использования вредоносных программ:
Какие программные продукты установлены на жестком диске представленного системного блока компьютера?
Являются ли программные продукты оригинальными?
Имеются ли на жестком диске системного блока файлы, исходные тексты, а также готовые к использованию экземпляры каких-либо вредоносных программ, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, если имеются, то когда и кем они могли быть созданы, модифицированы, инсталлированы и использованы?
Каково функциональное предназначение вредоносных программ, алгоритм их работы и принцип действия?
Имеются ли в составе вредоносных программ функции, предназначенные для несанкционированного копирования, модификации или уничтожения компьютерной информации?
Предполагает ли действие данных программ предварительное уведомление собственника компьютерной информации или другого добросовестного пользователя о характере действия данных программ, а также получение его согласия на реализацию программами своего назначения?