Вопрос 3. Объекты судебной компьютерной экспертизы

При производстве СКЭ традиционно выделяют родовой и конкретный объекты исследования.

Родовой (видовой) объект СКЭ – определенная категория предметов, обладающих общими признаками и относящихся к компьютерным средствам. Одной из важных особенностей объекта СКЭ является его составной характер.

Конкретный объект СКЭ – определенное компьютерное средство, исследуемое в процессе данной экспертизы, обладающее признаками индивидуальности и неповторимости, что и определяет специфику конкретного исследования.

Система объектов СКЭ по классификационному основанию видового деления выглядит следующим образом:

1. Класс аппаратные объекты, включающий в себя виды:

• персональные компьютеры (настольные, портативные);

• периферийные устройства;

• сетевые аппаратные средства (серверы, рабочие станции, активное оборудование, сетевые кабели и т. д.);

• интегрированные системы (органайзеры, пейджеры, мобильные телефоны и т.п.);

• встроенные системы на основе микропроцессорных контроллеров (иммобилайзеры, транспондеры, круиз-контроллеры и т. п.);

• любые комплектующие всех указанных компонентов (аппаратные блоки, платы расширения, микросхемы и т. п.).

2. Класс программные объекты, включающий в себя виды:

• системное программное обеспечение (подвид: операционная система; вспомогательные программы-утилиты; средства разработки и отладки программ; служебная системная информация);

• прикладное программное обеспечение: подвид приложения общего назначения (текстовые и графические редакторы, системы управления базами данных, электронные таблицы, редакторы презентаций и т. д.) и подвид приложения специального назначения (для решения задач в определенной области науки, техники, экономики и т. д.).

3. Класс информационные объекты (данные), включающий в себя виды:

• текстовые и графические документы, изготовленные с использованием компьютерных средств;

• данные в форматах мультимедиа;

• информация в форматах баз данных и других приложений, имеющая прикладной характер и пр.

Здесь будет интересно знать типичное распределение класса аппаратных объектов, представляемых на СКЭ:

• системный блок — 65%;

• принтер —31%;

• модем, сетевая плата — 1%;

• устройство чтения, записи CD и DVD дисков — 1%;

• иное — 2%.

Весьма распространены накопители на оптических дисках.

Вопрос 4. Вопросы, выносимые при назначении экспертизы

Примерный перечень вопросов, выносимых на компьютерно-техническую экспертизу при расследовании неправомерного доступа к охраняемой законом компьютерной информации – к электронным номерам, находящимся на SIM-картах сотовых телефонов стандарта GSM.

Вопросы, относящиеся к системным блокам компьютера:

1. Какие программы установлены в системных блоках компьютеров?

2. Какие соединения с сетью Интернет настроены: через какого провайдера, под какими логинами и паролями?

3. С помощью какой программы велась работа в сети Интернет?

4. Какие почтовые программы имеются в системных блоках компьютеров?

5. Имеется ли на ЭВМ информация об адресах, с которыми велась переписка по электронной почте, каково содержание писем?

6. Имеются ли в системных блоках компьютеров программы для ЭВМ, позволяющие несанкционированно копировать, блокировать, модифицировать, уничтожать компьютерную информацию, находящуюся на машинном носителе, в том числе на сим-карте операторов сотовой связи?

7. Имеются ли в памяти ЭВМ следы неправомерного доступа к информации, содержащейся в памяти компьютеров, представленных на исследование?

8. Имеются ли на компьютерах установленные программы работы с периферийным оборудованием, подключаемым к СОМ-порту или USB-порту компьютера, позволяющие считывать и записывать информацию на сим-карты операторов сотовой связи?

9. Возможно ли восстановить текстовые файлы на жестком диске компьютера за период работы компьютера (указать какой)?

10. Имеются ли в ЭВМ данные, в том числе и в восстановленных файлах, полученные с SIM-карт сотовых операторов связи?

Вопросы, относящиеся к сканерам SIM-карт (устройства для считывания информации с сим-карт):

1. Что представляют из себя данные устройства и из каких компонентов они состоят?

2. Возможно ли подключение данных устройств к компьютеру, если да, то каким образом?

3. Какие функции выполняют данные устройства?

4. Имеются ли в памяти представленных на экспертизу системных блоков компьютера программное обеспечение, позволяющее функционировать данным устройствам, если да, то какое именно?

5. Возможно ли при помощи представленных на экспертизу системных блоков компьютера и данных устройств осуществлять считывание, копирование и модификацию информации, содержащейся на SIM-картах?

Вопросы, относящиеся к сим-картам:

1. Работоспособны ли представленные SIM-карты?

2. К какому виду носителей относятся представленные на исследование SIM-карты?

3. Какая информация содержится на SIM-карте «Мегафон» №8970102022100483546?

4. Имеет ли информация, содержащаяся на SIM-карте №…., различия или сходства с информацией, содержащейся на SIM-карте «Мегафон» №8970102022100483546. Если да, то какие?

Примерный перечень вопросов, выносимых на компьютерно-техническую экспертизу при расследовании неправомерного доступа к охраняемой законом компьютерной информации — имени пользователя и паролю для подключения к глобальной компьютерной сети Интернет:

1. Какие настройки для подключения к сети Интернет имеются на представленном компьютере?

2. Сколько удаленных соединений настроено на представленном на исследовании компьютере?

3. Какие номера телефонов использовались для подключения к сети Интернет с представленного на исследование компьютера?.

4. Какие имена регистрации в сети — «логины» и пароли использовались для подключения к сети Интернет (в том числе и стертые)?

5. С помощью каких программ велась работа в сети Интернет с данных компьютеров?

6. Каково время начала, окончания и общее время подключений к сети Интернет с персонального компьютера, представленного на исследование (по каждому логину и паролю отдельно)?

7. Имеются ли в системном блоке персонального компьютера, представленном на исследование, следы неправомерного доступа?

8. Какой аппаратный адрес имеют сетевые карты, находящиеся в компьютере, представленном на исследование? Изменялись ли аппаратные адреса?

9. Имеются ли на жестких дисках представленного на исследование компьютера исходные тексты, а также готовые к использованию экземпляры каких-либо вредоносных программ, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, если имеются, то когда и кем они могли быть созданы, модифицированы и использованы?

10. Имеется ли на жестком диске представленного на исследование компьютера другая информация, относящаяся к осуществлению при помощи данных ЭВМ несанкционированного доступа к данным ЭВМ или сетям ЭВМ?

Примерный перечень вопросов, выносимых на компьютерно-техническую экспертизу при расследовании создания, распространения, использования вредоносных программ:

1. Какие программные продукты установлены на жестком диске представленного системного блока компьютера?

2. Являются ли программные продукты оригинальными?

3. Имеются ли на жестком диске системного блока файлы, исходные тексты, а также готовые к использованию экземпляры каких-либо вредоносных программ, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, если имеются, то когда и кем они могли быть созданы, модифицированы, инсталлированы и использованы?

4. Каково функциональное предназначение вредоносных программ, алгоритм их работы и принцип действия?

5. Имеются ли в составе вредоносных программ функции, предназначенные для несанкционированного копирования, модификации или уничтожения компьютерной информации?

6. Предполагает ли действие данных программ предварительное уведомление собственника компьютерной информации или другого добросовестного пользователя о характере действия данных программ, а также получение его согласия на реализацию программами своего назначения?