Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатика
ИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханика
ОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторика
СоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансы
ХимияЧерчениеЭкологияЭкономикаЭлектроника

Експертиза комп'ютерів, носіїв і технологій

Судова і слідча практика свідчить про залучення у сферу кри­мінального судочинства таких специфічних об'єктів, як комп'ю­терна техніка і програмні продукти. Найчастіше ці об'єкти висту­пають як інструменти здійснення злочинів (підробка документів, ухиляння від сплати податків, виготовлення фальшивих грошей, приховування слідів злочину тощо). Однак не менш поширеними є злочини, при здійсненні яких об'єктом посягання стає інформа­ція, що знаходиться в комп'ютері, на якому-небудь носії, чи саме програмне забезпечення. Крім того, магнітні носії комп'ютерів нерідко є місцем зберігання, чи навіть приховування, інформа­ції, що являє інтерес для розслідування злочину.

Об'єктами судової експертизи є комп'ютерна техніка, носії ін­формації (дискети, жорсткі диски, CDR-диски, флеш-карти то­що), периферійні пристрої (принтери, сканери, звукові карти), мережа INTERNET, програмні продукти.

Судова експертиза комп'ютерної техніки і програмних продук­тів вирішує такі задачі:

— встановлення технічного стану комп'ютерної техніки;

— виявлення інформації, яка міститься на комп'ютерних но­
сіях, та визначення її цільового призначення;

— встановлення відповідності програмних продуктів певним
параметрам;

— встановлення авторства програмного продукту;

— визначення вартості програмного продукту та комп'ютерної
техніки.

На вирішення судової експертизи комп'ютерної техніки і про­грамних продуктів можуть бути поставлені такі питання:

1) Комп'ютер якої моделі надано на дослідження? Якими є тех­
нічні характеристики його системного блока і периферійних при­
строїв?

2) Які технічні несправності має даний комп'ютер або його
окремі блоки та пристрої, і як ці несправності впливають на ро­
боту комп'ютера (блока, пристрою)?

3) Чи не проводилась адаптація комп'ютера для роботи з ним
специфічних користувачів (особи з поганим зором, лівші та ін.)?

4) Чи міститься на даному носії якась інформація, і якщо так,
яке її цільове призначення?

5) Чи міститься на даному носії інформація, яка має ключові
слова «...»?


 

6) Чи міститься на даному носії інформація, в якій є дані про
вказані в постанові підприємства (фірми, організації)?

7) Коли, ким були створені досліджувані файли?

8) Чи є дані програмні продукти ліцензійними копіями стан­
дартних систем, чи вони є оригінальними розробками?

9) У який період часу створені файли, та яка дата останнього
редагування?

 

10) Чи не вносились у програми даного системного продукту які-
небудь корективи, що змінювали виконання певних операцій?

11) Чи містилася на носії інформація, що була знищена, якщо
так, то яка саме?

12) 3 якого з наданих комп'ютерів здійснювався вихід у мере­
жу INTERNET, за якими адресами, в який період часу?

13) Яким є механізм утрати інформації з локальних обчислю­
вальних мереж, глобальних мереж і розподілених баз даних?

14) Чи можна за допомогою даного програмного продукту ре­
алізувати функції, передбачені технічним завданням на його роз­
робку?

15) Чи містяться на досліджуваному комп'ютері програмні
продукти, які можуть використовуватися для злому пароля та
несанкціонованого доступу до комп'ютерних мереж?

16) Чи можливе вирішення певного завдання за допомогою да­
ного програмного продукту?

17) Яким є рівень професійної підготовки в галузі програму­
вання і роботи з комп'ютерною технікою особи, яка виконала да­
ні дії з комп'ютером і програмним забезпеченням?

18) Чи відповідає стиль програмування досліджуваного про­
грамного продукту стилю програмування певної особи?

19) Чи відповідають прийоми і засоби програмування, що за­
стосовувалися при створенні досліджуваного програмного про­
дукту, прийомам і засобам, якими користується даний програ­
міст?

20) Чи написана дана комп'ютерна програма певною особою
(вирішується разом з експертом у галузі авторознавства)?

 

21) Якою є вартість програмного забезпечення (на час його
придбання, вилучення, проведення експертизи)?

22) Якою є вартість окремих модулів, що входять до складу
програмного продукту?

23) Якою є вартість комп'ютерної техніки (окремих комплекту­
ючих) на час придбання (вилучення, проведення експертизи)?

Проблема визначення об'єктів судової експертизи комп'ютер­ної техніки і програмних продуктів полягає в тому, що у зв'язку

11 — 4-2531



Розділ 2


ОКРЕМІ ВИДИ ЕКСПЕРТИЗ



 





ДЇРЖЛИНАЛОДЛЇКОЄА АДМІНІСТРАЦІЯ УКРАЇНИ ПОДАТКОВА ПОЛІЦІР

СЛУЖБОВЕ ПОСВІДЧЕН Серія** №0038'8

'tepCViJL 199fp

дІгждвнАтод*т<ов* «дммсттмде ухміий

ДЕ'ЖАвИА ПОДАТКОМ АДМвИСТМШЙ ГІСМИП 'ПОДАТКОВА ПОЛІЦІЙ, СЛУЖБОВЕ! ПОСВІДЧЕННЯ

Рис. 47 а; б. Зображення в іншому файлі того ж комп'ютера.

державна податки» *дміиісграц>й жраіцй даод?*а,

6 4 S

Рис. 49. Фрагменти текстів службових посвідчень з фаль- лрадаиллтxsa^hc. ™~*^~ш— ~.~ щуванням шляхом поетапного НОСТЄЙ, необхіднопаМЯТаТИ, ЩО ДЄЯК1 редагування за допомогою гра- злочинні операції, здійснювані за допо-
фічного редактора.

з бурхливим розвитком комп'ютерної техніки їх перелік щодня зростає. З'являються нова комп'ютерна техніка, периферійні пристрої і прилади, що виготовлені і працюють на основі техно­логій побудови персональних комп'ютерів. У деяких випадках об'єктом даної судової експертизи виступають пристрої, що не є комп'ютерами в класичному розумінні цього слова, наприклад електронні касові апарати.


ДЕРЖАВНА ПОДАТКОВА АДМВШЗДШР 3*»ЭД*1 ДАТКОЙАПОЛІЦІЙ

'"";,.ГЮЛЛТКОвА80|1Н$11»; '.^-i.

Таким чином, об'єктами судової експертизи комп'ютерної тех­ніки і програмних продуктів є комп'ютерна техніка, периферія (сканери, принтери, плотери тощо), різноманітні носії інформації (магнітні, оптичні, лазерні тощо), програмне забезпечення, інша інформація, що знаходиться на носіях і в запам'ятовуючих при­строях (постійних та оперативних), а також: органайзери, пей­джери, мобільні телефони й інші пристрої, що виготовлені і пра­цюють на основі технологій побудови персональних комп'ютерів. До цієї ж категорії належать модеми і пристрої, що підтримують роботу комп'ютерних систем (свічі, хаби тощо). Паперові доку­менти, виготовлені за допомогою друкувальних пристроїв, є об'єктом комплексної експертизи, при якій загальне дослідження здійснюють експерт у галузі комп'ютерної техніки й експерт у га­лузі технічного дослідження документів.

Рис. 45. Зображення службового посвідчення у файлі комп'ютера.

Рис. 46. Посвідчення, яке, за підозрою, використовувалось для виготовлення фальшивого.

І4Амиюгі*


Рис. 48. Результат комп'ютерної підробки.

При розслідуванні злочинів, вчине­них з використанням комп'ютерної техніки, слідчий стикається з нетради­ційними речовими доказами злочин­ної діяльності. Тому для використання фактичних даних, отриманих у ході розслідування таких злочинів, базова юридична підготовка слідчого може виявитися недостатньою. Отже, необ­хідно залучати фахівця для проведен­ня слідчих дій.

Розслідуючи злочини, пов'язані з роз­краданням коштів і матеріальних цін-



Розділ 2


ОКРЕМІ ВИДИ ЕКСПЕРТИЗ



 


могою комп'ютерів, залишають сліди на магнітних носіях інфор­мації (вінчестері, дискетах, стрічках). Своєчасне виявлення ком­п'ютерних засобів і правильне їх вилучення обумовлює ефектив­ність наступної експертизи комп'ютерної техніки і програмних продуктів, яка призначається з метою виявлення інформації, що зберігається на магнітних носіях, і виявлення, таким чином, певних слідів злочинної діяльності.

Слідчі дії для вилучення інформації, що міститься на машин­них носіях, і самих машинних носіїв з інформацією потребують ретельної, добре спланованої підготовки, обумовленої особливос­тями комп'ютерної техніки.

Приміщення, де розташовані комп'ютерні засоби, і вони самі, як правило, знаходяться під надійною електронною охороною. Недостатні знання учасників слідчої дії про захист комп'ютерної інформації від несанкціонованого доступу й особливості кон­струкції апаратних засобів, які використовуються для цього, мо­же призвести до непоправних наслідків. При неправильних діях інформація на вінчестері може бути знищена автоматично при розкритті корпуса комп'ютера, відкритті кімнати, в якій знахо­диться комп'ютер, чи за інших обставин, визначених керівником підприємства (фірми) чи особи, яка відповідає за комп'ютерне устаткування. На практиці дуже часто застосовуються різні спо­соби знищення важливої інформації, що зберігається в комп'юте­рі: дистанційно (наприклад, по локальній чи глобальній мережі (INTERNET); шляхом натискання на тривожну кнопку; переда­чею повідомлення по телефону на пейджер, що знаходиться в комп'ютері; передачею повідомлення на мобільний телефон, включений в архітектуру комп'ютера; використанням пристрою типу «брелок» — передавача для відключення охоронної сигна­лізації автомобіля тощо.

Виявлення, огляд і вилучення комп'ютерних засобів у ході до-судового слідства та судового розгляду можна поділити на попе­редній, основний і заключний етапи.

Попередній етап включає такі дії.

1. У керівника підрозділу, персоналу, який відповідає за екс­плуатацію комп'ютерної техніки, або іншого співробітника орга­нізації, фірми необхідно взяти пояснення, а при порушеній кри­мінальній справі допитати і з'ясувати такі обставини:

— чи заблоковане приміщення, в якому знаходиться комп'ю­тер, електронною системою допуску або охоронною сигналіза­цією, і які технічні засоби забезпечення використовуються для цього. Оскільки систему блокування вибирає користувач, то тре-


ба взяти документацію і відповідний електронний або фізичний пароль (код), а в деяких випадках — і додатковий пристрій (елек­тронний ключ) для доступу до об'єктів, що зберігаються. При цьо­му необхідно пам'ятати, що електронне блокування приміщення з'єднано з системою блокування самознищення важливої інфор­мації в комп'ютері, яка працює від вбудованого в комп'ютер дже­рела живлення. При порушенні встановленого порядку входу в приміщення спрацьовує захист і комп'ютер знищує інформацію на вінчестері, навіть якщо він відключений від живлення. Уста­нови, підприємства й організації, що використовують подібні си­стеми знищення важливої інформації на комп'ютері, обов'язково мають надійно заховану щоденну копію цієї інформації або вико­ристовують «дзеркальний» вінчестер. Вміст останнього є точною копією основного вінчестера, зміни якого відслідковуються що­миті. «Дзеркальний» вінчестер розташований на певній відстані від основного під особливою охороною;

— які є засоби охоронної сигналізації і забезпечення безпеки
комп'ютерної інформації, де знаходиться відповідна документація;

— чи встановлені в комп'ютері спеціальні засоби для знищення
інформації у разі спроби несанкціонованого доступу до неї; з'ясу­
вати місце перебування організації, що встановила цю систему;

— чи необхідний пароль (додатковий пристрій — електронний
ключ) для доступу до інформації, що знаходиться в комп'ютері,
або окремих її частин, правила його використання; чи призво­
дить порушення цих правил до псування інформації; чи з'єднані
(включені) комп'ютери в локальну мережу установи, організації,
підприємства (фірми), об'єднання, яка схема локальної мережі,
основні правила її безпечного використання.

 

2. Необхідно пам'ятати, що при правильно організованій робо­
ті комп'ютерних засобів наприкінці робочого дня здійснюється
обов'язкове резервне копіювання даних зі складанням повного
протоколу роботи комп'ютера за день. Тому в осіб, відповідаль­
них за резервне копіювання і збереження протоколів, з'ясовуєть­
ся місцезнаходження відповідних документів і копій на магніт­
них носіях.

3. Якщо комп'ютер підключений до мережі INTERNET, то необ­
хідно вилучити договори у керівника підприємства (фірми), де
буде проводитись огляд, негайно зв'язатися з мережним адміні­
стратором — провайдером вузла, до якого підключена дана уста­
нова, підприємство (організація), і організувати за його допомо­
гою вилучення і збереження електронної інформації, що нале­
жить даному підприємству або надійшла на його адресу.


166


Розділ 2


ОКРЕМІ ВИДИ ЕКСПЕРТИЗ


 


4. Вилучити і вивчити документацію, пов'язану із забезпеченням на підприємстві (в установі, організації) безпеки комп'ютерної ін­формації, яка цікавить слідство. Вилучити протоколи і резервні ко­пії вінчестера. За наявності протоколів можна встановити вилуче­ну (стерту) інформацію на вінчестері (магнітному носії).

Основний етап огляду починається з усунення блокування вхід­них дверей. Для цього необхідно:

— наказати співробітникам фірми (підприємства) відійти від
комп'ютерних засобів і розмістити їх у приміщенні так, щоб ви­
ключалась можливість використання будь-яких засобів зв'язку. У
процесі огляду не приймати допомоги від співробітників фірми
(підприємства);

— вилучити у персоналу пейджери, електронні записні книж­
ки, ноутбуки, індивідуальні пристрої відключення сигналізації
автомобіля тощо;

— зафіксувати інформацію на екранах працюючих комп'юте­
рів шляхом фотографування (детальна зйомка) або складання
креслення;

— виключити живлення міні-АТС і опечатати її (якщо така є);

— скласти схему підключення зовнішніх кабелів до комп'ютер­
них пристроїв і позначити кабелі для правильного відновлення
з'єднання в майбутньому;

— ізолювати комп'ютери від усякого зв'язку ззовні: модемної,
локальної комп'ютерної мережі, радіозв'язку;

— найбільш ефективним способом відключити всі комп'ютерні
засоби від джерел живлення (у тому числі і від джерел безперебій­
ного живлення);

— екранувати системний блок комп'ютера, помістивши його у
спеціальний футляр.

Фахівець оперативно виконує дії відповідно до плану, розроб­леному спільно зі слідчим. Зовнішнім оглядом встановлюються специфічні обставини, що стосуються комп'ютерних засобів, да­ні про які заносяться до протоколу огляду комп'ютерного засобу: наявність системного блоку, монітора, клавіатури, принтера, мо­дему, безперебійного джерела живлення, акустичних систем то­що, периферійних і мультимедійних пристроїв.

За розташуванням пристроїв на передній панелі системного блоку фахівець визначає наявність і види пристроїв збереження інформації (дисководи), а також пристроїв зчитування кредит­них карт, парольних карт тощо, особливої уваги потребує наяв­ність невідомих йому пристроїв. По можливості, він визначає присутність пристрою для знищення інформації.


За розташуванням розйомів на задній панелі системного визначаються наявність і види вбудованих пристроїв, мережної плати, модему (чи був він підключений до телефонної чи іниІ0ї лінії зв'язку), наявність послідовних і паралельних портів, чи буди вони підключені до зовнішніх ліній зв'язку.

Заключна стадія огляду — це складання протоколу, схем, пла-нів. Кабелі, що відключаються, підлягають маркуванню з метою відновлення з'єднання при проведенні експертизи комп'ютерної техніки і програмних продуктів. Екранований системний блок комп'ютера, принтер, виявлені дискети, магнітні стрічки й інціі носії комп'ютерної інформації (наприклад роздруківки) опечату­ють і вилучають.

Істотне значення має упакування об'єктів дослідження, що на­правляються на експертизу. Воно повинно гарантувати ливість їх пошкодження як у процесі збереження, так і під транспортування.

Погоджені дії слідчого і фахівця з огляду і вилучення речовцх доказів з місця події дозволять уникнути необоротних втрат і^_ формації, що міститься на машинних носіях, і забезпечать най­більш достовірні дані для проведення наступної судової експер­тизи комп'ютерної техніки і програмних продуктів.

Якщо зазначених заходів не було вжито, виникають серйозні підстави сумніватися у вірогідності висновків експерта.


Дата добавления: 2015-07-15; просмотров: 146 | Нарушение авторских прав


Читайте в этой же книге: Експертиза слідів знарядь злому й інструментів | Експертиза транспортних засобів і утворених ними слідів | Експертиза слідів зубів | Встановлення цілого за частинами | Експертиза інших слідів | Експертиза вузлів і петель | Судово-балістична експертиза | Експертиза холодної зброї | Ототожнення особи за ознаками зовнішності | Фототехнічна експертиза |
<== предыдущая страница | следующая страница ==>
Експертиза матеріалів та засобів відеозвукозапису| Експертиза голограм

mybiblioteka.su - 2015-2024 год. (0.023 сек.)