Для участия в осмотре специалиста следует привлекать тогда, когда ис-
следование самого объекта, изменений в нем, сопряженных с совершением преступления, а также обнаружение и фиксация следов и вещественных доказательств подразумевают использование либо знаний, умений, которых у следователя нет, либо технических средств, по применению которых следователь не имеет необходимых умений или использование которых в ходе осмотра отвлечет его от выполнения иных, таких же важных и неотложных при осмотре, действий.
Вкачестве основной формы применения специальных знаний при расследовании и судебном рассмотрении уголовных дел выступает судебная экспер-
тиза.
Вид судебной экспертизы, в процессе которой применяются специальные знания в области компьютерной техники и информационных технологий, начал становление примерно с середины 1990-х, когда начали проводиться отдельные уникальные исследования. Появление нового рода судебной экспертизы было вызвано растущими потребностями следственной практики.
На начальной стадии развития отдельные ученые выделяли два вида такой экспертизы:
1) техническая экспертиза компьютеров и их комплектующих, ориентированная на исследование конструктивной специфики и состояния компьютера, его периферийных устройств, магнитных носителей, компьютерных сетей, а также причин появления сбоев в работе перечисленного оборудования;
2) экспертиза данных и программного обеспечения, производимая для исследования данных, которые хранятся в компьютере и на других носителях информации [64, с. 31].
Наиболее актуальной стала классификация видов компьютерно-техниче-
ской экспертизы, разработанная Е. Р. Россинской и А. И. Усовым, выделившими четыре вида:
1) аппаратно-компьютерная экспертиза;
2) программно-техническая экспертиза;
3) информационно-компьютерная экспертиза (данных); 4) компьютерно-сетевая экспертиза [41, с. 121].
По мнению отдельных исследователей [40, с. 78; 27, с. 52], данная классификация принята за основу при описании судебных экспертиз, назначаемых для исследования средств компьютерной техники и информации, большинством ученых, занимающихся изучением вопросов борьбы с преступностью в области компьютерной информации.
Помимо того, что в ходе расследования при назначении определенного вида экспертизы необходимо четко понимать ее задачи, важно правильно задавать вопросы эксперту, а точнее их формулировать (правильно заданный вопрос – это 90 % правильного ответа).
Всилу нехватки определенных специальных знаний это вызывает у следователей (дознавателей) определенные сложности, поэтому рассмотрим
требования, предъявляемые к вопросам.
Вопросы, поставленные перед экспертом должны быть:
– краткими и конкретными;
56
–не допускающими двоякого толкования;
–в случае поисковых запросов – не содержащими орфографических или иных ошибок (опечаток), неточно заданными.
Так, если поисковый запрос подразумевает указание фамилии, имени, отчества или названия организации, то логично приводить данные как в полном, так и в сокращенном виде (например: Иванов Александр Иванович и Иванов А. И., отдел технического сопровождения «Спектр» и ОТС «Спектр»);
–не носящими справочный или правовой характер (например, некорректны вопросы типа «Каково назначение данного устройства?», «Является ли представленный объект игровым (лотерейным) аппаратом?» и т. п.);
–относящимися к компетенции эксперта в компьютерно-технической области;
–могущими быть решенными с помощью оборудования, имеющегося
враспоряжении экспертно-криминалистического центра.
В. И. Вараксин в этой связи отмечает, что одной из ошибок следователя является назначение экспертизы без предварительной консультации с эк-
спертным учреждением. Как следствие, производство экспертизы ведется не в полном объеме или оказывается невозможным либо лицо, осуществляющее экспертное исследование, может выйти за пределы своей компетенции и представить ошибочное (необоснованное) заключение [47, с. 78].
Для правильной постановки вопроса до назначения экспертизы желательно провести консультацию со специалистом (экспертом), кратко разъяснив ему обстоятельства совершения преступления и описав объекты исследования, в некоторых случаях для получения данных о следовой картине логично провести предварительное изучение информации, содержащейся на объекте, и уже по полученным результатам строить цепочки вопросов, конкретизировать их.
Предметом судебной компьютерно-технической экспертизы являются факты, события и обстоятельства, устанавливаемые в процессе исследования информационных процессов компьютерных средств: создания, сбора, обработки, накопления, хранения, поиска, распространения, использования информации.
Родовой (видовой) объект судебной компьютерно-технической экспертизы – определенная категория технических, аппаратных и программных средств, обладающих общими признаками, относящихся к компьютерным средствам и предназначенных для автоматической обработки электронной информации.
Кчислу аппаратных объектов компьютерно-технической экспертизы относятся:
– персональные компьютеры, ноутбуки, планшеты;
– периферийные устройства (любые дополнительные и вспомогательные устройства, которые подключаются к компьютеру для расширения его функциональных возможностей);
– сетевые аппаратные средства (серверы, рабочие станции, активное оборудование, сетевые кабели и т. д.).
Кчислу интегрированных систем (органайзеров) относятся:
57
–телефоны и смартфоны (карты памяти различных классов, видов и поко-
лений);
–магнитные носители информации (накопители на жестком диске, USB-, флеш-накопители и т. д.);
–платежные банковские карты с магнитной полосой или чипом;
–встроенные системы на основе микропроцессорных контроллеров (иммобилайзеры, транспондеры, круиз-контроллеры и т. п.);
–любые комплектующие всех вышеуказанных компонентов. Программные объекты компьютерно-технической экспертизы:
–системное программное обеспечение;
–вспомогательные программы-утилиты;
–средства разработки и отладки программ;
–прикладное программное обеспечение.
Информационные объекты (данные):
–текстовые и графические документы, изготовленные с помощью компьютерных средств;
–данные в форматах мультимедиа;
–информация в форматах баз данных и других приложений, имеющая прикладной характер.
В качестве общих задач, решаемых компьютерно-технической экспертизой, рассматриваются:
–установление свойств и вида представления информации в компьютерной системе при ее непосредственном исследовании;
–определение фактического состояния информации, выяснение наличия или отсутствия в ней отклонений от типового объекта экспертизы (например, имеются ли вредоносные включения, нарушение целостности и т. д.);
–установление первоначального состояния информации на носителе данных;
–определение условий изменения свойств исследуемой информации (например, модификация или внесение изменений в содержимое файла либо в запись на магнитный носитель пластиковой карты и т. п.);
–определение механизма и обстоятельств события (дела), установление отдельных этапов (стадий, фрагментов) события по имеющейся на носителе данных информации или ее копиям (например, подготовка нескольких копий делового письма и его рассылка факсимильной программой в разные адреса);
–определение времени (периода), хронологической последовательности воздействия на информацию (например, установление стадий подготовки изображений денежных знаков, оттисков печатей т. п.);
–установление причинно-следственной связи между имевшими место манипуляциями с компьютерной информацией и наступившими последствиями (например, связи между удалением информации и нарушением работоспособности компьютерной системы).
К специальным задачам компьютерно-технической экспертизы можно отнести отождествление содержания файла с данными в копии исследуемого файла либо в представленном документе (в том числе в бумажной копии) в комплексе
58
с технико-криминалистическим исследованием документов). Групповая принадлежность может устанавливаться при поиске общего источника происхождения информации на носителях данных компьютерной системы, а также при определении класса, вида и типа программного обеспечения, при помощи которого были порождены (созданы) исследуемые данные.
Основные вопросы, решаемые компьютерно-технической экспертизой:
1)исправны ли представленные на исследование объекты;
2)имеются ли на жестких дисках персональных компьютеров и на других представленных на исследование носителях информации файлы (фрагменты файлов, в том числе и среди удаленных), содержание которых полностью или частично идентично представленному на экспертизу объекту;
3)имеется ли на жестких дисках персонального компьютера и на других представленных на исследование носителях информации программное обеспечение, с помощью которого могли быть изготовлены представленные объекты;
4)имеются ли на жестких дисках персонального компьютера и на других представленных на исследование носителях информации какие-либо программные средства для несанкционированного доступа и расшифровки учетных данных для соединения с сетью Интернет;
5)имеется ли на жестких дисках персонального компьютера программное обеспечение для подключения и работы в сети Интернет, и если да, то имеются ли следы соединений и работы в Интернете, каковы дата и время создания соединений;
6)имеются ли следы соединения и работы в сети Интернет с использованием учетных данных ********** (логины и пароли для соединения с сетью Интернет, установленные в ходе следствия);
7)каковы учетные данные (логины и пароли) для соединения с сетью Интернет на представленных на исследование носителях информации;
8)имеются ли на жестких дисках персональных компьютеров и на других представленных на исследование носителях информации вредоносные программы и средства удаленного администрирования, сессии и log-файлы их работы;
9)соответствуют ли представленные на исследование сотовые телефоны требованиям сертификатов соответствия Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации;
10)каковы регистрационные данные программного обеспечения, установленного на жестких дисках представленного на исследование персонального компьютера, имеются ли признаки его контрафактности;
11)имеются ли признаки контрафактности программных продуктов, содержащихся на представленных носителях (компакт-диски различных форматов, гибкие магнитные диски и т. п.) [38, с. 63].
В зависимости от следственной ситуации, которая складывается на мо-
мент расследования, типовые вопросы, выносимые на разрешение компью-
терно-технической экспертизы, логично разделить на четыре условных блока.
59
1. Поиск информации.
Вданном случае речь идет о поиске на компьютерном носителе файлов, документов, изображений, сообщений и иной информации, относящейся к делу,
втом числе в неявном (удаленном, скрытом, зашифрованном) виде. При назначении экспертизы рекомендуется не конкретизировать вид и содержание искомой информации. Эксперт вполне может самостоятельно решить, относится ли тот или иной текст, изображение или программа к делу. Типовой задачей поиска информации на носителе является поиск файлов, содержащих информацию, сходную или аналогичную представленной в документе (на изображении).
Типовые вопросы:
1) имеются ли на представленном носителе информации файлы (указать какие: тип файла, расширение, имя файла и т. д.);
2) имеются ли на представленном носителе файлы, содержащие ключевые слова (ключевые фразы): (указать, какие именно, например, название фирмы, ФИО и т. п.);
3) какова дата последней модификации файла, каковы свойства документа, содержащегося в обнаруженном файле;
4) содержатся ли на представленном носителе информации информационные базы программы (указать какой именно, например «1С»);
5) какая информация содержится на представленной банковской карте с магнитной полосой (чипом);
6) имеются ли на представленном носителе информации файлы, содержащие изображения (указать, какие именно);
7) имеются ли на представленном носителе информации файлы, содержащие изображения, сходные или аналогичные представленным образцам.
2. Исследование следовой картины.
Вданном случае речь идет о поиске цифровых следов различного рода действий, совершаемых с компьютерной информацией. Вопросы лучше формулировать не про следы, а про действия. Когда компьютер используется как средство доступа к информации, находящейся в ином месте, и когда доступ к информации осуществляется на этом компьютере, в обоих случаях остаются так называемые цифровые следы – следы в виде компьютерной информации. Компьютерная экспертиза может определить, когда, при каких условиях и каким образом осуществлялся доступ. Кто его осуществлял, компьютерная экспертиза определить не может. Лишь в некоторых случаях эксперту удается обнаружить некоторые сведения о пользователе компьютера.
Действия, которые оставляют следы на компьютере или на носителе информации, включают: доступ к информации, ее просмотр, ввод, изменение, удаление, любой другой вариант обработки или хранения данных, а также удаленное управление этими процессами.
Типовые вопросы:
1) имеются ли следы работы пользователя в сети Интернет. Если да, то за какие периоды времени;
2) имеются ли следы редактирования, создания, распечатки документа (предоставляется документ или его распечатка);
60