- установление причинной связи между имевшими место манипуляциями с компьютерной информацией и наступившими последствиями (например, связь между удалением информации и нарушением работоспособности компьютерной системы);
- диагностирование возможных последствий по совершенному действию и возможности его совершения.
К задачам информационно-компьютерной экспертизы можно отнести также отождествление содержания файла с данными в копии исследуемого файла, либо в представленном документе (в том числе в бумажной копии в комплексе с технико-криминалистическим исследованием документов). Групповая принадлежность может устанавливаться при поиске общего источника происхождения информации на носителях данных компьютерной системы, а также при определение класса, вида и типа программного обеспечения, при помощи которого были порождены (созданы) исследуемые данные.
Одним из примеров решения задач экспертного исследования компьютерных данных является экспертиза по выявлению фактов и обстоятельств образования недостачи в одной крупной торговой компьютерной фирме. Поскольку вещественными доказательствами являлись компьютеры, на которых велись дела фирмы, решением задачи обнаружения криминалистически значимой информации и обеспечения доступа к ней занимался эксперт СКТЭ. На разрешение экспертизы был поставлен вопрос: «Какая информация по реализации товарно-материальных ценностей за период с марта по август 2000 года имеется на представленных компьютерах?».
В ходе предварительно проведенного допроса сетевого администратора данной фирмы было установлено, что информация по реализации товарно-материальных ценностей представлена следующими реквизитами: номер товарного чека, наименование товара, цена в долларах и рублях, количество, сумма по чеку, менеджер, дата и хранится в сводных таблицах помесячно. При производстве экспертизы эксперт СКТЭ исследовал все файлы, имеющиеся на жестких дисках представленных компьютеров, на предмет наличия в них вышеперечисленной информации за период с марта по август 2000 г. Все найденные файлы оказались электронными таблицами, подготовленными средствами Microsoft Excel, что соответствовало показаниям сетевого администратора. Для дальнейшего анализа реализации товарно-материальных ценностей полученная информация была распечатана и передана эксперту судебно-бухгалтерской экспертизы, участвующему в данной комплексной экспертизе.
Другим примером информационно-компьютерного исследования является экспертиза, проведенная по уголовному делу, возбужденному по факту причинения смертельного ранения генеральному директору одного из его водителю. На экспертизу была представлена личная электронная записная книжка «PalmV», принадлежащая директору. На разрешение эксперта выносился вопрос: «Какая информация, введенная пользователем, имеется в электронной записной книжке?».
При диагностировании объекта экспертизы эксперт установил, что представленная электронная записная книжка относится к классу карманных персональных компьютеров. В ней реализованы функции планировщика дня, списка задач, адресной книги, блока заметок, калькулятора, а также возможность работы с электронной почтой. Эксперт также установил, что для синхронизации данных между электронной записной книжкой и настольным компьютером необходимо наличие разъема-подставки, который и был представлен следователем дополнительно по запросу эксперта (такой разъем входил в комплект электронной записной книжки).
Далее электронная книжка была подключена к настольному компьютеру эксперта с заранее установленным специальным программным обеспечением (Palm Desktop), и информация из нее скопирована. При изучении скопированных данных информация, введенная пользователем, оказалась в следующих разделах: адресная книга, список задач, блок заметок, планировщик дня. Эти данные сыграли не последнюю роль в раскрытии и расследовании вышеупомянутого преступления.
Задачи экспертного исследования вычислительной сети
и ее компонентов
Для компьютерно-сетевой экспертизы характерна следующая группа экспертных задач:
- определение свойств и характеристик аппаратного средства и программного обеспечения; установление места, роли и функционального предназначения исследуемого объекта в сети (например, для программного средства в отношении к сетевой операционной системе; для аппаратного средства - отношение к серверу, рабочей станции, активного сетевого оборудования и т. д.);
- выявление свойств и характеристик вычислительной сети, установление ее архитектуры, конфигурации, выявление установленных сетевых компонентов, организации доступа к данным;
- определение соответствия выявленных характеристик типовым для конкретного класса средств сетевой технологии; определение принадлежности средства к серверной или клиентской части приложений;
- определение фактического состояния и исправности сетевого средства, наличия физических дефектов, состояния системного журнала, компонент управлением доступа;
- становление первоначального состояния вычислительной сети в целом и каждого сетевого средства в отдельности, возможного места покупки (приобретения), уточнение изменений, внесенных в первоначальную конфигурацию (например, добавление дополнительных сетевых устройств, устройств расширения на сервере либо рабочих станциях и пр.);
- определение причин изменения свойств вычислительной сети (например, по организации уровней управления доступом; установление факта нарушения режимов эксплуатации сети; фактов (следов) использования внешних («чужих») программ и т. п);
- определение свойств и состояния вычислительной сети по ее отображению в информации носителей данных (например, жесткие диски, флэш-карты, CD, DVD, ZIP-накопители и т. п.) и пр.;
- определение структуры механизма и обстоятельства события в сети по его результатам (например, сценария несанкционированного доступа, механизма распространения в сети вредоносных функций и т. д.);
- установление причинной связи между использованием конкретных аппаратно-программных средств вычислительной сети и результатами их применения.
Как видно, задачи судебной компьютерно-сетевой экспертизы охватывают практически все основные задачи основных видов СКТЭ, т. е. решение аппаратных, программных и информационных аспектов установления фактов и обстоятельств по делам. Тем не менее, следует еще раз подчеркнуть, что лишь использование специальных познаний в области сетевых технологий позволяет соединить воедино полученные объекты, сведения о них и эффективно решить поставленные экспертные задачи.
В связи с этим весьма показательным является пример проведения судебной экспертизы так называемых программных закладок, предоставляющих возможность несанкционированного доступа по сети к данным чужих компьютеров. Суть экспертного исследования программных закладок заключается в установлении признаков несанкционированных действий (т. е. возможности выполнения своих действий с информацией на ЭВМ без уведомления и согласия пользователя данной ЭВМ), а также выявление адресов, по которым производится несанкционированная пересылка тех или иных данных с ЭВМ.
Наиболее достоверным методом проведения подобной экспертизы является метод эксперимента в среде вычислительной сети. В случае решения задач экспертизы программных закладок относительно сети Интернет (при постановке вопросов относительно механизма действий программ-«троянцев») требуется создание некой модели сети Интернет (точнее, ее сегмента). Эта модель обычно состоит из четырех компьютеров, имитирующих основных участников сетевого взаимодействия в Интернете. Первый компьютер имитирует компьютер какого-либо физического лица или организации, подключенных к сети Интернет через определенного провайдера. Вторым имитируемым компьютером является сервер провайдера Интернет. Именно с его помощью определяются Интернет-адреса других компьютеров в сети, к которым обращается программная закладка. Третий компьютер имитирует работу сервера доменной системы имен (DNS). Четвертым компьютером имитируется компьютер-получатель, по адресу которого программная закладка передает те или иные данные.
Таким образом, только использование в ходе производства экспертизы указанного аппаратно-программного комплекса позволяет провести достоверное исследование программных закладок, которые отправляют по электронной почте (e-mail) регистрационные данные пользователей для доступа к сети Интернет, и получить соответствующие категорические выводы.
В целом по задачам СКТЭ необходимо отметить, что они могут быть детализированы также и для каждого этапа экспертного исследования (стадии экспертизы).
Экспертные задачи СКТЭ конкретизируются при производстве определенной экспертизы. Они не тождественны вопросам, сформулированным в постановлении (определении). Иногда несколько вопросов, поставленных перед экспертом, направлены, по существу, к решению одной экспертной задачи. И, наоборот, один вопрос может требовать решения двух и более самостоятельных задач. Особо следует обратить внимание на то, что на современном методическом и организационном уровне развития СКТЭ может быть разрешен практически только небольшой ряд указанных задач. Большинство же экспертных задач могут разрешаться пока только в частных случаях, либо при условии развития экспертных методов и средств в перспективе. В каждой конкретной следственной ситуации рекомендуется предварительно согласовать круг задач и вопросов, ставящихся на разрешение эксперта.
Понятие объекта судебной компьютерно-технической экспертизы. Классификация объектов
Понятие объекта экспертизы является одним из основных в экспертной практике, поскольку с ним непосредственно связано разграничение отдельных видов экспертиз и определения пределов компетенции эксперта. Объекты, исследуемые экспертом СКТЭ, отличаются не только по своим природным и техническим характеристикам, функциональному назначению, но и по процессуальному положению, и для значительного их числа (компьютер - программа - данные) оно определено недостаточно четко и по-разному в различных правовых актах.
Переходя к рассмотрению объектов СКТЭ, необходимо указать, что в общем случае под объектами судебной экспертизы в литературе подразумеваются в основном вещественные доказательства. В принципе, экспертному исследованию могут подвергаться не только конкретные предметы, но и различные процессы (события, явления, действия), на основании изучения которых эксперт признает другие факты, являющиеся предметом экспертизы. Таким образом, объектом экспертизы являются те источники сведений об устанавливаемых фактах, те носители информации, которые подвергаются экспертному исследованию и посредством которых эксперт познает обстоятельства, относящиеся к предмету экспертизы.
Однако необходимо отметить, что помимо определения объекта судебной экспертизы, данного в информационном аспекте, в юридической литературе он рассматривается еще и в другом аспекте - процессуальном. В этом смысле объектом являются материалы дела, посредством изучения которых познается предмет экспертизы, в процессе решения задач устанавливаются обстоятельства дела. С ним связан правовой режим получения, хранения и исследования объектов экспертизы. В соответствии с вышеизложенным, отметим, что единство содержания и процессуальной формы наиболее точно отражают понятие объекта судебной экспертизы.
Система объектов СКТЭ по классификационному основанию видового деления выглядит следующим образом.
Класс «аппаратные объекты» включает виды:
- персональные компьютеры (настольные, портативные); периферийные устройства; сетевые аппаратные средства (серверы, рабочие станции, активное оборудование, сетевые кабели и т. д.); интегрированные системы (органайзеры); пейджеры; мобильные телефоны и т. п.); встроенные системы на основе микропроцессорных контроллеров (иммобилайзеры, транспондеры, круиз-контроллеры и т. п.); любые комплектующие всех указанных компонентов (аппаратные блоки, платы расширения, микросхемы и т. п.).
Указанные виды могут охватывать различные сочетания подвидов. В криминалистическом аспекте наиболее важен подвид запоминающих устройств и носителей данных - он включает все известные на момент проведения экспертизы электронные носители данных: микросхемы памяти, магнитные и лазерные диски, магнитооптические диски, магнитные ленты и карты и т. п.
Класс «программные объекты» включает виды:
- системное программное обеспечение (подвид: операционная система; вспомогательные программы - утилиты; средства разработки и отладки программ; служебная системная информация); прикладное программное обеспечение, подвид приложения общего назначения (текстовые и графические редакторы, системы управления базами данных, электронные таблицы, редакторы презентаций и т. д.) и подвид приложения специального назначения (для решения задач в определенной области науки, техники, экономики и т. д.).
Класс «информационные объекты» включает виды:
- текстовые и графические документы, изготовленные с использованием компьютерных средств; данные в форматах мультимедиа; информация в форматах баз данных и других приложений, имеющая прикладной характер, и пр.
Одной из первичных важнейших характеристик (признаков) аппаратных объектов СКТЭ при решении задач диагностирования является интерфейс, посредством которого выявленные (либо не выявленные) в ходе следственных действий накопители данных и другие электронные компоненты (блоки, платы расширения) подключены (подключались либо могли подключаться) к представленной на экспертизу компьютерной системе.
Общие представления о компьютерных средствах как объектах судебной компьютерно-технической экспертизы
На нынешнем этапе развития экспертных исследований типичными объектами судебной компьютерно-технической экспертизы является ряд компьютерных средств, составляющих наибольшую долю в общем перечне объектов - вещественных доказательств по делам рассматриваемых категорий. Это следующие средства:
Аппаратные объекты: системный блок IBM совместимого компьютера; жесткий HDD с файловой системой FAT (32), интерфейсом SATA (IDE); другие накопители данных - CD, DVD , магнитооптические диски; сервер (на платформе Intel-процессоров либо совместимых с ними); принтеры (при производстве комплексной экспертизы совместно с технической экспертизой документов).
Программные объекты: системное программное обеспечение - ОС MS DOS, Windows XP, Vista,W7; W8; прикладное программное обеспечение - MS Office XP, Vista , Photoshop и т. д.
Информационные объекты (данные) - файлы, подготовленные с использованием указанных выше и других программных средств - с расширениями текстовых форматов (txt, doc), графических форматов (bmp, jpg, tif), форматов баз данных (dbf, mdb), электронных таблиц (xls, cal) и др.
Таким образом, представляемый перечень объектов экспертизы - компьютерных средств подготовлен на основе анализа экспертной практики, наличия методических разработок по их проведению и подлежит постоянному уточнению по мере развития теоретических, методических и практических основ экспертной деятельности в сфере современных информационных технологий.
2. Заключение эксперта и оценка его результатов следователем и судом
Заключение эксперта является одним из видов доказательств, перечисленных в уголовно-процессуальном законе (п. 3 ч. 2 ст. 74 УПК РФ). Никакие доказательства не имеют заранее установленной силы, и поэтому заключение эксперта не обладает какими-либо преимуществами перед другими доказательствами. Более того, заключение эксперта не является обязательным для лица, производящего дознание, следователя, прокурора и суда и подлежит проверке и оценке на общих для доказательств основаниях.
В статье 204 УПК РФ подробно регламентируется содержание заключения эксперта. В законе указано, что после производства необходимых исследований эксперт составляет заключение, в котором должно быть указано: когда, где, кем (фамилия, имя и отчество, образование, специальность, стаж работы, ученая степень и (или) звание, занимаемая должность), на каком основании была произведена экспертиза, кто присутствовал при производстве экспертизы, какие материалы эксперт использовал, какие исследования произвел, какие вопросы были поставлены эксперту и его мотивированные ответы. Если при производстве экспертизы эксперт установит обстоятельства, имеющие значение для дела, по поводу которых ему не были поставлены вопросы, он вправе указать на них в своем заключении.
Заключение эксперта состоит из трех частей: вводной, исследовательской и выводов.
Во вводной части указываются:
- номер и дата составления заключения, должность эксперта, наименование экспертно-криминалистического подразделения, фамилия, имя, отчество эксперта, образование, специальность, стаж экспертной работы;
- основания для производства экспертизы (постановление следователя, лица, производящего дознание, прокурора или определение суда);
- номер уголовного дела или дела об административном правонарушении, краткое изложение обстоятельств совершенного преступления или административного поступка, относящихся к предмету экспертизы;
- вид экспертизы;
- перечень объектов, представленных на экспертизу;
- перечень вопросов, поставленных перед экспертом;
- при повторной экспертизе в вводной части заключения дополнительно указываются сведения об эксперте, проводившем первичную экспертизу, выводы первичной экспертизы, а также мотивы назначения повторной экспертизы.
В исследовательской части заключения излагается процесс исследования:
- краткое описание исследуемых объектов;
- примененные при исследовании криминалистические средства, методы и полученные результаты;
- проведенные эксперименты (их цель, содержание, условия, количество, устойчивость полученных результатов, использованные для их фиксации средства и методы);
- выявленные в результате исследования существенные признаки и свойства объекта;
- способы и приемы сравнительного исследования выявленных признаков, результаты оценки установленных между ними совпадений и различий.
При проведении повторной экспертизы указывается, подтверждает ли она выводы первичной; в случае расхождения объясняются причины расхождения.
Выводы эксперта формулируются на основе всестороннего, глубокого и объективного анализа и синтеза результатов, полученных при исследовании вещественных доказательств. В выводах в краткой, четкой, не допускающей различных толкований форме излагаются ответы на поставленные перед экспертом вопросы. На каждый вопрос ответ должен быть дан по существу, а если сделать это не удается, следует указать на невозможность решения вопроса.
К заключению эксперта прилагаются оставшиеся после исследования вещественные доказательства, образцы, а также фототаблицы, схемы, графики и другие иллюстративные материалы, подтверждающие выводы эксперта. В тексте исследовательской части заключения на них делаются ссылки. Каждое приложение сопровождается пояснительными надписями и подписывается экспертом.
Помимо заключения эксперта результатом назначения экспертизы может быть и составление документа о невозможности дачи заключения.
Практикой выработан перечень оснований, при которых подготавливается документ о невозможности дачи заключения:
1. Если поставленный вопрос выходит за пределы специальных знаний эксперта. Перед экспертом иногда ставятся вопросы, относящиеся к компетенции следователя и суда. Иногда вопросы адресуются эксперту не той специальности.
2. Ввиду непригодности или недостаточности представленных эксперту материалов для дачи заключения. Это выражается чаще всего в малом количестве образцов для сравнения или малой информативности идентифицируемого объекта (например, след пальца представляет фрагмент, в котором не отобразилось необходимое количество особенностей строения папиллярного узора).
3. Современное состояние науки и экспертной практики не позволяет решить вопрос, поставленный перед экспертом (например, пока не существует методики определения давности выстрела из огнестрельного оружия свыше нескольких дней).
Иногда перед экспертом поставлены вопросы, часть из которых он может решить, а часть - нет. В таком случае составляется заключение, где после выводов по существу эксперт указывает, на какие вопросы и почему он не смог ответить.
Возможна ситуация, когда материал возвращается лицу, назначившему экспертизу, без исполнения. Это происходит в случаях нарушения процессуального порядка назначения экспертизы; в связи с отсутствием в учреждении, куда поступил материал, необходимых специалистов, оборудования или расходных материалов, требующихся для проведения исследования.
Все эти мотивы возврата постановления без исполнения приводятся в документе, адресованном инициатору назначения экспертизы и являющемся сопроводительным письмом к возвращаемым материалам.
Заключение эксперта есть результат исследования, выполненного с использованием специальных познаний, и поэтому его оценка представляет определенную сложность, так как лица, изучающие заключение, такими познаниями часто не обладают. Отсюда, на практике довольно сильна тенденция завышения доказательственного значения заключения эксперта.
Между тем заключение может оказаться ошибочным или неправильным по причинам как объективным (эксперту представлены неподлинные объекты, неверные исходные данные), так и субъективным (недостаточна квалификация эксперта, недостаточно надежна применяемая методика).
К числу наиболее распространенных субъективных причин совершения экспертных ошибок можно отнести и особое психологическое состояние эксперта - сотрудника органов внутренних дел. Принадлежность к системе правоохранительных органов существенным образом выделяет его среди других специалистов, привлекаемых в качестве экспертов, что, в частности, может выражаться в выработке некоторой психологической установки, связанной со спецификой работы.
Стремление как можно лучше выполнить свои служебные обязанности, понимаемые как нравственный долг, способно привести к неверному алгоритму служебного поведения и, как следствие, к ошибочному выводу. Сказанное не означает предвзятости, обвинительного уклона в деятельности эксперта, так как относится исключительно к его добросовестному заблуждению, связанному с психологической неустойчивостью.
В современных условиях реализации принципа состязательности в уголовном судопроизводстве развивается институт альтернативной экспертизы. Радикальное средство, которое позволяет устранить проблему, связанную с трудностями оценки заключения эксперта следователем и судьей, не являющимися специалистами в области судебной экспертизы, - это введение реальной состязательности экспертов, т. е. инициация альтернативной экспертизы противной стороной.
Заключение эксперта должно рассматриваться при его оценке с учетом ряда положений как формального характера, так и касающихся его существа. К числу элементов формального характера относятся выяснение соблюдения установленного процессуальным законом порядка назначения и проведения экспертизы, правильности оформления заключения. К числу элементов, касающихся существа заключения, относятся: допустимость исследуемых объектов, обоснованность выводов, их правильность и определение доказательственного значения.
Соблюдение процессуального порядка назначения и проведения экспертизы осуществляется следующим образом. Помимо вынесения постановления о назначении экспертизы по возбужденному уголовному делу, с этим постановлением должен быть ознакомлен обвиняемый, которому следует разъяснить его права, которыми он обладает при производстве экспертизы. После проведения экспертизы обвиняемый должен быть ознакомлен с заключением эксперта.
В ходе судебного разбирательства при производстве экспертизы должна быть соблюдена процедура постановки вопросов перед экспертом. В соответствии с этой процедурой все участники разбирательства представляют вопросы эксперту в письменном виде, которые затем оглашаются и по ним заслушивается мнение участников судебного разбирательства и заключение прокурора. После этого суд выносит определение, в котором вопросы эксперту формулируются в окончательном виде. Если суд отклоняет какие-либо вопросы или изменяет их формулировку, он мотивирует это в своем определении.
Несоблюдение установленного порядка проведения экспертизы в судебном заседании может послужить одним из оснований отмены приговора.
Проверка правильности оформления заключения, наличие всех необходимых реквизитов, указанных в законе. В заключении должны содержаться все части, предусмотренные экспертной технологией. Оно должно быть подписано именно тем лицом, которое указано во вводной части заключения.
В заключении по комплексной экспертизе должно быть указано, какой эксперт какие исследования проводил. Каждая часть исследований должна быть подписана теми экспертами, которые ее осуществляли.
Для определения допустимости объектов, исследовавшихся экспертом, прежде всего выясняется, законным ли был способ их получения и был ли соблюден процессуальный порядок получения следователем (судом) объектов, которые представлены эксперту.
Законность получения объектов определяется соблюдением соответствующих статей уголовно-процессуального закона, регламентирующих следственные действия, в ходе которых могут быть получены такие объекты (следственный осмотр, обыск, выемка, освидетельствование). Если же объекты были представлены кем-либо из участников процесса или посторонними лицами, то выясняется, соблюдена ли процессуальная процедура признания их вещественными доказательствами или образцами.
При обнаружении нарушений, ставящих под сомнение достоверность результатов следственного действия или ущемляющих права граждан, вещественные доказательства признаются недопустимыми. В свою очередь, это влечет недопустимость использования заключения эксперта по исследованию этих объектов.
На допустимость объекта экспертного исследования влияет помимо соблюдения правил его получения также и надлежащее его хранение после изъятия. Оно должно исключать возможность подмены объекта, сомнение в его подлинности. Кроме того, надлежащее хранение объектов должно исключать их контактное взаимодействие.
Определение достоверности заключения следует за признанием заключения допустимым. В отличие от допустимости, для определения достоверности нет четких формальных критериев. Прежде всего проверяется обоснованность выводов эксперта, а также их аргументированность и то, насколько они подтверждаются проведенными исследованиями. С этой целью, во-первых, выясняется надежность использования для проведения исследования экспертной методики.
Обычно эксперты при исследовании объектов, часто встречающихся в их практике, используют методики, апробированные и широко известные. Однако в ряде случаев возникает необходимость в применении нетрадиционной или недавно созданной методики. Научная обоснованность таких методик, не получивших еще всеобщего признания, может быть поставлена под сомнение кем-нибудь из участников судебного разбирательства. В качестве аргументов может быть выдвинута другая нетрадиционная методика, исследование с помощью которой опровергает выводы эксперта. Может быть ситуация, когда ставится под сомнение не научная обоснованность методики, а правомерность ее применения в данном конкретном случае. В практике также встречаются случаи использования экспертами (особенно частными) устаревших или никем не рекомендованных методик, неправильного вывода коэффициентов или иных табличных данных, что необходимо учитывать при оценке достоверности заключения эксперта.
Когда используется программированная методика для решения вопроса по существу, в заключении эксперта должно быть указано, прошла ли эта программа установленную процедуру апробации и утверждения, кем она разработана, когда и каким учреждением рекомендована к применению и т. п.
Достаточность представленного эксперту материала для проведения исследования. Данное положение, касающееся существа заключения при его оценке, обусловлено тем, что иногда эксперты свои выводы делают на основе недостаточной совокупности материалов, не используют свое право ходатайствовать о предоставлении дополнительных материалов.
Обоснованность заключения эксперта зависит и от правильности исходных данных, которые он получает от следователя или суда в качестве готовых посылок для вывода. Эксперт не вправе оценивать правильность исходных данных, поскольку они устанавливаются следственным путем в ходе осмотров, экспериментов, допросов. Если в процессе дальнейшего расследования или судебного разбирательства выясняется, что сообщенные эксперту исходные данные неверны, то его заключение будет признано недостоверным.
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 |
