Криминалистическое исследование холодного оружия 5 страница
Средства письма,используемые при составлении документов,
1есьма разнообразны и также имеют сложный состав. И для ис-
ледования состава материалов письма применяются специальные
Модификации химических и физико-химических методов, ис-
Чользуемых в соответствующих областях материаловедения и хи-
*аи для анализа тех же материалов, отдельных веществ или их
аалогов, с учетом специфики криминалистического исследова-
ая- Разработанные специалистами методики включают исполь-
344 Глава 14. Криминалистическое исследование документов
§ 5. Криминалистическое исследование компьютерной информации 345
зование таких высокочувствительных методов, как спектрофот0. метрия, применяемая не только в видимой области, но и в Уф- ft ИК-областях спектра, микроспектрофотометрия, лазерный люмй. несцентный анализ, хроматографические методы.
Особенно заметны достижения судебно-технической экспертизы документов в разработке методов дифференциации микро-количеств материалов письма. Так, например, с помощью тонкослойной хроматографии в комплексе с отражательной спектрофотометрией с использованием прибора хроматограмм-спектрофотометра «OPTON МО-3» выявляются различия в качественном и количественном соотношении компонентов красителей конкретной марки, тем самым возможна дифференциация красителей одной марки, относящихся к различным производственным партиям.
Для наиболее распространенных материалов письма (паст, чернил для перьевых ручек и для фломастеров, красок для копировальных бумаг и машинописных лент, штемпельных красок) разработаны методики криминалистического исследования красителей в штрихах материалов письма и в емкостях, позволяющие дифференцировать одноцветные материалы письма в штрихах разных родов, одного рода, различающихся по качественному составу красителей.
Как уже отмечалось, изучение состава материалов письма и бумаги и сопоставление со справочными рецептурными данными может способствовать решению задач по определению абсолютного возраста документа. Вообще же создание бланков данных о материалах документов (как и о других материалах, веществах и изделиях из них) представляет собой непременное условие функционирования современных криминалистических методик. Подобные компьютеризированные банки данных и коллекции образцов материалов документов, изготавливаемых отечественными предприятиями, создаются в настоящее время в Федеральном центре судебной экспертизы при Министерстве юстиции РФ и ЭКЦ МВД России.
§ 5. Криминалистическое исследование компьютерной информации
Криминалистическое исследование компьютерной (машиной) информации является одним из самых молодых направлений криминалистической технике. Оно начало складываться в пеР вой половине 90-х гг. XX в. Наиболее часто исследования коМйь
-отерной, в том числе документированной информации, проводятся при расследовании следующих видов преступлений: в сфере компьютерной информации; экономические и налоговые преступления, в том числе совершенные путем нарушения правил бухгалтерского учета; связанные с изготовлением различной лечатной продукции, в том числе бланков документов, денеж-gbIx знаков, ценных бумаг и других; преступные нарушения авторских и смежных прав.
На современном этапе в криминалистике окончательно не сформировались теоретические и методологические основы криминалистического исследования компьютерной информации. В частности, среди криминалистов нет единства взглядов на предмет, задачи и объекты криминалистического исследования компьютерной информации.
В настоящем учебнике криминалистическое исследование компьютерной информации отнесено к криминалистическому исследованию документов, но в дальнейшем возможно данное направление сформируется в самостоятельную отрасль криминалистической техники.
Для целей технико-криминалистического исследования компьютерной информации определяющее значение имеет физическая природа данного вида информации.
Компьютерная информацияявляется объектом материального мира, элементом искусственной среды, созданным человеком, на может существовать только с помощью специально приспособленных технических средств: электронно-вычислительной тех-[ики и электронных средств связи (системы телекоммуникаций).
Компьютерная информация, как и любой другой вид информации, состоит из двух элементов: содержания информации — ведений о каком-либо явлении объективной реальности и материального носителя данных сведений.
В рассматриваемом направлении криминалистической тех-*ки изучается компьютерная информация, содержание кото->ои представлено в форме, пригодной для обработки ЭВМ, а ее материальным носителем является электромагнитное поле.
Данный подход соответствует требованиям российского законодательства. В ст. 2 Федерального закона «Об информации, информатизации и защите информации» от 20 февраля 1995 г. 24-ФЗ1 установлено: «информация — сведенияо лицах, пред-
1 СЗ Рф. 1995. № 8. Ст. 609.
346 Глава 14. Криминалистическое исследование документов
§ 5. Криминалистическое исследование компьютерной информации 347
метах, фактах, событиях, явлениях и процессах независимо0т формы их представления;...документированная информация (д0. кумент) — зафиксированная на материальном носителеинфор^. ция с реквизитами, позволяющими ее идентифицировать».
В ст. 2 Закона РФ «О государственной тайне» от 21 июля 1993 г. № 5485-11 дается следующее определение носителей сведений, составляющих государственную тайну: «...материальные объекты,в том числе физические поля,в которых сведения, составляющие государственную тайну, находят свое отображение в виде символов, образов, сигналов, технических решений и процессов».
Физическая природа компьютерной информации обуславливает следующие ее свойства, делающие данный вид информации весьма сложным объектом криминалистического исследования: компьютерная информация не доступна для непосредственного человеческого восприятия; определенное содержание информации не может быть однозначно закреплено за конкретным материальным носителем; материальный носитель компьютерной информации (электромагнитное поле) невозможно индивидуализировать; как содержание информации, так и ее материальный носитель могут быть отделены друг от друга без их изменений; возможность быстрого изменения и удаления информации, в том числе путем удаленного доступа и вне контроля лиц, правомерно пользующихся данной информацией; невозможность выделения точных и допускающих единую трактовку признаков, присущих компьютерной информации, позволяющих восстанавливать содержание измененной или удаленной информации.
В предмет криминалистического исследования компьютерной информации входит:
— разработка приемов, способов, рекомендаций по обнаружению, фиксации, изъятию и хранению компьютерной инфор-мации и электронно-вычислительной техники;
— изучение состояния и процессов обработки компьютерной информации; состояния и функционирования электронно-вычислительной техники.
Компьютерная техника и иное электронное оборудование (далее — компьютерная техника) изучается в рамках данного раздела, главным образом, поскольку й в связи с тем, что эт технические средства использовались для создания, обработки
1 СЗ РФ. 1997. № 41. Ст. 4673.
изменения компьютерной информации. Даже в тех случаях, когда компьютерная техника является самостоятельным объектом исследования, например при решении вопроса, является ли определенное устройство ЭВМ. В конечном итоге такое исследование является промежуточным шагом в решении задач, связанных с изучением компьютерной информации или процессов ее обработки.
В тех случаях, когда правоохранительные органы и суд интересуют свойства собственно компьютерной техники (потребительские свойства) вне связи с обрабатываемой этой техникой информацией, может назначаться судебно-товароведческая экспертиза, которая будет проводиться специалистами в области компьютерной техники или с участием таких специалистов.
В рамках криминалистического исследования компьютерной информации решаются идентификационные, классификационные и диагностические задачи.
Идентификационные и классификационные задачи.Объединение этих задач сделано по двум причинам. Во-первых, на овременном этапе в большинстве случаев криминалисты не располагают инструментарием, позволяющим провести идентификацию единичных материальных объектов, изучаемых при криминалистическом исследовании компьютерной информации, а ?акже использовать эти объекты для индивидуальной идентификации других объектов. Это обусловлено названными выше яойствами, присущими компьютерной информации. Во-вторых, при решении классификационных задач исследователи :тремятся выйти на уровень как можно более узкой классифика-ионной группы, выделить отдельные индивидуализирующие физнаки, пусть и недостаточные для индивидуальной идентификации. Поэтому решение классификационных задач осуществляется по идентификационным методикам.
Наиболее часто решаются следующие идентификационные и классификационные задачи:
— изготавливалась (обрабатывалась, передавалась, изменясь) ли данная информация с помощью определенного типа или к°нкретного технического устройства; I— какой тип (вид, модель, марка) аппаратных и программ-
* средств применялся при операциях с машинной информацией;
к какому типу (текстовые файлы, программы, вирусы T,A-) или более узкой классификационной группе (системное ' Прикладное программное обеспечение, версия программы,
348 Глава 14. Криминалистическое исследование документов
§ 5. Криминалистическое исследование компьютерной информации 349
редакция тестового файла) относится представленная компьютерная информация;
— к какому типу (вид, модель, марка) относится представленная компьютерная техника;
— определение общего источника происхождения содеря^. ния информации, представленной на разных носителях (создание ее определенной программой и т.п.).
Пока нет достаточно надежных методик установления автора или изготовителя компьютерной информации. Встречающиеся в литературе предложения использовать в этих целях методики, применяемые для решения аналогичных задач в других отраслях криминалистической техники (например, в автороведении или технико-криминалистическом исследовании документов) не имеют экспериментального подтверждения.
В литературе широко обсуждается возможность идентификации технических комплексов (единичный компьютер, сеть ЭВМ). В настоящее время в криминалистике нет апробированных методик, которые позволили бы провести такую идентификацию. Представляется, что решить задачу идентификации компьютера или сети ЭВМ в настоящее время только технико-криминалистическим путем в большинстве случае невозможно. Поскольку это требует установления временных, организационных факторов, что нельзя сделать в рамках экспертных идентификационных исследований. Установление единичной ЭВМ или компьютерной сети является задачей процессуального доказывания. Экспертная идентификация выступает как один из методов используемых для достижения конечной цели.
Идентификация некоторых электронных печатающих устройств (принтеров, телефаксимильных аппаратов и др.) проводится по их признакам, отобразившимся в текстовой информации на бумажных носителях. Поэтому чаще всего идентификация данных устройств проводится в рамках технико-криминалистического исследования документов. При этом эксперт должен обладать знаниями в области вычислительной техники или привлекать специалиста в данной области.
Типовыми диагностическими задачами являются следу10 щие:
— установление свойств и состояния компьютерной инф°Р мации и компьютерной техники;
— установление факта внесения изменений в компьютерна информацию после ее создания, выявление признаков такого и менения;
— установление первоначального состояния машинной информации;
— установление времени создания (удаления, изменения) йНформации, хронологической последовательности функционирования компьютера, компьютерной системы или сети;
— установление способа доступа к компьютерной информации и/или техники;
— определение фактического состояния и исправности компьютерной техники;
— установление соответствия реквизитов машинных документов требованиям, предъявляемым к ним, выявление признаков изменения данных реквизитов;
— порядка соблюдения установленных технических правил при работе с машинной информацией, в том числе правил, обеспечивающих ее защиту;
— установление .причинной связи между действиями с компьютерной техникой, машинной информации (например, программным обеспечением) и наступившими последствиями, например, удалением какой-либо информации, прекращением работы компьютера и т.п.
Основными объектами криминалистического исследования компьютерной информации являются: компьютерная информация и компьютерная техника.
В криминалистике встречаются различные классификации компьютерной информации. Для целей технико-криминалистического исследования основное значение имеет три основания классификации: по физической природе носителя, на котором находится компьютерная информация, по ее функциональному назначению и по правовому статусу.
В соответствии с физической природой носителя, на котором ходится компьютерная информация, можно выделить следующие виды машинной информации:
Вт жесткий магнитный диск (винчестер, НЖМД, HDD). Это
стройство, которое может находиться как внутри компьютера,
к и в отдельном блоке. Существует отдельный вид устройств,
Строенных на основе жестких дисков, который называется
*AID (Redundant Arrays of Independent Disks) — массив незави-
'имых дисков с избыточностью;
Ш оперативное запоминающее устройство (ОЗУ-RAM) и поданное запоминающее устройство (ПЗУ-ROM) обеспечиваю-f все преобразования информации в компьютере и перифе-ИнЬ1х устройствах;
350 Глава 14. Криминалистическое исследование документов
§ 5. Криминалистическое исследование компьютерной информации 351
— гибкие магнитные диски или дискеты (НГМД, FDD -^ floppy disk drive). Существует два типа таких устройств: дискеты размером 5,25 дюйма (пятидюймовая дискета) и объемом памяти до 1,2 Мбайта, практически вышедшие из употребления, ц дискеты размером 3,5 дюйма и объемом до 2,88 Мбайт;
— накопители на магнитных лентах (стримеры). Стримеры часто используются для дублирования других носителей информации (архивирования информации), так как обладают значительной емкостью;
— оптические и магнитооптические диски. Принцип их работы основан на считывании и, в некоторых видах, записи информации с помощью луча лазера. Наиболее распространенным устройством данного типа является накопитель на компакт-дисках (CD-ROM). К этой группе относятся магнитооптические дисководы, ZIP-устройства и некоторые другие;
— существуют и другие реже употребляемые носители ин
формации, такие как модули памяти на цилиндрических маг
нитных доменах (ЦМД), перепрограммируемые карты памяти
(Flesh-card), дисководы типа Бернулли и др.
В число носителей компьютерной информации часто включаются современные средства связи, например, линии электросвязи, компьютерные сети и другие, в которых машинная информация находится при ее передаче.
По правовому статусукомпьютерная информация подразделяется на два вида, имеющих разный правовой режим: документированная информация (документ) и информация, не имеющая документированной формы. Сравнивая понятия «информация» и «документированная информация (документ)», можно выделить признак, который, по мнению законодателя, присущ документу как виду информации — это реквизиты, позволяющие идентифицировать информацию, содержащуюся в документе.
Реквизитами компьютерной документированной информации (машинного документа) в соответствии с действующим законодательством могут быть различные коды, пароли, электронно-цифровая подпись, иные аналоги собственноручной подписи. ^
Таким образом, если при изучении экспертами «простой» компьютерной информации объектами исследования являют ся содержание информации и ее материальный носитель, то пр изучении машинных документов самостоятельным объектом( йс следования могут стать и их реквизиты, а также программные аппаратные средства, используемые при их создании;
Компьютерная информация по функциональному назначениюподразделяется на текстовые и графические документы, данные в форматах мультимедиа, информация в форматах баз данных, программные средства. Программы в свою очередь классифицируются на операционные системы, сервисные программы, языки программирования, средства обработки текстов и изображений, системы управления базами данных, системы «правления знаниями («экспертные системы»), электронные таблицы, интегрированные пакеты, игровые программы, специализированные программные средства, предназначенные для решения задач в узкой предметной области.
В качестве разновидности специализированных программ рассматриваются «вредоносные программы» (ст. 273 УК РФ): компьютерные вирусы, черви и др.
При криминалистическом исследовании компьютерной информации с целью более полного изучения свойств исследуемых объектов могут использоваться следующие вспомогательные материалы: любая информация, характеризующая свойства компьютерной информации и техники (например, распечатка данных, содержащихся в компьютере, на бумажном носителе), записи с паролями и кодами пользователей; видео- и аудиозаписи, изготовленные (полностью или частично) с использованием компьютерных систем и средств копирования информации; компьютерные программы и их описание; компьютеры и их компоненты, периферийные устройства, средства связи, компьютерные сети; сопроводительная документация к компьютерной и электронной технике (например, руководства по их эксплуатации); инструкции пользователей, администраторов и других работников компьютерных систем; множительная техника, средства связи, чные технические средства; расходные материалы и комплектующие (например, емкости с красящим веществом, которое ра-* использовалось в периферийных устройствах при печати информации).
Криминалистическое исследование компьютерной информации должно производиться только лицами, обладающими специальными познаниями. Оно может быть проведено в следующих процессуальных формах:
в форме участия специалистапри производстве следствен-
х действий. Он привлекается для осуществления операций, 'язанных с обнаружением, осмотром, фиксацией и изъятием 'Мпьютерной информации и техники, при производстве от-Льных следственных действий, а также ее исследований по за-
352 Глава 14. Криминалистическое исследование документов
§ б. Криминалистическое исследование компьютерной информации 353
данию следователя. При этом специалист, как правило, привлекается для решения поисковых задач, диагностирования состояния и изменения компьютерной информации и техники решения вопроса о возможности в дальнейшем проведения экспертного исследования в отношении изъятых объектов. В случае если при этом возникает опасность утраты или изменения исследуемой информации, а также при решении более сложных задач назначается экспертиза (см. также гл. 34 настоящего учебника);
— в форме экспертного исследования компьютерной информации и техники (компьютерно-технической, экспертизы), охватывающей экспертные исследования как в отношении компьютерной информации, так и в отношении компьютерного оборудования.
При' подготовке к назначению компьютерно-технической экспертизы следователь или суд должны прежде всего уяснить, имеются ли на носителях машинной информации и компьютерном оборудовании следы, не связанные с компьютерной информацией, изучение которых необходимо для успешного расследования преступления. Такими следами могут быть: отпечатки пальцев, различные выделения человека, волосы, микрочастицы кожи, рукописные записи, микрочастицы различных веществ, в том числе одежды, и некоторые другие.
В отношении данных следов могут быть назначены следующие экспертные исследования: дактилоскопическая экспертиза, судебно-медицинская или биологическая экспертиза, почерко-ведческая экспертиза, СТЭД и КЭМВИ. В случае наличия таких следов' они фиксируются в протоколе соответствующего следственного действия, фотографируются и изымаются. Когда изъятие невозможно в силу того, что следы неразрывно связаны с носителем информации или техническим устройством (например, рукописные записи на дискете), должен быть решен вопрос об очередности проведения экспертиз с учетом обеспечения сохранности всех следов.
В настоящее время компьютерные экспертизы проводятся экспертными учреждениями МВД, ФСБ, Министерства юстиция РФ, Федеральной службы по контролю за оборотом наркотиче ских средств и психотропных веществ РФ.
Основные задачи и вопросы, решаемые компьютернойэк пертизой,связаны с установлением состояния и параметров м шинной информации, компьютерного оборудования, компьютер ных систем, а также различных изменений происходивших данных объектах. В то же время могут решаться и некоторь
идентификационные задачи: поиск и идентификация конкретен компьютерной информации; идентификация аппаратных и программных средств, используемых в процессе каких-либо операций с информацией.
В связи со сложностью* объектов исследования при назначении конкретной экспертизы следователю рекомендуется предварительно согласовать вопросы с экспертом. Ниже приводится ряд типовых вопросов, которые достаточно часто ставятся при назначении компьютерной экспертизы:
— позволяет ли представленное программное обеспечение получать доступ в компьютерные сети (в определенную компьютерную сеть, например Интернет);
— позволяет ли представленное программное обеспечение, подготовить представленную на экспертизу компьютерную информацию;
|,— когда и каким образом осуществлялся доступ к машинной информации или к компьютеру? Был ли осуществлен доступ с определенного компьютера;
р. — имело ли конкретное лицо техническую возможность производить определенные операции с данной компьютерной информацией;
— имеются ли на представленных носителях компьютерной
информации какие-либо программные средства для осуществле
ния доступа к информации в других компьютерах;
позволяют ли представленные на экспертизу программные средства вносить изменения или заранее обусловливать результат работы определенной программы;
— какие системы защиты применялись в представленной на
экспертизу ЭВМ;
каково время создания (последней модификации) представленных данных;
- какие файлы были уничтожены и/или изменены, каковы
X имена, размеры и даты создания;
~ можно ли определить имена пользователей, их пароли при 1боте с представленным на экспертизу компьютером;
- является ли представленное на экспертизу техническое
стройство электронно-вычислительной машиной.
В настоящее время правоохранительные органы довольно
*сто назначают экспертизу для проведения разнообразных
Юмогательных действий: получить доступ к информации,
Мнящейся на представленных на экспертизу компьютерных
Жителях информации; осуществить вывод компьютерной ин-
354 Глава 14. Криминалистическое исследование документов
§ 5. Криминалистическое исследование компьютерной информации 355
формации, находящейся на машинном носителе на бумажный носитель и другие подобные операции. Представляется, что выполнять указанные действия в рамках экспертного исследования нецелесообразно. Данные операции могут быть проведены с участием специалиста в ходе следственного действия (например, осмотра компьютерной техники) или по назначению следователем специалистом и оформлены путем дачи заключения специалиста.
В ходе расследования может возникнуть необходимость в изучении компьютерных систем непосредственно в процессе их функционирования. Например, определение возможных сбоев в обработке информации, слабых мест в системе защиты и т.п. Видимо, в данных ситуациях можно говорить о проведении экспертных исследований на месте происшествия по методике экспертного эксперимента.
Основными методами и средствами экспертных исследований являются общие математические и научно-технические методы, используемые в современных компьютерных технологиях. Это такие методы, как системный анализ, математическое и имитационное моделирование, инструментальный анализ, метод экспертных оценок и др. В то же время все больше ощущается необходимость развития данных методов именно в направлении криминалистической специализации и их интеграции со специальными методами других наук.
Особенное внимание в связи со спецификой объекта исследования — компьютерной информации необходимо уделять требованию сохранности в неизменном виде соответствующих вещественных доказательств. Выполнение данного требования обеспечивает возможность проведения повторных исследований и возможность воспроизведения действий эксперта другими экспертами.
В практической деятельности эксперт реализует названные методы не напрямую, а с помощью широкого набора специальных инструментальных (программных и технических) средств. В них включаются различные программные продукты, компьютерное стендовое оборудование, другие приборы. В качестве примера назовем нескольких видов программ, применяемых в экспертной практике. Например, блокираторы записи, инстрУ менты для получения изображений, копирования, средства Д° кументирования, инструменты для поиска и восстановлена удаленных файлов, программы для просмотра информации, я струменты для декомпиляции и пошаговой трассировки, Ра личные утилиты, криптографические средства и т.д.
Конечно, помимо названных существует большое количество других средств. Дать их исчерпывающий перечень невозможно 0 связи с тем, что их арсенал постоянно расширяется вслед за увеличением разнообразия технического и программного обеспечения современных компьютеров, их систем и операционных сред-
Наиболее часто исследуются экспертом винчестеры, магнитные диски и дискеты.
Как уже отмечалось, предварительное условие проведения экспертного исследования состоит в фиксации представленной на экспертизу компьютерной информации в неизменном виде. Технически это реализуется с помощью создания точной копии исследуемой информации. В большинстве случаев достаточно создать копию жесткого диска. Для этого используется широкий набор устройств и средств резервного копирования. Такая копия для последующего производства экспертизы, как правило, создается на дополнительном жестком диске стендового компьютера, т.е. компьютера эксперта, на котором выполняются исследования объектов экспертизы. При этом основные технические параметры этого дополнительного винчестера (емкость, среднее время доступа к данным и др.) должны совпадать с параметрами жесткого диска исследуемого компьютера. При невозможности получения резервной копии содержимого винчестера экспертом должны быть предприняты все меры для обеспечения сохранности исследуемой информации (например, путем использования программных блокираторов записи типа Disklock, HDSEntry и др.).
Винчестер стендового компьютера подключается на primary (основной) канал интерфейса IDE в качестве master (главного) Диска, а винчестер исследуемого компьютера подключается к «condary (дополнительному) контроллеру IDE (в дальнейшем •тот винчестер будем называть исследуемым). При такой схеме Подключения винчестеров загрузка операционной системы проводит со стендового винчестера, а исследуемый винчестер ви-№тся в операционной системе как дополнительный диск.
Системный блок компьютера в соответствии с эксплуатационными правилами соединяется с дополнительными устройствами компьютера (монитор, клавиатура, мышь) и подключается к сети электропитания 220 В.
При включении компьютера загрузка операционной системы
осле тестирования прерывается соответствующей клавишей