КАТЕГОРИИ:
АстрономияБиологияГеографияДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРиторикаСоциологияСпортСтроительствоТехнологияФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
|
Ошибки методического характера.К сожалению, на сегодняшний день уровень методической базы судебной компьютерно-технической экспертизы находится на стадии накопления и систематизации экспертного опыта, нарабатываемого на основе современных научных достижений в области информационно-компьютерных технологий. Это обусловливает отсутствие стандартизированных методик, а развитие методического обеспечения движется по пути разработки и внедрения в экспертную практику методических рекомендаций, которые, в свою очередь, могут быть как общей, так и частной направленности. Подобное положение дел, несомненно, ведет к появлению в экспертных заключениях ошибок методического характера. Коснемся только наиболее часто встречающихся. При производстве СКТЭ для обеспечения возможности повторения полученных результатов экспертного исследования, в случае назначения повторной экспертизы, а также оценки их достоверности в заключении в обязательном порядке должны указываться сведения об автоматизированном рабочем месте эксперта и программном обеспечении, установленном на нем. Отсутствие подобной информации влечет за собой логические нарушения в процессе исследования, которые, в свою очередь, оставляют нераскрытыми вопросы, связанные с получением доказательственной информации, поскольку остается не понятным, какое использовалось аппаратное и программное обеспечение, позволившее получить подобные результаты, а следовательно, не дает возможности проверить научную и практическую обоснованность результатов, положенных в основу выводов. Например, отсутствие в заключении сведений об используемом программном обеспечении (ПО) и его версии не дает возможности оценить его функциональные возможности, которые могут отличаться в зависимости от версий используемого ПО, также различное программное обеспечение может выдавать различные результаты своей работы. В другом заключении эксперта не приведенное описание конфигурации стендовой ЭВМ, а именно сведений о процессоре, материнской плате, графическом адаптере, устройствах ввода / вывода, накопителях информации, операционной системе, не позволило определить правильность проведения проверки работоспособности представленной на исследование материнской платы путем установки в стендовую ЭВМ. Поскольку не представлялось возможности определить ее совместимость с процессором, оперативным запоминающим устройством и т.д. Основным принципом при проведении судебных экспертиз, и в частности компьютерно-технических, является принцип неизменности вещественных доказательств. Он подразумевает, что информация на представленном на исследование носителе данных не должна быть изменена. Соблюдение данного принципа возможно при использовании специальных аппаратных блокираторов (Tableau, Fast Block), программного обеспечения, блокирующего запись, по порту к которому подключен исследуемый объект, создание точного побитового образа представленного объекта и его дальнейшим исследованием. Несоблюдение данного принципа может повлечь за собой фатальные изменения на уровне данных (затирание криминалистически значимой информации, представленной в неявном виде). Иллюстрацией к этому может служить следующий пример. Из текста заключения эксперта явно не следовало, каким именно образом осуществлялась загрузка с представленных жестких дисков. В случае если конфигурация стендовой ЭВМ отличалась от конфигурации компьютера, в котором данные жесткие диски были установлены, загрузка операционной системы не могла быть успешно произведена без изменений настроек и установки дополнительных драйверов новых устройств, а следовательно, без внесения изменений в объект исследования. При этом необходимо заметить, что даже в случае полного совпадения конфигурации стендовой машины и машины, из которой был изъят жесткий диск, при загрузке с него в данные будут внесены изменения, так как при загрузке операционной системы происходит привязка к конкретному оборудованию. Согласно ст. 57 УПК эксперт не вправе проводить без разрешения дознавателя, следователя, суда исследования, могущие повлечь полное или частичное уничтожение объектов либо изменение их внешнего вида или основных свойств. В случае если жесткие диски подключались в качестве внешних запоминающих устройств, неизменность хранящейся на них информации может быть обеспечена только при помощи специализированных программно-аппаратных средств, блокирующих запись на исследуемые носители информации, указанные выше. Их наличие также должно быть оговорено в исследовательской части, включая их полное описание. В соответствии с имеющимися методическими рекомендациями (12, 14, 15, 16, 17, 18) категорически запрещается осуществлять загрузку с исследуемого носителя информации (жесткого диска) <1>. Для сокрытия информации на компьютерах могут применяться специальные защитные программы, которые при некорректном обращении к защищаемой информации могут уничтожить, исказить, маскировать данные <2>. -------------------------------- <1> Белый С.Л., Волков Г.А., Зубаха В.С. Некоторые практические рекомендации по изъятию компьютерной информации // Экспертная практика. М.: ЭКЦ МВД РФ, 2000. N 48. С. 68 - 85; Усов А.И., Нехорошев А.Б., Шухнин М.Н. и др. Практические основы компьютерно-технической экспертизы: Учеб.-методич. пособ. Саратов: Научная книга, 2007; и др. <2> Зубаха В.С., Усов А.И., Саенко Г.В. и др. Общие положения по назначению и производству компьютерно-технической экспертизы (Методические рекомендации). М.: ГУ ЭКЦ МВД России, 2001; Волеводз А.Г. Противодействие компьютерным преступлениям: правовые основы международного сотрудничества. М.: Издательство Юрлитинформ, 2002.
Кроме того, при загрузке компьютера может быть изменена информация, хранящаяся в файлах-протоколах его работы. Поэтому для обеспечения сохранности информации, хранящейся на НЖМД, жесткий диск должен быть изъят, подвергнут клонированию, а его копия должна исследоваться отдельно в ходе компьютерно-технической экспертизы. Для обеспечения неизменности информации, хранящейся на диске, и изготовления точной копии наиболее широко применяются <1>: -------------------------------- <1> Усов А.И. Судебно-экспертное исследование компьютерных средств и систем: Основы методического обеспечения: Учеб. пособ. М.: Экзамен, 2003.
1) программно-аппаратный комплекс EnCase (разработчик Guidance Software); 2) программный комплекс Forensic Tool kit; 3) программно-аппаратные комплексы Vogon International; 4) программно-аппаратные комплексы ForensicIPC; 5) комплект технических средств для копирования данных Image-MASSter Solo 3 (производитель Intelligent Computer Solutions) и др. Следует отметить, что использовать программные или аппаратные средства блокирования записи необходимо также при исследовании флэш-накопителя, поскольку в противном случае нельзя исключить возможность автозапуска содержащихся на нем программ и изменения записанной информации. Следующей распространенной ошибкой является неполнота проведения исследования за счет исключения из поля зрения эксперта ряда объектов, являющихся составной частью единого информационного процесса. Наиболее часто это встречается в тех случаях, когда экспертное исследование касается не единичного объекта, а системы взаимосвязанных объектов, включающих в себя аппаратное, программное и информационное обеспечение. Ярким примером тому может служить исследование сервера провайдера и конечного оборудования пользователя (компьютер) в случае установления возможности осуществления доступа пользователем к определенным интернет-ресурсам в определенное время. К сожалению, при этом из поля зрения эксперта выпадает одна важная составляющая, несущая криминалистически значимую информацию, а именно - промежуточное оборудование. Обычно при проведении анализа данных, предоставленных провайдером, устанавливаются IP-адреса роутера, а не пользователя. Зачастую это обусловлено тем, что у крупных провайдеров чаще всего не ведется учет действий оконечных пользователей, а ведется только учет обращений, идущих от общих роутеров, к которым возможно подключение от 5 до 100 оконечных пользователей. В связи с этим серьезной ошибкой эксперта будет являться исключение из исследования информации, содержащейся в роутере, промежуточном звене между провайдером и оконечным пользователем. Подобная ситуация, связанная с исключением части системы, может встречаться при проведении исследования, связанного с анализом больших взаимосвязанных объектов. Еще одним примером ошибок методического характера является поиск информации о производителе, серийных ключах на программное обеспечение, технического методического обеспечения и других данных с использованием неустановленных источников. Проиллюстрируем сказанное. Согласно заключению эксперт осуществил поиск производителей в специальной литературе и каталогах, включая ресурсы сети Интернет, однако не указал конкретно ни одного источника информации. Общеизвестно, что сведения, распространяемые через сеть Интернет, могут быть противоречивыми и недостоверными, и отсутствие ссылок на конкретные страницы и даты их посещения укрепляет сомнение в правильности конечных выводов. Литературные же источники не были указаны вовсе. Другим примером может служить поиск информации о серийных ключах на ПО Windows XP в сети Интернет. В случае нахождения в открытых источниках ключа, совпадающего с имеющимся на анализируемом программном обеспечении, некоторые эксперты делают вывод о контрафактности ПО. Однако его наличие в подобных списках не свидетельствует о том, что используемая программа контрафактная, так как у легального пользователя могли просто украсть ключ и выложить в сеть Интернет или получить ключ простым методом подбора (генерации). Также хотелось бы обратить внимание на тот факт, что в заключении эксперта часто не приводятся результаты проведенного им сравнительного анализа файловых структур установленных экземпляров программного обеспечения и эталонных экземпляров произведений, что является серьезной ошибкой при проведении экспертизы на установление признаков контрафактности. Рассматривая экспертные ошибки подобного рода, необходимо обратить внимание на то, что сравнительное исследование возможно проводить только для сопоставимых объектов <1>. Следовательно, при исследовании жесткого диска надлежит сравнить файлы, записанные на НЖМД в процессе установки исследуемого программного обеспечения, с файлами, записываемыми на НЖМД при установке аналогичной версии оригинального программного продукта. При этом необходимо исследовать не только список и расположение файлов, но и создаваемые записи в системном реестре операционной системы, выявить все различия, и если таковые имеются, объяснить их. Аналогичным образом необходимо проводить сравнение дистрибутивов программ, имевшихся на представленных на экспертизу компакт-диске и флэш-накопителе. -------------------------------- <1> Аверьянова Т.В., Белкин Р.С., Корухов Ю.Г., Россинская Е.Р. Криминалистика: Учебник для вузов. 3-е изд., перераб. и доп. М.: НОРМА, 2010.
Еще одной распространенной ошибкой при проведении исследования являются случаи, когда эксперт не проводит тщательный внешний осмотр поступившего объекта исследования или относит эту стадию проведения исследования на более поздний срок и, пропустив ее, приступает, например, к проверке работоспособности объекта. Такое недопустимо, так как проведение внешнего осмотра помогает эксперту определить состояние представленного объекта, выявить его недостатки и внешние дефекты, комплектность, а следовательно, дает возможность определиться с алгоритмом проведения всего экспертного исследования, применяемыми методиками и используемым оборудованием. Это, в свою очередь, помогает избежать дальнейших ошибок при проведении самого экспертного исследования. Так, при проведении по повторной экспертизе внешнего осмотра поступившего на исследование системного блока эксперт при удалении боковой стенки обнаружил отсутствие в нем НЖМД, хотя по материалам первичной экспертизы он в нем присутствовал. Об отсутствии НЖМД было извещено лицо, назначившее экспертизу, и в дальнейшем он был представлен. В другом случае на исследование был представлен видеоадаптер. Лицо, назначившее экспертизу, заявляло, что происходят зависания изображения и артефакты при просмотре видео. Эксперт, проводивший исследование, установил представленный объект в тестовый компьютер и проводил тесты, в результате которых подтвердились заявленные дефекты. Причиной же выявленных дефектов являлось вздутие и нарушение паяных соединений конденсаторов, установленных на представленном видеоадаптере, которые были обнаружены в дальнейшем только при его внешнем осмотре. В подобных случаях остается неизвестным, в результате чего были получены подобные механические повреждения, имелись ли они в момент поступления объекта на исследование или стали результатом ошибки эксперта. В тех случаях, когда осмотр проводится своевременно, довольно часто допускается ошибка, заключающаяся в том, что эксперты не осматривают CD/DVD приводы, а также дисководы на предмет наличия в них каких-либо носителей данных. Это ведет к тому, что фактически эксперт исключает из исследования носитель данных, который может находиться в приводе и содержать криминалистически важную информацию по расследуемому делу. Чтобы избежать этого, рекомендуется начинать внешний осмотр представленного объекта именно с проверки приводов и дисководов на наличие в них носителей, а уже затем переходить к вскрытию корпуса блока и извлечению накопителей данных. При проведении исследования и обнаружении программ, определяемых антивирусными средствами как вредоносные, экспертами допускаются отдельные частные ошибки. Так, очевидно, что вещественные доказательства, как правило, должны возвращаться заказчику в том виде, в каком они поступили на исследование. В тех случаях, когда эксперт обнаружил вредоносную программу, он обязан сообщить в исследовательской части заключения, что эта вредоносная программа осталась на машинном носителе без изменения. Такое сообщение обязательно из-за опасности последующего неосторожного распространения вируса. Однако зачастую это не делается. Напротив, в отдельных случаях эксперты сообщают, что в присланной на исследование программе был обнаружен вирус и что программа им была "вылечена" (вирус уничтожен), хотя разрешение на подобную операцию эксперт не получил. Полагаем, что при обнаружении вредоносной программы эксперт должен придерживаться следующих правил: - наряду с указанием в исследовательской части заключения применяемых программных и аппаратных средств в обязательном порядке следует указывать характеристику использованной антивирусной программы, в частности, сообщать дату ее обновления. Дело заключается в том, что эксперт может встретиться с новой вредоносной программой, которая разработана и запущена в сеть уже после разработки последней версии антивирусной программы; - необходимо описывать хотя бы основные характеристики обнаруженной вредоносной программы; - в тех случаях, когда во входном документе (постановлении следователя и пр.) нет разрешения на уничтожение вредоносной программы, ее следует оставить на исследуемом объекте неизменной. Этот факт следует отразить в заключении. Допускается оформление письменного ходатайства с сообщением, что исследуемая программа может быть "излечена" при наличии разрешения; - выводы эксперта должны содержать лишь сведения технического характера. Не допускается включать в выводы правовые оценки действия подозреваемого. Рекомендуется использовать, например, подобную формулировку: "На исследуемом носителе данных обнаружена программа, обладающая техническими характеристиками вредоносности". Эта рекомендация носит ориентирующий характер, которая в каждом конкретном случае может быть оформлена в сходной редакции.
21.3. Ошибки, связанные с оформлением экспертного заключения
Следующей распространенной группой ошибок, допускаемых при производстве судебной компьютерно-технической экспертизы, являются ошибки, связанные с оформлением экспертного заключения. Большинство ошибок, допускаемых при оформлении, присуще практически всем видам экспертиз. Мы остановимся только на тех, которые чаще всего допускаются при проведении СКТЭ. 1. Одной из распространенных ошибок при оформлении заключения является ошибка, связанная с неверным формулированием результатов проведенного исследования, не исключающим их двоякое толкование лицом, оценивающим результаты экспертного исследования. Например, в случае если перед экспертом ставится вопрос о наличии на представленном носителе данных какой-либо криминалистической информации, при проведении исследования экспертом приводится констатация того, что "искомая информация не установлена". Полагаем, что использование такого термина, как "установлена/не установлена", может иметь двоякое толкование, которое подразумевает наличие вероятностного вывода, имеющего личностные основания. Например, что при проведении повторной экспертизы искомая информация может быть не установлена другим экспертом. Уместным, на наш взгляд, является использование в данном случае термина "имеется/не имеется", который исключает двоякое толкование. Другой часто встречающейся ситуацией является следующая. При проведении внешнего осмотра представленного на исследование объекта и последующем его описании в случае наличия на нем каких-либо дефектов, стикеров эксперт точно не указывает, в каком месте находится тот или иной дефект или стикер, при этом применяя описательную терминологию, например: "в некоторых местах", что является грубой ошибкой, так как подобное описание не несет смысловую нагрузку и не дает возможности идентифицировать объект. По мнению авторов, логичнее было бы указать точное расположение бумажных этикеток или дефектов, имеющихся на объекте. 2. Очень часто в практике производства СКТЭ встречаются ошибки, связанные с неверным представлением иллюстративного материала или его полным отсутствием. К большому сожалению, именно им уделяется мало внимания как самими экспертами, так и лицами, осуществляющими оценку экспертизы. Напрасно, поскольку именно в иллюстративном материале зачастую просматриваются грубейшие нарушения как правового, так и методического характера. Например, экспертом 2 февраля 2011 г. было выпущено заключение. В нем имелась иллюстрация антивирусной проверки (см. рис. 16.1). При ее изучении было установлено, что даты выпуска антивирусных баз и дата проведения антивирусной проверки имеют дату более позднюю, чем дата выпуска заключения. Это указывает на то, что дата выпуска заключения не соответствует действительности.
Рис. 16.1. Результаты антивирусной проверки
Ошибкой также считается и то, что при проведении внешнего осмотра эксперты должны приводить описание стикеров, например, содержащих технические характеристики исследуемого объекта. Чаще всего такие стикеры располагаются на внешнем корпусе объекта или на промышленной упаковке (например, упаковка DVD-диска) и содержат достаточно много информации, идентифицирующей объект. Эксперты же приводят данную информацию в иллюстративном материале. Однако при его подробном изучении текстовый материал на нем не виден, что недопустимо. В случае описания поступившего на исследование объекта его надо описывать таким образом, чтобы информация, приведенная на стикере, была полной и читаемой. То же касается описания при помощи иллюстраций дефектов и иных идентифицирующих особенностей исследуемого объекта. При этом необходимо заметить, что полное отсутствие иллюстративного материала в заключении эксперта влияет на его наглядность и в большой степени повторяемость, а следовательно, его доказательственную ценность. Так, к примеру, если перед экспертом ставится вопрос о сравнении пользовательского интерфейса программ, представленных на исследование, то провести такое сравнение без представления иллюстрации практически невозможно, поскольку только иллюстрации могут отражать все нюансы применяемого интерфейса (см. рис. 16.2, 16.3).
Рис. 16.2. Экран для запуска расчета дома 1. В исходном экране выбираем дом и активируем закладку "Расчет"
Рис. 16.3. Экран для запуска расчета дома и лицевого счета. Для активации данной экранной формы необходимо было изначально 1. Активации кнопки "Расчет" в окне "Список домов" вызывается соответствующая экранная форма расчета дома
3. Как уже указывалось выше, в процессе проведения исследования экспертом применяются различные аппаратные средства и программное обеспечение. При этом распространенной ошибкой экспертов в области СКТЭ является то, что в случае применения такого аппаратного или программного средства приводит к отсутствию в исследовательской части заключения информации о применении указанных средств, алгоритме их использования и проиллюстрированных результатов их работы. Отсутствие подобной информации в заключении сводит на нет работу эксперта, так как не позволяет провести следствию или суду оценку достоверности проведенного исследования, а в дальнейшем назначить последующие экспертизы, поскольку нарушается принцип повторяемости экспертного исследования.
21.4. Ошибки, связанные с предоставлением результатов экспертизы и объектов лицам, назначившим экспертизу
Последней группой ошибок, которую мы рассмотрим, являются ошибки, связанные с представлением результатов и объектов экспертизы. Данная группа ошибок носит организационный характер и напрямую не связана с производством исследования, однако она оказывает большое влияние как на осуществление оценки экспертного заключения, так и вообще на возможность его проведения. К таким ошибкам СКТЭ относятся. Ошибки представления результатов экспертного заключения, которые могут представлять собой большой объем не всегда систематизированных данных. В основном данные ошибки возникают при проведении информационного исследования в рамках СКТЭ. В этом случае у эксперта возникает проблема в их представлении. Например, эксперт может осуществить запись на перезаписываемый цифровой носитель данных без регистрации контрольной суммы файлов, что не дает возможность в дальнейшем идентифицировать целостность и неизменность полученной криминалистически значимой информации. Другая возможность представления данных - запись на не перезаписываемый носитель информации с закрытой сессией и подсчитанной контрольной суммой. В случае если лицо, назначившее экспертизу, просит представить ему все найденные данные, а объем этих данных велик, полагаем возможным эксперту привлечь к выборке необходимых данных для печати само лицо, назначившее экспертизу. Данные вопросы в научной литературе до конца еще не решены, не урегулированы законодательством и представляются дискуссионными. Все ошибки, изложенные в этой главе, в наибольшей степени встречаются в заключениях как государственных, так и негосударственных судебных экспертов. Для того чтобы избежать указанных ошибок в дальнейшем или свести их к минимальному количеству, следует руководствоваться указанными рекомендациями, а также неукоснительно соблюдать процессуальные требования и ведомственные методические рекомендации. Только при их соблюдении заключение эксперта по судебной компьютерно-технической экспертизе будет отвечать требованиям полноты и всесторонности исследования, иметь доказательственное значение и может быть объективно оценено лицом, назначившим экспертизу, а также лицами, участвующими в деле.
|