Нюанси комп’ютерної криміналістики від експерта

2018-09-12

КИЇВ — 12 вересня 2018 року. Секція судових експертів АПУ запросила правників відвідати семінар «Експертиза комп’ютерної техніки, програмних продуктів, відео- та звукозаписів».

Ірина Педь, координатор Секції судових експертів, керуючий партнер Експертної групи S&D, модератор заходу, запросила Кирила Ускова, експерта з питань інженерно-технічної експертизи та експертизи звукозапису, поговорити про комп’ютерну криміналістику, експертизу програмного забезпечення, дослідження електронної пошти, веб-ресурсів та інші важливі питання електронного доказування.

Цифрова форма зберігання інформації з’явилася з метою забезпечення максимального зберігання інформації, уникнення можливих пошкоджень (як це може статися з паперовим носієм) тощо.

Що можна отримати завдяки комп’ютерній експертизі? Перш за все, це виявлення інформації. Воно здійснюється експертами за допомогою пошукових програм-систем, пошук в яких відбувається або за ключовими словами, або за зображенням (наразі в деяких програмах працює виявлення за пошуком зображення печатки/штампа).

Що стосується копіювання інформації, яка знаходиться в цифровій формі, то спікер зауважив, що оригінал та копія таких файлів співвідносяться як 1 до 1 (тобто на 100%). Найбільше проблем, які виникають на практиці, пов’язані з відсутністю оригіналу файлу або доступу до нього.

Однозначно не менш поширеними є випадки дослідження даних, які видалені, або дослідження причини видалення даних. Як зазначив експерт, часто використовується методика видалення даних за допомогою електромагнітного способу, який вилучає дані вінчестера. Здебільшого це реалізується за допомогою сторонніх засобів, які механічним шляхом вставляються в комп’ютер. В такому разі протягом буквально півгодини роботи комп’ютера здійснюється вилучення даних у повному обсязі.

Дата і час складання інформації є також специфічною проблемою, зберігання якої залежить від матеріального носія. Непоодинокими випадками є записування інформації на флешки, диски, дискети «задньою датою». В цьому випадку матеріальні носії є вразливими, і тому у разі якісної роботи виконавця виявити відповідне порушення під час експертизи досить складно.

Натомість у разі некоректної роботи флеш-накопичувача або його втрати зникає й інформація, записана на ньому, тому така інформація дуже рідко зберігається виключно на носієві. Водночас, останні нові моделі флеш-накопичувачів у разі виявлення певних несправностей самостійно зберігають інформацію, записану на ній, без можливості видалення чи запису нових файлів.

Що стосується зберігання інформації на комп’ютері, то там наявна достатня кількість службової інформації, яка дає можливість встановити дійсну дату та час створення або зміни інформації. На відеореєстраторах за аналогією з комп’ютерами є певний обсяг інформації та журналів дій, однак вірогідність виявлення порушень є меншою, ніж на комп’ютері.

Щодо виявлення факту віддаленого доступу (наприклад, за допомогою програми TeamViewer), то наразі є технічна можливість встановлення такого факту, часу та дати сеансу, однак неможливо прослідкувати, які програми відкривались в межах сеансу, які файли створювались чи завантажувались тощо.

Також спікер ознайомив гостей із особливостями дослідження електронної пошти. Коли учасники судового спору подають до суду у якості доказів електронне листування, виникає питання щодо доведення його достовірності.

Електронна пошта є досить позитивним інструментом, однак все ж існують деякі проблеми. За отриманим електронним листом експерт має змогу дізнатися відомості про відправника, дату та час відправки. За час, поки лист надходить адресату, виникає низка маршрутних записів та службової інформації, які дають можливість прослідкувати його шлях відправки.

Водночас, є питання щодо підтвердження факту отримання електронного листа. Протокол електронної пошти не гарантує, що відправлений лист надійде адресату. Щоразу це є лотереєю, і хоч здебільшого все працює справно, однак у разі виникнення певної помилки експерт не має можливості встановити, де «загубився» електронний лист, поки немає можливості проаналізувати комп’ютер відправника чи фактичного отримувача.

Водночас, як зауважив пан Усков, у сучасних поштових системах запроваджується робота ідентифікаторів повідомлень, які зберігають інформацію про роботу з листом. Наприклад, якщо отримувач листа натисне кнопку «відповісти», однак змінить тему листа та видалить історію листування, то все ж експерт має можливість встановити, що лист було отримано адресатом.

Що стосується пошуку чи відновлення інформації із месенджерів, то, на відміну від електронної пошти, наразі відсутні певні методики роботи цих програм, що, як наслідок, ускладнює роботу експерта. Водночас, слід розуміти, що видалення повідомлення із месенджера не гарантує його видалення назавжди, оскільки тривалий час історія зберігається.

Також корисним інструментом експерта є відновлення резервного копіювання з месенджерів або аналіз даних, скопійованих на комп’ютер.

Криміналістичне дослідження звукових слідів або криміналістична фоноскопія полягає у дослідженні звукових файлів та слідів.

Задля якісного та ефективного проведення подібної експертизи важливо зберігати не лише безпосередньо звуковий файл, а й пристрій, за допомогою якого було створено файл. Наявність пристрою, на якому створено та збережено файл, дає можливість порівняти звукозапис із іншими файлами, що допомагає в підтвердженні його оригінальності. Будь-яка експертиза копії файлу (не оригіналу) не є стовідсотковою та може бути поставлена під сумнів.

Водночас, в окремих випадках експерт все ж має можливість за метаданими отримати інформацію про час, дату та геодані створення файлу, однак це залежить від низки факторів.

Також спікер поділився, що левову частину досліджень у його практиці складають справи щодо проведення комп’ютерно-технічної експертизи. Непоодинокими є випадки шахрайства, коли одна зі сторін фальсифікує повідомлення електронної пошти, змінює їх рух чи видаляє їх. Що стосується політичних справ, то спікер поділився випадком, коли довелось аналізувати файли із судовим рішенням, текст якого узгоджувався між суддею та третіми особами шляхом листування та перемовин.

Захід був цікавим для практикуючих експертів та викликав низку дискусій з проблемних питань. Секція судових експертів продовжуватиме серію обговорень з цього питання, яке неодноразово обговорювалось у професійних колах. Слідкуйте за нашими анонсами на сайті АПУ та нашій сторінці у Фейсбук!

________________________

Ми дякуємо за допомогу в підготовці матеріалу виданню «Українське право».

RECOVER PASSWORD