Судебная экспертиза в процессе расследования

киберпреступлений

Балашов В. Ю., судебный эксперт сектора компьютерно-технических и телекоммуникационных исследований Харьковского НИИ судебных экспертиз им. Засл. проф. Н. С. Бокариуса

Компьютерно-техническая экспертиза

«експертиза комп`ютерної техніки та програмних продуктів»

Объект

Информация на цифровых носителях:

• НЖМД в системном блоке ПК

• Флешки

• Компакт-диски

• Встроенная память устройств и т.д.

Основные задачи

• Установление работоспособности устройства

• Установление обстоятельств, связанных с использованием устройства

• Обнаружение информации и ПО, имеющихся на накопителе информации

• установление соответствия ПО определённым версиям или требованиям на разработку

Телекоммуникационная

«Експертиза телекомунікаційних систем та засобів»

Объект

• Телекоммуникационные системы и средства

• Сети и их составные части

• Информация, передаваемая, принимаемая и обрабатываемая в сети

Основные задачи

• Определение характеристик и параметров систем и средств

• Установление фактов и способов передачи (приёма) информации в сети

• Установление фактов и способов доступа к системам, ресурсам и информации.

• Установление качества предоставления телекоммуникационных услуг на уровне их потребления

• Установление конфигурации и рабочего состояния телекоммуникационных систем и средств

• Установление типа, марки, модели и других классификационных категорий систем и средств

• Исследование алгоритмов обработки информации и её защиты

Ключевые статьи УК

• 361 - несанкционированное вмешательство в работу ЭВМ, АС, компьютерных сетей или сетей электросвязи, которое привело к:

утечке

потере

подделке

Блокированию информации

Искажению процесса обработки информации

Нарушению установленного порядка маршрутизации информации

361-1

Создание с целью использования, распространения или сбыта вредных программных или технических средств, а так же их распространение или сбыт.

361-2

Несанкционированный сбыт или распространение информации с ограниченным доступом, которая храниться в ЭВМ, АС, компьютерных сетях или на носителях такой информации

362

Несанкционированное изменение, уничтожение или блокирование информации лицом, имеющим право доступа к ней

Определение несанкционированных действий требуют доказательства факта

отсутствия санкции

Как правильно изъять?

• Грубое отключение

• Копирование (клонирование)

• Предварительный анализ на месте

Грубое отключение

Плюсы:

отсутствие вмешательства

изъятие всего ПК или НЖМД в оригинале

Минусы:

риск потери или искажения информации

потеря информации в ОЗУ

Клонирование

Плюсы: лояльный подход к подозреваемому лёгкое и надёжное хранение дублирование Минусы: время, затрачиваемое на клонирование необходимость иметь под рукой носители большой ёмкости засвидетельствование целостности информации

Предварительный анализ

Проводить или оставить на усмотрение экспертов?

Инструменты предварительного анализа

• Вручную

• Defacto

• COFFEE

COFFEE

Computer Online Forensic Evidence Extractor

Преимущества

• 20 минут для сбора большого количества потенциально важной информации

• Полная автоматизация. Достаточно просто подключить USB-накопитель

• Высокая вероятность в отсутствии необходимости дальнейшей экспертизы

• Фиксация состояния ОС, которое будет потеряно при выключении ПК

Недостатки

Есть риск нарваться на защиту: Detect and Eliminate Computer Acquired Forensics (DECAF)

Работает только для Windows систем

Сложность фиксации отчётов при документировании ОМП.

Недостатки

В апреле 2009 года Майкрософт и Интерпол подписали соглашение о сотрудничестве, согласно которому Интерпол будет распространять COFEE среди правоохранительных органов в 187 странах. Майкрософт предлагает свои устройства и техническую поддержку бесплатно.

http://wlstorage.net/file/microsoft-cofee-112.zip

Запомнить

Не включать изъятые ПК.

Использовать блокиратор записи.