Организация технико-криминалистической экспертизы компьютерных систем
И. Собецкий
В статье (О доказательственном значении лог-файлов) мною было проанализировано доказательственное значение лог-файлов, получаемых в ходе расследования уголовных дел о правонарушениях в сфере компьютерной информации. Однако остается ещё один не менее важный вопрос – о производстве экспертизы разного рода компьютерных систем. Такая экспертиза может потребоваться как в гражданском (в случае споров об ответственности между заказчиком и подрядчиком, о наступлении страхового случая, невиновном причинении вреда), так и в уголовном процессе (исследование техники, принадлежавшей правонарушителям либо потерпевшим, для установления истины по делу).
В то же время сейчас перед юристами и экспертами по информационной безопасности стоят многие проблемы, затрудняющие производство таких экспертных исследований и использование их результатов в гражданском и уголовном процессе.
Очевидно, что проводимая в рамках уголовного процесса экспертиза компьютерной техники может предоставить в распоряжение следователя и суда весомые доказательства вины (или невиновности) подсудимого. Это касается не только преступлений в сфере компьютерной информации, но и большей части преступлений экономической направленности и некоторых общеуголовных (например, незаконного распространение порнографических материалов или предметов, мошенничества, подделки документов и т.п.). Как известно, любая организованная деятельность, в том числе преступная, не может обходиться без учёта, а в современных условиях большинство видов учёта успешно автоматизировано посредством компьютерной техники. Характерным примером использования результатов технико-криминалистической экспертизы явилось дело НК «ЮКОС», когда владельцу компании М.Б. Ходорковскому были предъявлены обвинения на основании данных, полученных именно в результате экспертизы изъятых в НК компьютеров. Однако технико-криминалистическая экспертиза компьютерной техники, в отличие от многих других экспертиз, до сих пор не поставлена «на поток». Что позволено Юпитеру, не позволено быку – по сотням менее громких дел технико-криминалистическую экспертизу компьютерных систем проводить некому и некогда.
В целом при назначении технико-криминалистической экспертизы компьютерных систем следователям приходится решать следующие наиболее существенные проблемы:
- Отсутствие в штате экспертных подразделений правоохранительных органов и Министерства юстиции достаточно квалифицированных специалистов в области компьютерной информации.
- Недостаточная подготовка в области компьютерной техники, не позволяющая правильно сформулировать вопросы для эксперта (особенно по общеуголовным составам). Постановка перед экспертами вопросов, выходящих за рамки их компетенции.
- Трудности в интерпретации результатов экспертизы.
Рассмотрим эти проблемы более подробно. В настоящее время экспертиза по уголовным делам производится либо экспертно-криминалистическими подразделениями органов внутренних дел и ФСБ, либо лабораториями судебной экспертизы Министерства юстиции. Ведомственные эксперты МВД и ФСБ, за очень редким исключением, разбираются в компьютерных системах на уровне «продвинутого пользователя», то есть в принципе не имеют возможности проводить сложные экспертизы. В лучшем случае такие эксперты не могут преодолеть парольную защиту в Windows NT или просят «снять пароль» с jpg-файла (работникам НИП «Информзащита» неоднократно приходилось консультировать таких специалистов). В худшем же случае результаты их экспертизы либо неполны, либо вследствие ошибок теряют доказательственное значение. Автору известно несколько особо тяжёлых случаев, когда недостаточно квалифицированные эксперты полностью уничтожали существенную информацию на изъятой компьютерной технике.
В экспертных лабораториях Министерства юстиции осуществляются вполне качественные экспертизы компьютерных систем, однако и здесь соответствующих специалистов явно недостаточно. Поэтому технико-криминалистические экспертизы компьютерных систем проводятся далеко не во всех регионах РФ и занимают значительное время.
Вследствие недостаточной подготовки следователи и судьи зачастую при назначении экспертизы компьютерных систем неправильно ставят перед экспертом вопросы. Наиболее типичны здесь три ошибки:
- Постановка излишне общих вопросов, не имеющих значения для рассматриваемого дела. Классический пример из практики автора – «Восстановить и распечатать все стёртые файлы». Интересно, все многочисленные копии файла win386.swp тоже печатать?
- Постановка вопросов, явно выходящих за рамки профессиональной компетенции эксперта или неразрешимых в принципе. Например – «Установить, имеются ли на клавиатуре отпечатки пальцев гражданина Н?» или «Установить, где в настоящее время находится информация, скопированная неизвестными лицами с исследуемого компьютера?»
- Постановка вопросов, которые должны решаться не экспертом, а исключительно следствием и судом. К таковым относятся вопросы о нарушении законодательства в той или иной сфере, а также о целях и мотивах каких-либо действий. Характерный пример – «Являются ли программы на изъятом компьютере контрафактными?»
Поскольку ведомственные эксперты, как правило, некритически относятся к подобным вопросам, то их заключения оказываются либо неконкретными, малоинформативными для следствия, либо же оспариваются в суде адвокатом противной стороны. В самом деле, когда эксперт пишет в заключении, что на таком-то компьютере им обнаружено контрафактное программное обеспечение, он по сути принимает на себя функции суда. Устанавливать наличие состава преступления в России может только суд. Тем не менее эксперт, не дожидаясь судебного приговора, сам объявляет преступление доказанным. Разумеется, к такому заключению суд может отнестись критически.
В связи с недостаточным количеством экспертов производство технико-криминалистической экспертизы в учреждениях Минюста занимает продолжительное время. Сроки же предварительного следствия жёстко ограничены Уголовно-процессуальным кодексом. В соответствии со ст. 162 УПК, «предварительное следствие по уголовному делу должно быть закончено в срок, не превышающий 2 месяцев со дня возбуждения уголовного дела». Срок предварительного следствия может быть продлён, но по обычным уголовным делам экономической направленности продление крайне редко оформляется на срок свыше 1 месяца. В результате заключение экспертов, поступившее в последние дни перед окончанием срока следствия, просто подшивается в дело как одно из доказательств. Использовать предоставленную экспертом информацию для новых следственных действий у следователя просто не остаётся времени.
Следствием всего изложенного является малополезность результатов экспертизы для следователя. В большинстве случаев заключение эксперта просматривается «по диагонали», следователь убеждается, что на поставленные им вопросы дан положительный ответ. А в суде может выясниться, например, что экспертом обнаружены признаки и других составов преступлений, которые были благополучно проигнорированы следователем.
Недофинансирование экспертных подразделений создаёт в конечном итоге благоприятные условия для ущемления прав как подследственных и обвиняемых, так и потерпевших. Так, автору не известно ни одного случая, когда обвиняемый воспользовался бы своим декларированным в п.11 части 4 статьи 47 УПК РФ правом
«знакомиться с постановлением о назначении судебной экспертизы, ставить вопросы эксперту и знакомиться с заключением эксперта». Претензии же потерпевших на реализацию их прав, предусмотренных пунктами 9 и 11 части 2 статьи 42 УПК – «участвовать с разрешения следователя или дознавателя в следственных действиях, производимых по его ходатайству либо ходатайству его представителя» и «знакомиться с постановлением о назначении судебной экспертизы и заключением эксперта» – вообще воспринимаются следователями как остроумная шутка. Следователи понимают, что большинство экспертов государственных учреждений просто не готовы к жесткому и пристрастному контролю.
Очень неприятное положение складывается, если выводы таких экспертов поставлены под сомнение в суде. В таком случае суд может только назначить повторную экспертизу, как правило, в том же самом учреждении. При этом зачастую оказывается, что в ходе первой экспертизы исследуемые системы изменены до такой степени, что новый эксперт руководствуется в большей степени корпоративной солидарностью – никаких более объективных материалов всё равно не осталось. Многие юристы в такой ситуации настаивают на «независимой» экспертизе, приглашая собственных экспертов. Впрочем, независимость этих экспертов весьма сомнительна, ведь их услуги оплачены одной из сторон процесса! Легко предположить, что в заключениях этих экспертов будет преобладать явно выраженный «оправдательный уклон», в противовес «обвинительному уклону» экспертов на государственной службе. Еще хуже положение дел с экспертизой в гражданском судопроизводстве. Если по уголовным делам всё же есть учреждения, обязанные производить экспертизу компьютерных систем, то по гражданским делам производить экспертизу никто не обязан. Более того, существующие в различных регионах и хорошо себя зарекомендовавшие центры независимой экспертизы в принципе не занимаются профессиональным исследованием компьютерных систем. В результате участники гражданского процесса вынуждены обращаться к «независимым» экспертам зачастую весьма сомнительной репутации. Нередки случаи, когда с обеих сторон выдвигаются «независимые» эксперты с противоположными мнениями. Ничего, впрочем, удивительного – как известно, кто платит, тот и заказывает музыку.
Ситуация конфликта двух «независимых» экспертов со стороны истца и ответчика ставит суд в трудное положение. По российскому законодательству судья не только не может в бесспорном порядке поручить кому-то производство экспертизы по гражданскому делу, но и не имеет права предложить сторонам известного ему эксперта. В результате тяжущиеся стороны раз за разом приводят в суд оплаченных ими экспертов, объективность которых вызывает большие сомнения.
Напрашивается предложение обратиться при производстве экспертиз компьютерных систем к частным специалистам в более или менее авторитетной организации, специализирующейся на информационной безопасности. Как правило, такие организации дорожат своей репутацией, а работающие в них специалисты имеют достаточно высокую квалификацию. Однако по-настоящему серьёзные частные эксперты весьма невыгодно отличаются от экспертов на государственной службе – они требуют адекватной оплаты за свои экспертизы. Запросы специалистов, с точки зрения должностных лиц правоохранительных органов, непомерно высоки. Так, стоимость полного исследования информации, содержащейся только в одном персональном компьютере, в различных организациях составляет от 7500 до 25000 рублей. Эти суммы существенно превышают ассигнованные следственным и судебным органам средства. Поэтому при назначении технико-криминалистической экспертизы компьютерных систем по большинству уголовных дел следователи и судьи исходят преимущественно из финансовых соображений. Дешёвые государственные эксперты и все проблемы, проистекающие из их заключений, в этом случае воспринимаются как меньшее зло.
Автору представляется, что выходом из сложившейся ситуации могло бы стать отнесение полной стоимости экспертизы по уголовным делам на судебные издержки. В таком качестве эти расходы будут в большинстве случаев покрываться из средств осуждённого. Над частными экспертами не будет довлеть корпоративная солидарность с правоохранительными органами, и оспорить выданные ими заключения будет гораздо труднее. Прозрачная же система оплаты их услуг поможет избежать обвинений в сговоре со стороной защиты. Этот вариант, разумеется, также не идеален. Однако ничего лучшего (и притом реализуемого на практике) в настоящее время просто не усматривается.
Аналогичный механизм предусмотрен (хотя и практически не задействован) в гражданском судопроизводстве. Истец оплачивает экспертизу из собственных средств, а в случае удовлетворения иска эта сумма взыскивается с ответчика. Как и в случае с экспертизой по уголовным делам, профессиональная репутация эксперта будет служить лучшей защитой от возможных фальсификаций.
Теперь обсудим некоторые аспекты собственно проведения экспертизы. Допустим, что эксперт приступил к исследованию некоей компьютерной системы. При этом его деятельность регламентируется статьёй 57 УПК РФ:
Большинство экспертов нарушают требования этой статьи немедленно в самом начале исследования – как только включают исследуемый компьютер. Дело в том, что п. 3 части 4 этой статьи прямо запрещает эксперту производить действия, вызывающие изменения основных свойств исследуемого объекта. Применительно к компьютерной технике, эксперт обязан обеспечить неизменность содержимого жестких дисков и иных носителей информации в исследуемых компьютерах. Только при соблюдении этого условия выводы эксперта могут быть проверены при необходимости повторной экспертизой.
Большинство современных операционных систем, в частности Windows 95/98/NT/XP, Windows 2000/2003, MacOS, OS/2 и все разновидности UNIX, в процессе работы осуществляют запись на жесткий диск – как минимум в файл подкачки. Если же речь идет о компьютерах, используемых в криминальных целях, то на них вообще может быть установлена специальная программа для уничтожения информации. При включении такого «заминированного» компьютера без особых предосторожностей содержимое его жёсткого диска может измениться до такой степени, что не будет представлять уже никакой ценности для следствия и суда.
Поэтому эксперт обязан позаботиться о сохранении всех исследуемых носителей информации в неизменяемом состоянии. Эта цель может быть достигнута как технологически, так и физическими методами. Основной технологический приём – загрузка на исследуемом компьютере с внешнего носителя т.н. доверенной операционной системы, которая заведомо не производит несанкционированной записи на жёсткий диск. Характерным примером такой системы может служить MS DOS 6.22 (без менеджеров памяти типа QEMM), а также некоторые усечённые версии UNIX. Допустимо также изъятие жесткого диска из исследуемого компьютера и подключение его к собственному компьютеру с загруженной там доверенной операционной системой.
Физически жёсткий диск исследуемого компьютера может быть защищён от записи путём подключения его через специальное устройство. Например, устройство FastBloc производства американской корпорации Guidance Software обеспечивает аппаратную блокировку записи на жёсткие диски с интерфейсами IDE и SCSI при сохранении скорости обмена с диском. В такой (и только в такой!) конфигурации допустимо загружать исследуемый компьютер в штатном режиме.
В любом случае невозможность записи на жёсткий диск исследуемого компьютера существенно затрудняет процесс поиска нужной информации. Оказывается невозможным, к примеру, восстановить стёртые файлы, работать с текстовыми процессорами и СУБД, даже просто осуществлять расширенный поиск информации. Поэтому для того, чтобы произвести экспертизу за приемлемое время, эксперт должен создать файл-образ исследуемого жёсткого диска на своём компьютере либо попросту скопировать исследуемый жёсткий диск на другой. При этом недопустимо стандартное копирование файлов, поскольку не меньший интерес для эксперта представляет пространство диска, считающееся свободным. Следует использовать специальное программное обеспечение, например Symantec Ghost, которое осуществляет посекторное копирование носителей информации.
Слабым местом такого подхода является, как всегда, финансирование. Для того, чтобы создать на своём компьютере (или компьютерах) образ или копию исследуемого жёсткого диска, эксперт должен располагать носителем информации как минимум такой же ёмкости. А если на экспертизу направлено несколько компьютеров, да ещё сервер с RAID-массивом… Вот тут-то государственный эксперт и вспоминает, что проверить его заключение сможет разве что коллега из соседней комнаты. И 57-я статья приносится в жертву целесообразности. Раз такого объёма свободного места просто нет, эксперт начинает работать непосредственно с жёстким диском исследуемого компьютера. При этом могут быть восстановлены файлы, распакованы архивы, снят пароль с подвернувшейся базы данных… Словом, в ходе исследования происходит то самое «изменение внешнего вида или основных свойств» исследуемого объекта. Аналогичные ошибки зачастую допускают и «независимые» эксперты, приглашенные сторонами процесса либо правоохранительными органами.
Если подсудимый смог воспользоваться услугами высокооплачиваемого адвоката и выводы эксперта ставятся под сомнение, то при повторной экспертизе могут возникнуть существенные трудности. Так, автору статьи пришлось некоторое время назад исследовать компьютер, побывавший в кривых руках «независимого» специалиста. Суд тогда вынес решение о повторной экспертизе.
В ходе повторной экспертизы на жёстком диске исследуемого компьютера было обнаружено множество файлов, созданных… после даты изъятия компьютера! Корпус не был опечатан, а микросхем оперативной памяти не оказалось вовсе. «Независимый» эксперт был прост как две копейки: файлы с бухгалтерскими документами были отформатированы очень неудобно, поэтому он попросту взял и отредактировал их прямо на исследуемом компьютере. Ничего, что содержимое изменилось, зато всё на принтер влезло! После «независимой» экспертизы компьютер в неопечатанном виде долго хранился в неохраняемом коридоре, поэтому извлечь микросхемы мог кто угодно, может быть их с самого начала не было. И вообще, при чём тут микросхемы, жёсткий диск исследовать надо! Да ты что, старик, мне не веришь?!
Общими усилиями горе-эксперту разъяснили, что экспертиза компьютерных систем проводится на основе сбора и анализа объективных фактов, а верить или не верить можно в свободное время в храме. К сожалению, автору статьи пришлось зафиксировать в заключении об исследовании и сомнительное авторство бухгалтерских документов, и изменение аппаратной конфигурации, и распакованные архивы… К новому судебному заседанию дело похудело вдвое. Приговор оправдал самые лучшие ожидания адвоката.
Дальнейшее исследование созданного экспертом образа диска только вопрос времени. Правда, довольно продолжительного – до сих пор в России нет специального программного обеспечения для производства экспертизы. Поэтому самым старым и самым надёжным экспертным средством остаётся программа Disc Editor из набора Norton Utilites. При использовании этой программы для поиска определенных ключевых последовательностей на исследуемом диске поиск только одной последовательности на образе диска в 40 Гб занимает от 30 минут до 1 часа, в зависимости от производительности компьютера эксперта. Полное исследование такого компьютера может занять несколько дней. Исследование серверов с большим объёмом дискового пространства растягивается на недели.
В учреждениях, обеспеченных финансированием, эксперты могут использовать специализированное программное обеспечение. В ряде стран Западной Европы и США разработаны программы, предназначенные специально для производства экспертизы компьютерной техники. Наилучшей среди них, бесспорно, является программа EnCase – разработка американской компании Guidance Software. Первоначально эта программа была разработана исключительно для нужд таких государственных организаций США, как Секретная служба Министерства финансов, ФБР и АНБ, но в настоящее время предлагается к свободной продаже.
Программа EnCase практически полностью автоматизирует как процесс создания копии исследуемого жесткого диска, так и исследование его содержимого. Основными возможностями этой программы являются:
- проведение контекстного поиска и анализа информации на магнитных носителях с различными файловыми системами одновременно, включая FAT12, FAT16, FAT32, NTFS, Linux, UNIX, Macintosh, а также CD-ROM и DVD-R;
- встроенный макроязык дает возможность составлять мощные фильтры и программы для настройки EnCase и применять «продвинутые» методы для автоматического анализа всех данных, содержащихся на исследуемом носителе;
- подсистема коллекционирования картинок автоматически опознает все файлы, содержащие фрагменты графических изображений, и показывает их в виде пиктограмм, которые легко можно пометить закладками или скопировать на CD-ROM;
- просмотр файлов без изменения их содержания или времени создания;
- «простой» поиск информации по всему диску с использованием любого количества ключевых слов;
- «сложный» поиск информации с использованием мощного синтаксиса UNIX GREP;
- просмотр файлов сложной структуры, таких как реестр Windows, файлы-вложения в сообщения электронной почты и Zip-файлы;
- просмотр всех существенных отметок времени для всех файлов в компьютере с помощью мощной программы с временной шкалой.
EnCase и аналогичные ей программы не являются экспертными системами или базами знаний, они не могут анализировать лог-файлы и файлы протоколов, а также не дают каких-либо советов лицу, ведущему расследование. Фактически, эти программы представляют собой многофункциональный и довольно удобный инструмент для анализа содержимого изъятых носителей компьютерной информации. Методика работы с этими программами обеспечивает доказательственное значение собранных данных, даже по более строгому в данном отношении законодательству США.
За счёт использования EnCase и подобных ей программ время исследования одного сервера сокращается до 3-4 дней, а компьютер с жёстким диском не слишком большого объёма исследуется менее чем за 1 день. К сожалению, многие государственные экспертные учреждения не в состоянии приобрести экспертное программное обеспечение по причине недофинансирования.
В то же время автору не хотелось бы создать впечатление, что эксперты из негосударственных учреждений могут свысока смотреть на своих коллег, состоящих на государственной службе. Дело в том, что практически все сотрудники государственных экспертных учреждений в совершенстве изучили процессуальную сторону дела и имеют весьма ценный опыт защиты своих выводов непосредственно в судебном заседании. Специалисты же из негосударственных структур, в целом обладая более высокой квалификацией в области компьютерных систем, зачастую не уделяют достаточного внимания ни процессуальному оформлению своих заключений, ни выступлению в суде. Срабатывает старый стереотип программиста – эти вопросы решаются «по умолчанию», всё важное в заключении было написано, а неважное само собой разумеется.
Между тем заключение эксперта – не роман, и вольный стиль тут неуместен. Статья 204 Уголовно-процессуального кодекса РФ оговаривает основные требования к заключению эксперта:
В заключении эксперта указываются:
- дата, время и место производства судебной экспертизы;
- основания производства судебной экспертизы;
- должностное лицо, назначившее судебную экспертизу;
- сведения об экспертном учреждении, а также фамилия, имя и отчество эксперта, его образование, специальность, стаж работы, ученая степень и (или) ученое звание, занимаемая должность;
- сведения о предупреждении эксперта об ответственности за дачу заведомо ложного заключения;
- вопросы, поставленные перед экспертом;
- объекты исследований и материалы, представленные для производства судебной экспертизы;
- данные о лицах, присутствовавших при производстве судебной экспертизы;
- содержание и результаты исследований с указанием примененных методик;
- выводы по поставленным перед экспертом вопросам и их обоснование.
Добротное заключение эксперта, имеющее хорошие шансы на признание в суде, должно состоять из трёх частей – вводной, где в соответствии c пунктами 1-8 части 1 ст. 204 излагаются все необходимые формальности, описательной, где в подробностях описывается весь процесс исследования, и резолютивной, где указываются основные выводы. При этом в заключении желательно использовать вполне определённую терминологию. Например, на поставленные следователем вопросы эксперт может давать только три типа ответов, как в армии, – «категорически да», «категорически нет» и «предположительно». Не котируются в судах такие откровения экспертов, как «по моему скромному мнению», «всем известно, что…» и даже «на основании собранных данных я догадался…» Процитированного последним автора до сих пор вспоминают в одном из судов под ласковым псевдонимом «догадливый», что не помешало отклонить его заключение.
Следует помнить также, что в соответствии со статьёй 282 Уголовно-процессуального кодекса РФ автор экспертного заключения может быть вызван для допроса в суд:
По ходатайству сторон или по собственной инициативе суд вправе вызвать для допроса эксперта, давшего заключение в ходе предварительного расследования, для разъяснения или дополнения данного им заключения.
Ещё ни один известный автору статьи эксперт не готовился специально к такому походу. Эти специалисты полагают, что в суде в ходе общения с дилетантами в компьютерной сфере достаточно сказать пару терминов и настоять на своём заключении. На самом же деле допрос эксперта – самостоятельное действие. В ходе допроса суд имеет возможность как проверить квалификацию эксперта, так и получить дополнительную информацию, не вошедшую в заключение. Однако неготовые к такой ситуации частные эксперты зачастую становятся лёгкой добычей адвокатов противной стороны. Опытному адвокату с большим стажем выступлений в суде обычно не составляет труда запутать и подавить человека, никогда в суде не выступавшего. Соответствующий набор неджентльменских, но тем не менее вполне законных приёмов описан в специальной литературе.
Даже если эксперт отличается крепкими нервами и завидной самостоятельностью, его можно поймать на несложную провокацию. Так, в Петербурге перед судебным разбирательством по уголовному делу о преступлении в сфере экономики помощник адвоката вежливо попросил эксперта зайти в такую-то комнату – «Вас туда вызывают!». После этого адвокату осталось только зафиксировать со свидетелями, как независимый эксперт перед процессом зашёл в комнату, отведённую в суде для представителей прокуратуры, — после чего на суде эксперту был заявлен отвод по мотивам его личной заинтересованности в исходе дела. Несмотря на бесспорный профессионализм эксперта в области информационной безопасности, его заключение лишилось доказательственного значения вследствие всего лишь одного неверного шага! Адвокаты настолько привыкли к правовой безграмотности негосударственных экспертов, что даже обижаются, когда эксперт не «ведётся». В одном из московских судов после небольшой дискуссии с автором статьи адвокат искренне возмущался: «Вы меня перед клиентом опозорили! Кто вам позволил кодексы цитировать?!». Эту же фразу с разной степенью аффектации повторяли и другие проигравшие адвокаты…
В целом можно считать, что на современном этапе целесообразно организовать качественную экспертизу компьютерных систем как по уголовным, так и по гражданским делам на базе негосударственных учреждений, специализирующихся в области информационной безопасности. Разумеется такой подход предполагает усиление внимания к правовой стороне вопроса, в частности обязательный процессуальный «ликбез» для работников этих организаций, непосредственно задействованных в производстве экспертиз.
Автор этой статьи будет благодарен за замечания и комментарии по адресу sobetsky@infosec.ru
Статья опубликована на сайте: 09.08.2007