Программное обеспечение обычно хранится на магнитных, оптических или электронных (непосредственно установлено в микросхемах памяти компьютера) носителях машинной информации и управляет работой вычислительной системы. Кроме того, коды программ, входные, выходные и промежуточные данные могут находиться на бумажном носителе (перфолента, перфокарта). Вся информация, относящаяся к программному обеспечению, независимо от формы носителя, является объектом экспертизы и должна быть представлена эксперту.
При исследовании программного обеспечения разрешаются следующие вопросы:
1. Каково назначение данного программного обеспечения?
2. Кто разработчик данного обеспечения?
3. Каким образом данное программное обеспечение распространяется, кто является владельцем данной копии, имеется ли лицензия или разрешение на использование данного продукта. Каков серийный номер данной копии программного обеспечения?
4. С какими входными и выходными данными оно работает, каким образом и в какой форме эти данные вводятся в ЭВМ, создаются ли (а если создаются, то где) временные файлы и файлы статистики и их содержание, в какой форме выдается, где хранится или куда передается выходная информация?
5. Требует ли данная программа при своей работе ввода паролей и наличия ключей (дискет, заглушек и пр.). Если требует, то каким образом они хранятся и кодируются, имеется ли возможность прочитать файл с паролем с помощью простейших редакторов?
6. Возможен ли обход паролей при запуске программы через отладчик?
7. Имеются ли на машинном носителе исходные коды программ на языке программирования?
8. Когда последний раз вносились изменения в программу (например, по дате и времени создания или внесения изменений в файлы)?
9. Имеются ли в программе изменения по сравнению с исходной версией, что было изменено, к каким последствиям данные изменения приводят?
10. Имеются ли в программе враждебные функции, которые влекут уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети? Каким образом эти функции осуществляются и к каким последствиям приводят?
11. Возможно ли самопроизвольное распространение данной программы, т.е. является ли данная программа компьютерным вирусом?
12. Возможно ли осуществление копирования информации или требуется инсталляция?
13. Были ли внесены в программу изменения, направленные на преодоление защиты?
14. Количественные (занимаемый объем, требуемое количество дискет, количество файлов и пр.) и качественные (назначение конкретных файлов, требование к оборудованию и пр.) характеристики программы?
15. Соответствие алгоритма работы конкретной программы требованиям, указанным в техническом задании или заявленных в инструкции по эксплуатации?
16. Имеются ли ошибки при проведении расчетов с помощью данной программы (правильно ли происходит округление чисел, правильный ли алгоритм расчета конкретных данных и пр.?
17. Определить тип ЭВМ (системы ЭВМ), совместимый с программным и аппаратным обеспечением данного компьютера, если ее нет, то каким образом это влияет на нормальную работу программы?
18. Имеется ли полная совместимость конкретного программного обеспечения с другими программами, выполняемыми на данном компьютере, если нет, то каким образом это влияет на нормальное функционирование системы?
8.3.5 Перечень вопросов, разрешаемых при исследовании баз данных
Под базами данных понимается форма представления и организации совокупности данных (статей, расчетов и т.д.), систематизированных таким образом, чтобы эти данные могли быть найдены и обработаны с помощью ЭВМ. С точки зрения организации базы данных могут представлять собой информацию в текстовых файлах и информацию в файлах со специальной структурой, которые обрабатываются специальными программами (системами управления базами данных, сокращенно СУБД), именно их в компьютерной терминологии называют базами данных.
Базы данных обычно хранятся на магнитных, оптических или электронных носителях машинной информации, а также могут быть непосредственно установлены в микросхемах памяти компьютера. Кроме того, коды баз данных, входные, выходные и промежуточные данные могут находиться на бумажном носителе (распечатки исходных текстов программ баз данных, перфолента, перфокарта). Вся информация, относящаяся к базам данных, независимо от формы носителя, является объектом экспертизы и должна быть представлена эксперту.
Перечень вопросов:
1. Каким образом организована база данных?
2. В каком формате записана информация и какие СУБД могут ее обрабатывать?
3. Какая информация записана в данной базе?
4. Информация в базе записана обычным образом или закодирована?
5. Когда последний раз обновлялась информация?
6. Имеются ли в данной базе скрытые (помеченные для удаления) поля и их содержание?
7. Имеются ли повреждения или изменения в записях базы по сравнению с эталоном или резервной копией, если да, то какие?
8. Сколько записей в базе?
9. Имеется ли в данной базе запись конкретного содержания?
10. Возможно ли внести изменение в данную базу с помощью простейших программных средств (например, текстовых редакторов и пр.)?
8.3.6 Перечень вопросов, разрешаемых при исследовании аппаратного
обеспечения ЭВМ
Под аппаратным обеспечением ЭВМ понимается комплекс технических средств, предназначенных для автоматизированной обработки информации, обеспечения хранения и передачи ее по каналам связи, ведения диалога с пользователем и выполнения других функций в составе компьютерной системы. Аппаратное обеспечение в свою очередь подразделяется на следующие устройства:
1. Центральные устройства ЭВМ (центральный процессор; оперативное и постоянное запоминающие устройства; системную шину; другие устройства для обеспечения работы вычислительной системы – контроллеры, таймер, тактовый генератор, различные буферы и пр.).
2. Периферийные устройства (видеоподсистема; накопители различных типов; устройства вывода информации; устройства ввода информации; устройства организации ЛВС и телекоммуникации; другие устройства, сопряженные с компьютером и которые функционируют под его управлением).
3. Вспомогательные устройства (устройства электропитания; различные фильтры – сетевые, экранные и пр.; аппаратура защиты, работающая автономно от центрального процессора – генераторы помех и пр.).
Вопросы, которые необходимо поставить экспертам:
1. Каковы тип устройства и его технические характеристики?
2. Исправно ли данное устройство или нет, тип неисправности (отказ или сбой), как она влияет на работу системы в целом?
3. Полностью ли совместимы между собой компоненты данного устройства, если нет, то как это сказывается на его работе?
4. Полностью ли совместимо данное устройство с каким-либо конкретным устройством, если нет, то как сказывается это на их работе?
5. Имеются ли на устройстве следы ремонта, повреждений, демонтажа микросхем, замены блоков?
6. Соответствует ли комплектация устройства технической документации, если нет, то какие компоненты были изменены, демонтированы?
7. Нет ли в данном устройстве дополнительных блоков (жучков) с враждебными функциями, если есть, то каково их предназначение?
8. Возможно ли на данном оборудовании решать какие-либо конкретные задачи?
9. Какой уровень излучений у данного устройства, возможен ли его прием специальными техническими средствами для последующей расшифровки информации, если возможен, то на каком расстоянии?
10. Возможно ли отключение аппаратных средств защиты и как это влияет на работу системы?
11. Соблюдались ли правила эксплуатации?
12. Могла ли данная проблема возникнуть в результате несоблюдения правил технической эксплуатации?
Следует отметить, что приведенные выше вопросы носят рекомендательный характер. Конкретность их постановки будет зависеть от фабулы преступления.
Контрольные вопросы
1. Какова следовая картина преступлений, сопряженных с использованием компьютерных средств?
2. Каковы типовые следообразующие признаки преступной деятельности в сфере телекоммуникации?
3. Как классифицируется исходящая криминальная абонентская активность?
4. Как классифицируется входящая криминальная абонентская активность?
5. Что относится к объектам компьютерно-технической экспертизы?
6. Какие вопросы выносятся на разрешение компьютерно-технической экспертизы?
7. Какие вопросы разрешаются при исследовании носителей машинной информации?
8. Какие вопросы разрешаются при исследовании баз данных?
9. Какие вопросы разрешаются при исследовании аппаратного обеспечения ЭВМ?
ГЛАВА 9. ПРЕДУПРЕЖДЕНИЕ ПРЕСТУПЛЕНИЙ В СФЕРЕ
ВЫСОКИХ ТЕХНОЛОГИЙ
9.1 Организационно-технические меры предупреждения компьютерных
преступлений
Международный опыт борьбы с преступностью свидетельствует о том, что одним из приоритетных направлений решения задачи эффективного противодействия современной преступной деятельности является активное использование правоохранительными органами различных мер профилактического характера.
Большинство зарубежных специалистов прямо указывают на то, что предупредить компьютерное преступление всегда намного легче и проще, чем его раскрыть и расследовать.
Как уже отмечалось, обычно выделяются две основные группы мер предупреждения компьютерных преступлений: правовые и организационно-технические.
Одной из основных проблем, затрудняющих предупреждение и расследование компьютерных преступлений, является дефицит квалифицированных специалистов МВД России (редкий следователь обладает глубокими познаниями процессов, происходящих в компьютере, не говоря уже о расследовании компьютерных преступлений) и отсутствие наработок в этой области (методических рекомендаций по изъятию, обыску, осмотру места происшествия и т.п.).