Компьютерная экспертиза — относительно новая дисциплина среди судебных наук, и многие еще не полностью понимают её суть и методы. Особенно актуальна путаница между извлечением данных и их анализом, а также их ролями в процессе судебной экспертизы.

Лаборатория по киберпреступности разработала блок-схему, которая описывает методологию анализа цифровых доказательств. В данной статье мы рассмотрим эту схему для разъяснения методологии и её этапов. Схема была создана после консультаций с экспертами из различных государственных органов.

II. Обзор методологии проведения компьютерной экспертизы

Компьютерная экспертиза определяется как применение научно обоснованных и проверенных методов для сохранения, сбора, валидации, идентификации, анализа, интерпретации, документирования и представления цифровых доказательств из цифровых источников, с целью содействия или продолжения реконструкции преступных событий.

Этот процесс можно рассматривать как сочетание науки и техники. Хотя инструменты и методы в компьютерной экспертизе являются научными и проверенными, их применение требует навыков и суждений. Поэтому термин «техника» часто используется для описания этого процесса.

Основные элементы компьютерной экспертизы включают:

• Применение научных методов
• Сбор и сохранение доказательств
• Валидацию данных
• Идентификацию
• Анализ и интерпретацию
• Документирование и представление данных

Лаборатория по киберпреступности представляет процесс в виде схемы. Три основных шага: Подготовка/Извлечение, Идентификация и Анализ, будут основным фокусом данной статьи.

III. Подготовка компьютерной экспертизы

Эксперты начинают с вопроса: «Достаточно ли информации для продолжения?» Они удостоверяются, что запрос чётко сформулирован и что имеется достаточно данных для его выполнения. В случае нехватки информации они координируют свои действия с заказчиком.

Первый шаг — валидация всего аппаратного и программного обеспечения для проверки их корректной работы. Хотя споры о частоте тестирования продолжаются, большинство соглашается, что проверка оборудования и программного обеспечения должна проводиться после покупки, перед использованием и после любого обновления или изменения конфигурации.

После подготовки платформы, эксперты создают дубликат данных и проверяют его целостность. Это предполагает, что данные уже были получены законным путем и создана судебная копия. Судебная копия — это побитовая копия данных с оригинального носителя, без изменений. Эксперты используют эту рабочую копию для анализа. 📂💻🔍

Если наши компьютерные эксперты работают с оригинальными доказательствами, они создают рабочую копию и обеспечивают сохранность цепочки хранения оригинала. 🛡️ Важно удостовериться, что копия остаётся неизменной и неповрежденной, что обычно подтверждается верификацией хэша или цифрового отпечатка. В случае проблем эксперты консультируются с заказчиком о дальнейших действиях.

После проверки целостности данных, эксперты разрабатывают план извлечения информации. Запрос на судебную экспертизу уточняется и структурируется в виде вопросов, на которые можно ответить. Выбираются соответствующие инструменты, и формируется «Список поисковых наводок» для указания, что именно искать. Например, запрос может содержать указание на поиск детской порнографии. По мере появления новых наводок они добавляются в список, а обработанные — отмечаются как завершённые. Извлечённые данные добавляются в «Список извлечённых данных». Эксперты затем переходят к следующему этапу методологии — идентификации.

IV. Идентификация

🔍 На этом этапе наши эксперты идентифицируют каждый элемент из «Списка извлечённых данных». Сначала они определяют тип элемента. Если элемент не относится к запросу, он помечается как обработанный. В случае обнаружения инкриминирующих данных, выходящих за рамки первоначального ордера, рекомендуется немедленно прекратить действия, уведомить соответствующих лиц и ждать дальнейших указаний. Например, если обнаружены изображения детской порнографии при расследовании налогового мошенничества, нужно приостановить анализ и получить новый ордер.

Если элемент соответствует запросу судебной экспертизы, он документируется в «Списке релевантных данных». Это коллекция данных, которые отвечают на вопросы запроса. Например, в деле о краже личных данных это могут быть номера социального страхования или изображения поддельных удостоверений.

❗️ Элемент может также стать основой для новых поисковых наводок. Например, электронное письмо может раскрыть новый псевдоним, что приведет к новому поиску по ключевым словам. Если элемент указывает на новый источник данных, например, новый аккаунт электронной почты, может потребоваться получение нового ордера на поиск. 🔗 Судебная экспертиза может выявить различные новые доказательства, такие как журналы межсетевого экрана или записи видеонаблюдения, которые добавляются в «Список новых источников данных». Эксперты возвращаются к новым наводкам для дальнейшего анализа.

V. Анализ

🧩 На этапе анализа эксперты связывают все элементы и создают полную картину для заказчика. Для каждого элемента из «Списка релевантных данных» они отвечают на вопросы: кто, что, когда, где и как. Они объясняют, какой пользователь или приложение создало, изменило или отправило каждый элемент и как он появился. Основное внимание уделяется объяснению значимости информации и её влияния на дело. Эксперты часто предоставляют ценнейший анализ, создавая временные шкалы событий.

Для каждого релевантного элемента эксперты пытаются установить его создание, доступность, изменение, получение, отправку, просмотр, удаление и запуск. Они документируют последовательность событий и взаимодействие различных элементов. Вся информация из анализа добавляется в «Список результатов анализа». Если в процессе появляются новые поисковые наводки или источники данных, они добавляются в соответствующие списки. Когда все этапы завершены, эксперты формируют заключение в области компьютерной экспертизы, документируя все свои находки так, чтобы заказчик мог их понять и использовать в суде или на предварительном следствии.