Компьютерная экспертиза в России

Компьютерная экспертиза в России

Компьютерная экспертиза (также известная как компьютерная экспертиза 📁) — это раздел цифровой экспертизы, связанный с доказательствами, обнаруженными на компьютерах и цифровых носителях информации. Цель компьютерной экспертизы заключается в изучении цифровых носителей с точки зрения судебной экспертизы, с целью идентификации, сохранения, восстановления, анализа и представления фактов и мнений о цифровой информации.

Хотя чаще всего она связана с расследованием широкого спектра компьютерных преступлений 🕵️‍♂️, компьютерная экспертиза также может использоваться в гражданском судопроизводстве. Эта дисциплина включает методы и принципы, аналогичные восстановлению данных, но с дополнительными рекомендациями и практиками, разработанными для создания юридически допустимого контрольного журнала.

Доказательства, полученные в результате компьютерной экспертизы, обычно подпадают под действие тех же руководящих принципов и практик, что и другие цифровые доказательства. Они использовались в ряде громких дел и признаны надёжными в судебных системах США и Европы 🌍.

Обзор

В начале 1980-х годов персональные компьютеры стали более доступными для потребителей, что привело к их более широкому использованию в преступной деятельности (например, для помощи в мошенничестве). В то же время появилось несколько новых «компьютерных преступлений» (например, взлом). Дисциплина компьютерной экспертизы возникла в этот период как метод восстановления и исследования цифровых доказательств для использования в суде. С тех пор компьютерные преступления и преступления, связанные с компьютерами, увеличились 📈: МВД  сообщило о предполагаемых 791 790 интернет-преступлениях только в 2020 году, что на 69% больше, чем в 2019 году. Сегодня компьютерная экспертиза используется для расследования самых разнообразных преступлений, включая детскую порнографию, мошенничество, шпионаж, киберпреступления, убийства и изнасилования. Эта дисциплина также используется в гражданском судопроизводстве как форма сбора информации (например, электронное обнаружение).

Методы судебной экспертизы и экспертные знания используются для объяснения текущего состояния цифрового артефакта, такого как компьютерная система, носитель информации (например, жесткий диск или CD-ROM) или электронный документ (например, сообщение электронной почты или изображение в формате JPEG) 🖥️. Объем экспертного анализа может варьироваться от простого поиска информации до реконструкции ряда событий. В книге 2002 года «Компьютерная экспертиза» определяют компьютерную экспертизу как включающую «сохранение, идентификацию, извлечение, документирование и интерпретацию компьютерных данных». Далее они описывают дисциплину как «скорее искусство, чем науку», указывая на то, что методология судебной экспертизы опирается на гибкость и обширные знания предметной области. Однако, хотя для извлечения доказательств с данного компьютера можно использовать несколько методов, стратегии, используемые правоохранительными органами, довольно жёсткие и им не хватает гибкости, присущей гражданскому миру.

Кибербезопасность

Компьютерная экспертиза часто путается с кибербезопасностью 🛡️. Кибербезопасность направлена на предотвращение и защиту, в то время как компьютерная экспертиза более реактивна и активна, включая такие действия, как отслеживание и разоблачение. Системная безопасность обычно включает две команды: кибербезопасности и компьютерной экспертизы, которые работают вместе. Команда кибербезопасности создаёт системы и программы для защиты данных; если они терпят неудачу, то команда компьютерной экспертизы восстанавливает данные и проводит расследование вторжения и кражи. Обе области требуют знания компьютерных наук.

Преступления, связанные с компьютерами

Компьютерная экспертиза используется для привлечения к ответственности лиц, причастных к физическим и цифровым преступлениям. Некоторые из этих преступлений, связанных с компьютерами, включают прерывание, перехват, нарушение авторских прав и подделку. Прерывание связано с уничтожением и кражей компьютерных частей и цифровых файлов 💻. Перехват — это несанкционированный доступ к файлам и информации, хранящимся на технологических устройствах. Нарушение авторских прав — это использование, воспроизведение и распространение защищённой авторским правом информации, включая пиратство программного обеспечения. Подделка — это обвинение кого-либо в использовании ложных данных и информации, введённых в систему через несанкционированный источник. Примеры перехватов включают дело Bank NSP, дело Sony.Sambandh.com и мошенничество с корпоративной электронной почтой.

Использование в качестве доказательства

В суде доказательства, полученные с помощью компьютерной экспертизы, подлежат обычным требованиям для цифровых доказательств ⚖️. Это требует, чтобы информация была подлинной, надёжно полученной и допустимой. Разные страны имеют свои конкретные руководства и практики по восстановлению доказательств. В Соединённом Королевстве эксперты часто следуют руководствам Ассоциации главных офицеров полиции, которые помогают обеспечить подлинность и целостность доказательств. Хотя эти руководства носят добровольный характер, они широко принимаются британскими судами.

Компьютерная экспертиза используется в качестве доказательства в уголовном праве с середины 1980-х годов. Некоторые примечательные примеры включают:

  1. Деннис …… был осуждён за серию серийных убийств, совершённых на протяжении шестнадцати лет. В конце этого периода Р… отправил письма в полицию на дискетах. Метаданные в документах указали на автора по имени «Деннис» в «Christ Lutheran Church»; это доказательство помогло арестовать Р….
  2. ..Электронная таблица, найденная на компьютере Дункана, содержала доказательства, указывающие на его планирование преступлений. Прокуроры использовали это для доказательства предумышленности и назначения смертной казни.
  3. Сотни электронных писем на компьютере Л… привели следователей к её убийце, Роберту Г….
  4. …. Это дело подтвердило обязанности сторон по сохранению цифровых доказательств, когда началось или было разумно предвидеть судебное разбирательство. Жёсткие диски были проанализированы экспертом по компьютерной экспертизе, который не нашёл соответствующих электронных писем, которые должны были быть у ответчиков. Хотя эксперт не нашёл доказательств удаления на жёстких дисках, выяснилось, что ответчики намеренно уничтожили электронные письма и ввели в заблуждение, а также не раскрыли важные факты истцам и суду.
  5. ….. был осуждён частично на основе цифровых доказательств на его компьютере. Эти доказательства включали медицинскую документацию, показывающую смертельные дозы пропофола.

Судебный процесс

Компьютерные экспертные расследования обычно следуют стандартному процессу или фазам цифровой экспертизы: сбор, изучение, анализ и составление отчёта 🧪. Расследования проводятся на статических данных (например, на собранных изображениях), а не на «живых» системах. Это изменение по сравнению с ранними судебными практиками, когда отсутствие специализированных инструментов заставляло следователей часто работать с живыми данными.

Лаборатория компьютерной экспертизы

Лаборатория компьютерной экспертизы — это безопасная и защищённая зона, где электронные данные могут быть управляемы, сохранены и доступны в контролируемой среде 🧑‍🔬. В таких условиях значительно снижается риск повреждения или модификации доказательств. Эксперты по компьютерной экспертизе обладают ресурсами, необходимыми для извлечения значимых данных из исследуемых устройств.

Техники

В ходе расследований компьютерной экспертизы используются различные техники, в том числе следующие:

  • Анализ на нескольких дисках: Эта судебная техника коррелирует информацию, найденную на нескольких жёстких дисках, и используется для выявления социальных сетей и обнаружения аномалий.
  • Анализ на месте: Изучение компьютеров с операционной системой с использованием пользовательских инструментов экспертизы или существующих инструментов операционной системы для исследования цифровых носителей и обнаружения доказательств на месте.
  • Восстановление удалённых файлов: Использование специальных программ для поиска ссылок на удалённые данные, остающихся на диске после их удаления.
  • Киберсудебная экспертиза: Подразумевает анализ интернет-артефактов, таких как файлы журналов, cookies и кэшированные файлы, чтобы выявить удалённые пользователем действия в Интернете.
  • Восстановление повреждённых данных: Сбор данных с неисправных носителей.

Похожие статьи

Бесплатная консультация экспертов

Экспертиза материнской платы
Савелий - 3 недели назад

Добрый вечер. 25 января 2024 года, мною была приобретена материнская плата asus h81m-a в магазине…

Компьютерная экспертиза программы Ibank2
Владислав - 3 недели назад

Добрый день! Наша организация не получила вовремя данные из банка. Результатом является, по нашему мнению,…

Портретная экспертиза по фотографии в соцсетях
Клавдия - 3 недели назад

Муж нашел фотографию девушки в соц. сетях. похожую на меня. И теперь думает что это…

Задавайте любые вопросы

6+18=

Задайте вопрос экспертам