СТАТЬИ АРБИР
 

  2016

  Декабрь   
  Пн Вт Ср Чт Пт Сб Вс
28 29 30 1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31 1
   

  
Логин:
Пароль:
Регистрация
Забыли свой пароль?


СУДЕБНАЯ КОМПЬЮТЕРНО-ТЕХНИЧЕСКАЯ ЭКСПЕРТИЗА (ЭКСПЕРТНОЕ ЗАКЛЮЧЕНИЕ). Ошибки, связанные с производством экспертного исследования

Наибольшее количество ошибок в судебной компьютерно-технической экспертизе, к сожалению, допускается при проведении исследования. Данные ошибки можно условно разделить на две категории: ошибки методического характера и ошибки юридического характера. Рассмотрим указанные ошибки более подробно.

1. Ошибки юридического характера.

Говоря об ошибках юридического характера, возникающих при проведении СКТЭ, особое внимание хотелось бы уделить специфическим, свойственным в основном этому роду судебных экспертиз. К ним мы можем отнести несоблюдение международных нормативных актов по работе с цифровыми доказательствами, установление контрафактности и вредоносности программ, проведение оценки и определение правообладателя и причиненного ему ущерба.

Рассмотрим подробнее каждую из них.

Важным при проведении СКТЭ является соблюдение принципов сохранности цифровых данных, которые сегодня приведены в Инструкции по обращению с цифровыми изображениями и аудиодоказательствами и Практическом руководстве по исследованию цифровых доказательств <1>. В настоящее время Международной организацией по компьютерным доказательствам (IOCE) приняты шесть принципов, которыми надлежит руководствоваться при поиске, обнаружении, фиксации, изъятии, исследовании и хранении цифровых доказательств:

--------------------------------

<1> Checklist for handling digital Image and Audio evidence (Инструкция по обращению с цифровыми изображениями и аудиодоказательствами) IOCE, December 2000. http:// ioce.org/ fileadmin/ user_upload/ 2000/ ioce %202000 %20digital %20image %20audio_checklist %20for %20handling %20digital %20evid.doc, дата последнего посещения - 24.02.2011; Guidelines for best practice in the forensic examination of digital technology (Практическое руководство по исследованию цифровых доказательств) IOCE, May 2002. http:// ioce.org/ fileadmin/ user_up-load/ 2002/G uidelines %20for %20Best %20Practices %20in %20Examination %20 of%20Digital%20Evid.pdf, дата последнего посещения 24 февраля 2011 г.

I. При работе с цифровым доказательством должны быть соблюдены все общие судебно-экспертные и процессуальные положения (When dealing with digital evidence, all of the general forensic and procedural principles must be applied).

II. При изъятии цифровых доказательств производимые действия не должны изменять цифровое доказательство (Upon seizing digital evidence, actions taken should not change that evidence).

III. Если лицу необходимо получить доступ к оригинальному цифровому доказательству, лицо должно иметь соответствующую подготовку (When it is necessary for a person to access original digital evidence, that person should be trained for the purpose).

IV. Вся деятельность по изъятию, доступу, хранению или передаче цифровых доказательств должна быть полностью задокументирована, защищена и доступна для анализа (All activity relating to the seizure, access, storage or transfer of digital evidence must be fully documented, preserved and available for review).

V. Лицо несет ответственность за то, что будет бережно производить все действия с цифровым доказательством, пока цифровое доказательство находится в его распоряжении (An Individual is responsible for all actions taken with respect to digital evidence whilst the digital evidence is in their possession).

VI. Любая организация, которая отвечает за изъятие, доступ, хранение или передачу цифровых доказательств отвечает за соответствие данным принципам (Any agency, which is responsible for seizing, accessing, storing or transferring digital evidence is responsible for compliance with these principles).

Также в соответствии с указанными принципами разработано Практическое руководство по исследованию цифровых доказательств <1>.

--------------------------------

<1> Guidelines for Best Practices in Examination of Digital Evidence. Checklist for handling digital Image and Audio evidence (Инструкция по обращению с цифровыми изображениями и аудиодоказательствами) IOCE, December 2000. Http:// ioce.org/ fileadmin/ user_upload/ 2000/ ioce %202000 %20digital %20image %20audio_checklist %20for %20handling %20digital %20evid.doc, дата последнего посещения 24 февраля 2011 г.

В Российской Федерации реализация этих положений осуществляется в соответствии с распоряжением Президента РФ от 11 ноября 1998 г. N 396-рп "О реализации договоренностей, достигнутых на встрече глав государств и правительств "восьмерки" в Бирмингеме (Великобритания)" и распоряжением Правительства РФ от 22 октября 1999 г. N 1701-р "О мерах по усилению борьбы с преступлениями в сфере высоких технологий".

Соблюдение всех указанных выше принципов обязательно при проведении любых судебных компьютерно-технических экспертиз, сопряженных с исследованием как самих носителей информации, так и записанной на них информации, представленной в двоичном виде. Следует отметить, что подобные положения закреплены не только в нормативных и методических документах IOCE, но и в отечественной научно-методической литературе, посвященной судебной компьютерно-технической экспертизе <1>.

--------------------------------

<1> Зубаха В.С., Усов А.И., Саенко Г.В. и др. Общие положения по назначению и производству компьютерно-технической экспертизы (Методические рекомендации). М.: ГУ ЭКЦ МВД России, 2001; Описание специализированного программного обеспечения по производству судебных компьютерно-технических экспертиз (специальность 21.1) для экспертов СЭУ Министерства юстиции Российской Федерации (разработанного в рамках НИОКР авторскими коллективами). М.: ГУ РФЦСЭ МЮ РФ, 2007; Производство судебной компьютерно-технической экспертизы I. Общая часть II. Диагностические и идентификационные исследования аппаратных средств / Под ред. проф. А.И. Усова М.: ГУ РФЦСЭ МЮ РФ; 2009; и др.

К сожалению, эксперты не всегда придерживаются этих принципов и положений. Например, в ходе производства экспертизы эксперт осуществил подключение жесткого диска (далее иногда по тексту - НЖМД) к стендовому системному блоку, к которому также подключались монитор, мышь, клавиатура, кабель электропитания. В дальнейшем производилась загрузка операционной системы и исследование содержимого диска при помощи программы "EVEREST Ultimate Edition".

Эксперт допустил многочисленные грубейшие нарушения экспертной методики судебной компьютерно-технической экспертизы аппаратных средств. В соответствии с методическими рекомендациями и принципами исследования цифровых доказательств категорически запрещается осуществлять загрузку с исследуемого носителя информации (жесткого диска). При загрузке компьютера может быть изменена информация, хранящаяся в файлах-протоколах его работы. Эксперт установил жесткий диск в стендовый компьютер и осуществил загрузку операционной системы. При этом для нормальной работы операционной системы после установки жесткого диска в другой компьютер могла потребоваться установка драйверов устройств, поскольку конфигурация компьютера могла быть изменена. Эксперт в заключении умалчивает, производил ли он установку каких-либо драйверов для обеспечения работы системного блока. Между тем при исследовании его заключения установлено наличие пиктограммы в правом нижнем углу экрана, свидетельствующей о подключении к компьютеру запоминающего устройства USB (флэш-памяти, картридера или переносного жесткого диска), что сопровождается автоматической установкой драйверов устройства для обеспечения его работы, при этом исходное состояние жесткого диска и его содержание изменяются.

Зачастую при рассмотрении дел, связанных с исследованием программного, информационного и аппаратного обеспечения компьютерных средств, возникают проблемы с установлением правообладателя. На сегодняшний день сложилась практика делегирования решения этого вопроса экспертам в области компьютерных технологий. Однако с точки зрения правовой регламентации судебно-экспертной деятельности данный подход неверен.

Вопрос о правообладателе не может быть решен экспертным путем, поскольку правообладатель является одной из сторон процесса (истцом, ответчиком, потерпевшим), а установление подлинности прав не входит в компетенцию эксперта. Имущественные авторские права, которые могут быть нарушены при изготовлении и распространении контрафактных экземпляров произведений и иных нарушениях, являются отчуждаемыми, а потому правообладатель может измениться, в то время как его произведение останется неизменным (переуступка прав, лицензирование и т.п.). Таким образом, установление правообладателя является правовым вопросом, который не может быть решен в рамках экспертизы. Эксперт может лишь определить характеристики программных, аппаратных и информационных продуктов, представленных на экспертизу в качестве объекта исследования, и указать на признаки, указывающие на то, что лицо может обладать исключительными правами на произведение, но не может установить факт обладания такими правами <1>.

--------------------------------

<1> См. например: Федотов Н.Н. Форензика - компьютерная криминалистика. М.: Юридический мир, 2007.

Другим часто встречающимся в экспертной практике нарушением правовых оснований судебной компьютерно-технической экспертизы является установление экспертом контрафактности программного продукта. В связи с этим хочется отметить, что авторские права на произведения науки, литературы и искусства, а также программные продукты и базы данных возникают в силу их создания. Автору в отношении его произведения принадлежат исключительные права на использование его в любой форме и любым способом (имущественные права). Передача имущественных прав осуществляется только на основе авторского договора. Таким образом, нарушением права является нарушение существенных условий такого договора, и вывод о контрафактности делается на основании подтверждения юридического факта отсутствия разрешения правообладателя на конкретный способ использования (воспроизведение, распространение и т.д.) продукции. Это означает, что решение вопросов, связанных с установлением контрафактности исследуемых объектов, не входит в компетенцию судебных экспертов. Это подтверждается и Постановлением Пленума Верховного Суда РФ от 19 июня 2006 г. N 15, где в п. 15 прямо указано: "Понятие контрафактности экземпляров произведений и (или) фонограмм является юридическим. Поэтому вопрос о контрафактности экземпляров произведений или фонограмм не может ставиться перед экспертом".

Иными словами, контрафактность (т.е. факт нарушения авторских прав) является элементом состава преступления, а потому должна быть установлена следственным, а не экспертным путем. Эксперт может установить лишь признаки, свидетельствующие о контрафактности, однако интерпретация данных признаков является исключительной прерогативой следствия и суда.

Следующей распространенной ошибкой экспертов при производстве судебной компьютерно-технической экспертизы является определение вредоносности тех или иных компьютерных программ. Вредоносность или полезность соответствующих программ для ЭВМ определяется вне зависимости от их назначения, способности уничтожать, блокировать, модифицировать, копировать информацию (это вполне типичные функции, свойственные абсолютно всем легальным программ), а в связи с тем, предполагает ли их действие, во-первых, предварительное уведомление собственника компьютерной информации или другого добросовестного пользователя о характере действия программы, а во-вторых, получение его согласия (санкции) на реализацию программой своего назначения. Нарушение хотя бы одного из этих требований делает программу для ЭВМ вредоносной. Однако, говоря об этом, необходимо помнить, что доля эксперта в установлении указанного факта лежит лишь в обоснованном выявлении признаков, которые дадут возможность правоприменителю квалифицировать ее как вредоносную.

Рассмотрим пример: отвечая на вопрос о наличии на носителях вредоносных программ, эксперт делает вывод о том, что на компакт-дисках имеются программы, которые вносят изменения (модификацию) в исходные файлы программных продуктов. Согласно ст. 273 УК вредоносная программа - программа для ЭВМ, заведомо приводящая к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети. Обнаруженные экспертом в ходе исследования генератор ключа и "патч" запускаются с санкции пользователя и по его инициативе. Какого-либо исследования на предмет последствий запуска указанных программ и подтверждения того, что они несанкционированно уничтожают, блокируют, модифицируют, копируют информацию или нарушают работу ЭВМ, не проводилось. Следовательно, эксперт не обосновал критерии, которыми он руководствовался при решении данного вопроса.

Генератор ключа и "патч" изменяют информацию, хранящуюся на компьютере пользователя только с его ведома и разрешения. Информация, хранящаяся на персональном компьютере, находящаяся в личном пользовании, является личной, и только сам пользователь вправе определять, что хранить, как ее изменять, модифицировать, уничтожать и копировать.

В экспертной практике нередки случаи, когда эксперты выходят за пределы своей компетенции, сами того не подозревая. Одним из ярких примеров этого является определение стоимости программных продуктов, представленных на исследование, и определение ущерба нанесенного правообладателю. Так, в ходе проведения экспертизы эксперт "А" оценил стоимость программных продуктов, т.е. фактически провел оценочное исследование. Между тем, как следовало из сведений об эксперте, он не обладает специальными знаниями в области оценки, что привело к многочисленным грубейшим методическим ошибкам.

В Российской Федерации действуют федеральные стандарты оценки (ФСО) <1>, в которых изложена методика проведения оценочных исследований. В соответствии с ФСО N 1 при проведении оценки обязательны применение трех подходов (затратного, сравнительного и доходного) или обоснованный отказ от использования того или иного подхода.

--------------------------------

<1> Федеральный стандарт оценки "Общие понятия оценки, подходы к оценке и требования к проведению оценки (ФСО N 1)", утв. Приказом Минэкономразвития России от 20 июля 2007 г. N 256; Федеральный стандарт оценки "Цель оценки и виды стоимости (ФСО N 2)", утв. Приказом Минэкономразвития России от 20 июля 2007 г. N 255.

В данном случае эксперт ограничился информацией о стоимости программных продуктов, взятой на неизвестную дату. В выводах заключения эксперт указывает курсы валют на 10 октября 2008 г., но указанные стоимости программных продуктов не соответствуют указанной дате. При проведении оценки стоимости программных продуктов и ущерба, нанесенного правообладателю, эксперт не учел снижения их стоимости вследствие устаревания и прекращения поддержки производителем, не применил трех подходов оценки, не указал дату, на которую производит оценку, не указал источники информации, которые использовались им при оценке, что является грубейшим отклонением от экспертной методики проведения оценки.

Таким образом, определение ущерба, вредоносности, контрафактности произведений и установление правообладателя выходят за рамки компетенции эксперта в области судебных компьютерно-технических экспертиз.

2. Ошибки методического характера.

К сожалению, на сегодняшний день уровень методической базы судебной компьютерно-технической экспертизы находится на стадии накопления и систематизации экспертного опыта, нарабатываемого на основе современных научных достижений в области информационно-компьютерных технологий. Это обусловливает отсутствие стандартизированных методик, а развитие методического обеспечения движется по пути разработки и внедрения в экспертную практику методических рекомендаций, которые, в свою очередь, могут быть как общей, так и частной направленности. Подобное положение дел, несомненно, ведет к появлению в экспертных заключениях ошибок методического характера. Коснемся только наиболее часто встречающихся.

При производстве СКТЭ для обеспечения возможности повторения полученных результатов экспертного исследования, в случае назначения повторной экспертизы, а также оценки их достоверности в заключении в обязательном порядке должны указываться сведения об автоматизированном рабочем месте эксперта и программном обеспечении, установленном на нем. Отсутствие подобной информации влечет за собой логические нарушения в процессе исследования, которые, в свою очередь, оставляют нераскрытыми вопросы, связанные с получением доказательственной информации, поскольку остается не понятным, какое использовалось аппаратное и программное обеспечение, позволившее получить подобные результаты, а следовательно, не дает возможности проверить научную и практическую обоснованность результатов, положенных в основу выводов. Например, отсутствие в заключении сведений об используемом программном обеспечении (ПО) и его версии не дает возможности оценить его функциональные возможности, которые могут отличаться в зависимости от версий используемого ПО, также различное программное обеспечение может выдавать различные результаты своей работы. В другом заключении эксперта не приведенное описание конфигурации стендовой ЭВМ, а именно сведений о процессоре, материнской плате, графическом адаптере, устройствах ввода / вывода, накопителях информации, операционной системе, не позволило определить правильность проведения проверки работоспособности представленной на исследование материнской платы путем установки в стендовую ЭВМ. Поскольку не представлялось возможности определить ее совместимость с процессором, оперативным запоминающим устройством и т.д.

Основным принципом при проведении судебных экспертиз, и в частности компьютерно-технических, является принцип неизменности вещественных доказательств. Он подразумевает, что информация на представленном на исследование носителе данных не должна быть изменена. Соблюдение данного принципа возможно при использовании специальных аппаратных блокираторов (Tableau, Fast Block), программного обеспечения, блокирующего запись, по порту к которому подключен исследуемый объект, создание точного побитового образа представленного объекта и его дальнейшим исследованием. Несоблюдение данного принципа может повлечь за собой фатальные изменения на уровне данных (затирание криминалистически значимой информации, представленной в неявном виде).

Иллюстрацией к этому может служить следующий пример. Из текста заключения эксперта явно не следовало, каким именно образом осуществлялась загрузка с представленных жестких дисков. В случае если конфигурация стендовой ЭВМ отличалась от конфигурации компьютера, в котором данные жесткие диски были установлены, загрузка операционной системы не могла быть успешно произведена без изменений настроек и установки дополнительных драйверов новых устройств, а следовательно, без внесения изменений в объект исследования. При этом необходимо заметить, что даже в случае полного совпадения конфигурации стендовой машины и машины, из которой был изъят жесткий диск, при загрузке с него в данные будут внесены изменения, так как при загрузке операционной системы происходит привязка к конкретному оборудованию. Согласно ст. 57 УПК эксперт не вправе проводить без разрешения дознавателя, следователя, суда исследования, могущие повлечь полное или частичное уничтожение объектов либо изменение их внешнего вида или основных свойств.

В случае если жесткие диски подключались в качестве внешних запоминающих устройств, неизменность хранящейся на них информации может быть обеспечена только при помощи специализированных программно-аппаратных средств, блокирующих запись на исследуемые носители информации, указанные выше. Их наличие также должно быть оговорено в исследовательской части, включая их полное описание.

В соответствии с имеющимися методическими рекомендациями (12, 14, 15, 16, 17, 18) категорически запрещается осуществлять загрузку с исследуемого носителя информации (жесткого диска) <1>. Для сокрытия информации на компьютерах могут применяться специальные защитные программы, которые при некорректном обращении к защищаемой информации могут уничтожить, исказить, маскировать данные <2>.

--------------------------------

<1> Белый С.Л., Волков Г.А., Зубаха В.С. Некоторые практические рекомендации по изъятию компьютерной информации // Экспертная практика. М.: ЭКЦ МВД РФ, 2000. N 48. С. 68 - 85; Усов А.И., Нехорошев А.Б., Шухнин М.Н. и др. Практические основы компьютерно-технической экспертизы: Учеб.-методич. пособ. Саратов: Научная книга, 2007; и др.

<2> Зубаха В.С., Усов А.И., Саенко Г.В. и др. Общие положения по назначению и производству компьютерно-технической экспертизы (Методические рекомендации). М.: ГУ ЭКЦ МВД России, 2001; Волеводз А.Г. Противодействие компьютерным преступлениям: правовые основы международного сотрудничества. М.: Издательство Юрлитинформ, 2002.

Кроме того, при загрузке компьютера может быть изменена информация, хранящаяся в файлах-протоколах его работы. Поэтому для обеспечения сохранности информации, хранящейся на НЖМД, жесткий диск должен быть изъят, подвергнут клонированию, а его копия должна исследоваться отдельно в ходе компьютерно-технической экспертизы. Для обеспечения неизменности информации, хранящейся на диске, и изготовления точной копии наиболее широко применяются <1>:

--------------------------------

<1> Усов А.И. Судебно-экспертное исследование компьютерных средств и систем: Основы методического обеспечения: Учеб. пособ. М.: Экзамен, 2003.

1) программно-аппаратный комплекс EnCase (разработчик Guidance Software);

2) программный комплекс Forensic Tool kit;

3) программно-аппаратные комплексы Vogon International;

4) программно-аппаратные комплексы ForensicIPC;

5) комплект технических средств для копирования данных Image-MASSter Solo 3 (производитель Intelligent Computer Solutions) и др.

Следует отметить, что использовать программные или аппаратные средства блокирования записи необходимо также при исследовании флэш-накопителя, поскольку в противном случае нельзя исключить возможность автозапуска содержащихся на нем программ и изменения записанной информации.

Следующей распространенной ошибкой является неполнота проведения исследования за счет исключения из поля зрения эксперта ряда объектов, являющихся составной частью единого информационного процесса. Наиболее часто это встречается в тех случаях, когда экспертное исследование касается не единичного объекта, а системы взаимосвязанных объектов, включающих в себя аппаратное, программное и информационное обеспечение.

Ярким примером тому может служить исследование сервера провайдера и конечного оборудования пользователя (компьютер) в случае установления возможности осуществления доступа пользователем к определенным интернет-ресурсам в определенное время. К сожалению, при этом из поля зрения эксперта выпадает одна важная составляющая, несущая криминалистически значимую информацию, а именно - промежуточное оборудование. Обычно при проведении анализа данных, предоставленных провайдером, устанавливаются IP-адреса роутера, а не пользователя. Зачастую это обусловлено тем, что у крупных провайдеров чаще всего не ведется учет действий оконечных пользователей, а ведется только учет обращений, идущих от общих роутеров, к которым возможно подключение от 5 до 100 оконечных пользователей. В связи с этим серьезной ошибкой эксперта будет являться исключение из исследования информации, содержащейся в роутере, промежуточном звене между провайдером и оконечным пользователем. Подобная ситуация, связанная с исключением части системы, может встречаться при проведении исследования, связанного с анализом больших взаимосвязанных объектов.

Еще одним примером ошибок методического характера является поиск информации о производителе, серийных ключах на программное обеспечение, технического методического обеспечения и других данных с использованием неустановленных источников.

Проиллюстрируем сказанное. Согласно заключению эксперт осуществил поиск производителей в специальной литературе и каталогах, включая ресурсы сети Интернет, однако не указал конкретно ни одного источника информации. Общеизвестно, что сведения, распространяемые через сеть Интернет, могут быть противоречивыми и недостоверными, и отсутствие ссылок на конкретные страницы и даты их посещения укрепляет сомнение в правильности конечных выводов. Литературные же источники не были указаны вовсе.

Другим примером может служить поиск информации о серийных ключах на ПО Windows XP в сети Интернет. В случае нахождения в открытых источниках ключа, совпадающего с имеющимся на анализируемом программном обеспечении, некоторые эксперты делают вывод о контрафактности ПО. Однако его наличие в подобных списках не свидетельствует о том, что используемая программа контрафактная, так как у легального пользователя могли просто украсть ключ и выложить в сеть Интернет или получить ключ простым методом подбора (генерации).

Также хотелось бы обратить внимание на тот факт, что в заключении эксперта часто не приводятся результаты проведенного им сравнительного анализа файловых структур установленных экземпляров программного обеспечения и эталонных экземпляров произведений, что является серьезной ошибкой при проведении экспертизы на установление признаков контрафактности. Рассматривая экспертные ошибки подобного рода, необходимо обратить внимание на то, что сравнительное исследование возможно проводить только для сопоставимых объектов <1>. Следовательно, при исследовании жесткого диска надлежит сравнить файлы, записанные на НЖМД в процессе установки исследуемого программного обеспечения, с файлами, записываемыми на НЖМД при установке аналогичной версии оригинального программного продукта. При этом необходимо исследовать не только список и расположение файлов, но и создаваемые записи в системном реестре операционной системы, выявить все различия, и если таковые имеются, объяснить их. Аналогичным образом необходимо проводить сравнение дистрибутивов программ, имевшихся на представленных на экспертизу компакт-диске и флэш-накопителе.

--------------------------------

<1> Аверьянова Т.В., Белкин Р.С., Корухов Ю.Г., Россинская Е.Р. Криминалистика: Учебник для вузов. 3-е изд., перераб. и доп. М.: НОРМА, 2010.

Еще одной распространенной ошибкой при проведении исследования являются случаи, когда эксперт не проводит тщательный внешний осмотр поступившего объекта исследования или относит эту стадию проведения исследования на более поздний срок и, пропустив ее, приступает, например, к проверке работоспособности объекта. Такое недопустимо, так как проведение внешнего осмотра помогает эксперту определить состояние представленного объекта, выявить его недостатки и внешние дефекты, комплектность, а следовательно, дает возможность определиться с алгоритмом проведения всего экспертного исследования, применяемыми методиками и используемым оборудованием. Это, в свою очередь, помогает избежать дальнейших ошибок при проведении самого экспертного исследования.

Так, при проведении по повторной экспертизе внешнего осмотра поступившего на исследование системного блока эксперт при удалении боковой стенки обнаружил отсутствие в нем НЖМД, хотя по материалам первичной экспертизы он в нем присутствовал. Об отсутствии НЖМД было извещено лицо, назначившее экспертизу, и в дальнейшем он был представлен. В другом случае на исследование был представлен видеоадаптер. Лицо, назначившее экспертизу, заявляло, что происходят зависания изображения и артефакты при просмотре видео. Эксперт, проводивший исследование, установил представленный объект в тестовый компьютер и проводил тесты, в результате которых подтвердились заявленные дефекты. Причиной же выявленных дефектов являлось вздутие и нарушение паяных соединений конденсаторов, установленных на представленном видеоадаптере, которые были обнаружены в дальнейшем только при его внешнем осмотре. В подобных случаях остается неизвестным, в результате чего были получены подобные механические повреждения, имелись ли они в момент поступления объекта на исследование или стали результатом ошибки эксперта.

В тех случаях, когда осмотр проводится своевременно, довольно часто допускается ошибка, заключающаяся в том, что эксперты не осматривают CD/DVD приводы, а также дисководы на предмет наличия в них каких-либо носителей данных. Это ведет к тому, что фактически эксперт исключает из исследования носитель данных, который может находиться в приводе и содержать криминалистически важную информацию по расследуемому делу. Чтобы избежать этого, рекомендуется начинать внешний осмотр представленного объекта именно с проверки приводов и дисководов на наличие в них носителей, а уже затем переходить к вскрытию корпуса блока и извлечению накопителей данных.

При проведении исследования и обнаружении программ, определяемых антивирусными средствами как вредоносные, экспертами допускаются отдельные частные ошибки. Так, очевидно, что вещественные доказательства, как правило, должны возвращаться заказчику в том виде, в каком они поступили на исследование. В тех случаях, когда эксперт обнаружил вредоносную программу, он обязан сообщить в исследовательской части заключения, что эта вредоносная программа осталась на машинном носителе без изменения. Такое сообщение обязательно из-за опасности последующего неосторожного распространения вируса. Однако зачастую это не делается. Напротив, в отдельных случаях эксперты сообщают, что в присланной на исследование программе был обнаружен вирус и что программа им была "вылечена" (вирус уничтожен), хотя разрешение на подобную операцию эксперт не получил.

Полагаем, что при обнаружении вредоносной программы эксперт должен придерживаться следующих правил:

- наряду с указанием в исследовательской части заключения применяемых программных и аппаратных средств в обязательном порядке следует указывать характеристику использованной антивирусной программы, в частности, сообщать дату ее обновления. Дело заключается в том, что эксперт может встретиться с новой вредоносной программой, которая разработана и запущена в сеть уже после разработки последней версии антивирусной программы;

- необходимо описывать хотя бы основные характеристики обнаруженной вредоносной программы;

- в тех случаях, когда во входном документе (постановлении следователя и пр.) нет разрешения на уничтожение вредоносной программы, ее следует оставить на исследуемом объекте неизменной. Этот факт следует отразить в заключении. Допускается оформление письменного ходатайства с сообщением, что исследуемая программа может быть "излечена" при наличии разрешения;

- выводы эксперта должны содержать лишь сведения технического характера. Не допускается включать в выводы правовые оценки действия подозреваемого. Рекомендуется использовать, например, подобную формулировку: "На исследуемом носителе данных обнаружена программа, обладающая техническими характеристиками вредоносности". Эта рекомендация носит ориентирующий характер, которая в каждом конкретном случае может быть оформлена в сходной редакции.




.


Перейти к оглавлению: Россинская Е.Р. Судебная экспертиза: типичные ошибки. М.: Проспект, 2012. 544



МОЙ АРБИТР. ПОДАЧА ДОКУМЕНТОВ В АРБИТРАЖНЫЕ СУДЫ
КАРТОТЕКА АРБИТРАЖНЫХ ДЕЛ
БАНК РЕШЕНИЙ АРБИТРАЖНЫХ СУДОВ
КАЛЕНДАРЬ СУДЕБНЫХ ЗАСЕДАНИЙ

ПОИСК ПО САЙТУ
  
Количество Статей в теме 'Банкротство, арбитражные управляющие': 3247