Вопросы для компьютерно-технической экспертизы аппаратных средств: определить, относится ли представленное устройство к аппаратным компьютерным средствам; определить, к какому типу (марке, модели)относится аппаратное (компьютерное) средство; определить технические характеристики и параметры компьютера, представленного на судебную компьютерно техническую экспертизу; определить функциональное предназначение представленного на судебную компьютерно-техническую аппаратного средства (жучка); определить роль и функциональные возможности данного компьютера или аппаратного средства в конкретной компьютерной системе; определить, относится ли данное аппаратное средство к той или иной компьютерной системе; определить, используется ли данное аппаратное средство (компьютер) для решения конкретной функциональной задачи; определить первоначальное состояние (конфигурацию, характеристики) имело представленное на судебную компьютерно-техническую экспертизу аппаратное средство; определить фактическое состояние (исправен, неисправен) представленного аппаратного средства (компьютера); определить, имеются ли в представленном на судебную компьютерно техническую экспертизу компьютере отклонения от типовых (нормальных) параметров, в т.ч. физические дефекты; определить эксплуатационные режимы установленные на аппаратном средстве (компьютере); определить, является ли неисправность данного средства следствием нарушения определенных правил эксплуатации компьютера; определить причины изменения функциональных (потребительских) свойств в начальной конфигурации представленного компьютера (аппаратного средства); определить, является ли представленный на судебную компьютерно техническую экспертизу компьютер (аппаратное средство) носителем информации; определить, какой вид (тип, модель или марку) имеет представленный на судебную компьютерно техническую экспертизу компьютер; определить, какое запоминающее устройство предназначено для работы с данным накопителем информации; определить, имеется ли в составе представленного компьютера, какое-либо запоминающее устройство для работы с этим носителем информации; определить, какие параметры (форм-факторы, емкость, среднее время доступа к данным, скорость передачи данных и др.) имеет представленный на судебную компьютерно-техническую экспертизу носитель информации; определить, какой метод хранения данных реализован на представленном жестком диске; определить доступен ли для чтения представленный носитель информации; определить причины отсутствия доступа к носителю информации? Наша специализация: компьютерная экспертиза, программно-техническая экспертиза, экспертиза программного обеспечения, экспертиза программных продуктов. Вопросы компьютерно-технической экспертизе программных средств: определить общую характеристика представленного на судебную компьютерно-техническую экспертизу программного обеспечения, из каких компонент (программных средств) оно состоит; определить, какую классификацию имеют конкретные программные средства (системные или прикладные) представленного программного обеспечения; определить, обладают ли представленные на судебную компьютерно-техническую экспертизу объекты признаками контрафакта либо нет; определить наименование, тип, версия, вид представления (явный, скрытый, удаленный) имеет программное средство; определить реквизиты разработчика и владельца представленного программного средства; определить состав файлов программного обеспечения представленного на компьютерную экспертизу, каковы их параметры (объемы, даты создания, атрибуты); определить общее функциональное предназначение имеет программное средство; определить, имеется ли на компьютере, представленном на судебную компьютерно-техническую экспертизу программные средства для реализации определенной функциональной задачи; определить, какие требования предъявляет данное программное средство к аппаратным средствам компьютерной системы; определить совместимость конкретного программного средства с программным и аппаратным обеспечением компьютерной системы; определить, используется ли данное программное средство для решения определенной функциональной задачи; определить фактическое состояние компьютера (программного средства), какова его работоспособность по реализации отдельных (конкретных) функций; определить, каким образом организованы ввод и вывод данных в представленном компьютере (программном средстве); определить, имеются ли в программном средстве отклонения от нормальных параметров (например, свойства инфицирования, недокументированных функций); определить, имеет ли программное средство (компьютер) защитные возможности (программные, аппаратно-программные) от несанкционированного доступа и копирования; определить, каким образом организованы защитные возможности программного средства (компьютера); определить общий алгоритм представленного программного средства; определить, какие программные инструментальные средства (языки программирования, компиляторы, стандартные библиотеки) использовались при разработке представленного программного средства (компьютерной программы); определить, имеются ли на носителях информации тексты (коды) представленных на судебную компьютерно-техническую экспертизу с первоначальным состоянием программы; определить, подвергался ли алгоритм программного средства (компьютера) модификации по сравнению с исходным состоянием? В чём это нашло отражение; определить, какой вид имело программное средство до его последней модификации; определить, использованы ли в алгоритме программы и её тексте какие-либо специфические (нестандартные) приёмы алгоритмизации и программирования; определить, с какой целью было произведено изменение каких-либо функций в программном средстве (компьютерной программе); определить, направлены ли внесённые изменения в программное средство (компьютерную программу) на преодоление его защиты; определить, достигается ли решение определённых задач после внесения изменений в программное средство (компьютерную программу); определить, каким способом были произведены изменения в компьютерной программе (преднамеренно, воздействием вредоносной программы, ошибками программной среды, аппаратным сбоем и др.); определить хронологию внесения изменений в программном средстве (компьютерной программе); определить хронологию использования программного средства начиная с её инсталляции; определить, имеются ли в программном средстве компьютера какие-либо враждебные функции, которые влекут уничтожение, блокирование, модификацию либо копирование информации, нарушение работы компьютерной системы; определить последствия дальнейшей эксплуатации определенного программного средства (компьютерной программы). Наш профиль: компьютерная экспертиза, программно техническая экспертиза, экспертиза программного обеспечения, экспертиза программных продуктов. Вопросы компьютерно-технической экспертизе информации (данных): определить, каким образом был отформатирован носитель информации (компьютер) и в каком виде на него записаны данные; определить характеристики физического размещения данных на носителе информации (компьютере); определить основные характеристики логического размещения данных на носителе информации (компьютере); определить, какие свойства, характеристики и параметры (объемы, даты создания-изменения, атрибуты и др.) имеют данные, хранящиеся на носителе информации (компьютере); определить, какого вида (явный, скрытый, удалённый, архив) имеется информация на носителе (компьютере); определить, к какому типу относятся выявленные в ходе компьютерно-технической экспертизы данные (текстовые, графические, база данных, электронная таблица, мультимедиа, запись пластиковой карты, данные ПЗУ и др.) и какими программными средствами они обеспечиваются; определить, каким образом организован доступ (свободный, ограниченный и пр.) к данным на носителе информации и каковы его характеристики; определить, какие свойства, характеристики имеют выявленные средства защиты компьютерных данных и какие возможны пути её преодоления; определить, какие признаки преодоления защиты (либо попыток несанкционированного доступа) имеются на носителе информации (компьютере); определить, каково содержание защищённых компьютерных данных; определить, каково фактическое состояние выявленных компьютерных данных и соответствует ли оно типовому состоянию на соответствующих носителях данных; определить, какие несоответствия типовому представлению имеются в представленных на судебную компьютерно-техническую экспертизу данных (нарушение целостности, несоответствие формата, вредоносные включения и пр.) имеются в данных; определить, каковы пользовательские (потребительские) свойства и предназначение данных на носителе информации (компьютере); определить, какие данные для решения определённой функциональной (потребительской) задачи имеются на носителе информации (компьютере); определить, какие данные с фактами и обстоятельствами конкретного дела находятся на представленном носителе информации (компьютере); определить, какие данные о собственнике (пользователе) компьютерной системы (в т.ч. имена, пароли, права доступа и пр.) имеются на носителях информации (компьютере); определить, какие данные с представленных на компьютерную экспертизу документов (образцов) и в каком виде (целостном, фрагментарном) находятся на носителе информации (компьютере); определить, каково первоначальное состояние данных на носителе (в каком виде, какого содержания и с какими характеристиками, атрибутами находились определённые данные до их удаления или модификации); определить, каким способом и при каких обстоятельствах произведены действия (операции) (блокирование, модификация, копирование, удаление) определённых данных на носителе информации (компьютере); определить механизм (последовательность действий) по решению конкретной задачи отражён в определённых данных на носителе информации (компьютере); определить, какова хронологическая последовательности действий (операций) с выявленными данными имела место при решении конкретной задачи (например, подготовки изображений денежных знаков, ценных бумаг, оттисков печатей т.п.); определить, какая имеется причинная связь между действиями (вводом, модификацией, удалением и пр.) с данными и имевшим место событием (например, нарушением в работе компьютерной системы, в т.ч. сбои в программном и аппаратном обеспечении); определить, какова степень соответствия (или несоответствия) действий с конкретной информацией специальному регламенту или правилам эксплуатации определённой компьютерной системы (компьютера)? Наша тематика: компьютерная экспертиза, программно техническая экспертиза, экспертиза программного обеспечения, экспертиза программных продуктов. Вопросы комплексной компьютерно технической экспертизе (при экспертизе целостной компьютерной системы, (устройства): определить, является ли представленное оборудование компьютерной системой; определить, является ли представленное оборудование целостной компьютерной системой или же её частью; определить, к какому типу (марке, модели) относится компьютерная система; определить, каковы общие характеристики сборки компьютерной системы и изготовления её компонент; определить, какой состав (конфигурацию) и технические характеристики имеет компьютерная система; определить, является ли конфигурация компьютерной системы представленных на судебную компьютерно-техническую экспертизу типовой или расширенной под решение конкретных задач; определить, какое функциональное предназначение имеет компьютерная система; определить, имеются ли в представленных на судебную компьютерно-техническую экспертизу наиболее выраженные функции (потребительские свойства); определить, решаются ли с помощью представленной компьютерной системы определённые функциональные (потребительские) задачи; определить, находится ли компьютерная система в рабочем состоянии; определить, имеет ли компьютерная система какие-либо отклонения от типовых (нормальных) параметров, в т.ч. физические (механические) дефекты; определить, какой перечень эксплуатационных режимов имеется в компьютерной системе; определить, какие эксплуатационные режимы задействованы (установлены) в компьютерной системе; определить, существуют ли в компьютере представленном на судебную компьютерно-техническую экспертизу недокументированные (сервисные) возможности? Какие это возможности; определить, какие носители информации имеются в представленной компьютерной системе; определить, реализована ли в представленной на судебную компьютерно-техническую экспертизу системе какая-либо система защиты информации; определить, какая система защиты информации имеется в представленной компьютерной системе; определить тип, вид и характеристики этой системы защиты? Каковы возможности по её преодолению? Мы проводим: компьютерную экспертизу, программно техническую экспертизу, экспертизу программного обеспечения, экспертизу программных продуктов. Наиболее часто встречающиеся вопросы судебной компьютерной ( компьютерно-технической ) экспертизы: определить, относится ли представленный на представленных на судебную компьютерно-техническую экспертизу объект к компьютерным средствам; определить, является ли объект экспертизы компьютерной системой либо представляет какую-либо его компоненту (аппаратную, программную, информационную); определить, каковы тип (марка, модель), конфигурация и общие технические характеристики представленной на судебную компьютерно-техническую экспертизу компьютерной системы (либо ее части); определить, решаются ли с помощью представленной компьютерной системы определённые (указываются конкретно какие) функциональные (потребительские ) задачи; определить, находится ли компьютерная система представленных на судебную компьютерно-техническую экспертизу в рабочем состоянии? Имеются ли какие-либо неисправности в ее работе; определить, имеются ли признаки (указывается интересуемый перечень конкретных признаков) нарушения правил эксплуатации компьютерной системы; определить, реализована ли в представленных на судебную компьютерно-техническую экспертизу системе какая-либо система защиты доступа к информации? Каковы возможности по её преодолению; определить, какие носители данных имеются в представленной компьютерной системе; определить, какой вид (тип, модель, марку) и какие параметры имеет представленный представленных на судебную компьютерно-техническую экспертизу носитель данных; определить, какое техническое устройство предназначено для работы с представленным на экспертизу носителем данных; определить, имеется ли в составе представленной компьютерной системы устройство, предназначенное для работы (чтение, запись) с указанным носителем данных; определить, какую общую характеристику и функциональное предназначение имеет представленное на судебную компьютерно-техническую экспертизу программное обеспечение; определить имеют ли на представленном программном средстве реквизиты разработчика, правообладателя; определить, имеет ли программное средство признаки (указывается интересуемый перечень конкретных признаков контрафактности; определить, имеется ли на носителях данных программное обеспечение для решения конкретной (потребительской) задачи; определить, каково функциональное предназначение представленной представленных на судебную компьютерно техническую экспертизу прикладной программы; определить, имеются ли программы с признаками (указывается интересуемый перечень конкретных признаков) вредоносности; определить, какая информация, имеющая отношение к обстоятельствам дела (указывается интересуемый перечень конкретных данных, либо ключевых слов), содержится на носителе данных? Каков вид ее представления (явный, скрытый, удаленный, архивный); определить, имеется ли на носителе данных информация, аутентичная по содержанию представленным образцам? Каков вид ее представления (явный, скрытый, удаленный, архивный); определить, к какому формату относятся представленных на судебную компьютерно-техническую экспертизу данные (текстовые документы, графические файлы, базы данных и т.д.) и с помощью каких программных средств они могут обрабатываться; определить, имеются ли в анализируемой компьютерной системе признаки (указывается интересуемый перечень конкретных признаков) неправомерного доступа к данным; определить, какие сведения о собственнике (пользователе) компьютерной системы (в т.ч. имена, пароли, права доступа и пр.) имеются на носителях данных представленных на судебную компьютерно-техническую экспертизу; определить, имеются ли признаки функционирования данного компьютерного средства в составе локальной вычислительной сети? каково содержание установленных сетевых компонент; определить, имеются ли признаки работы представленного компьютерного средства в сети Интернет; определить, содержание установок удаленного доступа и протоколов соединений? Наша тема: компьютерная экспертиза, программно техническая экспертиза, экспертиза программного обеспечения, экспертиза программных продуктов.
Объекты Класс аппаратных объектов: компьютеры персональные (ноутбуки, настольные, портативные); периферийные устройства (принтеры, модемы и т.п.); сетевые аппаратные средства (серверы, рабочие станции, активное оборудование, сетевые кабели и т.п.); интегрированные системы (органайзеры, пейджеры, мобильные телефоны, контрольно-кассовые машины и т.п.); встроенные системы на основе микропроцессорных контроллеров (иммобилайзеры, транспондеры, круиз-контроллеры и т.п.); любые комплектующие всех указанных компьютерных компонентов (аппаратные блоки, платы расширения, микросхемы). Наш профиль: компьютерная экспертиза, программно техническая экспертиза, экспертиза программного обеспечения, экспертиза программных продуктов. Класс программных объектов: системное программное обеспечение компьютеров; прикладное программное обеспечение компьютеров. Класс информационных объектов (данные): документация, изготовленная с использованием компьютерных средств; компьютерно-информационные данные в мультимедийных форматах; компьютерная информация в базах данных и других приложений, имеющих прикладной характер и пр.
Виды Компьютерно-техническая экспертиза специальных средств Кроме стандартной по своей сути компьютерно технической экспертизы мы проводим экспертизу специальных технических средств, мало соотносимых со стандартным компьютерным оборудованием. В перечень экспертиз специальных средств входят: экспертиза программного обеспечения «жуков» / «жучков», предназначенных для прослушивания телефонных переговоров, экспертиза программного обеспечения для микроскопических камер для негласного видеонаблюдения. Экспертиза связанная с восстановлением данных. Кроме ряда вышеизложенных, компьютерно технических экспертиз программ и программных продуктов мы проводим судебные и внесудебные экспертизы с применением средств и методов по восстановлению данных с накопителей на жестких магнитных диска (НЖМД), содержащие следующие неисправности: неисправность контроллера диска; ошибки (повреждения) в логической структуре диска; повреждение служебной информации диска (Sеrvicе Аrеа); некорректное считывание поверхности диска; повреждение внутренней механики диска. С «Flаsh» и карт памяти содержащие следующие неисправности: ошибки (повреждения) в логической структуре диска; некорректное считывание поверхности накопителя; механические повреждения накопителя. С компакт-дисков CD, DVD, HD-DVD, Bluе-Rаy Disc, FD содержащие следующие неисправности: ошибки (повреждения) в логической структуре диска; некорректное считывание поверхности накопителя; механические повреждения накопителя. c RАID-массивов всех уровней (0, 1, 2, 3 ,4, 5, 6, 7), в том числе комбинированных RАID-массивов (0+1, 10, 30, 50).
Как цифровая судебная экспертиза может помочь бороться с финансовыми преступлениями? Цифровая судебная экспертиза может помочь справиться с «зависимостью» от отслеживания электронных и рукописных документов вручную, которое делает невозможным проведение масштабного расследования. Как именно? Технологии играют всё более важную роль в выявлении случаев мошенничества в организациях и снижении издержек, связанных с соблюдением требований в отношении финансовых преступлений и проведением расследований. Цифровая криминалистика выходит на первый план, поскольку регуляторы финансового рынка, его участники и инвесторы сосредоточены на предотвращении или противодействии коммерческому мошенничеству в цифровую эпоху. В старом бумажном мире доказательства обычно собирали на основе допросов и анализа документов. Одним из этапов судебной экспертизы является поиск поддельных подписей или фальсифицированных записей в архивах документов, к примеру, в договорах с подрядчиками, счетах-фактурах и т.д. Процесс сбора доказательств, требующий большой группы судебных следователей, также часто был долгим и утомительным. Это как найти иголку в стоге сена. С ростом технологий возросла и роль цифровых методов раскрытия финансовых преступлений. Большая точность Поскольку в последние годы основная часть финансовой документации постепенно переводится в цифровые форматы, бухгалтерская отчетность все чаще регистрируется точнее и с большей детализацией. Данные также могут находиться «в движении», то есть в виде сообщений на персональных устройствах, в приложениях мессенджера или даже в облаке. Где технология, там и преступность. Сейчас, увы, цифровое мошенничество находится на подъеме в формате кибер- и фишинговых атак, проникновения в корпоративную систему через вирусы. В опубликованном в 2017 году международном исследовании КПМГ подчеркивается, что в тех случаях, когда мошенники используют технологии, около 24% из них создают фальшивые счета-фактуры или фальсифицируют бухгалтерские данные, а 13% - нарушают права доступа к компьютерным системам. Около 20% связано с мошенничеством в соцсетях и мессенджерах, вброса фейковой информации. Чтобы экспертиза сегодня была эффективно, необходимо быстро сохранять и использовать базы цифровых данных, используя передовые технологии и методики. Цифровая экспертиза Цифровая экспертиза сегодня играет очень важную роль в расследовании мошенничества. Это объясняется и ростом возможностей криминалистики, и увеличением компьютерных мощностей, и эволюцией технологий хранения данных. Сегодня стало проще собирать данные с множества устройств: компьютеров, смартфонов, планшетов, серверов, в том числе облачных, а также с различных носителей: внешних жестких дисков, флэш-накопителей и компакт-дисков. Переход к цифровизации также способствует более широкому применению инструментов электронного обнаружения для более эффективного анализа цифровых данных. Например, в соответствии с отраслевым стандартом электронных расследований (EDRM) такие инструменты используются для того, чтобы помочь компаниям правильно заниматься сбором, обработкой, анализом и размещением информации, хранящейся в электронном виде (ESI). Специальные инструменты могут преобразовывать изображения документов в цифровые файлы, чтобы поиск данных происходил быстрее, а главнее – эффективнее. Эти инструменты также могут удалить дублирующуюся информацию, а также позволить параллельно работать нескольким специалистам. Еще один плюс: это возможность удалённой работы с документами, а соответственно, международное сотрудничество между следователями, юристами и регулирующими органами, которые могут одновременно рассматривать цифровые доказательства на общей платформе. Большее количество электронных данных – больше возможностей для анализа данных криминалистами. С развитием возможностей искусственного интеллекта и машинного обучения эксперты могут использовать методы анализа данных для выявления потенциальных аномалий или преславутый эффект «дымящегося ружья» в огромном массиве электронной информации. Цифровая экспертиза может помочь справиться с «зависимостью» от отслеживания электронных и рукописных документов вручную, которое делает невозможным проведение масштабного расследования. Быть настороже Что должны делать компании, чтобы защитить себя? Мошенники становятся более сообразительными и изобретательными, ведь и у них есть доступ к передовым технологиям. В прогнозе генерального директора KPMG на 2018 год кибербезопасность определили приоритетной темой. Только треть компаний считает, что способны отразить кибератаку. Таким образом, компании должны совершенствовать управление рисками финансовых преступлений в цифровом формате для предотвращения, выявления и реагирования на финансовые преступления. Что должно быть в арсенале компаний? Внедрение технологий для обнаружения рисков, связанных с корпоративными коммуникациями: с агентами, дистрибьюторами, сотрудниками и поставщиками. Проведение периодической криминалистической экспертизы данных по прошлому бухгалтерскому отчету, а также оперативных данных для выявления слабых мест, а также признаков потенциального мошенничества. Внедрение технологий непрерывного мониторинга для оперативного выявления слабых мест или признаков потенциального мошенничества. Профилактические работы по упреждению киберугроз в корпоративных системах. Для эффективного снижения рисков финансовых преступлений компаниям необходимо также изменить методы управления и проведения цифровой экспертизы финансовых преступлений. При надлежащем использовании технологии помогут значительно повысить эффективность и в то же время снизить издержки, связанные с соблюдением требований по предупреждению угроз финансовых преступлений и проведению расследований.
