Семикаленова
.pdfРОССИЙСКАЯ |
41 |
; госудАРСтаенНАЯ |
|
I ВИБЛИОТЕКА |
|
югляд дальнейшее развитие информационных 'технологий только уве1шчит приведенный переэднь специализаций в области ра^>аботки программного обеспечения. Итак, исходя из всжго вышеизложюннсмго, можшэ сделать вы вод о том, что на:фела нес^ходимость в выдеяешш программнокомпьютерной экспертизы в отделы1Ый род судебных экспертиз с выделе нием в нем следующих мщов суд^ной эксперти%1:
-I^oi^miaa системного гфогртмпого обеспечешн;
-Экспертиза серш1сов Web-cepвqюв;
-Про1раммно-компыот^>ная экспертиза системной безопас
ности;
-Программно-компьюте1жая жсткртиза баз и банков дан
ных.
ОТ^ДСГШВШШЁСЬ С несбходдамостыо выда^1«1ия програм1юо-компью- терной эксперти:ш в отдельный род судебных эксп^угиз, сформуд1фуем ее предмет. Для этого обратимся к определению предмета судебной экспер тизы в целш!. Итак, 1федмет судебнс^ жстюргпаы составляют фыггичесхие данныю (обстшгтельетва де№|), иссхкдуемые и устанавливаемвые при ряюследовании или суде^юом раз&фатсяьстве уголовно!^» пя» гражданского дела (ст.ст. 80,195,204^83 УПК РФ; стлт. 79,84,86 ПЖ; ст.ст. «2, 83,86 АПК) на основе стюцшльньк 1юзшший в х^^яаст 1шую1, -пвхники, искусст ва или ремесдю^. А посколысу отличительной спе1Ц1фикой базовой области специальных поэтаний, применяемых в программно-компьют^кой экс пертизе, является программирование и алгоритмизация, то тфедмет судеб ной программно-компыопг^нЫ! экстюртизы можно определить как ^^жты и (^стоятельства, имеющие значение для уголовного, граяоцанского или ар битражного дела, связанные с создшшем, использоваюжм пат растфостранением компьютдяшх программ, усташшлимкмие нв ос»1И1е<^мш<шшышх
^ Россвисюш Е.Р. Судебная эавсаертаал ш уголовном трвгщщюеют ш щ^бжгреж прсэдессе. - М.: Право н Зшюн, 1996.
42 по:ша1Шй в с/блвст информацнонно-вычисяитеяьной техники, программи- рошшия и алгс^итмизации.
Помимо родового (видового) понятия предмета в к^идичес]а>й лите ратуре различают еще предмет KOH]q>eTHoft эксп^пизы, которым является 1фуг вопросов, решаемых данной конкретной экспертизой. Он не может и ве должен выходить за рамки родового предмета.
Объекты программно-компьют^^той экспертизы
Понятие объекта экспертизы является одним из основных в эксп^т- ной пршстики, поскольку с ним непосредственно связано разграничение отдельных видов экспертиз и определения гфеделов компетенции экстйер- та. Уяснение сущности этсих> понятия позволяет составить "бояее полное |федставяеи1» о предаете :жсп^этизы, котс^^шй всегда связан с о1федеяеиными объектами^
Переходя к ржсмотрению объектов программно-компыот^>ной эксперги:»!, необходимо укаш1Ъ, что обо|ее понятие объекта в крикошалистической лигерттуре понимается, в о<я1ош1ом, как вещественные доказатель ства. В щжнципе экспертному исследсжшию Motyr шщвергаться не только конкретные предмет, 1Ю и различные процессы (сс^вггия, явл1^пям, дейст виях на ocHoi^ffiiH и^гчения коп^млх эксгюргг 1цжзнает цругне факты, яв ляющиеся предметом экспертизы. Таким образом, сбъектом эксп^зтизы являются те источнию! сведений об установленных фактах, te носихели информадии, KOTO|»ie подвергаются эксш^ггаому иссяедованшо, и noq>^- ством которых эксперт познает обстоятельства, относящиюся к пред^легу экспертизы^*. Однако необходимо отметить, что помимо приведенн(их> оп ределения <^ъектв судебной эксаертти в инфс^мационном асдкжте, в
"" Ждюов А.Г. 1Ч)едмег, дбикш в теттш ттт «тщто^пштттт экс тртш. - М.: ВНИИ МВД ССО», 1989. -с. 29-^.
*^ Oj^юmЮX.'^iKJШ>чшнeэкcnq;^nиem€)aeвaлvюy^
1995, с.Н.
43 юридической литературе он рассматривается еще и в ^угом аспекте - процессуальном. В этом смысле объекюм являются материалы дела, по средством изучения которых познается предмет эксп^>тизы, в процессе решения задач устанавливаются обстоятельства дела. С ним связан право вой режим получения хранения и исследования объектов эксп^зтизы. В соответствии с вышеизложенным, вслед за рядом авторов, отметим, что единство еоде^яюшкя и заксжн^ ф€^)*ш иаибодее то^ю отражают потжте объекта судебной экспертизы^^.
Объект экспертизы специфичен для каждого рода (вкща) судебной экспертизы, и потому его своеобразие является важным признаком для 1М13ЛИЧИЯ эксп^>тиз^^. В юридической литературе объект разделяется на родовой (видовой) и конкретный.
Родовой (видовой) объект - ю»сЫ§-либо класс, категория предметов, обладающих общими признаками.
Конкретный объект - определенный предмет, исследуемый в про цессе данной эксперпгхы. Любой кон1д>етный объект индивидуален и не- nowropm*, ом опредепяегт специфи!^ определенного экспертного исследаь вания.
Дроблен1К существук»цих и создание HO»IIX родов и м|ДОв экспер тиз нередко происходит по признаку родового (видового) объекта. Цменш> это и прои^>шло в нашем случае. Необходимость появления профаммнокомпьютерной экспертизы обусловило стремительное ртзмпее в конце XX века электронной вычислительной техники, повлекшее столь же стреми тельное развитие про1раммного обеспечения, позволяюв|его управлять ее работой. Их использование во всех сффвх ч№Л1шеческЫ| деятеяыюеш, не
^ Pooc^Nxes EJPH VC«» А.И. Суде^м кт1Ш1Млершут€яттштя miw^iium. -Ы.:
Право в эшеов, 2001. с. 1Эб.
^' иЬпхов А.Р. Судебная жспертиэа. Орпшиэвция и прот^тв». - М.: ^Юрищиче- ская литературе», 1979, С.9.
44 исключая и криминальную, поставило задачу исследования этих новых объектов в интересах суда и следствия.
Таким образом, родовыми сбъектами щюграммно-компыотерной экспертизы являются программы для ЭВМ, алпфитмы, исходные тексты программ. Согласно российско!^ законодательству **прогр(1млш для ЭВМ- это объективная форма представления совокупност данных и команд^ предшшшчевньк для ^гюощсшироштия эяектрсишых вычислительных машин (ЭВМ) и других компьютерных устройств с целью получения оп ределенного результата. Под прог|мммой для ЭВМ подразумеваются тшсже подготошггельные материалы, полученные в ходе ее ра^>аботки, и по рождаемые ею аудиовизуальные отображения*^.
На сегодняшний день к видовым объектшиЕ программнокомпыоте1нюй Э1№пертизы относятся:
• Алгоритмы щюграммных продуктов — содержание и последова тельность операций, точно определяющие решение задачи путем вычисли тельного процесса, преобразующего исходные данные в конечный ре^льтат. Характеристиками объекте» являются:
-однозначность результата при заданных исходных данных;
-возможность расчленения 1фоц<жса на ко1кчное число от* дельных операций, 1»ждая из которых может 'быть шшрлнена челове ком или вычислительной машиной;
-способность 1юлучения результата для множества ж^ходных данных, соответствующих множеству однотипных задач^'.
^ФЗ <Юб иифоршоцш, инфс^швгазшцшп ш эаоопе няформацяя» irr 20 феяфвш 1995 г. № 24-ФЗ, С(^раяие закоиодатеямлва РФ, 1!^, J<№.
"^ В. Дорог и Ф. HoBHKt». Толковый сжнмц» «жрпленной к(»шыоте|жой лексгая.
-С.-Ш.: «БВХ - Санкт-Петербург», 1999, - с. 52.
45
•Исходные тексты программ, 1ц>едста«ленные как на электрон ных, так и на бумалсных носителях информации - тексты хфОфаммы на ис ходном языке программирования;
•Исполняемые модули и пакеты программ^ котсфые в свою оче редь могут быть представлены в трех состояниях:
1.Дистрибутив - 1фограммный продукт в виде, поставляемом производатедос. Днст^жбуткв {шаспяямщютвьА ттжт% кшк щаавтяоу сод^жит саму программу и инсталлятор для установки прогрШ|1мы на жесткий диск
инастройки ее параметров^. В этом состоянии прогрШ1«ма еще не адапти рована под конкретную ЭВМ. Согласно российскому законода'велыггву адаптация программы для ЭВМ - это внесение изме1юний, осуществляе мых исключителыю в целях обеспечения функционирования щюграммы дяш ЭВМ на кон1фетиых техничеосях средствах пользоввп[еля или под управлением конкретных прогрш<м пользователя *^.
2.Адаптированная программа - программа, скопированная на маг нитный носитель компьютерной системы и готовая к работе и выполнению целей, для KOTO]»IX она создана. Между п^вым и вторым состоянием 1фоисходит не толыЕО адаптация программы, но и хфоверка -ее ошкциошфованного использования. Следует отметить, что и в п<^вом и во втором со стоянии программа существует на постоянном физическсш носителе ин формации (жесткий магнитный диск (HDD), дискеты, CD и т.п), но в отли чие от дистрибутива, когда носитель в большинстве случаев является пе реносимым (дискеты, CD), после инсталляции програмш1 копируется на магнитный или другой носитель информации, являющийся частью компь ютерной системы (HDD).
^79М7кес2^
*^ ФЗ «О дрюювой охране щхирамм дня эяеирстшых вычжаю'мдаышх ьтатя и'баз данных» от 23 сенм^я 1992 г. № 3523-1, Ведсмюста съезда поротых, депутатов РФ и BepxoBiroro Совета РФ, 1992. №42.
46
3. Выполняемая программа. После 1фоведения пользователем опре- деленных манипуляций, последовательность которых определяется кон кретной системой, пр01рамма «запускается» и начинает <фаботать». Под «запуском» и <фаботой» прогршммы понимается совокупность следующих действий:
—считывание исполняемого модуля прогршммы с постоянно го носителя и :^П1«:ь ее на цзеимяяый носите^ {щфсфмиащш (в опе ративную память);
—выполнение компьютерной системой команд^ записанных в программе;
—считывание дополнительной инф<^мации с постоянного носителя;
—зашюь обработанной информации на постоянный носитель
иотображение ее результатов на средствах визуализации (монитор, принтер и т.п.);
—организация диалога с пользователем и гл.
Приведенное разбиение по видам объектов проводапся по способу изъятия и исследования объектов, а, с/юдоватеяыю, ш» тем методам, кото рые будут 1фИ этом ИС1ЮЛЬЗОШ1.ТЬСЯ.
К типичным объектам ПКЭ, требующим более по,2фобного рассмот рения, ОТНОСЯТСЯ так называемые <<троянские кони» (ТК) и вирусы^.
В последние время в эксп^тюй практике применител1Яо к ПКЭ наиболее часто встречается вопрос об определении вредоносности про граммного продукта. Хотелось бы сразу заметить, что данный вощхх: не является правомерным, поскольку понятие ц)едоносиой 1ф01раммы введе но в уголовном кодексе в статье 273, а, следоввтел^яо, мштежя юридиче ской дефиницией и не входит в область компетеяшш ^scwepm. В тшсих
^ ?^>airTqpiKrTiiiai ряда дфугнх хяраж^ертлк длш СШСЭ d6teirnw врмияены в при-
ложа1Ин2.
47 случаях (по аналсмгии с контрафактностъю программного обеспечения) эксперт может говорить лишь о признаках ^>едоносиосп1 про1|>аммы. Вредоносные программы являются одним из подвидов объектов» относя щихся к виду исполняемых модулей, один из частных случаев ПКЭ. В коммент^ии к статье 273^^ дано соответствующее толкование указанного термина. Здесь вредоносность определяется, как способность уничтожать, бямжи^ювать, мо^]^ф|ВДйфю«1Ть, кошгрошггь иифс^ялащ^ без прсди^т- тельного уведомления об этом собственника компьютерной информации. Правильность этого определения можно оспаривать, но в любом случае оно дано в одном из популярных комментариев и является 1Ш сегодняшний день наиболее п^жменимым. В менее популярных изданиях высказывается мнение, что в текст статьи следует включить понятие ^ирус" и в рамках этс»х> понятия расс»1ат{»нш1ть, что тмсое ^зедоносная 1ф01рамкм. Отвлека ясь от этих подходов, попробуем рассмотреть известные протршммные средства, которые обладают двумя сво1кггвами:
-Н1гаинают свою работу, выполняют многие свои функции без предв1фительного согласия или воли пользователя ЭВМ;
-выполняют сшерации, 1фичиняк»щ1е ущерб ж^«альной ра боте компьют^яюй систелви.
Ктаким программам относятся так называемые «проянсюю кони» (ТК) и вирусы. Главное отличие этих двух программ состоит в том, что ТК не могут воспроизводить самих себя, то есть размножаться. В остальном же они похожи на вирусы. Встречающаяся в технической лит^татуре клас сификация этих про1рамм тр^ует уточнения, связанного с 1фоцессуальным аспектом вредоносных npoi^MM как объектов судебной экспертизы.
49 К<»1ме1П11|жй к Уголс»н(я«у коягаксу РооеяйскоА Фсцвращш на». 2ч(, кэм. я тт. под общ. ред.гт.1фокур(фа РФ, проф. Ю. И. Скурпошш предеедпела Befumttacev Сут Р.Ф. В.М. Лебедева. - М.: Издательская группа 11НФРА*М - Ж)РМА, 1997. -«.641.
48 ТК - всегда являются самостоятельной прогршимой, замасюфованной под любой объект, ^удь то графический или про1рсммш1й. При его
исследовании изучаются не столько оставленные следы (что редко воз можно), сколько сам исполняемый модуль, в теле которого и возможно найти признаки 1федоносности.
По способу «маскировки» ТК делятся на cлeдyющиie виды.
ТК «по иедорсаумению» - программы с шутренней ошибке^, допу щенной при проектировании, в результате чего помимо полезных, преду смотренных разработчиком, стали выполняться не предусмотренные ранее действия, и наличие которой может послужить 1физна1к>м вредоносности (в качестве доказательств такие программы сложно использовать, т.к. оди наково сложно доказать как умышленную^ так и не умышленную ошибку).
Специально созданные локальные ТК - прогр£ммы, {юзработанные для решения частной задачи, но содержащие деструктивные компоненты. В большинстве своем (ши существуют в единичном вг^ианте, поскольку направлены на решение ощжделенной задачи.
Специалыю саздагмые ТК шщхтого расщюстранения - полезные или развлекательные программы, храфические и музыкальные файлы, 1шраллельно производящие нежелательные действия.
Спецгшльно созданные ТК шщюкого распространения, порождаю щие вщзусы - они так же, УЯК И предыдущие, распространяются на Ш1фОкий 1фуг потребителей, но кроме производсгоа нежелательных действий они сами являются порояздающими различные вирусы. ТК, которые поро ждают ТК, пока не известны.
Понятие компьютерный вирус можно <яфеделить следующим ска зом: ^^компьютерный ьярус - эточ:ШкЮ1вос1Цюизкщя1Цвяся и саморасп|юстраняющаяся в компьютерной сре^ программа 'З&ЬЛ^ юшше, лябо моди фицированные копии которой сохраняют «е исходшк своАкггва и кото^мм может выполнять дополнительные, *ясто вредоносные для компьютерной
49 информации действия*^. Все вирусн!^ программы можно разделить по трем основаниям:
В зависимости от места обнаружения вирусыделятся |ш:
Файловые вирусы - обнаруживаются в выполняемых файлах (наибо лее распространенный тип вирусов). Они различными способами внедря ются в тело ^кйлов м щл запуске «зараженных» файлов активизируются и мснуг ifssepxmvb» другие исполняемые ^Шш.
Загрузочные вирусы — записывшот себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик вин честера (Master Boot Record), либо меняют указатель на активный -boot- сектор. При запуске компьютерной системы они загружаются в память и там моауг размножаться, заражая другие носнтеж, тшше как Н П ^ .
Макровирусы - обн^уживаются в файлах-документах и электрон ных таблицах нескольких популярных редакторов.
Сетевые вщзусы - используют для своего распространения протоко лы или команды компьют^>ных сетей и электронной почты.
Сущесп^^ет большое количество ви|^ов, сс^е«ающих в себе ксшбинации из несколышх разновидности, наприм^;), файлово-за1рузочньк вирусы, зараяшющие кшс файлы, так и зафузочньжчжктс^ дисков.
В зависимости от особенностей алгоритз>1адаботы все вщ?усы можно разделить на:
Резидентный вирус гфи инфицирювании компьютера оспюляет в оперативной памяти (ОП) свою резидентную часть, кх>торая затем заражает (^ъекш, с которыми ра1ботагг операщюншш сжгвем». Резидентные вирусы
^ В.Ю. Маюяюк». КсАшысугеряые tsfexrywseimaki^wpyaa& ашегт). - CtajBfxmoAb: Кн. язд-во, 1999.
50 находятся в памяти и являются активными вплоть до выключения компью тера или nqjesarpysKH операционной системы.
Нерезидентные В1фусы не заражают память компьютера и сохраня ют активность ограниченное время. Некоторые вирусы оставляют в ОП небольшие резидентные программы, которые не распространяют вирус. Такие вирусы тшоке считаются нерезидентными.
Резидантнымн мозюю считать мсщювирусы, шисштыку опт также присутствуют в памяти компьютера в течение всего времени работы заж женного редактора. При этом роль операционной системы берет на с^я редактор, а понятие ''перезагрузка операционной системы** трактуется как выход из редактора.
В многозадачных операционных системах (систе»»х поддерживаю щих две и более одновременно работающие программы) время '^жизни" ре зидентного DOS-вируса также может быть ограничено моментом закрытия зараженного DOS-окна, а активность загрузочных вирусов в некотс^ых операционных системах ограничивается моментом инсталляции дисковых драйверов системы.
Вирусы со ''стелс''-алгоритлшми полностыю или частично скрыва ются в системе от антивирусов, перехватывая запросы системы на чтениезапись за1жженных с^пьекгов.
Самогиифрование и полгшорфичмость используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру обнаружения вируса. Полиморфичнью вирусы (poiyraoTptac) достаточно трудно поддаются обнаружению; они не содержат ни одного постоянншх) участка кода. В большинстве случжв два ср^разца одж>го и ттч> же шшнморфичного вируса не%дут иметь ни одного совшдеши. Это достягапся шифрованием основного тега вируса н мощифшсацнямн щжярат/м- расшифровщика.