Центр исследования компьютерной преступности

home контакты

Цифровые доказательства в информационную эру

Дата: 10.05.2004
Источник: www.crime-research.ru
Автор: Мохаммед ЧОКИ


staff/mohamed.jpg Введение

1. Доказательство - основа любого уголовного дела, включая киберпреступления. Методы обыска, исследования, сбора и хранения доказательств могут отличаться у разных следователей, однако все эти процедуры совершаются согласно действующему законодательству. Ошибки при сборе, разработке или представлении доказательств могут иметь серьезные последствия в суде.

2. Доказательство может определяться как «нечто устанавливающее или опровергающее факт. Оно может включать документы, свидетельские показания и другие объекты». Его можно классифицировать по трем категориям:

- вещественное доказательство - состоит из материальных объектов;
- свидетельства - свидетельские показания свидетеля можно дать в суде, оно базировалось на личном наблюдении или опыте;
- обстоятельство - базируется на замечании или наблюдении фактов (поддерживает заключение, но не доказывает его).

3. При рассмотрении в суде уголовных дел обвинение должно доказать каждый элемент дела безоговорочно. В последние годы проблемы обеспечения доказательств были несколько упрощены введением более широких правил представления доказательств (т.е. оглашения). В гражданских делах, согласно этих правил, стороны обязаны предоставлять друг другу доступ к свидетелям и некоторым доказательствам в суде. В уголовных делах, судья имеет право запросить предоставление документов; однако, в любом случае, обвинитель должен предоставить все смягчающие вину обстоятельства.

Экспертиза цифровых доказательств

4. Программы для исследования компьютерных доказательств начали разрабатывать еще в 1984 году. Чтобы должным образом соответствовать повышающимся требованиям следователей и работников прокуратуры, ФБР основало Отдел Компьютерного Анализа и Реагирования (CART). Новый термин: "Компьютерная Экспертиза" был введен в 1991 году на первом тренинге, проведенном международной Ассоциацией Компьютерных Специалистов (IACIS) в Портленде, штат Орегона. Посредством компьютерной экспертизы данные из компьютерных носителей извлекаются таким образом, чтобы их можно было использовать в суде в качестве доказательств.

Компьютерная экспертиза в литературе описывается также как вскрытие жесткого диска, в силу того, что нужны специализированные инструменты программного обеспечения и методы, способные анализировать различные уровни, на которых хранятся компьютерные данные. Цифровая судебная экспертиза - это использование полученных путем научных исследований и подтвержденных на практике методов сохранения, сбора, идентификации, анализа, интерпретации, документирования и представления цифровых доказательств, полученных из цифровых источников, для установления обстоятельств совершения преступления и получения данных, доказывающих его совершение.

5. Целью компьютерной судебной экспертизы является сбор, сохранение, изъятие, анализ и представление компьютерных доказательств. Эти экспертизы включают изучение цифровых носителей информации и любых других электронных носителей, используемых для хранения данных (дискеты, жесткие диски, ленты резервного копирования, CD-ROM). Специалист по экспертизе использует специализированное программное обеспечение, обычно недоступное широкой публике. Экспертиза позволяет обнаруживать данные, которые находятся в компьютерной системе, или восстанавливать удаленную/стертую, зашифрованную или поврежденную информацию в файлах, а также восстанавливать пароли, обеспечивающие доступ к информации. Таким образом, эти доказательства могут быть видимыми, если они были сохранены в файлах на дисках, или невидимыми, когда для их обнаружения требуется специальное программное обеспечение. Вся информация, обнаруженная в процессе экспертизы, может быть использована как в уголовном, так и в гражданском слушании.

6. Что касается компьютерных преступлений, доказательства классифицируются по трем основным категории, согласно стандартам SWGDE/IOCE:
- цифровое доказательство, когда информация сохранена или передана в электронной или магнитной форме;
- материальные предметы, когда информация в цифровом виде сохранена или передана через физические носители;
- объекты данных, где информация связана с физическими материальными предметами.

Допустимость цифровых доказательств

7. Для признания доказательств допустимыми в суде выдвигаются следующие требования:
(a) установление подлинности;
(b) правило лучших доказательств;
(c) исключения к принципу неприемлемости показаний, основанных на слухах.

Установление подлинности означает представить истинную копию оригинала; лучшее доказательство означает представить оригинал, и допустимые исключения - это признание вины, бизнес или официальные документы. Установление подлинности, кажется, наиболее широко используемое правило, но эксперты не определились насчет наиболее существенного или наиболее правильного элемента подлинности на практике. Одни говорят, что это документирование сделанного; другие - сохранение (или целостность оригинала); некоторые - подлинность - доказательство, подтверждение слов. Аргументы можно привести в пользу каждого из этих определений. Кроме того, американские суды требуют законности доказательств; они должны быть получены в соответствии с правилами, регулирующими обыск и арест, включая правила, отраженные в законах США и других государств. В некоторых странах законодательство устанавливает специальные правила предоставления суду цифровых доказательств. Законодательство США (ст.401) определяет доказательство как «возможность существования любого факта, имеющего значение в определении действия, более или менее вероятного, нежели оно было бы без доказательств».

Хотя в статье 402 федерального закона о доказательствах говорится, что «все значимые доказательства допустимы, кроме указанных в Конституции Соединенных Штатов, Постановлении конгресса в тех или иных статьях, предписанных Верховным Судом в соответствии с установленными законом полномочиями. Незначимые доказательства не допустимы.

8. Ввиду того, что правила допущения к суду цифровых доказательств еще не до конца определены, есть некоторые требования и рекомендации, которых должны придерживаться следователи. Чтобы гарантировать достоверность экспертизы, IACIS предъявляет ряд требований к ее проведению:
- для экспертизы должны использоваться чистые носители;
- экспертиза не должна повредить целостность оригинальных носителей;
- распечатки, копии данных и вещественные доказательства, обнаруженные во время экспертизы, должны правильно маркироваться, храниться и передаваться.

Обыск и Арест Цифровых Доказательств

9. 1. Для успешного проведения обыска и изъятия цифровых доказательства следователи и сотрудники правоохранительных органов должны знать, что нужно искать и арестовывать.

2. При проведении этих следственных действий они должны иметь ордер на обыск, который указывает местоположение и описание системы.

3. В-третьих, правильное и успешное изъятие цифрового доказательства зависит от того, насколько точно установлено его расположение.

A: Объекты, подлежащие обыску и/или аресту

10. Говоря о процедуре обыска или изъятия компьютеров, мы имеем в виду не только центральный процессор (системный блок); компьютер бесполезен без устройств ввода (клавиатура или мышь) и вывода (монитор или принтер) информации. Эти устройства известны как "периферия" и они - неотъемлемая часть любой компьютерной системы. Это означает устройства ввода/вывода и вспомогательные устройства хранения информации, присоединенные кабелями к системному блоку.

11. Таким образом, подразумевая обыск и арест цифровых доказательств в компьютерах, мы будем часто обращаться к аппаратным средствам, программному обеспечению и данным, содержащимся в системном блоке. Принтеры, внешние модемы (присоединенные кабелями к системному блоку), мониторы и другие внешние устройства будут упоминаться все вместе как "периферия" и будут индивидуально описываться там, где в этом есть необходимость. Когда мы имеем в виду и компьютер, и всю периферию, мы будем использовать термин «компьютерная система». "Информация" – вся информация, находящаяся в компьютерной системе, включая программное обеспечение и данные.

Программное обеспечение - все программы, задействованные в компьютере. ПО обычно поставляется на одной или более дискетах или CD-ROM. Есть две основных категории программного обеспечения: системное программное обеспечение и прикладное программное обеспечение. Системное программное обеспечение состоит из программ, управляющих работой компьютера; прикладное программное обеспечение состоит из программ, которые позволяют нам работать над задачами уровнем выше. Все они составляют искомое доказательство.

12. Обыск аппаратных средств ЭВМ не является концептуально трудной задачей. Подобно обыска на предмет наличия оружия, разыскиваемые объекты материальны. Они занимают физическое место и могут быть перемещены известными способами. Намного сложнее исследования данных и программного обеспечения. Эти типы обысков должны быть исследованы в двух группах: (1) обыски, где разыскиваемая информация находится на компьютере в месте обыска и (2) обыски, где разыскиваемая информация была сохранена на стороне, и компьютер на месте обыска используется для доступа к этому хранилищу данных на стороне.

13. В некоторых случаях различие является незначительным, например, когда компьютер является частью сети. Хотя, в соответствии с Федеральными правилами уголовного процесса 41(h), понятие «собственность» включает «документы, книги, бумаги и другие материальные объекты», суды признавали, что нематериальное имущество, типа информации, также может быть изъятым. В одном из...

Добавить комментарий
2006-04-16 03:48:42 - ТОП знакомства на www.lovesoyz.ru Галя
2006-04-15 08:49:33 - http://pcsoft.net.ru РУЛЕЗ МОЛОДЦЫ!!!
Всего 2 комментариев


Copyright © 2001–2019 Computer Crime Research Center

CCRC logo
Главным направлением в деятельности Центра является широкое информирование общественности об основных проблемах и способах их решения, с которыми сталкивается общество в сфере противодействия компьютерной преступности.