Комп’ютерно-технічна експертиза – це дослідження технічних властивостей цифрового обладнання (комп’ютерів, накопичувачів інформації, мобільних телефонів тощо) та програмного забезпечення з метою отримання фактичних даних, що відносяться до обставин скоєного злочину або предмету цивільного позову. Експертиза дозволяє виявити істотні ознаки злочину (інциденту) і створити цілісну доказову базу шляхом дослідження інформації.
Об’єктами комп’ютерно-технічної експертизи є як апаратні засоби (системні блоки комп’ютерів, сервери, ноутбуки, жорсткі диски, флеш-накопичувачі, мобільні пристрої, відеореєстратори та ін.), так і програмні продукти (комп’ютерні програми, бази даних, веб-сайти тощо).
Завданнями, що вирішуються в рамках проведення комп’ютерно-технічної експертизи є:
- встановлення виду (типу, марки), властивостей апаратного засобу, а також його технічних і функціональних характеристик;
- встановлення працездатності апаратного засобу, комп’ютерної програми;
- виявлення і дослідження функціональних властивостей, налаштувань програмного забезпечення, часу його інсталяції, аналіз лог-файлів його роботи;
- виявлення потрібної інформації, встановлення її властивостей та виду відображення в комп’ютерній системі;
- відновлення видаленої та зашифрованої інформації на різного типу носіях;
- виявлення ознак діяльності шкідливого програмного забезпечення;
- виявлення слідів активності в мережі Інтернет, історії обміну повідомленнями у програмах для спілкування та інше.
Орієнтовний перелік запитань, які вирішуються судовою комп’ютерно-технічною експертизою (перелік питань не є вичерпним. Питання можуть змінюватись в залежності від того, яку інформацію необхідно отримати в ході проведення експертизи):
- Чи містяться на наданих на дослідження об’єктах серед наявних та
видалених файлів інформація щодо ключових слів (вказати необхідні ключові слова)? Якщо так, то які атрибути (дата та час створення, редагування тощо) файлів, що містять зазначену інформацію? При наявності зазначеної інформації прошу скопіювати на окремий носій інформації (за потреби). - Чи містяться на наданих на дослідження об’єктах наявні та видалені файли документів формату «doc», «docx», «pdf» та електронних таблиць формату «xls», «xlsx» (або інші типи фалів. Вказати, які потрібні)? При наявності зазначеної інформації прошу скопіювати на окремий носій інформації (за потреби).
- Чи містяться на наданих на дослідження об’єктах файли листів
електронної пошти? - До яких веб-адрес мережі Інтернет та коли здійснювався?
- Чи містяться на наданих на дослідження об’єктах облікові дані (логіни та паролі) для доступу до Інтернет ресурсів?
- Чи міститься на наданих на дослідження об’єктах історії обміну повідомленнями з програм призначених для спілкування в мережі Інтернет («Viber», «Skype», «Telegram», «WhatsApp» та інші)? При наявності зазначеної інформації прошу скопіювати на окремий носій інформації (за потреби).
- Чи містяться на наданих на дослідження об’єктах програмне
забезпечення, призначене для віддаленого керування комп’ютером («Remote desktop connection», «TeamViewer», «AnyDesk» та інше)? Якщо так, то чи містяться на наданих на дослідження об’єктах лог-файли використання виявлених програм? При наявності зазначеної інформації прошу скопіювати на окремий носій інформації (за потреби). - Чи містяться на наданих на дослідження об’єктах певне (зазначити назву або функціональне призначення, а також вид – встановлене чи не встановлене) програмне забезпечення? (у відношенні грального бізнесу «iConnect», «iChampion», «G-slot», «Gaminator», «Superomatic», «iGaming Casino», «Megasuperomatic»).
- Чи можливо виконання певних дій (вказати яких саме) за допомогою даного програмного продукту?
- Чи можливе вирішення певного завдання (вказати якого саме) за допомогою даного програмного продукту?
- Чи реалізовані у даному програмному продукті функції, передбачені технічним завданням на його розробку?
- Чи містяться на наданому на дослідження відеореєстраторі відеозаписи, створені в період часу (вказати дату та час, за які потрібні відеозаписи)? Якщо так, то виявлені відеозаписи прошу скопіювати на окремий носій (за потреби).
- Які мережеві налаштування мають мережеві адаптери наданого комп’ютерного обладнання?
- Чи містяться в пам’яті наданих на дослідження мобільних телефонів інформація щодо списку контактів, журналу дзвінків, текстових та мультимедійних повідомлень, веб-історії, повідомлень в мережі Інтернет, а також текстових, графічних, відео файлів користувача? При наявності зазначеної інформації прошу скопіювати на окремий носій інформації (за потреби).
Важлива інформація для ініціаторів призначення експертиз:
- При формулюванні запитань на вирішення експертизи слід враховувати те, що згідно ст.242 КПК України експерт не може вирішувати питання права.
- Про наявність або відсутність паролів доступу (паролів для розшифрування носіїв інформації, розблокування мобільних пристроїв) до об’єктів, що направляються на дослідження, необхідно обов’язково зазначати у документі про призначення судової експертизи.
- У разі, якщо об’єктами дослідження є мобільні пристрої, сервери або продукція компанії Apple у документі про призначення судової експертизи необхідно обов’язково надавати експертам дозвіл на внесення змін до інформаційного вмісту такого об’єкта в межах, необхідних для проведення дослідження.
- У випадку направлення на дослідження мобільних пристроїв, доступ до інформаційного вмісту яких захищено системою логічного захисту (PIN-код, пароль, графічний ключ), у документі про призначення судової експертизи необхідно обов’язково надавати експертам дозвіл на застосування під час дослідження руйнуючих методів в межах, необхідних для подолання такого захисту.
- При необхідності виконання комплексної судової експертизи (за участю декількох експертів з різних галузей) слід враховувати те, що, як правило, такий вид експертизи потребує більше часу для виконання. Тому, за можливістю, рекомендується призначення кожного виду експертизи окремо.
- При необхідності проведення дослідження об’єктів різних типів (наприклад, системні блоки комп’ютерів чи ноутбуки і мобільні пристрої), рекомендується упаковувати такі об’єкти до окремих пакетів і призначати судові експертизи окремими постановами (ухвалами).
- Упакування об’єктів дослідження повинно перешкоджати несанкціонованому доступу до таких об’єктів або внесення змін у їх інформаційний вміст, а також містити повну інформацію про об’єкт (назва, серійний номер, ким вилучено, коли, ЄРДР та інше). Використання для упакування об’єктів дослідження липкої стрічки типу «скотч» або прозорих пакетів для упакування мобільних пристроїв не допускається.
- У разі наявності сумнівів щодо правильності формулювання запитань на вирішення експертизи, а також наявності інших питань, пов’язаних з призначенням судових комп’ютерно-технічних експертиз, рекомендується проведення консультацій з працівниками відділу комп’ютерно-технічних досліджень ДНДЕКЦ МВС.