Экспертизой использования сетевых технологий называют специальное исследование, производящее анализ применения сетей в той или иной деятельности. Чаще всего экспертизу использования сетевых технологий осуществляют в ходе расследования компьютерных преступлений, средствами которых, так или иначе, являлись компьютерные сети. Однако, данное исследование может быть использовано для оценки эффективности работы предприятия или группы специалистов, организованной по сетевому принципу.
Основной акцент экспертизы использования сетевых технологий смещен в сторону функционирования компьютерных сетевых систем, принципов организации связи между компьютерами и системами, работы того или иного пользователя в сетевой структуре. Специалист, проводящий исследование, в обязательном порядке должен располагать исчерпывающими сведениями в области сетевых систем. Это необходимо для того, чтобы исследование было наиболее полным, а его результаты – достоверными. Все компьютерные технологии в целом, и сетевые в том числе, развиваются стремительными темпами. Эксперты, обладающие достойной профессиональной репутацией, постоянно повышают уровень своей квалификации и посещают семинары и конференции, изучая новинки отрасли и эффективные способы исследования.
Экспертиза использования сетевых технологий часто применяется для расследования разнообразных финансовых сетевых транзакций. Огромное количество платежей проходит через сетевые системы оплаты. Сетевые технологии используются как для небольших частных платежей и переводов, так и для полномасштабной финансовой деятельности банков, правительств и корпораций. Это открывает огромное поле притягательных возможностей для всякого рода криминальных деятелей и мошенников. Историю и механизм совершенного сетевого финансового преступления можно определить путем анализа использованных злоумышленником сетевых технологий.
В каких случаях применяют экспертизу использования сетевых технологий
Исходя из сути исследования, его производство имеет смысл во всех ситуациях, так или иначе связанных с применением компьютерных сетей. Сетевые технологии сопровождают практически все сферы деятельности человека, поэтому повод для проведения экспертизы использования сетевых технологий может быть самым неожиданным. Чаще всего исследование проводят в следующих ситуациях:
- Необходимо проследить путь движения информационного пакета по сети.
- Требуется определить источник распространения по сетевым контрагентам информационного пакета или вредоносной программы.
- Необходимо определить причину изменения свойств сетевой системы, механизм данного изменения и возможные последствия (а также мотивы инициатора изменений, если они были произвольными и преднамеренными).
- Нужно выявить случаи нарушения регламентированных режимов использования сетевой системы или технологии, определить пользователей, не соблюдавших предписания.
- Требуется определить эффективность командной работы при использовании данной сетевой технологии.
- Необходимо оценить особенности работы клиентской и серверной подсистем.
- Требуется определение частоты, продолжительности и конкретного времени использования тех или иных сетевых технологий или систем.
- Требуется определить, соответствуют ли частные характеристики использованных сетевых технологий и/или систем среднестатистическим (нормативным) показателям подобных компьютерных продуктов.
- Необходимо доказать использование определенных сетевых технологий для совершения преступлений, по сути не относящихся к компьютерным.
Методы, применяемые при производстве экспертизы использования сетевых технологий
При производстве экспертизы использования сетевых технологий применяются методы исследования работы сетей, основанные на основных принципах сетевого взаимодействия компьютеров и компьютерных систем. Методы исследования постоянно развиваются, так как эволюционируют объекты анализа. На сегодняшний день наиболее часто используемыми методами являются:
- Исследование топологии сетевых систем (анализ архитектуры сетевых компьютерных систем с целью определения функциональной нагрузки каждого из компьютеров и, соответственно, пользователей в работе системы).
- Методы анализа средств и механизмов сетевого доступа к различным объектам (исследование систем безопасности и защиты данных, а также наблюдение за поведением пользователей, обладающих тем или иным уровнем допуска к массивам данных). Нарушение систем безопасности компьютерных систем может фиксироваться специальными программами-датчиками. Точно так же существуют детекторы нарушения правил доступа. При отсутствии таких программ анализ нарушения прав доступа производит эксперт.
- Анализ процессов коммутации и маршрутизации (исследование последовательностей сетевых узлов, через которые прошел информационный пакет или вредоносная программа). Маршрутизаторы и коммутаторы, через которые проходит пакет данных, сообщение или вредоносная программа, особым образом «отмечают» данные информационные продукты. Анализ меток позволяет отследить обратный путь послания до отправителя.
- Методы анализа, базирующиеся на иерархизации сетевых протоколов (анализ особых программ – протоколов, которые задают определенный режим работы сетевой системы). Схема устройства протоколов подчиняется некоему общему иерархическому принципу, что позволяет исследовать особенности использования сетевых технологий.
- Исследование алгоритмов распределенной работы с массивами данных (анализ использованных сетевых технологий с точки зрения функционирования мультипроцессорных и мультимашинных сетевых конгломератов). Подобные методы позволяют отследить механизм использования сетевых технологий при обмене сообщениями между различными пользователями системы, проанализировать процедуру использования одного и того же файла различными пользователями.
Разнообразие методов и технологий производства данной экспертизы увеличивается с каждым днем. Это обязывает специалистов, проводящих исследование, регулярно учиться и знакомиться с новыми способами анализа.
Правовая база, сопровождающая производство экспертизы использования сетевых технологий
Статья 272 Уголовного кодекса РФ подразумевает наступление ответственности за осуществление несанкционированного доступа к закрытым данным, расположенным во внутренней памяти компьютера, компьютерной системы или на внешних носителях данных. Подобные правонарушение также может быть осуществлено посредством использования сетевого доступа и соответствующих технологий.
Статья 273 Уголовного кодекса РФ описывает ответственность за распространение посредством сетевых систем вредоносных программ.
Статья 274 Уголовного кодекса РФ предписывает определенную меру наказания за преступления, заключающиеся в нарушении регламента использования сетевых систем.
Вопросы, которые задают специалисту в области экспертизы использования сетевых технологий
- Каковы обстоятельства использования исследуемой сетевой технологии (системы)?
- Когда осуществлялся выход в сетевое пространство с исследуемого компьютера?
- Как часто данный пользователь выходил в сеть с данного компьютера?
- Каковы точные даты и время использования определенной сетевой технологии?
- Какова эффективность работы применяемых сетевых технологий?
- Какова последовательность маршрутизаторов и коммутаторов, через которые прошел исследуемый пакет данных?
- С какого именно компьютера был произведен вброс вредоносной программы в компьютерную сеть?
- Имеются ли какие-либо данные о произведенной посредством сетевых технологий оплате товаров или услуг?
- Какой статус имеет исследуемый компьютер – клиентская или серверная часть использованной сети?
- Каков механизм работы исследуемых сетевых протоколов?
- Менялись ли какие-либо параметры исследуемых компьютерных сетей (технологий)?
- Какова возможная причина и механизм изменения свойств исследуемой компьютерной сети (технологии)?
- Использовались ли исследуемые сетевые технологии несанкционированным образом?
- Использовались ли представленные для исследования сетевые технологии для совершения компьютерных или иных преступлений?
Проведение экспертизы по уголовному делу
Согласно Постановлению Пленума Верховного Суда Российской Федерации от 21 декабря 2010 г. N 28 "О судебной экспертизе по уголовным делам" экспертиза по уголовному делу может быть проведена либо государственным экспертным учреждением, либо некоммерческой организацией, созданной в соответствии с Гражданским кодексом Российской Федерации и Федеральным законом "О некоммерческих организациях", осуществляющих судебно-экспертную деятельность в соответствии с принятыми ими уставами.
Коммерческие организации и лаборатории, индивидуальные предприниматели, образовательные учреждения не имеют права проводить экспертизу по уголовному делу, ровно как и некоммерческие организации, для которых экспертная деятельность не является уставной. Экспертиза, подготовленная указанными организациями в рамках уголовного процесса, может быть признана недопустимым доказательством, т.е. доказательством, полученным с нарушением требований процессуального закона.
Недопустимые доказательства не могут использоваться в процессе доказывания, в том числе, исследоваться или оглашаться в судебном заседании, и подлежат исключению из материалов уголовного дела.
Так как АНО "Судебный эксперт" является автономной некоммерческой организацией, а проведение судебных экспертиз является её основной уставной деятельностью (см. раздел "Документы организации"), то она имеет право проводить экспертизы в том числе и по уголовным делам.