Несколько часов назад в свободный доступ было выложено методическое пособие НП ППП «Специальные знания при выявлении и расследовании дел, связанных с нарушением авторских и смежных прав на программы для ЭВМ и базы данных» (второе издание, 2012 год). Неделю назад меня и некоторых других специалистов в области компьютерной криминалистики попросили дать комментарии по поводу изложенных в этом документе сведений, которые я решил опубликовать на Хабрахабре.
Методическое пособие посвящено способам применения специальных знаний в аспекте расследования уголовных дел, возбужденных по статье 146 УК РФ. Первые две части методического пособия почти полностью состоят из пересказа и цитирования законодательства. Третья часть начинается с полного заимствования текста информационного письма Экспертно-криминалистического центра (ЭКЦ) МВД России от 8 ноября 2010 года, однако в конце раздела имеется оригинальный, незаимствованный текст. Приложение №1 почти полностью повторяет текст методических указаний ЭКЦ МВД России («Компьютерная экспертиза. Исследование компьютерной информации», Г. В. Саенко, О. В. Тушканова), в него также было добавлено небольшое количество информации из вышеуказанного информационного письма ЭКЦ МВД России. Приложение №2 было написано известным «экспертом» Владимиром Серпуховым (который выступал судебным экспертом в некоторых громких делах «по контрафакту», более подробно по следующим ссылкам: www.novayagazeta.ru/news/45856.html, www.novayagazeta.ru/politics/44476.html и www.novayagazeta.ru/politics/44477.html).
Т. е. данное методическое пособие содержит минимум незаимствованных сведений, которые можно отнести к сфере специальных знаний в области криминалистического исследования компьютерной информации.
Начнем рассмотрение несостыковок и противоречий в данном методическом пособии по порядку их появления.
1
В начале пособия (на странице 2) написано следующее: «Законодательство и иной правовой материал представлены по состоянию на 1 февраля 2012 года». Это утверждение не соответствует действительности: например, на странице 26 приведены тексты статей 272 и 273 УК РФ в старой редакции, которая утратила силу задолго до 1 февраля 2012 года.
2
На странице 14 написано, что «Эксперт не может самостоятельно собирать материалы для производства судебной экспертизы… Исключением является случай, когда образцы не являются индивидуально определенными и действие по сбору материалов входит в процесс экспертизы».
Статья 57 УПК РФ, в которой написано, что эксперт делать вправе, а что не вправе, не содержит указаний на подобное исключение, в ней имеется категоричное утверждение, что эксперт не вправе «самостоятельно собирать материалы для экспертного исследования». Аналогичный безусловный запрет имеется в статье 16 ФЗ «О государственной судебно-экспертной деятельности в Российской Федерации», положения которой распространяются на деятельность всех лиц, проводящих судебные экспертизы. Т. е. материалы для производства судебной экспертизы, в том числе и образцы лицензионной программной продукции, могут быть предоставлены эксперту только следователем или судом. Ни о каком самостоятельном сборе материалов речи идти не может даже в контексте части 4 статьи 202 УПК РФ (т. к. она регламентирует получение сравнительных образцов из материалов, представленных на экспертизу в установленном законом порядке).
Я оставлю вопрос о мотивах такой наглой попытки исказить положения действующего законодательства вне рамок своих суждений и перейду к следующему пункту.
3
Поскольку документ представляет собой комбинацию материалов ЭКЦ МВД России и собственных разработок НП ППП, то в нем имеются взаимоисключающие утверждения. К примеру:
- На странице 15 написано, что эксперт может установить несанкционированность действий программы с информацией (т. е. решить вопрос о наличии необходимого признака вредоносной программы), а на странице 42 написано, что попытка решения вопроса о вредоносности программы является ошибкой.
- На странице 34 написано, что определение правообладателей программной продукции относится к товароведческой экспертизе, однако на страницах 39 и 40 написано, что понятие правообладателя является правовым, а решение правовых вопросов в ходе судебной экспертизы, с позиции действующего законодательства, недопустимо («Постановка перед экспертом правовых вопросов, связанных с оценкой деяния, разрешение которых относится к исключительной компетенции органа, осуществляющего расследование, прокурора, суда (например, что имело место — убийство или самоубийство), как не входящих в его компетенцию, не допускается», Постановление Пленума ВС РФ от 21 декабря 2010 года «О судебной экспертизе по уголовным делам»).
- На странице 38 приводится шаблон формулировки вопроса о наличии на машинном носителе информации определенного произведения, сравнительный образец которого отсутствует: «Имеется ли на (указать перечень объектов) произведения, атрибутирующие себя как (указать перечень наименований)?» (данный вопрос, кстати, целиком и полностью скопирован из вышеуказанного информационного письма ЭКЦ МВД России). Подобная формулировка вопроса позволяет установить наименования установленных на машинном носителе информации программ, обладающих определенными названиями, с учетом того, что у двух и более программ могут быть одинаковые названия и схожие элементы интерфейса (т. е. для точного определения наименования, версии, редакции и комплектации программного продукта необходимы сравнительные образцы). Однако ниже, в «заметках на полях», написано, что атрибутирование есть «поиск сведений о правообладателях произведений (программных продуктов)». Видимо, автор данной заметки просто не понял, что под «программой, атрибутирующей себя как X» в контексте шаблона вопроса понимается «программа, в которой указано название X».
4
На странице 34 перечислены «внешние технические признаки контрафактности», т. е. технические свойства материальных носителей программ, позволяющие косвенно судить об их контрафактности. На этой же странице перечислены обстоятельства, в которых подобные «признаки контрафактности» будут ложными (т. е. описаны ситуации, когда лицензионный носитель с программой будет обладать «признаками контрафактности»), при этом данный перечень обстоятельств частично копирует такой же перечень в вышеуказанном информационном письме ЭКЦ МВД России. Почему частично? Потому что в рассматриваемых методических материалах НП ППП отсутствуют такие важные пункты, как возможность создания пользователем легального архивного сборника программ, которым можно заменить оригинальные носители (статья 1280 ГК РФ), возможность получения права на использование программы, которая не связана с передачей машинного носителя информации с этой программой и оформлением правоотношений в виде договора на бумаге. Оригинальный перечень случаев-исключений, приведенный в информационном письме ЭКЦ МВД России, обосновывает ненаучность любых попыток установления контрафактности через технические свойства объектов, о чем там, кстати, имеется соответствующий вывод: «Таким образом, технические характеристики объектов нельзя рассматривать в качестве «признаков контрафактности». А рассматриваемое пособие преподносит способ доказывания контрафактности через ее признаки как единственно верный.
Думаю, читателям не нужно объяснять, почему авторы из НП ППП исключают из «копипасты» любые положения, которые противоречат их точке зрения.
5
Приложение №2 заслуживает отдельного внимания: ведь в нем, по сути, делается попытка оправдать и обосновать метод прямого включения представленного на криминалистическое исследование (судебную экспертизу) компьютера без применения каких-либо средств, обеспечивающих неизменность данных на его машинных носителях, и раскритиковать метод исследования копий таких носителей, изменения которых никак не отражаются на их оригиналах.
В качестве преимуществ метода прямого включения приводятся следующие обстоятельства: метод прямого включения позволяет избежать траты времени, сил и средств на копирование данных перед их исследованием, а также решить поставленные вопросы в короткий срок без ущерба полноте и всесторонности исследования. Для грамотного специалиста в области компьютерной криминалистики данные доводы абсурдны по следующим причинам:
- Предварительное копирование всего содержимого машинных носителей информации в подавляющем большинстве случаев не превышает одну ночь, в то время как средний срок проведения криминалистических исследований и судебных экспертиз — от двух недель до одного месяца. Т. е. метод исследования копий машинных носителей информации не требует существенного увеличения временных затрат на производство судебной экспертизы или проведение иного криминалистического исследования.
- В случае, если предварительное копирование содержимого машинных носителей информации невозможно (в моей практике были случаи, когда криминалистическое исследование накопителя на жестких магнитных дисках должно было быть проведено за один рабочий день, т. к. на основании его результатов планировались срочные оперативно-разыскные мероприятия), то криминалистическое исследование может быть проведено применительно к оригинальному машинному носителю информации с применением программных или аппаратных блокираторов записи. Использование операционных систем на основе Linux и современных операционных систем семейства Windows позволяет блокировать запись на подключаемые носители информации без установки стороннего программного обеспечения, т. е. бесплатно. Таким образом утверждение о более низкой стоимости применения метода прямого включения не соответствует действительности.
- Применение метода прямого включения не обеспечивает полноту и всесторонность проводимого исследования. Во всех случаях. Дело в том, что при наличии грамотной линии защиты в уголовном деле, возбужденном по статье 146 УК РФ, необходимо установление и экспертное обоснование обстоятельств нарушения авторских и смежных прав, для чего требуется установление точного времени записи произведений (программ), права на которые были нарушены, на машинный носитель информации, установление обстоятельств такой записи и т. п. При этом линия защиты может применять тактику «trojan defense» («закон нарушил не я, а кто-то другой, использовавший мой компьютер в качестве прокси-сервера»), а борьба стороны обвинения с такой тактикой требует максимального и подробного исследования компьютера обвиняемого с целью обнаружения троянских программ и установления временных промежутков их функционирования. Но подобные исследования требуют максимальной сохранности временных меток исследуемой файловой системы, которые будут неизбежно и безвозвратно изменены любой попыткой применить метод прямого включения. Также с каждым включением исследуемого компьютера перезаписываются все больше секторов, содержащих фрагменты удаленных файлов, а роль удаленных данных в раскрытии преступлений в сфере высоких технологий трудно недооценить. Не стоит забывать и о логических бомбах, которые могут удалять значимые данные при определенных условиях (например, если пользователь не нажал заранее установленную клавишу в процессе загрузки операционной системы).
В качестве примера приведу очередной случай из своей практики: в одном исследовании удалось установить обстоятельства неправомерного доступа к FTP-серверу, который привел к загрузке на него некоторых интересующих группу реагирования на инцидент файлов, только благодаря фрагментам логов этого сервера из файла подкачки Windows (лог-файлы FTP-сервера удалялись каждые сутки, а с момента инцидента прошло достаточное количество времени, чтобы имеющие отношение к инциденту лог-файлы были безвозвратно утрачены). Следует ли упоминать, что любое включение исследуемого компьютера в этом случае могло с высокой степенью вероятности привести к утрате важных данных из файла подкачки?
- Также абсурдно утверждение о том, что временные метки в исследуемых файловых системах имеют ориентирующий характер. Операционные системы синхронизируют системные часы с NTP-серверами в Интернете, а записи о событиях синхронизации заносятся в соответствующие журналы событий. В процессе криминалистического исследования для обоснования корректности обнаруженных временных меток подобные записи могут быть с успехом исследованы. Аналогично могут быть исследованы текущие показания системных часов исследуемого компьютера (для обоснования корректности временных меток, отражающих события непосредственно перед последним выключением операционной системы компьютера).
- Для обоснования применимости метода прямого включения также используется антинаучный аргумент о возможности последующего восстановления измененной информации методом визуализации магнитных полей. Последние научные исследования в области восстановления перезаписанных данных показывают, что практическое восстановление перезаписанных байтов с современных магнитных носителей невозможно (http://computer-forensics.sans.org/blog/2009/01/15/overwriting-hard-drive-data/).
В качестве аргументов против метода исследования копии машинного носителя информации приводятся следующие доводы: копия машинного носителя информации — производное доказательство, которое обладает иной силой; копия машинного носителя информации может не соответствовать его оригиналу (т. к. копирующие программы содержали, содержат и будут содержать ошибки). Данные аргументы являются попыткой притянуть желаемое за уши и придать ему статус действительного, т. к.:
- Копия машинного носителя информации, создаваемая в рамках судебной экспертизы или иного криминалистического исследования, не является доказательством, тем более производным. Производное доказательство может создать только следователь либо суд с помощью специалиста, но никак не эксперт или специалист самостоятельно (т. к. у эксперта или специалиста нет права признавать те или иные объекты доказательствами по делу). И хотя копия машинного носителя информации, признанная производным доказательством в установленном законом порядке, технически ничем не отличается от копии машинного носителя информации, созданной экспертом или специалистом самостоятельно, их правовые статусы различаются и не пересекаются. Т. е. любые попытки признать заключение эксперта, исследовавшего копию машинного носителя информации, недопустимым доказательством на основании того, что эксперт сам создал производное доказательство и исследовал его, не основаны на законе.
- Даже в процессе исследования оригинального машинного носителя информации, подключенного с использованием блокиратора записи, происходит копирование части его содержимого в оперативную память перед последующим отображением на экране (например: программа Notepad перед отображением содержимого текстового файла копирует его в оперативную память, при этом на экране отображается скопированное в оперативную память содержимое). Т. е., с точки зрения авторов рассматриваемого методического пособия, создание производного доказательства происходит во всех методах исследования, что наглядно демонстрирует абсурдность их подхода.
- Процесс копирования информации в вычислительной технике не является сложным, поэтому ошибки при копировании, которые могут привести к искажению результатов криминалистического исследования, не возникают даже при использовании устаревших программ. Программы для криминалистического копирования информации, безусловно, содержат ошибки, но они затрагивают не сам процесс копирования данных, а процессы, связанные с более сложными действиями (например: вычисление значений хеш-функций для блоков копируемых данных; читаемых из стандартного ввода, интерпретация скопированных данных и т. д.). Поэтому говорить о значимой вероятности искажения результатов исследования из-за возможных ошибок копирующей программы нельзя.
Выводы
Данное методическое пособие, в целом, является плагиатом уже существующих работ в области судебного исследования компьютерной информации. Незначительные оригинальные сведения, приведенные в пособии, не соответствуют современному уровню технологий судебного исследования компьютерной информации, а порой и вовсе антинаучны.
Автор: msuhanov
