Экспертно-правовой центр
«Эксперт-консалтинг»
Заказать звонок

Компьютерно-сетевая экспертиза

Компьютерно-сетевая экспертиза является одной из категорий компьютерно-технических исследований. Хотя этот тип анализа схож с программно-компьютерной экспертизой, он в большей степени фокусируется на анализе активности пользователя в сети. Это означает, что основное внимание уделяется действиям человека, совершаемым через компьютерные сети. Для выполнения компьютерно-сетевой экспертизы эксперту необходимо обладать специализированными знаниями в области сетевых технологий, что позволяет ему эффективно отслеживать перемещение информационных пакетов и анализировать информационные следы. Знание принципов работы сетей позволяет объединить все данные, собранные в процессе расследования, в единую доказательную базу, что способствует более успешному решению задач экспертизы.

Компьютерно-сетевая экспертиза в первую очередь исследует функциональные возможности компьютерных систем, применяющих сетевые технологии. Часто этот метод используется для сбора доказательств в делах, связанных с интернет-технологиями. Объектом анализа служат информационно-компьютерные сети и следы сетевой активности пользователя. В случаях, когда преступления совершаются через интернет и доступ к компьютеру нарушителя отсутствует, доказательства могут быть получены путем анализа информационных следов в сети. В таких ситуациях удобно применять компьютерно-сетевую экспертизу.

Следует отметить, что этот тип исследования используется не только в рамках раскрытия преступлений. Компьютерно-сетевая экспертиза позволяет оценить эффективность сетевой системы, определить возможности для внесения изменений в рабочие процессы, а также предложить пути модернизации сети через обновление компонентов или улучшение структуры функционирования. Во многих случаях исследование отдельных компьютеров или целых сетей по отдельности может быть неэффективным, так как данные в сетевой работе хранятся разрозненно, а некоторые процессы организованы с использованием сетевых технологий.

Задачи компьютерно-сетевой экспертизы

Обширный круг задач, решаемых в ходе компьютерно-сетевой экспертизы, включает исследование программного обеспечения сетей, персональных компьютеров с интернет-доступом и больших компьютерных систем, организованных в сети и подключенных к интернету. Конкретные задания зависят от анализируемого набора объектов и целей экспертизы. Специалист в области компьютерно-сетевой экспертизы, как правило, решает следующие задачи:
  • установление связей между использованием конкретных сетевых объектов и результатами их работы;
  • анализ событий, произошедших в сети – выявление обстоятельств и механизмов действия на основе полученных данных. Исследуются случаи распространения вредоносных программ, несанкционированного доступа к данным и системам и др.;
  • изучение отражений сети в информационных блоках носителей данных для выявления характеристик и состояния сети. Анализируются HDD, CD, USB-накопители, дискет и RAID-массивы;
  • определение механизмов изменений в свойствах сети и причин этих изменений;
  • выявление нарушений установленного порядка использования сети, а также обнаружение запрещенного программного обеспечения;
  • определение начального состояния исследуемой сети и ее компонентов, анализ изменений в структуре сети;
  • оценка текущего состояния сети или устройства, выявление физических дефектов, а также идентификация компонентов доступа и системных журналов событий;
  • установление уникальных характеристик сетевой системы, ее конфигурации и типа архитектуры устройства;
  • проверка соответствия обнаруженных характеристик типовым для аналогичных сетевых систем;
  • определение принадлежности объекта к клиентской или серверной стороне сети;
  • определение характеристик отдельных компонентов сети – как программных, так и аппаратных, их функционального назначения и места в сетевой структуре.

Методы проведения компьютерно-сетевой экспертизы

Компьютерно-сетевая экспертиза представляет собой относительно новую и динамично развивающуюся область исследований. С развитием новых сетевых технологий и программных решений методы их анализа также постоянно совершенствуются. В настоящее время практически все технологии, используемые в сетевых системах, требуют исследования. Методологическая основа компьютерно-сетевой экспертизы строится на следующих принципах:
  • методы, основанные на классификации протоколов;
  • алгоритмы распределенной обработки данных;
  • исследование маршрутов и коммутации;
  • топологические методы исследования;
  • методы доступа.

Методы, опирающиеся на иерархию протоколов, позволяют анализировать работу сетей и сетевых систем через алгоритмы, управляющие их функционированием. Протоколы структурированы и организованы в соответствии с иерархией, отражающей общую структуру компьютерной системы. При этом учитываются приоритеты использования различных протоколов при обработке данных во время их передачи по сети.

Алгоритмы распределенной обработки данных, применяемые в компьютерно-сетевой экспертизе, базируются на концепциях мультимашинных и мультипроцессорных систем. Эти системы, хоть и имеют различия, со временем становятся все ближе друг к другу. Все подходы данной группы сосредоточены на изучении работы упомянутых мультисистем, которые проходят несколько этапов работы, таких как:
  • обмен сообщениями между программами различных систем;
  • организация доступа к данным и ресурсам разных компьютеров, включая совместное использование файлов;
  • взаимодополняющие функции, выполняемые соединенными компьютерами при решении общей задачи.

Использование мультисистем значительно облегчает выполнение разнообразных задач в сетях, включая преступные. Тем не менее данные технологии имеют свои недостатки, которые позволяют отслеживать их деятельность и идентифицировать злоумышленников. Например, обмен данными с помощью пересылки файлов коррелирует с последовательной обработкой, что позволяет установить связи между различными объектами и проследить маршрут выполнения задач.

Методы изучения маршрутизации и коммутации помогают установить последовательность передачи данных в сети. Сети организованы так, что пользователи соединяются через коммутаторы, а локальные сети связываются маршрутизатором. Данные, проходящие через разные сегменты сети, оставляют следы, что помогает отследить их путь.

Топологические методы компьютерно-сетевой экспертизы основаны на анализе иерархических структур сетей и систем, позволяя определить роли и функции различных компьютеров и пользователей в сети.

Методы доступа направлены на исследование уровня защиты данных, безопасности и поведения пользователей с доступом к информации в распределенных хранилищах.

Нормативно-правовая база при проведении компьютерно-сетевой экспертизы

Уголовные преступления, связанные с компьютерной информацией, а также соответствующие меры наказания закреплены в главе 28 Уголовного кодекса РФ. Эта глава включает три статьи, охватывающие все виды правонарушений в сфере компьютерных и сетевых технологий на сегодняшний день:
  • незаконный доступ к защищенной информации, хранящейся на компьютере, в компьютерной системе или на носителях данных (статья 272);
  • создание, распространение и использование вредоносных программ, наносящих ущерб работе компьютеров и сетей или злоупотребляющих ресурсами чужих компьютеров и сетей в преступных целях (статья 273);
  • нарушение правил использования компьютеров, компьютерных и сетевых систем (статья 274).

Вопросы эксперту

  • Какие характеристики присущи исследуемой компьютерной сети? Какие факторы могут повлиять на изменение этих характеристик?
  • Имеются ли на компьютере, подлежащем экспертизе, аппаратные или программные компоненты, необходимые для его функционирования в сети?
  • Существует ли прямая связь между использованием программно-аппаратных средств и их результатами? Если да, как она проявляется?
  • Обнаружены ли признаки использования данного персонального компьютера для доступа к глобальной сети Интернет? Как настроена программа удаленного доступа к сети и какие у нее ключевые особенности?
  • Как установлены протоколы соединения?
  • Содержит ли исследуемый компьютер данные, которые могут подтвердить использование кредитных карт или осуществление других электронных платежей?
  • Имеются ли на компьютере какие-либо электронные сообщения, отправленные или полученные через электронную почту?
  • Какие коммутаторы и маршрутизаторы обрабатывают пакеты данных, полученные на данном компьютере?
  • Как пользователи данного компьютера получают доступ к внешним ресурсам на других устройствах или серверах?
  • Существуют ли на исследуемом компьютере постоянные и настроенные соединения с Интернетом?
  • Каковы характеристики этих соединений (логины, пароли, информация о провайдере, временные метки соединений и так далее)?

Важно! Приведённый список вопросов не исчерпывающий. Перед проведением экспертизы рекомендуется проконсультироваться с экспертом в случае возникновения дополнительных вопросов.

Основание для проведения экспертизы

Экспертиза проводится на основании:
  • договора с юридическим или физическим лицом;
  • судебного определения или постановления;
  • постановления дознавателя или следователя;
  • постановления налогового инспектора;
  • постановления нотариуса;
  • постановления дознавателя таможни;
  • в рамках государственных закупок.

Типы экспертиз

  1. Единоличная — проводится одним экспертом.
  2. Комиссионная — проводится группой экспертов одной специальности. Назначается при сложных случаях и повторном исследовании.
  3. Комплексная — проводится с привлечением экспертов разных специальностей, для установления наиболее точных причин произошедшего.

Основные требования к эксперту

Чтобы гарантировать объективность исследования, эксперт обязан сохранять независимость от сторон, вовлечённых в спор. Если в ходе судебного процесса выявится предвзятость или необъективность эксперта, его участие будет прекращено, а заключение признано недопустимым доказательством по делу, затем будет назначена новая экспертиза.

Эксперт должен обладать высшим образованием в соответствующей области или пройти дополнительную подготовку по экспертной специальности.

Консультация эксперта

На предварительной консультации эксперт уточняет главную цель экспертизы, объясняет возможные выводы и используемые методики экспертизы, а также определяет в договоре объект экспертизы.

Все экспертизы проводятся с учетом принципов всесторонности, объективности и полноты исследований. Эксперты могут выявить недостатки в заключениях, подготовленных другими организациями, и составить критическую рецензию, выделяя методические и процессуальные ошибки в ходе выполнения экспертизы.

Проведение рецензирования

Если суд принял решение на основе необъективной и сомнительной экспертизы, можно заказать рецензирование.

Наши эксперты помогут выявить методические или процессуальные ошибки, если есть сомнения в достоверности выводов, сделанных другой организацией. Результатом станет подготовленное заключение в форме рецензии.

Всякая экспертиза проводится в соответствии с критериями всесторонности исследования, с использованием современных технологий и участием квалифицированных экспертов.

Сколько делается рецензирование?

Обычно эксперт составляет рецензию в течение примерно 5 рабочих дней. Точные сроки мы назовём после изучения материалов.

СТОИМОСТЬ УСЛУГ

Внесудебное исследование
от 10 000 ₽
Судебная экспертиза
от 10 000 ₽
Предварительная консультация эксперта
от 5 000 ₽
Рецензирование экспертного заключения
от 20 000 ₽
Выезд эксперта в пределах г. Москвы
от 5 000 ₽
Выезд эксперта в пределах Московской области
от 10 000 ₽
Выезд эксперта в другие регионы России
от 15 000 ₽
Программно-компьютерная экспертиза
Экспертиза электронно-цифровой подписи
Экспертиза использования сетевых технологий
Экспертиза обстоятельств использования компьютерных средств
Экспертиза по восстановлению данных
Аппаратно-компьютерная экспертиза
Информационно-компьютерная экспертиза
Экспертиза процесса разработки и использования программного обеспечения
Экспертиза обстоятельств создания и использования файлов и баз данных
Экспертиза по фиксации содержимого интернет-страниц
Экспертиза и аудит информационной безопасности