Практика компьютерно-технической экспертизы в гражданских и уголовных делах
Автор статьи:
Музалевский Федор Александрович
Ведущий эксперт компьютерно-технического направленияМатериалы вебинара:
В вебинаре мы разберем основные вопросы, на которые способна ответить техническая экспертиза, покажем значимость формулировки вопроса, рассмотрим самые востребованные на сегодняшний день разделы компьютерно-технической экспертизы, покажем, что это, в общем-то, не страшно, и в конце коротко коснемся вопроса выбора судебного эксперта с точки зрения лицензирования, компетенций и так далее. Информация будет полезна юристам, которые могут столкнуться с компьютерно-технической экспертизой в своей практике.
Поговорим о практике компьютерно-технической экспертизы в гражданских уголовных делах. Основной упор сделаем на гражданские, потому что в уголовных есть своя специфика, но их мы обязательно тоже коснемся. Мы поговорим про основные разделы, как заверение электронной переписки, про поиск информации и цифровые документы, про экспертизу электронной подписи, которая в последнее время становится все более востребованной, и такой интересный момент, как споры по IT-контрактам. Мы посмотрим, на какие вопросы могут отвечать эксперты, как их формулировать, немножко похвастаемся программами и инструментами, которыми пользуемся, и отдельно рассмотрим вопрос о том, собственно говоря, как следует выбирать экспертов, потому что мы прекрасно понимаем, что мы не единственное экспертное учреждение, но просто, чтобы вы в практике не столкнулись с каким-то, скажем так, шарлатаном, который где-то взял у себя корочку «судебный эксперт» и повесил ее себе на лоб и этим хвастается, то есть мы рассмотрим реальные требования к судебным экспертам.
Термины и определения
Компьютерно-техническая экспертиза (КТЭ) – это один из видов экспертиз, объектом которой являются компьютерные носители информации (включая информацию на них), а также компьютерная техника в целом. Основная цель производства компьютерной экспертизы — установить значимые для суда и следственных органов обстоятельства и получить доказательства по делу.
Электронная подпись (ЭП), Электронная цифровая подпись (ЭЦП), Цифровая подпись (ЦП) — информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.
Судебная экспертиза — процессуальное действие, состоящее из проведения исследований и дачи заключения экспертом по вопросам, разрешение которых требует специальных знаний в области науки, техники, искусства или ремесла и которые поставлены перед экспертом судом, судьей, органом дознания, лицом, производящим дознание, следователем, в целях установления обстоятельств, подлежащих доказыванию по конкретному делу.
Заключение эксперта — письменный документ, отражающий ход и результаты исследований, проведенных экспертом.
Задачи, решаемые компьютерно-технической экспертизой
Перейдем, собственно говоря, к делу. Основные задачи, которые решаются компьютерно-технической экспертизой, сформулированы еще в методичках Минюста и так далее. Но там есть очень много вопросов, которые просто исторически сложились, а на практике не применяются.
На практике применяются основные разделы:
- это исследование электронной переписки (подробнее про нее чуть позже);
- это поиск информации на носителях – достаточно обширный пласт вопросов, но сводится он фактически к тому, чтобы найти ту или иную информацию на носителе — это может быть жесткий диск, смартфон, ноутбук, неважно, и как-то ее охарактеризовать;
- это установление компьютерных инцидентов, компьютерных инцидентов в последнее время достаточно много и разных, и практически все установление обстоятельств сводится к поиску информации;
- проверка электронных цифровых подписей – поскольку сейчас много договоров совершается онлайн или без очного участия, в частности в прошлом году с учетом пандемии очень много ушло от физической подписи, то и проверка электронно-цифровых подписей является достаточно актуальной задачей;
- и вопрос определения соответствия программного обеспечения или какой-то техники условиям договора поставки – это очень такой востребованный вопрос, особенно в рамках 44-ФЗ, и вообще поставок между юридическими лицами.
Далее перейдем к вопросу заверения электронной переписки.
В каких случаях происходят обращения к экспертам для заверения электронной переписки?
По поводу того, в каких случаях происходит обращение к экспертам с целью заверения переписки. Случаев на самом деле очень много, но мы выделили основные:
- Споры о взыскании задолженности по договору
- Споры между заказчиками и исполнителями работ
Когда происходит переписка между заказчиками и исполнителями, приходится иногда доказывать, что в действительности было – иногда бывает, что какой-то заключили договор, происходит работа по нему, но в конце концов что-то пошло не так (как раз один из последних разделов мы будем рассматривать), либо заказчик отказался от необходимого ему продукта, либо исполнитель не смог выполнить – и начинается доказывание в суде, как раз необходимо предоставить переписку… - Угрозы и оскорбления в социальных сетях
По угрозам и оскорблениям в социальных сетях здесь понятно, заверять переписку можно, допустим, в социальных сетях, в мессенджерах различных, какие-либо угрозы приходят и по электронной почте. - Споры между банками и клиентами
Что касается споров между банками и клиентами, здесь больше заверение идет SMS-сообщений, то есть сообщения, которые приходили по электронной почте. - Споры при трудовых отношениях
Очень часто сейчас как раз споры по трудовым отношениям. Как ранее уже упомянули пандемию – многие вышли на удаленку и начинаются споры сотрудников: работал-работал, много провел какой-либо работы, а работодатель отказывается ему выплачивать. Очень много споров пошло. И именно такого рода переписку требуется иногда, в большинстве случаев заверять, и предоставлять в суд в качестве доказательства.
Для чего необходимо заверение переписки?
Как раз переписка должна предоставляться в суд на материальном носителе для возможности приобщения ее к материалам дела. Бывает так, что переписка достаточно объемная и с той же электронной почты невозможно все распечатать на бумажный носитель, например, мы также предоставляем ее в электронном виде на оптический диск однократной записи. Это суды тоже понимают, но при этом идет полная идентификация атрибутов сообщения, то есть когда, от кого, кому отправлено, в какое время, было ли вложение, что касается электронной переписки почтовой.
Для предоставления электронной переписки она может быть заверена нотариусом и подвергнута экспертному исследованию.
Нотариус, как правило, заверяет по факту: то, что ему предоставили, что он видит, то он и заверяет. Факт фальсификации переписки нотариусом не устанавливается.
Мы при проведении исследования как раз смотрим еще дополнительно признаки как раз фальсификации той или иной переписки. Некоторые нотариусы как раз совместно с экспертами проводят заверение и привлекают специалистов для того, чтобы более достоверно это заверение происходило, чтобы не было фактов подмены, фальсификации какого-либо заверяемого сообщения.
Почему экспертное заверение электронной переписки надежнее, чем у нотариуса?
Почему экспертное заверение как раз электронной переписки надежнее, чем у нотариуса? Очень часто к нам обращаются повторно, когда в суде уже начинается спор, одна из сторон представила нотариальное заверение, другая говорит, что этой переписки на самом деле не было, здесь имеются факты фальсификации, мы тогда проводим экспертное исследование именно переписки. Помимо установления факта наличия, конечно, проводим анализ реквизитов всего сообщения в почте, в мессенджере, то есть те же самые служебные заголовки в электронных почтовых сообщениях – из них можно почерпнуть очень много информации.
Если мы смотрим мессенджеры, допустим тот же WhatsApp, тот же Viber, Telegram – у них имеется возможность создания резервных копий, в них тоже содержится информация, которая как раз и хранится на серверах и можно много чего поднять.
И самих устройств – мобильных телефонов – также проводится исследование, где по разным-разным факторам производится переписка.
Может быть даже общение, если взять тот же WhatsApp – где может происходить телефонный разговор.
В электронном почтовом сообщении помимо даты, времени отправки сообщения иногда имеется и адрес отправителя, этот параметр может помочь нам при доказывании того или иного обстоятельства, или события. Помимо того, что имеется в почте какая-то переписка, содержащая текст, часто пересылаются и документы, и какие-то мультимедиа-файлы. Мы также проводим исследование именно метаданных вложений, и они, как правило, могут предоставить нам очень ёмкую информацию.
Подведем маленькое резюме
Ситуаций, в которых может потребоваться переписка, достаточно много. Заверение просто самого факта переписки у нотариуса или каким-то еще образом, может нести в себе какой-то элемент фальсификации, и проверить подлинность – здесь уже нужна экспертиза. Именно по этой причине, что арбитражи, что гражданские суды – начинает только формироваться практика по приобщению к уголовным делам переписки, которая не в рамках следствия выявлена, а со стороны, допустим, защиты – здесь уже нужна экспертиза.
Поиск информации на устройствах – цифровые документы
Поиск информации вообще это достаточно такая объемная обширная тема, она может быть как на устройствах, которые имеются локальные, так и удаленные на сервере хостинг-провайдера, они могут быть в базах данных каких-либо информационных систем. На серверах может производиться анализ логов, журналов событий, действий пользователя. Действия пользователя также могут быть исследованы в операционной системе. Очень часто бывает, что мошеннические схемы по обману и выводу денежных средств проводятся со счетов юридических фирм, со счетов пользователей – как раз анализ логов, журналов событий и поиск информации о действиях пользователя в сети иногда очень важен. Бывает, что данные, которые имеются на носителе, были удалены либо повреждены, либо каким-то образом скрыты, это как раз больше касается сокрытия информации, и мы исследуем их. Имеются различные возможности для восстановления удаленных данных и поврежденных данных. В тех же базах данных бывает, что информация каким-либо образом теряется и скрывается. Мы исследуем споры по сайтам, например, между юридическими лицами бывает, что изменяют информацию на сайте и потом приходится восстанавливать, и говорить, какая на предыдущий момент находилась информация на сайте.
Подведем маленькое резюме
Если есть вопрос о том, что происходило, какая информация находится на флешке, в компьютере, в смартфоне и так далее, здесь вопросов огромное количество, но в целом это всё, что касается поиска информации, и самое главное – атрибутов файлов: когда были созданы, когда изменены. Это вопрос компьютерно-технической экспертизы.
Перейдем дальше – это экспертиза электронной подписи.
Экспертиза электронной подписи – почерковедение XXI века
Сейчас достаточно много сделок совершается с применением этой самой цифровой подписи. Когда нужна экспертиза?
Легитимность подписи.
Во-первых, надо понимать, что нужен какой-то объект исследования эксперта, то есть нужен подписанный файл или сам файл цифровой подписи. С одной стороны, если возникают сомнения в том, что контрагент направил файл с подписью и эта подпись легитимна – можно проверить подпись, либо наоборот – у нас недавно был случай, когда организация продавала данные в Росреестр о регистрации объекта недвижимости, и им отказали по причине некорректности подписи. Соответственно, можно провести экспертизу файла, который они отправляли, указать, что подпись была корректна, файл содержит такие сведения и самое главное – дату отправки, потому что при подписании квалифицированной цифровой подписью фиксируется дата. Это очень важно, потому что если дату Word документа еще относительно можно подделать, то дату, подписанного цифровой подписью документа подделать уже нереально.
Целостность документа.
Подтверждение целостности документа: есть ситуация в которой подписывали один файл, а направили фактически другой и приложили к нему подпись – это опять же к вопросу про целостность подписи.
Действительность сертификата.
И третий вопрос – это касаемо действительности сертификата, это касается квалифицированных цифровых подписей, которые применяются в первую очередь при общении с государственными органами, то есть это Росреестр, налоговая, на госуслугах такое есть. Там может встать вопрос о действительности подписи, допустим, вашего доверителя, который отправлял документы, либо ему говорят, что он не отправлял. Там основные моменты – это проверка того, что подпись была действительна на момент отправки, потому что случаи просрочки цифровой подписи, к сожалению, тоже имеют место – по неосторожности, где-то умышленно, и самое главное – это подтвердить факт именно квалификации цифровой подписи. То есть мы можем сказать, была ли какая-то бумага, какой-то документ, заявление и так далее, подписана действительно цифровой подписью на момент, когда она была подписана, если эту подпись нам предоставили.
Таким образом
Экспертиза электронной подписи сродни почерковедению, как это было раньше, просто с дополнением еще даты подписания, то есть кому принадлежит цифровая подпись, кем она была выдана, какой срок ее действия, как документ подписан, каково содержание документа. По электронной подписи вопросов пока не так уж много, но это достаточно перспективное направление и, я думаю, не лишним будет понимание того, что с этим можно работать, в том числе, и при помощи экспертизы.
Споры по IТ-контрактам – соответствие условиям договора
Всегда были споры по контрактам между юридическими лицами или между физическим и юридическим лицом: кто-то заказывал себе окна, кто-то заказывал ремонт автомобиля, но в последнее время очень часто заказывают IТ-услуги, IТ-товары. То есть можно приобрести, допустим, ноутбук по госзакупкам, можно поставить ноутбук по госзакупкам, если в случае приемки возникают вопросы, здесь уже требуется независимая экспертиза (требуется по ряду положений 44-ФЗ), но это когда не судебное разбирательство. А, как правило, если идет судебное разбирательство – без экспертизы уже вообще никак.
У нас были прецеденты разбирательства буквально по килограммам товара, когда 47 видеокарт одна организация поставила другой, потом у них был какой-то выход из строя по неизвестной причине, и было выявлено, что они не сами вышли из строя по производственному браку, а их «убили».
Это то, что касается оборудования.
Но гораздо чаще споры возникают по написанию программ, то есть кто-то заказал себе сайт, кто-то заказал себе доработку «1С», кто-то заказал внедрение государственной информационной системы, опять же, в рамках госконтракта. Качество выполнения работ судом оценено быть не может, потому что судья – юрист, у него своя область компетенций, а две стороны, как правило, представляют свои доводы, они заинтересованы, и назначения экспертизы здесь уже – не буду говорить про 100% случаев, но с высокой долей вероятности позволит все-таки дело наконец закончить.
Разработка, поставка, внедрение – это понятно. Есть вопрос нарушения авторского права, когда одна организация использует, допустим, исходные коды в программе другой. С авторскими правами, я думаю, так или иначе, все знакомы, но это у нас, как правило, касалось какого-нибудь Microsoft или вообще песен. Сейчас практика позволяет найти кусочек исходного кода одной организации в программе другой организации, делается это достаточно быстро и легко, в том числе с применением объективных инструментальных методов.
Нарушение договоров на использование и поддержку IT-решений – там уже нюансы, в общем-то, они касаются сроков предоставления услуг, как ранее говорили про поиск данных: мы можем посмотреть, опять же, когда велась переписка по заявке, например, на то, что не работает компьютер, и посмотреть дату, когда реально компьютер был отремонтирован.
Подведем маленькое резюме
Соответственно, споры по IT-контрактам – это очень широкий пласт даже не в штуках, а в рублях, потому что IT-контракты, как правило, достаточно дорогие, это не какое-то частное строительство, установка пластиковых окон и так далее, это достаточно интересная тема, по которой возникает много вопросов, причем большинство из них, повторюсь, решаются при помощи проведения экспертизы.
Вопросы на которые отвечает экспертиза IТ-контрактов
Вот основные вопросы, на которые может ответить компьютерно-техническая экспертиза в рамках споров по IТ-контрактам:
- Соответствуют ли результаты требованиям договора.
- Второй интересный вопрос – возможно ли прямое промышленное применение результатов работ заказчика по договору. Зачем этот вопрос ставится? Иногда работа состоит из нескольких этапов и, допустим, исполнитель требует компенсации за фактически понесенные расходы. Практика показывает, что если результат не может быть применен заказчиком, то, собственно говоря, работы считаются невыполненными полностью.
- Имеют ли место нарушения договора на использование программного обеспечения – здесь уже по лицензионным поставкам, потому что, к сожалению, в ряде случаев недобросовестные поставщики устанавливают просто нелицензионное ПО заказчику.
- И, соответственно, был ли нарушен договор на поддержку IТ-решений, там уже есть комбинации по срокам оказания услуг, по качеству оказания услуг и так далее. Это основные вопросы, на которые можно опираться.
Как правильно поставить вопрос эксперту?
И раз уж мы заговорили по вопросам, то хотелось бы оговориться, что дает вообще правильный вопрос. Это касается не только компьютерно-технической экспертизы, это касается, наверное, большинства технических экспертиз. Есть справочники того же Минюста, криминалистические, в которых сотни вопросов, которые на практике особенно не помогут ни вам, как представителю стороны, ни суду. Есть несколько видов экспертиз, смежных с компьютерно-технической – сетевая экспертиза или, может быть, даже товароведческая: по качеству какого-нибудь смартфона, который перестал ловить связь и вам надо вернуть его продавцов. В таком случае, как правило, юристы так и делают, следует проконсультироваться с экспертом о том, как поставить вопрос.
Мы, например, за такую консультацию денег не берем, и, по-моему, другие эксперты тоже, потому что фактически это наш хлеб и добрые отношения с юристами, которые являются фактически нашими заказчиками.
Пример формулировки вопроса поставленного эксперту
Приведем простой пример из компьютерно-технической экспертизы, когда одна организация для другой разрабатывала интернет-сайт и не доделала его, скажем так. И две стороны предложили разные формулировки одного и того же вопроса, отвечая на который эксперт, абсолютно объективно причем отвечая, поддержит либо одну сторону либо другую.
Например:
- Возможна ли индексация сайта поисковыми системами? Эксперт скажет: да, возможна – и, соответственно, мы получим положительный результат для исполнителя.
- Если мы спросим, насколько эффективна будет поисковая оптимизация сайта, то эксперт скажет, что она будет крайне низкая – и это ответ который будет в пользу, собственно говоря, заказчика, который не получил того результата, который хотел.
Собственно говоря, вопрос, который ставится перед экспертом, это крайне важно.
Далее расскажем про инструментарий, которым мы пользуемся.
Инструментарий эксперта
Мы уже говорили, что используем для экспертизы программное обеспечение, аппаратные решения, инструменты.
Программное обеспечение
Сейчас в двух словах:
- Средства мобильной криминалистики, это как раз для доступа к информации на мобильных устройствах,
- Программное обеспечение компьютерной криминалистики – исследование ноутбуков, моноблоков, системных блоков.
- Дистрибутивы на основе Linux, это как раз для исследования информации, содержащейся на серверах и на удаленных каких-либо объектах, также на специализированных средствах вычислительной техники как раз использующих операционную систему Linux.
- Утилиты для восстановления данных – мы имеем возможность восстанавливать удаленные, поврежденные данные, их большой очень спектр, не будем здесь останавливаться.
- Анализ программного кода – это как раз в спорах по IТ-контрактам. Очень часто бывает, что необходимо исследование именно самого программного кода, в том числе применяется различное ПО, в зависимости от того, на каком языке был написан тот или иной продукт.
Инструменты и аппаратные средства
- В первую очередь, когда ставится вопрос по исследованию вещественных доказательств, у нас самое главное – сохранить их целостность, то есть иногда бывает, что нам привозят жесткие диски или какую-то флешку, мы не должны изменить данные, которые на ней находятся, то есть используются специализированные экспертные блокираторы.
- Измерительное оборудование – это как раз в спорах, в том числе по IТ-контрактам, когда нужно соответствие технических параметров оборудования подтвердить, либо исследовать возможность выхода из строя какого-либо оборудования. Все измерительное оборудование имеет сертификаты, соответственно, поверки, как это должно быть.
- А также, приборы криминалистические, которые вообще требуются для использования – это всё понятно, не буду на них останавливаться.
Лицензии и аккредитации судебного эксперта
Далее перейдем к заключительной теме. Очень часто ставят вопрос о выборе эксперта. Соответственно, есть множество АНО, каких-то систем сертификации и так далее, которые дают красивые бумажки, на которых написано: «я – эксперт». Но законодательно предусмотрено требование к судебным экспертам – это только наличие специальных знаний и навыков. Соответственно, в соответствии с АПК, УПК, ГПК и так далее, эксперт – это лицо, которое обладает специальными познаниями и которое назначено судом или следователем для производства экспертизы. То есть, если любой из вас обладает специальными познаниями и ему назначится судом экспертиза, то он является судебным экспертом.
Никаких систем сертификации, квалификации и так далее не существует, все эксперты, которые предъявляют сертификаты экспертов, членство АНО и так далее – это, как правило, люди, которым не хватает компетенций, именно тех самых специальных познаний и навыков, и они добирают это «красивыми» бумажками.
Как выбрать судебного эксперта
К вопросу про лицензирование экспертизы. Есть 99-ФЗ о лицензировании отдельных видов деятельности, согласно федеральному законодательству лицензируется только экспертиза промышленной безопасности, на все остальные виды экспертизы лицензии не требуется. Есть отдельно оценочная деятельность, которая требует страхования, включения в определенный реестр и так далее, но, повторюсь – для того, чтобы производить судебную экспертизу отдельно сертификация, участие в СРО, в реестрах и так далее не требуется, этим занимаются люди, которым не хватает профессиональной компетенции.
Для того, чтобы понять, какая профессиональная компетенция есть у эксперта, можно посмотреть диплом о высшем образовании, сведения о присвоении какой-то квалификации, то есть образовательные документы, и очень неплохо бы посмотреть на практику.
Для образца можете посмотреть квалификацию Музалевского Фёдора Александровича и Волокитина Сергея Анатольевича – это с одной стороны похвастаться, а с другой стороны, чтобы вы могли понимать, что эксперт это не тот, у кого есть диплом эксперта, а эксперт это тот, кто имеет специальные познания в отрасли, и вы можете ориентироваться на подобную квалификацию и для других отраслей: строительная, техническая, почерковедческая, автотехническая экспертиза и так далее.
Потому что в последнее время количество экспертов, которые обладают этими непонятными бумажками, большое, а когда начинаешь проводить лицензирование заключения – там люди путают силу тока и напряжения, то есть совсем грубейшие ошибки допускают. Поэтому все, что касается лицензирования, сертифицирования и так далее – это все глупости, и, слава богу, суды это прекрасно понимают.
Собственно говоря, на этом мы закончим, далее пробежимся по вопросам.
Вопросы по теме
Принимают ли суды доказательства электронной переписки? Да, принимают, это происходит уже несколько лет, причем, они принимать начали еще до того, как нотариусам законодательно дали право ее заверять. И о причинах, почему экспертное заверение более весомое, упомянуто в этом вебинаре.
Можно ли технически доказать, что письма с адреса такого-то, отправлены контрагентам юрлицом? Следует оговориться, что если мы говорим про одно отдельное письмо отправленное, то, скорее всего, нет, тем более, если это публичный сервер типа Mail, Gmail и так далее. Но если мы говорим о некой переписке, которая в каком-то объеме идет – 5-10 писем, если с этого адреса направлен, допустим, скан подписанного документа, тогда в совокупности какой-то вариант есть. Самый достоверный вариант идентификация отправителя – это в случае, если отправка идет из корпоративной почты, допустим, @rtmtech.ru, тогда понятно, что отправителем является сотрудник компании RTM Group. А вот с публичной почты, конечно, потяжелее.
Можно восстанавливать отдаленную переписку Signal? Только в отдельных редких случаях, это вообще сама по себе технология редко применяемая, и бывает, просто следы находятся на компьютере в виде косвенных отпечатков, на самом деле мало реально.
Для исследования переписки что необходимо предоставить специалисту? Во-первых, надо оговориться, что переписка может быть в мессенджерах, может быть в SMS или по электронной почте, но самая распространенная – это электронная почта. Вариантов на самом деле много. Самый такой объективный вариант для полноценной экспертизы – это доступ к серверу отправителя и серверу получателя, чтобы можно было подтвердить факт отправки и получения, и сверить штампы времени на двух серверах, но такой возможности, как правило нет. По факту предоставляют доступ к одному из почтовых ящиков. Там есть определенный маневр по классификации для злоумышленников, но по практике мы, конечно, нарабатываем способы с этим бороться.
Где можно узнать о стоимости услуг? Стоимость производства экспертизы начинается от 30 000 рублей, и она зависит от объема экспертизы, потому что если у вас пять писем – 30 000, а если у вас 500 – понятно, что это уже будет не 30 000 рублей, и там достаточно высокие сроки будут.
Мошенники создали сайт якобы банка и отвечали им от имени банка. Можно ли распознать информацию об этом сайте? Здесь нужно больше информации по тому, что за сайт, какой формат переписки и так далее, я думаю, вам стоит после вебинара по контактным данным, которые видны, обратиться, и мы с вами свяжемся, и рассмотрим ситуацию более подробно. Это очень частный случай.
Можно ли по адресу электронной почты установить реального пользователя, учитывая, что к тексту переписки прикреплены файлы документы конкретного юрлица? Здесь вопрос отправителя можно посмотреть, допустим, по IP-адресам, которые проходило данное письмо, если один из них принадлежит юрлицу, тогда можно. Но на практике это маловероятно, потому что юрлицо всегда может отказаться и сказать, что: у нас украли логин и пароль, и вообще это враги сделали. То есть здесь уже из технической плоскости мы переходим в юридическую. Но, повторюсь, варианты есть, надо посмотреть заголовок письма технический, и есть шансы, но не очень много.
Расскажите, пожалуйста, о признаках фальсификации. Признаки фальсификации – это в первую очередь мы смотрим в заголовках письма, то есть там содержится техническая информация о сервере отправителя и сервере получателя, через которые данные письмо прошло до момента, когда было получено, есть штампы времени, есть кодировки, которые могут быть нехарактерны для легитимного сервера отправителя, но в ряде случаев фальсификацию удается установить просто посмотрев на письмо, когда вы письмо отвечаете или посылаете, там появляются такие служебные вставочки, которые Mail.ru вставляет, и часто даже просто по искажению этих вставочек видно, что письмо сфальсифицировано.
Существуют ли файловые системы, которые не допускают восстановление удаленных файлов? Это сложный вопрос, потому что в теории они все не допускают, а на практике почти все допускают. Здесь просто постоянная война идет, как у угонщиков автомобилей и производителей сигнализаций: разработчики шифрованных систем стараются сделать так, чтобы восстановить было невозможно, а хакеры стараются сделать так, чтобы возможно. Поэтому, пожалуй, можно сказать, что в каждый конкретный момент времени такая файловая система существует, но что будет с ней через месяц, появится ли способ восстановления – здесь уже перспективы сложно сказать.
Заверение (исследование) электронной переписки: Сроки? Стоимость? Сроки мы, как правило, ставим от пяти рабочих дней, поскольку может быть разная загруженность, фактически день-два работы, как правило, при небольшом объеме переписке. Стоимость, я уже отвечал, начинается от 30 000 рублей и зависит от большого количества факторов, в первую очередь от того, что мы заверяем или что нам предоставлено на исследование.
Восстановима ли переписка в Telegram? Опять же, в большинстве случаев нет, это может быть где-то какие-то следы в кэше браузера, на котором велась переписка, но полноценно при удалении из чата всего текста – мало реально.
Как Вы относитесь к подготовке рецензий на заключения и выводы экспертов Вашей направленности, какова вероятность оспорить выводы? Это на самом деле достаточно объемный пласт работы, выводы экспертов нашей направленность, я повторюсь, выводы хорошего эксперта отбить довольно тяжело, потому что если эксперт понимает, что он пишет, если мы не говорим о том, что он заведомо замотивирован какими-то деньгами… это вообще такая неприятная тема, потому что все считают, что эксперту можно заплатить побольше, он напишет вывод, какой нравится, но это на самом деле не так. Вероятность оспорить выводы есть, к сожалению, она невысокая, особенно, если мы говорим о том, что экспертиза была проведена в рамках следствия или назначена судом, а рецензию мы готовим во внесудебном порядке. Но такие прецеденты есть. То есть повторюсь, в ряде случаев по гражданскому делу, у нас было такое, что выступив просто в суде, даже не готовя документ с рецензией, мы показали несостоятельность экспертизы и судья даже без назначения повторной приняла решение, скажем там, диаметрально противоположное от выводов горе-эксперта.
Можно ли по сайту узнать информацию, когда именно и кем был создан сайт и когда закрыт? Скорее всего, нет, мы можем посмотреть данные по регистрации DNS-имени, скорее всего это будет физлицо не идентифицированное, и этот вопрос уже относится больше к вопросу оперативно-розыскных мероприятий, а не экспертизы. Вопрос вообще создания сайта – это такой околотехнический философский вопрос, потому что сайт состоит, во-первых, из доменного имени, например, rtmtech.ru. Дата создания самих файлов сайта, которую показывают наши странички, которые показывают форму обратной связи для клиентов – они могут быть совершенно иные. В вашем случае есть возможность посмотреть по дате регистрации доменного имени, то есть информацию, и можно посмотреть, хотя бы попытаться – посмотреть, на кого это было сделано. Потому что если это юридическое лицо – это информация публичная, если это физическое лицо – информация приватная и ее можно отдать только регистраторам, в случае с иностранным сайтом это достаточно надолго.
Можно ли по данным сайтам узнать это сайт реального банка или ложный сайт? Да, вполне можно, потому что у реального банка наверняка есть свой сайт, он наверняка зарегистрирован у них в параметрах юридического лица, и ответить на вопрос – принадлежит ли данный интернет-сайт данной организации, почти всегда можно. Исключением являются небольшие организации, как правило, это для стран СНГ характерно, когда сайт регистрируется, допустим, на физлицо – на учредителя или руководителя организации, тогда эта информация, как я уже говорил, приватная, то есть мы ее не получим. Для крупных компаний или для зарубежных почти всегда возможно узнать, кому принадлежит сайт и, по крайней мере, идентифицировать – принадлежит ли мошеннический сайт реальной фирме.
Возможно ли установить метаданные скрина сообщения, сохраненного в смартфоне? Имеется ли возможность определения изменения такого файла? Метаданные установить можно, но там, скорее всего, будет почти пусто, потому что метаданные из скриншотов – это не фотография с фотоаппарата, там метаданные очень и очень компактные.
Имеется ли возможность изменения такого файла? Возможность имеется, возможность определения изменений зависит все-таки от изменений, потому что если это JPEG, в котором поменяли текст – тогда имеется; если у него просто изменили метаданные при помощи определенного софта, допустим, он был сделан в одиннадцать часов утра, а его поменяли на час, то, скорее всего, определить не получится.
Какие смартфоны и iPhone, какие ОС не вскрываются и вывод эксперта будет как NPV?
Дело не в модели смартфона или модели iPhone, OS и так далее. Там, как правило, зависит от чипа, от самой аппаратной составляющей, на которой построено устройство. Последние версии ОS достаточно оперативно добавляются в базу данных «Мобильного криминалиста» и т.п. С Андроидами немножко попроще, хотя современные Андроиды от 9 и выше имеют криптостойкие алгоритмы шифрования и получить доступ, если они запаролены – не всегда возможно, но есть методы, когда можно выпаять микросхему памяти и тоже ее дешифровать, здесь однозначно сказать, что точно не вскрывается – это будет небольшой лукавством. В принципе, iPhone достаточно серьезно защищены, современные андроиды, которые от девятой версии – тоже достаточно защищены, если мы говорим о каких-то топовых тех же самых Samsung, Huawei и Honor на современных процессорах, то они достаточно защищены, но всегда есть вероятность получения доступа к данным.
Авторы Музалевский Фёдор Александрович и Волокитин Сергей Анатольевич
Подписывайтесь на канал ИТ. Право. Безопасность в Telegram
Задать вопрос эксперту
Связанные услуги
— Экспертиза сайта для суда
— Анализ ТЗ на разработку сайта
— Оценка стоимости сайта
— Итог и выводы
Наши кейсы по теме
Экспертиза на предмет плагиата программного кода
Разработчик решений для автоматизации маркетинга обратился в RTM Group. Задача – подтвердить, что его код был нелегитимно заимствован третьей стороной. Была проведена экспертиза и получены соответствующие выводы.
Экспертиза электронно-цифровой подписи
В RTM Group обратилась компания для проведения экспертизы ЭЦП. Заказчику было отказано в регистрации документов, заверенных ЭЦП, поэтому возникла необходимость подтвердить, что они подготовлены корректно, с соблюдением всех требований и в требуемые сроки.