Система для проведения компьютерных судебных криминалистических экспертиз электронных носителей информации

Иллюстрации

Показать все

Изобретение относится к области криминалистики и судебной экспертизы, а именно к использованию технологии параллельных вычислений при проведении экспертиз и экспертных исследований цифровых носителей информации. Техническим результатом является повышение быстродействия при проведении криминалистических экспертиз. Система содержит N АРМ для проведения криминалистических экспертиз электронных носителей информации, как минимум один многопроцессорный вычислитель, оснащенный программным обеспечением для обработки зашифрованной информации, каждое АРМ содержит сетевой коннектор, сетевой драйвер. Одно из АРМ системы является управляющим сервером, обеспечивающим ведение очереди запросов от АРМ системы, формирование заданий для каждого многопроцессорного вычислителя, получение отчетов от каждого многопроцессорного вычислителя и доведение полученных отчетов до потребителей. 1 ил.

Реферат

Изобретение относится к области криминалистики и судебной экспертизы, а именно к использованию технологии параллельных вычислений для повышения оперативности и экономической эффективности проведения экспертиз и экспертных исследований электронных носителей информации (ЭНИ) за счет централизации ряда операций.

Предлагаемая система позволяет:

- с высокой надежностью оперативно создавать большой двоичный объект в качестве информационной копии ЭНИ, при этом количественные и качественные характеристики ЭНИ не изменяются, что имеет решающее значение для обеспечения законной силы результатов процедуры судебной экспертизы;

- передавать часть большого двоичного объекта, идентифицирующую ЭНИ и содержащую данные, подлежащие обработке, по каналам связи на обработку удаленным вычислительным средствам;

- передавать результаты обработки по каналам связи потребителю и формировать итоговое экспертное заключение.

Одним из родов судебной экспертизы является компьютерная экспертиза (КЭ). На данном этапе развития КЭ - самостоятельный род судебных криминалистических экспертиз, относящийся к классу инженерно-технических экспертиз и проводимый в целях определения статуса объекта как компьютерного средства, выявления и изучения его следовой картины в расследуемом преступлении, а также получения доступа к компьютерной информации на информационных носителях с последующим всесторонним ее исследованием. Указанные цели представляются родовыми задачами КЭ [1]. При этом в качестве информационных носителей при данном виде экспертиз выступают ЭНИ, в роли которых могут выступать электронные (флеш-карты, смарт-карты, sim-карты, встроенные устройства памяти аппаратов мобильной связи, компьютеров и гаджетов, накопители на жестких магнитных дисках) носители информации, а также магнитные (накопители на магнитных лентах и дисках) и оптические (CD, DVD) носители информации в совокупности с электронно-механическими устройствами, обеспечивающими сопряжение указанных носителей информации с компьютером.

Процесс собирания доказательств по преступлениям, сопряженным с использованием компьютерных средств, включает в себя прежде всего обнаружение, фиксацию и изъятие компьютерной информации. Тактика следственных действий по раскрытию и расследованию преступлений в обсуждаемом случае неразрывно и напрямую зависит от используемых специальных средств и инструментов. Эти технические средства должны быть предназначены для поиска и предварительного исследования ЭНИ, которые впоследствии могут приобрести статус вещественных доказательств. Приборы, аппаратуру, оборудование, инструменты, принадлежности, применяемые для собирания и исследования доказательств в процессе судопроизводства, принято обозначать как «криминалистическая техника».

Первичную основу рассматриваемого класса криминалистической техники составляют аппаратно-программные средства, приемы и методы, заимствованные из таких областей науки и техники как вычислительная техника и программирование, радиотехника и электроника, вычислительные сети и телекоммуникации, криптология и защита информации.

Постепенно криминалистическая техника пополняется средствами, приемами и методами, специально разработанными для целей исследования и раскрытия преступлений в сфере компьютерной информации.

На этапе становления КЭ типовым технико-криминалистическим оснащением собирания компьютерной информации являлись следующие средства [2]:

- персональный компьютер (ПК) с достаточным быстродействием и объемом оперативной памяти, обладающий возможностями предварительного полного физического копирования исследуемых носителей данных (в т.ч. жестких дисков) на рабочий винчестер соответствующей емкости (часто в съемном варианте);

- установленная на указанном ПК операционная система семейства Windows с набором системных и прикладных утилит (например, Norton System Work);

- файловые диспетчеры (в т.ч. с поддержкой MS DOS-сессий), расширенное прикладное программное обеспечение (MS Office, графические пакеты (PhotoShop, CorelDraw) и пр.);

- комплект пустых CD и/или CD-R;

- устройство CD-RW для записи на компакт-диски;

- необходимые кабели сопряжения (в т.ч. нуль-модемный кабель);

- набор CD и дискет (загрузочных и с сервисными утилитами) для определения конфигурации исследуемого персонального компьютера, его характеристик;

- набор CD и дискет с программами вирусной диагностики;

- упаковочный материал: жесткие коробки для упаковки изымаемых системных блоков и носителей данных; антистатические пакеты для носителей данных, полиэтиленовые пакеты и холщовые мешки; бумага для опечатывания разъемов, клей, липкая лента;

- вспомогательные инструменты - электронный тестер, отвертки, плоскогубцы и пр. (например, для отключения разъемов, вскрытия кожухов системных блоков, изъятия жестких дисков).

Средства исследования информации, хранящейся в цифровой форме, должны обеспечивать [3]:

- техническую возможность доступа к информации, содержащейся в объекте исследования (накопители на жестких магнитных дисках, магнитные диски и ленты, магнитооптические диски, кассеты стримеров, оптические диски, флеш-память и другие средства хранения информации);

- фиксацию информации, не разрушая и не изменяя объекта исследования (например, на жестких дисках лабораторных компьютеров, записываемых оптических дисках);

- преобразование информации в форму, доступную для восприятия экспертом (программное обеспечение для поиска и визуализации информации).

Эти задачи решаются совместно современными техническими и программными средствами обеспечения исследований.

Таким образом, можно сделать вывод о том, что методика решения любой задачи при компьютерной экспертизе должна уточняться при появлении нового поколения аппаратного обеспечения или новых версий программного обеспечения [4, 5].

Благодаря наличию высококлассных специалистов в ряде ведущих экспертных организаций отрабатываются технологии проведения практических работ по проведению криминалистических экспертиз ЭНИ. Для этого проводится целый комплекс специфических нетиповых работ, разрабатывается и осваивается соответствующий инструментарий.

Результатом соответствующих работ являются автоматизированные рабочие места (АРМ) (программные или программно-аппаратные комплексы) для всех конкретных видов работ.

Методические наработки и средства автоматизации, аккумулирующие в себе знания и опыт уникальных высококлассных специалистов, позволяют повышать уровень решения вопросов КЭ малыми силами на местах, путем поручения этих задач малочисленным группам или отдельным штатным экспертам.

Первым отечественным АРМ для проведения КЭ стала система ПРОПЛАН.

Автоматизированное рабочее место ПРОПЛАН для проведения компьютерной экспертизы представляет собой специализированный программно-технический комплекс, обеспечивающий автоматизацию деятельности эксперта и его рабочего места при КЭ.

Техническая часть комплекса представляет собой:

- стенд для исследования информационных носителей,

- персональную электронно-вычислительную машину (ПЭВМ) для обработки данных исследования и подготовки экспертного заключения.

Программная часть комплекса состоит из набора общего и специального программного обеспечения (ОМО и СМО).

В качестве СМО используется «Профессиональная система для решения поисковых задач и логического анализа машинных носителей информации» («ПРОПЛАН»).

Основным недостатком указанного АРМ является невозможность подключения ЭНИ новых типов, появившихся после его создания и невозможность его модернизации для устранения указанного недостатка в силу ограниченности числа кодов системных прерываний, соответствующих максимальному числу подключаемых внешних устройств.

Указанный недостаток устранен в АРМ для проведения криминалистических экспертиз электронных носителей информации (ЭНИ) [6], которое на современном этапе является типовым программно-аппаратным оснащением подразделений КЭ в большинстве регионов России.

АРМ для проведения криминалистических экспертиз ЭНИ состоит из стенда для исследования ЭНИ и ПЭВМ для обработки данных исследования и подготовки экспертного заключения. Стенд для исследования ЭНИ состоит из управляемого коммутационного устройства, обеспечивающего возможность сопряжения электронного носителя информации и ПЭВМ по информационным шинам и шинам управления, и источника регулируемого напряжения.

Реализуемый с помощью данного АРМ способ экспертизы ЭНИ состоит в следующем:

- считывают данные с ЭНИ;

- формируют в памяти АРМ для проведения криминалистических экспертиз электронных носителей информации большой двоичный объект в качестве информационной копии ЭНИ;

- проводят обработку большого двоичного объекта аппаратными средствами АРМ с использованием специального программного обеспечения для получения ответов на вопросы, поставленные перед экспертом. При необходимости используют возможности аппаратно-программных средств других экспертно-криминалистических подразделений, например, при проведении экспертиз и исследований карт с магнитной полосой [7];

- формируют итоговое экспертное заключение.

Данный АРМ позволяет выполнять полный спектр операций по обработке информации, хранящейся на ЭНИ. Вместе с тем существенным недостатком указанного АРМ является низкая оперативность исследования зашифрованной информации.

Данное АРМ выбрано в качестве прототипа.

Возможность шифрования информации становится все более доступной для пользователей компьютерных систем и широко применяется злоумышленниками.

При использовании для скрытия информации нестойких криптоалгоритмов и коротких паролей возможностей АРМ в сочетании с программным обеспечением Elcomsoft [8] достаточно для расшифровывания информации, содержащейся на исследуемом носителе, методами полного или усеченного перебора вариантов ключей шифрования или пароля за приемлемое время.

При использовании однопроцессорной ЭВМ перебор различных вариантов возможно производить только последовательно. Использование многопроцессорных или кластерных вычислительных систем позволяет сократить время на осуществление перебора за счет параллельных вычислительных операций.

В силу высокой стоимости высокопроизводительных вычислительных систем и специфических требований к их энергообеспечению и обслуживанию при эксплуатации оснащение всех подразделений КЭ техникой такого класса является очень далекой перспективой.

Целью изобретения является создание возможности проведения экспертизы ЭНИ путем использования аппаратных и программных средств системы из нескольких АРМ и высокопроизводительных вычислительных систем, что позволит повысить оперативность компьютерной криминалистической экспертизы.

Сущность изобретения

Система, состоящая из N АРМ для проведения криминалистических экспертиз электронных носителей информации, согласно изобретению содержит как минимум один многопроцессорный вычислитель, оснащенный программным обеспечением для обработки зашифрованной информации, каждое АРМ содержит аппаратные средства подключения к сети (сетевой коннектор), программные средства подключения к сети (сетевой драйвер) и имеет возможность выхода в сеть; одно из АРМ системы является управляющим сервером, обеспечивающим ведение очереди запросов от АРМ системы, формирование заданий для каждого многопроцессорного вычислителя, получение отчетов от каждого многопроцессорного вычислителя и доведение полученных отчетов до потребителей.

На фиг.1 представлена схема системы для проведения компьютерных судебных криминалистических экспертиз цифровых носителей информации. Показаны основные элементы системы и связи между ними.

Поставленная цель достигается тем, что сстема для проведения компьютерных судебных криминалистических экспертиз цифровых носителей информации состоит из объединенных в систему, по меньшей мере, двух АРМ для проведения криминалистических экспертиз ЭНИ 1, и, по меньшей мере, одного многопроцессорного вычислителя 6. Каждое АРМ для проведения криминалистических экспертиз ЭНИ 1 состоит из:

- ПЭВМ 2 для подготовки и хранения методических указаний, обработки данных исследования и подготовки экспертного заключения (см. фиг.1);

- стенда для исследования ЭНИ 3;

- сетевого коннектора 4.

ПЭВМ 2 представляет собой устройство, обеспечивающее возможность ввода/вывода, хранения и обработки данных за счет использования общего и специального программного обеспечения. ПЭВМ 2, входящие в состав разных АРМ для проведения криминалистических экспертиз ЭНИ 1, в зависимости от программного обеспечения могут выполнять одну и более из двух ролей:

- АРМ эксперта-криминалиста;

- управляющий сервер.

Стенд для исследования ЭНИ 3 представляет собой устройство, позволяющее считывать информацию, содержащуюся на ЭНИ.

Сетевой коннектор 4 представляет собой устройство, обеспечивающее для ПЭВМ 2 техническую возможность выхода в сеть 5.

Многопроцессорный вычислитель 6 представляет собой устройство, обеспечивающее возможность ввода/вывода, хранения и многопоточной обработки данных за счет использования общего и специального программного обеспечения.

Вход стенда для исследования ЭНИ 3.1 является входом системы для проведения компьютерных судебных криминалистических экспертиз цифровых носителей информации, выход каждого стенда для исследования ЭНИ 3.i подключен к входу ПЭВМ 2.i, выход которой через сетевой коннектор 4.i подключен к сети 5. Каждый из многопроцессорных вычислителей 6.j подключен к одной из ПЭВМ 2.i непосредственно и/или через сеть 5.

Принцип действия системы для проведения компьютерных судебных криминалистических экспертиз цифровых носителей информации состоит в следующем. Используя стенд для исследования ЭНИ 3.1, осуществляют считывание информации, содержащейся на ЭНИ и формируют в памяти ПЭВМ 2.1 ее информационную копию в виде большого двоичного объекта.

Используя сетевой драйвер, часть большого двоичного объекта, содержащую зашифрованную информацию, в сопровождении блока служебной информации, содержащего код подразделения, сформировавшего запрос, по каналам связи передают на управляющий сервер, на котором формируется очередь запросов. ПЭМВ 2.2., входящая в состав АРМ для проведения криминалистических экспертиз ЭНИ 1.2, выполняющего роль управляющего сервера, принимает переданные данные и ставит полученный запрос в очередь, при наличии свободного многопроцессорного вычислителя 6.j формирует задание на обработку и передает сформированное задание и подлежащие обработке данные на многопроцессорный вычислитель 6.j. После завершения обработки полученных данных или наступления события, являющегося условием прекращения обработки, многопроцессорный вычислитель 6.j передает отчет о выполнении задания управляющему серверу, который передает полученные результаты потребителю, где формируют итоговое экспертное заключение.

В частном случае система может состоять из одного АРМ для проведения криминалистических экспертиз ЭНИ и одного многопроцессорного вычислителя, соединенных непосредственно или через сеть.

Таким образом, цель изобретения достигнута.

Литература

1. Зубаха B.C., Усов А.И., Саенко Г.В., Волков Г.А., Белый С.Л., Семикаленова А.И. Общие положения по назначению и производству компьютерно-технической экспертизы: Методические рекомендации. - М.: ГУ ЭКЦ МВД России, 2000. - 65 с., 6 ил., библиограф., прил.

2. Шелудченко В.И. Технико-криминалистические средства и методы собирания компьютерной информации // Материалы Всероссийского межведомственного семинара. - Белгород: МВД РФ, 2002. - С.205-207.

3. Копытин А.В., Маршалко Б.Г., Федотов Е.Т. Судебная экспертиза ПЭВМ // Материалы Всероссийского межведомственного семинара. - Казань: МВД Республики Татарстан, 2004. - С.115

4. Айков Д., Сейгер К., Фопсторх У. Компьютерные преступления. Руководство по борьбе с компьютерными преступлениями. Пер. с англ. В.И. Воропаева и Г.Г. Трехалина. - М.: Мир, 1999.

5. Семенов Н.В., Мотуз О.В. Судебно-кибернетическая экспертиза - инструмент борьбы с преступностью XXI века // Защита информации, конфидент, 1999, 1-2.

6. Автоматизированное рабочее место для проведения криминалистических экспертиз электронных носителей информации. Патент на изобретение РФ №2297664 от 20.04.2007.

7. Облачный сервис и система для проведения компьютерных судебных криминалистических экспертиз карт с магнитной полосой. Заявка на изобретение №2012109413/08 от 12.03.2012.

8. http://www.elcomsoft.ru/

Система для проведения компьютерных судебных криминалистических экспертиз электронных носителей информации (ЭНИ), состоящая из N автоматизированных рабочих мест (АРМ) для проведения криминалистических экспертиз ЭНИ 1, каждое из которых состоит из персональной электронно-вычислительной машины (ПЭВМ) 2, стенда для исследования ЭНИ 3, при этом выходы стенда для исследования ЭНИ 3 подключены к соответствующим входам ПЭВМ 2, отличающаяся тем, что содержит как минимум один многопроцессорный вычислитель 6, оснащенный программным обеспечением для обработки зашифрованной информации, каждое АРМ для проведения криминалистических экспертиз ЭНИ 1 содержит сетевой коннектор 4, подключенный к ПЭВМ 2, на которой установлен сетевой драйвер, выходы сетевых коннекторов 4.i подключены к сети 5, ПЭВМ 2 одного из АРМ для проведения криминалистических экспертиз ЭНИ 1 является управляющим сервером, обеспечивающим ведение очереди запросов от АРМ системы, формирование заданий для многопроцессорного вычислителя 6, получение отчетов от многопроцессорного вычислителя 6 и доведение полученных отчетов до потребителей, многопроцессорный вычислитель 6 соединен с ПЭВМ 2 управляющего сервера.