05 листопада 2019, 16:53

Як розвалюють комп'ютерно-технічні експертизи?

Опубліковано в №45-46 (699-700)

Микита Книш
Микита Книш CEO HackControl, засновник хакерської конференції HackIT, експерт з кібербезпеки

Почну з того, що під час служби в СБУ мені доводилося призначати, а інколи й проводити комп'ютерно-технічні експертизи. Тим, кого збентежило те, що працівник СБУ може проводити комп'ютерно-технічні експертизи, а також тим, хто вірить у верховенство права, незалежність суддів та інші казки, які не стосуються українських реалій, раджу не читати цю статтю. Адже в ній ви дізнаєтеся про суворі українські реалії юриспруденції, а не про те, що пишуть у підручниках, а також як воно має бути в теорії.

Оперативних працівників ДКІБ, кіберполіції та низку інших «комп'ютерних» підрозділів нерідко залучають для написання експертних висновків, рішень судів, підозр та інших комп'ютерно-юридичних документів, тому що звичайному слідчому, прокурору та навіть судді вкрай складно зрозуміти особливість комп'ютерних злочинів, а експерти у нас або дуже зайняті, або не дуже компетентні в цих питаннях.

Службу в СБУ я закінчив наприкінці 2015 р. і після цього «перейшов на сторону зла», тобто почав працювати в комерційному секторі, пов'язаному з кібербезпекою. У будь-якому розслідуванні (приватному чи державному) комп'ютерно-технічна експертиза у 2019 р. може стати одним з головних аргументів, а іноді навіть єдиним доказом у справі. Тому важливо, щоб вона була якісною та не створювала більше питань, ніж відповідей. Інакше в суді можна буде почути моє улюблене «внесіть віртуальний сервер до зали суду».

Юридичні підстави визнання експертизи недопустимим доказом

Почну з банальних та очевидних речей, які я нерідко зустрічав.

  • Перевірити, в якій справі призначено експертизу. Зазвичай слідчий або прокурор щодня призначають величезну кількість експертиз. Достатньо часто виникають ситуації, коли слідчий «переплутав», у якій справі потрібно призначати експертизу. Звісно, після передачі матеріалів до суду, суд не може прийняти експертизу не за вашою справою.
  • Звернути увагу на пакети й дати упаковки. Часто ще до проведення експертизи відбувається «огляд» вилученого майна. Я вважаю, що «огляд» комп'ютерної техніки без присутності адвоката не можна визнавати допустимим, адже незрозуміло, що туди можуть «дописати». Однак це регулярна практика. Під час огляду техніку розпаковують і запаковують «під печатку». В такі моменти достатньо часто виникає плутанина. Я бачив «полімерні сейф-пакети» від НАБУ з датою упаковки «з минулого», тобто до того як їх вилучили та опечатали під час обшуку, схоже, в них вже щось було. Також траплялися «полімерні сейф-пакети», огляд яких (згідно з матеріалами справи та простою арифметикою) проводили протягом 31 дня, що недопустимо.
  • Серійні номери. На зброї, гільзах або номерах кузова зазвичай серійні номери прості й зрозумілі. Куди складніше з китайською/японською та будь-якою комп'ютерною технікою, яку під час вилучення дуже складно (насправді, ні) описати. Наприклад, китайські флешки, в яких немає серійних номерів і будь-яких розпізнавальних знаків. Звертайте увагу, що саме було об'єктом експертизи, чи саме «це» було вилучено у вашого підзахисного.
  • Відсутність ухвали суду про проведення конкретних дій. Існують достатньо суперечливі твердження деяких юристів про те, що якщо суд надав дозвіл на проведення обшуку та навіть вилучення техніки, то це не означає, що він надав дозвіл на розкриття таємниці листування. Відповідно, для розкриття таємниці листування на вилученій техніці потрібно мати окрему ухвалу суду. Іншими словами, якщо у справі немає розсекречених НСРД або окремої ухвали на розкриття таємниці листування, то листування, яке знаходиться на вилучених пристроях, може бути оскаржене та визнане недопустимим доказом. Однак поки що це можливо лише в теорії.

Техніко-юридичні підстави для оскарження експертизи

  • Місце вилучення/знаходження предмета в момент його вилучення. Трапляються ситуації, коли суд постановив ухвалу про дозвіл на проведення обшуку в приміщенні 1, а сервери вилучили з приміщення 2. Звісно, в такій ситуації можна оскаржити не лише експертизу, але й чи стосується вилучене майно матеріалів справи. Якщо майно було вилучене з комори у під'їзді, а суддя видав ухвалу на проведення обшуку у квартирі 21, то майно жодним чином не стосується справи.
  • Кому належав вилучений об'єкт. Народна українська традиція силовиків — забираємо все, а потім розберемося, якщо потрібно, то накладемо арешт. Такий підхід часто допомагає розвалювати справи в майбутньому. Наприклад, у хостинг-провайдера, відповідно до договору колокейшену (розміщення чужого обладнання), можуть знаходитися чужі сервера клієнта з іншої країни. Вилучення чужого обладнання, яке за документами не належить умовному хостинг-провайдеру, не може зашкодити йому з позиції кримінальної відповідальності. Адже він, наприклад, як власник гаражу, який здає свій гараж в оренду, не несе відповідальності за те, як його використовує орендар. Звісно, все це має підтверджуватися відповідними документами та в результаті може показати суду безпідставність звинувачень. Інший приклад, якщо в тамбурі знайшли гранату, то це не означає, що вона належить особі, у якої проводиться обшук. Можливо, це сусід грається.

Техніко-юридичних моментів значно більше, але оскільки я більше технар, ніж юрист (юридичної освіти немає, тільки практичний досвід), то я не буду на них зупинятися. Озвучу лише те, що я зустрічав найчастіше.

Технічні підстави для оскарження експертизи

  • Модифікація даних/робота без блокування запису. Методика проведення експертизи — вкрай складна, морально застаріла тема. Оскаржувати її в суді — це марна справа, адже судова практика буде не на вашому боці. Однак є один очевидний аргумент, з яким в суді ніхто не буде сперечатися. Те, що під час експертизи не можна модифікувати об'єкт, з яким проводять експертизу, таким чином, щоб це могло вплинути на результат.

Для початку розглянемо простий приклад. Якщо ви досліджуєте краплю крові, то не варто додавати в неї хлорку або відбілювач, тому що потім нічого не буде зрозуміло. Начебто все очевидно, чи не так? Тоді перейдемо до складнішого прикладу. Витягуючи інформацію з жорсткого диска, телефону або флешкарти, туди не можна нічого дописувати, тому що це може спотворити дані. Здається, також очевидно, але не всім. Експерти НДЕКЦ та низка інших експертних організацій витягують листування з месенджерів шляхом «створення скріншотів» з пристрою. Уявіть, коли «експерт» без проблем натискає комбінацію клавіш, необхідну для створення скріншота, і записує його на пристрій. Звісно, це абсолютно недопустимо, як і в прикладі з краплею крові.

  • Логічний захист. Якщо ви точно пам'ятаєте, що на вашому Iphone був встановлений пароль, нехай навіть «0000». Якщо ви точно знаєте, що на комп'ютері стояв засіб шифрування TrueCrypt, але ви забули з'їсти папірець з паролем «0000», а правоохоронці його підібрали. Не біда, якщо в такому випадку експерт починає експертизу одразу з «відкритого» пристрою, то він пропустив такий маленький нюанс як «подолання логічного захисту», на яке також потрібна окрема ухвала суду. На щастя чи на жаль, в Україні навіть носії з Bitclocker (стандартним засобом шифрування від Windows) вже не піддаються експертизі, оскільки наші експерти не вміють долати такий логічний захист.
  • Неправильне вилучення даних. Якщо експерт пише, що відкрив файл *.xls текстовим редактором, а на скріншоті видно Exel, а також якщо експерт відкриває зашифровані бінарники у блокноті, а на скріншоті видно розшифрований текст, то в експертизі є фальсифікація. Для кожного типу файлів є свій софт. Дані повинні бути вилучені та відображені допустимим чином.

Висновки

Звісно, підстав може бути значно більше, я згадав лише те, з чим колись зіштовхувався. Кожна справа унікальна і вимагає особливого підходу. У мене залишається глибоке переконання в тому, що експертиза не може бути тільки державною, адже тоді існуватиме значна перевага в бік державного обвинувачення. На мою думку, експертний центр при СБУ або МВС не може визначати, наприклад, чи є пристрій спеціальним технічним засобом, чи є програмний продукт шкідливим програмним забезпеченням. Адже обидві організації — це зацікавлені особи, які фінансуються державним коштом.

Відкриття методик проведення експертизи та приватні експертизи зможуть значно підвищити якість експертиз, створивши конкуренцію, і розвантажити державних експертів. Сьогодні в нашу компанію звертаються за допомогою не лише державні органи НАБУ, СБУ, Прокуратура та кіберполіція, але й адвокати, юристи та експерти. Однак взаємодіяти ми можемо або неофіційно (допомагати порадами), або виступати в ролі фахівців у кримінальних і цивільних справах. Штучно створені перешкоди у вигляді необхідності отримання папірців (ліцензій), як завжди, гальмують величезний прогресивний ринок.

0
0

Додати коментар

Відмінити Опублікувати