Все научные методы (наблюдение, измерение, описание, сравнение, эксперимент, моделирование, объяснение, анализ, синтез, предсказание) применяются в компьютерной криминалистике без ограничений.
Однако имеются некоторые особенности.
Такой метод, как наблюдение, применяется в форензике достаточно своеобразно. Дело в том, что основным объектом исследования является компьютерная информация, которая в принципе не может наблюдаться человеком непосредственно. И изменяться непосредственно также не может. Непосредственные органы чувств человека – зрение, слух, осязание – не в состоянии воспринимать компьютерную информацию. В мире много объектов, которые не могут восприниматься человеком непосредственно – глазами, ушами и пальцами. Для наблюдения «ненаблюдаемых» величин есть большое количество инструментов-посредников – микроскопы, вольтметры, интерферометры и так далее, при помощи которых человек может наблюдать и изучать то, что не наблюдается невооруженным глазом.
При изучении компьютерной информации количество и сложность таких посредников настолько велики, что иногда с большим трудом можно представить, какие именно преобразования претерпела информация по пути от своей исходной формы до наших глаз.
Представим себе, что на месте преступления обнаружен след – отпечаток обуви. Он воспринимается органами чувств человека непосредственно следователь и понятые своими глазами видят отпечаток обуви, прекрасно понимают механизм его возникновения. Совсем по-другому с компьютерной информацией.
Представим, что на «месте происшествия», а именно на диске сервера, в лог-файле обнаружена запись. Органами чувств человека она не воспринимается. Чтобы увидеть эту запись, потребуется посредничество следующих технических средств:
● механизм жесткого диска (НЖМД*);
● контроллер НЖМД с внутренней микропрограммой (firmware);
● внешний ATA-контроллер;
● программное обеспечение BIOS;
● операционная система;
● файловая система (драйвер);
● программное обеспечение для просмотра содержимого файла (например, вьювер «less»);
● драйвер экрана;
● программный экранный шрифт;
● аппаратные средства ввода и вывода (клавиатура, монитор) со своими собственными микропрограммами.
Вот сколько посредников стоят между компьютерной информацией и глазами «очевидца»! Все они изготовлены разными производителями. Не для всех из них имеются единые технические стандарты. Не для всех доступны описания. И ни в одном из этих средств нельзя быть полностью уверенным – все знают об ошибках в программном обеспечении, о возможности вирусов, троянов и программных закладок. Могут ли понятые уверенно утверждать, что именно они видели? Даже не рассматривая возможности намеренных закладок в программах... А если оператор, запуская вьювер, ошибся на одну букву в имени каталога или файла? А если «/var» – это не локальный диск, а подмонтированный сетевой?
Итак, особенностью наблюдения в отношении компьютерной информации является то, что непосредственно наблюдаемое (то есть изображение на экране монитора) имеет отношение к объекту наблюдения (то есть компьютерной информации) косвенное отношение, при этом по пути происходит непредставимо большое и трудно контролируемое количество преобразований, зависящее от множества людей и факторов.
Другие общенаучные методы – анализ и синтез – также имеют в обсуждаемой науке свои особенности.
Дело в том, что в других технических науках при изучении объектов мы имеем дело только с объективными физическими процессами. Здесь же мы сталкивается со свободной человеческой волей, которая «зашита» в такой объект исследования, как программа для ЭВМ. Будучи объектом искусственного происхождения, программа несёт в себе волю программиста, отпечаток его личности, выполняет его замыслы, реализует его видение. То есть программа для ЭВМ – это уже не в полной мере объективная реальность. Хотя до полноценного субъекта – искусственного интеллекта – ей еще далеко.
Поясним утверждение на примере. Известно, что злоумышленник мог установить на свой компьютер программу типа «логическая бомба» для уничтожения всей критичной информации при угрозе попадания компьютера в чужие руки. Она должна сработать при выполнении каких-то действий на компьютере или, наоборот, – при невыполнении каких-то действий. Оставим сейчас за скобками стандартный метод (отключение компьютера, изъятие из него носителя информации и изучение его копии, что делает невозможным активацию программы"бомбы) и зададимся вопросом: как можно определить условия срабатывания такой программы для ее нейтрализации? Подумав немного, приходим к выводу, что ключ к пониманию алгоритма действия и условий срабатывания сей неизвестной программы следует искать исключительно в голове ее автора. Только поняв его образ мыслей и шаблоны поведения, можно догадаться, как поведет себя его программа. Формально программа – детерминированный объект. Но фактически изучать ее надо через изучение субъекта, обладающего свободой воли. То есть программа как бы обладает свободой воли, во всяком случае, такое допущение откроет нам путь к ее познанию.
Но разве не возникает та же ситуация с иными техническими устройствами? Разве на их работу не наложила отпечаток личность создателя?
Вышеописанная особенность характерна лишь для устройств, реализующих довольно сложный алгоритм. Алгоритм – это как раз тот объект, в котором и может содержаться частичка «воли». Кроме компьютерных программ, какие устройства реализуют алгоритмы? Причем алгоритмы не примитивные, а достаточно сложные, многовариантные. Теоретически такие устройства могут существовать, но нельзя утверждать, что только компьютерные программы обладают описанным свойством, то есть могут рассматриваться как обладающие условной свободой воли.
Комментариев нет:
Отправить комментарий