Введение в проблематику исследования

Экспертиза программных средств представляет собой сложный междисциплинарный вид исследований, находящийся на стыке компьютерных наук, криминалистики и юридической практики.  В условиях цифровизации всех сфер общественной жизни программные средства превратились не только в инструменты повышения эффективности, но и в потенциальные объекты правонарушений, источники доказательственной информации и предметы судебных споров.  Актуальность данной темы обусловлена экспоненциальным ростом сложности программного обеспечения, увеличением количества киберпреступлений и необходимостью разработки методологически обоснованных подходов к исследованию программных артефактов в правовом поле.

В современной научной литературе под программным средством понимается программа или совокупность программ, предназначенная для решения конкретных задач пользователя или класса задач, включая системное программное обеспечение, прикладные программы и специализированные программные комплексы.  Экспертиза программных средств как специальное исследование в рамках судебной компьютерно-технической экспертизы выделилась в самостоятельное направление в начале 2000-х годов, что связано с массовым распространением персональных компьютеров, интернета и цифровых технологий.

Теоретико-методологические основы экспертизы программных средств

Понятийный аппарат и терминология

Ключевым нормативным документом, регламентирующим терминологию в области компьютерно-технической экспертизы, является ГОСТ Р 57429-2017 «Судебная компьютерно-техническая экспертиза.  Термины и определения».  Согласно этому стандарту, программное средство определяется как «программа или совокупность программ, процедур и правил, а также соответствующая документация на эти программы, предназначенные для решения задач на средствах вычислительной техники».

В рамках экспертной практики различают следующие категории программных средств:

• Системное программное обеспечение (операционные системы, драйверы, утилиты)
• Прикладное программное обеспечение (офисные пакеты, графические редакторы, системы управления базами данных)
• Инструментальное программное обеспечение (средства разработки, компиляторы, отладчики)
• Специализированное программное обеспечение (бухгалтерские программы, CAD-системы, медицинские информационные системы)
• Вредоносное программное обеспечение (вирусы, трояны, шпионские программы, программы-вымогатели)

Правовые основы проведения экспертизы

Экспертиза программных средств проводится в рамках:

• Уголовного судопроизводства (по статьям 272-274 УК РФ о преступлениях в сфере компьютерной информации)
• Гражданского и арбитражного судопроизводства (споры о нарушении авторских прав, некачественном оказании услуг, нарушении договорных обязательств)
• Административного производства (по делам об административных правонарушениях в сфере информационных технологий)

Законодательной базой для проведения экспертизы программных средств являются Федеральный закон от 31 мая 2001 г.  № 73-ФЗ «О государственной судебно-экспертной деятельности в Российской Федерации», Гражданский процессуальный кодекс, Уголовно-процессуальный кодекс и Арбитражный процессуальный кодекс Российской Федерации.

Классификация видов экспертизы программных средств

1.  Экспертиза функциональных характеристик программных средств

Данный вид экспертизы направлен на исследование функциональных возможностей программного средства, соответствия заявленным характеристикам и техническому заданию.  Основными задачами являются:

• Определение фактического функционала программного средства
• Установление соответствия между документацией и реализованными функциями
• Выявление скрытых функций и недекларированных возможностей
• Оценка качества реализации функций (производительность, надежность, устойчивость к ошибкам)

Методологическую основу составляют методы черного, белого и серого ящиков, тестирование по сценариям использования, анализ исходного кода (при его наличии), исследование интерфейсов взаимодействия.

2.  Экспертиза защитных механизмов программных средств

Это направление экспертизы фокусируется на исследовании средств и методов защиты, реализованных в программном средстве:

• Анализ систем аутентификации и авторизации
• Исследование механизмов шифрования данных
• Оценка устойчивости к обратной инженерии и модификации
• Проверка наличия и эффективности средств защиты от несанкционированного доступа
• Исследование систем регистрации событий (логирования) и аудита

3.  Экспертиза происхождения и авторства программных средств

Данный вид экспертизы решает задачи идентификации автора программного средства, установления фактов заимствования кода, плагиата:

• Сравнительный анализ исходных текстов программ
• Исследование стилистических особенностей программирования
• Анализ алгоритмических решений и структур данных
• Выявление уникальных «цифровых отпечатков» программиста
• Установление фактов использования сторонних библиотек и компонентов

4.  Экспертиза вредоносных программных средств

Это наиболее технически сложный вид экспертизы, требующий специальных условий проведения (изолированные лабораторные стенды):

• Идентификация типа вредоносной программы (вирус, червь, троян, бот, программа-вымогатель)
• Анализ алгоритмов распространения и механизмов сокрытия
• Исследование деструктивных функций и потенциального ущерба
• Реконструкция сетевой инфраструктуры управления (для ботнетов)
• Разработка методик обнаружения и нейтрализации

5.  Экспертиза качества программных средств

Оценка качества проводится по международным и национальным стандартам (ISO/IEC 25010, ГОСТ Р ИСО/МЭК 25010-2015):

• Функциональная пригодность
• Производительность и эффективность
• Совместимость
• Удобство использования
• Надежность
• Безопасность
• Сопровождаемость
• Переносимость

Методология проведения экспертизы программных средств

Этапы экспертного исследования

Подготовительный этап:  изучение постановления о назначении экспертизы, определение целей и задач исследования, подбор методик и инструментария.

Исследовательский этап:

• Предварительное исследование:  знакомство с объектом, составление плана исследования
• Детальное исследование:  применение специальных методик и инструментов
• Экспериментальная проверка гипотез
• Анализ полученных результатов

Заключительный этап:  формулирование выводов, составление экспертного заключения.

Специальные методы исследования

1.  Статический анализ

• Анализ исходного кода без его выполнения
• Проверка синтаксиса и структуры программы
• Поиск уязвимостей и потенциально опасных конструкций
• Оценка сложности кода (метрики Холстеда, Маккейба)

2.  Динамический анализ

• Выполнение программы в контролируемой среде
• Мониторинг системных вызовов и обращений к ресурсам
• Анализ сетевой активности
• Исследование поведения программы при различных входных данных

3.  Сравнительный анализ

• Сравнение двух или более версий одного программного средства
• Сравнение с эталонными образцами
• Выявление сходств и различий в алгоритмах, структурах данных, интерфейсах

4.  Реверс-инжиниринг

• Дизассемблирование исполняемых файлов
• Декомпиляция промежуточного кода (например, байт-кода Java или . NET)
• Восстановление логики программы и алгоритмов
• Анализ обфусцированного кода

Специализированный инструментарий

• Для проведения экспертизы программных средств используются:
• Средства анализа исходного кода:  SonarQube, Checkmarx, Fortify
• Дизассемблеры и отладчики:  IDA Pro, Ghidra, OllyDbg, x64dbg
• Средства динамического анализа:  Process Monitor, Wireshark, Fiddler
• Специализированные среды анализа вредоносного ПО:  Cuckoo Sandbox, Joe Sandbox, ANY. RUN
• Средства сравнения файлов:  Beyond Compare, WinMerge, radiff2

Ключевые задачи, решаемые в ходе экспертизы

Установление фактов и обстоятельств

• Определение назначения и функциональных возможностей программного средства
• Установление факта наличия вредоносного функционала
• Выявление недекларированных возможностей
• Определение условий и обстоятельств срабатывания программных функций
• Установление фактов модификации программного средства

Идентификационные задачи

• Идентификация типа и вида программного средства
• Установление принадлежности к определенному семейству вредоносных программ
• Определение автора или разработчика программного средства
• Идентификация инструментов разработки и компиляторов

Диагностические задачи

• Определение причин некорректной работы программного средства
• Выявление уязвимостей и недостатков защиты
• Установление механизма реализации атаки или вредоносного воздействия
• Определение наличия и характера повреждений, вызванных программным средством

Реконструкционные задачи

• Восстановление алгоритма работы программного средства
• Реконструкция сетевой инфраструктуры управления вредоносным ПО
• Восстановление удаленных или поврежденных компонентов программного средства

Проблемы и перспективы развития экспертизы программных средств

Актуальные проблемы

• Правовые проблемы:  отставание законодательного регулирования от темпов развития технологий, проблемы юрисдикции в трансграничных киберпреступлениях.
• Методологические проблемы:  отсутствие единых стандартизированных методик для новых типов программных средств (мобильные приложения, IoT-устройства, облачные сервисы).
• Технические проблемы:  использование обфускации и антиотладочных техник, распространение файл-лесс вредоносного ПО, применение шифрования для сокрытия функционала.
• Кадровые проблемы:  дефицит квалифицированных экспертов, сочетающих глубокие технические знания с пониманием правовых аспектов.

Перспективные направления развития

• Разработка стандартизированных методик экспертизы облачных сервисов и распределенных приложений.
• Создание автоматизированных экспертных систем на основе искусственного интеллекта и машинного обучения.
• Развитие методов экспертизы программного обеспечения интернета вещей (IoT) и промышленных систем управления (ICS/SCADA).
• Международная гармонизация стандартов и методик проведения экспертизы.
• Создание национальных и международных баз данных цифровых отпечатков программных средств.

Особенности процессуального оформления результатов экспертизы

Экспертное заключение по результатам исследования программного средства должно содержать:

Вводную часть:  основания для проведения экспертизы, вопросы, поставленные перед экспертом, перечень представленных материалов.

Исследовательскую часть:  подробное описание объекта исследования, примененных методов и методик, хода исследования, полученных промежуточных результатов.

Выводы:  четкие, обоснованные ответы на поставленные вопросы, изложенные в доступной для неспециалистов форме.

Особое внимание уделяется описанию методик исследования, так как от их обоснованности и корректности применения зависит доказательственная сила заключения.  Все этапы исследования должны быть воспроизводимы, а инструменты и методы — соответствовать современному уровню развития компьютерных наук.

Заключение

Экспертиза программных средств представляет собой динамично развивающуюся область судебно-экспертной деятельности, требующую от специалистов непрерывного обновления знаний и навыков.  Комплексный междисциплинарный подход, сочетающий глубокое понимание компьютерных технологий с методологией судебной экспертизы, позволяет эффективно решать сложные задачи в условиях цифровой трансформации всех сфер жизни.

Развитие методологической базы, создание стандартизированных методик, подготовка квалифицированных кадров и международное сотрудничество в этой области являются необходимыми условиями для противодействия киберпреступлениям и обеспечения правовой защиты в цифровом пространстве.

Для проведения профессиональной экспертизы программных средств, а также других видов компьютерно-технических и инженерных экспертиз вы можете обратиться в Центр инженерных экспертиз:  https: //kompexp. ru/