Экспертиза программного обеспечения, или как мошенники наживаются на госконтрактах. Программно-компьютерная экспертиза Оценка ущерба от применения несертифицированного программного обеспечения

(программно-техническая экспертиза) проводится с целью проверки работоспособности программного объекта и его совместимости с оборудованием и программным обеспечением, установленным на данной компьютерной системе, с целью установления подлинности программного продукта. Еще одна задача экспертизы программного обеспечения – проверка соответствия фактически выполненных программных продуктов техническому заданию и договору.

Экспертиза программного обеспечения необходима:

для определения причин нарушения работы программного обеспечения;
для оценки стоимости и качества программного обеспечения;
для определения внесения изменений в программу;
для определения подлинности или контрафактности программного продукта;

Виды экспертизы программного обеспечения

Экспертиза программного обеспечения может:

определить вид и основные характеристики операционной системы, установленной на данном компьютере;
определить тип, групповую принадлежность программного обеспечения, его назначение, алгоритм работы, время установки, способы ввода/вывода информации, типы поддерживаемых аппаратно-программных платформ;
определить текущее состояние программного объекта, наличие или отсутствие отклонений от типовых (нормальных) параметров;
определить первоначальное состояние программы и внесенные изменения;
определить вносились ли в программу изменения, направленные на преодоление защиты;
определение способа внесения изменений в программу ошибки программной среды(ошибки программной среды, несанкционированный доступ, воздействие вредоносной программы и т.д.);
выявить признаки контрафактности программного продукта;
определить причину сбоев в работе программы: действие вредоносных программ, неисправность аппаратных компонентов или ошибки в программном обеспечении;
определить наличие причинной связи между действиями пользователя, затрагивающими программное обеспечение и наступившими последствиями;
определить тождественность оригинала программы и ее копии на носителях исследуемой компьютерной системы;
идентифицировать авторство по частным признакам программы;
определить, является ли данная программа объектом авторского права и есть ли у неё защита от нелицензионного использования, и в чем она заключается.

Экспертиза программного обеспечения (программно-компьютерная экспертиза, программно-техническая экспертиза, экспертиза программных продуктов) это исследование функционального назначения программного продукта, его текущего состояния и структурных особенностей, характеристик, алгоритма работы. Также, экспертиза программ позволяет установить были ли внесены какие-либо изменения в программное средство, в том числе изменения, направленные на преодоление защиты. При проведении независимой экспертизы программного обеспечения эксперт руководствуется Федеральным Законом «О защите прав потребителей», Федеральным Законом «Об информации, информационных технологиях и о защите информации» Федеральным Законом «О персональных данных» и другими законодательными актами Российской Федерации.

Объекты программной экспертизы: операционные системы, программы-утилиты, служебная система информация, средства для разработки и отладки программ, приложения общего назначения (графические и текстовые редакторы, электронные таблицы, электронная почта и т.д.).

Вопросы экспертизы программного обеспечения:

Какую общую характеристику имеет представленное программное обеспечение? Из каких программ оно состоит?
Каков тип, наименование, версия, вид представленной прикладной программы?
Каково функциональное предназначение исследуемого программного объекта?
Каково функциональное предназначение представленного программного продукта?
Определить совместимость данного программного средства с программно-аппаратным обеспечением системы компьютера?
Вносились ли в алгоритм программного средства изменения по сравнению с первоначальным состоянием?
Имеются ли в программном объекте враждебные функции, которые влекут блокирование, уничтожение или изменение информации?
Имеет ли программный объект признаки (перечисляются конкретные признаки) контрафактности?
Имеются ли в программе отклонения от нормальных параметров (признаки инфицирования, недокументированных функций)?
Соответствуют ли характеристики программного средства заявленным в нормативно-технической документации?
Соответствует ли выполненный программный продукт (программное обеспечение, разработанное техническое задание, сайт и др.) требованиям технического задания, договора (контракта)?

Эта история произошла более 3-х лет назад, поэтому я смело могу снять гриф «коммерческая тайна» и озвучить ее подробности в инет-эфире.
В нашу компанию обратились коллеги из финансово-контрольного управления Министерства Обороны РФ с просьбой провести экспертизу программного обеспечения – «Стенд моделирования аварийных ситуаций в полете ». Надо сказать, что коллеги из МО сразу заподозрили подвох в ПО и решили провести независимую экспертную оценку, дабы понять с чем имеют дело, и стоит ли это тех денег, которые были озвучены в госконтракте. А госконтракт был не шуточным, общая стоимость проекта составляла порядка 20 миллионов рублей!

Исходные данные:
Для исследования были получены файлы на flash-носителе общим объемом 2 252 414 699 байт. В корне носителя содержалось две директории: FltRec02; СМ-АС 2006 .

Операционная система на исследуемом компьютере: Microsoft Windows XP Professional.
Анализ файлов в директории FltRec02
Объем файлов: 472 899 байт.

Среди всех представленных файлов, загрузочный только один – FLTREC02.exe , который запуску не поддается.

Анализ файлов в директории СМ-АС 2006
Fighter Ace II

Объем директории: 2 251 941 800 байт.

Загрузочный файл FIGHTACE.exe

После запуска файла, на экране появляется окно представленное на рис. 2

Наличие уже введенного защитного «ключа» (см. выделение на рис. 3), свидетельствует о «пиратском» происхождении программного продукта!

После инсталляции и запуска программы в режиме «play», пользователю необходимо пройти регистрацию на сервере официального производителя – Microsoft.

В режиме «training » перед пользователем открывается «тренировочный режим», см. рис. 5 и 6

Вывод: Исследуемое программное обеспечение относится к классу «Компьютерные игры - Симуляторы», разработчиком которого является компания Microsoft Corp., год выпуска 1999, название – Fighter Ace II.

Стоимость программного продукта с учетом «пиратского» происхождения составляет порядка 70 рублей.

Microsoft Flight Simulator 2002

Загрузочные файлы FLTSIM98.exe, FS2000.exe, FS2002.exe

Данные файлы запускают программу «Microsoft Flight Simulator 2002», которая скрывается под заставкой «Стенд моделирования аварийных ситуаций в полете». Компания ЗАО «ХХХХХХ» нарушила авторские права указав себя в качестве разработчика!

Информации о легальном происхождении программного продукта обнаружить не удалось!

Загрузочный файл FSUNINSTALL.exe

Загрузочный файл FSEDIT.exe

Вывод: Исследуемое программное обеспечение относится к классу «Компьютерные игры - Симуляторы», разработчиком которого является компания Microsoft Corp., год выпуска 2002, название – «Microsoft Flight Simulator 2002».

Стоимость программного продукта с учетом «пиратского» происхождения, а также затрат на дизайн заставки (рис. 7) составляет около 200 руб.

Итого, общая стоимость ПО поступившего на экспертизу составляет порядка 270 руб.

В результате проведенной экспертизы, сотрудникам МО было рекомендовано обратиться в военную прокуратуру и контрразведку для проведения расследования!

Новости компании Московское городское бюро товарных экспертиз основано 4 мая 1936 года. С тех пор экспертами Бюро проведено более миллиона экспертиз. Бюро имеет непререкаемый авторитет, как среди корпоративных клиентов, так и среди частных лиц.

Независимая экспертиза отзывы Компания МГБТЭ качественно и добросовестно оказывает услуги по экспертной оценке всех видов имущества и имеет превосходную репутацию у партнеров по бизнесу.

Примеры авто экспертиз Прочитав статьи в данном разделе, Вы сможете воочию увидеть все разнообразие автомобильных экспертиз, выполняемых компетентными специалистами Московского Городского Бюро товарных экспертиз.

Экспертиза программного обеспечения на соответствие техническому заданию

Цель проведения экспертизы: исследование программного обеспечения на предмет его соответствия требованиям и условиям спецификации.

Исследовательская часть

Для проведения экспертизы был предоставлен доступ к программному обеспечению «…», которое было установлено в локальной сети ООО «XXX» на время проведения исследования.

ПО «…» - это система, которая предназначена для ведения единой базы клиентов компании и управления: полным циклом продаж, проектами, маркетингом, а также клиентским обслуживанием.

Таблица 1 - Результаты проверки технических и функциональных характеристик

	Исследуемый функционал	Заключение
1. Ведение клиентов
	Единая база контактов и контрагентов компании	Присутствует, есть связь между контактами и контрагентами
	Возможность многоуровневой сегментации контактов и контрагентов по любым прямым и косвенным признакам	Многоуровневая сегментация присутствует в системе и работает по полям контакта и контрагента
	Хранение данных и адресов с возможностью просмотра на карте, карьеры и профили контактных лиц в социальных сетях	Возможность хранения данных и адресов присутствует, просмотр адресов на интерактивной карте поддерживается, профили контактных лиц в соцсетях (twitter и facebook) доступны

2. Управление коммуникациями
	Ведение расписания и задач	Присутствует в соответствующих вкладках

	Возможность гибкой настройки напоминаний по разного рода активностям. Отправка напоминаний на почту пользователя	Присутствует. Механизм настройки отправки уведомлений из бизнес-процессов присутствует. Письма приходят на почту пользователей

13. Администрирование Системы
	Мультиязычность интерфейса пользователя и администратора	На тестовом стенде есть возможность смены языка между русским и английским, и наоборот
	Настройка прав доступов к разделам с раздачей прав на просмотр, редактирование и удаление до полей. Возможность настроить доступ к отдельным записям или операциям, а также указать, какие разделы будет видеть пользователь определенной роли в своем рабочем месте	Данный функционал доступен администратору системы через раздел Дизайн системы

14. Прочее
	Наличие обучающих материалов
	Наличие приложений под Android, iOS, Windows Mobile	Приложения для Android, iOS и Windows Mobile были найдены на соответствующих торговых площадках

*******************************************************************************************************************************************************

Вывод

Согласно предмету договора установлено, что программное обеспечение соответствует всем техническим и функциональным характеристикам, заявленным в Приложении №1 к Лицензионному соглашению.

Оставить заявку на экспертизу

Наши профессиональные услуги, помогут Вам защитить свои законные интересы в суде, а также перед правоохранительными органами.

Что мы можем

Чаще всего к нам обращаются владельцы программного обеспечения, чьи авторские права были нарушены. Для расчета суммы ущерба, причиненного противоправными действиями третьих лиц, необходима оценка. Проведенная экспертиза программ зафиксирует нужный Вам факт, а выданный по результатам исследования документ будет иметь полную юридическую силу.

Кроме того, наши специалисты проведут анализ факторов, указывающих на степень защищенности, в том числе и юридической, Вашего программного продукта. Экспертиза программ поможет выявить все слабые места в этом контексте, а в экспертном отчете будут содержаться рекомендации по их устранению.

Также мы оказываем следующие услуги:

проверка качества разработанного программного обеспечения;
проверка ПО на соответствие техническому заданию и условиям договора.

Определение понятий

Независимая экспертиза информационных систем и программных продуктов - это целый комплекс исследований. Его целью является решение задач идентификационного уровня информации и программного обеспечения на соответствующих носителях. Специалисты обнаруживают закономерности разработки и применения программного обеспечения, изучают функциональный смысл и характеристики алгоритма, структурные особенности и текущее состояние, а также позволяют определить, были ли произведены изменения, направленные на преодоление защиты. Исследование информации происходит на основе анализа формата носителя и размещения данных, где определяется доступ к ним (степень защищенности, характеристики, возможность преодоления защиты), оценки сведений, созданных программой или пользователем для организации информационных процессов.

Экспертиза программного обеспечения и информационных систем подразумевает исследования:

системного программного обеспечения
прикладного программного обеспечения
данных в форматах мультимедиа
текстовых и графических документов
информации в форматах баз данных и других приложений, имеющих прикладной характер.

Когда нужна экспертиза программного обеспечения и информационных систем?

Независимое исследование требуется в следующих случаях:

если необходимо проверить различные бизнес-системы, организационные системы управления (ERP, CRM и так далее) на соответствие стандартам технического задания;
если необходимо определить были ли внесены изменения в программу;
если необходимо определить имеется ли защита у программных средств от нелицензионного использования;
если необходимо определить сущность скрытой информации;
если необходимо определить наличие в системе данных попыток неправомерного доступа к информации;
если необходимо определить возможность восстановления удаленных данных;
если необходимо определить причины нарушения работы программного обеспечения;
если необходимо определить тип носителя информации;
если необходимо определить наличие механизма повреждений носителя информации;
если необходимо определить последнюю корректировку данных на носителе информации;
если необходимо определить возможность внесения изменений на носитель информации;
если необходимо определить оценку качества информационной системы;
если необходимо определить стоимость информационной системы;
если необходимо определить на каком типе аппаратных средств и программного обеспечения был изготовлен документ;
если необходимо определить оценку стоимости и качества программного обеспечения.

Действия эксперта

Наши специалисты по информационным системам и программному обеспечению выполняют следующие действия:

анализ сопутствующей документации и нормативных актов;
исследование информационной системы на соответствие техническому заданию;
оформление доказательного экспертного заключения (обязательно в письменной форме).

Регионы

Если вы хотите обратиться за услугами в наш центр, но проживаете не в Москве или в Воронеже, мы предлагаем вам несколько вариантов взаимодействия:

наши сотрудники могут выехать в любой регион России для проведения экспертизы;
вы или ваши представители могут обратиться в отделения нашего центра в Москве или Воронеже;
наши специалисты могут провести экспертизы по предоставленным документам.

Более подробно о работе с регионами России можно узнать .