автордың кітабын онлайн тегін оқу Расследование преступлений с использованием компьютерной информации из сети Интернет
А. Н. Колычева, В. Ф. Васюков
Расследование преступлений с использованием компьютерной информации из сети Интернет
Учебное пособие
Под редакцией
доктора юридических наук, доцента
А. Г. Волеводза
Информация о книге
УДК 343.985(075.8)
ББК 67.52я73
К61
Авторы:
Колычева А. Н., кандидат юридических наук, преподаватель кафедры криминалистики и предварительного расследования в ОВД Орловского юридического института МВД России имени В. В. Лукьянова;
Васюков В. Ф., доктор юридических наук, доцент, доцент кафедры уголовного права, уголовного процесса и криминалистики Московского государственного института международных отношений (университета) Министерства иностранных дел Российской Федерации, профессор кафедры криминалистики и предварительного расследования в ОВД Орловского юридического института МВД России имени В. В. Лукьянова.
Рецензенты:
Муравьев К. В., доктор юридических наук, доцент, начальник кафедры криминалистики Омской академии МВД России;
Земцова С. Е., кандидат юридических наук, доцент кафедры криминалистики Сибирского юридического института МВД России.
Под редакцией доктора юридических наук, доцента, заведующего кафедрой уголовного права, уголовного процесса и криминалистики Московского государственного института международных отношений (университета) Министерства иностранных дел Российской Федерации А. Г. Волеводза.
В учебном пособии рассматриваются общие положения противодействия преступлениям с использованием сети Интернет, приводятся особенности выявления, фиксации и изъятия информации в сети Интернет при проведении предварительной проверки по сообщению о преступлении и первоначальных следственных действий, обозначается специфика деятельности следователя по обнаружению, фиксации и изъятию электронно-цифровых следов в сети Интернет на последующем этапе расследования. Авторами раскрываются особенности фиксации хода и результатов изъятия информации, сопряженной с ресурсами сети Интернет, обозначается специфика проведения следственного осмотра интернет-ресурсов, приводятся вопросы назначения и производства судебной компьютерной экспертизы как средства доказывания при расследовании преступлений, совершаемых с использованием сети Интернет.
Законодательство приведено по состоянию на 1 сентября 2019 г.
Рекомендуется научным работникам, исследующим данную проблематику, преподавателям юридических вузов (факультетов), аспирантам, адъюнктам, студентам как высших образовательных организаций системы МВД России, так и иных образовательных организаций, сотрудникам правоохранительных органов при повышении квалификации и профессиональной подготовке.
В учебном пособии содержатся изображения программных продуктов Utorrent, DirectConnect, Linux, Windows, авторские права на которые принадлежат их разработчикам (правообладателям), а названия являются зарегистрированными торговыми марками. Авторы/издательство не имеют никакого отношения к вышеупомянутым программным продуктам. Интерфейс программ, представленный на иллюстрациях, может отличаться от интерфейса текущей версии программы.
УДК 343.985(075.8)
ББК 67.52я73
© Колычева А. Н., Васюков В. Ф., 2019
© ООО «Проспект», 2019
Введение
По мере того, как наше общество становится все более зависимым от информационно-коммуникационных технологий, обеспечение международного сотрудничества о допустимых рамках поведения в киберпространстве стало одним из самых важнейших социальных, правовых и политических вопросов нашего времени. Поскольку цифровой мир все чаще становится ареной конфронтации и потенциального конфликта между государствами, нормы — как декларированные, так и не декларированные — в настоящее время являются приоритетным направлением при поддержании стабильности и безопасности в киберпространстве.
Преступность в сети Интернет с каждым годом осваивает все новые формы, используя в большинстве случаев бесконтактные взаиморасчеты, в связи с чем перед органами дознания и предварительного следствия стоит сложная задача по разоблачению преступных действий в интернет-пространстве и фиксации доказательственной информации.
По официальным данным Генеральной Прокуратуры Российской Федерации, только за первое полугодие 2019 года правоохранительные органы России зарегистрировали 117 640 преступлений, совершенных с использованием информационно-телекоммуникационных технологий или в сфере компьютерной информации. Таким образом, указанных преступлений стало на 46,8% больше, чем за аналогичный период 2018 года1. Это свидетельствует о значимости и актуальности разработки алгоритмов расследования преступлений с использованием компьютерной информации из сети Интернет.
Следует отметить, что в последние годы для сотрудников правоохранительных органов стали более привычны и знакомы такие понятия, как IP- и МАС-адреса, хостинг-провайдер, домен, аккаунт, сетевой протокол, в связи с чем электронно-цифровые следы, оставляемые пользователями интернет-ресурсов, стали более доступными в понимании лиц, осуществляющих уголовное преследование. Однако обнаружение, сохранение и фиксация информации, связанной с интернет-пространством, при практическом применении оказывается непростой задачей для большинства сотрудников органов дознания и предварительного расследования.
Недостаточная подготовка таких сотрудников по данному вопросу, постоянное совершенствование компьютерных технологий, специфичность и сложность технических процессов установления источника доказательственной информации, отсутствие единой практики обнаружения, фиксации необходимой компьютерной информации и технических средств ее обработки, отсутствие рекомендаций по рассматриваемому вопросу, несомненно, способствуют возникновению все новых проблем при расследовании преступлений, сопряженных с использованием ресурсов сети Интернет.
Между тем с каждым годом количество совершаемых преступлений в сети Интернет (или совершение преступлений с использованием ресурсов сети Интернет) растет, в связи с чем возникает необходимость применения наряду с общими приемами дополнительных специальных приемов, учитывающих специфику интернет-пространства и компьютерных технологий.
При этом, фиксируя доказательственную информацию, располагающуюся на ресурсах сети Интернет, необходимо учитывать дополнительных участников сетевого обмена, таких как интернет-провайдер, хостинг-провайдер, пункты коллективного доступа (например, интернет-кафе).
Изучение материала, представленного в учебном пособии, позволит в полном объеме:
знать:
– требования правовых норм о назначении, принципах, участниках уголовного судопроизводства, доказательствах и доказывании, цели и задачи, возникающие в ходе осуществления следственных действий, связанных с использованием компьютерной информации из сети Интернет, процессуальные особенности обеспечения законности при обнаружении и изъятии информации с машинных носителей (ОК-1, ОК-5, ОК-9, ОК-16, ПК-2, ПК-4, ПК-5, ПК-6, ПК-7, ПК-8, ПК-11, ПК-13, ПК-14);
– базовый понятийный аппарат в области носителей информации и вычислительной техники, виды носителей информации и способы записи на них; принципы и общие методы обнаружения и фиксации электронной информации; основные методы, средства, направления развития и перспективы поиска, обнаружения, фиксации и изъятия информации с ее носителей (ОК-9, ОК-16, ПК-3, ПК-5, ПК-6, ПК-14);
уметь:
– ориентироваться в программных и аппаратных средствах обработки, хранения и передачи информации, обнаруживать, классифицировать электронные носители информации, корректно изымать, упаковывать и транспортировать носители информации (ОК-5, ОК-9, ОК-16, ПК-5);
– сочетать соблюдение процессуальных требований, предъявляемых к осуществлению следственных действий в ходе расследования преступлений, с особенностями методов и способов получения доказательств с использованием компьютерной информации из сети Интернет (ОК-1, ОК-5, ОК-10, ПК-5, ПК-6, ПК-7, ПК-13, ПК-14, ПК-15);
владеть:
– навыками организации и производства следственных и иных процессуальных действий по использованию компьютерной информации из сети Интернет, правильной фиксации внешних классификационных признаков, изъятия, упаковки и транспортировки носителей электронной информации (ОК-1, ОК-5, ОК-9, ОК-16, ПК-2, ПК-5, ПК-7, ПК-11, ПК-13, ПК-14, ПК-15, ПК-18, ПК-21);
– навыками организации и назначения судебных экспертиз и иных исследований с целью использования компьютерной информации из сети Интернет, а также обеспечения прав участников уголовного судопроизводства (ОК-1, ОК-5, ОК-9, ОК-10, ОК-14, ОК-16, ПК-5, ПК-7, ПК-11, ПК-14, ПК-15);
– навыками оценки результатов судебно-экспертного исследования носителей электронной информации и применении их в расследовании по уголовному делу (ОК-1, ОК-9, ОК-16, ПК-5, ПК-13, ПК-15, ПК-18, ПК-21).
Следует признать, что Интернет — это динамично развивающееся пространство, которое регулируется постоянно изменяющимся законодательством, специфика которого должна учитываться в ходе фиксации доказательственной информации, хранящейся на ресурсах сети Интернет.
В свою очередь, необходимо учитывать место регистрации информационного сетевого ресурса, степень его доступности в нашей стране, а также законность размещения информации на данном ресурсе применительно к законодательству РФ и законодательству страны, на территории которой находится хостинг-провайдер, предоставивший услугу по размещению данного ресурса на своих технических площадках и возможность быстрого и бесследного удаления или блокирования информации.
Как известно, процесс расследования преступлений включает в себя производство следственных действий, проведение оперативно-разыскных и организационных мероприятий, которые направлены на собирание, исследование, фиксацию, оценку доказательственной информации (этапы (стадии) процесса доказывания) и установление истины по уголовному делу. Для успешного расследования уголовного дела и познания истины следователю необходимо не только тактически грамотно выстраивать свою работу, применяя выработанные криминалистической наукой тактические приемы и рекомендации при проведении отдельных следственных действий, но и осуществлять грамотную фиксацию сведений, действий, фактических данных и их источников (материальных носителей), направленных на получение криминалистически значимой информации, условий, при которых она была получена, для придания ей доказательственного значения и правильного разрешения уголовного дела.
Актуальность материала, представленного в учебном пособии, в значительной мере определяется указанными особенностями, практической и научной значимостью противодействия со стороны правоохранительных органов преступлениям, совершаемым с использованием компьютерной информации из сети Интернет, необходимостью анализа информации, которая имеется на информационных сетевых ресурсах, и проработки обоснованных рекомендаций по совершенствованию организации и тактики обнаружения, фиксации и изъятия данной информации.
[1] Статистические данные о зарегистрированных преступлениях на территории Российской Федерации в первом полугодии 2019 года // Сайт Генеральной прокуратуры РФ. URL: https://genproc.gov.ru/smi/news/genproc/news-1670322/ (дата обращения: 06.08.2019).
Глава 1.
Общие положения противодействия преступлениям С использованием компьютерной информации из сети интернет
Объекты обнаружения и фиксации информации, размещенной в интернет-пространстве. Способы обнаружения и фиксации компьютерной информации. Контент-анализ, мониторинг сетевых интернет-ресурсов. Понятие и классификация электронно-цифровых следов. Информация о статическом и динамическом IP-адресе, имеющая криминалистическое значение.
Сеть Интернет за последние 10–15 лет фактически ворвалась в нашу повседневную жизнедеятельность как источник пополнения информации, развлекательная платформа, возможность общения со знакомыми или незнакомыми людьми, находящимися на различном удалении друг от друга, возможность проведения финансовых операций и многое другое. Несмотря на это, следователи (чаще всего имея представление обывателя) испытывают затруднения при работе с сетевыми ресурсами, их специализированной терминологией, механизмом работы и грамотным отражением с позиций процессуальной формы и криминалистического содержания.
Несмотря на то, что учение о фиксации доказательственной информации в криминалистике является вполне сформировавшимся (теоретический аспект), необходимость дальнейшего внесения в него дополнений является актуальной задачей в связи с появлением новых объектов фиксации доказательственной информации, имеющих отношение к сетевым Интернет-ресурсам.
На серверах IT-корпораций сохраняются терабайты информации, размещаемые на сетевых интернет-ресурсах, содержащих видеоролики, снятые на камеры мобильных телефонов, систем видеорегистрации в помещениях и автомобилях, на которых запечатлены сцены насилия, имущественных преступлений, преступлений против личности, хулиганства, издевательства над животными, грубых нарушений правил дорожного движения и др. Подобные видеозаписи потенциально могут служить не только поводом для возбуждения уголовного дела, но и при определенных условиях — ключевыми доказательствами по уголовному делу.
Практика расследования преступлений указанной категории указала на необходимость централизованного изучения опыта западных стран в области форензики (компьютерной криминалистики) и разработки соответствующего программного обеспечения, поскольку абсолютное большинство программных комплексов для поиска следов совершенных посредством компьютерной техники преступлений создано за рубежом, методики использования данных комплексов в правоохранительной системе России не разработаны либо не доведены до должностных лиц, производящих расследование.
К основным объектам обнаружения и фиксации информации, размещенной в интернет-пространстве принято относить — лог-файлы (протоколы автоматической регистрации событий, происходящих при работе программного обеспечения), сведения о сетевых ресурсах, доменах, их владельцах, базы данных с информацией конфиденциального характера, иные файлы, хранящиеся на компьютерных устройствах. При этом объекты фиксируются определенным способом, включая:
– процессуальную составляющую, содержанием которой является установленная уголовно-процессуальным законодательством протокольная форма, как отражение обстановки, действий, явлений и вербальных сигналов;
– технико-криминалистическую составляющую, содержащую графическую (планы, схемы, рисунки, графики, чертежи), предметную (изъятие предметов в полном объеме или их частей, изготовление слепков, макетов, оттисков) и наглядно-образную (фотосъемка и видеосъемка, скриншоты) формы фиксации.
Перечисленные выше объекты могут нести определенную криминалистически значимую информацию, представляющую оперативный интерес и свидетельствующую об использовании Интернет-ресурсов в преступных целях. Данная информация может быть обнаружена и зафиксирована следующими способами:
а) в ходе мониторинга сетевых ресурсов, на которых пользователями неоднократно размещалась данная информация;
б) в ходе проведенных оперативно-розыскных мероприятий;
в) в заявлении потерпевшего о преступлении;
г) в рамках расследования другого уголовного дела;
д) при получении информации от граждан.
К средствам и методам, которые могут применять следователи (дознаватели) и специалисты для фиксации доказательственной информации по рассматриваемому направлению, можно отнести:
а) специальные технические средства, нацеленные на перехват криминалистически значимой информации специализированными техническими подразделениями, предоставляемой впоследствии органам предварительного расследования;
б) программное обеспечение с возможностями контент-анализа (UFED, XRY, U2, мобильный криминалист, OSForensics24) контент-анализ — формализованный метод, основанный на изучении исследуемой текстовой и графической информации содержимого файлов в целях выявления и измерения характеристик, получивших в них отражение, с последующим выявлением определенных (закономерностей) особенностей, например, использование в текстах сообщений методов шифрования определенным образом (QR коды, стеганограммы, ссылки, заведомо не обрабатываемые программным обеспечением); временные промежутки размещения информации относительно дня, недели, месяца и т. д.; наиболее популярный формат размещения информации (комментарий, блог, отзыв, рекламное объявление); географический охват получателей информации (в рамках района, города, региона, страны); эмоциональное и психологическое состояние автора (например, участников групп смерти «Синие киты»); уровень грамотности.
Контент-анализ способствует повышению эффективности мониторинга сетевых Интернет-ресурсов. Объектами контент-анализа в основном являются информационные ресурсы и тексты в местах сетевого общения (социальные сети, форумы, блоги и др.), а также сетевые ресурсы с высокой потенциальной возможностью размещения информации криминального характера, из которых наиболее известными являются закрытые сети DarkNet, Tor. Применение подобных технических возможностей позволяет обобщать и сопоставлять полученные материалы, благодаря которым становится возможно установление связей интересующих лиц, их контактные данные, выявление потенциальных возможных соучастников;
в) программное обеспечение для восстановления удаленной, модифицированной, поврежденной информации с носителей информации (R-Studio, EASYUSFileRecovery, OntrackEasyRecovery и др.).
Указанные средства и методы используются в зависимости от конкретной следственной ситуации и уровня противодействия фигуранта. Существенную актуализацию их применение приобретает в случаях использования подозреваемым целого комплекса компьютерных устройств.
Так, у Д., находившегося в г. Ржев Тверской области, из корыстных побуждений возник преступный умысел, направленный на незаконное завладение мошенническим способом денежными средствами и имуществом граждан.
В целях реализации своего преступного умысла Д. разработал преступный план, согласно которому, он должен был разместить в сети Интернет на интернет-сайте бесплатных объявления «Авито» объявления о продаже имущества, которого у него в наличии не было, после чего убедить позвонивших по объявлениям граждан перевести ему денежные средства за имущество.
Перечисленными денежными средствами Д. предполагал распорядиться по своему усмотрению, не намереваясь и не имея реальной возможности исполнять перед гражданами обязательства по предоставлению им имущества.
Реализуя задуманное, Д. решил использовать при совершении преступлений имевшуюся у него в пользовании банковскую карту ПАО «Сбербанк России» № 4279 6300 1033 46ХХ (привязанную к номеру расчетного счета 408178100630074081ХХ), оформленную по его просьбе за денежное вознаграждение П. и банковскую карту ПАО «Сбербанк России» № 4276 8630 1805 55ХХ, переданную в его пользование за денежное вознаграждение Р., которые не были осведомлены о преступных намерениях Д.
В продолжение реализации преступного умысла направленного на мошенничество, в неустановленное время, Д. при неустановленных следствием обстоятельствах, приобрел у неустановленного лица сим-карту сотового оператора ООО «Т2 Мобайл» с абонентским номером 8-904-356-43-ХХ, с целью ее дальнейшего использования при совершении преступлений.
Реализуя задуманное и действуя согласно ранее разработанного преступного плана Д., находясь в г. Ржев Тверской области, используя неустановленное в ходе предварительного следствия оборудование, подключенное к сети Интернет, разместил на Интернет-ресурсе «www.avito.ru» объявление о продаже GPS-навигатора «Garmin Astro320» с двумя ошейниками DC40, собственником которых не являлся, указав в объявлении в качестве контакта продавца — абонентский номер телефона 8-904-356-43-ХХ, находившийся в его распоряжении.
Потерпевший Ч., увидев и заинтересовавшись данным предложением, желая приобрести указанный GPS-навигатор, связался со своего абонентского номера 8-910-323-28-ХХ с Д. предложил приобрести у него указанное имущество и сообщил Ч. о необходимости внесения предоплаты за GPS-навигатор на банковскую карту банка ПАО «Сбербанк России» № 4276 8630 1805 55ХХ, оформленную на имя Р.
После чего Ч. перевел в качестве предоплаты за GPS-навигатор денежные средства в сумме 1000 рублей на банковскую карту ПАО «Сбербанк России», после чего Д. произвел их снятие через банкомат.
Не желая исполнять перед Ч. своих обязательств по отправке имущества, Д. приобрел грузики из свинца и игрушечный фотоаппарат, после чего 26.08.2016 направил их Ч. почтовой посылкой и сообщил последнему о том, что отправку товара произвел, прислав в подтверждение РПО-номер посылки.
Затем Ч. получил посылку, предварительно произведя оплату на номер расчетного счета 4081781006300ХХХХ, оформленного на имя П. денежных средств в сумме 18500 рублей. Далее, вскрыв посылку, Ч. обнаружил, что ее содержимое не соответствует наименованию, качеству и стоимости товара, указанным в объявлении на Интернет-ресурсе «www.avito.ru»
Получив реальную возможность распоряжения денежными средствами, перечисленными Ч. в качестве оплаты за покупку GPS-навигатора «Garmin Astro320» с двумя ошейниками DC40, собственником которых он не являлся, перестал выходить на связь с Ч., не выполнив взятые на себя обязательства. Своими умышленными действиями Д. благодаря Интернет-ресурсам совершил преступление, предусмотренное ч. 2 ст. 159 УК РФ2.
Согласно действующему уголовно-процессуальному законодательству и рекомендациям, разработанным криминалистами, фиксация доказательственной информации в сети Интернет, осуществляется в ходе осуществления следующей деятельности:
а) составления протоколов осмотра места происшествия и прилагаемых к ним иллюстрационных таблиц, схем, планов, чертежей, распечаток экрана монитора (скриншотов);
б) применения фото- и видеосъемки, которым должно точно соответствовать зафиксированное в протоколе;
в) составления протоколов допросов потерпевших, представителей потерпевших, свидетелей, подозреваемых, обвиняемых, экспертов, специалистов, переводчиков, понятых (в необходимых случаях);
г) составления протоколов обыска по месту жительства, работы, в офисах, серверных помещениях и т. д.;
д) составления протоколов выемки договоров об оказании телематических услуг связи, счетов за предоставление услуг связи, протоколов данных о соединениях абонентов с сетью электросвязи и доступа к Интернету, архива электронного почтового ящика, архива запросов к поисковым системам сети Интернет (при наличии соответствующего постановления суда о наложении ареста на почтовые сообщения электронной сети), электронных журналов, отражающих проведенные компьютерные операции, технической документации, иных электронных документов на машинных носителях и др.;
е) составления протоколов осмотра предметов (персональных компьютеров, ноутбуков, планшетов, мобильных телефонов, Wi-Fi роутеров, модемов, серверов и др.), документов (протоколов данных о соединениях абонентов с сетью электросвязи и доступе в Интернет, технической документации, иных электронных документов на машинных носителях и др.);
ж) приобщения к материалам дела различного рода справок, выписок, заверенных копий документов и др., полученных в результате официальных запросов, имеющихся в материалах уголовного дела (истребованная в сотовых компаниях информация о соединениях абонентов и абонентских устройствах с указанием месторасположения базовых станций; информация, истребованная у модератора сайта, с которого осуществлено, например, мошенничество в сети Интернет, для установления IP-адреса подозреваемого; истребованная информация о движении денежных средств, находящихся на банковских счетах потерпевшего, подозреваемого, обвиняемого, с отраженным временем совершенных операций, IP-адресом устройства, с которого осуществлялись операции);
з) назначения в кратчайшие сроки компьютерной экспертизы (либо иного вида экспертизы, необходимость в которой возникнет в результате расследования уголовного дела) по изъятым в ходе осмотра места происшествия, обыска, выемки предметам и получения заключения эксперта.
Целесообразно не осуществлять предварительно запуск компьютерного устройства, отторжение носителей информации, чтобы значимая информация, находящаяся на них, не была стерта или повреждена программно-аппаратными комплексами защиты информации и в последующем могла стать доказательством по уголовному делу.
Получение информации в сети Интернет, может осуществляться и в ходе иных следственных действий (не упомянутых в нашем перечне, но предусмотренных уголовно-процессуальным законом), если в этом возникнет необходимость в рамках расследования уголовного дела, не следует забывать при этом, что протокольная форма является обязательной (согласно уголовно-процессуальным нормам), а соответственно и основной, по отношению к другим формам фиксации.
В данном случае объектами поиска, обнаружения, фиксации, изъятия, исследования являются следы и следообразующие объекты материального мира. Следы выступают как источники криминалистически значимой и доказательственной информации, собранной и используемой в рамках уголовного судопроизводства. Одним из свойств электронно-цифровых следов является возможность их легкого дублирования без изменения первоисточника данных, а также возможность создания безграничного количества легко и быстро изменяемых дубликатов информации, причем уничтожить достаточно большое количество информации можно за достаточно короткий временной промежуток.
Электронно-цифровой след — это совокупность данных, образующих криминалистически значимую информацию, выраженную посредством сигналов в форме, пригодной для обработки с использованием компьютерных устройств, в результате создания (модификации) определенного кода на электронном носителе.
Классифицировать электронно-цифровые следы, образующиеся в интернет-пространстве следует по виду информации:
1. Файлы системного и прикладного программного обеспечения:
– файлы программного обеспечения, не входящие в состав стандартного набора операционной системы и прикладных программ, программного обеспечения управления техническими средствами (в том числе периферийными устройствами), не имеющие цифровой подписи, либо не имеющие информации о разработчиках, либо входящие в состав «потенциально опасных программ» (программы-кейлоггеры, программы тестирования уязвимостей, вирусные программы, программы-отладчики, декомпиляторы, драйверы виртуальных устройств, эмуляторы и т. п.);
– модифицированные файлы программного обеспечения, входящие в состав стандартного набора операционной системы и прикладных программ, программного обеспечения управления техническими средствам (в том числе периферийными устройствами), контрольная сумма CRC которых, отличается от заявленной производителем (например, изменение файловой таблицы или главной загрузочной области, замена исполняемых файлов интерфейса операционной системы);
– командные файлы, скрипты, макрокоманды, исполняемые компилятором операционной системы или прикладного программного обеспечения и не входящие в состав стандартного набора операционной системы и прикладных программ (CMD, BAT, INF, SH и прочие файлы).
2. Конфигурационные файлы (файлы для хранения настроек компьютерных программ, в том числе и операционных систем):
– конфигурационные файлы операционной системы (например, для OSWindows это системный реестр, ini, cfg-файлы, для OSLinux содержимое каталога /etc).
– конфигурационные файлы прикладного программного обеспечения (как правило, ini, cfg — файлы, находящиеся в каталоге программы, записи в системном реестре или каталогах профилей пользователей).
– конфигурационные файлы программного обеспечения управления техническими средствами, в том числе периферийными устройствами (могут находиться как на компьютерных устройствах в местах хранения конфигурационных файлов операционных систем, местах, определенных разработчиком-производителем, так и в ПЗУ технических средств и периферийных устройств).
– конфигурационные файлы настроек сетевого окружения (IP-адрес, маска сети, шлюзы, DNS, монтируемые сетевые диски, таблица маршрутизации и т. п.).
3. Файлы-журналы (лог-файлы, протоколы) программного обеспечения и технических средств:
– протоколы работы операционной системы (протоколы загрузки и выключения, протоколы безопасности, протоколы ошибок и неисправностей, протоколы аудита и т. п);
– протоколы работы прикладного программного обеспечения (протоколы запуска программ, проведения настроек, протоколы информации, создаваемые в связи со спецификой задач программного обеспечения);
– протоколы работы технических средств, в том числе периферийных устройств;
– протоколы результатов работы антивирусных и тестовых программ.
– файлы, содержащие информацию о ранее использованных пользователем программах, файлах (документах, медиа файлах и т. п.);
– файлы, содержащие информацию об исполненных командах, заданных пользователем;
– файлы, содержащие информацию о посещении пользователем сетевых ресурсов3.
4. Файлы, источники информации, образующиеся в ходе деятельности пользователя, в том числе их резервные копии и удаленные файлы, подлежащие восстановлению:
– текстовые документы как с простым форматированием (txt, nfo, diz и т. п. файлы), так и со сложным (doc, docx, rtf, pdf, odt и т. п. файлы).
– электронные таблицы (xls, xlsx, sxc и т. п. файлы).
– файлы баз данных (dbf, sdf, mdb, mdf и т. п. файлы).
– файлы изображений, в том числе снимки экранов (скриншоты).
– файлы видеозаписей, в том числе файлы, источником которых был видеовход компьютерной системы.
– файлы аудиозаписей, в том числе файлы, источником которых был аудиовход компьютерной системы.
– файлы, хранящие электронные сообщения (сообщения электронной почты, сообщения IM и т. п.).
– файлы, формирующие строение интернет-страницы (сайта).
– временные файлы, формируемые программным обеспечением во время работы пользователя.
5. Файлы, обеспечивающие аутентификацию и конфиденциальность пользователей (электронный сертификат, электронная ключевая информация).
6. Информация, находящаяся в оперативной памяти или файле подкачки (выгруженные из оперативной памяти на временное хранение данные, находящиеся на физическом жестком диске).
7. Информация, полученная с помощью соответствующих радиоэлектронных или специальных технических средств.
Следует уделить внимание классификации по местонахождению электронно-цифровых следов:
1. На технических устройствах и каналах связи потерпевшего.
2. На технических устройствах и каналах связи фигурантов.
3. На технических устройствах операторов связи.
По источнику их хранения классификация будет выглядеть следующим образом:
1. Следы на жестких дисках (HDD, SDD), flash-накопителях (SD, MMC и прочих), USB-накопителях, оптических носителях (CD, DVD, BD), магнитных носителях (Floppy, Zip, магнитных лентах).
2. Следы, находящиеся в оперативной памяти ЭВМ, периферийных устройств и средств связи.
3. Следы в проводных, радио, оптоволоконных и иных электромагнитных системах связи.
Очевидно, что механизм следообразования в информационных сетях происходит несколько иначе, чем при взаимодействии рассматриваемых в криминалистике объектов материального мира. Особенности взаимодействия заключаются в отсутствии пространственной формы у цифрового следа, особенностях внутреннего строения, способах преобразования и недоступности их непосредственного восприятия.
При рассмотрении факторов механизма следообразования в информационных сетях, и в частности в сети Интернет, необходимо получить представление о наиболее используемых стандартах обмена информацией в сети, таких как TCP/IP, представляющий собой набор протоколов передачи данных, получивший название от двух принадлежащих ему протоколов: TCP (англ. Transmission Control Protocol) и IP (англ. Internet Protocol).
К наиболее известным и часто используемым протоколам в сети Интернет относятся:
HTTP (Hyper Text Transfer Protocol) — протокол передачи гипертекста. Протокол HTTP используется при пересылке web-страниц между компьютерами, подключенными к одной сети;
FTP (File Transfer Protocol) — протокол передачи файлов со специального файлового сервера на компьютер пользователя. FTP дает возможность абоненту обмениваться файлами с любым компьютером Сети в бинарном (от англ. binary — двоичный) или текстовом формате;
POP3 (Post Office Protocol) и SMTP (Simple Mail Transfer Protocol) — стандартный протокол почтовых соединений. Серверы POP обрабатывают входящую почту, а протокол POP предназначен для обработки запросов на получение почты от клиентских почтовых программ; SMTP возвращает либо подтверждение о приеме, либо сообщение об ошибке, либо запрашивает дополнительную информацию;
TELNET — это протокол удаленного доступа. TELNET дает возможность абоненту работать на любой ЭВМ, находящийся в Сети. На практике возможности ограничиваются тем уровнем доступа, который задан администратором удаленной машины.
Сеть Интернет представляет собой совокупность компьютерных сетей в транснациональном масштабе, объединенных между собой протоколом ТСР/IP, который помечает подключенный к нему сервер или компьютер в виде числового ряда 111.111.111.111. При этом трехзначное число между точками может принимать любое значение от 1 до 254 (адреса вида 10.0.0.0 и 10.0.0.255 не берутся в расчет в связи с тем, что являются технологическими адресами), а адресованный номер является уникальным для конкретного компьютера или сервера (в пределах одной подсети) и не может быть присвоен одновременно другому компьютерному или серверному объекту, поскольку это приведет к нарушению работы Сети. Рассматриваемый числовой ряд является IP-адресом устройства, способного при наличии возможности подключаться к Сети, получать и предоставлять уникальные идентификационные сведения о себе. Уникальность IP-адреса позволяет найти, получить, передать информацию от одного компьютера или узла к другому без ошибки адресата.
С 1980–1990 годов для присвоения адресов активно использовался протокол IPv447, однако в связи с тем, что данный протокол поддерживает только 4,3 миллиарда уникальных глобальных адресов и это ограничение не менялось с момента появления данной версии в 1981 году, в 1996 году был утвержден новый стандарт сетевой адресации под названием IPv6, и только в 2012 году начался переход на этот стандарт. Данный вид стандарта позволяет более точно установить владельца адреса, в связи с более полной привязкой его к тому или иному сегменту сети4. Компьютеры в таких сетях имеют адреса вида 2001:0db8:11a3:09d7:1f34:8a2e:07a0:765d. Такой адрес содержит в себе информацию об идентификаторе провайдера, абонента, подсети, узла. Но в связи с малой распространенностью данного стандарта на территории РФ подробно рассматривать вопрос данной адресации в части, касающейся расследования преступлений, совершенных в сети Интернет, мы не будем.
Существует два вида получения IP-адреса:
– статический, данный адрес присваивается сетевому адаптеру вручную пользователем, исходя из правил сетевого адресного пространства, к которому подключен абонент и является постоянным адресом;
– динамический, автоматически присваиваемый сетевому адаптеру сетевым оборудованием из пула свободных адресов в рамках определенного адресного пространства и являющийся непостоянным (по мере подключения и отключения абонентов адреса могут изменяться автоматически).
При подключении к ресурсам интернет-провайдера пользователь получает IP-адрес, фиксируемый сетевым оборудованием провайдера. Существует несколько видов предоставления адресов. Это так называемый «белый», или публичный, адрес, который используется для выхода в Интернет, и доступ к устройству с таким IP-адресом можно получить из любой точки глобальной Сети, т.к. публичные (глобальные) IP-адреса маршрутизируются в Интернете, и «серый» адрес, при котором доступ в Интернет не предоставляется напрямую, а осуществляется через определенный маршрутизатор. С точки зрения обеспечения собственной безопасности лица, имеющие преступный умысел, как правило, используют именно их. В обычном порядке данные адреса назначаются провайдерами в следующих подсетях: 10.0.0.0 — 10.255.255.255, 172.16.0.0 — 172.31.255.255, 192.168.0.0 — 192.168.255.25548.
Для удобства пользователей Сети существует доменная система имен (DNS), которая используется для получения IP-адреса по имени компьютера или устройства, получения информации о маршрутизации почты, обслуживающих узлах для протоколов в домене. Данная система позволяет присваивать узлам в сети актуальные для человеческого восприятия адреса (например, http://правительство.рф) и переводит их в понятный для технологического оборудования IP-адрес.
Несмотря на удобство для пользователя, система DNS позволяет злоумышленникам, создав копию сайта какой-либо платежной системы и зарегистрировав у хостинг-провайдера домен с использованием визуально схожих символов (например, 0 и О или 1 и I), ввести граждан в заблуждении и, воспользовавшись их невнимательностью, слабым владением техническими навыками, получить данные о платежных реквизитах банковских карт и иную информацию. Для пользователей при переходе на такую страничку будет довольно сложно различить данную замену (например, www.WEBMONEY.ru и www.WEBM0NEY.ru).
При рассмотрении факторов следообразования необходимо рассматривать не только физические свойства объектов, но и события — действие или бездействие в виртуальной среде. Например, зафиксированную в системных журналах операционной системы модификацию файла или зафиксированное в системных журналах (браузера, прокси-сервера, web-сервера) обращение к определенному IP-адресу. К примеру бездействия можно отнести не вовремя проделанную операцию создания резервной копии данных, в результате чего необходимая информация была безвозвратно утеряна, что привело к крупным материальным убыткам.
Основой механизма образования следов рассматриваемой категории является их электронно-цифровое отображение, происходящее в искусственно созданных средах: памяти электронных носителей информации, информационно-телекоммуникационных сетях, каналах связи передачи информации, информационных системах. Объем получаемой криминалистически важной информации, представляющей интерес при расследовании уголовного дела, в данном случае будет зависеть от того, как разработчик данной среды ее спроектировал, какие стандарты и формы взаимодействия и обработки информации задействовал. Сам след в данном случае будет представлять собой сложную информационную структуру, способную содержать в себе как цифровые значения параметров объектов, так и иную вспомогательную информацию, определяющую его принадлежность к конкретной информационной среде (например, метаданные, описывающие структуру объектов, способы их обработки, описательную информацию).
Интерес к метаданным возрос в связи с интенсивным развитием сетевых технологий, предполагающих формирование и существование многочисленных сообществ, в рамках которых люди с различными уровнями знаний и интересов взаимодействуют друг с другом, а границы между традиционными ролями (например, автор, издатель, библиотекарь) четко не определены.
Существуют разнообразные классификации категорий метаданных, отличающиеся друг от друга степенью детализации. Для целей данной работы мы считаем достаточным разделить метаданные на две большие группы:
– контентные метаданные, описывающие структуру или составные части вещи, то, чем вещь является, описывающие природу вещи, ее признаки. Например, формат и размер файла, набор связанных с информацией категорий, ссылки на другие объекты, связанные с ним;
– административные метаданные, требующиеся для процессов обработки информации, назначение вещи. Например, информация об авторе, редакторе, дата опубликования и т. д.
Контентные метаданные охватывают описание всех аспектов данного информационного объекта как отдельной сущности. Иногда их дополнительно подразделяют на структурные и описательные.
Административные метаданные объединяют различные группы и отличаются большим разнообразием. Они дают возможность владельцу ресурса организовать четкую и гибкую политику в отношении информационного объекта, включая аутентификацию, авторизацию управление авторскими правами и доступом, и служат для идентификации и классификации объектов в специальных коллекциях. Метаданные для архивирования включают в себя не только метаданные для нахождения ресурсов, возможные правила и условия доступа и т. д., но и периоды времени для классифицированной информации, информацию о виде хранения, данные об использовании, информацию о миграции с одной программно-аппаратной платформы на другую и т. п. Некоторые группы административных метаданных могут использоваться для позиционирования информационных ресурсов в рамках групп подобных документов, информационно-поисковой системы, области науки и т. д. Существует технический подвид административных метаданных, в качестве примера которых, можно назвать схемы хранения данных в схемах распределенных баз данных (СУБД) и др.
Наконец, метаданные можно использовать для «кодирования» содержательной информации о том, для каких групп пользователей предназначен ресурс, для ориентирования пользователей относительно его философского, мировоззренческого смысла.
В свою очередь на механизм следообразования в информационных сетях влияет ряд следующих факторов:
а) факторы, не зависящие от личности потерпевшего или фигуранта, такие как; виды и типы технологического оборудования, определяющие построение сетей передачи данных, виды каналов передачи данных, операционные системы и прикладное программное обеспечение сервисов предоставления сетевых ресурсов и услуг (провайдеры, владельцы сетевых ресурсов и пр.), наличие средств информационной безопасности и обнаружения вторжений, форма подключения абонентов к сетевым ресурсам, наличие уязвимостей технологического оборудования, программных средств и средств обеспечения информационной безопасности и т.д.;
б) факторы, находящиеся в прямой зависимости от личности потерпевшего или фигуранта, такие как наличие теоретической и практической подготовки по вопросам функционирования сетевых технологий и информационной безопасности; знание особенностей и уязвимостей технологического оборудования, программных средств и средств обеспечения информационной безопасности на стороне сервисов, предоставления сетевых ресурсов и услуг злоумышленником, интеллектуальные особенности личностей.
Таким образом, в отличие от криминалистического учения о следообразовании, где основным фактором является механическое контактное взаимодействие следообразующего и следовоспринимающего объектов, имеющих физические свойства, при образовании электронно-цифровых следов в связи с отсутствием физической формы объекта фиксируются только изменения на уровне электромагнитных взаимодействий цифрового сигнала, которые могут быть выявлены с помощью технических средств, преобразующих электронно-цифровую модель объекта в вид, доступный для восприятия человеком.
При этом в каждом случае для выявления следов необходимо определить такую информационную среду, обусловленную определенными правилами и алгоритмами, в которой происходила обработка информации, где данная информация будет представлять собой криминалистически значимую информацию, а не набор закодированных символов, не представляющих практического значения.
С учетом вышеизложенного представляется акцентировать внимание обучающихся на том, что:
1. Для понимания механизма следообразования в информационных сетях необходимо определить изменения, произошедшие в результате электромагнитных взаимодействий цифрового сигнала и среды, в которой происходила обработка сигнала, а также то, какие факторы оказали влияние на процесс электромагнитных взаимодействий цифрового сигнала.
2. Несмотря на существование унифицированных стандартов обработки информации, механизм образования электронно-цифровых следов будет различен в зависимости от построения той информационной среды, в которой они находятся. В связи с постоянным развитием информационных технологий количество вариаций отображения следов, характеризующих результат взаимодействия в интернет-пространстве, будет увеличиваться.
Следовательно, для того, чтобы обнаружить, зафиксировать и установить связь между электронно-цифровыми следами и электромагнитными взаимодействиями в компьютерной системе и Сети, необходимо установить перекрещивающуюся взаимосвязь между указанной системой, Сетью и интересующим следствие событием либо действием, оставившего свое отражение.
Контрольные вопросы по теме
1. Обозначьте основные объекты обнаружения и фиксации информации, размещенной в интернет-пространстве.
2. В ходе каких следственных действий следователь может получить информацию в сети Интернет?
3. В ходе какой деятельности осуществляется обнаружение и фиксация информация в сети Интернет?
4. Дайте определение термину «электронно-цифровой след».
5. Приведите классификацию электронно-цифровых следов.
6. Для чего нужен IP-адрес, как выглядит его цифровое обозначение?
7. Что следует понимать под термином «метаданные», и какое значение он имеет при обнаружении и фиксации следов?
[4] Гаврилов М. В. Информатика и информационные технологии: учеб. / М. В. Гаврилов, В. А. Климов. 3-е изд., перераб. и доп. М.: Юрайт, 2013. С. 269.
[3] Волеводз А. Г. Следы преступлений в сфере компьютерной информации // Российский следователь. 2001. № 7. С. 2–11; Волеводз А. Г. Следы преступлений, совершенных в компьютерных сетях // Российский следователь. 2002. № 1. С. 4–12.
[2] Из практики СУ УМВД по Тверской области.
Глава 2.
Особенности выявления, фиксации и изъятия компьютерной информации из сети интернет при проведении предварительной проверки по сообщению о преступлении и первоначальных следственных действий
Документирование информации о размещении сведений на странице интернет-сайта, блога, форума, социальной сети. Особенности выявления преступлений с использованием интернет-ресурсов. Специфика расследования преступлений в области дистанционного (бесконтактного) незаконного оборота наркотиков. Порядок действий уполномоченных сотрудников правоохранительных органов, направленных на фиксацию электронно-цифровых следов при рассмотрении сообщения о совершенном преступлении с использованием сети Интернет.
Специфика расследования преступлений, при совершении которых используются ресурсы сети Интернет, обусловлена сущностью Сети и теми услугами, ко
...
