О криминалистическом исследовании электронных носителей информации и цифровых следов

Р.А.Дерюгин
И.Ф.Файсханов

Авторы рассматривают вопросы, связанные с расследованием преступлений, совершаемых с использованием технических средств связи, информационно-телекоммуникационных технологий и компьютерной техники. В статье указаны некоторые особенности описания и криминалистическое значение цифровой информации, полученной в процессе расследования преступлений указанной категории.

Ключевые слова: информация; информационно-телекоммуникационные технологии; расследование преступлений; цифровые следы; Интернет; электронный носитель; компьютерная техника.

 

Современное общество активно использует самые разнообразные технические средства: от мобильных телефонов до мощных программных комплексов, предназначенных для различных инженерных расчетов. При этом преступники, имея в своем арсенале новую технику, программное обеспечение и возможности сети Интернет, не остались в стороне. Более того, в условиях информационного общества и научно-технического прогресса преступность развивается с геометрической прогрессией. Так, количество преступлений, совершенных с использованием компьютерных и телекоммуникационных технологий, по сравнению с 2013 г. выросло в 16 раз. Согласно аналитическим сведениям МВД России, в 2018 г. зарегистрировано 174 674, а за январь – июль 2019 г. – 140 184 таких преступлений .

Лица, не являющиеся специалистами в сфере информационных технологий, не имеющие представления о методах мошенников, нередко становятся жертвами преступников, которые весьма эффективно пользуются информационно-телекоммуникационным пространством при совершении заранее спланированного преступления. При этом используемые при совершении преступления технические средства и технологии нередко являются единственным источником криминалистически значимой, доказательственной информации.

Справедливо отметить, что именно криминалистика как первостепенная основа противодействия преступности ориентирована на изучение механизма совершения того или иного вида преступления в сфере информационно-телекоммуникационной направленности, поиск доказательственной базы и отражение искомых объектов в материальных и цифровых следах. В связи с этим в российской науке уже продолжительное время ведутся работы в области цифровой (компьютерной) криминалистики, результаты которой позволяют понять алгоритм действий преступника или преступной группы, восстановить поврежденные или уничтоженные данные, получить иные интересующие следствие сведения.

Учитывая глобальную информатизацию общества, совершенствуется законодательство. Обширная нормативно-правовая база демонстрирует развитость и обществен но-госуда рствен ну ю за и нтересова н ность в дальнейшем развитии информационной сферы: Федеральный закон от 7 июля 2003 г. № 126-ФЗ «О связи», Федеральный закон от 27 июля 2006 г. № 149- ФЗ «Об информации, информационных технологиях и о защите информации», Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», указ Президента РФ от 5 декабря 2016 г. № 646 «Об утверждении Доктрины информационной безопасности Российской Федерации», указ Президента РФ от 9 мая 2017 г. № 203 «О Стратегии развития информационного общества в Российской Федерации на 2017-2030 годы» и другие нормативно-правовые источники.

Помимо перечисленного следует отметить Федеральный закон от 6 июля 2016 г. № 375-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации и Уголовно-процессуальный кодекс Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности» и Федеральный закон РФ от 6 июля 2016 г. № 374-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности». Будучи на стадии законопроектов, данные федеральные законы получили неофициальное название «пакет поправок Яровой».

Таким образом, с 1 июля 2018 г. оператор связи обязан осуществлять проверку достоверности сведений об абоненте, хранить на территории Российской Федерации информацию о фактах приема, передачи, доставки и (или) обработки голосовой информации, текстовых сообщений, изображений, звуков, видео- или иных сообщений пользователей услугами связи – в течение трех лет с момента окончания осуществления таких действий, а также текстовые сообщения пользователей услугами связи, голосовую информацию, изображения, звуки, видео-, иные сообщения пользователей услугами связи – до шести месяцев с момента окончания их приема, передачи, доставки и (или) обработки . Аналогичные поправки внесены в Федеральный закон «Об информации, информационных технологиях и о защите информации» .

Соответствующие изменения вызвали неоднозначную реакцию сообщества. Недовольство спровоцировали следующие факторы: практически полное отсутствие анонимности в сети Интернет, возможный рост цен за услуги связи, опасение граждан «оказаться под колпаком». В то же время лицо, совершающее преступления, например, экстремистской направленности, как правило, осуществляет координацию преступной группы, распространение экстремистских материалов, вербовку посредством сети Интернет. Комплекс мер «пакета Яровой» предполагает получение доказательств и криминалистически значимой информации, даже удаленной с устройства, по запросу оператору связи, что полностью оправдывает принципы процессуальной экономии, оперативности и эффективности расследования. Очевидно, что при должной работе нововведений сопутствующие негативные факторы оправданны и допустимы.

На наш взгляд, целесообразно отметить, каким образом аккумулируются в информационном пространстве и в базе данных оператора сотовой связи или на конкретном устройстве криминалистически значимые сведения о событии преступления или о преступнике.

В качестве примера используем фрагмент трафика. На рисунке 1 представлен фрагмент трафика пользователя сети Интернет. Первый столбец соответствует порядковому номеру строки, два следующих столбца отображают содержимое в шестнадцатерич- ном представлении, последний столбец отображает содержимое трафика в кодировке, предварительно выбранной перед анализом трафика. Исходя из содержимого, можно сделать вывод о том, что пользователем был посещен Интернет-ресурс «КонсультантПлюс» (строка «…www.consultant.ru…»). Строка «…GET / HTTP/1.1…» говорит о том, что запрашивается главная страница сайта «КонсультантПлюс». Строка «Connection: keep-alive» говорит о том, что используется одно TCP-соединение для отправки и получения HTTP-запросов, соответственно, запросы осуществляются на один и тот же сервер.

Рис. 1. Фрагмент трафика

Таким образом, можно осуществить анализ деятельности лица удаленно, не имея доступа к устройству, и проанализировать информацию, которая была принята или отправлена исследуемым устройством, например, изображения, музыкальные файлы, видеофайлы, текстовые документы и т. п. Для подобного исследования применяются различные программно-аппаратные комплексы, позволяющие эксперту отсортировать необходимую для экспертизы информацию.

Анализируя данные на электронном носителе, можно сделать вывод относительно деятельности подозреваемого лица. Например, содержимое USB- носителя (см. рис. 2).

Рис. 2. Фрагмент информации на USB-носителе

На USB-носителе имеется документ, содержащий данную фразу. Данный документ удаляется и анализируется содержимое аналогичного сектора.

Файл удален, но строка, содержащаяся в файле, осталась на прежнем месте. Соответственно, для эксперта-криминалиста становится возможным исследовать удаленный файл и установить, какую именно информацию он содержал.

Предположим, что файл удален безопасно, то есть данный сектор был многократно перезаписан. Для этого осуществим многократную перезапись в количестве 35 раз в данный сектор (см. рис. 3).

Рис. 3. Фрагмент информации

Итак, содержимое сектора утеряно, и эксперт будет вынужден применять более серьезные методы анализа, которые могут существенно повысить вероятность обнаружения следов, скрытых преступником.

При расследовании и раскрытии преступлений, так или иначе связанных с использованием информационно-телекоммуникационного пространства, современной техники и оборудования, необходимо учитывать степень профессионализма преступников. Последние пользуются всеми новшествами технического прогресса, разрабатывают и применяют новые способы совершения преступлений, тщательно продумывают алгоритм действий, совершают только незначительные ошибки. В связи с этим сотрудники правоохранительных органов должны уделять внимание всем аспектам работы со следами, независимо от того, материальные они или цифровые. Справедливо сказать, что перед получением и исследованием цифровых следов следует провести качественный осмотр компьютерной техники, системного блока, компьютерной информации и иных сведений, содержащихся на электронных носителях или в виртуальном пространстве. При этом описываются внешние индивидуальные признаки данного носителя (цвет, размер, вид, название, марка, заводской, а также его индивидуальный номер). Далее осматривается компьютерная информация, которая содержится на машинных носителях. Пристальное внимание следует
уделять предметам, которые содержат коды, пароли доступа, идентификационные номера, конкретные названия, электронные адреса пользователей определенных компьютерных систем.

В целях обеспечения сохранности цифровых следов для осмотра электронных носителей информации рекомендуется привлекать специалиста, который сможет описать внешние признаки, содержимое информационной среды и не допустит уничтожения цифровых данных. Криминалистическое исследование файловых систем заключается в анализе различных информационных следов, которые возникают в процессе действий преступника, работы программного и аппаратного обеспечения исследуемой системы.

Вышесказанное позволяет нам говорить о необходимости повышения квалификации и совершенствования профессиональных навыков сотрудников органов внутренних дел при работе с компьютерной техникой, устройствами связи, программным обеспечением, информационным пространством и со следами, возникающими в связи с этим. К сожалению, статистика свидетельствует о том, что современный квалифицированный преступник не встречает должного противодействия со стороны правоохранительных органов. Данная проблема в целях повышения эффективности процесса раскрытия и расследования преступлений требует внимания и разрешения.

Библиографический список

1. Состояние преступности в России за январь – июль 2019 г. [Электронный ресурс]. – URL: http:// мвд. рф/reports/item/! 7926489 (дата обращения: 6 сентября 2019 г.).

Научно-практический журнал “Вестник Уральского юридического института МВД России” № 4 (24), 2019

Просмотров: 16

Добавить комментарий

Ваш адрес email не будет опубликован.

*

code