Praktikum8-_pytannia_avtoru_1_copy
.pdf
Тема № 2
5.Використання цифрової техніки в експертній практиці
Як засіб дослідження речових доказів цифрова фотографія застосовується для посилення слабковидимого та виявлення невидимого в технічній експертизі документів, для виявлення мікрорельєфу слідів на кулях і гільзах у дослідженні вогнепальної зброї, для виявлення та фіксації особливостей рельєфу в слідах у дослідженні трасологічних, балістичних об’єктів тощо.. В такому випадку фотознімки, які ілюструють висновок експерта, є його складовою..
В експертній практиці для дослідження об’єктів застосовуються різноманітні методи фотозйомки: репродукційний метод, макро-, мікрофотографії, контрастуючої, спектрозональної, ультрафіолетової, інфрачервоної фотографії, кольороподіл, рентгенорадіографія.. На сьогодні зазначені методи фотозйомки широко використовуються на базі цифрової збільшувальної та фототехніки.. Зокрема, сучасні мікроскопи оснащені цифровими фотокамерами, що дозволяє виводити збільшене зображення на монітор комп’ютера, досліджувати його, опрацьовувати за допомогою спеціальних програм та роздруковувати (наприклад, продукція російської компанії «Альтами»: цифрові криміналістичні комплекси «Альтами Крим ПАК», «Альтами КРИМ 2», «Альтами БИОС», які складаються з мікроскопа, цифрової камери та персонального комп’ютера; цифрові настільні та ручні мікроскопи «Dino-Lite» від міжнародної компанії «ANMO Electronics» тощо)..
Насьогоднііснуєнизкаспеціальнихпрограм,якідозволяютьопрацьовувати цифрові зображення за допомогою комп’ютерної графіки
(Adobe Photoshop, Adobe Bridge, Corel Draw, Total Commander тощо),
отримувати інформацію, що стосується процесу створення фотозображень.. Так, програма ShowExif дає можливість відслідкувати факт зміни вихідного зображення в графічних редакторах, внести певні коментарі до зображення тощо.. Водночас такі програми можуть використовуватися і для видалення або зміни фотозображень, що нерідко є необхідним для ретельного дослідження об’єктів та вирішення експертних завдань.. У зв’язку з тим, що зміни первинного фотозображення можуть бути досить суттєвими, результати їхньої цифрової обробки мають супроводжуватися веденням спеціального прото-
40
Використання цифрової фотозйомки у діяльності органів кримінальної юстиції
колу обробки, до якого заносяться найменування використаного графічного редактора, всі застосовані методи дослідження та виконані команди (наприклад, розкладення початкового масиву інформації на частотні, яскраві та кольорові характеристики; методи фільтрації та узагальнення проміжних зображень за певними характеристиками, гамма-корекції тощо), технічні характеристики обробленого зображення, при цьому кожне з проміжних змінених фотозображень записується на носій інформації.. Таке протоколювання процесу обробки може відбуватися в автоматичному режимі (наприклад, у графічних редакторах Adobe Photoshop), а його результати – додаватися до висновку експерта..
6.Техніко-криміналістичні прийоми роботи із програмним
забезпеченням під час опрацювання цифрових фотозображень
За допомогою програмного забезпечення можна у певний спосіб збільшувати інформативність і якість фотозображення: здійснювати фотографічне маскування, посилювати яскравість і контраст зображення, здійснювати фільтрацію його деталей, зміни розмірів, переміщення і поворот зображення тощо..
Цифрове маскування зображень. У традиційній фотографії цей метод пов’язаний із виготовленням масок, які становлять позитивне зображення вихідного негатива на прозорій підкладці з певним значенням щільності і контрасту.. Для цифрового маскування в графічних програмах використовують функції по роботі з шарами і каналами.. Шар – це комп’ютерний аналог зображення на прозорій підкладці з певними розмірами, значеннями яскравості, роздільною здатністю, режимом зображення тощо..
Використання програмних засобів значно спрощує і прискорює процес фотографічного маскування.. За короткий час можна виконати декілька варіантів маскування, варіюючи щільність і контраст маски, ступінь її різкості та прозорості у різних режимах накладення для отримання результату з найкращим ефектом виявлення слабковидимого..
41
Тема № 2
Фільтрація деталей цифрових зображень. У програмах – гра-
фічних редакторах міститься великий арсенал цифрових фільтрів, використання яких дозволяє підвищити різкість зображення, виділити контури деталей, усунути недоліки, деталі, що заважають, та дефекти зображення, виправити просторові спотворення зображень, а також деякі помилки у висвітленні об’єктів..
До найбільш розповсюджених відносять фільтри групи «Різкість».. Графічний редакторAdobe Photoshop містить чотири фільтри цієї групи: «Різкість» (підвищує різкість зображення за рахунок посилення контрасту між сусідніми пікселями); «Різкість +» (виконує ту саму операцію, але дає більший ефект у посиленні контрасту); «Різкість по краях» (підвищує різкість тільки на межі кольорових переходів, при цьому всі інші ділянки зображення залишаються без змін); «Контурна різкість» (дія фільтра є аналогічною дії фільтра «Різкість по краях», але додатково надає можливість змінювати контраст країв; у разі використання цього фільтра задають три параметри: «ефект» – визначає ступінь посилення контрасту пікселів (від 1 до 500 %); «радіус» – визначає ширину контура (від 0,1 до 250 пікселів); «поріг» – визначає мінімальне розходження рівнів яскравості, що служить порогом, достатнім для посилення контрасту (від 0 до 255)..
«Динамічні діапазони» у фотографії (High Dynamic Range Imaging, HDRI або просто HDR) означає загальну назву технологій роботи із фото– та відеозображеннями, діапазон яскравості яких перевищує можливості стандартних технологій.. Технології HDR дозволяють отримувати висококонтрастні натуральні зображення, здійснювати їхнє зберігання та обробку, застосовувати додаткові спецефекти..
Терміном «динамічний діапазон» також називають будь-яке співвідношення яскравостей найбільш світлих і темних об’єктів зйомки (контраст).. Особливого значення набуває передача такого контрасту на фотозображенні, якщо фотозйомку проведено у яскраву сонячну погоду за наявності окремих об’єктів, які перебувають у тіні, а також під час фотозйомки у недостатньо освітлених умовах (вечір, ніч тощо)..
На практиці проблема «динамічного діапазону» вирішується шляхом: 1) корекції освітлення об’єкта, який фотографується (правильний вибірмоментутаракурсуфотозйомки,наприкладпідгадуваннямоменту захмарення яскравого сонячного світла, обрання кута розташуван-
42
Використання цифрової фотозйомки у діяльності органів кримінальної юстиції
ня фотокамери, при якому відсутня тінь на потрібній ділянці об’єкта; створення штучного освітлення); 2) застосування спеціальних режимів роботи фотокамери (зокрема, збільшення часу експозиції, що дозволяє вирізнити не помітні у вихідних умовах деталі об’єкта, але призводить до появи «шумових ефектів» – наявність цяток, які зменшують чіткість зображення); 3) шляхом використання фотокамер зі збільшеним динамічним діапазоном сенсорів (більш чутливих); 4) шляхом комбінації декількох (як правило, трьох) зображень, відзнятих із різною експозицією (перевитриманих – в цілому занадто яскравих, але таких, що добре відображають ті об’єкти, які перебувають у тіні, та недовитриманих – недостатньо яскравих, у яких чітко вираженими і контрастними є лише освітлені ділянки об’єкта, а інші – перебувають у тіні і постають лише у якості силуетів без розрізнення окремих деталей), у результаті чого з’являється єдине зображення, що містить всі деталі із вихідних зображень, виконаних із більшим та меншим освітленням, які були найбільш якісними і чіткими в кожному із фотозображень.. Обробка й суміщення таких зображень здійснюється з використанням спеціальних програм типу Photoshop, які дозволяють автоматично суміщати декілька зображень одного й того ж об’єкта (навіть за наявності певного коливання фотокамери між фотознімками)..
7. Оцінка результатів застосування цифрової фотозйомки
Результати цифрової фотозйомки мають відповідати сукупності вимог технічного, процесуального характеру та інформативності знімка (за С. В. Душеїним, 2005):
1..Вимоги технічного характеру (відповідність приладу за своїми характеристиками вирішуваним завданням; достатні технічні параметри фотозображень: різкість, контраст, адекватність передачі форм, кольорів тощо.. Використане технічне обладнання та прилади мають гарантувати об’єктивність отриманих зображень, про що можуть свідчити відповідні нормативні документи: ДЕСТи, сертифікати відповідності, ліцензії тощо)..
2..Вимоги процесуального характеру (результати цифрової фото-
зйомки та носії, на яких вони зафіксовані, підлягають оцінці з точки зору дотримання принципів належності, допустимості та досто-
43
Тема № 2
вірності доказів (ст.. 94 КПК України).. У процесі такої оцінки слідчим (прокурором, суддею) мають бути вивчені як самі результати фотозйомки (тобто зміст фотозображень та інформація, зафіксована на них), так і протоколи процесуальних (слідчих (розшукових), судових) дій, в яких відображено факт, процедуру та результати здійсненої фотозйомки.. При цьому слід звертати увагу на такі обставини:
–чи відображено у протоколі процесуальної дії факт та процедуру проведеної фотозйомки;
–чи зазначені технічні засоби, які використовувалися під час фотозйомки;
–чи зазначено умови, режим та інші необхідні параметри здійснення фотозйомки;
–чи всі фотознімки, наведені у фототаблиці, зазначені у змісті протоколу процесуальної дії;
–чи забезпечене належне збереження результатів фотозйомки в їхньому первинному варіанті (при цьому зі змісту протоколу з’ясовується, як були збережені результати фотозйомки, які засоби захисту цифрової інформації застосовувалися при цьому);
–чи стосується інформація, збережена шляхом цифрової фотозйомки, події, яка розслідується, чи має вона значення для з’ясування
їїобставин;
–чи не здійснювалася програмна обробка або монтаж первинних цифрових фотозображень (для вирішення цього питання може залучатися спеціаліст або експерт; експерту у разі необхідності мають надаватися не лише фотознімки, а й технічні засоби, за допомогою яких проводилася фотозйомка)..
В разі негативної відповіді на будь-яке з зазначених питань може бути поставлено під сумнів відносність, допустимість та достовірність інформації, зафіксованої на фотознімках, внаслідок чого результати фотозйомки підлягають вилученню з числа доказів..
3.. Вимоги щодо інформативностізнімка(на фотознімках має бути
зображена достатня кількість ознак об’єктів спостереження, які безпосередньо стосуються розслідуваної події; якість їхнього зображення має дозволяти їхнє повне і всебічне дослідження; розмір фотознімка має забезпечувати доступність сприйняття зафіксованої інформації; повинні надаватися пояснювальні підписи до кожного фотознімка та необхідні позначення і розмітка)..
44
Використання цифрової фотозйомки у діяльності органів кримінальної юстиції
За |
наявності |
у фотозображенні елементів, які заважа- |
ють |
сприйняттю |
потрібної інформації, має вирішувати- |
ся питання щодо |
залучення експерта з метою їхнього усу- |
|
нення та покращення інформативної складової фотознімка.. Цифрові фотознімки виконують роль самостійного доказу під час провадження.. Їхня достовірність може бути перевірена шляхом про-
ведення фототехнічної та комп’ютерно-технічної експертизи.. У
результаті проведення фототехнічної експертизи можуть бути надані відповіді на такі питання:
–Який вид зйомки використовувався для виготовлення цього фотознімка?
–Чи виготовлено цей знімок із застосуванням фотомонтажу?
–Який об’єктив застосовувався для зйомки цього об’єкта (нормальний, ширококутний, довгофокусний)?
–З якої відстані знято зафіксований на фотознімку об’єкт?
–При якому освітленні (природному або штучному) проводилася зйомка?
–Чи використовувалися під час виготовлення фотознімка ті чи інші технічні прийоми?
–Якими є дата і час виготовлення фотознімка та дата і час його редагування?
45
Тема № 2
Запитання для самоконтролю:
1.Якими є правові підстави та принципи застосування цифрової фототехніки у кримінальному провадженні?
2.Назвіть основні відмінності плівкової та цифрової фотографії..
3.Які існують види сучасної цифрової техніки? Якими є їхні можливості?
4.Які носії графічної інформації Ви знаєте? В чому особливості їхнього використання у кримінальному провадженні?
5.Які режими фотозйомки Ви знаєте?
6.Якою є специфіка цифрової фотозйомки під час проведення різних слідчих (розшукових) дій? Яким є порядок фіксації її результатів? Які вимоги до них висуваються?
7.Які способи захисту результатів цифрової фотозйомки Вам ві-
домі?
8.Які виокремлюють види несприятливих умов фотозйомки? Які можливості сучасної цифрової техніки використовуються для оптимізації якості фотозображень?
9.Що розуміється під «динамічним діапазоном»? Якими є можливості збільшення динамічного діапазону фотозображення?
10.Що означає поняття «баланс білого»? На що він впливає? Які прийоми його корекції використовуються у цифровій фотографії?
11.Які програми для обробки графічних зображень Ви знаєте? Якими є можливості й особливості їхнього використання у кримінальному судочинстві?
46
Тема № 3 Криміналістичні прийоми пошуку,
виявлення і фіксації інформації на електронних носіях
1.Поняття, види та криміналістичне значення електронних носіїв інформації. Правила поводження з електронними носіями інформації
2.Попереднє техніко-криміналістичне дослідження мобільних телефонів
3.Попереднє техніко-криміналістичне дослідження комп’ютерів
1.Поняття, види та криміналістичне значення електронних носіїв інформації. Правила поводження з електронними носіями інформації
Техніко-криміналістичне дослідження електронних носіїв інформації є новою галуззю криміналістичної техніки, що вивчає особливості та закономірності слідоутворення на електронних носіях інформації.. Серед об’єктів, що вивчаються, – комп’ютерна техніка, телекомунікаційні засоби, програмне забезпечення.. Знання з галузі техніко-криміналістичного дослідження електронних носів інформації використовуються в судовій фотографії, фоноскопії, ідентифікації особи за ознаками зовнішності тощо..
У роботі з електронним носіями інформації під час огляду або обшуку можуть поставати одне або декілька таких тактичних завдань: 1) пошук відомостей; 2) відновлення видалених відомостей; 3) фіксація виявлених відомостей.. На реалізацію вказаних тактичних за-
47
Тема № 3
вдань можуть бути спрямовані системи тактичних прийомів, зокрема пов’язаних із техніко-криміналістичним дослідженням електронних носіїв інформації..
Електронний носій інформації є технічним пристроєм, на якому із використанням певної технології зафіксовані значущі для органу кримінальної юстиції відомості, що можуть бути зчитані електронним засобом, перетворені у придатний для сприйняття людиною вигляд та використані у кримінальному судочинстві.. У криміналістичній літературі запропоновано різні підходи до класифікації електронних носіїв інформації, однак із практичної точки зору важливим є те, наскільки простим та неускладненим є доступ до інформації, наявної на носії.. Залежно від наявності керуючого пристрою, який опосередковує доступ до відомостей, що зберігаються, електронні носії інформації можна розділити на:
–прості електронні носії інформації – дискети, компакт-диски, пластикові картки із магнітною смужкою.. Такі пристрої допускають безпосередній доступ до відомостей, що зберігаються;
–електронні носії інформації, що працюють під керуванням одного або декількох комп’ютерів: ноутбуки, планшети, мобільні телефони5, USB-флеш накопичувачі, флеш-картки, смарт-картки тощо..
Потреба в електричному контакті для доступу до електронного носія інформації дозволяє розділити їх на дві групи:
–електронні носії інформації, до яких доступ можна отримати лише під час контактного підключення: флеш-картки, контактні смарт-карти, USB-флеш накопичувачі та інші USB-пристрої;
–електронні носії, що допускають опосередкований та віддалений доступ: різноманітні безконтактні пристрої (Bluetooth чи Wi-Fi засоби, приймачі сигналів GPS, RFID смарт-картки оплати проїзду в метро), мобільні телефони, а також комп’ютери, підключені до мереж загального користування..
За своїм призначенням електронні носії можуть використовуватися для зберігання:
5 Тут і далі терміни «мобільний телефон», «термінал» використовуються для іменування технічних пристроїв, що відповідають вимогам, встановленим Законом України «Про телекомунікації» щодо кінцевого обладнання абонентів.
48
Криміналістичні прийоми пошуку, виявлення
іфіксації інформації на електронних носіях
–будь-якої інформації (USB-флеш накопичувачі, флеш-картки, оптичні диски, жорсткі диски ноутбуків тощо);
–спеціалізованої інформації, притаманної певному виду носія (наприклад, дані в іммобілайзері транспортного засобу, відомості в комп’ютері банкомату, ідентифікаційний ключ, що містить смарткарта, зокрема SIM-карта)..
З урахуванням того, що електронні носії інформації можуть забезпечувати обмеження доступу (із використанням апаратних або логічних систем) до наявних у них відомостей, їх на цій підставі можна розділити на такі, що:
–не обладнані або мають відкриту систему обмеження доступу;
–передбачають обмеження доступу на основі пароля, апаратного чи програмного електронного ключа, певної поведінки користувача тощо;
–передбачають розгалуження прав доступу користувачів (гостьові, користувачеві та адміністративні права доступу)..
Під час роботи й дослідження електронних носів інформації слідчий має виключити вплив таких факторів: дія високої/низької температури; раптові перепади температури; потрапляння вологи; падіння; дія статичної електрики.. До роботи із електронними носіями інформації мають допускатися лише спеціалісти відповідної кваліфікації, навички яких слідчий має попередньо перевірити.. Під час проведення попереднього дослідження слідчий має забезпечити мінімізацію впливу на відомості, що зберігаються на електронних носіях інформації..
Для правильного використання електронних носів інформації у кримінальному судочинстві суддя, прокурор, слідчий мають добре уявляти, які відомості про вчинений злочин можуть міститися на електронному носії інформації та вилучення яких відомостей можна вимагати від спеціаліста або експерта.. Отже, розглянемо криміналістичний потенціал найбільш розповсюджених електронних носіїв інформації – мобільного телефону та комп’ютера..
2.Попереднє техніко-криміналістичне дослідження мобільних телефонів
Криміналістичний потенціал мобільних телефонів визначається їхньою функціональністю, що випливає з підтримки ними можливості встановлення програмного забезпечення.. З урахуванням цього мо-
49
Тема № 3
більні телефони можна умовно розділити на дві групи – звичайні мобільні телефони та смартфони.. Перші або не мають можливості для встановлення додаткового програмного забезпечення, або програми, які все ж таки можна встановити, лише незначно розширюють можливості пристрою.. Смартфони, навпаки, зорієнтовані на значне розширення власного функціоналу із використанням сторонніх програмних продуктів..
Отже, з мобільного телефону може бути вилучено:
– ідентифікаційні дані про мобільний телефон – модель, IMEI (International Mobile Equipment Identity / Міжнародний ідентифікатор мобільного обладнання);
–телефонну книгу;
–SMS-повідомлення;
–календар;
–нотатки;
–фотозображення;
–відео– та звукозаписи;
–збережену інформацію у браузерах..
На додаток до цього у смартфонах можна виявити:
–архіви програм обміну повідомленнями (ICQ, eBuddy Messenger, WhatsApp тощо);
–програми-клієнти для численних соціальних мереж (ВКонтакте, Facebook, Twitter тощо) (до речі, ці соціальні медіа часто стають платформами для вчинення злочинів);
–програми-клієнти для сервісів електронної пошти;
–браузери зі збереженими даними облікових записів інтернетсайтів;
–документи різноманітних форматів..
Означені можливості можуть значно змінюватися, розширюватися або звужуватися залежно від конкретних моделей мобільного телефону та технічних можливостей із дослідження пристрою, що доступні слідчому..
Усю інформацію, що зберігається у терміналі, можна умовно розділити на аудіовізуальну, текстову та змішаного характеру.. Серед аудіовізуальної інформації певне місце посідає така, що має особистий або розважальний характер: фотографії родичів затриманого, друзів, тварин, музичні та відеофайли, а також звукозаписи (може бути
50
Криміналістичні прийоми пошуку, виявлення і фіксації інформації на електронних носіях
використана слідчим під час складання психологічного портрету особи або як база для встановлення психологічного контакту під час проведення слідчих дій).. Часто серед особистих відомостей віднаходяться такі, що безпосередньо стосуються вчинення злочинів – зображення потерпілих, механізму злочину, місця приховання слідів, звукозаписи перемовин тощо.. Тому такі дані мають бути ретельно переглянуті та прослухані слідчим.. Наприклад, звукозаписи перемовин мають бути розшифровані до стенограми.. Відеозапис має знайти своє відображення у протоколі щодо осіб, які з’являються в кадрі, часу їхнього перебування, характеру дій та розшифровки звукового ряду.. При цьому виявлені відео-, фотозображення та музичні файли розважального характеру, як правило, не описуються у протоколі слідчої дії..
Обов’язковим компонентом мобільного телефону стандарту GSM є SIM-карта (Subscriber Identity Module / Модуль ідентифікації абонента).. Залежно від кількості програм, що підтримуються, розрізняють однопрограмні й багатопрограмні смарт-карти.. Перша група карт містить одну програму, призначену для взаємодії з устаткуванням користувача (наприклад, SIM-карта містить лише програму, що забезпечує функціонування мобільного телефону стандарту GSM).. Як правило, карти цього типу використовуються в мобільному устаткуванні стандарту GSM..
Друга група карт називається UICC (Universal Integral Circuit Card
/ Універсальна інтегральна картка) та може містити одну або декілька програм.. До програм першого рівня належать: SIM (програма, що забезпечує функціонування стандарту GSM); CSIM (програма, що підтримує доступ до мереж стандарту CDMA); USIM (програма, що надає доступ до мереж 3G); ISIM (забезпечує доступ до мультимедійних засобів).. Ці карти під час підключення до мобільного устаткування функціонують в UICC-сесіях.. При роботі з мобільними станціями минулих років випуску такі карти також можуть працювати в сумісному режимі.. Карти R-UIM, використовувані в мобільному устаткуванні стандарту CDMA2000, є різновидом UICC пристроїв..
Відомості, що зберігаються у смарт-картах, організовані у вигляді файлової системи, захищені апаратною архітектурою і встановленим програмним забезпеченням.. Обмеження доступу до карт встановлюється цифровою послідовністю та для однопрограмних карт іменується CHV(Card Holder Verification / Перевірка власника карти), а для ба-
51
Тема № 3
гатопрограмних – PIN (Personal Identification Number / Персональний ідентифікаційний номер)..
Такий код є різновидом адміністративного пароля, що надає низький рівень доступу та не дозволяє здійснювати на карті суттєві зміни.. Довжина цього коду залежно від вибору користувача складає від 4 до 20 цифр.. Для вводу PIN, залежно від заводських налаштувань карти, надається від 3 до 10 спроб, й у випадку помилки карта блокується до введення правильного PUK (Personal Unblocking Key / Персональний ключ розблокування).. Питання про можливість усунення чи зняття PIN чи PUK, як правило, вирішується негативно через відсутність загальнодоступних апаратних та програмних засобів для обходу вищевказаних кодів..
Смарт-карта може містити операційну систему, що виконує програми, призначені для обслуговування різних завдань.. Однією з таких програм є SIM-програма, яка підтримує файлову систему смарткарти, базові функції ідентифікації користувача у мережі мобільного зв’язку, ведення журналу дзвінків, телефонної книги, збереження SMS та, за вибором оператора, мобільного банкінгу, SIM-меню тощо.. Відмінності в наборах файлів, що використовуються програмами SIM, R-UIM, CSIM та USIM, є важливими з криміналістичного погляду та мають враховуватися програмним забезпеченням для огляду смарт-карт..
Криміналістичне дослідження телефонної книги, що міститься на SIM-карті, має базуватися на двоелементному джерелі – файлі скорочених номерів набору, доповнених відомостями з файлу розширень.. USIM-картки мають значно розвиненішу телефонну книгу.. Так, кількість можливих записів не може бути меншою за 500, одній особі може бути приписано декілька телефонних номерів, адреса електронної пошти, належність до групи тощо.. Така телефонна книга утворюється у сукупності з 16 файлів..
Процедура огляду й використання інформації зі смарт-карт доволі проста і разом зі складанням відповідного протоколу займає не більше години для одного пристрою, однак цей час може суттєво відрізнятися залежно від стану пристрою, наявності й готовності устаткування, можливості залучення спеціаліста.. Додаткового часу потребує й подальший аналіз і розбір отриманих відомостей..
52
Криміналістичні прийоми пошуку, виявлення і фіксації інформації на електронних носіях
SIM-картка може містити такі важливі для слідчого відомості:
1)Скорочені номери викликів (телефонна книга), записи за якими складаються із телефонного номера (до 24 цифр) та відповідного йому тексту латинськими або кириличними літерами (до восьми символів).. Записи можуть бути занесені як під час виготовлення картки, так і користувачем та займають після цього постійне місце.. Видалений запис знищується на картці, звільняючи місце для подальшого використання, та не може бути відновлений, а виявлення пропущених місць серед записів свідчить про факт видалення інформації.. Слід зазначити, що залежно від налаштувань терміналу мобільного зв’язку актуальна телефонна книга може вестися засобами власне терміналу або на картці.. Обсяг телефонної книги залежить від технічних даних SIM-картки та складає від 100 номерів..
2)Вхідні SMS також можуть зберігатися на картці залежно від налаштувань терміналу мобільного зв’язку або використання його моделей попередніх років випуску.. SIM-картка може зберігати від 10 коротких повідомлень, однак слід враховувати, що довгі повідомлення розбиваютьсядлязберіганнянадекількачастин,щозаймаютьвільнемісце,тож відповідно на пристрої може зберігатися менше коротких повідомлень..
3)Виявлення на картці записів у розділі останніх набраних номерів може свідчити про використання картки у застарілому терміналі..
На відміну від огляду SIM-картки, дослідження терміналу має особливості, що залежать від його виробника, механічної цілісності та роботи електронних компонентів.. Через це огляд зазначеного пристрою рекомендується провести із залученням спеціаліста..
Уразівідсутностіспеціалістанайбільшбезпечнимспособомкопіюваннявідомостейізтерміналуєїхнєпереписуваннязекранапристрою допротоколуслідчогоогляду..Певноїавтоматизаціїцьогопроцесуможна досягти за допомогою програмного забезпечення з синхронізації відомостей у терміналі із програмним забезпеченням на комп’ютері, що може бути завантажене з сайту відповідного виробника.. Такі програми, як правило, мають нескладний інтерфейс та надають базовий доступ до функцій терміналу, дозволяючи перенести адресну книгу, наявні у телефоні текстові повідомлення, замітки, заплановані справи з календаря та інші відомості.. Слідчий має переконатися в тому, що перед синхронізацією списку контактів з програми (наприклад, Microsoft Outlook), встановленої на комп’ютері, за допомогою якого здійснюєть-
53
Тема № 3
ся огляд, видалено усі без винятку записи у календарі, а також немає жодного контакту в адресній книзі.. Неврахування цього може призвестидозавантаженняконтактівтадатсправізкалендаря,щозберігаються в комп’ютері, до терміналу та, як наслідок, до об’єднання інформації.. Серед розповсюджених програмних засобів, що використовуються слідчими під час самостійного огляду мобільних телефонів, можна виокремити: Sony, Sony Ericsson – MyPhoneExplorer; Nokia – Nokia PC Suite; Samsung – Kies тощо.. Набагато більші можливості надає спеціалізоване криміналістичне програмне забезпечення, що використовується під час експертного дослідження мобільних телефонів – Oxygen Forensic Suite, Paraben Device Seizure, Elcomsoft iOS Forensic Toolkit..
Слідчому необхідно мати на увазі, що неправильне застосування спеціального сервісного програмного забезпечення (що пропонується виробником або розроблено ентузіастами) несе суттєву небезпеку щодо цілісності даних, збережених у терміналі..
Не можна вважати за прийнятну розповсюджену серед слідчих практику використання іншої SIM-картки під час огляду мобільного телефону в разі відсутності доступу до нього із SIM-карткою, з якою він був виявлений.. Вжиття такого заходу є крайнім заходом через те, що призводить до автоматичного та необоротного стирання журналу дзвінків, вхідних/вихідних повідомлень, дат календаря та до видалення адресної книги (у деяких моделях телефонів).. У таких ситуаціях слідчий має дізнатися PIN оригінальної картки шляхом проведення допиту власника терміналу, огляду паперових записників та інших засобів зберігання такої інформації або оперативним шляхом.. Також необхідно пам’ятати, що під час увімкнення мобільного телефону відбувається його реєстрація в мережі оператора із зазначенням відомос-
тей про IMEI пристрою, IMSI (International Mobile Subscriber Identity / Міжнародний ідентифікатор користувача мобільного зв'язку) використовуваної слідчим картки, азимут антени базової станції мобільного зв’язку, дату, час тощо.. Уникнути мережевої реєстрації можна в разі використання пакета (коробки) Фарадея або засобу подавлення GSM-мережі..
Ситуації виявлення мобільного телефону. Ситуації виявлення мобільного телефону можна розділити залежно від стану, в якому він був виявлений, на такі: 1) виявлення вимкненого терміналу; 2) виявлення увімкненого терміналу..
54
Криміналістичні прийоми пошуку, виявлення
іфіксації інформації на електронних носіях
Упершій ситуації має бути встановлено цілісність та справність терміналу, працездатність акумулятора, наявність SIM-картки та картки флеш-пам’яті.. Цілісність встановлюється шляхом візуального огляду, зсуву кришки акумуляторного відсіку із подальшим оглядом стану внутрішніх елементів терміналу, особливу увагу звертають на виявлених патьоків, слідів корозії та плісняви (що можуть вказувати на перебування пристрою у рідинах, ґрунті або на неналежне зберігання після вилучення), також перевіряється хід наявних кнопок.. Працездатність акумулятора може бути встановлена із використанням аналогічного терміналу або шляхом вимірювання напруги та струму на клемах акумулятора, несправний акумулятор необхідно замінити.. Вмикання зібраного терміналу до проведення огляду складових не рекомендується..
Виявлена SIM-картка оглядається за вищезазначеною процедурою вивчення смарт-карт.. Огляд флеш-карти за технологією збігається із оглядом жорстких дисків та передбачає застосування USB-рідера, відповідного програмного забезпечення..
Спорядивши термінал справним та повністю зарядженим акумулятором (флеш– та SIM-карта мають бути вилучені), можна перейти до встановлення справності терміналу.. Для цього необхідно підключити зазначений пристрій із використанням сервісного кабелю до комп’ютера та провести визначення терміналу засобами операційної системи та відповідного програмного забезпечення.. Така процедура має певні особливості залежно від моделі терміналу та має проводитися кваліфікованим спеціалістом.. У результаті такої дії може бути встановленонетількипрацездатністьтерміналу,однакможебутископійована його внутрішня пам’ять із метою її подальшого дослідження спеціалістом або експертом.. Якщо термінал виявився несправним, то необхідно перейти до дій за відповідною ситуацією..
Друга ситуація є найбільш сприятливою, дозволяє слідчому провести:
1) моніторинг вхідних дзвінків, отриманих після вилучення терміналу;
2) огляд навіть за відсутності відомостей щодо PIN карти та коду блокування терміналу..
Хоча в літературі існує думка щодо безпечності відключення терміналу відразу після його виявлення, однак слідчому не слід із
55
Тема № 3
цим поспішати.. Треба враховувати, що увімкнений термінал надає доступ практично до всієї важливої для слідчого інформації, а вимкнення терміналу може призвести до блокування самого пристрою або картки за PIN.. Код блокування пристрою не в усіх випадках може бути знятий програмними засобами без знищення інформації, що зберігається в терміналі.. Натомість розблокування SIM-карток програмними засобами на сьогодні є неможливим, а отримання відомостей щодо PIN або PUK від операторів мобільного зв’язку пов’язане з оформленням відповідних запитів.. Зазначене спричиняє суттєву втрату часу і не завжди приводить до бажаних результатів, особливо в разі направлення відповідного запиту закордонному оператору.. У випадках роботи із заблокованими картками, з яких стерто ознаки оператора, або клонованими картками, в яких Ki (Authentication Key / Ключ аутентифікації) записаний на носії сторонніх виробників, відновлення доступу до карток утруднене.. Отже, більш доцільним є забезпечення підзарядки акумулятора телефону із переведенням терміналу до автономного режиму, якщо для цієї моделі пристрою це не призведе до активації коду доступу – в цьому разі рекомендується поміщення терміналу до пакета (коробки) Фарадея..
Ситуація виявлення несправного або візуально ушкодженого терміналу потребує від слідчого особливої уважності.. При цьому слідчий має зібрати та належно упакувати усі складові терміналу незалежно від їхнього зовнішнього вигляду.. Оскільки термінал є складним багатокомпонентним пристроєм, різні системи якого можуть працювати незалежно одна від одної, слід розділяти повну та достатню працездатність терміналу.. Так, наприклад, механічне або електричне ушкодження радіотракту, відеопідсистеми або клавіатури не виключають збереження даних у терміналі.. Якщо повна працездатність мобільного телефону робить огляд більш зручним та швидким, то достатня працездатність може включати несправність екрана, частковий вихід з ладу клавіатури, відсутність фрагментів корпусу за збереження доступу до внутрішньої пам’яті терміналу.. Непрацездатний термінал має бути доведений до достатнього стану вже у лабораторних умовах, однак лише у разі впевненості спеціаліста у можливості збереження внутрішньої пам’яті пристрою..
56
Криміналістичні прийоми пошуку, виявлення
іфіксації інформації на електронних носіях
3.Попереднє техніко-криміналістичне дослідження комп’ютерів
Оскільки комп’ютери надзвичайно широко використовуються у повсякденному житті, різноманітним є й коло запитань, у вирішенні яких зацікавлені слідчі під час дослідження цього різновиду електронного носія інформації..
Комп’ютер можна розуміти в широкому сенсі – як будь-який електронний пристрій, споряджений процесором, оперативною й постійною пам’яттю, пристроями введення та виведення інформації.. Однак комп’ютер тут і далі розуміється у вузькому сенсі – як різноманітні електронні пристрої, що мають вигляд ноутбука або персонального комп’ютера..
Під час характеристики криміналістичного потенціалу комп’ютера необхідно враховувати як тактичні завдання, що стоять перед слідчим під час проведення слідчої (розшукової) дії, так і криміналістичний різновид злочину, що розслідується.. Отже, під час розслідування підробки документів, посадових і господарських злочинів слідчого цікавить відбиття документального сліду в комп’ютерній техніці.. У зв’язку з цим під час проведення слідчим обшуків, оглядів, призначення експертиз передусім мають бути досліджені комп’ютерні програми, що можуть використовуватися у веденні облікових операцій (1С, Парус, Microsoft Word, Microsoft Excel, програмне забезпечення власної розробки тощо), а також створені в них файли.. Програмне забезпечення власної розробки часто є складним у дослідженні та, як правило, використовує одну або декілька систем управління базами даних (СУБД).. Серед таких систем – MySQL, PostgreSQL, Oracle Database тощо.. Крім цього, для підробки складних елементів реквізитів документів можуть використовуватися растрові та векторні графічні редактори..
Під час розслідування злочинів, за якими сліди переважно ло-
калізуються на матеріальних носіях, інформація, що міститься в комп’ютерній техніці, цікавить слідчого дещо в іншому аспекті.. Сукупність слідів, що можуть бути виявлені за злочинами цієї категорії, випливає із прийомів використання комп’ютерів у способі злочину.. Так, комп’ютерна техніка та програмне забезпечення (наприклад, в соціальних мережах чи в програмах з обміну текстовими повідомленнями) мо-
57
Тема № 3
жуть застосовуватися, зокрема, для передавання погроз потерпілому, або у проведенні перемовин під час замовлення злочину, або для спілкування злочинців під час планування чи вчинення злочину тощо.. У низці випадків на комп’ютерах опиняються цифрові фотографії, відео– та звукозаписи механізму злочину в цілому або його частини..
Надзвичайний інтерес для слідчих полягає у встановленні введених до комп’ютера текстових даних.. Однак проведення пошуку текстової інформації на комп’ютері є вельми нетривіальним завданням, що має враховувати низку обставин, серед яких важливою є кодова сторінка операційної системи, оскільки саме вона визначає, в якому вигляді в пам’яті комп’ютера буде міститися певний текст, виконаний, наприклад, кирилицею.. У процесі експлуатації комп’ютера кодова сторінка операційної системи може бути змінена користувачем або шкідливим програмним забезпеченням, наприклад із метою приховання слідів злочину.. Саме через це під час попереднього дослідження комп’ютерів кириличний текст має шукатися у різних коду-
ваннях (UTF-8, OEM, IBM EBCDIC, ANSI, MAC, ISO тощо) за допо-
могою шістнадцяткових редакторів..
З урахуванням того, що навіть попереднє техніко-криміналістичне дослідження комп’ютерної техніки потребує належного ступеня володіння спеціальними навичками, необхідно рекомендувати залучення слідчим спеціалістів.. Підбір спеціаліста має здійснюватися відповідно до завдань, які необхідно буде вирішити під час проведення слідчої дії.. Це можуть бути спеціалісти в галузі: мережевих технологій, програмного (системного, прикладного) чи апаратного забезпечення тощо.. Слідчий повинен попередити спеціаліста про необхідність забезпечити збереження даних, наявних в обчислювальній техніці.. Кожна дія або комплекс дій спеціаліста, що можуть потягнути за собою знищення відомостей у комп’ютері, мають бути узгоджені зі слідчим..
В тому разі, якщо комп’ютер є носієм важливих відомостей, можна рекомендувати таку послідовність процедур під час слідчої дії:
–проведення фотозйомки екрана;
–перевірка наявності та відключення пароля заставки екрана, системного пароля, а також пароля BIOS;
–встановлення використання шифрування (окремих контейнерів, дисків, файлових систем), в разі використання – копіювання відомостей із зашифрованих носіїв;
58
Криміналістичні прийоми пошуку, виявлення
іфіксації інформації на електронних носіях
–визначення підключення мережевих дисків;
–фіксація віддалених вхідних/вихідних підключень;
–здійснення скріншоту списку запущених процесів;
–копіювання вмісту (дампу) оперативної пам’яті на флеш-носій;
–створення образу запам’ятовуючого пристрою – за необхідності.. Комп’ютери,щодоводитьсядосліджуватипідчаспроведенняслід-
чих (розшукових) дій, умовно можна розділити на найпростіші, що мають мінімальну конфігурацію, необхідну для роботи, й ускладнені.. Комп’ютери, ускладнені за конфігурацією, це, як правило, сервери, а також персональні комп’ютери, призначені для виконання спеціалізованих завдань.. У разі необхідності такі «ускладнені» комп’ютери бажано вилучати як є, тобто у виявленій конфігурації.. Це пов’язано з тим, що така комп’ютерна техніка часто обладнується декількома жорсткими дисками, які під керуванням засобів операційної системи або із використанням відповідних RAID-контролерів можуть працювати разом, зберігаючи, з метою оптимізації швидкості доступу, частини одного й того самого файла на декількох жорстких дисках.. Отже, вилучення комп’ютера у вихідній конфігурації забезпечить збереження апаратних налаштувань й полегшить наступне експертне дослідження таких систем..
Програмне забезпечення, що може застосовуватися під час попереднього техніко-криміналістичного дослідження комп’ютерів, умовно можна розділити на декілька груп – калькулятори хешів (HashTab, Rehash); шістнадцяткові редактори (WinHEX, wxHexEditor); дуплі-
катори даних (dd), аналізатори (зображень, баз даних, OLE-файлів); аналізатори апаратної конфігурації (Sisoft Sandra, HWiNFO); аналізатори мережі (Wireshark, Fiddler).. Також використовуються програмні комплекси, що об’єднують декілька функцій в одному інтерфейсі
(Forensic Toolkit, EnCase Forensic, Sleuth Kit)..
59