Демин К.Е. - Криминалистическая техника
.pdf
дачами следует понимать установление информационнотехнологических условий образования определенной совокупности следов. Исходя из того, что установление состава преступлений, сопряженных с применением информационных средств и технологий, во многих случаях сопряжен с констатацией факта принадлежности программного продукта к вредоносным программам, установления контрафактного характера его происхождения и т.д. выделяют классификационные вопросы.
Практика свидетельствует о необходимости в ходе проведения следствия и разбирательства установить какие именно компьютерные и радиоэлектронные средства, а также их комплектующие использовались в подготовке, совершении и сокрытии того или иного противоправного деяния. Необходимо отметить, что современные информационные платформы, компьютерные или радиоэлектронные устройства могут выступать в ходе расследования уголовных дел в следующих формах:
—в качестве непосредственного объекта преступного посягательства (с целью преступного завладения компьютерами, системными блоками, принтерами, сканерами, сотовыми телефонами и т.д., а также с целью изменения, копирования или уничтожения хранящейся
вних информации);
—в роли орудия (средства) совершения преступления против собственности: посредством компьютерных операций в кредитнофинансовой сфере; путем непосредственного вторжения в конфиденциальную информационную базу через компьютерные сети; путем использования средств радио-мониторинга для выяснения кодовых групп устройств авто-сигнализаций и т.д.;
—как хранилище информации о фактических обстоятельствах совершенного преступления, содержащихся: на НЖМД, НГМД, ком- пакт-дисках, смарт-картах, RАID-массивах, настройках радиосканеров и средств радио-мониторинга; на элементах памяти; на платах в лазерных принтерах; на цифровых видеокамерах; на фотоаппаратах; сотовых телефонах и т.д.
Система криминалистического исследования электронных носителей информации как отрасли криминалистической техники подразделяется на общую и особенную часть. Первая включает в себя методологические основы рассматриваемой отрасли криминалистической
341
техники, в частности учение о виртуальных следах, о методах, об электронных документах и т.д. Особенную часть, исходя из объектов, предмета, результатов разработок методов и технических средств, используемых при исследовании отдельных видов КС, ИТКС, КРЭУ и перспектив развития целесообразно разделить на следующие составляющие:
Исследование электронных документов (ЭД) и электронных носителей данных (ЭНД), включающее в себя изучение закономерностей отражения индивидуализирующих признаков ЭД (например, для файла это: его название, величина, автор, время и дата создания время последнего изменения, расширение, путь к нему по древу каталогов, краткая характеристика информации, номер шрифта, установочные данные страницы и т.д.), а также исследование ЭНД как источников следовой криминалистически значимой компьютерной информации.
Исследование информационно-телекоммуникационных си-
стем (ИТКС), представляющее собой изучение закономерностей конструирования и функционирования систем, предоставляющих возможность общения, получения текущей информации о событиях в мире, непосредственного доступа к информационным порталам частных лиц, общественных и государственных организаций (так называемый режим ON-Line).
Исследование мобильных платформ сотовой связи заключает-
ся в исследовании закономерностей конструирования и функционирования систем беспроводных средств связи; систем персонального радиовызова — пейджинговых систем; ведомственных и транкинговых систем подвижной радиосвязи; бесшнуровой телефонии и т.п. в целях установления истины в судопроизводстве.
Исследование контрафактной продукции на оптических но-
сителях информации проводятся с целью установления факта подделки лицензируемой авторской продукции путем исследования технических и технологических средства защиты интеллектуальной собственности на ЭНД (криптография, специальные форматы представления данных, системы управления цифровыми правами и др.), а также установление оборудования, на котором изготавливались те или иные оптические носители — CD—DVD-диски, времени их изготовления.
342
Развитие данной области криминалистических знаний происходит в следующих приоритетных направлениях:
—расширение объектов данных исследований за счет получения доказательств, связанных с несанкционированным доступом в информационные системы; распространением детской порнографии через Интернет; перехватом данных и кражей оплаченного времени в ИТКС; преднамеренным распространением вирусов; мошенничеством с банкоматами и платежными системами; нарушением авторских и смежных прав в сфере системного программного обеспечения
иаудио-, видеоигровых носителей информации; фрикингом (мошенничеством в области компьютерной телефонии и мобильных платформ и платежей) и т.д.;
—развитие экспертно-информационных средств и платформ, также практикой и потребностями следственных и судебных органов. В настоящее время это компоненты, обеспечивающие аппаратную (техническую), программную («софт») и сетевую составляющие. Такое деление, на наш взгляд, охватывает технологические особенности
иэксплуатационные свойства объектов исследования.
8.2.Исследование электронных документов
иэлектронных носителей данных
Внастоящее время в экономической деятельности общества и государства очевидна тенденция перехода на безбумажные технологии, основанные на «электронном документообороте» (ЭДО).
Вкриминалистике существуют следующие классификации электронных документов (ЭД): по форме существования все электронные документы, существующие в компьютерной системе, подразделяются на материальные и виртуальные. Под материальным ЭД следует понимать любой объект, зафиксированный на электронном носителе, несущий информацию, имеющую смысловое значение и существующую только в электронной среде. Виртуальный ЭД — это документ, представляющий собой совокупность информационных объектов, создаваемую в результате взаимодействия пользователя с электронной информационной системой.
По источнику происхождения ЭД можно подразделить на создаваемые пользователем и компьютерной системой. Документы, созда-
343
ваемые пользователем, могут быть текстовыми, графическими, содержать звуковую или видеоинформацию и иметь форму файла, папки, каталога, программы и т.д. Сведения о сообщениях, передаваемых по сетям электросвязи, отражаются в специальных файлах регистрации событий (log-файлах), в которых протоколируется техническая информация, а также данные о системном техническом обмене.
По содержанию ЭД могут содержать текстовую информацию, графику, анимацию, фоноили видеоинформацию (определяется расширением файла), а также информацию в виде специальных машинных кодов.
По техническим характеристикам различают расширение фай-
ла, объем занимаемой им машинной памяти, дату создания и модификации, название файла. В данном случае основным классификационным параметром, позволяющим отнести ЭД к той или иной группе, является различная емкость, которую занимает ЭД в электронной памяти. Так, например, некоторые программы, которые также являются ЭД, могут занимать единицы килобайт, а информационные массивы в виде баз данных сотни гигабайт. Естественно, все это, оказывает влияние на продолжительность и тактику планируемых следственных действий.
По степени защищенности ЭД могут быть открытыми и закрытыми. Для защиты электронных документов существует большое количество специальных средств: ЭЦП документа, шифрование с помощью кримптоалгоритмов (стеганография), установление различных паролей доступа. К материальным носителям применяемым для фиксации электронных документов относятся разного рода и вида электронные носители данных. Особое место занимают ЭД, удаленные злоумышленником (например, изображения денежных купюр), и восстановленные полностью или частично в процессе их исследования.
В процессе поиска, обнаружения, фиксации и изъятия ЭД необходимо отражать индивидуализирующие его признаки (например, для файла это: его название, величина, автор, время и дата создания время последнего изменения, расширение, путь к нему по древу каталогов, краткая характеристика информации, номер шрифта, установочные данные страницы и т.д.). Электронные носители данных в криминалистическом понимании являются источниками следовой криминали-
344
стически значимой компьютерной информации. Поиск, обнаружение, и получение доступа к информации записанной на электронных носителях данных с ее последующим всесторонним исследованием с соответствующим процессуальным закреплением доказательственной информации, является квинтэссенцией раскрытия и расследования преступлений, сопряженных с применением информационных технологий, а также при исследовании информационной техники, которая использовалась злоумышленниками в их повседневной деятельности. Существует достаточно большой ассортимент ЭНД, различающихся между собой принципами чтения-записи информации, формфакторами, интерфейсом и конструктивными особенностями, массогабаритными параметрами, техническими характеристиками, емкостью, быстродействием, природой и материалом носителя, на который производится запись и выборка информации, используемыми алгоритмами записи и чтения данных, программной (дисковой) операционной системой и т.д.
Взависимости от конструктивных особенностей и функционального предназначения ЭНД разделяют на внешние, съемные и встроенные и предназначены как для временного так и для постоянного хранения данных. В любом современном электронном или радиотехническом аппарате обязательно содержатся элементы электронной памяти, которые в обязательном порядке должны быть обнаружены и исследованы на предмет поиска, анализа криминального события и криминологический характеристики личности (интересы, места частого посещения), Кроме того, исследование ЭНД может помочь установить: электронные адреса (ICQ, E-mаil, TCP/IP, пароли WAP и входа в Интернет), номера провайдера, номера мобильной связи, файлы и программное обеспечение самостоятельно созданное пользователем и входящее в сервисный пакет компьютерной системы (файлы регистрации событий (LOG), КЭШ-память, электронные шкалы и настройки частот сканеров и т.д.).
Вслучае, обнаружения ЭД на ЭНД проводят «зеркальное» (побайтовое) копирование электронного документа или всего ЭНД на инструментальный носитель, например, на аналогичный жесткий диск, компакт диск, флеш-карту, инструментальный переносной жесткий диск и т.д. Дальнейшее исследование «зеркальной копии» позволяет впоследствии проводить необходимые исследования ин-
345
формационных объектов, в том числе восстановление удаленных информационных данных.
8.3. Исследование информационно-телекоммуникационных систем
Сегодняшние информационно-телекоммуникационные системы (ИТКС) представляют собой новейшие технологические достижения, предоставляющие возможность общения, получения текущей информации о событиях в мире, непосредственного доступа к информационным порталам частных лиц, общественных и государственных организаций (так называемый режим online). Объектами криминалистических исследований ИТКС наряду с персональными компьютерами пользователей, подключенных к информационным ресурсам, являются также ресурсы юридического лица, поставщика сетевых услуг — провайдера Интернет, предоставляющего большой объем сервиса: электронную почту, электронные объявления, телеконференции, WWW-сервис, FTP— базы данных и пр.
КОМПЬЮТЕРНАЯ СЕТЬ — это совокупность компьютеров и периферийных устройств, обеспечивающих информационный обмен между соединенными между собой компьютерами.
Кабели подсоединяются к персональному компьютеру (ПК) через устройство называемое сетевой картой (адаптером), вставленный в слот расширения материнской платы. Модем (модулятордемодулятор) обеспечивает соединение и связь удаленных ПК посредствам цифровой передачи данных (ISDN), обеспечивающей высокую скорость и надежность передачи данных. Реализуется ISDN на оптических волоконных линиях или спутниковых каналах — перспективный путь развития беспроводных сетей Интернета. Программные средства, обеспечивающие подключение и связь с удаленным ПК в компьютерной сети, называют удаленным доступом, и в большинстве случаев обеспечивается операционной системой Windows. Существуют способы объединения нескольких сетей с помощью радиоканалов, например с помощью технологий soft Wi-Fi, разработанных фирмой Intel (США).
346
Криминалистические исследования информации, содержащейся в ИТКС, позволяют выделить целый ряд задач, направленных на диагностирование свойств и состояния настроек по подключению к сети; определение механизма и обстоятельств совершения криминального события по его отражению — информационным следам, в том числе и в регистрирующих файлах (так называемые LOG-файлы); выявление связи между использованием конкретных аппаратных средств и результатами их применения при работе в сети. Алгоритм решения данных задач можно представить в следующем виде:
выявление установок удаленного доступа к сети (настроек протокола TCP/IP1, конфигурации DNS2), установление параметров набора номера провайдеров, определение имени (login) и пароля (password) подключения к Интернет, проверка на наличие и анализ соответствующих скрипт-файлов (сценариев подключения);
выявление и анализ содержания имеющихся в компьютерной системе протоколов соединений удаленного доступа к сети, установления вида его организации (с помощью модема, proxi-сервера и т.п.);
выявление следов использования WWW-браузеров для работы
всети Интернет;
установление содержимого папок «Избранное» и «Журнал» WWW— браузеров (типичный браузер Internet Explorer3);
установление содержимого и атрибутов учетных записей, установленных удостоверений почтовых Internet-приложений (выявление собственных адресов e-mail, используемых почтовых серверов, установленных паролей); выявление содержимого адресной книги и содержимого локальных папок (входящей, исходящей, отправленной и пр.), (ти-
пичные почтовые клиенты — MS Outlook, Thunderbird и The BAT);
установление и анализ данных по использованию программ для персональной связи через Интернет; установление зарегистрированных номеров ICQ (UIN), пароля, выявление архива переговоров и анализ его содержания, выявление адресной книги.
1 Transmission Control Protocol/Internet Protocol — пакет протоколов управления передачей,
межсетевой протокол, используется для соединения компьютеров с интернетом.
2Domain Name System — технология, обеспечивающая присвоение имен доменов IP-адресам. Каждый узел в интернете имеет адрес доменного имени и IP-адрес
3Программа-браузер, которую разрабатывала корпорация Microsoft с 1995 по 2015 гг., входила в комплект операционных систем семейства Windows, вплоть до Windows 10 и обрела новое название Microsoft Edge.
347
Данный алгоритм решения задач расследования позволяет выделить две основных категории данных:
Во-первых, сведения о пользователе, включающие: имя, адрес, дату рождения, номер телефона, адрес поставщика услуг Интернет, адрес электронной почты, идентификационные признаки какого либо номера или счета используемого для производства транзакций, справочные данные, идентификационные данные юридического лица, перечень предоставляемых услуг или услуг, на которые подписался клиент, статический или динамический адрес, дополнительный адрес электронной почты и т.д.
Во-вторых, сведения о самом информационном потоке или сообщении, содержащие: первоначальный номер телефона, используемый для связи с LOG-файлом регистрации, данные интернет-сессии или сеанса связи, его время, продолжительность, скорость передачи сообщения, исходящие журналы интернет-связи включая тип используемых транспортных или телекоммуникационных протоколов и т.д.
Следует отметить, что в Конвенции о взаимной правовой помощи по уголовным делам между странами — участницами Европейского Союза, которая была принята Советом в соответствии со ст. 34 Договора об образовании Европейского Союза, в гл. 3 «Перехват телекоммуникаций» ст. 17—19 декларируется возможность доступа и перехвата телекоммуникаций странами — участницами в случае расследования ими уголовных дел.
Вобъектах исследования (системных блоках компьютеров) типичное телефонное Интернет подключение обусловлено установкой и настройкой следующих компонент:
— модем;
— протокол TCP/IP;
— служба доступа к удаленному серверу, которая позволяет подключаться к сети по телефонному каналу.
Воперационной системе MS Windows подобное подключение обеспечивается с помощью средства, называемого «удаленный доступ к сети» (Dial-Up Networking). Этот способ подключения к большинству поставщиков услуг сети Интернет с криминалистических позиций следообразования характеризуется наличием следующей совокупности диагностических признаков:
— имя пользователя (username, login, account) (по нему пользователя узнает компьютер поставщика услуг Интернет);
348
—пароль (password, passwd) (подтверждает, что именно определенный пользователь ввел свое имя);
—домен (domain);
—адреса DNS1 сервера.
—адрес почтового сервера SMTP (SMTP-server);
—имя пользователя для почтового сервера (host);
—адрес электронной почты;
—пароль для доступа к почтовому ящику (пароль для почтового сервера);
—модем и номера телефонов модемных пулов (номера телефонов для дозвона с целью подключения к узлу Интернет с помощью модема).
Одним из важных параметров подключения к сети Интернет является адрес IP2 — цифровой адрес пользователя в сети Интернет, который может быть постоянным, т.е. неизменяемым при подключении к узлу поставщика услуг сети Интернет, или временным, выдаваемым пользователю из списка свободных адресов при каждом новом сеансе подключения к узлу. Правильная диагностика зафиксирован-
ных в протоколах работы модема IP-адресов позволяет установить конкретного поставщика услуг Интернет. Протокол TCP/IP3 определяет собой пакетный способ передачи данных. В общем виде, протокол — это набор правил и стандартов, позволяющий осуществлять обмен информацией (данными) между компьютерами. Межсетевой протокол IP является универсальным сетевым стандартом в глобальных сетях. Однако он нередко применяется и в так называемых, составных сетях, использующих различные технологии передачи дан-
ных и соединяемые между собой посредством программ, называемых шлюзами4. Услуги по выделению новых IP-адресов бесплатны и осуществляются Cтенфордским международным научно-исследовательс-
ким институтом (Stanford Research Institute International) США. Уста-
новив IР-адрес, вычисляют конкретный компьютер в локальной сети,
1 DNS — Domain Name System — система доменных имен. Для вызова ресурсов «Всемирной сети» в виде стандарта доменной системы имен следует использовать протокол HTTP.
2IP — Internet Protocol — маршрутизированный, межсетевой протокол, позволяющий отдельные компьютерные сети объединить в всемирную сеть Интернет.
3TCP — Транспортный телекоммуникационный протокол
4Шлюз — специальная программа, выполняющие преобразование данных из форматов, принятых в локальной сети, в формат, принятый в Интернете, и наоборот.
349
а значит установить оперативными методами его содержимое, адрес его установки, владельца, сетевые реквизиты. Отметим, что сетевая карта или адаптер компьютера подключенного к сети имеет уникальный идентификатор, так называемый номер МАС, по которому сетевой администратор может идентифицировать компьютер, который работает в сети, что несомненно, имеет большую криминалистическую значимость, в случае расследования преступлений в сфере высоких технологий. Номер МАС можно определить и при использовании сетевым администратором программ-сканеров. Отметим, что арсенал средств, используемых администраторами сетевой безопасности, включает в себя использование программ-анализаторов протоколов (сниферов), позволяющих выявлять уязвимости сети, устанавливать номера IP, перехватывать сетевые сообщения и другие реквизиты, пароли и т.д.
8.4. Исследование мобильных платформ сотовой связи
В результате произошедшего технологического прорыва за последние годы появились системы беспроводных средств связи, системы персонального радиовызова (пейджинговые системы), ведомственные и транкинговые системы подвижной радиосвязи и т.п. Проблема массового внедрения данных систем в народное хозяйство была решена в результате появления концепции разбиения обслуживаемой территории на небольшие участки, которые стали называться сотами, которая предполагает, что каждая сота обслуживается передатчиком (базовой станцией cети — ВSS) с ограниченной мощностью и радиусом действия на фиксированной частоте, что позволяет без взаимных помех использовать ту же самую частоту повторно в другой соте. Сигнал от абонента, имеющего подвижную станцию MS (мобильная станция или сотовый телефон), принимается ближайшей сотой (BSS) и далее передается в центр обработки и коммутации сигналов (MSC). Централизованная обработка всех сигналов, полученных от разных BSS осуществляется также в центре коммутации подвижной связи (MSC). В настоящее время в России происходит развитие и становление следующих стандартов сотовой подвижной связи: аналоговые стандарты NMT-450i (диапазон 450 МГц), AMPS (системы с амплитудным разделением каналов, диапазон 800 МГц) и цифровые
350