Контакты
Подписка
МЕНЮ
Контакты
Подписка

Как осуществляется сбор киберулик

Как осуществляется сбор киберулик

В рубрику "Информационная безопасность компьютерных сетей" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Как осуществляется сбор киберулик

Мало кто задумывался, где и как мы оставляем наши следы. Следы могут быть как материального происхождения: след от обуви, отпечатки пальцев и т.д., так и виртуальные: история посещений в браузере, кэш-файлы, вспомогательные файлы, образующиеся от использования прикладных программ, и т.д. Если криминалистика на сегодняшний день детально изучила материальные следы, то виртуальные – на стадии исследования.
Богдан
Шкляревский
Ведущий специалист Центра обеспечения информационной безопасности, PhD of Engineering Sciences
Абдулазиз
Расулев
Самостоятельный соискатель кафедры “Уголовное право и криминология" Ташкентского государственного юридического университета
Шохрухбек
Собиров
Магистрант Ташкентского государственного юридического университета

Мы не можем отрицать важность, а порой и необходимость использования информационных технологий, которые плотно вошли в нашу повседневную жизнь. Компьютеры, мобильные телефоны различных видов и функциональности, умные гаджеты, облегчающие жизнь, бытовая техника и многое другое вне зависимости от вида, марки, модели собирают и накапливают в себе всю информацию за весь период использования. Следовательно, в них содержатся все без исключения сведения, связанные с преступной деятельностью субъекта.

В соответствии со статьей 81 Уголовно-процессуального кодекса Республики Узбекистан (далее по тексту УПК РУз) доказательствами по уголовному делу являются любые фактические данные, на основе которых в определенном законом порядке орган дознания, следователь и суд устанавливают наличие или отсутствие общественно опасного деяния, виновность лица, совершившего это деяние, и иные обстоятельства, имеющие значения для правильного разрешения дела.

Прежде чем приступать к процессуальному порядку собирания, проверки и оценки доказательств, следует остановиться на природе электронных доказательств. По мнению Н. Зигура, определить природу компьютерной информации – значит уяснить то общее, что свойственно ей как судебному доказательству, и то особенное, что отличает ее от других видов доказательств.1

Многие компьютеры и девайсы работают на одной из следующих операционных систем: Windows, IOS, Android или Linux. Во время работы каждая из этих систем постоянно обрабатывает множество различных процессов, принадлежащих как самой ОС, так и установленным программам. Для сохранения промежуточного или незаконченного результата своей деятельности все запущенные приложения создают временные файлы данных и активно пользуются ими. К примеру, в ОС Windows хранилищем временных файлов служит папка Temp. В ней могут оставаться дистрибутивы после установки каких-либо программ, фрагменты документов MS Word либо других документов или программ. Данная процедура базируется на специальном алгоритме, вложенном в ОС или программу, который активизируется при непосредственном использовании их со стороны пользователя.

На наш взгляд, следователь не должен зацикливаться на осмотре лишь ОС, он также должен провести осмотр браузера. Браузер, или Web-обозреватель, являясь прикладным программным обеспечением, предназначен для просмотра Web-страниц. В браузере, ОС или других прикладных программах накапливается большой объем информации, которая также может быть полезной при расследовании преступлений в сфере информационных технологий. В браузере, а также во второстепенных папках хранится различная информация.

Журнал посещений

Он содержит адреса и названия сайтов, которые посещал пользователь. Эта функция создана для удобства, чтобы в любой момент пользователь мог быстро найти сайт, который просматривал в прошлом, с указанием точного адреса каждой Web-страницы. Сведения в журнале могут служить неоспоримым доказательством того, что пользователь работал на данном компьютере и посещал тот либо иной Web-сайт.

Кэшированные данные

Во время просмотра Web-страниц интернет-браузер автоматически скачивает содержимое вкладки (картинки, анимация, видео, скрипты) на жесткий диск компьютера. Все это делается для ускорения загрузки этих же страниц при повторных посещениях. Все эти картинки, анимация и другие визуальные объекты при следующих посещениях страниц будут загружаться на страницу уже не из Интернета, а с жесткого диска, что намного быстрее и экономнее. Полученные кэшированные данные также служат неопровержимым доказательством подтверждения вины подозреваемого. Если открыть каталог с кэшированными данными, то по характеру картинок, анимации и видео можно определить, какого рода сайты посещал пользователь.

Куки-файлы

Куки-файлы (Cookies) – это файлы, которые создаются посещаемыми вами Web-сайтами для хранения пользовательской информации, например настроек Web-сайта или данных о профиле. Куки-файлы применяются для сохранения данных на стороне пользователя, на практике обычно используется для:

Улики собираются путем производства следственных и судебных действий. К сожалению, при расследовании преступлений в сфере информационных технологий обильность процессуальных действий теряет всякий смысл, так как все попытки сводится к одному – осмотру. Данной позиции придерживаются многие ученые-процессуалисты.
  • аутентификации пользователя;
  • хранения персональных предпочтений и настроек пользователя;
  • отслеживания состояния сеанса доступа пользователя;
  • ведения статистики о пользователях2.

Существует два типа файлов куки.

Основные файлы куки сохраняются непосредственно сайтом, адрес которого указан в адресной строке.

Сторонние файлы куки устанавливаются другими сайтами, содержание которых, например объявления или изображения, встроено в просматриваемую страницу. Также при некорректном выходе из каких-то персональных разделов на сайте (например, при некорректном выходе с персональной страницы в социальной сети) в файлах куки может остаться название учетной записи, адрес электронной почты и даже пароль пользователя сети (если пользователь согласился их сохранить).

Учетные записи и пароли

Также по желанию пользователя браузер сохраняет вводимые имена учетных записей и пароли. Делается это для удобства: при частом посещении сайтов, требующих авторизации, вам не придется каждый раз вводить логины и пароли. Если пользователь отказывается от предоставленного удобства, браузер сохраняет лишь имя пользователя, вводимое при заполнении строки ввода.

Все описанные выше "следы" хранятся на жестком диске в виде различных файлов. И, поскольку они являются файлами, их можно удалять, но с помощью специальных программ, основная цель которых – восстановление удаленных файлов, удаленные "следы" можно восстановить.

IP и MAC-адреса

Как уже говорилось выше, для работы в сети Интернет требуется уникальный адрес. Этими адресами служат IP-адрес и MAC-адреса. Функция MAC-адреса – это идентификация отправителя и получателя сети. Данный адрес хранится в сетевых адаптерах, персональных компьютерах, мобильных устройствах, Wi-Fi-роутерах и т.д. Эти адреса устройства регистрируются сперва провайдером сети, через которого осуществляется подключение в Интернет, и на сервере Web-сайта3. Кроме того, на сервере провайдера сети и Web-сайта фиксируются время, дата, геолокализация пользователя и список адресов Web-страниц.

Лог-файл

Это файл с записями о событиях в хронологическом порядке:

  • дата и время визита пользователя;
  • IP-адрес компьютера пользователя;
  • наименование браузера пользователя;
  • URL запрошенной пользователем страницы;
  • реферер пользователя.

Эта информация используется для анализа и оценки сайтов и их посетителей.

Сбор улик

Таким образом, всякие оставленные следы создаются, передаются, хранятся и считываются только посредством использования информационных технологий или программ. Из чего следует, что среда, в которой хранятся эти следы, не привычна для восприятия человеку. По поводу следов, не обладающих свойствами непосредственного восприятия, В.Я. Дорохов пишет, что при этом теряются основные качества сигнала (быть переносчиком информации), а содержащаяся в них информация не включается в поле зрения органов расследования и суда4. В связи с этим необходимы специальные технические средства или программные обеспечения для воспроизведения обнаруженных следов и признания их в качестве доказательства. Обнаруженные следы, которые воспроизводятся с помощью специальных устройств или программ, фактически не могут быть признаны в качестве доказательства до их надлежащего процессуального оформления.


Улики собираются путем производства следственных и судебных действий. К сожалению, при расследовании преступлений в сфере информационных технологий обильность процессуальных действий теряет всякий смысл, так как все попытки сводится к одному – осмотру. Данной позиции придерживаются многие ученые-процессуалисты.

Осмотр места происшествия относится к первичным следственным действиям и допускается до возбуждения уголовного дела при наличии сведений, что именно в этом месте совершено преступление или находятся его следы5, что очень важно при расследовании преступлений в сфере информационных технологий. По мнению З.Ф. Ковриги, Н.П. Кузне, осмотр представляет собой следственное действие, состоящее в непосредственном обо зрении лицами, ведущими расследование, различных материальных объектов в целях выяснения обстановки совершения преступления, обнаружения и закрепления следов преступления, получения предметов, которые могут быть вещественными доказательствами, документов и установления иных обстоятельств, имеющих значение для уголовного дела6.

Практически тождественное представление о природе следственного осмотра сформировано и в криминалистике. Так, осмотр определяется как следственное действие, проводимое для непосредственного обнаружения и исследования объектов, имеющих значение для дела, их признаков, свойств, состояния и взаиморасположения7.

Электронные доказательства, найденные в компьютере или ином устройстве, собираются путем производства обыска, закрепления в протоколах, а после отдельным постановлением приобщаются к материалам уголовного дела. По мнению некоторых ученых, для получения адекватного представления о наблюдаемом электронном цифровом объекте и его реально существующих связях с событием преступления должен выполняться целый комплекс требований. В противном случае признавать доказательством полученную таким образом информацию будет нельзя.

Полученные сведения и предметы в результате проведения осмотра могут быть использованы в качестве доказательств только после того, как они зафиксированы в соответствующих протоколах. Процедура составления протокола следственных действий направлена на обеспечение полноты и достоверности отражения в уголовном деле хода и результатов следственных действий соответственно специфике каждого их вида и конкретным условиям производства8. Ответственность за ведение протоколов в стадии дознания и предварительного следствия возлагается на следователя. Всяческое отступление от регламента ведения следственных действий приводит к недопустимости собранных доказательств.

По мнению В.Я. Дорохова, протокол осмотра предмета нельзя отнести к самостоятельному виду доказательств – протоколам следственных и судебных действий, имеющих свое содержание и форму с характерными для них особенностями. Его составление только для того и предназначено, чтобы зафиксировать чувственно наглядный вид предмета9. Н. Зигура в своем исследовании поддерживает мнение В.Я. Дорохова, отмечая, что протокол осмотра является способом лишь фиксации сведений, заключенных в компьютерной информации, а не формирования самостоятельного вида доказательств10.

Таким образом, электронные доказательства, найденные в компьютере или ином устройстве, собираются путем производства обыска, закрепления в протоколах, а после отдельным постановлением приобщаются к материалам уголовного дела. По мнению некоторых ученых, для получения адекватного представления о наблюдаемом электронном цифровом объекте и его реально существующих связях с событием преступления должен выполняться целый комплекс требований. В противном случае признавать доказательством полученную таким образом информацию будет нельзя, на что неоднократно обращали внимание ряд исследователей11.

По мнению В.А. Мещерякова, В.В. Трухачева, в обобщенном виде упомянутый комплекс требований, позволяющих говорить о возможности формирования из обнаруженных (искомых) электронных цифровых объектов доказательств, выглядит следующим образом12:

  • корректность фиксации основных событий (формирования необходимого электронного цифрового объекта) в исследуемой компьютерной системе (правильно установленное системное время компьютерной системы, надлежащим образом корректно настроенная процедура записи требуемого набора событий в системные журналы);
  • корректность передачи искомых электронных цифровых объектов к месту хранения/архивирования;
  • корректность обработки искомых электронных цифровых объектов в принимающей компьютерной системе;
  • неизменность хранения искомых электронных цифровых объектов до момента их обнаружения;
  • корректность процедуры копирования искомых электронных цифровых объектов;
  • неизменность хранения искомых электронных цифровых объектов после копирования до их соответствующего исследования;
  • корректность интерпретации связи искомых электронных цифровых объектов с событием преступления.

По нашему мнению, кроме упомянутых выше требований нужно добавить:

  • обязательное участие понятых, следователя, подозреваемого, специалиста (либо эксперта), при необходимости переводчика;
  • обязательное использование специальных прикладных программ и технических средств для поиска, обнаружения и передачи электронных цифровых объектов;
  • корректное фиксирование процедуры поиска, обнаружения и передачи электронных цифровых объектов при помощи "экранной камеры";
  • криптографическая защита обнаруженных электронных цифровых объектов до момента проведения компьютерно-технической экспертизы;
  • надлежащее упаковывание и опечатывание (DVD-R, USB, HDMI, VGA, AUX, порт сетевого подключения, порт подключения кабеля питания и т.д.).
___________________________________________
1 Зигура Н.А. Природа компьютерной информации как доказательства // Вестник ЮУрГУ. – Серия: Право. – 2009. – № 28 (161).
2 https://ru.wikipedia.org/wiki/HTTP_cookie.
3 https://ru.wikipedia.org/wiki/MAC-адрес.
4 Дорохов В.Я. Указ. соч. – С. 109.
5 Уголовно-процессуальный кодекс Республики Узбекистан. – Ведомости Верховного Совета Республики Узбекистан, 1995 г. – № 2.
6 Уголовный процесс России: учебное пособие / под редакцией З.Ф. Ковриги, Н.П. Кузнецова. – Воронеж: Воронежский государственный университет, 2003. – С. 217.
7 Белкин Р.С. Криминалистическая энциклопедия. – М.: Мегатрон XXI, 2000. – С. 50.
8 Пьянзина Е.В. Оценка доказательств с точки зрения надлежащего порядка проведения и оформления следственных действий // Вестник ЮУрГУ. Серия: Право. – 2012. – № 20 (279).
9 Дорохов В.Я. Указ. соч. – С. 110.
10 Зигура Н.А. Природа компьютерной информации как доказательства // Вестник ЮУрГУ. – Серия: Право. – 2009. – № 28 (161).
11 Какие ваши доказательства [Электронный ресурс]. – URL: http://spektisec.ru/kakie-vasji-dokaza- telstva.htm.
12 Мещеряков В.А., Трухачев В.В. Формирование доказательств на основе электронной цифровой информации // Вестник ВИ МВД России. – 2012. – № 2. URL: http://cyberleninka.ru/article/n/formirovanie-dokazatelstv-na-osnove-elektronnoy-tsifrovoy-informatsii (дата обращения: 16.02.2017).

Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2017

Приобрести этот номер или подписаться

Статьи про теме