В рубрику "Информационная безопасность компьютерных сетей" | К списку рубрик | К списку авторов | К списку публикаций
Мы не можем отрицать важность, а порой и необходимость использования информационных технологий, которые плотно вошли в нашу повседневную жизнь. Компьютеры, мобильные телефоны различных видов и функциональности, умные гаджеты, облегчающие жизнь, бытовая техника и многое другое вне зависимости от вида, марки, модели собирают и накапливают в себе всю информацию за весь период использования. Следовательно, в них содержатся все без исключения сведения, связанные с преступной деятельностью субъекта.
Прежде чем приступать к процессуальному порядку собирания, проверки и оценки доказательств, следует остановиться на природе электронных доказательств. По мнению Н. Зигура, определить природу компьютерной информации – значит уяснить то общее, что свойственно ей как судебному доказательству, и то особенное, что отличает ее от других видов доказательств.1
Многие компьютеры и девайсы работают на одной из следующих операционных систем: Windows, IOS, Android или Linux. Во время работы каждая из этих систем постоянно обрабатывает множество различных процессов, принадлежащих как самой ОС, так и установленным программам. Для сохранения промежуточного или незаконченного результата своей деятельности все запущенные приложения создают временные файлы данных и активно пользуются ими. К примеру, в ОС Windows хранилищем временных файлов служит папка Temp. В ней могут оставаться дистрибутивы после установки каких-либо программ, фрагменты документов MS Word либо других документов или программ. Данная процедура базируется на специальном алгоритме, вложенном в ОС или программу, который активизируется при непосредственном использовании их со стороны пользователя.
На наш взгляд, следователь не должен зацикливаться на осмотре лишь ОС, он также должен провести осмотр браузера. Браузер, или Web-обозреватель, являясь прикладным программным обеспечением, предназначен для просмотра Web-страниц. В браузере, ОС или других прикладных программах накапливается большой объем информации, которая также может быть полезной при расследовании преступлений в сфере информационных технологий. В браузере, а также во второстепенных папках хранится различная информация.
Он содержит адреса и названия сайтов, которые посещал пользователь. Эта функция создана для удобства, чтобы в любой момент пользователь мог быстро найти сайт, который просматривал в прошлом, с указанием точного адреса каждой Web-страницы. Сведения в журнале могут служить неоспоримым доказательством того, что пользователь работал на данном компьютере и посещал тот либо иной Web-сайт.
Во время просмотра Web-страниц интернет-браузер автоматически скачивает содержимое вкладки (картинки, анимация, видео, скрипты) на жесткий диск компьютера. Все это делается для ускорения загрузки этих же страниц при повторных посещениях. Все эти картинки, анимация и другие визуальные объекты при следующих посещениях страниц будут загружаться на страницу уже не из Интернета, а с жесткого диска, что намного быстрее и экономнее. Полученные кэшированные данные также служат неопровержимым доказательством подтверждения вины подозреваемого. Если открыть каталог с кэшированными данными, то по характеру картинок, анимации и видео можно определить, какого рода сайты посещал пользователь.
Куки-файлы (Cookies) – это файлы, которые создаются посещаемыми вами Web-сайтами для хранения пользовательской информации, например настроек Web-сайта или данных о профиле. Куки-файлы применяются для сохранения данных на стороне пользователя, на практике обычно используется для:
Существует два типа файлов куки.
Основные файлы куки сохраняются непосредственно сайтом, адрес которого указан в адресной строке.
Сторонние файлы куки устанавливаются другими сайтами, содержание которых, например объявления или изображения, встроено в просматриваемую страницу. Также при некорректном выходе из каких-то персональных разделов на сайте (например, при некорректном выходе с персональной страницы в социальной сети) в файлах куки может остаться название учетной записи, адрес электронной почты и даже пароль пользователя сети (если пользователь согласился их сохранить).
Также по желанию пользователя браузер сохраняет вводимые имена учетных записей и пароли. Делается это для удобства: при частом посещении сайтов, требующих авторизации, вам не придется каждый раз вводить логины и пароли. Если пользователь отказывается от предоставленного удобства, браузер сохраняет лишь имя пользователя, вводимое при заполнении строки ввода.
Все описанные выше "следы" хранятся на жестком диске в виде различных файлов. И, поскольку они являются файлами, их можно удалять, но с помощью специальных программ, основная цель которых – восстановление удаленных файлов, удаленные "следы" можно восстановить.
Как уже говорилось выше, для работы в сети Интернет требуется уникальный адрес. Этими адресами служат IP-адрес и MAC-адреса. Функция MAC-адреса – это идентификация отправителя и получателя сети. Данный адрес хранится в сетевых адаптерах, персональных компьютерах, мобильных устройствах, Wi-Fi-роутерах и т.д. Эти адреса устройства регистрируются сперва провайдером сети, через которого осуществляется подключение в Интернет, и на сервере Web-сайта3. Кроме того, на сервере провайдера сети и Web-сайта фиксируются время, дата, геолокализация пользователя и список адресов Web-страниц.
Это файл с записями о событиях в хронологическом порядке:
Эта информация используется для анализа и оценки сайтов и их посетителей.
Таким образом, всякие оставленные следы создаются, передаются, хранятся и считываются только посредством использования информационных технологий или программ. Из чего следует, что среда, в которой хранятся эти следы, не привычна для восприятия человеку. По поводу следов, не обладающих свойствами непосредственного восприятия, В.Я. Дорохов пишет, что при этом теряются основные качества сигнала (быть переносчиком информации), а содержащаяся в них информация не включается в поле зрения органов расследования и суда4. В связи с этим необходимы специальные технические средства или программные обеспечения для воспроизведения обнаруженных следов и признания их в качестве доказательства. Обнаруженные следы, которые воспроизводятся с помощью специальных устройств или программ, фактически не могут быть признаны в качестве доказательства до их надлежащего процессуального оформления.
Улики собираются путем производства следственных и судебных действий. К сожалению, при расследовании преступлений в сфере информационных технологий обильность процессуальных действий теряет всякий смысл, так как все попытки сводится к одному – осмотру. Данной позиции придерживаются многие ученые-процессуалисты.
Осмотр места происшествия относится к первичным следственным действиям и допускается до возбуждения уголовного дела при наличии сведений, что именно в этом месте совершено преступление или находятся его следы5, что очень важно при расследовании преступлений в сфере информационных технологий. По мнению З.Ф. Ковриги, Н.П. Кузне, осмотр представляет собой следственное действие, состоящее в непосредственном обо зрении лицами, ведущими расследование, различных материальных объектов в целях выяснения обстановки совершения преступления, обнаружения и закрепления следов преступления, получения предметов, которые могут быть вещественными доказательствами, документов и установления иных обстоятельств, имеющих значение для уголовного дела6.
Практически тождественное представление о природе следственного осмотра сформировано и в криминалистике. Так, осмотр определяется как следственное действие, проводимое для непосредственного обнаружения и исследования объектов, имеющих значение для дела, их признаков, свойств, состояния и взаиморасположения7.
Полученные сведения и предметы в результате проведения осмотра могут быть использованы в качестве доказательств только после того, как они зафиксированы в соответствующих протоколах. Процедура составления протокола следственных действий направлена на обеспечение полноты и достоверности отражения в уголовном деле хода и результатов следственных действий соответственно специфике каждого их вида и конкретным условиям производства8. Ответственность за ведение протоколов в стадии дознания и предварительного следствия возлагается на следователя. Всяческое отступление от регламента ведения следственных действий приводит к недопустимости собранных доказательств.
По мнению В.Я. Дорохова, протокол осмотра предмета нельзя отнести к самостоятельному виду доказательств – протоколам следственных и судебных действий, имеющих свое содержание и форму с характерными для них особенностями. Его составление только для того и предназначено, чтобы зафиксировать чувственно наглядный вид предмета9. Н. Зигура в своем исследовании поддерживает мнение В.Я. Дорохова, отмечая, что протокол осмотра является способом лишь фиксации сведений, заключенных в компьютерной информации, а не формирования самостоятельного вида доказательств10.
Таким образом, электронные доказательства, найденные в компьютере или ином устройстве, собираются путем производства обыска, закрепления в протоколах, а после отдельным постановлением приобщаются к материалам уголовного дела. По мнению некоторых ученых, для получения адекватного представления о наблюдаемом электронном цифровом объекте и его реально существующих связях с событием преступления должен выполняться целый комплекс требований. В противном случае признавать доказательством полученную таким образом информацию будет нельзя, на что неоднократно обращали внимание ряд исследователей11.
По мнению В.А. Мещерякова, В.В. Трухачева, в обобщенном виде упомянутый комплекс требований, позволяющих говорить о возможности формирования из обнаруженных (искомых) электронных цифровых объектов доказательств, выглядит следующим образом12:
По нашему мнению, кроме упомянутых выше требований нужно добавить:
Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2017