Особенности противодействия преступлениям в сфере компьютерной информации

Несмотря на то, что киберпреступления – относительно новая криминальная угроза, с начала XXI в. они занимают лидирующее место среди общего числа преступлений и носят международный характер. Правовая среда выработала инструментарий борьбы с данными преступлениями.

Международный опыт Интерпола по борьбе с компьютерными преступлениями позволяет разделить все компьютерные преступления на шесть групп:

QA – несанкционированный доступ и перехват;

QD – изменение компьютерных данных;

QF – компьютерное мошенничество;

QR – незаконное копирование;

QS – компьютерный саботаж;

QZ – прочие компьютерные преступле-ния1.

Российское уголовное законодательство предлагает не столь развернутую классификацию преступных деяний, относящихся к компьютерным преступлениям. Кроме того, с точки зрения собирания доказательств по данной категории преступлений, совершенных с использованием современных коммуникационных устройств (смартфон, планшет, ноутбук, управляемый маршрутизатор и др.), речь идет о применении компьютерной техники, а информация, снятая с данных устройств, будет являться именно компьютерной информацией2.

Следовательно, обнаружение следов общения субъектов преступления 115 будет аналогично обнаружению следов по компьютерным преступлениям согласно существующей классификации электронно-цифровых следов, предложенной В.К. Гавло и В.В. Поляковым, исходя из четырехэлементной схемы: первым элементом считается сам субъект преступления. Второй – провайдер, обеспечивающий доступ в сеть Интернет. Третий состоит из шлюзов, через которые последовательно проходит информация. Четвертый элемент – ЭВМ либо иной объект преступного посягательства [1].

Для успешного противодействия указанным выше типам преступлений и принятия превентивных мер сотрудникам правоохранительных органов необходимы специализированные навыки по обнаружению следовых признаков состава преступления, оставшихся, в частности, на изъятой технике у подозреваемых или потерпевших.

В свою очередь, во избежание ответственности за совершаемое противоправное деяние злоумышленники скрывают следы своего преступления. К типичным приемам сокрытия следов преступления в настоящее время можно отнести приведенные ниже способы.

Удаленный доступ – процесс получения доступа к компьютеру через локальную или глобальную сеть. Наиболее популярные программы для удаленного доступа: R-admin, Teamviewer, удаленный рабочий стол (OS Windows). Преимуществом данного приема является то, что места совершения преступлений и объекты преступных посягательств не связаны территориально и не локализуются государственными границами. Удаленный доступ значительно снижает степень персонификации личности преступников и осложняет установление следовой картины таких преступлений.                 115

Использование виртуальных машин «Гипервизоров» – «программ, создающих среду функционирования для других программ (в том числе других гипервизоров) за счет имитации аппаратных средств вычислительной техники, управления данными средствами и гостевыми операционными системами, функционирующими в данной среде»3. Таким образом, создается «виртуальная инфраструктура: композиция иерархически взаимосвязанных групп виртуальных устройств обработки, хранения и/или передачи данных, а также группы необходимых для их работы аппаратных и/или программных средств». Популярные программы виртуальных машин: VirtualBox, VMWare, Hyper-V.

Преимуществом данного приема для злоумышленников является то, что осуществляется сокрытие конечного устройства. То есть в виртуальной машине имеется своя сетевая карта со своими сетевыми IP-адресом и MAC-адресом, благодаря чему следы конечного устройства будут находиться именно на работающей виртуальной машине, а не на компьютере, в котором виртуальная машина запущена. Реализуется независимость от физического устройства и возможность подключения сохраненного рабочего места на любом компьютере, где установлено программное обеспечение виртуальных машин. Если используется маршрутизация по выделенным MAC или IP-адресам к удаленным выделенным серверам, перенастраивать сетевые настройки на другом устройстве злоумышленника не требуется. Достаточно запустить, например, с флеш-карты сохраненную виртуальную машину.

Использование услуг сотовых операторов связи (облачная АТС, виртуальная АТС). Преимущество: использование 116 мощностей оборудования провайдера в любом регионе РФ; использование многоканальной связи; IP-телефонии; оборудования провайдера для массовых SMS-рассылок; многоканальных номеров для обзвона в автоматическом режиме базы данных абонентов по IP-телефонии. Возможность соединения абонентов, расположенных в разных географических местах, в одну АТС уже взята злоумышленниками на вооружение.

Шифрование данных на устройстве (OS Tails) – использование встроенного шифрования в операционной системе устройства и шифрации сетевого трафика. Операционная система, которая нацелена на сохранение конфиденциальности и анонимности, использует Интернет анонимно в любом месте и на любом компьютере, не оставляя следов. Сама ОS Tails может быть запущена на USB-носителе. К преимуществу такого способа сокрытия можно отнести низкую информативность снятой компьютерной информации с устройства, так как вся информация зашифрована [2].

Использование VPN. Виртуальная сеть VPN (Virtual Private Network) пред- ставляет собой частую сеть, созданную на базе уже существующих публичных сетей (локальных или корпоративных сетевых структур, сетей связи общего пользования, сети Интернет, сетей связи операторов связи). Благодаря средствам шифрования уровень доверия к построенной частной сети не зависит от уровня доверия к публичным сетям. Преимущество – маскировка IP-адреса устройства; при коммуникации конечное устройство получает IP-адрес из выделенного адресного пространства; весь трафик шифрованный.

Шифрование трафика устройства (использование луковичной маршрутизации – ТОR-браузер). Преимущество: нет возможности в полном объеме построить информационную обстановку на устройстве, то есть сопоставить информацию с устройства и его трафиком для ретроспективного построения запущенных 116 процессов, приложений, сетевых коммуникаций и интернет-запросов в связи с шифрованным трафиком; нет сохраненной истории запросов в TOR-браузере.

Выделенные сервера dedicated. Преимущество: вся связь идет через выделенный сервер, территориально находящийся в месте, отличном от локализации злоумышленника. В данном приеме удаленное соединение осуществляется через выделенный сервер, который территориально может находиться достаточно далеко, в том числе в другом государстве, что позволяет скрывать следы преступления за счет средств построения определенной маршрутизации с конкретных IP-адресов и по портам контрагентов.

Использование анонимайзеров (специальных прокси-серверов), маскирующих IP-адреса устройств и не сохраняющих информацию об осуществляемых соединениях в сети Интернет.

Смешанный (комбинации из вышеописанных типов). На практике многие из данных приемов осуществляются в сочетании, что дает еще больший эффект сокрытия механизма преступления.

Самый распространенный способ за последнее время – это шифрование. Шифруется вся информация у потерпевшего, скрываются способы проникновения и распространения самого вируса и времени заражения; попытки идентифицировать, с какого конечного оборудования произошла атака для дальнейшего установления лица, использовавшего данное оборудование в установленное время.

С помощью шифрования информации о преступлении реализуются попытки сокрытия самого факта совершения преступления – времени, места, способа. Затрудняется установление лиц, причастных к преступлению, определение роли каждого лица в преступлении, установление финансового вознаграждения за преступления, способ снятия финансовых средств, полученных преступным пу- 117 тем (Qiwi, Bitcoin, Яндекс.Деньги и т.д.). Для сокрытия связи между сообщниками используют шифрованные каналы с секретными чатами, удаляющие переписку после установленного времени [3].

Варианты реализации способов сокрытия следов рассмотрим на примере использования специализированного программного обеспечения. VPN (Virtual Private Network) – виртуальная частная сеть; OpenVpn – свободная реализация технологии VPN; Proxy – прокси-сервер, через который идет соединение клиента к запрашиваемому ресурсу; SSH (Secure Shell) – сетевой протокол, позволяющий производить удаленное управление компьютером и передачу файлов по шифрованному туннелю; использование протокола Socks, содержащего и скрывающего в себе транспортные протоколы TCP/IP и UDP/IP. SOCKS-сервера анонимны на уровне TCP/IP и UDP/IP просто невозможно передать дополнительную информацию, чтобы не нарушить работу протокола. Использование системы TOR-(The Onion Router) позволяет пользователям соединяться анонимно, обеспечивая передачу пользовательских данных в за- шифрованном виде. Применение программы TrueCrypt позволяет шифровать дисковое пространство рабочего места и создавать контейнеры для хранения информации [4].

Следующим средством сокрытия следов, ведущих к конечному коммуникационному устройству, является использование сервера-анонимайзера. Анонимайзер или веб-прокси — промежуточное звено между коммуникационным устройством (компьютером, смартфоном, планшетом) и сторонним сайтом. Анонимайзер заменяет информацию об устройстве на свой IP-адрес, что позволяет открыть доступ к заблокированным сайтам (так как IP-адрес изменен), сокрыть факт посещения какого-либо сайта. Данные сервера, как правило, располагаются в разных государствах, между которыми нет двухстороннего договора об обмене информацией. Для затруд- 117 нения обнаружения информации о конечном коммуникационном устройстве используют цепочку, созданную сервером-анонимайзером. Примером может служить HideMy.name.

Еще одним способом скрытия своего коммуникационного устройства является использование инструментов удаленного администрирования: RDP (Remote Desktop Protocol) – протокол удаленного рабочего стола; TeamViewer – удаленный доступ; Radmin – удаленный доступ к компьютерной сети. Вышеперечисленные инструментарии являются самыми популярными для удаленного доступа.

Остается популярным и способ использования одноразовых конечных устройств с нелегальными сим-картами. В данном случае уже идет речь о сокрытии информации о лицах, осуществляющих преступную деятельность.

Набирает популярность прием использования так называемых виртуальных телефонных номеров, используемых для принятия SMS, различных регистраций с подтверждением SMS-кода, голосового сообщения и т.д. На самом деле данные сим-карты стоят в пуле коммуникационного оборудования, а номера сим-карт сдаются в аренду.

Необходимо отметить использование IP-телефонии или VoIP (VoiceoverInternetProtocol) – это голосовая связь через Интернет. Данная связь применялась при массовых звонках о минировании административных зданий в России с 10 по 14 сентября 2017 года [5].

Эффект матрешки, операционная система в операционной системе, лежит в основе использования виртуальных машин и эмуляторов с целью сокрытия конечного коммуникационного устройства, а также файлов со значимой информацией. Загруженная виртуальная машина позволяет изменить информацию об IP-адресе, МАС-адресе конечного устройства, а также позволяет установить выше упомянутые инстру- 118 ментарии. Настройки виртуальной машины можно сохранить на любой носитель и использовать на другом компьютере с минимальной затратой времени, необходимого для подготовки рабочего места злоумышленника. Пример самых распространенных виртуальных машин: VMware, Oracle VM VirtualBox.

Использование методов сокрытия преступления ассоциируется с понятием высокотехнологичных способов совершения преступления в сфере компьютерной информации как полноструктурном преступлении, поскольку оно включает стадии подготовки к преступлению, самого его совершения и действий по сокрытию следов [6].

Имеющиеся в распоряжении авторов сведения позволяют говорить о тенденции размытия грани между высокотехнологичными способами совершения преступлениями и обычными ввиду массовости распространения «апробированных инструментариев» с подробными инструкциями по использованию и развитой технической поддержкой. Не последнюю роль в этом играет «разделение труда» при совершении компьютерных преступлений. Большим спросом на рынке пользуются услуги покупки-продажи баз данных логинов с паролями к почтовым аккаунтам, предложение проверки их актуальности (возможности входа с данной парой логин-пароль), услуги монетизации данных баз – проверка привязки денежных средств к данным аккаунтам с дальнейшей возможностью снятия денежных средств, услуги использования «денежных миксеров» на серверах обмена денежных электронных средств и др.

Сокрытие следов является сокрытием идентификационных признаков, указывающих на личность преступника. При проведении следственных действий по закреплению значимой информации по уголовному делу следователь сталкивается с трудностями, для преодоления которых необходимо решение ряда задач: установление идентификационных данных устройства злоумышленника по 118 информации соединения с устройством потерпевшего; определение по идентификационным данным устройства злоумышленника других потерпевших (при массовой рассылке); установление типа канала связи между устройством потерпевшего и устройством злоумышленника – прямой, опосредованный (посредниками могут быть не только сервисы, предоставляющие услуги связи, но и люди, посредством которых идет взаимодействие, находящиеся, например, в другом регионе, государстве); при опосредованном канале – отправка запросов всем посредникам по имеющимся идентификационным данным устройства злоумышленника для получения дополнительной идентификационной информации (IP-адреса, MAC-адреса, логины, время соединений, сведения о лице, на которого оформлен договор оказания услуг связи, оплата с какого расчетного счета проводилась по выставленным счетам за услуги связи и т.д.).

Полученная информация должна быть оформлена согласно требованиями статей 74 и 88 Уголовно-процессуального кодекса Российской Федерации – отно- симости, допустимости, достоверности, достаточности. Выявленное устройство, которое использовал злоумышленник, независимо от того, общественное оно или личное, должно быть изъято и направлено на экспертизу для подтверждения: идентификационной информации об устройстве, полученной ранее, а также наличия электронно-цифровых следов преступления на энергонезависимой и энергозависимой памяти устройства; нахождения посредников связи в государстве, с которым нет двустороннего договора об обмене информацией; использования злоумышленником всякий раз иного устройства; противодействия со стороны злоумышленника – сокрытие следов преступления; отсутствия у посредников связи механизма сохранения данных о соединениях или хранении информации о соединениях непродол-119 жительное время; затирания значимой информации в устройствах; отсутствия точного времени преступления или установления большого временного интервала, что приводит к увеличению объема исследования компьютерной информации на наличие значимой информации; отсутствия технической возможности снятия электронно-цифровых следов, приводящее к удалению или модификации снятой информации.

На практике при обыске все электронные носители изымаются для дальнейшего профессионального обследования экспертами. Но иногда в силу объективных причин (потеря информации при копировании, невозможность изъятия, сопряженное с претензиями пострадавших и т.д.) приходится на месте проводить осмотр электронного носителя со специалистами. Результаты осмотра электронного носителя следователем со специалистом могут существенным образом повлиять на дальнейший ход расследования. Проблемы использования результатов данного осмотра могут быть решены путем использования таких сертифицированных методик применения программных средств, которые позволяют обнаруживать и фиксировать компьютерную информацию в ходе следственных действий [7].                                   119

На наш взгляд, оптимальным вариантом хранения зафиксированной и изъятой информации является использование специальных хеш-функций электронно-цифровой подписи, гарантирующих неизменность изъятой информации на аттестованном оборудовании, или использование электронно-цифровой подписи экспертом при фиксации значимой информации.