Проблематика виртуального следа в цифровой криминалистике

В современном информационном обществе все чаще для совершения преступлений используются информативнокоммуникационные устройства, которые становятся и орудиями, и средствами их совершения. Особенность электронных средств заключается в том, что они хранят и даже накапливают в себе следы и улики преступлений. Актуальность проблематики данного вопроса заключается в том, что технические средства и интеграция преступлений именно в эту сферу настолько динамичны, что криминалистика не всегда может гибко отреагировать на активные проблемы правоприменительной практики. Именно поэтому до сих пор в разработке находятся теории, так называемой, цифровой или компьютерной криминалистики.

Цифровая криминалистика определяется в большинстве теорий как отрасль криминалистики, которая направлена на изучение, обнаружение, фиксацию, а также дальнейшее использование в раскрытии и расследовании преступлений цифровых следов, которые образуются непосредственно в ходе совершения преступлений в «виртуальном мире» [1].

Данная отрасль включает в себя компьютерные средства и информацию, ПО, мобильную связь и информацию хранящуюся в облачном пространстве. Для раскрытия преступлений, относящихся к области цифровой криминалистики необходимо провести обнаружение, фиксацию, в том числе и изъятие следов, которые несут собой доказательственное значение. Так, данные следы в формирующихся теориях принято называть «виртуальными». Эти следы могут как передаваться по определенным каналам связи, так и оставаться на любых электронных носителях.

Проблематика заключается именно в том, что же представляют собой виртуальные следы и чем они отличаются от всем известных следов преступлений. Виртуальные следы - это сведения о перемещении информации по электросвязи или, иначе говоря, это «сведения о сообщениях, передаваемых по сетям электрической связи» [2]. Так же сведения могут сохраняться у провайдеров (поставщиков услуг связи), к ним можно отнести: звонки между абонентами, обмен текстовыми сообщениями, либо данные о потоках информации.

Рассматривая феномен виртуального следа необходимо выделить его специфику, отличающую от иных следов в криминалистике. Так, виртуальный след не имеет цвета, запаха, у него нет определенной геометрической формы, всего того, что позволяло традиционно выявить некоторые черты преступника, включающие в себя ДНК, особый запах или папиллярный узор [3].

Именно это и составляет проблему при определении владельца устройства, с которого был оставлен след, то есть, человек, взламывающий какой-либо сайт, может сделать это с любого устройства. Чаще всего, расследование компьютерных преступлений имеет определенную логическую цепочку от следа до лица, совершившего преступление. Так, например, если сигнал посещения того или иного сайта с определенного устройства сохранился в интернет пространстве, то логическая цепочка расследования преступления приведет нас к IP-адресу, т.е. уникальному сетевому адресу узла в компьютерной сети, построенной на основе стека протоколов. Однако преступники чаще всего тщательно скрывают свою личность, используя общественные устройства, приобретают номера телефонов, зарегистрированные под чужим именем и т.д.

Изъятие чаще всего является одним из условий выявления и исследования компьютерной информации. Изъятию подлежит как жесткий диск, так и иные компьютерные средства, которые могут нести в себе виртуальные следы даже в случае блокировки или попытке уничтожения информации, так основная часть информации уже могла уйти в облако и продолжать храниться именно там [4].

Любые действия, проводимые с техническими устройствами отражаются в памяти данного устройства, то есть составляют мета-данные. К мета-данным принято относить действия от включения устройства, до его выключения, включая работу в интернете, с файлами (удаление, создание, переименование), которые отображают время и дату их создания [5].

В теории классификация видов виртуальных следов еще находится в разработке. Но на современном этапе выделяются следующие:

• 1)    структурные и внешние файловые следы;

• 2)    стабильные и временные следы;

• 3)    локальные и сетевые и т.д.

Для проведения различных операций с виртуальными следами используют два вида технических средств: общеупотребительные и специализированные. К первому виду относятся программы, которые могут быть известны даже среднестатистическому пользователю, например, для просмот- ра содержимого дисков в операционных системах Windows широко используется стандартная оболочка для работы с файлами – Explorer, а также ряд специализированных прикладных программ (например, «Архивариус 3000»). В процессе исследования крайне важно сохранить виртуальны следы в неизменном виде, особенно при работе с общеупотребительными средствами, чтобы в дальнейшем можно было проводить повторные исследования. В случае, если таким способом информацию в неизменном виде извлечь и работать с ней не предоставляется возможным, то необходимо прибегнуть к использованию специализированных средств. В экспертную деятельность внедряются программно-аппаратные комплексы, позволяющие комплексно решать целый ряд задач по исследованию компьютерной информации и техники (например, EnCase, Forensic IPC, UFED, XRY, Мобильный криминалист) [6].

На сегодняшний день почти у каждого человека в использовании находится хотя бы одно техническое средство, которое в любой момент может стать средством и орудием совершения того или иного преступления. С этим связано и то, что на данный момент виртуальные следы превышают материальные в экспертной деятельности. Именно поэтому так важно развивать средства работы с виртуальными следами, повышать опыт и квалификацию экспертов, работающих с информационными потоками с помощью инновационных средств фиксации и изъятия следов.