Программные технико-криминалистические средства как основа современной методики расследования преступлений в сфере компьютерной информации

Уфимский университет науки и технологий, Уфа, Россия, , 1

Ufa University of Science and Technologies, Ufa, Russia, ,

Введение. С точки зрения уголовно-процессуального законодательства поиск, фиксация и изъятие цифровых следов производятся в ходе таких следственных действий как следственный осмотр, обыск и выемка, при которых непосредственно компьютерную информацию невозможно изъять, но можно осуществить ее копирование. Чтобы эффективно провести собирание, фиксацию, оценку или копирование цифровых доказательств необходимо не только наличие специальных знаний, но и применение специальных технических средств. В целях снижения временных и трудовых затрат при расследовании преступлений в сфере компьютерной информации, неоправданного назначения компьютернотехнических экспертиз, важно понимать, где и какие цифровые доказательства целесообразно искать, как их фиксировать и, соответственно, с помощью каких средств осуществлять их копирование и последующую оценку.

С целью подтверждения вышеуказанного необходимо рассмотреть особенности фиксации цифровых доказательств на электронных носителях данных и возможности расследования преступлений в сфере компьютерной информации с применением программных технико-криминалистических средств в виде отечественных и зарубежных решений.

Особенности фиксации цифровых доказательств на электронных носителях информации. Обнаружение цифровых следов преступлений является поисковой деятельностью следователя, которая направлена на собирание доказательственной и ориентирующей криминалистически значимой информации, что возможно с использованием различных технических устройств (компьютерных, мобильных и пр.), а также программных технико-криминалистических средств. Под фиксацией цифровых доказательства предполагается сохранение фактических данных, находящихся в электронной форме, которое осуществляется в следующем порядке [1, c. 108]:

производится трансформация доказательственных электронных данных, содержащихся на электронном носителе информации, в форму, доступную для восприятия ее человеком;

устанавливаются сведения о носителе информации, на котором найдена криминалистически значимая компьютерная информация, владелец носителя, возможность передачи данных, хранящихся на нем, операционная система устройства с установленным накопителем, файлы и каталоги данных, в которых найдены доказательства, а также сведения об их создании или изменении;

обеспечивается фильтрация значимых данных о событии преступления из массива всех имеющихся сведений на носителе информации, выявление способов их получения, а также сохранение доказательственной информации для неоднократного ее использования в процессе доказывания, например, в процессе судебно-экспертного исследования, предъявления как доказательства в ходе допроса и т. д. [2, c. 18] путем фотографирования (формирования скриншота) экрана с выведенной криминалистически значимой компьютерной информацией;

криминалистически значимая компьютерная информация изымается вместе с носителем информации, либо создается клон носителя, в случае, когда его изъятие невозможно или нецелесообразно.

Цифровые доказательства находятся в сложных формах, обусловленных структурой носителя информации [3, c. 41], соответственно, работа с ними осуществляется в рамках процессуальных действий, к производству которых, как правило, привлекаются специалисты. Так, в соответствии с ч. 2 ст. 164.1 Уголовно-процессуального кодекса Российской Федерации (далее – УПК РФ), при производстве обыска или выемки, в ходе которых планируется изъятие компьютеров или иных носителей компьютерной информации, необходимо участие специалиста, обладающего специальными знаниями в области компьютерной техники, средств связи и передачи цифровой информации [4, c. 170]. Носителем компьютерных данных на международном уровне признается электронный но- ситель информации, представляющий из себя любой предмет или материал, с которого можно воспроизводить информацию с помощью или без помощи какого-либо устройства1. Действующая в настоящее время процедура изъятия носителя информации сопряжена с рядом трудностей и не всегда обеспечивает достаточную эффективность, а допустимость электронных доказательств в значительной степени определяется участием при обыске и выемке компьютерной информации специалиста. Однако данный факт все чаще вызывает сложности у практических работников и обширные дискуссии в научных кругах2. Сторонники обязательного привлечения специалиста указывают на его роль в предотвращении утраты или искажения изымаемой информации [5, c. 81; 6, c. 23; 7, c. 82]. Ряд исследователей считают требование, закрепленное ч. 2 ст. 164.1 УПК РФ, избыточным [8, c. 66; 9, c. 18; 10, c. 13], аргументируя это ограничением процессуальной самостоятельности следователя, усложнением организационных мероприятий при подготовке и проведении следственных действий, увеличением затрачиваемого на уголовное судопроизводство времени. Придерживаясь второй позиции, необходимо отметить, что имеется ряд ситуаций, когда участие специалиста безусловно обязательно, например, в случае изъятия энергозависимых носителей или вмешательства в конструкцию сложных технических средств. При этом очевидно, что при изъятии съемных носителей информации участие специалиста не требуется, поскольку достаточно лишь их герметичного упаковывания.

Сложность исследования электронных носителей информации зависит от его вида. Наиболее просты в работе объекты, не имеющие функций, ограничивающих к ним доступ, в отличие от мобильных средств связи [11, c. 2] и компьютеров. Стоит отметить также сложности, возникающие при осмотре IoT-устройств, а также удаленно расположенных носителей данных (веб-ресурсов), облачных хранилищ, распределенных реестров, аппаратных криптокошельков [12, c. 72], сетей с туннелированием [13, c. 105] и т. п. объектов и сред, которые могут потребовать участия в раскрытии и расследовании не только специалистов Управления по организации борьбы с противоправным использованием информационно-телекоммуникационных технологий, но и дополнительного привлечения сотрудников специализированных компаний в сфере информаци- онных технологий. Кроме того, требование участия специалиста при производстве копирования изымаемой информации в ходе производства следственных действий представляется оправданным, поскольку это объясняется необходимостью отождествления изъятой и скопированной информации. По этой причине предполагается рациональным закрепление за следователем права, но не обязанности привлечения специалиста при изъятии электронных носителей информации, исходя из собственных компетенций [14, c. 420] (в зависимости от реальной необходимости в использовании специальных знаний при проведении следственных действий). Если в ходе следственных действий не проводится исследование информации, содержащейся на носителе, как, например, в случае его осмотра или копирования информации, то решение вопроса об участии специалиста вполне может осуществляться следователем (дознавателем) самостоятельно в порядке, предусмотренном ст. 168 УПК РФ [15, c. 48].

Обращение с простыми электронными носителями информации, например, USB-накопителями, является на сегодняшний день бытовым навыком [16, c. 67], по этой причине, целесообразным представляется следующее дополнение ч. 2 ст. 164.1 УПК РФ: «Энергозависимые электронные носители информации подлежат изъятию с обязательным участием специалиста. В иных случаях специалист привлекается по усмотрению следователя при отсутствии у последнего компетенций, исключающих риск повреждения, модификации или уничтожения данных. Изъятие или копирование информации сопровождается видеозаписью, за исключением ситуаций изъятия энергонезависимых носителей без исследования их содержимого».

Рассматриваемая проблема также требует учета современных технологических вызовов, включая распространение облачных хранилищ и IoT-устройств, не подпадающих под традиционное понимание электронного носителя информации и совершенствования системы подготовки следователей в области цифровой криминалистики. Дополнительно следует рассмотреть вопрос о разработке рекомендаций по изъятию цифровых доказательств, адаптируемых к изменяющимся условиям технического прогресса, а также провести комплексный обзор существующих в настоящее время программных техникокриминалистических средств, которые можно использовать при расследовании преступлений в сфере компьютерной информации.

Отечественные и зарубежные технико-криминалистические средства, используемые при расследовании преступлений в сфере компьютерной информации. Так, в отношении неправомерного доступа к компьютерной информации (ст. 272 УК РФ) программные технико-криминалистические средства позволяют автоматизировать собирание доказательств, проводить анализ носителей данных (программное обеспечение «Мобильный криминалист (десктоп, эксперт, эксперт плюс)»31, «Elcomsoft Premium Forensic Bundle»42, «Sleuth Kit», «Autopsy», «Caine», «HDDScan» и пр.), исследовать метаданные («jExifToolGUI», «Metadata», «ExifTool» и др.), идентифицировать факт несанкционированного доступа («SQL Forensics», «DB Shield» и пр.), восстановить удаленную информацию («EnCase» и «FTK Forensic Toolkit», «PC-3000»53), зафиксировать сетевой трафик (программное обеспечение «TcpDump», «Wireshark», «Zeek»), а также сформировать журнал событий и активности злоумышленника («IBM QRadar», «Splunk» и др.). Использование указанного программного обеспечения позволяет автоматизировать и ускорить поиск и исследование цифровых доказательств, сводя к минимуму человеческий фактор. Тем не менее, интерпретация полученных данных зачастую требует экспертных знаний, что во многом зависит от полноты исходных данных по делу.

В рамках расследования незаконного использования, передачи, сбора и хранения компьютерной информации, содержащей персональные данные граждан (272.1 УК РФ), программные технико-криминалистические средства могут обеспечивать фиксацию утечек конфиденциальных сведений (программное обеспечение «Maltego», «SpiderFoot», «Symantec Data Loss Prevention», «Have I Been Pwned» и др.), в том числе запрещенных к распространению данных (поисковая система «Seus»)⁶ 4 , выявление маршрутов передачи данных («Wireshark» и др.), мониторинг трафика, в том числе выявление продаж баз данных с персональными данными в сети даркнет («Darknet Tracer», «CipherTrace» и пр.), и предотвращение утечек информации

(DLP-системы (от англ. «Data Loss Prevention» – предотвращение утечки данных) Symantec, InfoWatch и пр.). Преимуществами использования указанного программного обеспечения являются возможность анализа значительных объемов данных, мониторинга подозрительной активности в реальном времени, высокая эффективность выявления мест хранения скомпрометированных данных, автоматизация поиска утечек конфиденциальных сведений на теневых рынках. При этом недостатками являются высокая вычислительная нагрузка, вероятность ошибок при автоматизированном анализе, а также риск нарушения конфиденциальности при обработке персональных данных.

В отношении создания, использования и распространения вредоносного программного обеспечения (ст. 273 УК РФ) программные техникокриминалистические средства позволяют исследовать вредоносный код, например, идентифицируя способы его распространения и алгоритмы исполнения (программное обеспечение «IDA Pro», «OllyDbg», «Ghidra», «VirusTotal» и пр.), проводить динамический анализ и эмуляцию поведения вирусов («Cuckoo Sandbox», «Any.Run» и пр.), фильтровать подозрительный трафик («Snort», «Suricata» и пр.) и фиксировать вредоносную активность («Kaspersky», «Symantec», «McAfee» и пр.). Преимуществами использования вышеуказанных средств являются высокая точность в определении функционала вредоносных программ, обновляемые базы данных сигнатур, автоматизированное обнаружение новых угроз и возможность отслеживания цепочек их распространения.

В целях обнаружения нарушений правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационнотелекоммуникационных сетей (ст. 274 УК РФ) используются программные технико-криминалистические средства: средства, фиксирующие действия пользователей и системных администраторов (программное обеспечение «QRadar», «ArcSight» и пр.); средства централизованного мониторинга нарушений требований информационной безопасности и фактов несанкционированного доступа или неправильной эксплуатации программного обеспечения («Solar Dozor», «Snort», «Suricata» и пр.); средства выявления уязвимостей в сетевых устройствах («Nessus», «OpenVAS»), средства анализа журналов событий и изменения программ («AlienVault», «ArcSight», «Graylog», «LogRhythm» и пр.). Несмотря на все преимущества использования указанных средств и возможность предотвращения инцидентов информационной безопасности общим их недостатком являются трудоемкость сбора и интерпретации данных. В целях выяснения обстоятельств, связанных с нарушением правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационнотелекоммуникационных сетей (ст. 274 УК РФ), программные техникокриминалистические средства также позволяют осуществлять мониторинг и анализ сетевого трафика, отслеживание производительности сети (программное обеспечение «Wireshark», «Network Miner», «SolarWinds Network Performance Monitor»), обнаруживать вредоносную активность («IDA Pro», «OllyDbg»,

«Ghidra», «VirusTotal» и пр.), восстанавливать удаленные или поврежденные данных с носителей информации с последующим их анализом («Elcomsoft Premium Forensic Bundle», «PC-3000», «Sleuth Kit», «Autopsy», «Caine», «HDDScan» и пр.), исследовать метаданные («jExifToolGUI», «Metadata», «ExifTool» и др.), проводить аудит управления учетными записями (средства автоматизации управления доступом «IDM» (от англ. «identity management» - управление идентификацией), «IAM» (от англ. (identity and access management» - управление идентификацией и доступом) и «IGA» (от англ. «identity governance & administration» - управление идентификацией и ее администрированием), а также формировать журнал событий и активности злоумышленника («IBM QRadar», «Splunk» и др.). Помимо указанного непосредственно субъектами критической информационной инфраструктуры Российской Федерации, может применяться иное вспомогательное программное обеспечение, позволяющее идентифицировать нарушения правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей, а также расследовать инциденты информационной безопасности.

В отношении неправомерного воздействия на объекты критической информационной инфраструктуры Российской Федерации (ст. 274.1 УК РФ) программные технико-криминалистические средства, например, могут обеспечить обнаружение атак на промышленные системы (программное обеспечение «Wireshark», «Tofino Xenon», «Radiflow», «Nozomi Networks» и пр.), мониторинг сетевого трафика и выявление аномалий в режиме реального времени («Splunk», «ELK Stack», «NetFlow» и пр.), анализ трафика и журналов событий («IBM X-Force», «FireEye» и пр.).

В целях выявления нарушений правил централизованного управления техническими средствами противодействия угрозам устойчивости, безопасности и целостности функционирования на территории Российской Федерации информационно-телекоммуникационной сети «Интернет» и сети связи общего пользования (ст. 274.2 УК РФ) программные средства могут позволить, например, выявлять нарушения при управлении интернет-трафиком (программное обеспечение «Суверенный Рунет», «NetWitness», «Deep Packet Inspection», «BGPmon», «RIPEstat» и пр.), проводить аудит управления учетными записями (средства автоматизации управления доступом «IDM», «IAM» и «IGA»), проводить расследования инцидентов и отслеживать запрещенные ресурсы, контролировать доступ к ресурсам («Ревизор», «FireEye SORM», «Farsight Security», «Cisco Umbrella», «Palo Alto» и пр.).

Таким образом, применение специализированных программных техникокриминалистических средств является основой современной методики расследования преступлений в сфере компьютерной информации, которая обеспечивает оперативное выявление и анализ инцидентов в режиме реального времени, восстановление и реконструкцию цифровых следов с высокой точностью, интеграцию данных из различных источников и уровней инфраструктуры. Приведенный перечень средств не является исчерпывающим, однако позволяет показать широту их потенциала в расследовании преступлений в сфере компьютерной информации.

Стоит также отметить, что на сегодняшний день в работе органов внутренних дел широко применяются сервисы обеспечения повседневной и оперативно-служебной деятельности системы ИСОД МВД России, а также различные информационные системы поискового и экспертного назначения. Однако стоит отметить сложившийся недостаток оснащения техническими средствами [17, с. 206], которые позволяют иметь конкурентное преимущество в борьбе с преступностью, что снижает эффективность деятельности органов внутренних дел по расследованию, раскрытию и предотвращению преступных деяний. Оптимизации сроков осуществления следственных действий и иных процессуальных действий, направленных на установление обстоятельств, входящих в предмет доказывания, будет способствовать закрепление в уголовно-процессуальном законодательстве более четких оснований и процессуальных регламентов, регулирующих собирание цифровых доказательств с применением информационных технологий и программных технико-криминалистических средств.

Соответственно, можно сделать вывод, что в условиях цифровизации общества программные технико-криминалистические средства приобретают стратегическое значение в борьбе с преступностью, обеспечивая, во-первых, непосредственное собирание, фиксацию, изъятие и исследование цифровых доказательств (за счет использования экспертных и поисковых систем), во-вторых, их верификацию и проверку подлинности и сохранности (например, за счет использования алгоритмов хеширования для создания контрольных сумм цифровых объектов и последующей проверки их неизменности), в-третьих, восстановление удаленных и зашифрованных данных (например, за счет применения методов цифровой стеганографии или интеграции блокчейн-технологий), а также удобство и оперативность обработки больших массивов разнородной информации (за счет использования технологий машинного обучения и хранения данных в распределенных реестрах, распознавания текстовых, графических и биометрических данных и пр.), выдачи прогнозов и рекомендаций (на базе предиктивного анализа и корреляции данных).

В настоящее время в свободном доступе имеется разнообразное программное обеспечение для поиска, анализа и интерпретации цифровых доказательств, однако его применение сотрудниками органов внутренних дел ограничено в силу отсутствия четкого нормативного регулирования. Так, на примере OSINT-инструментов для поиска информации из открытых источников можно констатировать, что в силу действующего законодательства применение подобного метода сбора данных возможно лишь при наличии судебного решения, однако даже в этом случае возникают риски нарушения конституционных прав граждан, включая неприкосновенность частной жизни, личную и семей- ную тайну, а также тайну переписки. Соответственно, для эффективного выявления и пресечения преступной деятельности в сфере компьютерной информации необходима правовая регламентация применения программных техникокриминалистических средств, обеспечивающая баланс между возможностями правоохранительных органов и соблюдением конституционных прав граждан.

Поскольку предполагаемым вектором развития киберпреступности является использование различных генеративных алгоритмов машинного обучения, соответственно, для противодействия таким угрозам необходимы программные средства, способные самостоятельно, на основе гибких алгоритмов искусственного интеллекта, без участия человека, например, идентифицировать аномалии в сетевом трафике, анализировать вредоносный код и, соответственно, адаптироваться к новым видам атак. Определенную трудность будет также представлять появление квантовых компьютеров, способных взламывать современные криптографические алгоритмы. Для противодействия этой угрозе программные комплексы цифровой криминалистики должны будут включать гибридные квантовые алгоритмы взлома шифрования, сочетающие традиционные методы криптоанализа с вероятностными вычислениями квантовых систем.

Таким образом, только программные технико-криминалистические средства смогут эффективно бороться с атаками, управляемыми искусственным интеллектом, в будущем, что подчеркивает насущность их рассмотрения в настоящее время.

Заключение. С учетом вышеизложенного можно сделать вывод, что особенности киберсреды исключают применение традиционных техникокриминалистических средств, поскольку цифровые следы не имеют физических характеристик в классическом понимании, являются легко изменяемыми и уничтожаемыми, кроме того, большие массивы цифровой информации зачастую размещены в различных средах и (или) хранилищах, что исключает возможность их ручного анализа. В отличие от традиционных вещественных доказательств, цифровые доказательства требуют специфических подходов к собиранию, хранению и анализу, так как они легко поддаются модификации. Автоматизацию исследования цифровой информации, точность и воспроизводимость результатов ее анализа, обеспечение своевременного собирания и использования криминалистически значимой информации в электронной форме позволяют обеспечить только программные технико-криминалистические средства.

Таким образом, программные технико-криминалистические средства играют ключевую роль в расследовании преступлений в сфере компьютерной информации, что обусловлено предоставляемыми ими возможностями поиска, фиксации, собирания, исследования и хранения криминалистически значимой компьютерной информации.