CC BY
160
УДК 343.983.25 ББК 64
© К.Е. Дёмин, 2018
Научная специальность 12.00.08 — Уголовное право и криминология, уголовно-исполнительное право
ОБ МЕТОДИЧЕСКИХ ОСНОВАХ ПОЛУЧЕНИЯ КРИМИНАЛИСТИЧЕСКИ ЗНАЧИМОЙ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙСЯ В ЭЛЕКТРОННЫХ НОСИТЕЛЯХ ДАННЫХ
Константин Евгеньевич Дёмин, кандидат юридических наук, доцент, доцент кафедры оружиеведения и трасологии учебно-научного комплекса судебной экспертизы
Московский университет МВД России имени В.Я. Кикотя (117437, Москва, ул. Академика Волгина, 12)
E-mail: diomin.costia@yandex.ru
(контактный телефон и адрес для отправки авторского экземпляра журнала: 8(499)789-67-82, 117437, Москва, ул. Академика Волгина, 12)
Аннотация. Рассматриваются теоретические, методические вопросы судебных комьютерно-технических исследований электронных носителей информации как нового класса судебных экспертиз.
Ключевые слова: информационно-телекоммуникационная система; компьютерные преступления; компьютерно-электронные средства; судебная компьютерно-техническая экспертиза; электронные носители информации.
ABOUT THE METHODOLOGICAL FOUNDATIONS OF OBTAIN FORENSICALLY RELEVANT INFORMATION CONTAINED IN THE ELECTRONIC DATA CARRIERS
Konstantin E. Demin, the candidate of jurisprudence, docent, docent department weaponology and trace analysis and educational complex judicial examination
Moscow University of the Ministry of the Interior of Russia named after V. Y. Kikotya (12 Akademika Volgina st., Moscow, Russia, 117437)
Annotation. Examines theoretical, methodological issues of forensic computer-technical research of electronic media as a new class of legal expertise.
Keywords: information and telecommunication system; computer crimes; computer-electronic means; judicial computertechnical expertise; electronic media.
Citation-индекс в электронной библиотеке НИИОН
Для цитирования: К.Е. Дёмин. Об методических основах получения криминалистически значимой информации, содержащейся в электронных носителях данных. Вестник Московского университета МВД России. 2018 (4):44-7
Стремительное проникновение преступных организаций в такие сферы как: перехват данных из информационно-телекоммуникационных систем (ИТКС); преднамеренное распространение вирусов; мошенничества с банкоматами и платежными системами; нарушение авторских и смежных прав в сфере системного программного обеспечения и аудио-видео-игровых носителей информации; мошенничества в области мобильной связи; незаконное распространение баз данных, содержащих конфиденциальную информацию о физических и юридических лицах; изготовление и распространение (продажа) специальных технических средств; сетевой экстремизм в информационных сетях и их использование в террористических целях и т.д. [4, с. 13-18] требуют новых методологических подходов получения доказательственной информации.
В контексте выбранной темы, необходимо отметь, что значительный вклад в разработку концептуальных и методических основ данного криминалистического направления были в свое время заложены такими научными и практическими работниками, как А.А.Васильев (Московский университет МВД России), Б.В.Вехов (Волгоградская академия, Ю.В. Гаврилин (Тульский государственный университет), В.А.Мещеряков (Воронежский государственный университет), А.Б. Не-хорошев (Саратовский юридический институт МВД России), В.С.Зубаха, А.И.Семикаленова (ЭКц МВД РФ), В.В.Крылов (МГУ), Е.Р.Россинской (МГЮА), А.И.Усовым (ГУ РФЦСЭ) и др. Давая высокую оценку имеющимся научным разработкам, следует отметить, что многие аспекты этой проблемы, в том числе методология получения доказательственной информации с
электронных носителей данных (ЭНД), остаются пока за рамками глубокого научного анализа.
Отметим, что компьютерная техника зачастую используется не только как средство совершения преступлений, но и как хранилище криминальной информации. Поэтому научно обоснованные тактические рекомендации по обращению и экспертному исследованию аппаратно-компьютерных компонент в плане сохранения процессуально пригодной доказательственной базы приобретают сегодня первоочередное значение. Несмотря на огромный ассортимент и разнообразие аппаратных средств и их компонентов получение криминалистически значимой информации имеет много общего. Данное обстоятельство объясняется присутствием практически в любом современном радиоэлектронном устройстве элементов запоминающей среды — электронной памяти, имеющей в зависимости от вида электронного средства свою аппаратную реализацию, и наличия в своей основе базовых логических элементов. Различия же в основном обусловлены большим разнообразием существующих видов компьютерных и радиоэлектронных устройств, особенностями их конструкции, принципами работы, а также технической реализации. Знание этих особенностей следователем, оперативным работником — важнейшее условие успешного проведения таких следственных действий, как осмотр, обыск и выемка обеспечивающих поиск и процессуально-грамотное закрепление фактических данных, которые могут быть использованы в качестве доказательств.
Как известно, к общим методологическим требованиям обращения с компьютерно-электронными средствами (КЭС) относятся прежде всего обязательность соблюдения условий извлечения процессуально-корректной доказательственной информации из их памяти, с их форм-факторов с целью последующего отражения данных действий в соответствующем процессуальном документе. Практика свидетельствует о том, что специалист, участвующий в производстве следственных действий, а также в ходе выработки версий, вынужден учитывать ряд обстоятельств расследуемого криминального события, а именно, каким образом были использованы при совершении преступления компьютерные и радиоэлектронные средства[1, с.75-76], их комплектующие с учетом глубокого ситуационного анализа взаимодействующих аппаратных средств и моделирования виртуальной пространственно-временной схемы механизма преступления. Специалист, согласно складывающейся следственной ситуации, выделяет частные или групповые признаки, указывающие на связь конкретного электронного средства с расследуемым событием, для чего методически производит «умственное» моделирование возможности применения аппаратных средств в преступном деянии.
Для преступлений, связанных с использованием информационных технологий, как правило, характерно несовпадение места совершения преступления и места происшествия. Поэтому во время проведения указанных следственных действий следует учитывать и возможное применение уже «виртуального противодействия» со стороны злоумышленника или организо-
ванной группы злоумышленников, например с систем удаленного доступа к компьютерной системе[10, с.184-189].. При этом объектами и целевой задачей осмотра, обыска в зависимости от складывающейся следственной ситуации, может быть выяснение следующих фактических данных: о компьютерах пользователей (правонарушителей), подключённых к Интернет (Ин-транет, Экстранет); о различных ресурсах поставщика сетевых услуг (провайдера) и о предоставляемых им информационных услугах (электронная почта, служба электронных объявлений, телеконференции, WWW-сервис и пр.) [2, с.50-53]. Кроме этого, желательно, при наличии возможностей, предварительно изучить схему расположения удаленных терминалов и сетей (радиосетей), связи между ними, выяснить наличие электронных охранных средств в физической защите компании (например, коды доступа, пароли и ключи типа «Touch Memory» (i-Button)- электронная таблетка, «^proximity» — ЧИП-карта) и т.д. Также необходимо учитывать и наличие у сотрудников компании (учреждения) миниатюрных компьютеров, смартфонов, коммуникаторов, сотовых мобильных терминалов поддерживающих WAP-браузер, GPRS-сервис. При осмотре системного блока на месте происшествия необходимо проверить наличие устройств типа «Mobile Rack» и «Flexi Drive», позволяющих легко производить смену накопителей данных и мобильно перемещать (перевозить) их. В связи с возможностью наличия в компьютерной системе вирусов и программ «бомб-ловушек» рекомендуется для их выявления и нейтрализации на начальном этапе следственного действия на месте происшествия разместить пакеты антивирусных программ, а также программы для выявления бомбы-ловушки типа «booby-trap». Как вариант это могут быть пакеты антивирусных защит, например, локальные решения AVP лаборатории Касперского (для небольших предприятий), и на основе web-технолгий «Trend Virus Control System» (для крупных предприятий) и др. В настоящее время получили широкое применение и компьютерные сетевые радиокарты, позволяющие организовать беспроводную компьютерную сеть на радиочастоте (технологии soft Wi-Fi). Поэтому в целях нейтрализации подобных устройств необходимо проведение радиомониторинга с составлением карты радиочастот объекта. Проблема выявления и нейтрализации подобных устройств, как показывает практика оперативных подразделений Управления «К» МВД России, стоит чрезвычайно остро. Противодействие применению подобных устройств должно базироваться, в том числе, и на проведении специальных операций и оперативных комбинаций.
Особенности следовой информационной картины преступлений, совершаемых в области информационно-телекоммуникационных технологий состоит в том, что осуществление мониторинга сообщений в реальном масштабе времени, передаваемых по сетям электросвязи, позволяет в максимальной степени обеспечить полноту и объективность их обнаружения, фиксации и изъятия. Например, подключение к Интернету системы СОРМ позволяет не только осуществлять мониторинг сообщений передаваемых по сетям электросвязи, но и
фиксировать сообщения электронной почты, осуществляя сканирование по заданным ключам.
Анализ литературных источников [9, С. 230], посвященных данной тематике, позволяет выделить следующий круг задач, решаемых в процессе расследования преступлений, сопряженных с применением информационно-телекоммуникационных системах (ИТКС):
• выявление установок удаленного доступа к сети (настроек протокола TCP/IP, конфигурации DNS), установление номеров телефонов провайдеров (параметров набора номера), определение имени (login) и пароля (password) подключения к Интернет, проверка на наличие и анализ соответствующих скрипт-файлов (сценариев подключения));
• выявление и анализ содержания имеющихся в компьютерной системе протоколов соединений удаленного доступа к сети, установления вида его организации (с помощью модема (какого), proxi-сервера и т.п.);
• выявление следов использования WWW-браузеров для работы в сети Интернет;
• установление содержимого папок «Избранное» и «Журнал» WWW- браузеров (типичный браузер Internet Explorer);
• установление содержимого и атрибутов учетных записей, установленных удостоверений почтовых Internet-приложений (выявление собственных адресов e-mail, используемых почтовых серверов, установленных паролей); выявление содержимого адресной книги и содержимого локальных папок (входящей, исходящей, отправленной и пр.), (типичные почтовые клиенты — MS Outlook и The BAT);
• установление и анализ данных по использованию программ для персональной связи через Интернет; установление зарегистрированных номеров ICQ (UIN), пароля, выявление архива переговоров и анализ его содержания, выявление адресной книги.
Расследование преступлений, совершенных в сфере сетевых информационных технологий, характеризуется выявлением всей «цепочки» сеансов связи или Интернет-сессий от ПК в котором обнаружены следы преступления, до терминала, который являлся орудием совершения преступления. При этом необходимо выделять две основных категории данных, которые можно установить, анализируя электронное сообщение. Это, во-первых, сведения о пользователе и, во вторых, сведения о самом информационном потоке или сообщении. Данные о пользователе могут включать: имя, адрес, дату рождения, номер телефона, адрес поставщика услуг Интернет, адрес электронной почты, идентификационные признаки какого либо номера или счета используемого для производства транзакций, справочные данные, идентификационные данные юридического лица, перечень предоставляемых услуг или услуг, на которые подписался клиент, статический или динамический адрес, дополнительный адрес электронной почты и т.д. [6, с.46-48]. Следует отметить, что в Конвенции о взаимной правовой помо-
щи по уголовным делам между странами-участницами Европейского Союза, которая была принята Советом в соответствии со статьей 34 Договора об образовании Европейского союза, в главе 3 «Перехват телекоммуникаций» ст.ст. 17,18,19 декларируется возможность доступа и перехвата телекоммуникаций странами участницами ЕС в случае расследования ими уголовных дел [5, C. 192].
В своей практической деятельности криминалистам часто необходимо учитывать возможность фальсификации почтовых реквизитов электронных сообщений, в частности строки «From». В силу этого, реквизиты, указанные в этих строках, не должны иметь самостоятельной доказательственной силы. Однако как источник ориентирующей криминалистически значимой информации, которая как вариант, может содержаться в самом сообщении, и в качестве одного из источников формирования следовой информационной картины о криминальном событии, они могут и должны быть использованы. Практика расследования преступлений в сфере высоких технологий убедительно указывает на необходимость установления всей цепочки Интернет — сессий, от отправителя Интернет -корреспонденции к ее адресату. Так, примером успешного сотрудничества Интерпола МВД Росси и ФБР США могут служить случаи расследований преступлений, связанных с публикациями информации порнографического содержания (в т.ч. детской порнографии) в российском сегменте среды Интернет. В результате совместных усилий правоохранительных органов разных стран в 2004 г. были выявлены цепочки Интернет — сессий и установлены и задержаны организаторы и исполнители преступлений, находившихся на территории США, Канады и странах ближнего зарубежья.
Типовыми объектами исследования информации, сопряженной с работой в глобальных сетях являются: компоненты ОС по организации удаленного доступа к сети, программы WWW-браузеров, почтовых Интернет-приложений, программ ICQ, IRQ, клиенты FTP и др. Сюда необходимо отнести всю информацию, отраженную в базах данных, создаваемых указанными приложениями, различные папки с временными данными, протоколы соединений удаленного доступа и т.п. Анализ экспертной практики показывает [5; 9], что в объектах исследования (системных блоках компьютеров) типичное телефонное подключение к Интернет обусловлено установкой и настройкой следующих компонентов: модем; протокол TCP\IP; служба доступа к удаленному серверу, которая позволяет подключаться к сети по телефонному каналу. Кроме того, одним из важных параметров подключения к сети Интернет является адрес IP, т.е. цифровой адрес пользователя в сети Интернет. Отметим, что сетевая карта или адаптер компьютера подключенного к сети имеет уникальный идентификатор, так называемый номер МАС, по которому сетевой администратор, в принципе может идентифицировать компьютер, который работает в сети, что, несомненно, имеет большую криминалистическую значимость, в случае расследования преступлений в сфере высоких технологий. Номер
МАС можно определить и при использовании сетевым администратором программ-сканеров. Отметим, что арсенал средств, используемых администраторами сетевой безопасности включает в себя использование программ-анализаторов протоколов (сниферов), позволяющих выявлять уязвимости сети, утанавливать номера 1Р, перехватывать сетевые сообщения и другие реквизиты, пароли и т.д. Заметим, что с криминалистической точки зрения, сети сотовой и пейджинговой связи, принято считать также компьютерной сетью, организованной на радиочастоте [3, С.38].
В заключении отметим, что успешная борьба с компьютерной преступностью требует совершенствования имеющихся специальных методов исследования КЭС, а также разработки методологического обеспечения производства экспертных исследований. Именно поэтому в последнее время при осуществлении изъятия и дальнейшего исследования указанных средств отмечается повышенный интерес научной общественности и практических сотрудников к указанной проблематики, на наш взгляд, данное направление является одной из перспективных направлений судебно-экспертного обеспечения раскрытия и расследования преступлений, сопряженных с использование современных информационных технологий.
Литература
1. Беляев М.В., Демидова Т.В. Применение инновационных технологий при осмотре мест дорожно-транспортных происшествий // Вестник академии экономической безопасности МВД России. Московский университет МВД России имени В.Я. Кикотя, 2015 (2).
2. Васильев А.А., Дёмин К.Е. Электронные носители данных как источники получения криминалистически значимой информации. Учебное пособие. М.: Изд-во МГОУ, 2009.
3. Васюков В.Ф. Использование криминалистически значимой и доказательственной информации об абонентах и абонентских соединениях при расследовании уголовных дел : монография / В.Ф. Васюков. Орел: Орловский юридический институт МВД России имени В.В. Лукьянова, 2013.
4. Вехов В.Б. Основы криминалистического учения об исследовании и использовании компьютерной информации и средств ее обработки: монография. Волгоград: ВА МВД России, 2008.
5. Волеводз А.Г. Противодействие компьютерным преступлениям правовые, основы международного сотрудничества. М.: 2002.
6. Дёмин К.Е. О проблемах судебной компьютерно-технической экспертизы и путях их решения// Вестник Московского университета МВД России — М.: Московский университет МВД России, 2017(2).
7. Зубаха В.С., Усов А.И. Направление разработки методического обеспечения производства компьютерных экспертиз и исследований // Экспертная практика №47. М.: ЭКЦ МВД России, 1999.
8. Мещеряков В.А. Преступления в сфере компьютерной информации: основы теории и практики расследования. Воронеж: ВГУ, 2002.
9. Усов А.И. Судебно-экспертное исследование компьютерных средств и систем. Учебное пособие. Под. ред. Е.Р. Россинской. М.: 2003.
10. Хмыз А.И. Получение розыскной информации в ходе исследования электронных документов и их материальных отображений // Исторические, философские, политические и юридические науки, культурология и искусствоведение. Вопросы теории и практики. Тамбов: Грамота, 2015 (12).
References
1. Belyaev M.V., Demidova T.V The Use of innovative technologies for inspection of places of road accidents // Bulletin of the Academy of economic security interior of Russia. Moscow University of the MIA of Russia named after V. J. Kikot, 2015 (2).
2. Vasiliev A.A., Demin E.K. Electronic data carriers as the sources of forensically important information. Textbook. M.: publishing house of MGOU, 2009.
3. Vasyukov VF. The use of forensically relevant and evidential information about subscribers and subscriber connections in the investigation of criminal cases: monograph / F.V Vasyukov. Orel: Orel law Institute of Ministry of internal Affairs of Russia named after V. V. Lukyanov, 2013.
4. Vekhov V.B. Bases of the criminalistic doctrine about the study and use of computer information and means of its processing]. Volgograd: VA Ministry of internal Affairs of Russia, 2008.
5. Volevodz A.G. The anti-computer crime legal framework for international cooperation. M.: 2002/
6. Demin, K.E. On the problems of forensic computer-technical examination and the ways of their solution// Vestnik of the Moscow University of the MIA of Russia — M.: Moscow University of MIA of Russia, 2017(2).
7. Zubaha VS., Usov A.I.The Direction of development of methodological support of the production of computer expertise and research // Expert practice No. 47. M.: forensic science center of the MIA of Russia, 1999).
8. Meshcheryakov V A. Crimes in sphere of computer information: fundamentals of the theory and practice of investigation. Voronezh: VSU, 2002.
9. Usov A.I. Forensic investigation of computer equipment and systems. Textbook. Under. ed. by E. R. Rossinsky. M.: 2003.
10. Hmiz A.I. Obtaining investigative information in the study of electronic documents and their material mappings // Historical, philosophical, political and law Sciences, Culturology and study of art. Issues of theory and practice. Tambov: Gramota, 2015 (12).
