CC BY
19
УДК 343.985.3 ББК 67.52
© 2021 г. Зиновьева Нина Сергеевна,
преподаватель кафедры уголовного процесса Краснодарского университета МВД России кандидат юридических наук.
НЕКОТОРЫЕ ТАКТИКО-КРИМИНАЛИСТИЧЕСКИЕ ПРОБЛЕМЫ ПРИВЛЕЧЕНИЯ СПЕЦИАЛИСТОВ ДЛЯ ПОЛУЧЕНИЯ ЗАШИФРОВАННОЙ ИНФОРМАЦИИ С УСТРОЙСТВ МОБИЛЬНОЙ СВЯЗИ И ТАКТИКА ИЗЪЯТИЯ УСТРОЙСТВ СВЯЗИ
Отсутствие в отдельных регионах специалистов экспертных учреждений, обладающих знаниями по получению зашифрованной компьютерной информации, создает необходимость привлечения в качестве таковых сотрудников компаний-разработчиков программных продуктов. Однако на данном этапе существуют сложности организационного порядка. Кроме того, отсутствие специалистов не позволяет оперативно выявлять и исследовать информацию в рамках следственных действий, поэтому чаще происходит не изъятие информации, а их носителей. В исследовании даются криминалистические рекомендации по работе с устройствами связи - носителями такой информации.
Ключевые слова: компьютерная информация, криптографическая защита данных, специальные знания, тактика получения компьютерной информации, следственные действия.
Zinovieva Nina Sergeevna - Lecturer, the Criminal Procedure Department Krasnodar University of the Ministry
of Internal Affairs of Russia, PhD in Law.
SOME TACTICAL AND FORENSIC PROBLEMS OF ATTRACTING SPECIALISTS TO OBTAIN
ENCRYPTED INFORMATION FROM MOBILE COMMUNICATION DEVICES AND TACTICS
OF WITHDRAWAL OF COMMUNICATION DEVICES
The absence of experts in certain regions from expert institutions with knowledge on obtaining encrypted computer information creates the need to attract employees of software development companies as such. However, at this stage there are organizational difficulties. In addition, the lack of specialists does not allow the prompt identification and investigation of information within the framework of investigative activities, therefore, it is more often not the seizure of information, but their devices. The study provides forensic recommendations for working with communication devices with such information.
Keywords: computer information, cryptographic data protection, special knowledge, tactics of obtaining computer information, investigative activities.
Преступления, совершаемые с применением информационно-телекоммуникационных технологий, а также посягающие на защищаемую законом информацию, которая хранится, обрабатывается или передается посредством информационно-телекоммуникационных систем, приобретают все большее распространение.
Вызывают особую озабоченность и факты использования новых форм совершения и сокрытия преступлений, совершаемых в рассматриваемой сфере. Так, в качестве одной из распространенных мер сокрытия совершаемых преступлений является применение шифрования информации, передаваемой в Интернете, информации, распространяемой посредством сотовой связи, а также информации, хранящейся на электронных носителях. В зависимости от объекта передачи информации применяются определенные способы
ее сокрытия, а также аппаратно-программные комплексы, использование которых позволяет зашифровывать данные.
Производители программных продуктов и цифровых коммуникационных устройств разрабатывают и интегрируют шифрование, позволяющее защищать информацию личного (конфиденциального) характера, таким образом, ограничивая несанкционированный доступ к информации извне. Мессенджеры, позволяющие передавать мгновенные текстовые сообщения (а также фото- и видеосообщения), осуществляют шифрование данных в момент их обмена между абонентами. Операционные компьютерные системы также имеют возможности для сокрытия данных, а компьютерные программы и утилиты, находящиеся в свободном доступе, предоставляют возможность для более эффективного шифрования хранящейся информации.
С криминалистической точки зрения анализ информации, содержащей признаки готовящегося или совершенного преступления, имеет важное значение. Вместе с тем доступ к ней затруднен в силу ее закрытости. Уровень сокрытия информации, алгоритмы, применяемые в этих целях, а также характеристика устройств, в которых эта информация содержится, определяют условия работы с ней, влияют на выбор средств и методов выявления алгоритмов шифрования, а также создают процессуальные предпосылки для привлечения к решению таких задач лиц, обладающих специальными знаниями в области компьютерной информации и, в частности, в сфере ее защиты.
В основе работы с информацией, преобразованной методами криптографии, лежит применение специализированных аппаратно-программных комплексов, использующих алгоритмы дешифрования сокрытой информации. Без специальных знаний, касающихся применения подобных технико-криминалистических средств, получить доступ к информации, имеющей криминалистическое значение, невозможно. По этой причине к участию в процессуальных действиях, в ходе которых предполагается изъять компьютерную информацию, сохранив при этом ее целостность и исключив возможность видоизменения или уничтожения, привлекаются в качестве специалистов работники государственных экспертных учреждений, либо негосударственных экспертных учреждений, а также представители компаний-разработчиков программных продуктов. С последними дела обстоят сложнее, поскольку их основная деятельность связана с получением прибыли, поэтому под разными предлогами компании-разработчики стараются минимизировать возможности их привлечения к такому виду деятельности.
Общепринятого порядка привлечения в качестве специалистов представителей компаний разработчиков не существует. Если в Москве, Санкт-Петербурге и некоторых других городах, где располагаются данные компании, по отдельным резонансным преступлениям удается на основе соглашений привлекать таковых, то в большинстве других регионов эта проблема остается неразрешенной.
В свою очередь, и не все экспертные учреждения имеют на вооружении аппаратно-программные средства, либо квалификация
специалиста не позволяет в полной мере осуществлять доступ к исследуемым данным. Поэтому следователи обращаются в негосударственные экспертные учреждения, расположенные в других регионах, где есть соответствующие специалисты.
Это первая и основная проблема, которая не позволяет в полной мере реализовывать тактико-криминалистические задачи следственного действия, которые направлены на получение криминалистически значимой компьютерной информации непосредственно на месте его производства, что позволяет экономить время и оперативно получить ориентирующую информацию, важную для принятия неотложных процессуальных решений.
По этой причине взаимодействия между субъектом расследования и специалистами чаще всего осуществляется в процессуальной форме, а именно, в ходе назначения и производства криминалистических экспертиз.
Так, в рамках взаимодействия (при необходимости получения зашифрованной информации, которая хранится на определенном носителе (на жестком диске компьютера, на внешнем диске, в смартофоне и др.)) и в соответствии с уголовно-процессуальным законодательством, следователь привлекает специалиста, обладающего знаниями и располагающего техническими возможностями получения доступа к такой информации. Следователь выносит постановление о назначении судебной компьютерно-технической экспертизы и ставит на разрешение вопросы, касающиеся возможности расшифровывания сокрытых методами криптографии данных.
В данном случае субъекты расследования сталкиваются с другой, не менее важной проблемой, связанной с изъятием в ходе проведения следственных действий носителей криминалистически значимой компьютерной информации, преобразованной методами криптографии. Поэтому назначению компьютерных экспертиз предшествует изъятие электронного носителя информации либо копирование информации с такого носителя на иной электронный носитель информации.
В соответствии с нормами уголовно-процессуального законодательства, изъятие информации с электронных носителей осуществляется в процессуальном порядке при обязательном участии специалиста. Поскольку копирование информации с электронных носителей, которая преобразована методами
криптографии, чаще всего невозможно, то возникает объективная необходимость изъятия непосредственно самого носителя информации. Вместе с тем, возникает определенный пробел в процессуальной регламентации порядка изъятия криптографически защищенных данных при складывающейся ситуации.
Так, положение ч. 1 ст. 164.1. УПК РФ [1] «Особенности изъятия электронных носителей информации и копирования с них информации при производстве следственных действий» содержит запрет на изъятие электронных носителей информации. Исключение оставляют случаи, при которых:
1) вынесено постановление о назначении судебной экспертизы в отношении электронных носителей информации;
2) изъятие электронных носителей информации производится на основании судебного решения;
3) на электронных носителях информации содержится информация, полномочиями на хранение и использование которой владелец электронного носителя информации не обладает либо которая может быть использована для совершения новых преступлений, либо копирование которой по заявлению специалиста может повлечь за собой ее утрату или изменение.
Как видно из положений анализируемой нормы, изъятие электронных носителей информации, содержащей зашифрованные данные, затруднено в силу исчерпывающего перечня случаев, допускающих такое изъятие. Так, в случае, если отсутствует судебное решение или не вынесено постановление о назначение экспертизы, а также нет предпосылок для наступления обстоятельств, указанных в п. 3 ч. 1 ст. 164.1 УПК РФ, следователь утрачивает возможность изъять электронный носитель информации или копировать такую информацию на иной носитель.
Существует достаточно широкий перечень видов носителей компьютерной информации. Физические свойства и особенности
функционирования одних носителей данных (например, оптический (лазерный) диск или флеш-накопитель) не составляют труда в их изъятии, тогда как некоторые из них (например, внешний жесткий диск или внутренний (твердотелый) жесткий диск, установленный в компьютере или смартфоне), при некорректной работе с ними в процессе фиксации и изъятия искомой информации, могут привести к ее уничтожению.
Именно по этой причине криминалистикой разрабатываются рекомендации, позволяющие выполнить ряд тактических действий, при которых и носитель информации, и информация на ней останется пригодной для диагностирования и исследования. В рамках такой деятельность следует учитывать те недостатки, которые допускаются следователями при изъятии компьютерной информации, преобразованной методами криптографии.
В силу ограниченности формата данного исследования, попытаемся рассмотреть некоторые тактические аспекты получения криминалистически значимой компьютерной информации, хранящейся в памяти смартфона (на примере смартфонов iPhone).
При выключении изъятых устройств. При выключении устройство переводится из состояния АБИ* в состояние ВБИ** со всеми вытекающими последствиями. Ключи шифрования пользовательского раздела хранятся в оперативной памяти устройства. При его выключении ключи исчезают, а восстановить их можно исключительно вводом корректного пароля (кода блокировки экрана).
Если возникнет необходимость подобрать код блокировки, то скорость атаки после выключения или перезагрузки устройства будет почти на порядок медленнее. Перестанут работать записи lockdown, логическое извлечение станет невозможным. Если код блокировки неизвестен, извлечение данных придется проводить в режиме ВБИ.
* АйегБ1^Ип1оск - данный режим означает, что пользователь хотя бы раз разблокировал телефон паролем после перезагрузки. В режиме АБИ расшифрованы пользовательские данные, их можно попытаться извлечь. Скорость перебора кодов блокировки в этом режиме высокая (порядка нескольких минут на PIN-код, состоящий из 4 цифр).
** Ве£ЬгеБ1геШп1оск - данный режим означает, что устройство было перезагружено или выключено; ключей шифрования пользовательских данных в памяти нет, а сами данные - надёжно зашифрованы. Скорость перебора паролей низкая; на полный перебор 4 цифр РШ-кода может уйти до нескольких дней, а перебор 6-значного цифрового пароля теряет смысл.
Во избежание таких упущений следует: При наличии возможности необходимо активировать режим полета и отключить функции Wi-Fi, Bluetooth (они могут быть включенными даже в режиме полета, если пользователь включил Wi-Fi или Bluetooth хотя бы один раз в режиме полета). Чтобы избежать выключение телефона, необходимо его подключить к источнику питания (например, пауэрбанку), а при наличии сумки Фарадея в нее необходимо поместить телефон вместе с адаптером и зарядным устройств, либо обмотать телефон мягкой фольгой.
Данные действия предотвратят саморазряд телефона и переход его в состояние BFU. А также исключают риск того, что телефон будет удаленно заблокирован или информация с него удалена, если сохранится доступ к сети.
Вторая распространенная ошибка - извлечение из устройства SIM-карты. С точки зрения субъекта расследования это действие несет тот же смысл, что и выключение устройства; однако извлечение SIM-карты не дает гарантии сохранности информации, поскольку по-прежнему при наличии соединения по сети Wi-Fi доступ к устройству может быть осуществлен удаленно. Именно по этой причине необходимо исключить возможность подключения устройства к сети посредством разных протоколов соединения.
Если мобильное устройство оборудовано системой распознавания лиц (Face ID), достаточно взглянуть на телефон, и одна из пяти попыток разблокировки по лицу будет утрачена. Если же смартфон (iPhone) оборудован датчиком Touch ID, не стоит пытаться проверить, включено ли устройство, нажимая на кнопку датчика отпечатков пальцев.
Таким образом, следует соблюдать следующие рекомендации:
Если iPhone оснащен датчиком отпечатков пальцев, не следует прикасаться к считывателю Touch ID, поскольку будет утрачено количество попыток разблокировать телефон с помощью отпечатка пальца. Если необходимо проверить, заблокирован ли телефон, нужно ис-
пользовать функцию «боковая кнопка» на телефоне (верхняя кнопка на некоторых моделях).
Если это более новая модель телефона, то не рекомендуется смотреть на датчик Face ID. Когда телефон находится в руках человека, то система Face ID сразу же начинает поиск лица. Если лицо обнаружено устройством, он происходит попытка его идентификации. При отрицательном результате утрачивается одна из пяти попыток разблокировать телефон подобным способом.
При извлечении мобильного устройства необходимо помнить о режиме SOS и его последствиях. После пятикратного быстрого нажатия кнопки питания («Режим сна/Пробуждение») или после того, как пользователь удерживает кнопку «Режим сна/Пробуждение» и одну из клавиш громкости в течение нескольких секунд, на iPhone отображается «Экстренное» меню. В этом меню представлены различные параметры, включая возможность отмены. Независимо от выбранной опции (включая кнопку «Отмена») iOS временно отключит Touch ID (Face ID) и потребует от пользователя ввода пароля для разблокировки устройства. Кроме того, режим ограничения USB* будет активирован сразу после активации режима SOS [2].
При изъятии мобильного устройства необходимо убедиться, что изъят не только сам смартфон, но и все компьютеры (ноутбуки и настольные компьютеры), принадлежащие одному владельцу, или любые компьютеры, к которым iPhone, вероятно, был подключен в прошлом. Иногда могут помочь флеш-накопители и внешние накопители. Так как компьютеры (и внешние запоминающие устройства) могут содержать ценную информацию, которая может помочь получить доступ к заблокированным телефонам, данным iCloud и т. д.
Следует отметить, что рассмотренные нами рекомендации направлены на повышение эффективности деятельности субъектов расследования при обнаружении и изъятии носителей компьютерной информации. Приведенные правила обращения с устройствами
* При включение данного режима становится невозможным подключить посредством порта Lightning программные продукты для передачи данных. Аксессуар будет оставаться подключенным, даже если устройство впоследствии заблокировать. Если сначала не разблокировать защищенное паролем устройство iOS (или не разблокировать и не подключить его к аксессуару USB в течение последнего часа), устройство iOS не будет взаимодействовать с аксессуаром или компьютером, а в отдельных случаях оно может не заряжаться. А еще может появляться уведомление о том, что устройство необходимо разблокировать для использования аксессуаров.
должны стать основой профессиональных знаний следователей и специалистов. С точки зрения формирования подобных навыков сложностей нет, однако игнорирование таковых приводит к утрате криминалистически значимой информации.
Специфика обращения компьютерной информации, ее использование в преступных целях, хранение таковой создают предпосылки для активного противодействия со стороны преступников субъектам расследования. Технические возможности удаленного доступа к такой информации создают новые прецеденты и формы противодействия, требующие
дальнейшего исследования и выработки на этой основе новых современных криминалистических рекомендаций. Заявленная проблематика может стать очередным предметом научного анализа. Кроме тактической сущности работы с компьютерной информацией (особенно преобразованной методами криптографии) назрела необходимость дополнительной процессуальной регламентации порядка обнаружения и изъятия таковой, а также решения организационных вопросов, связанных с развитием соответствующих компетенции специалистов в области компьютерной информации.
Литература
1. Уголовно-процессуальный кодекс Российской Федерации от 18.12.2001 № 174-ФЗ (ред. от 01.07.2021, с изм. от 23.09.2021).
2. URL: https://blog.elcomsoft.ru/2020/02/ rasprostranyonnye-oshibki-v-mobilnoj-krimmalis-tike/.
Bibliography
1. The Criminal Procedure Code of the Russian Federation № 174-FL of 18.12.2001 (as amended on 01.07.2021, with amendments. from 09.23.2021).
2. URL: https://blog.elcomsoft.ru/2020/02/ rasprostranyonnye-oshibki-v-mobilnoj-kriminalis-tike/.
