О криминалистическом исследовании электронных носителей информации и цифровых следов Текст научной статьи по специальности «Право»

УДК 343.98

О криминалистическом исследовании электронных носителей информации и цифровых следов

Дерюгин Роман Александрович, Уральский юридический институт МВД России, кандидат юридических наук

e-mail: deryugin.r.a@mail.ru

Файсханов Ирек Фоатович,

Уральский юридический институт МВД России

e-mail: f_irek@mail.ru

Авторы рассматривают вопросы, связанные с расследованием преступлений, совершаемых с использованием технических средств связи, информационно-телекоммуникационных технологий и компьютерной техники. В статье указаны некоторые особенности описания и криминалистическое значение цифровой информации, полученной в процессе расследования преступлений указанной категории.

Ключевые слова: информация; информационно-телекоммуникационные технологии; расследование преступлений; цифровые следы; Интернет; электронный носитель; компьютерная техника.

About forensic research of electronic data carriers and digital traces

Deryugin Roman Aleksandrovich,

Ural Law Institute of the Ministry of the Interior

of Russia, Gandidate of Law

Faizhanov Irek Foatovich,

Ural Law Institute of the Ministry of the Interior of Russia

The аи1:Ьог$ consider the issues related to the investigation of crimes committed with the use of technical means of communication, information and telecommunication technologies and computer equipment. In the article some features of the description and criminalistic value of the digital information received in the course of investigation of crimes of the specified category are specified.

Key words: information; information and telecommunication technologies; crime investigation; digital traces; Internet; electronic.

Современное общество активно использует самые разнообразные технические средства: от мобильных телефонов до мощных программных комплексов, предназначенных для различных инженерных расчетов. При этом преступники, имея в своем арсенале новую технику, программное обеспечение и возможности сети Интернет, не остались в стороне. Более того, в условиях информационного общества и научно-технического прогресса преступность развивается с геометрической прогрессией. Так, количество преступлений, совершенных с использованием компьютерных и телекоммуникационных технологий, по сравнению с 2013 г. выросло в 16 раз. Согласно аналитическим сведениям МВД России, в 2018 г. зареги-

стрировано 174 674, а за январь - июль 2019 г. - 140 184 таких преступлений1.

Лица, не являющиеся специалистами в сфере информационных технологий, не имеющие представления о методах мошенников, нередко становятся жертвами преступников, которые весьма эффективно пользуются информационно-телекоммуникационным пространством при совершении заранее спланированного преступления. При этом используемые при совершении преступления технические средства и технологии нередко являются единственным ис-

1 См.: Состояние преступности в России за январь - июль 2019 г. [Электронный ресурс]. URL: http:// мвд.рф/reports/ item/17926489 (дата обращения: 6 сентября 2019 г.).

точником криминалистически значимой, доказательственной информации.

Справедливо отметить, что именно криминалистика как первостепенная основа противодействия преступности ориентирована на изучение механизма совершения того или иного вида преступления в сфере информационно-телекоммуникационной направленности, поиск доказательственной базы и отражение искомых объектов в материальных и цифровых следах. В связи с этим в российской науке уже продолжительное время ведутся работы в области цифровой (компьютерной) криминалистики, результаты которой позволяют понять алгоритм действий преступника или преступной группы, восстановить поврежденные или уничтоженные данные, получить иные интересующие следствие сведения.

Учитывая глобальную информатизацию общества, совершенствуется законодательство. Обширная нормативно-правовая база демонстрирует развитость и обществен но-госуда рствен ну ю за и нтересова н ность в дальнейшем развитии информационной сферы: Федеральный закон от 7 июля 2003 г. № 126-ФЗ «О связи», Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», указ Президента РФ от 5 декабря 2016 г. № 646 «Об утверждении Доктрины информационной безопасности Российской Федерации», указ Президента РФ от 9 мая 2017 г. № 203 «О Стратегии развития информационного общества в Российской Федерации на 2017-2030 годы» и другие нормативно-правовые источники.

Помимо перечисленного следует отметить Федеральный закон от 6 июля 2016 г. № 375-Ф3 «О внесении изменений в Уголовный кодекс Российской Федерации и Уголовно-процессуальный кодекс Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности» и Федеральный закон РФ от 6 июля 2016 г. № 374-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности». Будучи на стадии законопроектов, данные федеральные законы получили неофициальное название «пакет поправок Яровой».

Таким образом, с 1 июля 2018 г. оператор связи обязан осуществлять проверку достоверности сведений об абоненте, хранить на территории Российской Федерации информацию о фактах приема, передачи, доставки и (или) обработки голосовой информации, текстовых сообщений, изображений, звуков, видео-или иных сообщений пользователей услугами связи -в течение трех лет с момента окончания осуществления таких действий, а также текстовые сообщения пользователей услугами связи, голосовую информацию, изображения, звуки, видео-, иные сообщения

пользователей услугами связи - до шести месяцев с момента окончания их приема, передачи, доставки и (или) обработки1. Аналогичные поправки внесены в Федеральный закон «Об информации, информационных технологиях и о защите информации»2.

Соответствующие изменения вызвали неоднозначную реакцию сообщества. Недовольство спровоцировали следующие факторы: практически полное отсутствие анонимности в сети Интернет, возможный рост цен за услуги связи, опасение граждан «оказаться под колпаком». В то же время лицо, совершающее преступления, например, экстремистской направленности, как правило, осуществляет координацию преступной группы, распространение экстремистских материалов, вербовку посредством сети Интернет. Комплекс мер «пакета Яровой» предполагает получение доказательств и криминалистически значимой информации, даже удаленной с устройства, по запросу оператору связи, что полностью оправдывает принципы процессуальной экономии, оперативности и эффективности расследования. Очевидно, что при должной работе нововведений сопутствующие негативные факторы оправданны и допустимы.

На наш взгляд, целесообразно отметить, каким образом аккумулируются в информационном пространстве и в базе данных оператора сотовой связи или на конкретном устройстве криминалистически значимые сведения о событии преступления или о преступнике.

В качестве примера используем фрагмент трафика. На рисунке 1 представлен фрагмент трафика пользователя сети Интернет. Первый столбец соответствует порядковому номеру строки, два следующих столбца отображают содержимое в шестнадцатерич-ном представлении, последний столбец отображает содержимое трафика в кодировке, предварительно выбранной перед анализом трафика. Исходя из содержимого, можно сделать вывод о том, что пользователем был посещен Интернет-ресурс «Консуль-тантПлюс» (строка «...www.consultant.ru...»). Строка «...GET / HTTP/1.1...» говорит о том, что запрашивается главная страница сайта «КонсультантПлюс». Строка «Connection: keep-alive» говорит о том, что используется одно TCP-соединение для отправки и получения HTTP-запросов, соответственно, запросы осуществляются на один и тот же сервер.

1 См.: Федеральный закон от 7 июля 2003 г. № 126-ФЗ «О связи» [Электронный ресурс]. URL: http:/www.consultant. ru (дата обращения: 18 сентября 2019 г.); Федеральный закон от 6 июля 2016 г. № 374-Ф3 «О внесении изменений в Федеральный закон «О противодействии терроризму» и отдельные законодательные акты Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности» // Российская газета. 2016. № 7017 (149).

2 Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» [Электронный ресурс]. URL: http:/www. consultant.ru (дата обращения: 18 сентября 2019 г.).

ииии ГС Л 1Ь са и 4е № 4Н /а У4 14 ^а ии 4^ Ш .и.. N.Н 1..1.. Е.

0010 02 еЗ 2а & 40 00 ВО 06 5f 6/ сО аВ 00 ЗЬ 5Ь ее

0020 51 0а 05 79 00 50 5с1 9Ь еа аа 39 сЬ зь а 501В Ч-.у.Р]. ..9.;.Р.

0030 10 2с 56 а7 00 00 4/ 45 54 20 2f 20 4В 54 54 50 .,Х.,.СЕ Т / НИР

0040 2f 31 2е 31 0а 4В 6f 73 /4 За 20 77 11 112е /1.1..НО 51: т.

0050 63 6f бе /3 /5 6с /4 61 бе /4 2е /2 15 Ой 0а 43 сопзи^а nt.ru..с

0060 6f бе бе 65 63 /4 69 6f бе За 20 6Ь 65 65 /02А оппес^о п: кеер-

00/0 61 6с 69 /6 65 0с1 0а 55 /0 6/ /2 61 64 65 2с149 а1ш..и рдгас!е-1

Рис. 1. Фрагмент трафика

Таким образом, можно осуществить анализ деятельности лица удаленно, не имея доступа к устройству, и проанализировать информацию, которая была принята или отправлена исследуемым устройством, например, изображения, музыкальные файлы, видеофайлы, текстовые документы и т. п. Для подобного исследования применяются различные программ-

но-аппаратные комплексы, позволяющие эксперту отсортировать необходимую для экспертизы информацию.

Анализируя данные на электронном носителе, можно сделать вывод относительно деятельности подозреваемого лица. Например, содержимое USB-носителя (см. рис. 2).

Рис. 2. Фрагмент информации на USB-носителе

На USB-носителе имеется документ, содержащий данную фразу. Данный документ удаляется и анализируется содержимое аналогичного сектора.

Файл удален, но строка, содержащаяся в файле, осталась на прежнем месте. Соответственно, для эксперта-криминалиста становится возможным иссле-

довать удаленный файл и установить, какую именно информацию он содержал.

Предположим, что файл удален безопасно, то есть данный сектор был многократно перезаписан. Для этого осуществим многократную перезапись в количестве 35 раз в данный сектор (см. рис. 3).

52ЕЕС000 52ЕЕС010 52ЕЕС020

92 49 24 92 49 24 92 49 49 24 92 49 24 92 49 24 24 92 49 24 92 49 24 92

24 92 49 24 92 49 24 92 92 49 24 92 49 24 92 49 49 24 92 49 24 92 49 24

Рис. 3. Фрагмент информации

Итак, содержимое сектора утеряно, и эксперт будет вынужден применять более серьезные методы анализа, которые могут существенно повысить вероятность обнаружения следов, скрытых преступником.

При расследовании и раскрытии преступлений, так или иначе связанных с использованием информационно-телекоммуникационного пространства, современной техники и оборудования, необходимо учитывать степень профессионализма преступников. Последние пользуются всеми новшествами технического прогресса, разрабатывают и применяют новые способы совершения преступлений, тщательно продумывают алгоритм действий, совершают только незначительные ошибки. В связи с этим сотрудники

правоохранительных органов должны уделять внимание всем аспектам работы со следами, независимо от того, материальные они или цифровые. Справедливо сказать, что перед получением и исследованием цифровых следов следует провести качественный осмотр компьютерной техники, системного блока, компьютерной информации и иных сведений, содержащихся на электронных носителях или в виртуальном пространстве. При этом описываются внешние индивидуальные признаки данного носителя (цвет, размер, вид, название, марка, заводской, а также его индивидуальный номер). Далее осматривается компьютерная информация, которая содержится на машинных носителях. Пристальное внимание следует

уделять предметам, которые содержат коды, пароли доступа, идентификационные номера, конкретные названия, электронные адреса пользователей определенных компьютерных систем.

В целях обеспечения сохранности цифровых следов для осмотра электронных носителей информации рекомендуется привлекать специалиста, который сможет описать внешние признаки, содержимое информационной среды и не допустит уничтожения цифровых данных. Криминалистическое исследование файловых систем заключается в анализе различных информационных следов, которые возникают в процессе действий преступника, работы программного и аппаратного обеспечения исследуемой системы.

Вышесказанное позволяет нам говорить о необходимости повышения квалификации и совершенствования профессиональных навыков сотрудников органов внутренних дел при работе с компьютерной техникой, устройствами связи, программным обе-

спечением, информационным пространством и со следами, возникающими в связи с этим. К сожалению, статистика свидетельствует о том, что современный квалифицированный преступник не встречает должного противодействия со стороны правоохранительных органов. Данная проблема в целях повышения эффективности процесса раскрытия и расследования преступлений требует внимания и разрешения.

Библиографический список

1. Состояние преступности в России за январь -июль 2019 г. [Электронный ресурс]. - URL: http:// мвд. рф/reports/item/l 7926489 (дата обращения: 6 сентября 2019 г.).

Bibliograficheskij spisok

1. Sostoyanie prestupnosti v Rossii za yanvar' - iyul' 2019 g. [Elektronnyj resurs]. - URL: http:// mvd.rf/re-ports/item/17926489 (data obrashcheniya: 6 sentyabrya 2019 g.).