CC BY
19
ЮРИДИЧЕСКИЕ НАУКИ
Научная статья УДК 343.982
https://doi.org/10.24412/2414-3995-2022-5-52-55 NIION: 2015-0066-5/22-461 MOSURED: 77/27-011-2022-05-660
Получение доказательственной информации, содержащейся в компьютерных сетях
Константин Евгеньевич Дёмин1, 2
1 Московский университет МВД России имени В.Я. Кикотя, Москва, Россия, diomin.costia@yandex.ru
2 Российский университет транспорта (МИИТ), Москва, Россия
Аннотация. Проанализирована практика расследования преступлений, совершаемых с использованием информационно-телекоммуникационных средств, выделяется ряд закономерностей следообразования в электронных средах, в том числе глобальных компьютерных сетях, и методы получения криминалистически значимой информации.
Ключевые слова: информационно-телекоммуникационные средства, компьютерная сеть, криминалистически значимая информация, электронное сообщение
Для цитирования: Дёмин К. Е. Получение доказательственной информации, содержащейся в компьютерных сетях // Вестник экономической безопасности. 2022. № 5. С. 52-55. https://doi.org/10.24412/2414-3995-2022-5-52-55.
Original article
Obtaining evidentiary information contained in computer networks
Konstantin E. Demin1, 2
1 Moscow University of the Ministry of Internal Affairs of Russia named after V.Ya. Kikot', Moscow, Russia, diomin.costia@yandex.ru
2 Russian University of Transport (MIIT), Moscow, Russia
Abstract. The practice of investigating crimes committed using information and telecommunications means is analyzed, a number of patterns of trace formation in electronic environments, including global computer networks, and methods of obtaining criminally significant information are identified.
Keywords: information and telecommunications facilities, computer network, criminally significant information, electronic communication
For citation: Demin K. E. Obtaining evidentiary information contained in computer networks. Bulletin of economic security. 2022;(5):52-5. (In Russ.). https://doi.org/10.24412/2414-3995-2022-5-52-55.
Постановка проблемы. Проблема получения доказательств из компьютерных и телекоммуникационных источников данных не теряет свою актуальность на протяжении последних десятилетий [1, с. 12; 5, с. 13-15; 7, с. 213], особенно она обострилась за последние годы. Это, прежде всего, связано с уходом преступной деятельности в сферу Интернет, зависимость способов совершения новых видов преступлений от применяемых информационно-телекоммуникационных средств и технологий. Не случайно среди задач, поставленных перед МВД России на расширенной коллегии министерства 3 марта 2021 г., Президентом РФ В. В. Путиным первостепенное значение приобретает именно этот блок, так им в частности отмечалось: «...В целом показатели раскрываемости кибер- и других видов преступлений должны год от года расти. Обращаю внимание - конечно, не за счет статистики, не за счет бумажной от© Дёмин К. Е., 2022
четности, а благодаря кропотливой работе «на земле». От этого зависит реализация важнейшего правового принципа - неотвратимости наказания, а значит, и вера людей в справедливость, в силу закона, в способность государства защитить безопасность человека [7]».
Разработанность темы исследования. В контексте выбранной темы необходимо отметь, что разработкой концептуальных и методических основ данного криминалистического направления занимались в различные годы такие ученые и практики, как В. Б. Вехов, Ю. В. Гаврилин, А. В. Касаткин, В. В. Крылов, В. А Мещеряков, А. Б. Нехорошев, Е. Р. Россинской, О. В. Селиванов, Н. Г Шурухнов, А. И. Усов, А. Н. Яковлев и др., однако, несмотря на бесспорную теоретическую и практическую значимость указанных исследований, в них вопросы получения доказательственной база при расследовании неправомерного доступа к компьютер-
JURISPRUDENCE
ных сетях с точки зрения тактических и методических аспектов получения информации нуждается в дополнении разъяснении.
Выделение нерешенных ранее частей общей проблемы. Отметим, что ране нами были освещены вопросы, связанные с тактическими особенностями получения криминалистически значимой информации с компьютерно-технических средств, процессуально-корректного проведения и оформления следственных действий в рамках расследования преступлений, сопряженных с применением современных информационных технологий, а также их судебно-экспертного обеспечения [2 с. 149-160; 3, с. 45-46; 4, с. 46-47]. В данной статье мы хотим остановиться на методологических основах получения доказательственной информации, содержащейся в информационно-телекоммуникационных средах.
Формулирование целей научной статьи. Целью представленной работы является разработка направлений деятельности следственных и экспертно-криминалисти-ческих подразделений, способствующих повышению доказательственной значимости результатов исследования компьютерных сетей, с указанием тактических и методических рекомендаций, влияющих на ее эффективность.
Изложение основного материала. Известно, что основными источниками получения доказательственной информации «.. .в глобальных сетях являются операционные системы (ОС) по организации удаленного доступа к сети (различные программы WWW-браузеров, почтовых Интернет-приложений, программ ICQ, IRQ, клиенты FTP и др.), а также следовая картина в базах данных (БД), создаваемая указанными приложениями (в том числе различные папки с временными данными, протоколы соединений удаленного доступа и т. п.) [6]». Напомним, что под компьютерной сетью (КС) понимается «.совокупность компьютеров и периферийных устройств, обеспечивающих информационный обмен между соединенными между собой компьютерами [8]».
К программным средствам подключения и связи с удаленным персонального компьютера (ПК) в КС относят операционные (ОС) системы типа Windows, Ubuntu, Debian и Deepin на базе Linux, а также macOS, Oracle Solaris и Free BSD на базе UNIX, CentOS, при этом сам процесс коммуникации называют удаленным доступом. До недавнего времени присоединение к ПК осуществлялось в основном посредством кабелей, которые непосредственно подсоединялись к КС через устройство, называемое сетевой картой (адаптером), вставленной в слот расширения материнской платы. Современный этап развития коммуникативных технологий характеризуется объединением нескольких сетей с помощью радиоканалов, например с помощью технологии беспроводной организации компьютерных сетей soft Wi-Fi, разработанных фирмой Intel (США). Беспроводной доступ, осуществляемый подобными сетями, может составлять до 350 метров. Сети, в которых организована выделенная электронная система обмена информацией между отдельными подразделениями организации, например,
центральных офисов или банков со своими филиалами называется корпоративной сетью [7, с. 47-48]. При этом данные сети технологически могут быть наложены на сети Интернет с их последующей радиочастотной развязкой (VPN-сети)1.
В ОС Windows имеется вложенная система Windows NT Server, предназначенная для управления сетевыми ресурсами, в основном являющаяся дополнением Windows NT Workstation, обеспечивающая рабочее место клиента. Именно в этом случае соблюдается полная архитектура клиент-сервер, которая предполагает присоединение однопользовательской рабочей станции общего назначения к многопользовательскому серверу общего назначения.
Практика расследования преступлений, совершаемых с использованием информационно-телекоммуникационных средств (ИТКС), позволяет выделить ряд закономерностей следообразования в электронных средах, в том числе глобальных компьютерных сетях, и получения криминалистически значимой информации из них.
Следовая картина событий, свидетельствующих о применении ИТКС, как правило, содержит всю «цепочку» сеансов связи или Интернет-сессий от ПК до терминала, представляет собой в данных механизм преступления. При анализе исследуемых электронных сообщений следует разграничить две составляющие, первая состоит из данных, устанавливающих самого пользователя, вторая характеризует само информационное сообщение. Подробный анализ первой составляющей позволяет установить имя, адрес (при использовании стационарного ПК), адрес поставщика услуг Интернет, адрес электронной почты, а также идентификационные признаки какого либо номера или счета используемого для производства транзакций, иные справочные данные, данные о юридическом лице, и т. д. Вторая составляющая помимо содержания самого сообщения включает в себя регистрации, данные интернет-сессии или сеанса связи, его время, продолжительность, скорость передачи сообщения, исходящие журналы интернет-связи включая, тип используемых телекоммуникационных протоколов и т. д. [6, с. 46.].
Кроме того, одним из важных параметров подключения к сети Интернет является цифровой адрес пользователя - IP-адрес. В общем случае, правильная диагностика зафиксированных в протоколах работы модема IP-адресов позволяет специалисту установить конкретного поставщика услуг Интернет. Отметим, что структуре IP адреса имеет важное значение при решении диагностических и идентификационных задач в случае собирания криминалистически значимой информации в КС. При этом протокол TCP/IP определяет собой пакетный способ передачи данных. Как известно, в общем виде, он представляет собой набор правил и стандартов, позволяющий осуществлять обмен информацией (дан-
1 VPN (Virtual Private Netzcom) сети - виртуальные корпоративные сети.
ЮРИДИЧЕСКИЕ НАУКИ
ными) между компьютерами. В практике раскрытия и расследования компьютерных преступлений нередко IP протоколы применяются в так называемых, составных и межсетевых коммуникациях, использующие различные технологии передачи данных и соединяемые между собой посредством программ, называемых шлюзами. В данном случае услуги по выделению новых IP-адресов бесплатны и осуществляются Стенфордским международным научно-исследовательским институтом (Stanford Research Institute International) США.
Прикладные протоколы, используемые при работе с электронной почтой, обозначаются SMTP (Simple Mail Transfer Protocol) для передачи электронной почты в сетях TCP/IP и POP3 (Post Office Proto^l) для получения почты с удаленного сервера по TCP-соединению отвечают, соответственно за отправку исходящей E-mail корреспонденции и за доставку входящей, с последующей передачей почтовому клиенту. Основной стандарт электронной почты определяется форматом RFC 822 (Standard for ARPA Internet Text Message), который определяет, что электронное сообщение должно состоять из следующих составляющих: заголовка в начале сообщения и самого текста письма. Заголовок отделяется от текста пустой строкой и содержит информацию об уникальном электронном идентификаторе сообщебния, дате создания и отправления, адресате, адресе отправителя, темы сообщения, маршруте движения сообщения, номерах использованных IP-протоколов, временные интервалы прохождения, о часовых поясах и зонах и т. д. Таким образом, заголовок фактически является основным «системным сообщением» о сообщении. В содержании письма может быть включена кодировка текста, типы присоединенных файлов и т. д. Проиллюстрируем сказанное примером. Рассмотрим вначале формат почтового интернет-адреса «russia@sait.msk.ru». Заметим, что в электронном адресе не должно содержаться пробелов. Позиция 1. Определяет имя пользователя в сети, и одновременно является его идентификатором в сети. Как правило, в качестве него пользователи используют свои имена, фамилии, их начальные буквы, псевдонимы и т. д. Позиция 2. Знак «@» разделяет имя пользователя и обозначения доменных имен, в свою очередь определяющих местоположение абонента в сети. Позиции 3, 4, 5 называются иерархической системой доменных имен (поддоменов), «вложенных» друг в друга и разделенных точками. Имя домена более высокого уровня находится правее. Позиция 3. Поддомен 3-го уровня «sait»-поддомен третьего уровня, включает в себя название, например одноименой фирмы. Правила образования имен внутри доменной структуры адреса определяется провайдером, формирующим доменую структуру второго уровня. Однако, что не всегда домен верхнего уровня может идентифицировать названия страны. К примеру в США в качестве доменов верхнего уровня встречаются названия правительственных организаций и учреждений. Кроме идентификаторов абонентов, в информационных системах «электронной почты» используются
почтовые псевдонимы, с помощью которых сетевыми администраторами осуществляется переадресование электронных сообщений. При этом одни строки, к примеру Received, Date, Message-ID, From формируются автоматически, иные To, Subject - отправителем. Количество строк показывает, сколько машин участвовало в доставке отправления к адресату, при этом указывается дата, время с учетом коррекции часового пояса, имена серверов, организованных на этих машинах и предоставленный для передачи сообщения IP протокол. Строка Date: указывает на дату и время отправления письма, смещение времени с учетом часового пояса. Строка From: указывает имя того, кто отправил почтовое сообщение, его обратный адрес, находящийся в скобках. Строка. То: (кому) указывает электронный адрес получателя письма. Строка Message-ID: обозначает уникальный, соответствующий и присвоенный только данному электронному почтовому сообщению номер, который представляет из себя уникальный идентификатор данного сообщения, присваемый службой почтового клиента FTP каждому электронному сообщению. Строка Subject: характеризует тему сообщения. Отметка Re означает, что сформированное электронное сообщение является ответом на ранее произведенный запрос. Как правило, исходное и входящее сообщение имеют одну строку. Для ответа информационной системой почтовой службы FTP формируется автоматически тема из исходящего сообщения. Строка Status: характеризует статус электронного сообщения, в которой службой отмечается уже прочитанное сообщение. Строка сообщение в данном случае содержит текст, зашифрованный с помощью криптоалгоритма «простой замены». Таким образом, зная IP адрес можно вычислить конкретный компьютер в локальной сети, а значит установить оперативными методами его содержимое, адрес его установки, владельца, сетевые реквизиты.
В заключении статьи отметим важность рассматриваемой проблематики, необходимость всестороннего подхода к решению указанных задач, требующих интеграции специальных знаний в различных областях знаний. Только использование достижений кибернетики через призму доказательственного права позволит грамотно, процессуально корректно получить криминалистически значимую информацию, содержащуюся в компьютерных сетях.
Список источников
1. Васильев А. А., Демин К. Е. Электронные носители данных как источники получения криминалистически значимой информации. Учебное пособие. М. : Изд-во МГОУ, 2009. 200 с.
2. Васильев А. А., Демин К. Е. Криминалистические аспекты получения доказательственной информации с электронных носителей данных // Публичное и частное право. 2011, вып. III (XI). С. 147-161.
3. Демин К. Е. Об методических основах получения криминалистически значимой информации, содержащейся в электронных носителях данных // Вест-
JURISPRUDENCE
ник Московского университета МВД России.2018 (4). С. 44-47.
4. Демин К. Е. О проблемах судебной компьютерно-технической экспертизы и путях их решения // Вестник Московского университета МВД России. 2017(2). С. 46-48.
5. Преступления в сфере компьютерной информации : квалификация и доказывание. Учеб. пособие / Под ред. Ю. В. Гаврилина. М. : ЮИ МВД РФ, 2003. 245 с.
6. Усов А. И. Концептуальные основы судебной компьютерно-технической экспертизы : дис. ... докт. юрид. наук. М., 2002. 402 с.
7. Хмыз А. И. К вопросу об установлении исполнителя электронного документа // Правовые проблемы укрепления российской государственности : сб. статей / под ред. С. А. Елисеева, Л. М. Прозументова, В. А. Уткина, О. И. Андреевой, М. К. Свиридова, А. С. Князь-кова. Томск : Изд-во Том. ун-та, 2016. Ч. 70. С. 212-214.
8. http://www.kremlin.ru/
References
1. Vasiliev A. A., Demin K. E. Electronic data carriers as sources of obtaining criminally significant information. Textbook. M. : Publishing House of Moscow State University, 2009. 200 p.
2. Vasiliev A. A., Demin K. E. Criminalistic aspects of obtaining evidentiary information from electronic data carriers // Pub-personal and private law. 2011, vol. III (XI). P. 147-161.
3. Demin K. E. About methodological bases of obtaining criminalistically significant information contained in electronic data carriers // Bulletin of the Moscow University of the Ministry of Internal Affairs of Russia. 2018 (4). P. 44-47.
4. Demin K. E. On the problems of judicial computertechnical expertise and ways to solve them // Bulletin of the Moscow University of the Ministry of Internal Affairs of Russia. 2017(2). P. 46-48.
5. Crimes in the field of computer information : qualification and proof of studies / edited by Yu. V Gavrilin. M. : Law Institute of the Ministry of Internal Affairs of the Russian Federation, 2003. 245 p.
6. Usov A. I. Conceptual foundations of forensic computer-technical expertise : dis. ... doct. yurid. nauk. M., 2002. 402 p.
7. Khmyz A. I. On the issue of establishing the executor of an electronic document // Legal problems of strengthening the Russian state : collection of articles / ed. by S. A. Eliseev, L. M. Prosumentov, V. A. Utkin, O. I. Andreeva, M. K. Sviridov, A. S. Knyazkov. Tomsk : Publishing House Vol. un-ta, 2016. Ch. 70. P. 212-214.
8. http://www.kremlin.ru/
Библиографический список
1. Абдурагимова Т. И., Васильев А. А. Основы судебной компьютерно-технической экспертизы. М. : МосУ МВД, 2004. 228 с.
2. Гаврилин Ю. В. Расследование преступлений, посягающих на информационную безопасность в экономической сфере : теоретические, организационно-тактические и методические основы. Тула : ГУП Издательство «Левша», 2009. 362с.
3. Демин К. Е. Информационно-телекоммуникационные системы как источники доказательственной информации // Деятельность правоохранительных органов в современных условиях. Сб. мат. XXI междунар. науч.-практич. конф. Иркутск : ФГКОУ ВПО ВСИ МВД России, 2016. С. 335-340.
4. http://zakoniporjadok.my1.ru/publ/4-1-0-7229.
Bibliographic list
1. Abduragimova T. I., Vasiliev A. A. Fundamentals of forensic computer-technical expertise. M. : MosU MVD, 2004. 228 p.
2. Gavrilin Yu. V. Investigation of crimes that encroach on information security in the economic sphere : theoretical, organizational, tactical and methodological bases. Tula : GUP-Publishing House «Levsha», 2009. 362 p.
3. Demin K. E. Information and telecommunications systems as sources of evidence-based information // The activity of law enforcement agencies in modern conditions. Sat. mat. XXI International Scientific and Practical Conference. Irkutsk : FGKOU VPO VSI MVD of Russia, 2016. P. 335-340.
4. http://zakoniporjadok.my1.ru/publ/4-1-0-7229.
Информация об авторе
К. Е. Дёмин - доцент кафедры оружиеведения и трасологии учебно-научного комплекса судебной экспертизы Московского университета МВД России имени В.Я. Кикотя, доцент кафедры криминалистики и судебной экспертизы Юридического института Российского университета Транспорта (МИИТ), кандидат юридических наук, доцент.
Information about the author
K. E. Demin - Associate Professor of the Department of Weapons Science and Tracology of the Educational and Scientific Complex of Forensic Examination of the Moscow University of the Ministry of Internal Affairs of Russia named after V.Ya. Kikot', Associate Professor of the Department of Criminalistics and Forensic Examination of the Law Institute of the Russian University of Transport (MIIT), Candidate of Legal Sciences, Associate Professor.
Статья поступила в редакцию 27.06.2022; одобрена после рецензирования 30.08.2022; принята к публикации 29.09.2022.
The article was submitted 27.06.2022; approved after reviewing 30.08.2022; accepted for publication 29.09.2022.
