РОЛЬ ФОРЕНЗИКИ В РАССЛЕДОВАНИИ КИБЕРПРЕСТУПНОСТИ. КРИМИНАЛИСТИЧЕСКИЙ АСПЕКТ Текст научной статьи по специальности «Право»

РОЛЬ ФОРЕНЗИКИ В РАССЛЕДОВАНИИ КИБЕРПРЕСТУПНОСТИ. КРИМИНАЛИСТИЧЕСКИЙ АСПЕКТ

М.С. Шуваева, канд. юрид. наук, старший преподаватель, подполковник полиции А.В. Николаева, курсант

Московский университет МВД России имени В.Я. Кикотя (Россия, г. Москва)

DOI:10.24412/2500-1000-2021-6-2-234-238

Аннотация. В статье дается оценка современного состояния преступлений в сфере информационно-телекоммуникационных технологий. Дано понятие форензики, приводится ее классификация. Рассмотрены некоторые виды следственных действий, направленных на расследование киберпреступности. В статье обозначены тактические рекомендации по их осуществлению в сфере раскрытия, расследования ^-технологий.

Ключевые слова: криминалистика, киберпреступность, компьютерные преступления, форензика, компьютерная криминалистика, П- технологии, лог-файл, криминалистические средства и методы, эксперт, специалист.

Сегодня весь мир поглотили информационные технологии, а человек XXI века и вовсе не смыслит жизни без компьютера, смартфона, интернета и социальных сетей. Естественно, это привело к тому, что и преступная деятельность неизбежно стала развиваться в данном направлении - в сфере компьютерных технологий. На сегодняшний день все чаще наблюдаются преступления, совершаемые с использованием технических средств, что подтверждается статистическими данными МВД и Генпрокуратуры: «за январь 2020 года правоохранительными органами РФ зарегистрировано 28,14 тысячи (+75,2%) преступлений, совершенных с использованием информационно-телекоммуникационных технологий или в сфере компьютерной информации» [1], что на 51,7% выше уровня 2019 г. [2]. Такой рост преступности заставляет правоохранительные органы искать и применять в своей деятельности иные, обновленные способы расследования преступлений, разрабатывать новые методики и тактические рекомендации по раскрытию и расследованию вновь появляющихся видов преступлений, и важнейшее место в этом процессе занимает криминалистика.

Роль криминалистических средств и методов в раскрытии киберпреступлений неуклонно растет. Связано это с тем, что именно криминалистические рекоменда-

ции помогают сотрудникам правоохранительных органов в своей деятельности выявлять и правильно осуществлять осмотр, изъятие и исследование следов IT-технологий, сбор, проверку и оценку доказательств, которые в конечном итоге будут признаны таковыми в силу своей достоверности и допустимости.

На сегодняшний день в криминалистике заговорили о таком явлении, как форензика. Дефиниция «форензика» происходит от латинского «foren» - «речь перед форумом», иными словами, выступление перед судом, судебные дебаты [3]. Данный термин пришел к нам из английского языка, где слово «forensics» обозначает «сокращенную форму «forensic science» - «судебная наука», наука об исследовании доказательств. В русском языке это понятие чаще называют криминалистикой, а слово «фо-рензика» закрепилось за компьютерной ее частью, т.е. обозначает именно «компьютерная криминалистика». Таким образом, «форензика - это компьютерная криминалистика, т.е. прикладная наука о раскрытии и расследовании преступлений в сфере компьютерной информации, связанная с исследованием следообразования цифровых доказательств, а также методов их выявления и различного рода технических средств, используемых в ходе совершения и расследования преступления» [3].

В России данное направление только

начинает развиваться, но в других странах оно уже достаточно развито и даже классифицируется на виды:

1. «Компьютерная форензика» - осуществляет анализ оперативной памяти, жесткого диска, реестра, журналов операционной системы.

2. «Network forensics» занимается расследованием в области сетевого стека.

3. «Forensic data analysis» анализирует файлы, структуры данных и бинарные последовательности, которые остались после атаки или использовались при вторжении.

4. «Mobile device forensics» изучает особенности извлечения данных из iOS и Android.

5. Hardware forensic» - данное направление наиболее сложно, именно поэтому и менее популярно. Оно осуществляет экспертизу аппаратного обеспечения и технических устройств. К примеру, исследует работу скиммера, который установлен в банкомате или диапазон частот работы Wi-Fi-передатчика.

Особенностью форензики является то, что следы киберпреступления, как правило нематериальны, а значит их изучение не сможет провести обычный криминалист, не обладающий познаниями в сфере IT-технологий. Именно поэтому для выявления механизма следообразования такого вида следов необходимо привлекать специалиста из сферы IT-технологий.

Форензикой занимаются, как правило, IT-криминалисты, а также эксперты компьютерно-технической экспертизы, что очевидно, поскольку провести ряд следственных действий грамотно, не уничтожив и не повредив следы преступления, а также собранные доказательства по делу сложно, а порой и невозможно. Их процессуальные положения определяются в зависимости от того, какую деятельность они осуществляют, т.е. эксперт или специалист.

Так, при осуществлении ряда процессуальных действий - осмотра места происшествия, осмотра вещественных доказательств по делу, производства обыска или выемки целесообразно участие специалиста (ч. 1 ст. 58 УПК РФ).

При осуществлении судебной компью-

терно-технической экспертизы - эксперта, который даст подробное заключение по результатам ее производства, ответит на поставленные следователем вопросы (ч.1 ст.57 УПК РФ).

Компьютерно-техническая экспертиза является одним из видов экспертиз, объектом которой выступает компьютерная информация, которая является или средством совершения преступления или его объектом. Целью такой экспертизы является установление значимой для следственных органов и суда обстоятельств по делу, а

также получение доказательств, к примеру:

1. определение статуса ЭВМ;

2. установление роли компьютерного средства в рассматриваемом уголовном деле;

3. получение дополнительных доказательств по делу;

4. получение доступа к информации, расположенной на электронных носителях, последующее исследование данной информации.

Возможные вопросы, которые могут стоять перед экспертом:

1. О наличии информации по делу на исследуемом объекте;

2. О пригодности для исследования соответствующего по делу объекта для определенных целей;

3. О действиях, которые были совершены посредством исследуемого объекта, их времени и последовательности осуществления;

4. «Об идентификации найденных электронных документов, программ для ЭВМ, о признаках пользователей компьютера» [3];

5. О свойствах программ для ЭВМ, в частности о том, могут ли они относиться к разряду вредоносных.

В своем заключении эксперт обязан указать «примененные методики» (п. 9. ч. 1 ст. 204 УПК РФ).

С целью грамотной формулировки вопросов эксперту, следователь может обратиться за помощью к специалисту. К примеру, частой ошибкой является вопрос «об установлении личности пользователя компьютера». Ведь даже если о пользователе

имеется какая-либо информация, то она может иметь лишь предположительный характер, т.к. компьютером могло пользоваться иное лицо, что важно помнить.

Рассмотрим некоторые следственные действия по раскрытию, расследованию ^-технологий и определим криминалистическую тактику их производства.

Осмотр места происшествия (ст. 176, ст. 177 УПК РФ) в данной сфере - это прежде всего исследование цифровой информации, находящейся в ПК - т.е. в целом его внутреннего содержимого, так как не всегда выводимая на монитор экрана информация является объективной, что означает возможность упустить очень важные детали. Для того, чтоб не упустить важные детали в ходе расследования, необходимы специальные познания в этой области, а также ряд технических и программных средств. К примеру, проверяя посещенные пользователем веб-страницы, важно учитывать обращение к DNS-резолверу [4], который кэширует информацию, а также к DNS-серверам. Подобного рода обращения могут признаваться доказательствами посещения определенных веб-страниц и в дальнейшем иметь ключевую роль в расследовании преступления. Можно просмотреть и лог-файлы - это некие журналы регистрации, которые ведутся автоматически без участия человека, представляющие собой текстовые файлы, содержащие в себе базу данных в оперативной памяти о событиях, которые зафиксированы определенной программой, совокупностью программ, информационной системой. Лог-файл может являться доказательством по делу, но, как правило, в совокупности с заключением эксперта.

Следующее следственное действие -обыск (ст.182 УПК РФ). В компьютере может содержаться значимая для дела информация, поэтому обыск его производится с учетом следующих требований:

1. Необходимо взять под контроль место, где установлена исследуемая техника, электрощит, не допустив приближение к данным объектам каких-либо лиц, за исключением специалиста. Если это не представляется возможным обеспечить, необходимо фиксировать их положение и дей-

ствия.

2. Не следует включать выключенное устройство.

3. Важно каким-либо способом запечатлеть компьютерную технику, наличие кабелей и место, куда они подключены (по средствам фотографирования, видеозаписи, зарисовки). Все, что подключено к компьютеру также необходимо зафиксировать и запротоколировать.

4. В случае, если устройство включено, необходимо зафиксировать то, что находится на его мониторе. К тому же, компьютер может находиться в спящем режиме: тогда действия осуществляются по руководству руководителя операции: 1) можно сразу отключить его; 2) можно, пошевелив мышкой, вывести из спящего режима и зафиксировать монитор; 3) в случае, если на мониторе после второго варианта появляется окно с вводом пароля, необходимо зафиксировать данный факт и отключить устройство.

5. Необходимо собрать имеющуюся рядом с компьютером информацию: листочки с паролями, сетевыми адресами и иными записями, которые имеют отношение к компьютеру.

6. Если на месте осмотра обнаружен печатающий принтер - дождаться пока он окончит печать, после чего все содержимое лотка изымается.

7. Далее специалист правильно выключает компьютер. Если специалист отсутствует, выключение необходимо производить путем вытаскивания кабеля питания не из стенной розетки, а из корпуса компьютера. Если это ноутбук, то выключение происходит путем извлечения электрического шнура, а затем аккумулятора, при этом без закрытия крышки устройства.

8. Все технические устройства должны быть опечатаны аккуратно так, чтоб не произошло проникновение внутрь корпуса, исключив подключение к питанию. Все действия в обязательном порядке протоколируются.

9. Изъятые в ходе обыска технические устройства аккуратно упаковываются, исключив повреждения.

10. Осуществить опрос и узнать пароли, иные данные от компьютера внима-

тельно зафиксировав каждый символ письменно. При этом не следует заносить их в протокол.

Следующее следственное действие -выемка (ст. 183 УПК РФ). Подобное следственное действие помогает произвести работу с электронным источником, а также осуществить его осмотр в удаленном от места происшествия месте, поскольку очень часто сделать это на территории, где произошло преступление, попросту не представляется возможным. Так, очень часто производят изъятие жестких дисков, флеш-карт, файлы из памяти ПК, информацию с сайтов и социальных сетей сети «Интернет», а также сам компьютер и различного рода мобильные устройства. В ходе производства выемки важно учитывать следующие принципы:

1. При изъятии компьютерной техники вся имеющаяся на ней информация ни коем образом не должна изменяться, поскольку на следователе лежит обязанность доказать, что представленная информация не подверглась редактированию, только тогда ее можно признать допустимым по делу доказательством. Ни в процессе обыска, ни при последующем хранении.

2. Каждое действие, проводимое с компьютерной техникой, должно в обязательном порядке протоколироваться для того, чтобы независимый исследователь при повторном производстве подобных действий мог получить именно такие же результаты.

Для работы по расследованию кибер-преступности, помимо универсального компьютера, используют также и различного рода специальные технико-криминалистические средства, которые облегчают работу криминалиста.

Так, Федотов в своей книге выделяет следующие из них:

1. «устройства для клонирования жестких дисков и других носителей информации (к примеру, «FTK Imager», позволяющие клонировать носители данных в Windows) [5];

2. программные инструменты для криминалистического исследования содержимого дисков и других носителей, а также их образов;

3. устройства для подключения иссле-

дуемых дисков с аппаратной блокировкой записи на них;

4. переносные компьютеры с комплексом программных и аппаратных средств, ориентированных на исследование компьютерной информации в полевых условиях;

5. наборы хэшей (hash sets) для фильтрации содержимого изучаемой файловой системы;

6. аппаратные и программные средства для исследования мобильных телефонов и SIM-карт [W01, 60, 90];

7. программные средства для исследования локальных сетей и другие» [3].

Ранее мы приводили статистику и уже говорили том, что количество преступлений в сфере информационно-телекоммуникационных технологий набирает обороты. Особенный рост преступности в стране, за последний год, пришелся на период пандемии, вызванной COVID-19, поскольку население страны стало временно изолировано от внешнего мира и контактного общения, обеспечение жизнедеятельности граждан осуществлялось посредством компьютерных технологий - это спровоцировало волну совершения кибер-преступлений. Именно это заставляет поднять проблему о недостатке криминалистических рекомендаций и методик расследования IT-преступлений, а также обозначить значимость развития и дальнейшего продвижения компьютерной криминалистики в сфере раскрытия, расследования и предупреждения совершения преступлений в сфере как информационных технологий, так и появляющихся новых видов преступлений на территории Российской Федерации. Поскольку большинство зарубежных стран в совершенстве уже освоили форензику, то это положительно сказалось на их криминогенной обстановке: понижением показателей статистики преступности совершения IT-преступлений, повышением количества раскрытых в этой сфере преступлений. Таким образом, роль форензики очевидна, ее положения необходимо развивать в России, поскольку это позволит преодолеть прирост киберпреступности. Если следственные, оперативно-розыскные и др. подразделения органов внутренних дел

научатся грамотно осуществлять ряд ме- лам, возбуждающимся в сфере информа-роприятий по раскрытию и расследованию ционных технологий, предохраняя их от киберпреступлений, с учетом изучения и каких-либо повреждений и уничтожения. применения на практике криминалистиче- Позволит России встать на один уровень с ских рекомендаций и методик по их про- зарубежными странами в борьбе с кибер-ведению (которые необходимо разрабаты- преступностью, где явление «форензики» вать, совершенствовать уже имеющиеся), уже достаточно развито, а наша страна то это позволит должным образом осмат- только начинает делать первые шаги и ривать, изымать и исследовать цифровые развиваться в данном направлении. следы (доказательства) по уголовным де-

Библиографический список

1. Состояние преступности в Российской Федерации за январь-март 2020 г. URL: https://genproc.gov.ru/upload/iblock/969/sbomik_3_2020.pdf (Дата обращения: 02.10.2020)

2. Краткая характеристика состояния преступности в Российской Федерации за январь 2020 г. URL: https://^^/reports/item/19655871 (Дата обращения: 02.10.2020).

3. Федотов Н.Н. Форензика - компьютерная криминалистика - М.: Юридический Мир, 2007. - 432 с, С.11.

4. Введение в систему доменных имен URL: https://www/google.ru/amp/s/tproger.ru/explain/domain-name-system/amp (Дата обращения: 02.10.2020).

5. Компьютерная криминалистика // URL: https://spy-soft.net/computer-forensics / 8212 (Дата обращения: 29.10.2020).

ROLE OF FORENSICS IN CYBERCRIME INVESTIGATION. CRIMINALISTIC ASPECT

M.S. Shuvaeva, Candidate of Legal Sciences, Senior Lecturer, Police Lieutenant Colonel A.V. Nikolaeva, Cadet

Moscow University of the Ministry of Internal Affairs of Russia named after V.Ya. Kikotya (Russia, Moscow)

Abstract. The article provides an assessment of the current state of crime in the field of information and telecommunication technologies. The concept of forensics is given, its classification is given. Some types of investigative actions aimed at investigating cybercrime are considered. The article outlines tactical recommendations for their implementation in the field of disclosure and investigation of IT technologies.

Keywords: forensics, cybercrime, computer crimes; forensics, computer forensics, IT technologies, log file, forensic tools and methods, expert, specialist.