0O'zbekiston МУИу Universiteti О'тЬекШо^а mediata'lim:muammolar, уесМт1аг va istiqbollar
СОВРЕМЕННЫЕ МЕТОДЫ КРИМИНАЛЬНОЙ ПСИХОЛОГИИ
В ЦИФРОВОЙ СРЕДЕ
Х. А. Рухиева
профессор кафедры общей психологии
Е. В. Бондарева
старший преподаватель кафедры общей психологии Национальный университет Узбекистана имени Мирзо Улугбека
АННОТАЦИЯ:
Методы криминальной психологии представляют собой систему общенаучных и специальных методов, которые применяются в единстве и взаимосвязи, поскольку любой специальный метод представляет специфическую комбинацию общенаучных. Криминальная психология в цифровой среде способствует сохранению, идентификации, извлечению и документированию компьютерных доказательств, которые могут быть использованы в суде или в расследованиях внутренних инцидентов информационной безопасности внутри компаний. Психологические знания помогают командам криминалистов и специалистов информационной безопасности анализировать, проверять, идентифицировать и сохранять цифровые доказательства, находящиеся на различных типах электронных устройств.
Ключевые слова: криминальная психология, компьютерная форензика, информационная безопасность.
АННОТАЦИЯ:
Жиноий психология усуллари-бу бирлик ва узаро богликликда кулланиладиган умумий илмий ва махсус усуллар тизими, чунки хар кандай махсус усул умумий илмий усулларнинг узига хос комбинациясини ифодалайди. Ракамли мухитдаги жиноий психология судда ёки компаниялар ичидаги ички ахборот хавфсизлиги ходисаларини текширишда ишлатилиши мумкин булган компютер далилларини саклаш, аниклаш, олиш ва хужжатлаштиришга ёрдам беради. Психологик билимлар криминологлар ва ахборот хавфсизлиги буйича мутахассислар гурухларига ракамли далилларни хдр хил турдаги електрон курилмаларда тахлил килиш, текшириш, аниклаш ва саклашга ёрдам беради.
187
May 2024
O'zbekiston Milliy Universiteti O'zbekistonda mediata'lim:muammolar, yechimlar va istiqbollar
^ationalUniversity^fUzbekista^^^^^^^^^MediaeiHi
Калит сузлар: жиноят психологияси, компютер суд експертизаси, ахборот хавфсизлиги.
ABSTRACT:
The methods of criminal psychology are a system of general scientific and special methods that are used in unity and interconnection, since any special method represents a specific combination of general scientific ones. Criminal psychology in the digital environment contributes to the preservation, identification, extraction and documentation of computer evidence that can be used in court or in investigations of internal information security incidents within companies. Psychological knowledge helps teams of criminologists and information security specialists analyze, verify, identify and store digital evidence on various types of electronic devices.
Keywords: criminal psychology, computer forensics, information security.
Введение. Современные преступники не похожи на тех, которые будоражили умы знаменитых детективов начала двадцатого века. Это уже не карманник, который в переполненном автобусе ловко разрежет вам сумку и незаметно вытащит из неё кошелёк, и не грабитель, который ночью в безлюдном месте сорвёт с шеи цепочку. Ценности стали виртуальными, и облик преступника изменился. Преступник нашего времени сидит дома перед компьютером. Он умён, умеет написать скрипт, который очистит банковский счёт или пластиковую карту, а зачастую просто владеет приёмами психологического воздействия, позволяющими ему, даже не применяя насилия, вынудить жертву добровольно всё ему отдать. В данном случае криминальная психология взаимодействует с цифровой криминалистикой. Последняя представляет собой процесс сохранения, идентификации, извлечения и документирования компьютерных доказательств, которые могут быть использованы в суде или в расследованиях внутренних инцидентов информационной безопасности внутри компаний.
Методология. Проведём краткий обзор основных методов цифровой криминалистики, используемых криминальной психологией при расследовании преступлений с использованием IT-технологий.
Компьютерная форензика - поиск следов и причин возникновения инцидента информационной безопасности на локальных машинах под управлением операционных систем Windows или Linux.
Сетевая форензика - в данном случае объектами расследований становится дамп сетевого трафика между хостами. Главной задачей сетевой форензики является контроль и анализ трафика компьютерной сети,
May 2024
188
O'zbekiston Milliy Universiteti O'zbekistonda mediata'lim:muammolar, yechimlar va istiqbollar National University of Uzbekistan_Media education in Uzbekistan: problems, solutions and prospects
необходимый для обнаружения вторжения и сбора доказательств. Перехваченный трафик может сохраняться для последующего анализа и использоваться как часть комплексного расследования или быть полноценным отдельным расследованием.
Форензика мобильных устройств - объектами расследований в данном случае являются смартфоны под управлением операционных систем Android или iOS. Основное отличие от компьютерной форензики заключается в наличии таких данных, как журнал вызовов, данные биллинга оператора, журнал SMS, история подключений к разным публичным Wi-Fi сетям и история геопозиции смартфона.
Криминальная психология является разновидностью процесса познания действительности, отражения предметов и явлений материального мира в сознании людей на основе практики. Такие философские категории, как материя, движение, энергия, информация, время, пространство, играют основополагающую роль при разработке всех криминалистических проблем.
Диалектическая философия вооружает ученого-психолога знанием общих категорий и законов познания, применимых в любом научном исследовании. Они помогают правильно исследовать факты и явления объективной действительности, относящиеся к предмету криминалистики. Так, важное значение для психологии имеет положение, согласно которому объект исследования должен рассматриваться в развитии. Следовательно, представления о предмете криминальной психологии должны быть динамичными, постоянно пополняющимися и изменяющимися в соответствии с уровнем развития науки.
Психологам-криминалистам нельзя обойтись и без формальнологических методов познания (анализ, синтез, формализация, абстрагирование, гипотеза, индукция, дедукция, аналогия и др.). Они применимы к любому разделу криминалистики в силу своего общелогического статуса.
Общенаучные методы, применяемые в криминальной психологии - это система правил, рекомендаций, приемов по изучению конкретных объектов, явлений, фактов:
наблюдение,
описание,
сравнение,
измерение,
эксперимент,
моделирование,
математические и кибернетические методы,
1 189^1 May 2024
O'zbekiston Milliy Universiteti O'zbekistonda mediata'lim:muammolar, yechimlar va istiqbollar
^ationalUniversity^fUzbekista^^^^^^^^^MediaeiHi
■ деятельностный и системно-структурный подходы.
Комплекс общенаучных методов постепенно пополняется, ибо по мере развития науки появляются общенаучные теории, а разрабатываемые в них приемы познания становятся общенаучными методами. Это, например, моделирование, в том числе математическое, деятельностный и системно-структурный подходы.
Применение общенаучных методов имеет всеобщий характер, однако они модифицируются в зависимости от объема и условий познания, технических средств, используемых исследователями. Специфику применения общенаучных методов в криминальной психологии обусловливают изучаемые ею закономерности, цели исследования, а также особая сфера деятельности борьба с преступностью.
Специальные методы - это собственно криминалистические методы и специальные методы других наук, заимствованные криминальной психологией для использования в научных исследованиях. Сфера их применения ограничена в том смысле, что они используются либо в криминалистике, либо в нескольких других науках.
Собственно криминалистические методы - это, прежде всего:
технико-криминалистические методы (фотографическое усиление контрастов, цветоделение, получение для исследования экспериментальных объектов, характеристик рельефа следов и др.);
структурно-криминалистические методы, используемые при планировании расследования преступлений;
тактические приемы, применяемые при производстве следственных действий;
рекомендации, составляющие содержание криминалистических методик расследования, и т.д.
Кроме того, это модифицированные методы криминалистической фотографии, видеозаписи, голографии и др.
Остановимся подробнее на таком разделе, как компьютерная форензика - основной и самый объёмный раздел цифровой криминалистики. Объясняется это широким распространением объектов работы, которыми являются корпоративные АРМ (автоматизированное рабочее место), корпоративные ноутбуки, подключенные к DMZ (англ. Demilitarized Zone -демилитаризованная зона) или ПК пользователей. Расследования в данном случае сводятся к поиску артефактов (следов) взлома или нарушения политик безопасности на локальной машине.
Основные методики расследований:
May 2024
190
O'zbekiston Milliy Universiteti O'zbekistonda mediata'lim:muammolar, yechimlar va istiqbollar
1) Анализ RAM (Random Access Memory). Данный метод подразумевает под собой создание криминалистом слепка оперативной памяти, сохранение его в файл и дальнейшее изучение. Метод актуален в случае возможности быстрого реагирования Security Operation Center на выявление нового инцидента. В такой ситуации дежурный специалист ИБ может оперативно получить физический доступ к локальной машине до его перезагрузки или выключения, снять дамп (слепок) оперативной памяти, сохранить его в файл и использовать для дальнейшего расследования. Во время снятия образа оперативной памяти специалисту по форензике необходимо учитывать, что некоторое вредоносное программное обеспечение может защищаться от снятия слепков своего содержимого из RAM, если софт для создания образа запущен в обычном пользовательском режиме.
Подобное программное обеспечение имеет активные системы противодействия отладке, способные прервать попытки других программ считать данные из защищенных областей памяти. В данной ситуации есть вероятность получить повреждённый образ оперативной памяти (файл образа памяти будет содержать только нули или случайные данные). Также есть вероятность получить перезагрузку локальной машины, делающую дальнейшее исследование данным методом невозможным (т.к. оперативная память будет очищена).
Для обхода данного ограничения специалисту необходимо использовать специализированные программы и инструменты - например, Belkasoft Live RAM Capturer. Данный софт может работать в привилегированном режиме ядра операционной системы. Специализированные программы включают 32- и 64-разрядные драйверы, работающие в режиме ядра и позволяющие корректно обрабатывать области данных, принадлежащие защищенным процессам.
2) Анализ содержимого жёстких дисков (HDD). Данный метод является самым популярным в ходе расследования внутренних инцидентов информационной безопасности. Метод заключается в создании побитовой копии образа жёсткого диска и дальнейшего анализа его содержимого. В процессе создания дампа жёсткого диска специалисту цифровой криминалистики важно не оставить следов своего вмешательства, иначе в случае судебных разбирательств сторона защиты может использовать данное изменение, как аргумент в свою сторону. Для копирования образа твердотельного носителя может использоваться как специализированное программное обеспечение с загрузочного флэш-носителя (например, The Forensic Toolkit Imager (FTK Imager)), так и отдельные аппаратные комплексы (например, Atola Insight или Tableau Forensic Imager). В случае использования
May 2024
191
O'zbekiston Milliy Universiteti O'zbekistonda mediata'lim:muammolar, yechimlar va istiqbollar
^ationalUnversijy^fUziikiiiii^^^^^^^^^Bidäe^
программных решений софт записывает свои действия в специальный файл логов, в котором уточняется время копирования выбранных директорий, записываются контрольные суммы файлов, а также указываются заводские номера накопителей информации. В случае использования аппаратных решений проблемы невмешательства решается другим путём - побитовое копирование файлов возможно при аппаратной блокировке записи на носителе.
Заключение. Современные методы компьютерной криминалистики могут обеспечить полноценное расследование инцидентов информационной безопасности. Правильный подход и использование необходимых методов цифровой криминалистики в соответствии с требованиями к каждому инциденту обеспечит сбор необходимых цифровых доказательств, позволит определить слабые места в корпоративной сети, провести полноценные превентивные меры. Также в ходе расследований необходимо помнить о проблеме невмешательства в данные носителей и предпринимать необходимые меры для каждого из методов.
REFERENCES:
1. Голик К. Н. Криминалистическое исследование мобильных устройств // Современная юриспруденция: актуальные вопросы, достижения и инновации. Пенза, 2019. - С. 206-208.
2. Медведев И. В. Компьютерная криминалистика «Форензика» и киберпреступность в России // Пролог: журнал о праве. 2013. № 3.
3. Федотов Н.Н. Форензика - компьютерная криминалистика. М.: «Юридический мир», 2007. - 433 с.
4. Collier P. A., Spaul B. J. A forensic methodology for countering computer crime // Computers and Law. 1992. Vol. 6. - P. 2023-2150.
192
May 2024
