Криминалистическое исследование электронных и цифровых следов

Понятие, значение и виды электронных и цифровых следов

Под компьютерными (электронными, цифровыми) следами понимают компьютерную (электронную, цифровую) информацию, возникающих в процессе функционирования компьютерной техники, электронных средств связи, иных современных информационно-телекоммуникационных систем^[1] и имеющую доказательственное и криминалистическое значение.

В криминалистике используется несколько терминов для обозначения указанных следов: виртуальные, компьютерные, машинные, цифровые, электронные и некоторые другие менее распространенные термины. Применение соответствующих терминов связано с выделением разных аспектов исследования указанных следов. Термин «компьютерные следы» передает главенствующую роль компьютеров как основного технического средства обработки нового вида информации, термин «электронные следы» отражает природу действия такой техники, основанной на электронных микросхемах, «цифровые следы» выражают форму представления информации, создаваемой и обрабатываемой соответствующими техническими средствами. Термины «компьютерные», «электронные», «цифровые следы» используются как синонимы.

Электронные следы, как и любой другой вид информации, состоит из двух элементов: информации — сведений о каком-либо явлении объективной реальности и материального носителя данных сведений. Содержание компьютерной информации представлено в цифровой форме, пригодной для обработки ЭВМ, ее материальным носителем является электромагнитное поле. Электромагнитное поле, на котором зафиксировано определенное содержание компьютерной информации, может существовать в специальном техническом устройстве (в компьютере, периферийном оборудовании, съемном машинном носителе и т. д.), передаваться по проводной связи или находиться вне такого устройства (обмен данными по беспроводной связи). Техническое устройство, в котором находится информация, рассматривается как вторичный материальный носитель информации. Данное техническое устройство может иметь предметную форму с точными пространственными границами, например, компьютер, съемный носитель информации. В случае передачи информации по проводной сети такие границы теоретически можно выделить, но практически установить время нахождения определенной информации в конкретном участке сети не представляется возможным. В тех ситуациях, когда компьютерная информация существует вне технического устройства, она не имеет предметной (вещной) формы.

Таким образом, носитель компьютерной информации может быть как материально-фиксированным предметом (жесткий диск, съемные электронные носители), так и не иметь предметной формы (передача информации по беспроводным каналам в компьютерных сетях, например WI-FI).

Предметом технико-криминалистического исследования компьютерных (электронных, цифровых) следов является разработка приемов, способов, рекомендаций по обнаружению, фиксации, изъятию, хранению и исследованию таких следов, а также создающих их технических и программных средств.

Криминалистическое исследование указанных следов — один из самых сложных и трудоемких видов технико-криминалистического исследования, что обусловлено следующими особенностями этих объектов:

• 1) компьютерная информация не доступна для непосредственного человеческого восприятия;
• 2) определенное содержание информации не может быть однозначно закреплено за конкретным материальным носителем;
• 3) электромагнитное поле — материальный носитель компьютерной информации — невозможно индивидуализировать;
• 4) содержание информации может быть отделено от ее материального носителя без взаимных изменений, изменение содержания компьютерной информации не вызывает изменения ее носителя и наоборот;
• 5) наличие технических возможностей по быстрой обработке, ознакомлению, изменению, уничтожению информации, в том числе путем удаленного доступа, и вне контроля лиц, правомерно пользующихся данной информацией;
• 6) не всегда возможно восстановить первоначальное содержание измененной или удаленной информации;
• 7) постоянное и достаточно быстрое изменение компьютерной техники, технологий обработки компьютерной информации, появление новых видов компьютерной информации и техники;
• 8) необходимость преодоления защитных средств при исследовании компьютерной информации.

В случаях, когда правоохранительные органы и суд интересуют свойства собственно компьютерной техники (потребительские свойства) вне связи с обрабатываемой этой техникой информацией или установлением обстоятельств ее использования, назначается судебно-товароведческая экспертиза, которая может проводиться специалистами в области компьютерной техники или с участием таких специалистов.

В случаях, когда необходимо установить стоимость компьютерной информации и техники, то следует проводить экспертную оценку стоимости таких объектов. Эксперт, проводящий такое исследование, должен обладать знаниями в области оценочной деятельности.

Наиболее часто исследуются следующие объекты компьютерной техники, создающие указанные следы: компьютеры и их компоненты; микрокомпьютеры, встроенные в различные устройства (часы, телевизоры и др.); периферийные устройства (мониторы, принтеры, сканеры и др.); средства связи (сотовые телефоны, смартфоны и др.); сетевые технические средства (серверы, рабочие станции, и др.); портативные системы видеонаблюдения; видеокамеры, фотоаппараты; диктофоны; органайзеры; GPS навигаторы и иные навигационные устройства; съемные носители компьютерной информации (компакт-диски (CD-ROM), USB флеш-накопители, дискеты, SIM-карты, пластиковые карты и т. п.) и др. Развитие научно-технического прогресса приводит к постоянному обновлению компьютерной техники, появлению одних технических средств и исчезновению других. Так, в настоящее время практически полностью исчезли из употребления дискеты, пейджеры, сокращается использование CD-дисков. Постоянно происходит обновление мобильных средств связи. В связи с развитием Интернета вещей (Internet of Things, IoT), в том числе и использования Интернет-технологий для управления средствами производства (Industrial Internet of Things, НоТ) следует ожидать расширения исследований комплексных технических средств: микрокомпьютеров, встроенных в различные приборы, и сопряженных с ними сетевых компьютерных устройств. В частности, быстро увеличиваются исследования в отношении компьютеризированных блоков управления в транспортных средствах, беспилотных радиоуправляемых летательных аппаратах (дронов).

Как правило, электронные следы классифицируются по следующим основаниям: материальному носителю, функциональному назначению и правовому статусу.

В соответствии с типом носителя, на котором находятся электромагнитные поля с компьютерной информацией, можно выделить следы, находящиеся на следующих носителях:

• 1) жестком магнитном диске (винчестер, НЖМД, HDD, RAID). Это устройства, которые могут находиться как внутри компьютера, так и в отдельном блоке;
• 2) оперативном запоминающем устройстве (ОЗУ-RAM) и постоянном запоминающем устройстве (ПЗУ-ROM);

• 3) микропроцессорах;
• 4) съемных носителях информации;
• 5) электронных средствах связи: проводных и беспроводных (линии электросвязи, компьютерные сети и другие), в которых они находятся при передаче.

По правовому статусу компьютерная информация подразделяется на два вида: документированная информация (документ) и информация, не имеющая документированной формы. Документ как вид информации выделяют реквизиты, позволяющие определить информацию, содержащуюся в документе. Реквизитами электронного документа в соответствии с законодательством являются электронная подпись (простая и усиленная), коды, пароли, иные аналоги собственноручной подписи.

Объектами исследования в недокументированной цифровой информации выступают содержание информации и ее материальный носитель, в электронных документах самостоятельным объектом исследования могут стать также их реквизиты, программные и аппаратные средства, используемые для их создания.

По функциональному назначению компьютерная информация подразделяется на текстовые и графические документы, данные в форматах мультимедиа, информацию в форматах баз данных, программное обеспечение. Выделяют следующие типовые виды программного обеспечения: базовые программы, операционные системы, служебные (сервисные) программы, программы, языки программирования, прикладные программы. Последний вид программ наиболее широко распространен и, соответственно, наиболее часто является объектом криминалистического исследования. В данную группу входят средства обработки текстов и изображений (текстовые процессоры и редакторы, графические редакторы), системы управления базами данных, системы управления знаниями («экспертные системы»), электронные таблицы, интегрированные пакеты, игровые программы, средства, предназначенные для работы с интернет-средой, специализированные программы для решения задач в узкой предметной области и др.

Вредоносные программы являются разновидностью специализированных программных средств. Существуют полноценные вредоносные программы и средства, не являющиеся полностью законченной программой, но обладающие функциями, которые в результате взаимодействия их с другими программами, осуществляют несанкционированные действия с информацией (например, «эксплойты» — exploits).

В ходе криминалистического исследования компьютерной информации с целью более полного познания ее свойств могут изучаться вспомогательные объекты, как являющиеся, так и не являющиеся электронной информацией: копии компьютерной информации на другом носителе (например, распечатка на бумажном носителе данных, содержащихся в компьютере); записи с паролями и кодами пользователей; видеои аудиозаписи, фиксирующие обстоятельства использования компьютерных систем (например, действия пользователей); описание компьютерных программ, в том числе исходные коды; сопроводительная документация к компьютерной технике (например, руководства по их эксплуатации); инструкции пользователей, администраторов компьютерных сетей ит.п.; множительная техника; иные технические средства; расходные материалы и комплектующие (например, емкости с красящим веществом, использованным в печатающих устройствах) и некоторые другие.

Задачи технико-криминалистического исследования компьютерных (электронных, цифровых) следов можно разделить на идентификационные, классификационные, диагностические, реконструкционные и поисковые.

Идентификационные и классификационные задачи объединены по следующим причинам. Во-первых, на современном этапе, в большинстве случаев, криминалисты не располагают инструментарием, позволяющим провести идентификацию единичных материальных объектов, изучаемых в рамках криминалистического исследования компьютерной информации, а также использовать эти объекты для индивидуальной идентификации других объектов. Во-вторых, при решении классификационных задач стремятся выйти на уровень как можно более узкой классификационной группы, выделить отдельные индивидуализирующие признаки, пусть и недостаточные для индивидуальной идентификации. Поэтому идентификационные методики применяются для решения классификационных задач.

Типовые идентификационные и классификационные задачи:

• 1) определить тип (вид, модель, марка) или конкретное аппаратное (программное) средство, которое применялось при операциях с электронной (цифровой) информацией;
• 2) определить вид (системное или прикладное программное обеспечение текстовые файлы, программы, и т. д.) или более узкая классификационная группа (версия программы, редакция тестового файла), к которой относится представленная компьютерная информация;
• 3) определить тип (вид, модель, марка) представленной компьютерной техники;
• 4) определение общего источника происхождения содержания информации, представленной на разных носителях (создание ее определенной программой и т. п.);
• 5) определить назначение представленного компьютерного устройства;
• 6) определить пользователей и поставщиков сетевых услуг (провайдеров), ресурсы, которые они предоставляют другим пользователям сети.

При решении идентификационных задач надо учитывать, что на современном этапе ограничены возможности экспертной идентификации лица (автора, изготовителя) по компьютерной информации. Нет достаточно надежных методик установления автора или изготовителя компьютерной информации, например, по программному коду или другим особенностям компьютерной информации. Встречающиеся в литературе предложения использовать в этих целях методики, применяемые для решения аналогичных задач в других отраслях криминалистической техники, в частности, в автороведении не имеют достаточного экспериментального подтверждения.

Для авторизации компьютерной информации, придания ей юридической силы, защиты данных, используются в качестве реквизитов: фамилия, имя, псевдонимы, электронная подпись и т. п. Поскольку эти средства не отражают неотъемлемые свойства (например, биологические) человека как идентифицируемого объекта, то отсутствует непосредственная связь между этими средствами и физическими признаками личности человека. Связь между реквизитом компьютерной информации и человеком устанавливается в результате взаимодействия организационных, технических, социальных факторов. Теория идентификации не располагает инструментарием для установления данных факторов, это является задачей расследования. Поэтому нельзя возлагать на экспертизу задачу идентификации лица по компьютерной информации, используемой для обозначения лица, от которого исходит изучаемая информация: фамилия или иные сведения о лице, псевдонимы, коды, в том числе электронная подпись и т. п. Так, в одной из экспертиз был сделан следующий вывод об авторах программы: «Авторами вредоносной программы и инструкции по ее установке являются лица, имеющие хакерские клички. Оба они входят в хакерскую организацию…» Основанием для данного вывода явилось присутствие в одном из файлов исследуемой вредоносной программы псевдонимов — хакерских кличек. Установление только указанного признака не позволяет сделать данный вывод. Лицо может поместить в программу или другой вид компьютерной информации любое имя (в целях маскировки, плагиата и т. п.).

Идентификация лица возможна по его биометрическим данным, представленным в виде компьютерной информации (голос, дактилоскопические узоры и т. п.). Здесь мы имеем дело со знаковой формой идентификацией. Идентификация человека проводится не по собственно его биологическим свойствам, а по их цифровым отображениям. Решение вопроса о достоверности вывода (точнее степени достоверности) при знаковой форме идентификации зависит от закономерностей описания, передачи и предоставления информации, присущей той системе знаков, которая была использована для анализа идентифицируемого объекта и создания его цифровой копии.

Отображение предметов (явлений, процессов) реального мира в виде компьютерной информации основано на математическом аппарате. Описание свойств соответствующих объектов возможно как точно и однозначно, так и с разной степенью соответствия. В зависимости от степени изоморфизма отражения в компьютерной информации свойств идентифицируемых объектов, мы можем говорить о степени достоверности выводов об их идентификации.

Оценивая достоверность компьютерной информации, необходимо учитывать, что данный вид информации, как и любая другая знаковая система, может содержать сведения, которые неправильно передают свойства описываемых объектов. Это может произойти как в результате ошибок, присущих самой знаковой системе, например, некорректный выбор математической модели, языка программирования, так и из-за несовершенства технических и программных средств, поддерживающих существование компьютерной информации^[2]. Кроме того, возможно умышленное использование биометрической информации определенного лица третьими лицами или искажение такой информации.

Следовательно, при корректном выборе математического аппарата и надежности работы программного и технического обеспечения возможна обоснованная и достоверная идентификация лица по его биометрическим свойствам, выраженным в форме компьютерной информации. В то же время субъект доказывания должен учитывать возможность наличия вышеуказанных обстоятельств.

В настоящее время в криминалистике нет апробированных методик, которые позволили бы провести идентификацию технических комплексов (единичный компьютер, сеть ЭВМ). Решение задачи идентификации компьютера или сети ЭВМ требует установления временных, организационных обстоятельств использования таких комплексов, что нельзя сделать только в рамках экспертизы. Поэтому установление единичной ЭВМ или компьютерной сети является задачей процессуального доказывания. Экспертная идентификация выступает как одно из средств, используемых для достижения конечной цели.

Идентификация некоторых электронных печатающих устройств (принтеров, телефаксимильных аппаратов и др.) проводится по признакам, отобразившимся в знаковой информации на бумажных носителях. Как правило, идентификация таких устройств проводится в рамках технико-криминалистического исследования документов или комплексных экспертных исследований с участием экспертов в области СТЭД и компьютерной экспертизы.

Типовыми диагностическими задачами являются:

• 1) установление факта изменения компьютерной информации после ее создания, выявление признаков такого изменения;
• 2) установление времени создания (удаления, изменения) информации, хронологической последовательности функционирования компьютера, их системы или сети;
• 3) установление функций, выполняемых определенной программой или техническим средством;

• 4) установление способа доступа к компьютерной информации и (или) оборудованию;
• 5) установление фактического состояния и исправности компьютерной техники;
• 6) установление соответствия реквизитов электронных документов требованиям, предъявляемым к ним, выявление признаков изменения данных реквизитов;
• 7) установление соблюдения технических правил при работе с компьютерной информацией, в том числе правил, обеспечивающих ее защиту;
• 8) установление причинной связи между действиями с компьютерной техникой и (или) информацией и наступившими последствиями (удалением данных, прекращением работы ЭВМ и т. п.);
• 9) установление содержания защищенной кодовыми и криптографическими средствами информации, получение к ней доступа;
• 10) установление способов и обстоятельств доступа в компьютерные и телекоммуникационные сети, в том числе в Интернет, характера операций, осуществляемых в этих сетях;
• 11) установление конфигурации компьютерной (телекоммуникационной) сети или конфигурации ее отдельных фрагментов;
• 12) установление логической и (или) физической связи различных типов информации, находящейся на представленных устройствах, между собой;
• 13) установление логической связи информации, находящейся на представленном устройстве, с информацией, находящейся на других устройствах и (или) находящейся в информационно-телекоммуникационных сетях;
• 14) установление иных свойств и состояний компьютерной информации и техники.

Реконструкционные задачи связаны с необходимостью восстановления и установления первоначального состояния компьютерной информации в случае ее противоправного или случайного удаления (уничтожения), изменения (модификации), получения доступа к информации при ее блокировании. При решении данных задач может быть восстановлено содержание информации, ее служебные свойства, характеризующие время создания, автора, место нахождения на логическом и физическом уровне, получен доступ к заблокированной информации и др. Реконструкционные задачи могут иметь самостоятельное значение или решаться совместно с идентификационными, классификационными, диагностическими, поисковыми.

Поисковые задачи выделяются в качестве самостоятельных и занимают довольно большой объем в криминалистическом исследовании электронных следов в отличие от других видов технико-криминалистического исследования. Такое положение обусловлено такими свойствами данных следов, как их недоступность для непосредственного человеческого восприятия, повышенная степень уязвимости, большой объем, необходимость использовать для работы с ней специальные знания.

В поисковые задачи входит обнаружение конкретной информации в технических устройствах и носителях компьютерной информации, поиск информации по определенным признакам, например, времени создания, функциональному назначению. В связи с распространением так называемых облачных технологий все большее значение приобретает поиск конкретной информации или данных определенной категории в удаленных хранилищах компьютерной информации, в интернетресурсах. Так, очень востребованы задачи обнаружения и получения электронной переписки (электронная почта, SMSи MMS-сообщения и др.).

• [1] В целях удобства изложения далее будет использоваться термин «компьютернаятехника».
• [2] Примером ошибки первого рода является использованная в прошлом в практикесудебной экспертизы некорректная математическая модель, применявшаяся для установления факта контактного взаимодействия двух комплектов одежды. Ошибками второго рода являются неправильное определение физического компьютера по IP-адресу, расхождения между значениями часов операционных систем или BIOS и реальным временем.