Зарубежный опыт отыскания доказательств с использованием цифровых технологий (на примере США)



Многие процедуры криминалистического исследования информационных систем и сетей связи не могут производиться в полевых условиях. Подбор сложных паролей требует применения мощных рабочих станций, а то и кластера из них. Отдельные научные методики и вовсе требуют специальных условий, исключающих нежелательное воздействие на объект исследования, которые могут быть созданы только в лабораторном комплексе [4]. Для достижения единообразия подходов в сборе электронных доказательств и обеспечения результативности криминалистических исследований таковых в феврале 1998 года была создана научная рабочая группа в сфере цифровых следов, в которую вошли организации (правоохранительные, образовательные, коммерческие), активно вовлечённые в работу с цифровыми и мультимедийными доказательствами, в том числе, Секретная служба США, ФБР, Министерство обороны США, территориальные органы полиции и прокуратуры, университет Колорадо, национальный институт стандартов и технологий [5]. К настоящему моменту в результате двадцатилетней практики рабочая группа сформулировала методики работы с вычислительными системами и их сетями, способствующие отысканию, закреплению и представлению электронных доказательств по уголовным делам.

Так, эксперту-криминалисту надлежит ознакомиться с документами, предоставленными должностным лицом, назначившим производство исследования для того, чтобы определить, какие шаги необходимы для подготовки заключения. Помимо того, в ходе ознакомления с документами необходимо убедиться в наличии законных оснований для назначения исследования и существовании полномочий у лица, назначившего данное исследование.

Физические условия производства исследования (в том числе, электроснабжение, охлаждение) не должны оказывать искажающего влияния на собирание и исследование доказательств.

При подготовке к исследованию следует исходить из возможности применения методик противодействия (устройства, предназначенные для повреждения или уничтожения объекта исследования; программные механизмы изменения информации, подлежащей исследованию).

Традиционные методы исследования (сбор отпечатков пальцев, ДНК) надлежит завершить к моменту начала исследования электронной информации.

Следует исключить, или хотя бы минимизировать, воздействие на исследуемую информационную систему. В случае невозможности исключить изменение исследуемой информационной системы, процесс исследования должен быть зафиксирован настолько подробно, чтобы можно было понять, какие именно изменения в исследуемом объекте в результате возникли. По возможности процесс был должен быть повторяемым настолько, чтобы в результате тех же действий над исследуемой информационной системой был получен тот же самый результат.

Применяемое аппаратное и программное обеспечение подлежит описанию в целях фиксации пределов, в которых возможно производство исследования.

Сохранение данных с исследуемой информационной системы выполняется в формате, исключающем искажение сведений, представляющих значение для расследуемого уголовного дела, в том числе, метаданных [1].

Эксперту-криминалисту требуется определить, какие устройства могут содержать сведения, представляющие интерес для расследуемого уголовного дела (учётные данные, пароли, документация, ключи шифрования, сетевые реквизиты).

Важно определить текущий статус исследуемой информационной системы. Например, системный блок персонального компьютера, находящийся в режиме энергосбережения, может выглядеть, как выключенный, но фактически в целях исследования работа с ним должна выполняться как с включённым. Выключенную рабочую станцию включать не следует.

Далее объект исследования изучается на предмет наличия механизмов потенциального разрушающего воздействия в целях противодействия снятию информации. При выявлении таковых следует обесточить системный блок путём физического отключения кабеля электропитания, а, в случае исследования портативного компьютера, и аккумуляторной батареи. Выявление противодействия исследованию требуется задокументировать с указанием всех предпринятых в ходе исследования манипуляций. Объект исследования надлежит отключить от вычислительных сетей.

Поиск информации на исследуемой информационной системе может включать внешние носители, в том числе, подключаемые через вычислительные сети. В протоколе исследования работающей информационной системы следует отразить, в том числе, подключённые файловые системы, применение файлового или дискового шифрования; отображаемые документы или иные файлы, представляющие интерес для расследуемого уголовного дела; запущенные виртуальные машины; сетевые хранилища; специфические устройства («умный дом», средства аудио- видеотрансляции). По возможности следует сохранить содержимое оперативной (энергозависимой) памяти и временных системных файлов.

Устройства, подлежащие исследованию, следует сфотографировать с указанием состояния на момент исследования (включено или выключено; какие файлы открыты) и физических характеристик (повреждения; признаки, способствующие идентификации; серийные номера; разъёмы для внешних подключений) [3].

В дальнейшем исследование сводится к отысканию сведений, имеющих значение для расследуемого уголовного дела, в целях чего могут быть исследованы: оперативная память; открытые файлы; метаданные файлов; криптоконтейнеры; файлы журналирования событий; файлы СУБД; интернет-браузеры; клиенты служб электронной почты; клиенты социальных и файлообменных сетей; удалённые файлы; таблица разделов; структура дисков; последовательность загрузки [2].

В процессе исследования может потребоваться получить образ работающей исследуемой информационной системы в случае, если она задействует криптографические механизмы. В этом случае в оперативной памяти или временных файлах могут содержаться ключи шифрования. Следует принимать во внимание, что некоторые средства шифрования позволяют сохранять механизмы аварийной дешифровки локально или на отделяемом носителе. Помимо того, получение ключевых носителей возможно и нетехническими методами (получение носителей от собственника информационной системы, отыскание их в ходе обыска) [1].

Протокол исследования должен отражать информацию о том, когда были получены (или собраны) объекты исследования; как именно и от кого; сведения о том, как именно объекты исследования могут быть идентифицированы. Протокол должен содержать результаты исследования, описанные исключающим неоднозначность восприятия способом, с применением терминологии, не требующей специальных познаний. Должны быть отражены сведения, полученные в ходе восстановления или извлечения. Оценочные суждения эксперта-криминалиста, не являющиеся достоверно установленными в ходе исследования фактами, должны быть обозначены соответствующим образом [6].

Литература:

1. Best Practices for Computer Forensic Acquisitions. — Текст: электронный // SWGDE: [сайт]. — URL: https://www.swgde.org/documents/published (дата обращения: 30.09.2021).
2. Best Practices for Computer Forensic Examination. — Текст: электронный // SWGDE: [сайт]. — URL: https://www.swgde.org/documents/published (дата обращения: 30.09.2021).
3. Best Practices for Digital Evidence Collection. — Текст: электронный // SWGDE: [сайт]. — URL: https://www.swgde.org/documents/published (дата обращения: 30.09.2021).
4. Collection of Digital and Multimedia Evidence Myths vs Facts. — Текст: электронный // SWGDE: [сайт]. — URL: https://www.swgde.org/documents/published (дата обращения: 30.09.2021).
5. Scientific Working Group on Digital Evidence. — Текст: электронный // FBI: [сайт]. — URL: https://archives.fbi.gov/archives/about-us/lab/forensic-science-communications/fsc/april2000/swgde.htm (дата обращения: 30.09.2021).
6. Requirements for Report Writing in Digital and Multimedia Forensics. — Текст: электронный // SWGDE: [сайт]. — URL: https://www.swgde.org/documents/published (дата обращения: 30.09.2021).