Криминалистический анализ слепков оперативной памяти как ключевой компонент при расследовании преступлений в сфере компьютерной информации



Ключевые слова: криминалистический анализ, оперативная память, киберпреступность

В российском законодательстве в настоящее время до конца не урегулированы правоотношения, складывающиеся в сфере компьютерной информации. К примеру, в уголовном законе ст.274.1. УК РФ «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации» введена Федеральным законом N194-ФЗ в июле 2017 года. Собственно, вся 28 глава УК РФ — «Преступления в сфере компьютерной информации» — радикально отличается от остальных в уголовном законе новизной и недоработками.

В плане трудностей, с которой сталкивается правоохранительная система РФ в лице субъектов оперативно-розыскной деятельности и следственных органов, из-за новизны в законодательстве можно отдельно выделить ту самую оперативную составляющую в виде оперативного сопровождения, специально-технических мероприятий, проводимых в рамках расследования. Сюда же стоит отнести, к примеру, и то, что существует масса проблем, связанных с практической реализацией нового оперативно-розыскного мероприятия «Получение компьютерной информации» при раскрытии преступлений в сфере компьютерной информации — п.15 введен Федеральным законом от 06.07.2016 N374-ФЗ, однако, правоохранители по-прежнему не имеют руководящего (межведомственного) документа, который бы регламентировал порядок выполнения оперативно-техническими службами ОВД, а также иными компетентными органами, данного мероприятия.

По части проведения специальных экспертиз (к примеру, компьютерно-судебная экспертиза) в рамках расследования преступлений в сфере компьютерной информации, оснащенность подразделений (отделений по исследованию компьютерной информации и средств вычислительной техники технических отделов региональных экспертно-криминалистических центров) ЭКЦ в системе МВД оставляет желать лучшего, но даже при наличии всех необходимых технических средств у подразделения, специалист (эксперт), производящий исследование (компьютерно-судебную экспертизу), в ходе написания заключения не может полагаться (в отличии от коллег из государств Северной Америки, Западной и Центральной Европы) на свое субъективное мнение, основанное на полученных им опыте, профессиональных навыках, детальных знаниях функционала исследуемого программного обеспечения и алгоритмов его работы, а обязан следовать разного рода методическим рекомендациям, поступающим из ЭКЦ МВД России (которые носят не рекомендательный, а обязательный характер, что остро затрагивается в судебных процессах, и выходящие в том числе под редакцией гуманитарных специалистов); при отсутствии же таковых методик, эксперт имеет право дать на поставленный вопрос ответ с единственной формулировкой — «вопрос выходит за рамки компетенции специалиста».

Как правоохранители, так и сами эксперты IT-среды, отмечают крайне «положительную» динамику криминализации сферы компьютерной информации с наступление «миллениума», характер данных преступлений, по-прежнему, остается латентным, а меры, направленные на профилактику и пресечение преступлений в данной отрасли, не выдерживают никакой критики ввиду наличия в МВД России подразделений по информационному противоборству лишь в БСТМ, Центрах по противодействию экстремизму (или возложенных функций на отдельных сотрудников данных подразделений).

Борьба с преступными посягательствами в сфере компьютерной информации в условиях повсеместного развития данной отрасли, интеграции информационных систем и технологий, приобретает все более важное значение. Однако, в русскоязычной юридической литературе отражение проблем выявления преступлений в сфере компьютерной информации, а также формирования исходной информации при расследовании указанной группы преступлений, практически отсутствует. Абсолютное же большинство имеющихся русскоязычных источников являются крайне неактуальными, морально устаревшими, а с точки зрения предлагаемых решений для системы МВД России — непригодными в современных условиях.

Анализ состояния киберпреступности в России показывает, что она стала одним из значительных дестабилизирующих факторов общественного развития. Быстрый количественный рост преступности в сфере компьютерной информации (информационной безопасности IT-сферы, уязвимости финансово-кредитных учреждений, государственных и коммерческих структур, фондов, бирж и даже предприятий ВПК РФ), а также её качественные изменения представляют реальную угрозу социально-экономическому развитию и даже стабильности государства, национальной безопасности России.

Киберпреступность, как и любая негативная разновидность социальных явлений, нуждается в установлении причин и условий, ей способствующих, в определении количественных и качественных характеристик. К сожалению, попыток криминологического исследования в РФ до сих пор не предпринималось.

В результате анализа следственной практики сделан вывод, что при расследовании преступлений в сфере компьютерной информации, в частности, производятся следующие следственные действия:

1. Допрос потерпевшего.
2. Осмотр места происшествия.
3. Выемка и последующий осмотр программного-аппаратных средств, предметов, материалов и документов. Проведение указанных следственных действий при расследовании преступлений в сфере компьютерной информации, имеет выраженную специфику, связанную с особенностями информационных объектов и необходимостью применения для их обнаружения и фиксации специальных программных и аппаратных средств.
4. Допросы свидетелей.
5. Допросы подозреваемых.
6. Обыски на рабочем месте и по месту проживания подозреваемых.
7. Назначение судебных экспертиз (компьютерно-технической, радиотехнической и др.).

Также стоит отметить оперативно-розыскные действия, связанные непосредственно с технической особенностью данной категории преступлений. К ним стоит отнести мероприятия, проводимые с привлечением сил и средств подразделений специальных технических мероприятий МВД России — «снятие информации с технических каналов связи», или банальное «наведение справок».

Но главное заключается в том, что любое преступление в сфере компьютерной информации сводится в конечном итоге к работе эксперта с источником информации (накопитель на жестком магнитном носителе, твердотельный накопитель, подключенные к персональному компьютеру, ноутбуку, автоматизированному рабочему месту, или же находящиеся среди их устройств), использованным преступником при совершении деяния. Таким образом, у истоков расследования конкретного преступления в сфере компьютерной информации криминалистический анализ слепков оперативной памяти как при работе с первоисточником (носитель информации), так и с источником, полученным в завершении следственных действий, должен занимать главенствующую роль в ходе расследования.

К примеру, при необходимости подтверждения вины злоумышленника, абсолютно любое преступление в сфере компьютерной информации, а также иные преступления, совершенные с помощью программно-аппаратных средств с возможностью доступа к информационно-телекоммуникационным сетям (включая интернет), сводятся к «цифровым» особенностям доказательства того или иного состава. Львиная дола работы по расследованию данной категории преступлений будет полностью зависеть от эксперта.

Его главной задачей на месте осмотра происшествия является необходимость снятия слепков оперативной памяти с устройств, что далее будут представлены на экспертизу, так как в оперативной памяти устройств возможно найти массу улик или аргументов в виде ключей, способных привести к таковым. Подобное крайне отчетливо видно при постановке вопросов о расшифровке тех или иных файлов, каталогов, приложений. Мгновенно расшифровать емкость таких крипто-контейнеров как TrueCrypt позволяет (конечно, не всегда) функционал отечественного программного обеспечения от Elcomsoft Forensic.

Оперативная память устройств способна содержать в себе не только переписку мессенджеров или учетных записей соц.сетей, но и сообщения из чатов видеоигр (перепиской в чатах видеоигр пользуются, как показывает практика, лица, осужденные за за сбыт наркотических и психотропных веществ, за преступления экстремистского характера). В оперативной памяти некоторое время хранятся сведения о посещаемых интернет-ресурсах и изображения данных сайтов, иных сетевых ресурсов, подобное справедливо даже при полной чистке истории посещений, отключенном кэше интернет-обозревателя (интернет-браузер), переведенного в состояние «инкогнито» (приватности). Если оперативно-программный комплекс, устройство (ОПУ) был подвержен вредоносному воздействию («заражение вирусом») стороннего программного обеспечения, приложения, то при проведении исследования образа оперативной памяти это воздействие будет отчетливо демонстрироваться.

Снять образ оперативной памяти самостоятельно следователю при должном умении, или же при участии эксперта, довольно легко, если известны установочные данные для входа в операционную систему. Если же доступ в операционную систему требует авторизации, то необходимо использовать программное обеспечение Inception, подключив компьютер эксперта с данной программой к исследуемому устройству, или использовать пресловутое устройство мобильной сотовой связи IPhone, начиная с модели 5S.

Конечно, анализ оперативной памяти не является универсальным методом в раскрытии преступлений в сфере компьютерной информации ввиду незначительного периода хранения информации в памяти оперативно-запоминающего устройства. Ввиду этого слепок оперативной памяти снимается при первоначальных следственных действиях, начиная с осмотра места происшествия, зато с анализом на представляемый к исследованию носитель информации уже смонтированного слепка оперативной памяти происходит все иначе (с нашего носителя образ оперативной памяти не исчезнет).

Криминалистический анализ оперативной памяти включает в себя: поиск комментариев, чатов, сообщений, отправленных посредством учетных записей в соцсетях или посредством мессенджеров; расшифровку емкостей крипто-контейнеров; сбор и обработку разного рода обнаруженных файлов (улик); восстановление удаленных файлов и поиск ключевого содержимого (ключевые слова, текстовые файлы, изображения, аудио-, видео-файлы и прочее), представляющего интерес для следствия.

Таким образом, формирование полноценной методики расследования преступлений в сфере компьютерной информации является важнейшей задачей криминалистической науки на современном этапе ее развития, и сводиться данная методика должна к субъективному мнению аналитиков и опытных технических специалистов, в частности отлично представляющих суть криминалистического анализа и криминалистической характеристики той же оперативной памяти, а в целом — применяющих тактические приемы, апробированные на практике правоохранительной системой США и развитых государств Европейского Союза.

В настоящее время перед правоохранительными органами при расследовании компьютерных преступлений возникает ряд серьезных проблем: сложность в установлении факта совершения компьютерного преступления и решении вопроса о возбуждении уголовного дела; сложность в подготовке и проведении отдельных следственных действий; особенности выбора и назначения необходимых судебных экспертиз; целесообразность использования средств компьютерной техники в расследовании преступлений данной категории; несовершенство методики расследования компьютерных преступлений. Но данный вопрос разрешим с течением времени.

Литература:

1. Brenner, S. (2007). Law in an Era of Smart Technology. Oxford: Oxford University Press.
2. Chang, Lennon Y. C., & Grabosky, P. (2014). Cybercrime and establishing a secure cyber world, in M. Gill (ed) Handbook of Security (pp. 321–339). NY: Palgrave.
3. Bowker, Art (2012). The Cybercrime Handbook for Community Corrections: Managing Risk in the 21st Century. Charles C. Thomas Publishers, Ltd. Springfield.
4. Moore, R. (2005). Cyber crime: Investigating High-Technology Computer Crime. Cleveland, Mississippi: Anderson Publishing.
5. Warren G. Kruse, Jay G. Heiser (2002). Computer forensics: incident response essentials Addison-Wesley. P.392.
6. McQuade, S. (ed) (2009) The Encyclopedia of Cybercrime, Westport, CT: Greenwood Press.