Деятельность органов внутренних дел по борьбе с преступлениями, совершенными с использованием
Скачать 0.78 Mb.
|
Тактические основы обнаружения, фиксации и изъятия электронных следов преступления В соответствии со ст. 85 УПК РФ доказывание состоит в собирании, проверке и оценке доказательств в целях установления обстоятельств, входящих в предмет доказывания. Криминалистиче- ское содержание собирания доказательств состоит в обнаружении, фиксации и изъятии доказательственной информации 1 Обнаружение доказательственной информации – деятельность по поиску доказательственной информации, базирующаяся на зна- нии закономерностей возникновения следов преступления, при- емов и средств их выявления. Фиксация и изъятие доказательственной информации – дея- тельность, направленная на запечатление с использованием кри- миналистических средств и методов выявленной доказательствен- ной информации в установленном законом порядке и приобщение выявленных доказательств (носителей доказательственной инфор- мации) к материалам уголовного дела в целях ее сохранения для дальнейших исследования, оценки и использования. 1 Гаврилин Ю. В., Головин А. Ю., Тишутина И. В. Криминалистика в понятиях и терминах: учеб. пособие. М., 2006. 122 Обнаружение доказательственной информации как разновид- ность поисковой деятельности, осуществляется в рамках производ- ства следственных действий, т. е. регламентированных УПК РФ дей- ствий, специально направленных на собирание доказательств (ч. 1 ст. 86 УПК РФ), таких как следственный осмотр, обыск, выемка и др., и иных процессуальных действий, таких как направление требований, поручней и запросов (ч. 4 ст. 21 УПК РФ), а также приобщение в каче- стве доказательств (ч. 2 ст. 86 УПК РФ) по решению ведущего произ- водство по делу лица материалов, представленных на основании хода- тайств участвующих в уголовном процессе частных лиц (обвиняемый, потерпевший и др.) и лиц, оказывающих последним юридическую помощь (защитник, представитель потерпевшего и др.) 1 Информационная сущность фиксации доказательственной информации 2 в процессе расследования преступлений, совершен- ных с использованием информационно-коммуникационных техно- логий состоит в том, что: 1) производится перекодировка компьютерной информации, содержащейся на электронном носителе, в доступную для восприя- тия человеком форму; 2) компьютерная информация изымается вместе с электрон- ным носителем, на котором она находится, либо копируется на иной носитель, когда изъятие оригинального носителя невозможно или нецелесообразно; 3) обеспечивается сохранение компьютерной информации для неоднократного ее использования в процессе доказывания: при назначении экспертиз, предъявлении в ходе допроса и пр.; 4) устанавливаются обстоятельства, входящие в предмет дока- зывания (дата и время совершения преступления, электронный адрес, абонентский номер устройства в сети оператора связи, физи- ческий адрес места нахождения устройства и пр.); 5) решается вопрос об относимости компьютерной информации; 6) закрепляются сведения о процессуальных способах получе- ния компьютерной информации для решения вопроса о ее допусти- мости. При проведении следственных действий, направленных на фиксацию компьютерной информации, имеющей доказательствен- ное значение, необходимо учитывать ряд факторов, влияющих на тактику их производства, а именно: 1 Курс уголовного процесса / А. А. Арутюнян [и др.]; под ред. Л. В. Головко. М., 2016. 2 См.: Криминалистика: учебник для вузов / Т. В. Аверьянова [и др.]; под ред. Р. С. Белкина. М., 1999. С. 148. 123 1. Состав и конфигурация информационной системы, количе- ство компьютеров (рабочих станций), находящихся в помещении, в котором планируется производство следственного действия. Важ- ное значение имеет расположение серверов, дислокация рабочих станций, а также информация об использовании собственниками информационной системы облачных хранилищ компьютерной информации. Зачастую при изъятии компьютерной информации в крупных организациях объектом осмотра может являться несколь- ко десятков компьютеров (как серверов, так и рабочих станций), расположенных в различных помещениях, на разных этажах одно- го здания, в разных зданиях, различных городах и странах. Искомая информация может быть расположена в хорошо охраняемом поме- щении или облачном хранилище, физически расположенном вне территории Российской Федерации. Следы данной деятельности могут быть оставлены в средствах вычислительной техники, распо- ложенной по всему миру. 2. Использование средств защиты компьютерной информа- ции от несанкционированного доступа, в том числе дистанционно управляемых автономных устройств, предназначенных для экс- тренного уничтожения информации, и аппаратных, программ- ных, программно-аппаратных средств криптографической защиты информации. 3. Используемые методы размещения информации на элек- тронных носителях, способы ее обработки и форматы представле- ния. Информация, имеющая доказательственное значение, может храниться не только в отдельных текстовых, графических, мульти- медийных файлах, но и в базах данных (в том числе распределен- ных), файлах, имеющих специфическую структуру, для интерпре- тации которых необходимы специализированное оборудование и программное обеспечение. Компьютерная информация может преобразовываться как с помощью общераспространенных при- кладных программ, так и узкоспециализированного программного обеспечения, а также уникальных (созданных под конкретную зада- чу) программ. Требуемая информация может находиться на одном или нескольких компьютерах, серверах, высокоскоростных RAID- массивах. Устройства, предназначенные для хранения компьютер- ной информации, становятся все более миниатюрными, расширя- ются возможности их маскировки. Как уже отмечалось, основными следственными действиями, направленными на обнаружение, фиксацию и изъятие электронных следов преступления и имеющими существенную специфику, яви- лись следственный осмотр (включая осмотр места происшествия, 124 предметов, документов), обыск (в жилище, ином помещении, лич- ный), выемка (электронных носителей информации, электронных сообщений), назначение экспертизы. Рассмотрим тактические особенности производства перечис- ленных следственных действий. При этом следует отметить, что все они (за исключением назначения экспертизы) имеют единые такти- ческие основы, включающие в себя деятельность на подготовитель- ном, рабочем и заключительном этапах их производства. Подгото- вительный этап включает в себя две последовательные стадии: до выезда на место производства следственного действия и по прибы- тии на него. Рабочий этап также включает в себя обзорную и деталь- ную стадии. Эффективность проведения следственного действия, направ- ленного на обнаружение, фиксацию и изъятие электронных следов преступления, определяется тщательностью подготовки к нему. В число подготовительных мероприятий, проводимых до выезда на место его проведения, входит: – изучение материалов уголовного дела, обобщение и систе- матизация ориентирующей информации о предмете поиска, месте производства следственного действия и личности подозреваемого; – определение круга и обеспечение явки необходимых участни- ков (включая необходимых специалистов и понятых, обладающих знаниями в сфере информационно-коммуникационных технологий, способных осознавать содержание следственного действия, поис- ковых операций и их результатов, а также сотрудников оператив- ных подразделений и подразделений силовой поддержки, призван- ных обеспечить внезапность проникновения следственной группы в помещение, в котором будет проводиться следственное действие, и блокирование элементов управления информационной системой); – определение состава и конфигурации информационной системы, предположительно содержащей электронные следы, реше- ние вопроса о целесообразности проведения предварительных опе- ративно-розыскных (оперативно-технических) мероприятий по установлению местонахождения, состава и функционального назна- чения средств вычислительной техники, наличия на них специаль- ных аппаратных и (или) программных средств защиты информации и возможностей доступа к защищаемой информации, используемых операционных систем и программного обеспечения, мест хранения общих файлов данных и резервных копий, паролей администрато- ров системы, зарегистрированных имен и паролей пользователей; – мысленное моделирование возможностей обстановки след- ственного действия, последовательности поисковых действий, место- 125 нахождения лиц, осуществляющих администрирование и эксплуа- тацию информационной системы, способов и технологии изъятия компьютерной информации, ее носителей и иного оборудования с учетом возможности размещения криминалистически значимой компьютерной информации на сетевых ресурсах третьих лиц, в том числе в облачных хранилищах данных; – прогнозирование возможности оказания противодействия расследованию и производству следственного действия, учет воз- можностей маскировки объектов поиска (брелок, интерактивная фоторамка, детская игрушка, сувенир и пр.). Решение указанных задач осуществляется следователем по согласованию со специалистом, привлекаемым к участию в след- ственном действии. Подготовка к проведению следственного действия, направлен- ного на обнаружение и изъятие электронных следов, продолжается и по прибытии на место его проведения. На данной стадии ключе- выми задачами являются: – фиксация времени начала производства следственного действия; – обеспечение внезапности при проникновении (входе) в поме- щение, в котором будет проводиться следственное действие; – взятие под физический контроль всех помещений, где могут находиться элементы информационной системы (серверы, сетевое оборудование, рабочие станции, электронные носители информа- ции или иная компьютерная техника), а также узлы электроснабже- ния с целью недопущения к указанным объектам доступа кого-либо из числа лиц, эксплуатирующих или администрирующих информа- ционную систему; – отключение сетевых подключений, включая Wi-Fi-соединения; – установление запрета кому бы то ни было, за исключением специалиста, производить любые манипуляции с электронными носителями информации и сетевым оборудованием, а также элек- троснабжением; – выяснение у системного администратора информацион- ной системы: когда и каким образом последний раз производи- лось резервное копирование компьютерной информации, структу- ры информационной системы, местонахождения носителей этой информации, паролей, электронных ключей доступа к информа- ционным ресурсам, паролей для входа в BIOS и выхода из режима гибернации, а также перечня лиц, имеющих права доступа к тем или иным элементам информационной системы, и их прав; – определение алгоритма выполнения действий каждым участ- ником следственного действия, разъяснение им их прав и обязанно- 126 стей, инструктаж о мерах предосторожности при работе с электрон- ными носителями информации. Обзорная стадия рабочего этапа проведения следственных дей- ствий, направленных на обнаружение и изъятие электронных сле- дов, начинается с описания общей конфигурации и состава инфор- мационной системы. Осуществляется фиксация входящих в нее объектов (элементов), их морфологических признаков и техниче- ских характеристик (тип, название, комплектация, индивидуализи- рующая объект информация – маркировочные обозначения, серий- ные номера и пр.), а также местонахождения и взаимного располо- жения. Производится диагностика наличия средств моментального уничтожения информации (генераторов магнитных полей, электро- магнитных пушек и пр.) 1 . Составляется схема расположения компо- нентов информационной системы, средств компьютерной техники, находящихся в помещениях, в которых проводится следственное действие, производится ориентирующая и обзорная фотосъемка. Затем осуществляется фиксация (с использованием узловой фото- съемки) выполняющихся на момент начала следственного действия программ (приложений) и изображения на мониторах отдельных компьютеров, входящих в состав информационной системы, а также проверка соответствия показаний даты и времени, установленных в настройках компьютерной техники, текущим значениям. Послед- нее – обязательно при изъятии данных систем видеорегистрации. Завершается стадия принятием следователем решения на основа- нии информации, полученной от специалиста, о порядке и последо- вательности производства детальной стадии. На детальной стадии рабочего этапа проведения следственных действий, направленных на обнаружение и изъятие электронных следов преступления, необходимо с участием специалиста: – осмотреть и скопировать информацию на включенных компьютерах, снять образ оперативной памяти работающих устройств. При этом рекомендуется следующая последователь- ность сохранения так называемой короткоживущей информации 1 Устройства, предназначенные для безвозвратного стирания информации с жест- ких магнитных дисков под действием внешнего магнитного поля, делают повторное использование жесткого диска невозможным. Для уничтожения данных с жесткого диска (срабатывания системы) нередко достаточно нажать скрытую кнопку с помощью шариковой ручки или карандаша. Существуют энергонезависимые устройства уничто- жения информации, выполненные в виде отдельного модуля (в виде сейфа), или уста- навливается в 3,5 дюймовый отсек компьютера и использующие его электропитание. Управление такими устройствами может вестись по радиоканалу либо автоматически (срабатывает при попытке поднять системный блок с поверхности стола), либо от сигна- ла датчика движения. 127 из энергозависимых носителей: о текущей сетевой конфигура- ции; о текущих пользовательских сессиях; о содержимом опера- тивного запоминающего устройства (исполняемые программы (задачи, процессы), о списке процессов, открытых файлах (в том числе временных), образцах трафика, введенных ключах и паро- лях, сетевой конфигурации (динамически присвоенный IP-адрес, маска подсети, счетчики сетевых интерфейсов, таблица маршру- тизации), текущем времени; – извлечь энергонезависимые электронные носители информа- ции (например, карты памяти, флеш-накопители и т. п.), используя корректные программные средства и процедуры; – произвести осмотр электронных носителей неразрушающими методами с целью определения тех из них, которые будут подлежать изъятию; – по ходатайству владельца электронного носителя информации или собственника информационной системы может быть произведено копирование информации с подлежащих изъятию носителей с соблю- дением юридических процедур, подробно рассмотренных выше. Для повышения эффективности решения последней задачи с 2011 г. в экспертно-криминалистических подразделениях МВД России используется программно-аппаратный комплекс «Оттиск», предназначенный для создания копий содержимого, а также восста- новления информации, хранящейся (хранившейся) в микросхемах памяти SD, SM, MMC, USB Flash, MemoryStick, CompactFlash и др., в том числе с неисправным контроллером доступа. Комплекс позво- ляет осуществлять доступ к информации, хранящейся на электрон- ных носителях, производить автоматизированный сбор инфор- мации о накопителях на жестких дисках, копирование данных без внесения изменений на исходный носитель, созданий копии нако- пителя на жестких дисках 1 ; взаимодействовать со всеми современ- ными носителями информации; создавать две копии информации одновременно; осуществлять контроль целостности копии, а также выполнять иные функции. В настоящее время существует довольно широкий спектр средств криминалистической техники, позволяющей произ- водить посекторное (побайтовое) копирование информации с электронных носителей, включая блокираторы записи, про- изводящие запись на свой внутренний диск, тем самым обеспе- чивая неизменность информации на исследуемом компьютере; 1 Создание образа жесткого диска объемом 1 Тб производится менее чем за 4 часа, что от 3 до 10 раз быстрее аналогичных средств копирования. 128 портативные криминалистические накопители позволяют хра- нить десятки терабайт компьютерной информации; дубликато- ры информации обеспечивают быстрое копирование на скорости более чем 7 Гб/мин, адаптированы для использования в «поле- вых» условиях и обеспечивающих 100 % защиту от записи иссле- дуемого диска. Широко используются специальные аппаратно-программные комплексы для обнаружения и извлечения криминалистически значимой информации. Так, программный комплекс «Мобильный криминалист» позволяет извлекать данные из большинства моде- лей мобильных устройств (на платформе iOS, Android, BlackBerry, WindowsPhone и др.); импортировать резервные копии устройств, а также их физические образы (JTAG, Chip-off); получать данные из облачных хранилищ по логину / паролю или токену: iCloud, Google, Microsoft, Email и из др. облачных сервисов; загружать и анализировать биллинги операторов сотовой связи; извлекать контакты, сообщения, звонки, файловую систему, местополже- ния и удаленную информацию; находить общие места пребывания нескольких лиц и строить маршруты их передвижения на карте; выявлять общие связи между несколькими устройствами и уста- навливать круг общения пользователя; просматривать все собы- тия в хронологическом порядке и выявлять периоды активности пользователя; анализировать контент по ключевым словам, регу- лярным выражениям и др., использовать поисковые фильтры для быстрого обнаружения необходимой информации. Кроме того, комплекс позволяет производить исследование структуры файло- вой системы (включая удаленные данные и таблицы баз данных), извлекать имена пользователя, пароли, файлы истории, временные файлы, создаваемые в процессе работы отдельных приложений, анализировать геопространственную информацию о предыдущих местоположениях подозреваемого. Заключительный этап проведения следственных действий, направленных на обнаружение и изъятие электронных следов пре- ступления, включает в себя следующие основные мероприятия: – изъятие протоколов работы сетевых устройств, систем авто- ризации пользователей, сетевого трафика и т. п.; – выключение работающих средств компьютерной техники с использованием штатных процедур корректного завершения работы; – упаковка и опечатывание изымаемых электронных носите- лей информации; – копирование файла с видеозаписью следственного действия на неперезаписываемый электронный носитель (оптический диск), 129 который помещается в конверт, клапан которого опечатывается и скрепляется подписями участников; – отражение перечня изъятого в протоколе, его процессуальное оформление в соответствии с требованиями ст. 166, 167 и 180 УПК РФ. Упаковка изымаемых электронных носителей информации должна отвечать следующим требованиям: исключение возможно- сти непроцессуальной работы с электронными носителями; недо- пущение физического повреждения, разукомплектования носителя, повреждения находящейся на нем информации. С указанной целью производится опечатывание клапанов упаковки таким образом, чтобы вскрытие было невозможно без повреждения опечатываю- щих наклеек. Сам электронный носитель целесообразно помещать в экранирующую тару («мешок Фарадея»). При изъятии мобильных устройств (планшетных компьютеров, смартфонов) в протоколе осмотра указывается тип, марка изъятого электронного носителя информации, что в процессе изъятия клави- ши устройства не нажимались, касания сенсорного экрана не про- изводились, аккумулятор и съемные накопители не извлекались. Устройство в состоянии гибернации (засыпания) упаковывает- ся так, чтобы исключить всякий доступ к органам его управления (экрану, клавишам) и разъемам без повреждения упаковки. Определенной спецификой обладает рабочий этап осмотра ранее изъятого электронного носителя информации, включая мобильное устройство (планшетный компьютер, смартфон). При этом производится изучение внешней упаковки на предмет повреж- дений, соответствия надписей на упаковке ее содержимому, опре- деления типа, вида, параметров устройства, описания технического состояния (внешний вид, размеры, целостность корпуса, призна- ки), разъемов, а также проверка на наличие вредоносных программ, поиск скрытых файлов, непосредственное изучение контента. При осмотре содержимого интернет-страниц или сайтов может быть решено значительное число тактических задач, в частности установление события, способа, времени, послед- ствий и обстоятельств совершения преступления, данных о лич- ности подозреваемых, состояния средств защиты информации, сведений о количестве посещений ресурса и др. Решению данных задач может способствовать анализ содержания контента интер- нет-страницы и баз данных сайта, определение времени размеще- ния соответствующей информации, выявление нарушений в рабо- те сайта или изменений в размещенной информации, порядок аутентификации пользователей информации, данные систем уче- та посетителей сайта и т. д. 130 При проведении осмотра необходимо использовать лицен- зионное программное обеспечение с указанием в протоколе номера лицензии. Все действия, производимые начиная с момен- та входа в интернет-браузер, включая процесс изготовления снимков изображения экрана, подлежат отражению в протоко- ле. Полученные в ходе осмотра распечатки содержимого экрана прилагаются к протоколу и подписываются всеми участниками следственного действия. Для получения снимков изображения экрана необходимо нажать клавишу PrtSc, открыть программу редактирования текстов или изображений, вставить получен- ное изображение, распечатать страницы и сохранить получен- ные данные на неперезаписываемом электронном носителе (или носителе с включенной функцией защиты от записи). Следует отметить, что нередко допускаются следующие ошиб- ки при изъятии компьютеров, объединенных в локальную вычис- лительную сеть: – рабочие станции, при последующем осмотре которых выяс- няется, что искомая информация хранилась на сервере; – серверы, но искомая информация находилась на компьюте- рах конкретных работников и изъята не была; – бездисковые рабочие станции; – все средства вычислительной техники организации (персо- нальные компьютеры, серверы, машинные носители информации, видеорегистраторы, мобильные телефоны и т. д.); – базы данных, копии баз данных без средств их интерпрета- ции, сведений об особенностях их конфигурационных настроек и т. п. Надлежащим же порядком действий следует признать предва- рительное установление местонахождения искомой информации и общей конфигурации сети: – составление схемы расположения средств вычислитель- ной техники в помещениях, в которых проводится следственное действие, фотофиксация обстановки в помещении, а также самих средств вычислительной техники по правилам обзорной и узловой фотосъемки; – осуществление поиска сведений об именах пользователей и паролях доступа к различным информационным ресурсам (путем индивидуального опроса персонала, при осмотре рабочих мест и записей сотрудников, используя оперативно-розыскные методы и средства); – производство осмотра и копирования информации на вклю- ченных компьютерах в случаях наличия на них криптоконтейнеров, 131 необходимости проведения в дальнейшем исследования распределен- ных баз данных, возможности доступа к облачным хранилищам и т. п. – изъятие исключительно необходимых электронных носите- лей информации. Допускаются тактические ошибки и в процессе изъятия ком- пьютерной информации в условиях активного противодействия расследованию. Основным недостатком при этом является то, что с момента начала следственного действия до момента изъятия ком- пьютерной информации проходит время, достаточное для унич- тожения искомой информации и / или содержащих ее объектов. В целях недопущения указанных негативных последствий необхо- димо обеспечить максимально эффективное использование факто- ра внезапности при производстве следственного действия, а имен- но: использование возможностей оперативно-розыскной деятель- ности для предварительного установления состава и конфигурации информационной системы, расположения ее основных элементов и узлов; обеспечение достаточного количества привлеченных сил и средств, обеспечивающих блокирование ключевых элементов информационной системы; неожиданное вхождение в обыскивае- мое помещение; исключение доступа кого бы то ни было к основ- ным элементам информационной системы. |