Навчальний посібник За редакцією доктора юридичних наук, професора В. Ю. Шепітько Київ ІнЮре 2013 3 Зміст Тема Інновації у криміналістиці та їхнє впровадження

48
Тема № 3 49
Криміналістичні прийоми пошуку, виявлення
і фіксації інформації на електронних носіях
– будь-якої інформації (USB-флеш накопичувачі, флеш-картки, оптичні диски, жорсткі диски ноутбуків тощо);
– спеціалізованої інформації, притаманної певному виду носія
(наприклад, дані в іммобілайзері транспортного засобу, відомості в комп’ютері банкомату, ідентифікаційний ключ, що містить смарт- карта, зокрема SIM-карта) .
З урахуванням того, що електронні носії інформації можуть забез- печувати обмеження доступу (із використанням апаратних або логіч- них систем) до наявних у них відомостей, їх на цій підставі можна розділити на такі, що:
– не обладнані або мають відкриту систему обмеження доступу;
– передбачають обмеження доступу на основі пароля, апаратного чи програмного електронного ключа, певної поведінки користувача тощо;
– передбачають розгалуження прав доступу користувачів (гостьо- ві, користувачеві та адміністративні права доступу) .
Під час роботи й дослідження електронних носів інформації слід- чий має виключити вплив таких факторів: дія високої/низької темпе- ратури; раптові перепади температури; потрапляння вологи; падіння; дія статичної електрики . До роботи із електронними носіями інформа- ції мають допускатися лише спеціалісти відповідної кваліфікації, на- вички яких слідчий має попередньо перевірити . Під час проведення попереднього дослідження слідчий має забезпечити мінімізацію впли- ву на відомості, що зберігаються на електронних носіях інформації .
Для правильного використання електронних носів інформації у кримінальному судочинстві суддя, прокурор, слідчий мають добре уявляти, які відомості про вчинений злочин можуть міститися на електронному носії інформації та вилучення яких відомостей можна вимагати від спеціаліста або експерта . Отже, розглянемо криміналіс- тичний потенціал найбільш розповсюджених електронних носіїв ін- формації – мобільного телефону та комп’ютера .
2. Попереднє техніко-криміналістичне
дослідження мобільних телефонів
Криміналістичний потенціал мобільних телефонів визначається
їхньою функціональністю, що випливає з підтримки ними можливос- ті встановлення програмного забезпечення . З урахуванням цього мо- вдань можуть бути спрямовані системи тактичних прийомів, зокрема пов’язаних із техніко-криміналістичним дослідженням електронних носіїв інформації .
Електронний носій інформації є технічним пристроєм, на якому із використанням певної технології зафіксовані значущі для органу кри- мінальної юстиції відомості, що можуть бути зчитані електронним за- собом, перетворені у придатний для сприйняття людиною вигляд та використані у кримінальному судочинстві . У криміналістичній літе- ратурі запропоновано різні підходи до класифікації електронних носі-
їв інформації, однак із практичної точки зору важливим є те, наскіль- ки простим та неускладненим є доступ до інформації, наявної на но- сії . Залежно від наявності керуючого пристрою, який опосередковує доступ до відомостей, що зберігаються, електронні носії інформації можна розділити на:
– прості електронні носії інформації – дискети, компакт-диски, пластикові картки із магнітною смужкою . Такі пристрої допускають безпосередній доступ до відомостей, що зберігаються;
– електронні носії інформації, що працюють під керуванням одно- го або декількох комп’ютерів: ноутбуки, планшети, мобільні телефо- ни
5
, USB-флеш накопичувачі, флеш-картки, смарт-картки тощо .
Потреба в електричному контакті для доступу до електронного но- сія інформації дозволяє розділити їх на дві групи:
– електронні носії інформації, до яких доступ можна отрима- ти лише під час контактного підключення: флеш-картки, контактні смарт-карти, USB-флеш накопичувачі та інші USB-пристрої;
– електронні носії, що допускають опосередкований та віддалений доступ: різноманітні безконтактні пристрої (Bluetooth чи Wi-Fi засо- би, приймачі сигналів GPS, RFID смарт-картки оплати проїзду в ме- тро), мобільні телефони, а також комп’ютери, підключені до мереж загального користування .
За своїм призначенням електронні носії можуть використовувати- ся для зберігання:
5
Тут і далі терміни «мобільний телефон», «термінал» використовуються
для іменування технічних пристроїв, що відповідають вимогам, встанов-
леним Законом України «Про телекомунікації» щодо кінцевого обладнання
абонентів.

50
Тема № 3 51
Криміналістичні прийоми пошуку, виявлення
і фіксації інформації на електронних носіях використана слідчим під час складання психологічного портрету осо- би або як база для встановлення психологічного контакту під час про- ведення слідчих дій) . Часто серед особистих відомостей віднаходять- ся такі, що безпосередньо стосуються вчинення злочинів – зображен- ня потерпілих, механізму злочину, місця приховання слідів, звукоза- писи перемовин тощо . Тому такі дані мають бути ретельно перегляну- ті та прослухані слідчим . Наприклад, звукозаписи перемовин мають бути розшифровані до стенограми . Відеозапис має знайти своє відо- браження у протоколі щодо осіб, які з’являються в кадрі, часу їхнього перебування, характеру дій та розшифровки звукового ряду . При цьо- му виявлені відео-, фотозображення та музичні файли розважального характеру, як правило, не описуються у протоколі слідчої дії .
Обов’язковим компонентом мобільного телефону стандарту GSM
є SIM-карта (Subscriber Identity Module / Модуль ідентифікації або- нента) . Залежно від кількості програм, що підтримуються, розрізня- ють однопрограмні й багатопрограмні смарт-карти . Перша група карт містить одну програму, призначену для взаємодії з устаткуванням ко- ристувача (наприклад, SIM-карта містить лише програму, що забезпе- чує функціонування мобільного телефону стандарту GSM) . Як пра- вило, карти цього типу використовуються в мобільному устаткуван- ні стандарту GSM .
Друга група карт називається UICC (Universal Integral Circuit Card
/ Універсальна інтегральна картка) та може містити одну або декілька програм . До програм першого рівня належать: SIM (програма, що за- безпечує функціонування стандарту GSM); CSIM (програма, що під- тримує доступ до мереж стандарту CDMA); USIM (програма, що на- дає доступ до мереж 3G); ISIM (забезпечує доступ до мультимедій- них засобів) . Ці карти під час підключення до мобільного устаткуван- ня функціонують в UICC-сесіях . При роботі з мобільними станціями минулих років випуску такі карти також можуть працювати в сумісно- му режимі . Карти R-UIM, використовувані в мобільному устаткуванні стандарту CDMA2000, є різновидом UICC пристроїв .
Відомості, що зберігаються у смарт-картах, організовані у вигляді файлової системи, захищені апаратною архітектурою і встановленим програмним забезпеченням . Обмеження доступу до карт встановлю-
ється цифровою послідовністю та для однопрограмних карт іменуєть- ся CHV (Card Holder Verification / Перевірка власника карти), а для ба- більні телефони можна умовно розділити на дві групи – звичайні мо- більні телефони та смартфони . Перші або не мають можливості для встановлення додаткового програмного забезпечення, або програми, які все ж таки можна встановити, лише незначно розширюють мож- ливості пристрою . Смартфони, навпаки, зорієнтовані на значне роз- ширення власного функціоналу із використанням сторонніх програм- них продуктів .
Отже, з мобільного телефону може бути вилучено:
– ідентифікаційні дані про мобільний телефон – модель, IMEI
(International Mobile Equipment Identity / Міжнародний ідентифікатор мобільного обладнання);
– телефонну книгу;
– SMS-повідомлення;
– календар;
– нотатки;
– фотозображення;
– відео– та звукозаписи;
– збережену інформацію у браузерах .
На додаток до цього у смартфонах можна виявити:
– архіви програм обміну повідомленнями (ICQ, eBuddy Messenger,
WhatsApp тощо);
– програми-клієнти для численних соціальних мереж (ВКонтакте,
Facebook, Twitter тощо) (до речі, ці соціальні медіа часто стають плат- формами для вчинення злочинів);
– програми-клієнти для сервісів електронної пошти;
– браузери зі збереженими даними облікових записів інтернет- сайтів;
– документи різноманітних форматів .
Означені можливості можуть значно змінюватися, розширювати- ся або звужуватися залежно від конкретних моделей мобільного те- лефону та технічних можливостей із дослідження пристрою, що до- ступні слідчому .
Усю інформацію, що зберігається у терміналі, можна умовно роз- ділити на аудіовізуальну, текстову та змішаного характеру . Серед аудіо візуальної інформації певне місце посідає така, що має особис- тий або розважальний характер: фотографії родичів затриманого, дру- зів, тварин, музичні та відеофайли, а також звукозаписи (може бути

52
Тема № 3 53
Криміналістичні прийоми пошуку, виявлення
і фіксації інформації на електронних носіях
SIM-картка може містити такі важливі для слідчого відомості:
1) Скорочені номери викликів (телефонна книга), записи за яки- ми складаються із телефонного номера (до 24 цифр) та відповідно- го йому тексту латинськими або кириличними літерами (до восьми символів) . Записи можуть бути занесені як під час виготовлення карт- ки, так і користувачем та займають після цього постійне місце . Вида- лений запис знищується на картці, звільняючи місце для подальшого використання, та не може бути відновлений, а виявлення пропущених місць серед записів свідчить про факт видалення інформації . Слід за- значити, що залежно від налаштувань терміналу мобільного зв’язку актуальна телефонна книга може вестися засобами власне терміналу або на картці . Обсяг телефонної книги залежить від технічних даних
SIM-картки та складає від 100 номерів .
2) Вхідні SMS також можуть зберігатися на картці залежно від нала- штувань терміналу мобільного зв’язку або використання його моделей попередніх років випуску . SIM-картка може зберігати від 10 коротких повідомлень, однак слід враховувати, що довгі повідомлення розбива- ються для зберігання на декілька частин, що займають вільне місце, тож відповідно на пристрої може зберігатися менше коротких повідомлень .
3) Виявлення на картці записів у розділі останніх набраних номе- рів може свідчити про використання картки у застарілому терміналі .
На відміну від огляду SIM-картки, дослідження терміналу має осо- бливості, що залежать від його виробника, механічної цілісності та роботи електронних компонентів . Через це огляд зазначеного при- строю рекомендується провести із залученням спеціаліста .
У разі відсутності спеціаліста найбільш безпечним способом копію- вання відомостей із терміналу є їхнє переписування з екрана пристрою до протоколу слідчого огляду . Певної автоматизації цього процесу мож- на досягти за допомогою програмного забезпечення з синхронізації ві- домостей у терміналі із програмним забезпеченням на комп’ютері, що може бути завантажене з сайту відповідного виробника . Такі програ- ми, як правило, мають нескладний інтерфейс та надають базовий до- ступ до функцій терміналу, дозволяючи перенести адресну книгу, на- явні у телефоні текстові повідомлення, замітки, заплановані справи з календаря та інші відомості . Слідчий має переконатися в тому, що пе- ред синхронізацією списку контактів з програми (наприклад, Microsoft
Outlook), встановленої на комп’ютері, за допомогою якого здійснюєть- гатопрограмних – PIN (Personal Identification Number / Персональний
ідентифікаційний номер) .
Такий код є різновидом адміністративного пароля, що надає низь- кий рівень доступу та не дозволяє здійснювати на карті суттєві змі- ни . Довжина цього коду залежно від вибору користувача складає від 4 до 20 цифр . Для вводу PIN, залежно від заводських налаштувань кар- ти, надається від 3 до 10 спроб, й у випадку помилки карта блокуєть- ся до введення правильного PUK (Personal Unbloc�ing Key / Персо-
/ Персо-
Персо-
Персо- нальний ключ розблокування) . Питання про можливість усунення чи зняття PIN чи PUK, як правило, вирішується негативно через відсут- ність загальнодоступних апаратних та програмних засобів для обхо- ду вищевказаних кодів .
Смарт-карта може містити операційну систему, що виконує про- грами, призначені для обслуговування різних завдань . Однією з та- ких програм є SIM-програма, яка підтримує файлову систему смарт- карти, базові функції ідентифікації користувача у мережі мобільно- го зв’язку, ведення журналу дзвінків, телефонної книги, збережен- ня SMS та, за вибором оператора, мобільного банкінгу, SIM-меню тощо . Відмінності в наборах файлів, що використовуються програ- мами SIM, R-UIM, CSIM та USIM, є важливими з криміналістично- го погляду та мають враховуватися програмним забезпеченням для огляду смарт-карт .
Криміналістичне дослідження телефонної книги, що міститься на
SIM-карті, має базуватися на двоелементному джерелі – файлі ско- рочених номерів набору, доповнених відомостями з файлу розши- рень . USIM-картки мають значно розвиненішу телефонну книгу . Так, кількість можливих записів не може бути меншою за 500, одній особі може бути приписано декілька телефонних номерів, адреса електро- нної пошти, належність до групи тощо . Така телефонна книга утво- рюється у сукупності з 16 файлів .
Процедура огляду й використання інформації зі смарт-карт доволі проста і разом зі складанням відповідного протоколу займає не біль- ше години для одного пристрою, однак цей час може суттєво відріз- нятися залежно від стану пристрою, наявності й готовності устатку- вання, можливості залучення спеціаліста . Додаткового часу потребує й подальший аналіз і розбір отриманих відомостей .

54
Тема № 3 55
Криміналістичні прийоми пошуку, виявлення
і фіксації інформації на електронних носіях
У першій ситуації має бути встановлено цілісність та справність терміналу, працездатність акумулятора, наявність SIM-картки та картки флеш-пам’яті . Цілісність встановлюється шляхом візуально- го огляду, зсуву кришки акумуляторного відсіку із подальшим огля- дом стану внутрішніх елементів терміналу, особливу увагу звертають на виявлених патьоків, слідів корозії та плісняви (що можуть вказува- ти на перебування пристрою у рідинах, ґрунті або на неналежне збе- рігання після вилучення), також перевіряється хід наявних кнопок .
Працездатність акумулятора може бути встановлена із використанням аналогічного терміналу або шляхом вимірювання напруги та струму на клемах акумулятора, несправний акумулятор необхідно замінити .
Вмикання зібраного терміналу до проведення огляду складових не ре- комендується .
Виявлена SIM-картка оглядається за вищезазначеною процедурою вивчення смарт-карт . Огляд флеш-карти за технологією збігається із оглядом жорстких дисків та передбачає застосування USB-рідера, від- повідного програмного забезпечення .
Спорядивши термінал справним та повністю зарядженим акуму- лятором (флеш– та SIM-карта мають бути вилучені), можна перейти до встановлення справності терміналу . Для цього необхідно підклю- чити зазначений пристрій із використанням сервісного кабелю до комп’ютера та провести визначення терміналу засобами операційної системи та відповідного програмного забезпечення . Така процедура має певні особливості залежно від моделі терміналу та має проводи- тися кваліфікованим спеціалістом . У результаті такої дії може бути встановлено не тільки працездатність терміналу, однак може бути ско- пійована його внутрішня пам’ять із метою її подальшого дослідження спеціалістом або експертом . Якщо термінал виявився несправним, то необхідно перейти до дій за відповідною ситуацією .
Друга ситуація є найбільш сприятливою, дозволяє слідчому про- вести:
1) моніторинг вхідних дзвінків, отриманих після вилучення термі- налу;
2) огляд навіть за відсутності відомостей щодо PIN карти та коду блокування терміналу .
Хоча в літературі існує думка щодо безпечності відключення терміналу відразу після його виявлення, однак слідчому не слід із ся огляд, видалено усі без винятку записи у календарі, а також немає жодного контакту в адресній книзі . Неврахування цього може призвес- ти до завантаження контактів та дат справ із календаря, що зберігають- ся в комп’ютері, до терміналу та, як наслідок, до об’єднання інформа- ції . Серед розповсюджених програмних засобів, що використовують- ся слідчими під час самостійного огляду мобільних телефонів, можна виокремити: Sony, Sony Ericsson – MyPhoneExplorer; Nokia – Nokia PC
Suite; Samsung – Kies тощо . Набагато більші можливості надає спеці- алізоване криміналістичне програмне забезпечення, що використову-
ється під час експертного дослідження мобільних телефонів – Oxygen
Forensic Suite, Paraben Device Seizure, Elcomsoft iOS Forensic Toolkit .
Слідчому необхідно мати на увазі, що неправильне застосування спе- ціального сервісного програмного забезпечення (що пропонується ви- робником або розроблено ентузіастами) несе суттєву небезпеку щодо цілісності даних, збережених у терміналі .
Не можна вважати за прийнятну розповсюджену серед слідчих практику використання іншої SIM-картки під час огляду мобільного телефону в разі відсутності доступу до нього із SIM-карткою, з якою він був виявлений . Вжиття такого заходу є крайнім заходом через те, що призводить до автоматичного та необоротного стирання журна- лу дзвінків, вхідних/вихідних повідомлень, дат календаря та до вида- лення адресної книги (у деяких моделях телефонів) . У таких ситуаці- ях слідчий має дізнатися PIN оригінальної картки шляхом проведен- ня допиту власника терміналу, огляду паперових записників та інших засобів зберігання такої інформації або оперативним шляхом . Також необхідно пам’ятати, що під час увімкнення мобільного телефону від- бувається його реєстрація в мережі оператора із зазначенням відомос- тей про IMEI пристрою, IMSI (International Mobile Subscriber Identity
/ Міжнародний ідентифікатор користувача мобільного зв'язку) вико- ристовуваної слідчим картки, азимут антени базової станції мобіль- ного зв’язку, дату, час тощо . Уникнути мережевої реєстрації можна в разі використання пакета (коробки) Фарадея або засобу подавлен- ня GSM-мережі .