тактика. Тактика и технология производства невербальных следственных действий

Том 74 № 9 (178) сентябрь 2021
108
LEX RUSSICA
КиберПроСтранСтво
CYBERSPACE
дами, важно соблюдать следующие правила: обеспечивать неизменность цифровых следов, хранящихся на осматриваемых устройствах; для поиска, изучения, изъятия и иных манипуляций с цифровыми следами привлекать специали- ста, имеющего соответствующую подготовку; документировать в полном объеме действия по изъятию, хранению и передаче цифровых сле- дов, доступу к ним и, соответственно, к устрой- ствам, на которых они содержатся, обеспечи- вать их защиту и доступность для дальнейших судебных исследований.
Следует особо отметить значимость под- готовительных мероприятий при проведении невербальных следственных действий для дел данной категории. Разумеется, подготовка обязательна при проведении любого след- ственного действия, однако отсутствие приго- товительных мероприятий либо формальный подход к их проведению именно по делам о компьютерных преступлениях может повлечь наибольший ущерб для расследования, выра- жающийся в утрате возможностей для сбора доказательств. Поэтому на этапе подготовки следователю требуется подыскать и привлечь к проведению следственного действия соот- ветствующего специалиста, убедиться в его компетентности, после чего совместно с ним уточнить обстоятельства дела, заранее собрать сведения о дате и времени совершения пре- ступления, местонахождении скомпромети- рованной компьютерной системы, моделях и характеристиках вычислительных устройств, емкости их жестких дисков, сетевом окруже- нии и т. п. Затем надлежит проверить наличие необходимого оборудования и программ- ного обеспечения для работы специалиста с цифровыми следами. Помимо специальных криминалистических средств, в перечень кото- рых входят в том числе программы для снятия снимка оперативной памяти, блокираторы для исследования компьютерной техники, копиров- щики для копирования жестких дисков, при производстве невербальных следственных действий могут понадобиться переходники и кабели, электронные носители информации для консервирования компьютерных данных, латексные перчатки и иные средства защиты, необходимые для предотвращения оставления специалистом каких-либо следов на осматри- ваемой технике, специальный упаковочный материал, служащий для безопасного пере- мещения и хранения компьютерной техники и электронных носителей информации, матери- ал для маркировки портов и кабелей в случае изъятия всех элементов компьютерной сети.
Невербальные следственные действия про- водятся с целью поиска, фиксации и изъятия цифровых следов преступления, которые могут быть обнаружены в местах автоматизирован- ной обработки, хранения и передачи данных с использованием вычислительных мощностей:
— рабочее место преступника (компьютерные устройства, электронные носители инфор- мации, средства связи, записи);
— место происшествия (компьютерная система);
— сетевые ресурсы преступника (в локальной сети);
— сетевые ресурсы преступника (в глобальной сети);
— каналы связи преступника (сетевой трафик);
— легальные сетевые ресурсы, используемые в преступной деятельности (почтовые сер- веры, вычислительные мощности провайде- ров хостинга, ресурсы провайдера по предо- ставлению доступа в Интернет и т. п.).
Наиболее распространенное и значимое не- вербальное следственное действие для рассле- дования компьютерных преступлений — осмотр места происшествия. Сложность этого след- ственного действия, помимо прочего, обуслов- лена его неотложностью, обычно по горячим следам совершенного преступления, что остав- ляет крайне мало времени для подготовки. Тем не менее определенные подготовительные ме- роприятия провести необходимо, иначе, прибыв на место происшествия для его осмотра с целью поиска, фиксации и изъятия следов преступ- ления и других вещественных доказательств, выяснения обстановки и иных обстоятельств, имеющих значение для дела, следователь зача- стую сталкивается с проблемной ситуацией, по- скольку не обнаруживает видимых материаль- ных признаков совершенного деяния. Жилые или офисные помещения, порядок в которых не нарушен, с находящимися в них средствами вычислительной техники (компьютеры, мобиль- ные устройства, серверы, маршрутизаторы), в ряде случаев связаны в локальную сеть и раз- мещены в разных частях здания. Установление связи между преступлением и осматриваемым местом происшествия при таких обстоятель- ствах возможно только с использованием спе- циальных знаний и применением криминали- стических технических средств.
В самом общем виде можно определить следующий порядок действий при осмотре средств вычислительной техники:

Том 74 № 9 (178) сентябрь 2021
109
LEX RUSSICA
россинская е. р., рядовский и. а.
Тактика и технология производства невербальных следственных действий по делам о компьютерных преступлениях: теория и практика
— внешний осмотр компьютерной техники;
— проверка наличия активных сетевых под- ключений;
— осмотр компьютерной информации (уста- новленных и использующихся приложений, файловой системы, запущенных процессов);
— снятие копии (дампа) содержимого опера- тивной памяти;
— выключение компьютера и создание копии жесткого диска;
— отсоединение кабелей и внешних устройств
(в случае изъятия взаимосвязанных объ- ектов необходимо промаркировать имею- щиеся кабельные соединения);
— составление протокола и упаковка изъятого.
Тактические особенности осмотра места происшествия, сопряженного с работой с ци- фровыми устройствами и данными, зависят от конкретных обстоятельств дела. При наличии на месте происшествия одного компьютера сле- дователь в полной мере может контролировать полноту, активность, методичность и последо- вательность осмотра, а роль специалиста носит технический характер и заключается в выпол- нении определенного набора действий, выбор которых обычно зависит от того, включен или выключен компьютер на момент проведения осмотра. В случае с неработающей системой сначала производится внешний осмотр ком- пьютерной техники, отсоединение кабелей и внешних устройств, их упаковка (в случае изъя- тия взаимосвязанных объектов необходимо предварительно отметить, к какому порту что подключено) либо, при наличии оснований, может быть изъят не компьютер целиком, а создана побитовая копия его жесткого диска, которая изымается и приобщается к уголовно- му делу. Если же система активна, то перед ее выключением и созданием копии диска допол- нительно проводится проверка наличия актив- ных сетевых подключений, выполняется осмотр компьютерной информации (установленных и использующихся приложений, файловой си- стемы, запущенных процессов) и снятие копии содержимого оперативной памяти.
Совершенно иначе проводится осмотр ком- пьютерной системы, являющейся локальной се- тью, которая включает рабочие станции сотруд- ников, серверы, в том числе почтовые серверы, прокси-серверы, серверы контроллеров доме- нов, маршрутизаторы, коммутаторы, кабельную систему. Элементы локальной сети и целые ее сегменты могут быть разнесены не только по разным помещениям в здании, но и по различ- ным географическим регионам, если для по- строения сети используется технология VPN (от англ. Virtual Private Network — виртуальная част- ная сеть). Оставив за рамками статьи процес- суальные вопросы, что в таком случае считать местом осмотра, отметим очевидный факт: гра- ницы места осмотра виртуально раздвигаются, предоставляя больше возможностей для поиска криминалистически значимой информации.
Аналогичная ситуация может возникнуть на месте происшествия в случае, если обнару- женные при осмотре средства вычислитель- ной техники подключены к удаленным храни- лищам информации, в том числе к облачным, либо в ходе осмотра помещения провайдера хостинговых услуг, предоставляющего в аренду вычислительные мощности, серверы которого физически размещены в центрах обработки данных (ЦОД) в различных регионах страны.
При таких обстоятельствах многократно возра- стает роль специалиста: от него требуется уже не выполнение рутинных действий, а творче- ская вдумчивая работа на протяжении длитель- ного времени, сопровождающаяся значитель- ным психическим напряжением. Достижение результатов осмотра зависит от профессио- нальной и организационной подготовки спе- циалиста, который вынужден самостоятельно выбирать тактические приемы осмотра места происшествия.
Учитывая огромный размер информации, хранящейся в локальной компьютерной сети, при ее осмотре (например, в связи с проведен- ной сетевой атакой) тактически наиболее целе- сообразным видится применение субъектив- ного метода осмотра
17
, который выражается в движении по цифровым следам, оставленным в сети, начиная от выявленной скомпромети- рованной рабочей станции, далее по цепочке других компьютеров и серверов до устройства, с которого началось проникновение, окончив- шееся получением несанкционированного до- ступа к системе и его реализацией.
Для поиска и обнаружения цифровых следов преступления могут быть изучены следующие процессы и объекты на компьютерах сети: про- цессы выполняемых программ; планировщики задач операционной системы; сервисы опе- рационной системы; сетевой трафик; файлы; журнальные файлы событий операционной
17
Россинская Е. Р. Криминалистика : учебник для вузов. М. : Норма, 2016. С. 262–263.

Том 74 № 9 (178) сентябрь 2021
110
LEX RUSSICA
КиберПроСтранСтво
CYBERSPACE
системы и программных систем мониторинга и защиты компьютерной информации.
На основании собранных сведений форми- руется хронологическая последовательность со- бытий в сети, связанных с получением несанк- ционированного доступа, и составляется схема развития сетевой атаки, затрагивающей различ- ные элементы локальной сети. При составле- нии таких схем необходимо обязательно учи- тывать негативные обстоятельства
18
, например изменения в файловой системе, ветках реестра, сведения из журналов событий, которые в силу своего наличия либо, напротив, отсутствия под- тверждают или опровергают рассматриваемые следственные версии.
В случае невозможности изъятия средств вычислительной техники и изготовления посек- торных копий их дисков вследствие большого размера или непрерывного производственно- го процесса следует рассмотреть следующие варианты сбора цифровых следов, имеющих значение для расследования уголовного дела:
1. Создание копии логического (а не физи- ческого) диска, если размер логического диска несопоставимо меньше неразмеченной обла- сти физического диска, например с помощью специальной криминалистической програм- мы — EnCase Forensic Imager.
2. Целевое копирование файлов, если из- вестно, какие именно сведения представляют интерес, а также их расположение в файловой системе осматриваемого устройства.
3. Копирование файлов, содержащих в силу своего назначения достаточно сведений для анализа возможной компрометации устрой- ства либо его использования в противоправ- ных целях, таких как копия (дамп) содержи- мого оперативной памяти; файл гибернации; страничный файл; ветви реестра операцион- ной системы; журнальные файлы; файл $MFT
(Master File Table); файл Prefetch; файл-листинг с хеш-суммами. Если требуется по обстоятель- ствам дела, копируются файлы, содержащие копии веб-страниц, посещенных с помощью браузеров; файлы, содержащие историю посе- щения веб-страниц; архив электронной почты; настройки VPN; профили пользователей и т. п.
Если по обстоятельствам дела необходимо производство судебной экспертизы всей ком- пьютерной системы, изъятию подлежат взаи- мосвязанные объекты, включающие в себя аппаратное, программное и информационное обеспечение и являющиеся составными частя- ми единого информационного технологиче- ского процесса.
Обнаруженные в ходе осмотра цифровые следы, которые характеризуются позволяю- щими их идентифицировать признаками: кон- трольной суммой (хеш-суммой), рассчитанной по криптографическому алгоритму, размером файла и другими его атрибутами, необходимо сохранить на электронных носителях инфор- мации. Сведения о хеш-сумме извлеченных данных и характерных признаках носителя информации, на который они были сохранены, вносятся в протокол. В протоколе также должны быть по́лно и точно отражены ход и результаты проведенного осмотра, наименование приме- ненных специалистом технических и программ- ных средств.
Следует еще раз подчеркнуть важность под- готовительного этапа в проведении невербаль- ных следственных действий по делам о ком- пьютерных преступлениях. Формальный подход следователя к проверке наличия необходимых компетенций у специалиста может привести к ситуации, при которой из-за отсутствия у по- следнего достаточных профессиональных зна- ний и навыков работы с цифровыми следами будут упущены важные информационные объ- екты или не сохранены надлежащим образом цифровые следы преступления, что сделает та- кие доказательства непригодными для исполь- зования либо повлечет их утрату
19
Однако, несмотря важность цифровых сле- дов для установления способа компьютерного преступления, в ходе осмотра места происше- ствия нельзя сосредотачиваться исключительно на средствах вычислительной техники, игно- рируя иные предметы и документы, которые могут нести в себе криминалистически значи- мую информацию. Так, исходный код вредонос- ной программы может быть обнаружен в рас- печатанном либо даже рукописном виде, как и записи, подтверждающие неправомерный доступ к компьютерным системам, пароли к заблокированным компьютерным устройствам, реквизиты доступа к облачным сервисам, схе-
18
Белкин Р. С. Курс криминалистики : учеб. пособие. 3-е изд., доп. М. : Юнити-Дана, Закон и право, 2001.
С. 796–799.
19
Casey E. Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet. Academic
Press, 2011. С. 228.

Том 74 № 9 (178) сентябрь 2021