Расследование преступлений в сфере компьютерной информации в Российской Федерации и зарубежных странах
Шрифт:
Среди смешанных способов стоит также отметить те, которые строятся на применении социальной инженерии – способе получения несанкционированного доступа к информации, основанном на особенностях человеческой психологии, в частности, на том, как формируется доверие115. Самая распространенная атака этого типа сейчас – так называемый фишинг (fishing), связанный с «выуживанием» данных путем введения пользователя в заблуждение. Как правило, фишинг реализуется через письма, присылаемые на почту, со ссылками на сайты-клоны реальных организаций (например, банков или социальных сетей), где пользователь вводит
Вместе с тем, проведенные нами изучение, обобщение и анализ литературных источников, посвященных способам совершения преступлений в сфере компьютерной информации, судебно-следственной практики по данной категории уголовных дел последних лет, свидетельствуют об их постоянном и очень быстром обновлении, что существенно усложняет деятельность правоохранительных органов по раскрытию преступлений. Более того, пугающая скорость появления инновационных криминальных «продуктов», просто не оставляет шансов следственным органам на результативность, если их деятельность не будет сбалансирована в технико-технологическом аспекте с криминальной деятельностью.
Однако, основное прикладное назначение способа совершения преступления как элемента криминалистической характеристики в предопределении следовой картины, которая непосредственно и приводят к раскрытию преступления. Как верно указывал Р. С. Белкин, «… способ совершения и сокрытия преступления, точнее – знание о нем, определяют путь познания истины по делу, т. е. метод раскрытия и расследования»117. Эту же мысль в своем диссертационном исследовании системно анализирует А. А. Бессонов118.
Основой доказывания по делам о преступлениях в сфере компьютерной информации выступают цифровые следы, научная концепция которых разрабатывается в настоящее время группой ученых-исследователей под руководством Е. Р. Россинской119. Они «представляют собой криминалистически значимую компьютерную информацию о событиях или действиях, отраженную в материальной среде, в процессе ее возникновения, обработки, хранения и передачи»120. Близкое по сути определение цифровых следов предлагают наши зарубежные коллеги: к цифровым доказательствам (digital evidence) относятся данные в любом виде представления, которые можно извлечь из компьютерных систем для использования в доказывании, подтверждения либо опровержения проверяемых фактов и обстоятельств121.
К потенциальным носителям цифровых следов относятся:
а) персональные устройства (смартфоны, банковские карты, стационарные и планшетные компьютеры, ноутбуки, переносные электронные носители информации, например, флеш-накопители, персональные страницы в социальных сетях, включая инфраструктуру и пр.);
б) информационные системы (корпоративные и государственные ИС, охранные, банковские, платежные системы и пр.);
в) сетевая инфраструктура (локальные, региональные, корпоративные, ведомственные компьютерные
г) системы информационной безопасности (системы идентификации и аутентификации, антивирусное программное обеспечение и др.);
д) технологические устройства фиксации в правоохранительной деятельности (системы видеонаблюдения, устройства фиксации деятельности правоохранительных органов (worn camera), системы криминалистической регистрации, биометрические системы, устройства, применяемые в оперативно-розыскной деятельности и пр.)122.
Цифровые следы могут быть обнаружены:
– на рабочем месте преступника (стационарный компьютер, ноутбук, носители цифровой информации, средства связи, записи и пр.);
– на месте происшествия (например, в компьютерной системе, подвергшейся атаке);
– в сетевых ресурсах преступника (в рамках локальных или глобальной сети);
– в каналах связи преступника (сетевой трафик);
– в легальных сетевых ресурсах, используемых в преступной деятельности (почтовых серверах, вычислительных мощностях провайдеров хостинга, ресурсах провайдера по предоставлению доступа в Интернет и пр.).
Цифровые следы существуют в виде дамп оперативной памяти и дамп трафиков, файлы и их обрывки, создаваемая программными и аппаратным средствами их получения служебная информация об этих файлах, располагающиеся на материальных носителях информации в виде цифровых кодированных последовательностей123. Наиболее распространенная их форма – лог-файлы. Лог – это журнал автоматической регистрации событий в рамках какой-либо программы или сети. Почти любое действие в рамках информационной системы может отражаться в лог-файле124. Их источниками в сетевых ресурсах сети Интернет могут быть:
1) провайдеры хостинговых услуг: в частности, лог-файлы подключений к сетевому ресурсу и статистические данные учета сетевого трафика, свидетельствующие о сетевой активности пользователей;
2) цифровые копии содержимого серверов и облачных хранилищ данных125.
Однако, как подчеркивает А. И. Семикаленова, такая информация доступна для восприятия человека только посредством использования специализированных программных и аппаратных средств, осуществляющих декодирование и визуализацию в привычной графической, текстовой или звуковой форме, и могут быть получены и интерпретированы в полном объеме и без изменения содержания только с использованием специальных знаний126.
Изучение лог-файлов подключений к серверу позволяет выявить сетевые адреса пользователей ресурса, установить их личности в том случае, если пользователем не были применены техники, позволяющие анонимизировать его в Сети. В ходе исследований копий содержимого серверов и облачных хранилищ могут быть найдены экземпляры использовавшихся злоумышленником вредоносных программ, сетевые реквизиты пользователей (например, данные учетных записей, IP-адреса подключений, адреса других серверов сетевой структуры). Именно эта информация поможет установить, например, сетевые адреса серверов, с которых распространялись или управлялись вредоносные программы, форумов для общения компьютерных преступников, виртуальных обменных и платежных систем.