Этот модуль является ресурсом для лекторов
Обращение с цифровыми доказательствами
Знаете ли вы?
В частном секторе меры реагирования на инциденты, связанные с кибербезопасностью (например, распределенная атака типа «отказ в обслуживании», несанкционированный доступ к системам или утечка данных), включают в себя конкретные процедуры, которым необходимо следовать, чтобы локализовать инцидент, связанный с кибербезопасностью, расследовать и/или устранить его (Cyber Security Coalition, 2015). Существуют два основных способа действий в случае возникновения инцидентов, связанных с кибербезопасностью: быстрое восстановление или сбор доказательств (Cyber Security Coalition, 2015). Первый подход, обеспечивающий быстрое восстановление, предполагает локализацию инцидента с целью минимизации вреда, а не сохранение и/или сбор данных. Поскольку основное внимание уделяется задаче быстрого реагирования и восстановления, существенно важные доказательства могут быть потеряны. Второй подход предполагает отслеживание инцидента, связанного с кибербезопасностью, и использование приложений, предназначенных для проведения цифровой судебной экспертизы, с целью сбора доказательств и информации об инциденте. Поскольку основной акцент делается на сборе доказательств, восстановление после инцидента, связанного с кибербезопасностью, откладывается. Эти подходы не являются для частного сектора единственно возможными. Подход, используемый частным сектором, варьируется в зависимости от конкретной организации и ее приоритетов.
Хотите знать больше?
Прочтите: Коалиция по кибербезопасности: «Руководство по управлению инцидентами, связанными с кибербезопасностью», 2015 г., Cyber Security Incident Management Guide , 2015.
Цифровые доказательства являются неустойчивыми и недолговечными, и ненадлежащее обращение с такими доказательствами может привести к их изменению. В связи с неустойчивостью и недолговечностью доказательств необходимо соблюдать протоколы, чтобы не допустить изменения данных в процессе обращения с ними (то есть во время получения доступа к данным, их сбора, упаковки, передачи и хранения). В этих протоколах описываются действия, которые необходимо выполнять при обращении с цифровыми доказательствами. Начальный процесс обращения с цифровыми доказательствами состоит из четырех этапов: идентификация, сбор, получение и сохранение ( ИСО/МЭК 27037; см. модуль 4 Серии модулей по киберпреступности: «Введение в цифровую криминалистику»).
Знаете ли вы?
Существуют протоколы для сбора неустойчивых доказательств. Сбор неустойчивых доказательств должен осуществляться в порядке возрастания степени устойчивости, то есть в первую очередь следует собирать доказательства с наименьшей степенью устойчивости, а доказательства с наибольшей степенью устойчивости следует собирать в последнюю очередь. В документе под названием «Запрос комментариев (RFC) 3227» (Request for Comments (RFC) 3227) приведен следующий пример порядка сбора неустойчивых данных (от наименее устойчивых к наиболее устойчивым) для стандартных систем (Brezinski and Killalea, 2002)
- реестры, кэш
- таблица маршрутизации, ...кэш [протокола определения адреса или ARP], таблица процессов, ядро (статистика), память
- системы для временных файлов
- диск
- данные удаленного журнала и данные мониторинга, имеющие отношение к исследуемой системе
- физическая конфигурация, топология сети
- архивный носитель данных
Для получения дополнительной информации см.: Brezinski, D. and T. Killalea. (2002). Guidelines for Evidence Collection and Archiving . Request for Comments: 3227.
Идентификация
На этапе идентификации до начала сбора цифровых доказательств необходимо получить предварительную информацию о совершенном киберпреступлении. Эта предварительная информация схожа с той, которая собирается во время традиционного уголовного расследования. Следователь пытается ответить на следующие вопросы:
- Кто причастен к киберпреступлению?
- Что произошло?
- Когда было совершено киберпреступление?
- Где было совершено киберпреступление?
- Как было совершено киберпреступление?
Ответы на эти вопросы подскажут следователям, с чего следует начать расследование дела. Например, ответ на вопрос: «Где было совершено киберпреступление?» - т.е. было ли оно совершено на территории страны или за ее пределами (см. модуль 3 Серии модулей по киберпреступности: «Правовая база и права человека» для получения информации о юрисдикции) - поможет следователю понять, как следует расследовать это дело (например, какие органы следует привлечь к участию и/или с кем следует установить связь).
На этапе идентификации следователи по делам о киберпреступлениях используют большое количество традиционных методов расследования (см. пособие УНП ООН Работа полиции: Расследование преступлений для ознакомления с подробным анализом этих методов), особенно на этапе сбора информации и доказательств. Например, с целью сбора информации и доказательств расследуемого киберпреступления проводится допрос жертв, свидетелей и подозреваемых (для ознакомления с руководящими указаниями в отношении допроса подозреваемых, а также взрослых и детей-свидетелей и жертв преступлений см.: модуль 9 Пособия УНП ООН для специалистов в сфере уголовного правосудия по борьбе с торговлей людьми; УНП ООН: Набор методических пособий по вопросам борьбы с торговлей людьми; Экономический и социальный совет ООН (ЭКОСОС), Резолюция 2005/20: Руководящие принципы, касающиеся правосудия в вопросах, связанных с участием детей-жертв и свидетелей преступлений; УНП ООН: Правосудие в делах, связанных с участием детей-жертв и свидетелей преступлений; и Boyle and Vullierme, Council of Europe, A brief introduction to investigative interviewing: A practitioner's guide).
Правоохранительные органы также проводят негласные расследования с целью установления личности, розыска и уголовного преследования киберпреступников (примеры таких расследований включены в модуль 12 Серии модулей по киберпреступности: «Киберпреступления против личности» и модуль 13 Серии модулей по киберпреступности: «Организованная киберпреступность»). Кроме того, следователи, расследующие киберпреступление, проводят скрытое наблюдение. Такое наблюдение является «в высокой степени интрузивным методом сбора доказательств. Использование скрытого (негласного) наблюдения требует тщательного баланса между правом подозреваемого на частную жизнь и необходимостью расследовать тяжкие преступления. Положения о скрытом наблюдении должны полностью учитывать права подозреваемого. Международные органы и суды по правам человека приняли ряд решений о недопустимости негласного наблюдения и его параметрах, которые должны выполняться» (UNODC, 2010, p. 16). Правоохранительные органы даже используют вредоносные программы для осуществления наблюдения с целью сбора информации о киберпреступлении и доказательств его совершения. Например, правоохранительные органы США используют методику проведения следственных действий в компьютерных сетях (NIT) - «специально разработанные эксплойты или вредоносные программы» - в своих расследованиях дел, связанных с сексуальной эксплуатацией детей и сексуальным насилием над детьми в сети Интернет (Finklea, 2017, p. 2; см. модуль 13 Серии модулей по киберпреступности: «Организованная киберпреступность» для получения дополнительной информации об этих методах).
Прежде чем начать сбор цифровых доказательств, следователь должен определить типы искомых доказательств. Цифровые доказательства можно обнаружить в цифровых устройствах, таких как компьютеры, внешние жесткие диски, флеш-накопители, маршрутизаторы, смартфоны, планшеты, камеры, «умные» телевизоры, бытовые приборы с выходом в Интернет (например, холодильники и стиральные машины), игровые приставки (и многие другие), а также на общедоступных ресурсах (например, платформы социальных сетей, веб-сайты и дискуссионные форумы) и частных ресурсах (например, журналы интернет-провайдеров об активности пользователей; деловые документы провайдеров коммуникационных услуг; журналы провайдеров облачного хранения с регистрацией активности пользователей и пользовательских материалов). Многие приложения, веб-сайты и цифровые устройства используют сервисы облачного хранения. Таким образом, данные о пользователях могут храниться целиком или в виде фрагментов различными провайдерами на серверах в нескольких местах (УНП ООН, 2013; Quick, Martini, and Choo, 2014). Поэтому задача получения данных от этих провайдеров является трудновыполнимой (для получения дополнительной информации см. модуль 7 Серии модулей по киберпреступности: «Международное сотрудничество в борьбе с киберпреступностью»). Тип искомых доказательств зависит от расследуемого киберпреступления. Если расследуемое киберпреступление представляет собой мошенничество с использованием персональных данных, то на изымаемых цифровых устройствах будет проводиться поиск доказательств этого преступления (например, доказательств мошеннических транзакций).
Сбор
При расследовании киберпреступления место преступления не ограничивается физическим местоположением цифровых устройств, которые использовались для совершения киберпреступления и/или были целью киберпреступников. Место совершения киберпреступления также включает в себя цифровые устройства, которые могут содержать цифровые доказательства, и охватывает несколько цифровых устройств, систем и серверов. В случаях, когда наблюдается факт совершения киберпреступления, поступает сообщение о киберпреступлении и/или имеется подозрение в совершении киберпреступления, принимаются меры по охране места преступления. Лицо, принимающее первые ответные меры (этот вопрос рассматривается в модуле 5 Серии модулей по киберпреступности: «Расследование киберпреступлений»), определяет место преступления, защищает его от загрязнения и обеспечивает сохранность неустойчивых доказательств, изолировав пользователей от всех цифровых устройств, обнаруженных на месте преступления (например, переместив их в отдельное помещение или место) (Casey, 2011; Sammons, 2012; Maras, 2014; Nelson, Phillips, and Steuart, 2015; см. вставку «Примечание» ниже). Пользователи должны быть лишены возможности дальнейшей эксплуатации цифровых устройств. При этом ни лицо, принимающее первые ответные меры, ни следователь не должны обращаться за помощью к какому-либо пользователю в процессе обыска и документирования. Следователь, если он не является лицом, принимающим первые ответные меры, обыскивает место преступления и идентифицирует доказательства. До начала сбора доказательств место преступления документируется. Документирование является необходимым на протяжении всего процесса расследования (до, во время и после получения доказательств). Документация должна включать в себя подробную информацию о собранных цифровых устройствах, в том числе о рабочем состоянии устройства, было ли оно включено, выключено или находилось в режиме ожидания, - и его физических характеристиках, таких как марка, модель, серийный номер, соединения, любые отличительные знаки или какие-либо повреждения (Casey, 2011; Sammons, 2012; Maras, 2014; Nelson, Phillips, and Steuart, 2015). В дополнение к письменным заметкам, для документирования места преступления и доказательств необходимы также схемы, фотографии и/или видеозаписи места преступления и доказательств (Maras, 2014, pp. 230-233).
Примечание:
Сбор неустойчивых данных может изменить содержимое памяти цифровых устройств и данные внутри них.
Следователь или эксперт-криминалист собирает доказательства. Процедуры варьируются в зависимости от типа цифрового устройства, а также общедоступных и частных ресурсов, где находятся цифровые доказательства (например, компьютеры, телефоны, социальные сети и облачное хранилище; для ознакомления с различными практическими методами цифровой судебной экспертизы мультимедийных, видео- и мобильных устройств см. веб-сайт Научной рабочей группы по цифровым доказательствам (Scientific Working Group on Digital Evidence ( SWGDE)). Правоохранительные органы используют стандартные оперативные процедуры, в которых подробно описываются действия, которые необходимо выполнить при обращении с цифровыми доказательствами на мобильных устройствах, объектах с выходом в Интернет (например, часы, фитнес-мониторы и бытовые приборы), облачном хранилище и платформах социальных сетей ( SWGDE Draft Best Practices for Mobile Device Evidence Collection & Preservation, Handling, and Acquisition, 2018; SWGDE Best Practices for the Acquisition of Data from Novel Digital Devices; Cloud Security Alliance, 2013; Police Service of Scotland, 2018). Стандартная оперативная процедура (СОП) предназначена для оказания помощи следователям, поскольку в ней описываются методы и последовательность действий, которые следует соблюдать при расследовании киберпреступления таким образом, чтобы обеспечить допустимость собранных доказательств в суде; в ней также описываются инструменты и другие ресурсы, необходимые для проведения расследования (см., например, СОП следующих организаций: Совет по безопасности данных Индии (Data Security Council of India, 2011); Полицейская служба Шотландии (Police Service of Scotland, 2018)). Таким образом, СОП включает в себя описание процедур, которые необходимо соблюдать во время проведения расследования.
Необходимо определить уникальные ограничения, с которыми могут столкнуться следователи в ходе расследования. Например, при расследовании киберпреступления следователи могут иметь дело с множеством цифровых устройств, операционных систем и сложных сетевых конфигураций, что потребует наличия специальных знаний, изменения в процедурах сбора доказательств и содействия в выявлении соединений между системами и устройствами (например, топологии сетей). Во время расследования следователь может также сталкиваться с методами антикриминалистики (рассматриваются в модуле 4 Серии модулей по киберпреступности: «Введение в цифровую криминалистику»), такиими как стеганография (т.е. сокрытие секретных данных, когда содержимое сообщения скрывается и делается невидимым) и шифрование (т.е. «физическое блокирование доступа третьих сторон к файлу путем использования пароля либо путем приведения файла или элементов файла в непригодное для использования состояние»; Maras, 2014, p. 204; для получения дополнительной информации о шифровании см. модуль 10 Серии модулей по киберпреступности: «Конфиденциальность и защита данных»)(Conlan, Baggili, and Breitinger, 2016). Поэтому следователь должен быть готов к таким ситуациям и располагать необходимыми людскими и техническими ресурсами, необходимыми для устранения этих ограничений. Действия, предпринимаемые следователем в таких случаях (например, способность следователя получить пароли к этим устройствам и/или расшифровать файлы), если они вообще предпринимаются, зависят от национальных законов (см. интерактивную карту компании Global Partners Digital для получения дополнительной информации законах и правилах, касающихся шифрования данных, которые действуют в разных странах). Инструменты цифровой криминалистики (рассматриваются в модуле 4 Серии модулей по киберпреступности: «Введение в цифровую криминалистику») могут оказаться полезными в таких ситуациях и помочь, например, обнаружить стеганографию и расшифровать файлы, а также выполнить другие важные задачи цифровой судебной экспертизы. Примеры таких инструментов включают в себя программные обеспечения для проведения компьютерных экспертиз, такие как Forensic Toolkit (FTK) производства компании AccessData, Volatile Framework, X-Ways Forensics. Наряду с этими ресурсами необходим комплект криминалистических инструментов, который включает в себя предметы, используемые для документирования места преступления, инструменты, необходимые для разборки устройств и удаления прочих видов доказательств с места преступления, а также материалы, необходимые для маркировки и упаковки доказательств (например, для транспортировки смартфонов используются экранирующая сумка Фарадея, которая блокирует прием и передачу беспроводных сигналов цифровым устройством, и зарядное устройство питания), и другие инструменты (Casey, 2011; Sammons, 2012; Maras, 2014; Nelson, Phillips, and Steuart, 2015).
Процесс сбора доказательств предполагает сохранение неустойчивых доказательств и отключение питания цифровых устройств. Рабочее состояние обнаруженных цифровых устройств определяет процедуры сбора доказательств. Например, если обнаружен компьютер во включенном состоянии, неустойчивые доказательства (например, временные файлы, регистр, кэш, состояние сети, соединения и т.п.) сохраняются до отключения питания и изъятия компьютера (Casey, 2011; Sammons, 2012; Maras, 2014; Nelson, Phillips, and Steuart, 2015). Если устройство выключено, то оно остается в выключенном состоянии и изымается (US National Institute of Justice; 2004b; US National Institute of Justice, 2008). Существуют обстоятельства, при которых цифровые устройства не могут быть изъяты (например, из-за размера и/или сложности систем и/или конфигураций их аппаратного и программного обеспечения, поскольку эти системы обеспечивают критически важные услуги) (см. модуль 4 Серии модулей по киберпреступности: «Введение в цифровую криминалистику»). В таких ситуациях неустойчивые и устойчивые данные собираются с использованием специальных процедур, которые требуют сбора данных в реальном времени ( SWGDE Capture of Live Systems, 2014). Тип цифрового устройства, с которым имеет дело следователь во время расследования, также определяет способ сбора цифровых доказательств (см., например: SWGDE Best Practices for Mobile Device Evidence Preservation and Acquisition, 2018; SWGDE Best Practices for the Acquisition of Data from Novel Digital Devices; US National Institute of Justice, 2007a).
Знаете ли вы?
Для получения неустойчивых данных из систем, находящихся в рабочем состоянии, могут использоваться специальные команды. Например, для операционных систем Windows команда ipconfig используется для получения информации о сети, тогда как для операционных систем Unix используется команда ifconfig. И для Windows, и для Unix команда netstat используется для получения информации об активных сетевых соединениях.
Хотите знать больше?
- Software Engineering Institute. (2016). Volatile Data Collection . Carnegie Mellon University.
- Amari, Kristine. (2009). Techniques and Tools for Recovering and Analyzing Data from Volatile Memory. SANS Institute InfoSec Reading Room.
- Bolt, Steven and Earl Door. (2007). Methods for Capturing Volatile Data.
Помимо цифровых устройств также необходимо собрать другие предметы, имеющие отношение к делу (например, заметки и/или записные книжки, которые могут содержать пароли или иную информацию о сетевых учетных данных, телефонах, факсимильных аппаратах, принтерах, маршрутизаторах и т.д.). Действия, предпринимаемые следователем при сборе доказательств, должны документироваться. Каждое устройство должно быть промаркировано (вместе с соединительными кабелями и сетевыми шнурами), упаковано и отправлено в лабораторию цифровой судебной экспертизы (US National Institute of Justice; 2004b; US National Institute of Justice, 2008). После транспортировки предметов в лабораторию, они «инвентаризируются, регистрируются и передаются на хранение в запираемое помещение,… защищенное от экстремальных температур, влажности, пыли и прочих возможных загрязнителей» (Maras, 2014, p. 237).
Получение
Существуют различные методы получения доказательств. Используемый метод зависит от типа цифрового устройства. Например, процедура получения доказательств с жесткого диска компьютера отличается от процедуры, необходимой для получения цифровых доказательств с мобильных устройств, таких как смартфоны.
Кроме случаев, когда осуществляется сбор данных в реальном времени, доказательства извлекаются из изъятых цифровых устройств в лаборатории судебной экспертизы (т.е. осуществляется сбор данных в статическом режиме). В лаборатории судебной экспертизы цифровые доказательства должны быть получены таким образом, чтобы сохранить целостность доказательств (обеспечить, чтобы данные остались без изменений), то есть надежным с точки зрения криминалистики способом (см. модуль 4 Серии модулей по киберпреступности: «Введение в цифровую криминалистику»). Для этого инструменты и методы, используемые для получения цифровых доказательств, должны предотвращать изменения данных или, когда это невозможно, по крайней мере минимизировать изменения ( SWGDE Best Practices for Computer Forensic Acquisitions, 2018). Используемые инструменты и методы должны быть обоснованными и надежными (NIST, n.d.; SWGDE Recommended Guidelines for Validation Testing, 2014; US National Institute of Justice, 2007b). Прежде чем использовать эти инструменты и методы, необходимо определить и учесть пределы их возможностей (SWGDE Best Practices for Computer Forensic Acquisitions, 2018). Национальный институт стандартов и технологий США имеет доступную для поиска базу данных инструментов цифровой криминалистики ( digital forensics tools database), в которой описываются инструменты с различными функциональными возможностями (например, инструменты для судебной экспертизы облачных хранилищ и т.п.) (для получения дополнительной информации об инструментах цифровой криминалистики см. модуль 4 Серии модулей по киберпреступности: «Введение в цифровую криминалистику»).
Знаете ли вы?
Сортировка, т.е. «проверка свойств и содержимого потенциальных источников данных», может проводиться «до получения данных, чтобы уменьшить объем собираемых данных, избежать получения не имеющей отношения к делу информации или соблюсти ограничения полномочий в отношении производствам обыска» (SWGDE Focused Collection and Examination of Digital Evidence).
Хотите знать больше?
Для получения дополнительной информации о сортировке данных см. модуль 4 Серии модулей по киберпреступности: «Введение в цифровую криминалистику».
Изъятые цифровые устройства считаются основным источником доказательств. Эксперт по цифровой криминалистике получает данные не из первичного источника. Вместо этого создается дубликат содержимого этого устройства, и эксперт работает с копией. Дубликат содержимого цифрового устройства создается (такой процесс именуется созданием неискаженного образа) до начала сбора данных в статическом режиме для сохранения целостности цифровых доказательств (см. модуль 4 Серии модулей по киберпреступности: «Введение в цифровую криминалистику»). Для того чтобы определить, является ли дубликат точной копией оригинала, значение криптографической хэш-функции рассчитывается с использованием математических вычислений; если значения хэш-функции для оригинала и копии совпадают, то содержимое копии является зеркальным отображением (т.е. дубликатом) содержимого оригинала (см. модуль 4 Серии модулей по киберпреступности: «Введение в цифровую криминалистику»). Блокировщик записи, который предназначен для предотвращения изменения данных в процессе копирования (см. модуль 4 Серии модулей по киберпреступности: «Введение в цифровую криминалистику»), следует использовать до извлечения данных во всех случаях, когда это возможно, для того чтобы не допустить изменений данных во время копирования ( SWGDE Best Practices for Computer Forensic Acquisitions, 2018). Важно отметить, что описанный выше процесс получения данных применим в основном к компьютерам. При получении данных с мобильных телефонов и схожих с ними устройств, где память не может быть физически отделена от устройства для создания неискаженного образа, применяется иная процедура (см., например: SWGDE Best Practices for Mobile Device Evidence Preservation and Acquisition, 2018; SWGDE Best Practices for Mobile Phone Forensics, 2013).
Существуют два способа извлечения данных: физическое и логическое. Физическое извлечение предполагает поиск и получение доказательств из такого места в цифровом устройстве, где хранятся доказательства, например, из жесткого диска компьютера (Maras, 2014). Физическое извлечение может осуществляться путем использования поиска по ключевым словам (на основе терминов, предоставленных следователем), метода вычленения однородных массивов данных (т.е. поиска «на основе верхних и нижних колонтитулов и других идентификаторов») и путем изучения нераспределенного пространства (т.е. «пространства в системе, являющегося свободным, потому что оно никогда не использовалась, или потому что информация из него была удалена»; Maras, 2014, p. 36) и разделов, которые отделяют сегменты жесткого диска друг от друга (Casey, 2011; Maras, 2014; Nelson, Phillips, and Steuart, 2015). Логическое извлечение предполагает поиск и получение доказательств из места, в котором они «находятся относительно файловой системы компьютерной операционной системы, используемой для отслеживания имен и местоположений файлов, которые хранятся на носителе данных, таком как жесткий диск» (Maras, 2014, p. 36). Способ логического извлечения зависит от цифрового устройства, файловой системы, приложений на устройстве и операционной системы. Логическое извлечение предполагает получение данных из активных и удаленных файлов, файловых систем, нераспределенного и неиспользуемого пространства, а также сжатых, зашифрованных и защищенных паролем данных (Nelson, Phillips, and Steuart, 2015; SWGDE Best Practices for Digital Evidence Collection, 2018).
Примечание
Логическое извлечение файлов может привести к потере метаданных (т.е. данных о данных) (SWGDE Best Practices for Computer Forensic Acquisitions, 2018).
Весь процесс получения доказательств должен документироваться. При этом документация должна включать в себя подробную информацию о цифровых устройствах, из которых были извлечены доказательства, аппаратном и программном обеспечении, использованном для получения доказательств, способе, при помощи которого были получены доказательства (т.е. о том, как они были получены), а также о том, когда, где и почему они были получены, какие доказательства были получены и по какой причине они были получены (Maras, 2014).
Сохранение
Цель сохранения доказательств заключается в защите цифровых доказательств от изменений. Целостность цифровых доказательств должна сохраняться на каждом этапе обращения с цифровыми доказательствами (ИСО/МЭК 27037). Лица, принимающие первые ответные меры, следователи, эксперты-техники, изучающие место преступления, и/или эксперты по цифровой криминалистике должны по возможности продемонстрировать, что цифровые доказательства не были изменены на этапе идентификации, сбора и получения; разумеется, что способность продемонстрировать это зависит от цифрового устройства (например, компьютера и мобильных телефонов) и обстоятельств, с которыми они сталкиваются (например, необходимость быстрого сохранения данных). Для этого необходимо поддерживать систему охраны доказательств. Система охраны доказательств - это «процесс, при помощи которого следователи обеспечивают сохранность места преступления (или происшествия) и доказательств на протяжении всего периода производства по делу. В журнал регистрации вносится информация о том, кто осуществлял сбор доказательств, где и каким образом они были собраны, какие лица получили эти доказательства, и когда они их получили» (Maras, 2014, 377; модуль 4 Серии модулей по киберпреступности: «Введение в цифровую криминалистику»). В документах, которые ведутся в системе охраны доказательств, необходимо указывать имена, должности и контактную информацию лиц, которые идентифицировали, собрали и получили доказательства, а также любых других лиц, кому были переданы доказательства, подробную информацию о доказательствах, которые были переданы этим лицам, о времени и дате передачи, а также о цели передачи.
Анализ и отчетность
В дополнение к этапу обращения с цифровыми доказательствами, процесс цифровой судебной экспертизы также предполагает изучение и толкование цифровых доказательств (этап анализа) и представление результатов анализа (этап отчетности). На этапе анализа цифровые доказательства извлекаются из устройства, данные анализируются, а события реконструируются. До начала анализа цифровых доказательств эксперт по цифровой криминалистике в лаборатории должен быть проинформирован о целях поиска и получить некоторые сведения справочного характера о расследуемом деле и любую другую информацию, полученную в ходе расследования, которая может помочь эксперту-криминалисту на этом этапе (например, IP-адрес или MAC-адреса). Применяются различные виды анализа в зависимости от типа искомого цифрового доказательства, например, анализ сети, файловой системы, приложения, видеоматериалов, изображений и носителя (т..е. анализ данных в запоминающем устройстве) (Grance, Chevalier, Kent, and Dang, 2005; Carrier, 2005; European Network of Forensic Science Institute, 2015; SWGDE Best Practices for Image Authentication, 2018; SWGDE Best Practices for Image Content Analysis, 2017; SWGDE Guidelines for Forensic Image Analysis, 2017; SWGDE Best Practices for Data Acquisition from Digital Video Recorders, 2018; SWGDE Best Practices for Digital & Multimedia Evidence Video Acquisition from Cloud Storage, 2018). Файлы анализируются для установления их происхождения, а также определения того, когда и где эти данные были созданы, изменены, когда и откуда происходило обращение к ним, когда и где они были загружены или выгружены, и для определения возможного подключения этих файлов, находящихся в запоминающих устройствах, например, к удаленному хранилищу, такому как облачное хранилище (Carrier, 2005). Тип искомых цифровых доказательств (например, электронные письма, текстовые сообщения, геолокация, документы текстового редактора, изображения, видео и журналы чата) зависит от конкретного вида киберпреступления.
Существуют четыре основных типа анализа, которые могут быть выполнены на компьютерах: анализ временных рамок; анализ собственности и владения; анализ приложений и файлов; и анализ метода сокрытия данных. Цель анализа временных рамок заключается в создании временной шкалы или временной последовательности действий с использованием меток времени (даты и времени), которые привели к событию, или в установлении времени и даты, когда пользователь совершил определенное действие (US National Institute of Justice, 2004b). Такой анализ проводится с целью отнесения преступления на счет его исполнителя или, как минимум, отнесения деяния, которое привело к преступлению, на счет конкретного лица (US National Institute of Justice, 2004b); однако существуют определенные трудности, связанные с проверкой результатов анализа временных рамок (см. вставку «Примечание»).
Анализ собственности и владения используется для установления лица, которое создало файлы в компьютерной системе, получило к ним доступ и/или изменило их (US National Institute of Justice, 2004b). Например, такой анализ может помочь обнаружить материалы со сценами сексуального насилия над детьми (т.е. «любое изображение какими бы то ни было средствами ребенка, совершающего реальные или смоделированные откровенно сексуальные действия, или любое изображение половых органов ребенка главным образом в сексуальных целях»; статья 2 Факультативного протокола к Конвенции ООН о правах ребенка, касающегося торговли детьми, детской проституции и детской порнографии 2000 года) на устройстве подозреваемого. Одной этой информации недостаточно, чтобы доказать, кто является собственником материалов со сценами сексуального насилия над детьми. Для этого необходимы дополнительные доказательства, такие как факт исключительного пользования компьютером, на котором были обнаружены материалы. Анализ приложений и файлов выполняется для исследования приложений и файлов в компьютерной системе, чтобы установить заведомость, умысел и возможности преступника в отношении совершения киберпреступления (например, ярлык или имя файла могут указывать на содержимое файла; в частности, имя файла может оказаться именем жертвы киберпреступления) (US National Institute of Justice, 2004b).
Примечание
Данные временной метки могут быть изменены. Поэтому нельзя делать вывод на основе только этих доказательств. То же самое относится и к другим данным. Например, история посещений в веб-браузере показывает, что сайты посещались, и сколько раз они посещались. Необходимы дополнительные доказательства, чтобы показать, что лицо, чьи цифровые доказательства использовались для доступа к этим веб-сайтам, было владельцем и/или предполагаемым пользователем устройства.
Можно также использовать анализ метода сокрытия данных. Как следует из названия, анализ метода сокрытия данных предполагает поиск скрытых данных в системе. Преступники используют несколько методов сокрытия данных, чтобы скрыть свою противоправную активность и идентифицирующую информацию, например, путем использования метода шифрования (рассматривается в модуле 9 Серии модулей по киберпреступности: «Кибербезопасность и предупреждение киберпреступности: практические методы и меры», а также в модуле 10 Серии модулей по киберпреступности: «Конфиденциальность и защита данных»), устройств и определенного контента, защищенных паролем (например, файлов), изменения расширения файлов и скрытия разделов (US National Institute of Justice, 2004b; Casey, 2011; Maras, 2014; Nelson, Phillips, and Steuart, 2015). На этом этапе анализа следователю необходимо определить методы сокрытия данных, которые преступники могли использовать для сокрытия своей личности и деятельности. Скрытые данные могут помочь раскрыть «заведомость [при совершении преступления], владельца [контента] или намерение [совершить преступление]» (US National Institute of Justice, 2004b, p. 17).
Удаленные файлы
Когда на компьютере удаляется файл, он перемещается в корзину. Если корзина очищается (например, путем удаления содержимого), удаленные файлы удаляются из таблицы размещения файлов, которая архивирует имена файлов и их местоположение на жестких дисках (Maras, 2014). Пространство, в котором находится файл, помечается как свободное пространство (т.е. нераспределенное пространство) после его удаления, однако файл все еще находится в этом пространстве (по крайней мере, до тех пор, пока оно не будет полностью или частично занято новыми данными) (Maras, 2014)
Национальный институт правосудия США пришел к выводу, что «сами по себе результаты, полученные по итогам выполнения любого из этих типов… [анализа], не могут считаться достаточными для выведения заключения. Однако связи между отдельными результатами, если их рассматривать в целом, могут дать более полную картину» (p. 18).
Целью этих типов анализа является реконструкция преступления (или реконструкция событий). Реконструкция событий проводится для того, чтобы установить, кто несет ответственность за событие, что произошло, где произошло это событие, когда оно произошло, и как оно развивалось, путем идентификации, сопоставления и увязывания данных (для раскрытия «общей картины» или сути события). Процесс реконструкции событий может включать в себя временной анализ (т.е. установление времени и последовательности событий), реляционный анализ (т.е. определение участников событий, их действий, а также связей и отношений между ними) и функциональный анализ (т.е. оценка производительности и возможностей систем и устройств, задействованных во время событий) (Casey, 2010; Casey, 2011; Kao, 2016). В целом реконструкция события проводится с тем, чтобы доказать или опровергнуть рабочую гипотезу относительно какого-либо случая (т.е. обоснованного предположения относительно последовательности действий, которые привели к событию) (ENFSI, 2015).
Примечание
Следователи должны участвовать в предварительных мероприятиях по реконструкции событий на этапах идентификации и сбора доказательств. Выполнение этих задач может помочь следователям выявить новые потенциальные источники цифровых доказательств.
В конечном счете, для реконструкции событий на этапе анализа используются неполные знания для выведения заключений в отношении расследуемого дела на основе имеющихся доказательств и результатов анализа этих доказательств. Поэтому важно, чтобы следователи, расследующие киберпреступление, и эксперты по цифровой криминалистике признавали такие ограничения и избегали предвзятых толкований результатов анализа, например, толкований, являющихся следствием предвзятости подтверждения, когда люди ищут и поддерживают результаты, которые подтверждают их рабочую гипотезу, и отклоняют результаты, которые противоречат их рабочей гипотезе (Kassin, Dror, and Kukucka, 2013; Boddington, 2016).
Результаты анализа документируются в отчете. Отчеты должны быть максимально четкими и точными. Они должны включать в себя иллюстративные материалы (например, рисунки, графики, выходные данные инструментов) и вспомогательные документы, такие как документация системы охраны доказательств, а также подробное разъяснение использованных методов и действий, предпринятых для исследования и извлечения данных (US National Institute of Justice, 2004b). Результаты должны разъясняться с учетом целей анализа (т.е. цели расследования и расследуемого дела). Информация об ограниченности полученных результатов также должна быть включена в отчет. Содержание отчета варьируется в зависимости от юрисдикции и национальной политики (если таковая имеется) в отношении расследований и цифровой криминалистики. Во избежание неверного толкования или определения неправильного весового значения цифровых доказательств, в отчете должно быть сказано об известных ошибках и неопределенности результатов (European Network of Forensic Science Institute, 2015, p. 39).
Далее: Допустимость цифровых доказательств
Наверх