13 листопада 2018, 16:47

Cyberforensics: збір та дослідження цифрових доказів

Марія Бокач
Марія Бокач «Asters, ЮФ» юрист

Останнім часом багато слів, які раніше були зрозумілими лише «айтішникам», отримали статус must have для юристів – особливо для тих, хто так чи інакше мають справу зі злочинами у сфері використання електронно-обчислювальних машин (далі – ЕОМ), систем та комп'ютерних мереж та мереж електрозв'язку.

Що ж таке «форензік»?

Цей термін є скороченою формою «forensic science», тобто наука, що досліджує докази. Таким чином, наука, що займається вивченням комп'ютерних доказів, отримала назву «cyberforensics».

Майже всі сліди, з якими доводиться працювати форензік-фахівцям, мають вигляд комп'ютерної інформації (регулярної або побічної), тому їх достатньо легко знищити (як навмисно, так і випадково) або підробити. Фальсифікація електронних (цифрових) доказів виявляється або за змістом інформації, або за допомогою залишених в інших місцях інформаційних слідів.

Що можна вважати цифровими доказами?

Український законодавець у нових процесуальних кодексах 2017 р. запровадив новий вид доказу – електронний доказ. Це інформація в електронній (цифровій) формі, яка містить дані про обставини, що мають значення для справи (зокрема, електронні документи, в тому числі графічні зображення, веб-сайти, текстові, мультимедійні та голосові повідомлення, метадані та ін.). Отже, сьогодні не існує вичерпного переліку даних, які можуть бути віднесені до електронних доказів.

На практиці залишаються невирішеними чимало питань щодо збору та дослідження цифрових доказів, а також щодо можливості використання як доказів вже зібраної інформації з Інтернету або оформленої на електронних носіях, оскільки під час судового розгляду справ постає багато питань щодо належного її засвідчення та використання у судових справах.

Збір цифрових доказів

Фахівці звикли ділити весь процес роботи з цифровими доказами на чотири етапи: збір, дослідження, аналіз та подання доказів до суду. Проте зупинимося більш детально на перших двох. На першому етапі відбувається безпосередньо збір інформації та носіїв комп'ютерної інформації, під час якого обов'язково забезпечується цілісність інформації, а в деяких випадках – конфіденційність.

Для збору цифрових доказів використовують спеціальні технічні інструменти. Звісно, комп'ютерний криміналіст може обійтися без спеціальної криміналістичної техніки, оскільки комп'ютер є універсальним інструментом, який виконує всі необхідні для досліджень функції. Однак спеціальна техніка значно полегшує та пришвидшує роботу. Сьогодні на ринку використовують пристрої для клонування жорстких дисків та інших носіїв, набори hash sets для фільтрації вмісту досліджуваної файлової системи, апаратні та програмні засоби для дослідження мобільних телефонів і SIM, програмні засоби для дослідження локальних мереж та ін.

Комп'ютерна інформація може зберігатися на різноманітних цифрових носіях, до яких належать магнітні диски, компакт-диски CD, DVD, флеш-накопичувачі, оптичні диски, магнітні картки тощо. Такі носії можуть міститися в персональних комп'ютерах, на серверах, комунікаційному устаткуванні, ноутбуках, смартфонах, мобільних телефонах та ін. Інколи для виявлення таких носіїв та зняття інформації в цілісному вигляді необхідно залучати фахівців з відповідною кваліфікацією. Достатньо часто на таких носіях розміщуються «короткоживучі» дані. Їх можна отримати лише з персонального комп'ютера, який працює, та втратити після його вимкнення. Наприклад, інформацію щодо сесій користувача, тобто тих, що увійшли в систему (зареєстрованих) користувачів, списку назначених завдань (scheduled jobs) тощо. Зняття інформації особою без відповідної кваліфікації може призвести до втрати необхідних цифрових доказів.

Як цифрові докази, можуть бути використані зібрані лог-файли. Лог (комп'ютерний журнал реєстрації подій) – це організована у вигляді файлу, бази даних або масиву в оперативній пам'яті сукупність записів про події, зафіксованих якою-небудь програмою, групою програм, інформаційною системою, що ведеться автоматично. Як правило, логи не є безпосереднім джерелом доказу. Посередником виступає думка експерта, а тому замість логів як докази використовується висновок експерта.

Дослідження цифрових доказів

На другому етапі проводиться експертне дослідження зібраної інформації (об'єктів-носіїв), що включає витяг/зчитування інформації з носіїв, декодування та виділення інформації, яка стосується справи.

Комп'ютерну інформацію, яка є об'єктом або засобом скоєння комп'ютерного злочину, можуть досліджувати лише фахівці, використовуючи як загальні, так і спеціальні методи дослідження. Саме експертний висновок є одним із засобів встановлення доказів. Під час проведення експертизи комп'ютерної техніки та програмних продуктів перед експертом висувається низка завдань, які він має виконати. Окрім вищезазначеної експертизи, іноді проводять експертизу телекомунікаційних систем та засобів, об'єктами якої є телекомунікаційні системи, засоби, мережі та їх складові частини, а також інформація, яка за допомогою них передається, приймається та обробляється. Вибір експертизи залежить від кількох чинників: об'єкта експертизи; завдань, які ставляться перед експертом; виду вчиненого правопорушення та обраного методу дослідження цифрових доказів.

На практиці достатньо часто застосовується такий вид оперативно-розшукової діяльності як «зняття інформації з технічних каналів зв'язку», що включає, зокрема, перехоплення мережевого трафіку. На основі аналізу вмісту і статистики мережевого трафіку можна визначити та довести вчинення користувачем багатьох дій у мережі, а також отримати інформацію про інформаційні системи й мережі. Збір та аналіз мережевого трафіку певного комп'ютера може замінити вилучення та експертизу комп'ютера, оскільки дозволяє отримати таку саму інформацію, як і у разі вилучення (зокрема, вміст електронної пошти, докази відвідування певних сайтів, інформацію про несанкціонований доступ до віддалених вузлів, про розміщення інформації в мережі та ін.). До того ж перехопити трафік буває простіше, ніж знайти та вилучити комп'ютер у справному стані.

Іноді банальне вивчення архівів електронної пошти може допомогти зібрати достатньо потужну доказову базу. Огляд архіву не потребує спеціальних знань, а тому його може провести слідчий із залученням понятих. Проте висновок щодо того, яка частина листування стосується розслідуваної справи, варто доручити експерту.

Висновок

По-перше, оскільки цифрові докази не можна сприйняти безпосередньо органами почуттів людини, це створює значні складнощі під час їх демонстрації усім учасникам процесу. По-друге, «специфіка» цифрових доказів створює складнощі у процесі забезпечення їх незмінності впродовж необхідного періоду, збирання, зберігання, дослідження, а також доведення суду їх цілісності. Адже некоректно застосовувати поняття «незмінності» щодо комп'ютерної інформації, розуміючи той факт, що інформація у процесі зберігання та передачі може змінюватися та перекодовуватися. Однак найголовнішим залишається те, що первинна інформація має збігатися з кінцевою з точністю до одного біта.

Отже, технічний прогрес не стоїть на місці. Хоча законодавець за ним не встигає, проте необхідно хоча б врахувати «специфіку» роботи з цифровими доказами, закріпити це на законодавчому рівні та полегшити життя усім суб'єктам, які працюють з такими видами доказів на тому чи іншому етапі.

0
0

Додати коментар

Відмінити Опублікувати