Cyberforensics: збір та до­слі­дже­н­ня ци­фро­вих до­ка­зів

Yurydychna Gazeta - - ГОЛОВНА СТОРІНКА -

Остан­нім ча­сом ба­га­то слів, які ра­ні­ше бу­ли зро­зумі­ли­ми ли­ше «ай­ті­шни­кам», отри­ма­ли ста­тус must have для юри­стів – осо­бли­во для тих, хто так чи іна­кше ма­ють спра­ву зі зло­чи­на­ми у сфе­рі ви­ко­ри­ста­н­ня еле­ктрон­но-об­чи­слю­валь­них ма­шин (да­лі – ЕОМ), си­стем та комп'ютер­них ме­реж та ме­реж еле­ктрозв'яз­ку.

Що ж та­ке «фо­рен­зік»?

Цей тер­мін є ско­ро­че­ною фор­мою «forensic science», тоб­то на­у­ка, що до­слі­джує до­ка­зи. Та­ким чи­ном, на­у­ка, що за­йма­є­ться ви­вче­н­ням комп'ютер­них до­ка­зів, отри­ма­ла на­зву «cyberforensics».

Май­же всі слі­ди, з яки­ми до­во­ди­ться пра­цю­ва­ти фо­рен­зік-фа­хів­цям, ма­ють ви­гляд комп'ютер­ної ін­фор­ма­ції (ре­гу­ляр­ної або по­бі­чної), то­му їх до­ста­тньо лег­ко зни­щи­ти (як нав­ми­сно, так і ви­пад­ко­во) або під­ро­би­ти. Фаль­си­фі­ка­ція еле­ктрон­них (ци­фро­вих) до­ка­зів ви­яв­ля­є­ться або за змі­стом ін­фор­ма­ції, або за до­по­мо­гою за­ли­ше­них в ін­ших мі­сцях ін­фор­ма­цій­них слі­дів.

Що мо­жна вва­жа­ти ци­фро­ви­ми до­ка­за­ми?

Укра­їн­ський за­ко­но­да­вець у но­вих про­це­су­аль­них ко­де­ксах 2017 р. за­про­ва­див но­вий вид до­ка­зу – еле­ктрон­ний до­каз. Це ін­фор­ма­ція в еле­ктрон­ній (ци­фро­вій) фор­мі, яка мі­стить да­ні про об­ста­ви­ни, що ма­ють зна­че­н­ня для спра­ви (зокре­ма, еле­ктрон­ні до­ку­мен­ти, в то­му чи­слі гра­фі­чні зо­бра­же­н­ня, веб-сай­ти, текс­то­ві, муль­ти­ме­дій­ні та го­ло­со­ві по­ві­дом­ле­н­ня, ме­та­да­ні та ін.). От­же, сьо­го­дні не існує ви­чер­пно­го пе­ре­лі­ку да­них, які мо­жуть бу­ти від­не­се­ні до еле­ктрон­них до­ка­зів.

На пра­кти­ці за­ли­ша­ю­ться не­ви­рі­ше­ни­ми чи­ма­ло пи­тань що­до збо­ру та до­слі­дже­н­ня ци­фро­вих до­ка­зів, а та­кож що­до мо­жли­во­сті ви­ко­ри­ста­н­ня як до­ка­зів вже зі­бра­ної ін­фор- ма­ції з Ін­тер­не­ту або оформ­ле­ної на еле­ктрон­них но­сі­ях, оскіль­ки під час су­до­во­го роз­гля­ду справ по­стає ба­га­то пи­тань що­до на­ле­жно­го її за­свід­че­н­ня та ви­ко­ри­ста­н­ня у су­до­вих спра­вах.

Збір ци­фро­вих до­ка­зів

Фа­хів­ці зви­кли ді­ли­ти весь про­цес ро­бо­ти з ци­фро­ви­ми до­ка­за­ми на чо­ти­ри ета­пи: збір, до­слі­дже­н­ня, ана­ліз та по­да­н­ня до­ка­зів до су­ду. Про­те зу­пи­ни­мо­ся більш де­таль­но на пер­ших двох. На пер­шо­му ета­пі від­бу­ва­є­ться без­по­се­ре­дньо збір ін­фор­ма­ції та но­сі­їв комп'ютер­ної ін­фор­ма­ції, під час яко­го обов'яз­ко­во за­без­пе­чу­є­ться ці­лі­сність ін­фор­ма­ції, а в де­яких ви­пад­ках – кон­фі­ден­цій­ність.

Для збо­ру ци­фро­вих до­ка­зів ви­ко­ри­сто­ву­ють спе­ці­аль­ні те­хні­чні ін­стру­мен­ти. Зві­сно, комп'ютер­ний кри­мі­на­ліст мо­же обі­йти­ся без спе­ці­аль­ної кри­мі­на­лі­сти­чної те­хні­ки, оскіль­ки комп'ютер є уні­вер­саль­ним ін­стру­мен­том, який ви­ко­нує всі не­об­хі­дні для до­слі­джень фун­кції. Однак спе­ці­аль­на те­хні­ка зна­чно по­лег­шує та при­швид­шує ро­бо­ту. Сьо­го­дні на рин­ку ви­ко­ри­сто­ву­ють при­строї для кло­ну­ва­н­ня жорс­тких ди­сків та ін­ших но­сі­їв, на­бо­ри hash sets для філь­тра­ції вмі­сту до­слі­джу­ва­ної фай­ло­вої си­сте­ми, апа­ра­тні та про­грам­ні за­со­би для до­слі­дже­н­ня мо­біль­них те­ле­фо­нів і SIM, про­грам­ні за­со­би для до­слі­дже­н­ня ло­каль­них ме­реж та ін.

Комп'ютер­на ін­фор­ма­ція мо­же збе­рі­га­ти­ся на рі­зно­ма­ні­тних ци­фро­вих но­сі­ях, до яких на­ле­жать ма­гні­тні ди­ски, ком­пакт-ди­ски CD, DVD, флеш-на­ко­пи­чу­ва­чі, опти­чні ди­ски, ма­гні­тні кар­тки то­що. Та­кі но­сії мо­жуть мі­сти­ти­ся в пер­со­наль­них комп'юте­рах, на сер­ве­рах, ко­му­ні­ка­цій­но­му уста­тку­ван­ні, но­ут­бу­ках, смар­тфо­нах, мо­біль­них те­ле­фо­нах та ін. Ін­ко­ли для ви­яв­ле­н­ня та­ких но­сі­їв та зня­т­тя ін­фор­ма­ції в ці­лі­сно­му ви­гля­ді не­об­хі­дно за­лу­ча­ти фа­хів­ців з від­по­від­ною ква­лі­фі­ка­ці­єю. До­ста­тньо ча­сто на та­ких но­сі­ях роз­мі­щу­ю­ться «ко­ро­тко­жи­ву­чі» да­ні. Їх мо­жна отри­ма­ти ли­ше з пер­со­наль­но­го комп'юте­ра, який пра­цює, та втра­ти­ти пі­сля йо­го ви­мкне­н­ня. На­при­клад, ін­фор­ма­цію що­до се­сій ко­ри­сту­ва­ча, тоб­то тих, що уві­йшли в си­сте­му (за­ре­є­стро­ва­них) ко­ри­сту­ва­чів, спи­ску на­зна­че­них зав­дань (scheduled jobs) то­що. Зня­т­тя ін­фор­ма­ції осо­бою без від­по­від­ної ква­лі­фі­ка­ції мо­же при­зве­сти до втра­ти не­об­хі­дних ци­фро­вих до­ка­зів.

Як ци­фро­ві до­ка­зи, мо­жуть бу­ти ви­ко­ри­ста­ні зі­бра­ні лог-фай­ли. Лог (комп'ютер­ний жур­нал ре­є­стра­ції по­дій) – це ор­га­ні­зо­ва­на у ви­гля­ді фай­лу, ба­зи да­них або ма­си­ву в опе- ра­тив­ній пам'яті су­ку­пність за­пи­сів про по­дії, за­фі­ксо­ва­них якою-не­будь про­гра­мою, гру­пою про­грам, ін­фор­ма­цій­ною си­сте­мою, що ве­де­ться ав­то­ма­ти­чно. Як пра­ви­ло, ло­ги не є без­по­се­ре­днім дже­ре­лом до­ка­зу. По­се­ре­дни­ком ви­сту­пає дум­ка екс­пер­та, а то­му за­мість ло­гів як до­ка­зи ви­ко­ри­сто­ву­є­ться ви­сно­вок екс­пер­та.

До­слі­дже­н­ня ци­фро­вих до­ка­зів

На дру­го­му ета­пі про­во­ди­ться екс­пер­тне до­слі­дже­н­ня зі­бра­ної ін­фор­ма­ції (об'єктів-но­сі­їв), що вклю­чає ви­тяг/зчи­ту­ва­н­ня ін­фор­ма­ції з но­сі­їв, де­ко­ду­ва­н­ня та ви­ді­ле­н­ня ін­фор­ма­ції, яка сто­су­є­ться спра­ви.

Комп'ютер­ну ін­фор­ма­цію, яка є об'єктом або за­со­бом ско­є­н­ня комп'ютер­но­го зло­чи­ну, мо­жуть до­слі­джу­ва­ти ли­ше фа­хів­ці, ви­ко­ри­сто­ву­ю­чи як за­галь­ні, так і спе­ці­аль­ні ме­то­ди до­слі­дже­н­ня. Са­ме ек­спер­тний ви­сно­вок є одним із за­со­бів вста­нов­ле­н­ня до­ка­зів. Під час про­ве­де­н­ня екс­пер­ти­зи комп'ютер­ної те­хні­ки та про­грам­них про­ду­ктів пе­ред екс­пер­том ви­су­ва­є­ться низ­ка зав­дань, які він має ви­ко­на­ти. Окрім ви­ще­за­зна­че­ної екс­пер­ти­зи, іно­ді про­во­дять екс­пер­ти­зу те­ле­ко­му­ні­ка­цій­них си­стем та за­со­бів, об'єкта­ми якої є те­ле­ко­му­ні­ка­цій­ні си­сте­ми, за­со­би, ме­ре­жі та їх скла­до­ві ча­сти­ни, а та­кож ін­фор­ма­ція, яка за до­по­мо­гою них пе­ре­да­є­ться, при­йма­є­ться та обро­бля­є­ться. Ви­бір екс­пер­ти­зи за­ле­жить від кіль­кох чин­ни­ків: об'єкта екс­пер­ти­зи; зав­дань, які став­ля­ться пе­ред екс­пер­том; ви­ду вчи­не­но­го пра­во­по­ру­ше­н­ня та обра­но­го ме­то­ду до­слі­дже­н­ня ци­фро­вих до­ка­зів.

На пра­кти­ці до­ста­тньо ча­сто за­сто­со­ву­є­ться та­кий вид опе­ра­тив­но-роз­шу­ко­вої ді­яль­но­сті як «зня­т­тя ін­фор­ма­ції з те­хні­чних ка­на­лів зв'яз­ку», що вклю­чає, зокре­ма, пе­ре­хо­пле­н­ня ме­ре­же­во­го тра­фі­ку. На осно­ві ана­лі­зу вмі­сту і ста­ти­сти­ки ме­ре­же­во­го тра­фі­ку мо­жна ви­зна­чи­ти та до­ве­сти вчи­не­н­ня ко­ри­сту­ва­чем ба­га­тьох дій у ме­ре­жі, а та­кож отри­ма­ти ін­фор­ма­цію про ін­фор- ма­цій­ні си­сте­ми й ме­ре­жі. Збір та ана­ліз ме­ре­же­во­го тра­фі­ку пев­но­го комп'юте­ра мо­же за­мі­ни­ти ви­лу­че­н­ня та екс­пер­ти­зу комп'юте­ра, оскіль­ки до­зво­ляє отри­ма­ти та­ку са­му ін­фор­ма­цію, як і у ра­зі ви­лу­че­н­ня (зокре­ма, вміст еле­ктрон­ної по­шти, до­ка­зи від­ві­ду­ва­н­ня пев­них сай­тів, ін­фор­ма­цію про не­сан­кціо­но­ва­ний до­ступ до від­да­ле­них ву­злів, про роз­мі­ще­н­ня ін­фор­ма­ції в ме­ре­жі та ін.). До то­го ж пе­ре­хо­пи­ти тра­фік бу­ває про­сті­ше, ніж зна­йти та ви­лу­чи­ти комп'ютер у справ­но­му ста­ні.

Іно­ді ба­наль­не ви­вче­н­ня ар­хі­вів еле­ктрон­ної по­шти мо­же до­по­мог­ти зі­бра­ти до­ста­тньо по­ту­жну до­ка­зо­ву ба­зу. Огляд архіву не по­тре­бує спе­ці­аль­них знань, а то­му йо­го мо­же про­ве­сти слід­чий із за­лу­че­н­ням по­ня­тих. Про­те ви­сно­вок що­до то­го, яка ча­сти­на ли­сту­ва­н­ня сто­су­є­ться роз­слі­ду­ва­ної спра­ви, вар­то до­ру­чи­ти екс­пер­ту.

Ви­сно­вок

По-пер­ше, оскіль­ки ци­фро­ві до­ка­зи не мо­жна сприйня­ти без­по­се­ре­дньо ор­га­на­ми по­чут­тів лю­ди­ни, це ство­рює зна­чні скла­дно­щі під час їх де­мон­стра­ції усім уча­сни­кам про­це­су. По-дру­ге, «спе­ци­фі­ка» ци­фро­вих до­ка­зів ство­рює скла­дно­щі у про­це­сі за­без­пе­че­н­ня їх не­змін­но­сті впро­довж не­об­хі­дно­го пе­рі­о­ду, зби­ра­н­ня, збе­рі­га­н­ня, до­слі­дже­н­ня, а та­кож до­ве­де­н­ня су­ду їх ці­лі­сно­сті. Адже не­ко­ре­ктно за­сто­со­ву­ва­ти по­ня­т­тя «не­змін­но­сті» що­до комп'ютер­ної ін­фор­ма­ції, ро­зу­мі­ю­чи той факт, що ін­фор­ма­ція у про­це­сі збе­рі­га­н­ня та пе­ре­да­чі мо­же змі­ню­ва­ти­ся та пе­ре­ко­до­ву­ва­ти­ся. Однак най­го­лов­ні­шим за­ли­ша­є­ться те, що пер­вин­на ін­фор­ма­ція має збі­га­ти­ся з кін­це­вою з то­чні­стю до одно­го бі­та.

От­же, те­хні­чний про­грес не сто­їть на мі­сці. Хо­ча за­ко­но­да­вець за ним не всти­гає, про­те не­об­хі­дно хо­ча б вра­ху­ва­ти «спе­ци­фі­ку» ро­бо­ти з ци­фро­ви­ми до­ка­за­ми, за­крі­пи­ти це на за­ко­но­дав­чо­му рів­ні та по­лег­ши­ти жи­т­тя усім суб'єктам, які пра­цю­ють з та­ки­ми ви­да­ми до­ка­зів на то­му чи ін­шо­му ета­пі.

Іно­ді ви­вче­н­ня ар­хі­вів e-mail мо­же до­по­мог­ти зі­бра­ти до­ста­тньо по­ту­жну до­ка­зо­ву ба­зу

Ма­рія М і БОКАЧ, БОКАЧ юрист ЮФ Asters

Newspapers in Ukrainian

Newspapers from Ukraine

© PressReader. All rights reserved.