Форензика (Skjyu[ntg)

Перейти к навигации Перейти к поиску

Форензика (лат. foren — речь пред форумом, выступление перед судом, судебные дебаты), или компьютерная (цифровая) криминалистика — деятельность по раскрытию преступлений, связанных с компьютерной информацией, об исследовании цифровых доказательств, методах поиска, получения и закрепления таких доказательств. Форензика является подразделом криминалистики.

Термин «forensics» является сокращенной формой «foren science», дословно «судебная наука», то есть наука об исследовании доказательств, что в русском языке именуется криминалистикой. В свою очередь, раздел криминалистики, изучающий компьютерные доказательства, называется по-английски «computer forensics». При заимствовании слово сузило своё значение. Русское «форензика» означает исключительно компьютерную криминалистику[1].

Цели и задачи

[править | править код]

Предметами форензики являются:

  • криминальная практика — способы, инструменты совершения соответствующих преступлений, их последствия, оставляемые следы, личность преступника;
  • оперативная, следственная и судебная практика по компьютерным преступлениям;
  • методы экспертного исследования компьютерной информации и, в частности, программ для ЭВМ;
  • достижения отраслей связи и информационных технологий (ИТ), их влияние на общество, а также возможности их использования как для совершения преступлений, так и для их предотвращения и раскрытия[1].

Форензика решает следующие задачи:

  • разработка тактики оперативно-розыскных мероприятий (ОРМ) и следственных действий, связанных с компьютерной информацией;
  • создание методов, аппаратных и программных инструментов для сбора и исследования доказательств компьютерных преступлений;
  • установление криминалистических характеристик правонарушений, связанных с компьютерной информацией.

Сферы применения форензики:

  • Раскрытие и расследование уголовных преступлений, в которых фигурируют компьютерная информация как объект посягательства, компьютер как орудие совершения преступления, а также какие-либо цифровые доказательства.
  • Сбор и исследование доказательств для гражданских дел, когда такие доказательства имеют вид компьютерной информации. Особенно это актуально по делам о нарушении прав интеллектуальной собственности, когда объект этих прав представлен в виде компьютерной информации — программа для ЭВМ, иное произведение в цифровой форме, товарный знак в сети Интернет, доменное имя и т. п.
  • Страховые расследования, проводимые страховыми компаниями касательно возможных нарушений условий договора, страхового мошенничества, особенно когда объект страхования представлен в виде компьютерной информации или таким объектом является информационная система.
  • Внутрикорпоративные расследования инцидентов безопасности, касающихся информационных систем, а также работы по предотвращению утечки информации, содержащей коммерческую тайну и иные конфиденциальные данные.
  • Военные и разведывательные задачи по поиску, уничтожению и восстановлению компьютерной информации в ходе оказания воздействия на информационные системы противника и защиты своих систем.
  • Задачи по защите гражданами своей личной информации в электронном виде, самозащиты своих прав, когда это связано с электронными документами и информационными системами.

Компьютерная криминалистика (Computer forensics) — подраздел форензики, имеющий отношение к доказательствам, обнаруженным в компьютерах и цифровых носителях. Целью компьютерной криминалистики является исследование цифровых носителей с точки зрения судебной экспертизы с целью выявления, сохранения, восстановления, анализа и представления фактов и мнений о цифровой информации.

Хотя это чаще всего связано с расследованием самых разнообразных компьютерных преступлений, компьютерная криминалистика также может использоваться в гражданском судопроизводстве. Дисциплина включает в себя методы и принципы, аналогичные восстановлению данных, но с дополнительными рекомендациями и методами, разработанными для создания журнала аудита.

Доказательства компьютерной криминалистики обычно подчиняются тем же правилам и методам, что и другие цифровые доказательства.

Сетевая криминалистика (Network forensics) — это подраздел цифровой криминалистики, относящийся к мониторингу и анализу трафика компьютерной сети в целях сбора информации, юридических доказательств или обнаружения вторжений[2]. В отличие от других областей цифровой криминалистики, сетевые расследования имеют дело с изменчивой и динамичной информацией. Сетевой трафик передается, а затем теряется, поэтому сетевая криминалистика часто является упреждающим расследованием[3].

Криминалистический анализ данных (Forensic data analysis) — это подраздел форензики, занимающийся исследованием структурированных данных о финансовых преступлениях. Цель исследования состоит в том, чтобы обнаруживать и анализировать схемы мошенничества. Данные из прикладных систем или из лежащих в их основе баз данных называются структурированными данными.

Неструктурированные данные, напротив, берутся из коммуникационных и офисных приложений или с мобильных устройств. Эти данные не имеют всеобъемлющей структуры, и их анализ подразумевает применение ключевых слов или отображение коммуникативных шаблонов. Анализ неструктурированных данных обычно называют компьютерной криминалистикой.

Криминалистическая экспертиза мобильных устройств (Mobile device forensics) — подраздел форензики, занимающийся поиском, извлечением и фиксацией цифровых доказательств, имеющихся в мобильных устройствах, таких как сотовые телефоны, смартфоны, планшетные компьютеры и т. п.[4].

Аппаратная криминалистическая экспертиза (Hardware forensic) — экспертиза аппаратного обеспечения и технических устройств. Это направление наименее популярно и наиболее сложно. Сюда входит разбор данных на низком уровне (микроконтроллера, прошивки или BIOS), исследование специфических особенностей работы устройства, к примеру диапазона частот работы Wi-Fi-передатчика или внутреннего устройства скиммера, устанавливаемого на банкоматы.

Этапы и инструменты

[править | править код]

Криминалистический процесс принято делить на четыре этапа: сбор, исследование, анализ и представление.

На первом этапе происходит сбор как информации самой по себе, так и носителей компьютерной информации. Сбор должен сопровождаться атрибутированием (пометкой), указанием источников и происхождения данных и объектов. В процессе сбора должны обеспечиваться сохранность и целостность (неизменность) информации, а в некоторых случаях также ее конфиденциальность. При сборе иногда приходится предпринимать специальные меры для фиксации недолговечной (волатильной) информации, например, текущих сетевых соединений или содержимого оперативной памяти компьютера.

На втором этапе производится экспертное исследование собранной информации (объектов-носителей). Оно включает извлечение и считывание информации с носителей, декодирование и вычленение из нее той, которая относится к делу. Некоторые исследования могут быть автоматизированы в той или иной степени. Но работать головой и руками на этом этапе эксперту все равно приходится. При этом также должна обеспечиваться целостность информации с исследуемых носителей.

На третьем этапе избранная информация анализируется для получения ответов на вопросы, поставленные перед экспертом или специалистом. При анализе должны использоваться только научные методы, достоверность которых подтверждена.

Четвертый этап включает оформление результатов исследования и анализа в установленной законом и понятной неспециалистам форме[1].

Основные инструменты форензики:

  • AccessDataForensicToolkit — программное обеспечение для проведения компьютерных экспертиз, для анализа дампа оперативной памяти, использует мощный инструмент поиска, осуществляет архивацию данных и проводит полное исследование компьютера в рамках судебной экспертизы;
  • BrowserForensicTool — инструмент для извлечения информации о действиях пользователя из различных браузеров;
  • TheSleuthKit (TSK) — библиотеку консольных программ, предназначенных для проведения анализа данных на произвольных файловых системах. Используя это программное обеспечение, следователи могут идентифицировать и восстановить удаленные данные из образов, снятых во время расследования или с работающих систем;
  • EncryptedDiskDetector — программа, которая помогает найти на локальном компьютере скрытые зашифрованные тома TrueCrypt, PGP и Bitlocker, используя подпись/сигнатуру шифрования диска в главной загрузочной области[5].

До 1970-х годов рассмотрение преступлений с использованием компьютеров проводилось на основании действующих законов. Впервые, как самостоятельный вид преступлений компьютерные преступления были закреплены в 1978 году в Законе штата Флориды о компьютерных преступлениях, который включал законодательство против несанкционированного изменения или удаления данных в компьютерной системе[6][3]. На протяжении последующих лет количество видов совершаемых с использованием компьютеров преступлений увеличивалось, что привело к принятию законов, регулирующих сферы Авторского права, конфиденциальности / домогательства (например, кибер-издевательства, счастливое шлепанье, кибер-преследование, и онлайн хищники) и детской порнографии[7].

С 1980-х годов преступления с использованием компьютеров стали включать в федеральные законы. Первой страной, принявшей такой закон в 1983 году стала Канада[3]. Затем последовал Федеральный закон США от 1986 года о компьютерном мошенничестве и злоупотреблении; с 1989 года действуют поправки в законодательство Австралии о соответствующих преступлениях. В Великобритании с 1990 года действует закон о неправомерном использовании компьютеров[3].

Рост компьютерной преступности в 1980—1990-е годы вызвал необходимость создания Правоохранительными органами отдельных государств групп специального назначения для решения технических аспектов расследований компьютерных преступлений. К примеру, в США, в 1984 году ФБР запустил «Команду компьютерного анализа и реагирования», а в следующем году в Столичной полиции Великобритании был создан и начал свою работу отряд мошенничества. Помимо того, что они были профессионалами в правоохранительных органах, многие из первых членов этих групп были также любителями компьютеров и стали ответственными за первоначальные исследования и направление в этой области[8][9].

Одним из первых (или, по крайней мере, обнародованных) примеров применения цифровой криминалистики в расследовании преступления была погоня Клиффа Столла за хакером Маркусом Хессом в 1986 года. Столл, который не был специально обученным экспертом в области компьютерных преступлений, использовал в расследовании компьютерные и сетевые методы судебной экспертизы[10].

На протяжении 1990-х годов сохранялся высокий спрос на новые базовые ресурсы для расследования кибер-преступлений. В этот период развитие науки компьютерной криминалистики позволило отказаться от использования инструментов и методов, разработанных любителями-практиками, что контрастирует с другими дисциплинами судебной экспертизы, разработанными научным сообществом[11][12]. Только в 1992 году термин «компьютерная криминалистика» официально был использован в академической литературе. Так, исследователи П. А. Колльер и Б. Дж. Спол попытались оправдать новую дисциплину перед миром криминалистики[13][14]. Это быстрое развитие привело к отсутствию стандартизации и обучения. В своей книге 1995 года «Преступления в сфере высоких технологий: расследование дел с участием компьютеров» К. Розенблатт писал:

Изъятие, сохранение и анализ доказательств, хранящихся на компьютере, — это величайшая судебно-медицинская проблема, с которой столкнулись правоохранительные органы в 1990-х годах. Хотя большинство судебно-медицинских тестов, таких как снятие отпечатков пальцев и тестирование ДНК, выполняются специально обученными экспертами, задача сбора и анализа компьютерных доказательств часто поручается патрульным и детективам[15].

С 2000 года возникает потребность в стандартизации, различные органы и агентства начинают публиковать документы, устанавливающие руководящие принципы цифровой криминалистики. Научной рабочей группой по цифровым свидетельствам (SWGDE) подготовлен доклад 2002 года на тему «Лучшие практики компьютерной криминалистики», за этим последовало издание стандарта ISO/IEC 17025:2005 «General requirements for the competence of testing and calibration laboratories»[3][16]. В 2004 году вступила в силу Конвенция о киберпреступности. Целью подписантов данного документа было согласование своих национальных законов о компьютерных преступлениях, методов расследования и международного сотрудничества. Конвенцию подписали 43 страны (включая США, Канаду, Японию, Южную Африку, Великобританию и другие европейские страны), а ратифицировали 16.

Не обошлось и без включения компьютерной криминалистки в программы обучения экспертов. Коммерческие компании (являющиеся разработчиками программного обеспечения для криминалистической экспертизы) начали предлагать программы сертификации, а цифровой криминалистический анализ был включен в учебную программу центра специалистов в Великобритании. Centrex[3][9].

С конца 1990-х годов мобильные устройства стали более компактными и многофункциональными, превзойдя в техническом плане простые устройства связи, и оказались богатыми источниками информации, позволяющими совершать преступления, традиционно не связанные с цифровой криминалистикой[8].

Несмотря на вышеуказанные обстоятельства, цифровой анализ носимой электроники отставал от традиционных компьютерных носителей, причиной чему служил проприетарный характер устройств[17].

Позже акцент был смещен на совершение преступных действий в Интернете, результатом чего стало появление нового аспекта гибридных войн, а также возникновение такого явления, как кибертерроризм.

В отчете за февраль 2010 г. Командование объединенных сил США указывало на возникновение новых угроз, проистекающих из всеобщей информатизации, в частности в отчете было указано следующее:

Через киберпространство враги будут нацелены на промышленность, научные круги, правительство, а также на вооруженные силы в воздухе, на суше, на море и в космосе.

Во многом так же, как авиация изменила поле битвы Второй мировой войны, развитие киберпространства разрушило барьеры, которые защищали страну от атак на ее торговлю и коммуникации[18].

В области цифровой криминалистики по-прежнему находятся неразрешенные проблемы. В 2009 году был опубликован доклад Петерсона и Шеноя, в котором указано, что среди экспертов-криминалистов было выявлено предвзятое отношение к операционным системам Windows при исследованиях цифровой криминалистики[19].

В 2010 году Симсон Гарфинкель озвучила проблемы, с которыми предстоит столкнуться цифровым расследованиям в будущем. Среди них содержались следующие: увеличивающийся объем цифровых носителей, общую доступность шифрования для пользователей, разнообразие операционных систем и форматов файлов, увеличение числа лиц, имеющих в собственности несколько устройств, а также юридические ограничения для следователей. Также Гарфинкель указал следующее: у нескольких конкретных поставщиков существует сильный стимул внедрять результаты своих исследований в контексте комплексных криминалистических наборов или приложений. Эти поставщики в значительной степени избегают философии Unix, основанной на инструментах, и вместо этого предпочитают создавать приложения, похожие на Microsoft Office. Такой подход может упростить обучение пользователей и способствовать блокировке продукта, но он также увеличивает затраты на область в целом[10].

Примечания

[править | править код]
  1. 1 2 3 Н. Н. Федотов. Форензика — компьютерная криминалистика. — М.: «Юридический мир», 2007. — 433 с.
  2. Palmer G. DFRWS Technical Report: A Road Map for Digital Forensic Research // Digital Forensic Research Workshop. — Utica, New York, 2001. — P. 27—30.
  3. 1 2 3 4 5 6 Casey E. Digital Evidence and Computer Crime, Second Edition. — Elsevier, 2004. — ISBN 0-12-163104-4.
  4. Голик К. Н. Криминалистическое исследование мобильных устройств // Современная юриспруденция: актуальные вопросы, достижения и инновации. — Пенза, 2019. — С. 206—208.
  5. Медведев И. В. Компьютерная криминалистика «Форензика» и киберпреступность в России // Пролог: журнал о праве. — 2013. — № 3.
  6. Florida Computer Crimes Act
  7. Phillip A., Cowen D., Davis C. Hacking Exposed: Computer Forensics. — McGraw Hill Professional, 2009. — 544 p. — ISBN 978-0-07-162677-4.
  8. 1 2 Mohay G. M. Computer and intrusion forensics. — Artech House, 2003. — 395 p. — ISBN 978-1-58053-369-0.
  9. 1 2 Sommer P. The future for the policing of cybercrime // Computer Fraud & Security. — 2004. — № 1. — P. 8—12.
  10. 1 2 Garfinkel S. L. Digital forensics research: The next 10 years // Digital Investigation. — 2010. — № 7. — P. S64-S73.
  11. Reith M., Carr C., Gunsch G. An examination of digital forensic models // International Journal of Digital Evidence. — 2002. — Vol. 1. — № 3. — P. 1—12.
  12. Palmer G. L. Forensic Analysis in the Digital World // International Journal of Digital Evidence. — 2002. — Vol. 1. — № 1. — P. 1—6.
  13. Collier P. A., Spaul B. J. A forensic methodology for countering computer crime // Computers and Law. — 1992. — Vol. 6. — P. 2023—215.
  14. Wilding E. Computer Evidence: a Forensic Investigations Handbook. — London: Sweet & Maxwell, 1997. — 236 p. — ISBN 978-0-421-57990-3.
  15. Rosenblatt K. S. High-Technology Crime: Investigating Cases Involving Computers. — KSK Publications, 1995. — ISBN 978-0-9648171-0-4.
  16. Best Practices for Computer Forensics (англ.)
  17. Rizwan A. Mobile forensics: an overview, tools, future trends and challenges from law enforcement perspective // 6th International Conference on E-Governance. — 2008.
  18. The Joint Operating Environment Report. — 2010. — P. 34—36
  19. Peterson G., Shenoi S. Digital Forensic Research: The Good, the Bad and the Unaddressed // Advances in Digital Forensics V. IFIP Advances in Information and Communication Technology. — 2009. — Vol. 306. — P. 17-36.