О доказательной ценности компьютерной информации
(Дуленко В. А.)
(«Правовые вопросы связи», 2006, N 2)
О ДОКАЗАТЕЛЬНОЙ ЦЕННОСТИ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ
В. А. ДУЛЕНКО
В эпоху глобальной компьютеризации неизмеримо возрастает роль компьютерной информации. Информация в настоящее время является одним из важнейших видов ресурсов. Возросла роль информации и как вещественного доказательства при расследовании различных преступлений.
Компьютер как универсальное устройство, предназначенное для обработки информации, может рассказать чрезвычайно много. Но для этого необходимо его правильно исследовать и извлечь имеющуюся информацию.
В процессе экспертно-криминалистического исследования все электронные доказательства, находящиеся в компьютере либо в компьютерной системе, должны быть собраны таким образом, чтобы потом могли быть признаны судом. Мировая практика показывает, что в большинстве случаев под давлением представителей защиты в суде электронные доказательства не принимаются во внимание. Чтобы гарантировать их признание в качестве доказательств, необходимо строго придерживаться уголовно-процессуального законодательства, а также стандартизированных приемов и методик их изъятия.
Большую часть доказательной информации можно получить при визуальном и инструментальном исследовании аппаратуры и оборудования, при исследовании компьютерной информации, распечатанной на традиционных бумажных носителях, а также при изучении следов, которые могут быть запечатлены на внешних носителях при перехвате информации по техническим каналам ее утечки. В нашем случае речь пойдет об «электронных» доказательствах, содержащихся в памяти компьютера.
Компьютерная информация может быть представлена на нескольких уровнях: физическом (на материальном носителе и находящаяся в процессе взаимодействия с носителем); логическом; синтаксическом; семантическом; прагматическом.
В компьютере различают два вида памяти: энергозависимую и энергонезависимую. В энергозависимой памяти вся находящаяся в ней информация после выключения питания компьютера стирается, а в энергонезависимой — сохраняется в выключенном виде на неопределенный период. Имеется и CMOS-память, которая зависит от состояния батареи питания, установленной на системной плате.
Энергонезависимая память является одним из разделов памяти, который традиционно остается вне поля зрения эксперта. Раньше эта память называлась постоянной, была небольшой по емкости и хранила только информацию, записанную производителями компьютеров. Но сейчас расширенная область BIOS может хранить несколько мегабайт информации, и главное — перезаписывается на программном уровне. Поэтому здесь вполне могут скрываться вредоносные программы, когда компьютер является объектом преступления. Здесь же преступник может хранить информацию, относящуюся к совершению преступления. Для считывания такой информации используются специальные программы.
Перевод части компьютерной информации из оперативной памяти на дисковый носитель может проводиться на этапе первичных следственных действий при строгом соблюдении уголовно-процессуальных действий.
Информация на физическом уровне и образует основные, первичные «следы», как это трактуется положениями трасологии (материальное отображение внешних признаков предметов).
Эксперта в значительной степени интересует, что содержится во внешней, иначе говоря, дисковой, памяти. Именно на этом уровне компьютерная информация, в том числе имеющая отношение к расследуемому преступлению, запечатлевается достаточно прочно.
На уровне взаимодействия на сменном машинном носителе запечатлевается информация о свойствах и характеристиках накопителя, который, в свою очередь, более или менее постоянно связан с системным блоком компьютера. Таким образом, существует возможность установления источника файла, скопированного на дискету. Другими словами, возможна идентификация компьютера в случае, если следствие будет располагать дискетой с оперативно важной информацией и необходимо установить, как и откуда эта информация была записана. Однако если для считывания информации с дискеты мы используем тот же или такой же накопитель со стандартными драйверами устройств, то такая важная информация попросту остается невидимой для эксперта.
Современные жесткие диски имеют определенный процент резервных секторов, и автоматика контроллера диска по мере необходимости осуществляет диагностику секторов и замену поврежденных исправными, причем информация на поврежденных секторах не стирается и становится полностью невидимой для пользователя и стандартных программных средств. Принципиально возможно прочесть информацию из поврежденных секторов, но для этого требуется специальное программное обеспечение от производителя.
Таким образом, уже на уровне взаимодействия с носителем мы можем получить или потерять часть компьютерной информации, возможно, имеющей отношение к расследуемому делу.
На логическом уровне компьютерная информация представлена в виде условных единиц хранения информации различной величины и сложности: байты, блоки, сектора, кластеры, файлы, папки (каталоги), логические или сетевые диски. При этом файл является основным хранителем информации. Он определяет не только содержание программ и данных, но и их форму и свойства. Некоторые из свойств файла чрезвычайно значимы для решения задач идентификационного характера.
Значительная часть «электронных следов» скрывается именно на уровне файлов. Операционные системы позволяют нам получить доступ только к той информации, которая правильно включена в файловую систему. Все, что не входит в файл для пользователя и недостаточно квалифицированного и программно оснащенного эксперта, невидимо. При этом за пределами экспертного исследования остаются: служебные секторы; резервные секторы; поврежденные секторы; «хвостовики» последних кластеров, отведенные каждому файлу; все свободное дисковое пространство; дополнительные дорожки на диске, которые могут быть размечены при участии вредоносных программ и др.
Все эти области могут быть заняты кодом вредоносных программ, «технологическим» мусором, данными, скрываемыми от следствия.
Далеко не каждый файл доступен для просмотра или доступна только его часть. Так, например, в программной среде текстового или табличного процессора видима лишь часть документа, которая сохранена после последнего редактирования. При чтении или печати документа мы получим лишь часть файла — остальное останется за пределами видимости.
Многие файлы документов содержат кроме собственно текста и рисунков элементы форматирования: размер, тип и выделение шрифта, межстрочный интервал, величину абзацного отступа, размеры полей страницы и многое другое. Файлы документов содержат в себе и иные служебные отметки, связывающие документ с конкретным пользователем и аппаратно-программной средой разработки: конкретным текстовым или табличным процессором, операционной системой и т. д. Все указанные признаки позволяют с большой вероятностью идентифицировать электронный документ с аппаратно-программной средой его разработки, т. е. появляется возможность установить источник разработки документа, а также конкретного автора.
Несмотря на то что большая часть признаков форматирования представлена на экране монитора и в распечатанном документе, их выявление и отождествление «вручную» является очень непростой задачей. Таким образом, компьютерная система делает «видимой» компьютерную информацию, только начиная с файлового уровня. При этом сложная структура файлов документов тоже скрывается от глаз пользователя.
На синтаксическом уровне представления компьютерная информация предстает перед нами в виде совокупности символов, слов и предложений. Компьютерные системы используют многие десятки кодировок, и эксперту для добывания осмысленной информации необходимо умение работать с программами, позволяющими изменять кодировку.
Определенная часть компьютерной информации может быть защищена криптографическим способом. Если подозреваемый или обвиняемый не предоставит следствию дешифровальных ключей, то эта информация может считаться потерянной, так как современные криптоалгоритмы путем обычного перебора вскрываются не менее чем за несколько десятков лет. Лишь в наиболее ответственных случаях имеет смысл прибегать к помощи квалифицированных криптоаналитиков и ресурсам суперпроизводительных компьютеров.
При перекодировании информации ее часть может бесследно теряться, в том числе и та часть, которая может быть использована для скрытого переноса информации (стеганография).
Несколько слов следует сказать о роли системной информации. К ней относятся системный реестр, файлы инициализации, файлы «истории», журналы аудита и др.
Операционная система хранит очень многое, например: список недавно запускаемых программ; список документов, с которыми работал каждый из зарегистрированных пользователей; перечень ключевых слов для поиска файлов; адреса посещенных интернет-сайтов и т. д.
Каждый раз, когда пользователь устанавливает новую программу, осуществляет подключение (отключение), устройство или просто перезагружает компьютер, операционная система вносит изменения в свой реестр, тем самым фиксируя состоявшееся событие. В любой момент времени информация реестра отражает последние изменения в конфигурации компьютера. Исследование этих изменений может многое дать для следствия.
При проведении экспертно-криминалистического исследования также заслуживает внимания использование так называемого технологического мусора, под которым понимается остаточная информация, создаваемая программным обеспечением для работы режима виртуальной памяти, кэширования, «теневой» памяти, резервирования документов для удобства пользователя.
Сами по себе «электронные следы» в памяти компьютера не остаются. Для этого существует множество программ, специально предназначенных для фиксации событий. Запечатление информации производится с различной целью, например: резервирования информации на случай потери, порчи, модификации; предоставления пользователю дополнительных удобств в работе; обеспечения безопасности компьютерной информации (пароли) и др. Информация также может сохраниться случайно или в силу недостаточной продуманности аппаратно-программных решений.
Таким образом, можно сделать простой вывод: все «электронные» следы преступной деятельности сосредоточиваются на физическом уровне, т. е. уровне запечатления на машинных носителях. Чем выше уровень представления компьютерной информации, тем меньшим становится объем возможной доказательной базы, так как компьютерная система изолирует пользователя от аппаратных особенностей и избыточной информации. Поэтому если уровень квалификации и программно-технологического обеспечения эксперта-криминалиста недостаточен, то неисследованной останется значительная часть следов преступной деятельности.
Следует заметить, что при проведении экспертно-криминалистического исследования нет необходимости извлекать из машинной памяти все, что там находится, так как существует опасность получения огромного количества избыточной и ненужной информации. Необходимо извлекать только ту информацию, которая может быть полезна для следствия.
В заключение следует отметить, что эксперт-криминалист, работающий в сфере компьютерной информации, должен опираться на надежное аппаратно-программное, методическое и технологическое обеспечение, разработкой которого должны заниматься прежде всего головные экспертно-криминалистические подразделения различных ведомств, занятых расследованием преступлений, совершаемых с использованием современных компьютерных технологий. При этом надо учитывать высокую скорость обновления компьютерных технологий. Многие задачи нуждаются в разработке не только специального программного обеспечения, но и в создании и отладке достаточно сложных специальных аппаратных устройств. Поэтому возникает необходимость в координации действий правоохранительных органов и в организации централизованной подготовки экспертов.
——————————————————————