Использование клавиатурных шпионов и клавиатурных жучков в оперативно-следственной практике

(Иванов Н. А.) («Российский следователь», 2008, N 8)

ИСПОЛЬЗОВАНИЕ КЛАВИАТУРНЫХ ШПИОНОВ И КЛАВИАТУРНЫХ ЖУЧКОВ В ОПЕРАТИВНО-СЛЕДСТВЕННОЙ ПРАКТИКЕ

Н. А. ИВАНОВ

Иванов Н. А., руководитель Научно-экспертного центра Омского юридического института, кандидат юридических наук.

Информация, содержащаяся на машинных носителях (накопителях на жестких магнитных дисках, дискетах, компакт-дисках и т. п.), имеет важное доказательственное значение при расследовании различных категорий уголовных дел. Правонарушители, осознавая это, путем использования специальных мер ограничивают доступ к информации, содержащейся в различных файлах или базах данных. В подавляющем большинстве случаев для этих целей используется парольная защита. И довольно часто лицо, у которого изымаются информационные компьютерные средства, отказывается назвать пароль либо ссылаясь на ст. 51 Конституции РФ, либо мотивируя своей плохой памятью. В таких случаях приходится прибегать к услугам специалистов, которые могут обеспечить доступ к запароленной информации путем подбора пароля с использованием специальных программ восстановления «забытых» паролей. Автор не будет описывать все технические трудности, с которыми приходится сталкиваться специалистам, для того чтобы подобрать пароль к тому или иному файлу, шифрованному виртуальному диску или прикладной программе для ведения финансово-бухгалтерского учета, остановившись только на одной проблеме, а именно на временных затратах, связанных с этим процессом. Допустим, специалист располагает необходимым программным обеспечением для подбора «забытого» пароля и достаточно современным компьютером, который обеспечивает среднюю скорость подбора паролей порядка миллиона в секунду. Если пользователем применялся четырехзначный цифровой пароль (очень часто используют год даты рождения), то менее чем через секунду его содержание станет известно. Если использовалось восьмизначное число (например, число, месяц и год рождения), то на полный перебор ста миллионов возможных сочетаний потребуется не более полутора минут. В случае, когда пользователь, четко осознавая важность ограничения доступа, использовал восьмизначный пароль, сочетающий в себе строчные и прописные знаки английского алфавита и цифры (число возможных сочетаний составляет более 300 триллионов вариантов), то на полный перебор уйдет около семи лет. Каждый лишний знак или служебный символ (в том числе и пробел) вдвое удлиняет время подбора пароля. Ускорить подобную процедуру можно, объединив несколько компьютеров в единую сеть. Так, автор с коллегами при проведении одного исследования «связали» сеть из 25 компьютеров. При этом часть компьютеров осуществляла подбор паролей с использованием подключенных русско — и англоязычных словарей, в том числе с использованием обратной транскрипции (слово пишется наоборот) и конвертацией раскладок клавиатуры. Можно сказать, что в данном случае экспертам повезло — на третьи сутки было установлено содержание восьмизначного пароля — «RdflhfN» (слово «КвадраТ», набранное в англоязычной раскладке клавиатуры). Вышеописанный случай является идеальным для экспертной практики. Во-первых, эксперты смогли в круглосуточном режиме использовать компьютерную сеть сторонней организации (если бы не новогодние выходные, то такой возможности не представилось бы). Во-вторых, пользователем для генерации пароля не использовались служебные символы и двуязычное написание слова. В реальной практике эксперт, располагая одним или двумя не самими мощными компьютерами, ставит оперативно-следственных работников перед фактом, что в разумные сроки (т. е. в течение нескольких недель) подобрать пароль не представляется возможным. Оперативно-следственные работники, в тех случаях, когда информация на машинных носителях является крайне важной для целей раскрытия и расследования преступления, должны предполагать, что доступ к ней может быть ограничен пользователем с помощью парольной защиты, и, соответственно, принять необходимые меры, которые облегчат доступ к искомой информации. Выходом из подобной ситуации могла бы стать установка скрытого видеонаблюдения за тем, какие клавиши нажимает пользователь при запуске загрузки операционной системы, открытии файлов и запуске прикладных программ. Но подобная операция может натолкнуться на серьезные технические трудности. Поэтому более простым вариантом получения подобной информации (если не считать тот, когда листки с паролями наклеиваются на монитор), является использование так называемых программных клавиатурных шпионов (program keylogger). Клавиатурный шпион (КШ) — это специальная программа, записывающая в текстовый файл все, что набирается пользователем на клавиатуре компьютера, в том числе пароли, номера счетов, адреса электронной почты и т. п. Зачастую КШ встраиваются в более мощные шпионские программы (SpyProgram), которые помимо клавиатурного шпионажа позволяют делать снимки экрана (скрин-шоты) через заданные промежутки времени, запоминать запуск и закрытие программ, следить за принтерами, установленными в системе, отслеживать соединения с Интернетом и перехватывать посещенные сайты. Установить КШ на интересующий оперативно-следственных работников компьютер можно либо при содействии одного из сотрудников организации (как правило, привлекается лицо, обслуживающее средства компьютерной техники в данной организации), либо негласно с привлечением сотрудников специальных подразделений правоохранительных органов. Федеральное бюро расследований США применяет технологию дистанционной установки КШ с использованием сети Интернет <1>. ——————————— <1> См.: Гончаров К. Суд одобрил применение технологии слежки за нажатием клавиш на компьютере, примененной ФБР // [Электронный ресурс]. Режим доступа: http://www. compulenta. ru/news/2002/1/4/23876. Загл. с экрана.

Информация, сохраняющаяся в специальном файле (log-файле), может затем переписываться этими лицами непосредственно либо автоматически пересылаться на определенный e-mail или по локальной сети. Некоторые КШ и SpyProgram невидимы в операционной системе (в том числе в процессах Windows NT/2000/XP), не видны при автозагрузке и не определяются антивирусами. Но при установке клавиатурных шпионов или SpyProgram на компьютер подозреваемого необходимо учитывать ряд важных моментов. Во-первых, установка клавиатурного шпиона и создаваемый с его помощью log-файл могут уничтожить часть другой интересующей оперативно-следственных работников информации, которая ранее была записана на машинном носителе. Во-вторых, если пользователь достаточно серьезно подходит к вопросам собственной информационной и компьютерной безопасности, то он может установить факт несанкционированной установки на его компьютер подобных программ и принять соответствующие меры, предупреждающие возможность дальнейшего получения доступа к информации, записанной на его компьютере. В значительной степени упростить получение информации о содержании паролей, применяемых пользователем для защиты компьютерной информации от несанкционированного доступа, позволяет использование клавиатурных жучков (hardware keylogger) — аппаратного средства, которое подключается между шнуром клавиатуры и гнездом для нее в компьютере. Он настолько мал (см. рис. 1 — не приводится), что его трудно заметить, особенно если системный блок стоит под столом.

Рис. 1. Общий вид Hardware Keylogger для клавиатуры типа PS/2

Рисунок не приводится.

К клавиатурному жучку (КЖ) не требуется никаких драйверов и программного обеспечения, он автоматически записывает каждое нажатие клавиши и фиксирует все, что пользователь вводил с клавиатуры. Основными производителями клавиатурных жучков являются фирмы KEYKatcher (http://www. keykatcher. com/) и KeyGhost Ltd. (http://www. keyghost. com/). КЖ выпускаются как для PS/2, так и для USB-клавиатур, с емкостью от 128000 до 2000000 записываемых знаков (в КЖ с максимальной емкостью можно записать информацию, которую вы вводите в течение года). КЖ не требует дополнительных элементов питания. Записанная в log-файл информация (для которой в случае необходимости может применяться 128 bit шифрование) после демонтажа КЖ просматривается на другом компьютере. Использование клавиатурного жучка устраняет недостатки, характерные для клавиатурных шпионов и SpyProgram. Разброс цен на КЖ в зависимости от емкости и типа подсоединяемой клавиатуры составляет от 50 до 300 долл. При получении информации о содержании паролей с использованием клавиатурных шпионов, SpyProgram и клавиатурных жучков встает проблема правовой допустимости и регламентации их применения. Первые работы, посвященные использованию в оперативно-розыскной деятельности информации, полученной из компьютерных систем и компьютерной сетей, были опубликованы чуть более 15 лет назад <2>. Но ни в них, ни в более поздних работах вопросы обеспечения доступа к запароленной информации с использованием клавиатурных шпионов и клавиатурных жучков в рамках проведения оперативно-следственных мероприятий не рассматривались. ——————————— <2> Макаренков Д. Е., Наумов И. А. Получение информации из компьютерных систем в оперативно-розыскной деятельности правоохранительных органов // Тез. докл. междунар. конф. «Информатизация правоохранительных систем», июнь 1999 г. М., 1999; Каретников М. К. К вопросу об использовании результатов оперативно-розыскной деятельности, представленных в цифровом виде, в доказывании по уголовным делам // Труды междунар. конф. «Информатизация правоохранительных систем». Москва, июнь 2000 г. М., 2000; Краснова Л. Б. Правовые основы снятия и использования компьютерной информации, полученной в процессе оперативно-розыскной деятельности // Воронежские криминалистические чтения. Вып. 2 / Под ред. О. Я. Баева. Воронеж: Издательство Воронежского государственного университета, 2001.

В 2002 г. суд штата Нью-Джерси вынес решение о том, что данные, полученные сотрудниками Федерального бюро расследований США с помощью клавиатурного шпиона, могут быть представлены в качестве улики при расследовании и судебном разбирательстве. Адвокаты обвиняемого, на компьютер которого агентами ФБР был установлен КШ, подали апелляцию, утверждая, что данные, полученные с его помощью, не могут иметь доказательственное значение. Решение судьи по первому делу такого рода явилось прецедентом для легализации использования шпионских программ для обеспечения доступа к компьютерной информации. Если бы информация, записываемая с помощью КШ и КЖ в log-файл, ограничивалась только содержанием паролей, то их негласная установка в принципе не противоречила бы действующему российскому законодательству, поскольку их применение приводит только к облегчению доступа к информации на машинных носителях, а не непосредственно к ней. В этом случае при санкционированном изъятии средств компьютерной техники в рамках предварительного расследования уголовного дела эксперту в области проведения компьютерно-технической экспертизы передается только информация о содержании паролей. Но дело в том, что в log-файл записывается вся информация, которая набирается пользователем с клавиатуры, и, соответственно, часть ее может подпадать под категорию семейной, личной, служебной и коммерческой тайны или тайны телефонных переговоров, почтовых и телеграфных сообщений. В данном случае несанкционированное применение КШ и КЖ будет являться нарушением конституционных прав и свобод граждан или юридических лиц, а информация, содержащаяся в log-файле, не будет иметь доказательственное значение, поскольку была получена с нарушением процессуального законодательства. Поэтому полагаем, что использование клавиатурных шпионов и клавиатурных жучков в оперативно-розыскной деятельности и следственной практике возможно только с санкции суда, но при этом суд не должен регламентировать способ и технологию получения информации, вводимой с помощью клавиатуры, а использованная технология не подлежит разглашению в судебном заседании <3>. ——————————— <3> FBI let off cyber snooping hook // [Электронный ресурс]. Режим доступа: http://www. theregister. co. uk/security/. Загл. с экрана.

——————————————————————