УДК 343.983.25 ББК 67.5
О ПЕРСПЕКТИВАХ ИССЛЕДОВАНИЯ ЭЛЕКТРОННЫХ ДОКУМЕНТОВ КАК ОБЪЕКТОВ СУДЕБНОЙ ЭКСПЕРТИЗЫ
КОНСТАНТИН ЕВГЕНЬЕВИЧ ДЕМИН,
доцент кафедры оружиеведения и трасологии учебно-научного комплекса судебной экспертизы Московского университета МВД России имени В.Я. Кикотя, кандидат юридических наук, доцент E-mail: [email protected] Научая специальность 12.00.12 — криминалистика, судебно-экспертная деятельность
и оперативно-разыскная деятельность
Citation-индекс в электронной библиотеке НИИОН
Аннотация. Рассматриваются вопросы исследования электронных документов, даны рекомендации по получению судебных доказательств, в них содержащихся.
Ключевые слова: компьютерная информация, судебная компьютерно-техническая экспертиза, файловая система, электронный документ, электронных носителей данных, электронная цифровая подпись.
Abstract. The article discusses a number of issues devoted to the study of electronic documents, recommendations for the obtaining of forensic evidence contained in them.
Keywords: computer data, computer forensics, file system, electronic storage media, electronic document, electronic signature.
За последние десятилетия произошел переход на безбумажные технологии, основанные на так называемом «электронном документообороте» (ЭДО). Активно формируется и совершенствуется правовое поле применения электронного документооборота и электронных документов в России (ФЗ «Об электронной цифровой подписи», ФЗ «Об информации, информационных технологиях и о защите информации», ФЗ «О связи», регламентирующие предоставление электронных услуг и документооборот и т.д.). Вместе с тем, расширение сферы применения электронно-вычислительной техники в различных отраслях деятельности человека, общества и государства породило такое негативное явление, как использование электронно-вычислительной техники, современных информационных технологий для совершения преступлений в различных сферах общественных отношений. Проведенные экспертные оценки динамики роста преступлений, сопряжен-
ных с применением современных информационных средств и технологий, показывает опережающие темпы роста преступлений данной группы над объективными процессами их раскрытия и расследования, что требует от правоохранительных органов, в том числе от экспертно-криминалистических подразделений выработки эффективных мер, включающих в себя методическое обеспечение производства экспертиз электронных носителей данных
(ЭНД).
В контексте выбранной темы необходимо отметить, что научные и методологические основы деятельности, направленной на поиск, обнаружение, фиксацию и исследование компьютерных средств и содержащейся в них электронной информации были раннее разработаны и опубликованы в работах таких ученых и практиков, как Б.В. Вехов, Ю.В. Гаврилин, В.В. Крылов, В.А. Мещеряков, А.Б. Нехорошев, Е.Р. Россинская, А.И. Усов и др.
Отметим, что основными направлениями данных исследований являлись вопросы, сопряженные с разработкой методологических и научно-практических проблем, связанных с расследованием преступлений, посягающих на информационную безопасность (Волеводз А.Г. Противодействие компьютерным преступлениям: правовые основы международного сотрудничества. М.: Юрлитин-форм, 2002; Вехов В.Б. Основы криминалистического учения об исследовании и использовании компьютерной информации и средств ее обработки: монография. Волгоград: Волгоградская академия МВД России, 2008; Гаврилин Ю.В. Расследование неправомерного доступа к компьютерной информации: Учебное пособие. / Под ред. профессора Н.Г. Шурухнова. М, 2001; Гаврилин Ю.В. Расследование преступлений, посягающих на информационную безопасность в экономической сфере: теоретические, организационно-тактические и методические основы. Тула, 2010; Крылов В.В. Информационные компьютерные преступления. М., 1997; Мещеряков В.А. Преступления в сфере компьютерной информации: основы теории и практики расследования. Воронеж: Воронежский государственный университет, 2002; Нехорошев А.Б. Компьютерные преступления: Квалификация, расследование, экспертиза. Часть 1. / Под ред. В.Н. Черкасова. Саратов, 2003; Семенов Г.В. Расследование преступлений в сфере мобильных телекоммуникаций. М.: Юрлитинформ, 2006 и др.). Особое место занимают исследования, направленные на разработку теоретических и методологических проблем судебных компьютерно-технических экспертиз и исследований (Россинская Е.Р., Усов А.И. Судебная компьютерно-техническая экспертиза. М., 2001; Усов А.И. Судебно-экспертное исследование компьютерных средств и систем: Учебное пособие. / Под. ред. Е.Р. Россинской. М., 2003; Абдурагимова Т.И., Васильев А.А. Основы компьютерно-технической экспертизы. Курс лекций. М.: Московский университет МВД России, 2005) и др. Давая высокую оценку имеющимся научным разработкам, следует отметить, что многие аспекты этой проблемы, в том числе исследование электронных документов (ЭД) с целью получение криминалистически значимой информации на основе анализа информации, получаемой с ЭНД,
остаются пока за рамками глубокого научного анализа.
Укажем, что одной из существующих проблем, требующих разрешения, является уяснение понятийного аппарата ЭД и его отражение в нормативной базе, регламентирующей общественные отношения в сфере высоких технологий. Так, анализ существующего законодательства, в частности Федерального Закона «Об Электронной цифровой подписи» сущность понятия «электронного документа» определяется как существующая правовая норма. Ст. 3 данного закона прямо указывает на электронный документ как документ, представленный в электронной цифровой форме и имеющий необходимые реквизиты, позволяющие произвести его идентификацию. Дальнейшем анализом содержания закона дается понятие электронной цифровой подписи (ЭЦП) — как реквизита электронного документа, предназначенного для его защиты от подделки, позволяющего идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажений в ЭД. При этом, владельцем сертификата ключа подписи определяется физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа, и которое владеет соответствующим закрытым ключом ЭЦП. Таким образом, реквизитом любого ЭД является ЭЦП, позволяющая удостоверить данный документ и идентифицировать владельца подписи на документе. Сама ЭЦП документа, физически представляет собой набор цифр, связанный с конкретным ЭД и закрытым ключом (своеобразный индивидуальный код) автора документа. Разработчики и создатели технологий ЭЦП в России утверждают, что при ее разработке были применены такие алгоритмы и аппаратно-программные средства, которые обеспечат защиту ЭЦП от возможности ее подделки на ближайшие десятилетия.
Вместе с тем, как показывает практика, на месте проведения следственных действий, наиболее часто встречаются иные формы ЭД: это и традиционные компьютерные файлы и каталоги (текстовые и графические), различные сетевые интернет — протоколы, электронная почта, сообщения в мобильных телекоммуникационных сетях (текстовые и графические), программы, радиотехнические сигналы и т.д.
В специальной научной литературе, посвященной вопросам классификации ЭД, существует следующие подходы рассмотрения данной проблемы. Так, Т.Э. Кукарникова [1] предлагает провести разграничение ЭД по форме существования их в компьютерной системе на материальные и виртуальные. При этом необходимо отметить, что материальный электронный документ — это объект, зафиксированный на электронном носителе, несущий информацию, имеющую смысловое значение и существующую только в электронной среде. Таким образом, любой электронный документ посредством его фиксации на определенном электронном носителе приобретает материальную форму. Виртуальный ЭД — это документ, представляющий собой совокупность информационных объектов, создаваемую в результате взаимодействия пользователя с электронной информационной системой [2].
В анализируемой криминалистической и технической литературе по источнику происхождения ЭД разделяют создаваемые пользователем и компьютерной системой. Документы, создаваемые пользователем, могут быть текстовыми, графическими, содержать звуковую или видеоинформацию и иметь форму файла, папки, каталога, программы и т.д. Сведения о сообщениях, передаваемых по сетям электросвязи, аккумулируются в специальных файлах регистрации событий (^-файлах), в которых протоколируется техническая информация (данные о системном техническом обмене). Таким образом, по содержанию ЭД могут содержать текстовую информацию, графику, анимацию, фоно-или видеоинформацию (определяется расширением файла), отражающую доказательственную информацию в виде специальных машинных кодов при применении, например, программ-просмотров-щиков.
По техническим характеристикам классификация осуществляется по расширению и названию файла, объему занимаемой машинной памяти, дате создания и модификации. Отметим, что здесь основным классификационным параметром, позволяющим отнести ЭД к той или иной группе, является различная емкость, которую занимает ЭД в электронной памяти. Так, например, некоторые программы, которые также являются ЭД, могут зани-
мать единицы килобайт, а информационные массивы в виде баз данных сотни гигабайт. Естественно, все это, оказывает влияние на продолжительность и тактику планируемых следственных действий, направленных, в том числе на установление личности неизвестного или создания психологического профиля лица их создавшего.
По степени защищенности электронные документы могут быть открытыми и закрытыми. Раннее нами отмечалось, что для защиты электронных документов существует большое количество специальных средств: ЭЦП документа, шифрование с помощью кримптоалгоритмов (стеганография), установление различных паролей доступа [3].
Как показывает следственная и судебная практика, особое место при расследовании занимают ЭД, раннее удаленные с дискет и жесткого диска ПК с целью сокрытия следов преступления. В процессе восстановления с применением аппаратно-программного инструментария (например PC-3000 for Windows (UDMA), Disk Edit , Unerase NU, Disk Rescue и др.) эти документы могут быть полностью или частично восстановлены, не восстанавливаемы и т.д., что также может быть отнесено к специфике ЭД, и соответственно нуждается в введении в криминалистическую классификацию.
Таким образом, приводимые нами классификации ЭД имеют не окончательный вид, а находятся в стадии своего становления. Важность разработки и упорядочения подобных классификаций, по нашему мнению, объясняется различной криминалистической значимостью, направленностью, сущностью и емкостью данных видов объектов. Исходя из обще тактических криминалистических рекомендаций, при поиске, обнаружении, фиксации и изъятии вещественного доказательства в протоколе следственного действия указываются его частные и диагностические признаки. Применительно к ЭД этими данными являются: его название, величина, автор, время и дата создания время последнего изменения (в соотношении с системным временем компьютерной системы), расширение, путь к нему по древу каталогов, краткая характеристика информации, номер шрифта, установочные данные страницы (по ширине и длине листа, абзацы, нумерация страниц), колонтитулы и т.д.
В настоящее время существует достаточно большой ассортимент электронных носителей данных (ЭНД), различающихся между собой принципами чтения-записи информации, форм-факторами, интерфейсом и конструктивными особенностями, массо-габаритными параметрами, техническими характеристиками, емкостью, быстродействием, природой и материалом носителя, на который производится запись и выборка информации, используемыми алгоритмами записи и чтения данных, программной (дисковой) операционной системой и т.д. [4]. С криминалистической точки зрения не лишено смысла классифицировать носители по состоянию их работоспособности в котором они были обнаружены СОГ: в рабочем состоянии (штатное) или нерабочем (нештатное), частично-рабочем состоянии (повреждения логической или физической структуры носителя, или их различными сочетаниями).
Следует также, отметить, что в зависимости от конструктивных особенностей и функционального предназначения ЭНД также можно разделить на внешние, съемные и встроенные, предназначенные как для временного, так и для постоянного хранения данных. Не останавливаясь подробно на технических и конструктивных особенностях ЭНД, заметим, что в любом современном электронном или радиотехническом аппарате обязательно содержатся элементы электронной памяти, которые в обязательном порядке должны быть обнаружены и исследованы на предмет поиска, например отношений (связей) злоумышленника, анализа его криминальной деятельности, криминологический анализ личности (интересы, места частого посещения). Кроме того, исследование ЭНД может помочь установить: электронные адреса (ICQ, E-Mail, TCP/ IP, пароли WAP и входа в Интернет) номера провайдера, номера мобильной связи, файлы и программное обеспечение как созданное пользователем так и созданное самой компьютерной системой — файлы регистрации событий (LOG), КЭШ-память, электронные шкалы и настройки частот сканеров и т.д.
Практика расследования преступлений показывает, что сегодня важно исследовать изъятые с места происшествия видео- и фото-память сотовых терминалов с хранящимися там сообщениями
сервисов MMS, SMS, устройства записи/чтения карт памяти («Mini» SD, MMC, RS-MMC и аналогичные им) от цифровых аппаратов и видеокамер, мини DV, пластиковые карты и SIM-карты, память в лазерных принтерах, жесткие диски, дискеты, компакт-диски, память в домофонах и т.д. При этом в протоколе следственного действия в обязательном порядке отмечаются частные идентификационные и диагностические признаки ЭНД (формфакторы, фирма, тип, модель, интерфейс, общий объем памяти, количество свободной или занятой памяти, и т.д.). Данные признаки указываются на корпусе носителя данных фирмой производителем или могут быть получены специалистом в области судебной компьютерных экспертиз в процессе предварительных исследований на месте происшествия. Отметим, что наиболее востребована в современных реалиях расследования дорожно-транспортных происшествий информация, содержащиеся в видеорегистраторах транспортных средств, расшифровка которой позволяет установить характер конкретной дорожно-транспортной ситуации [5]. Необходимо отметить, что любой ЭД, находящийся на вышеупомянутых ЭНД, при его исследовании должен пройти следующие последовательные стадии:
• определение аппаратного носителя, на и в котором находятся электронные массивы информации;
• установление формы и вида электронного документа;
• фиксация ЭД с помощью сертифицированных методик и сертифицированного оборудования в том виде, в котором он был обнаружен;
• создание идентичной копии носителя с электронным массивом, в котором находится электронный документ путем получения «зеркального» (побайтового) копирования ЭД или всего ЭНД на инструментальный носитель;
• осмотр компьютерно-электронных средств (предметов) с фиксацией носителя и электронного документа; если необходимо, трансформация электронного документа с помощью сертифицированных методик и оборудования;
• оценка и формулирование выводов после изучения ЭД на основе проводимого исследования [6].
В заключение следует особо отметить, ЭД в криминалистическом понимании являются источниками следовой криминалистически значимой компьютерной информации. Поиск, обнаружение, и получение доступа к информации, записанной на электронных носителях данных, с ее последующим всесторонним исследованием с помощью сертифицированных методик и сертифицированного оборудования, является квинтэссенцией раскрытия и расследования преступлений, сопряженных с применением информационных технологий. Кроме этого автор указывает на назревшую необходимость комплексного изучения ЭД специалистами различных научных знаний, результатом, которого был бы всесторонний анализ всех имеющихся виртуальных следов преступления. Для чего, на наш взгляд, необходимо по возможности привлекать специалиста в области компьютерных исследований на самых ранних стадиях расследования преступлений, задачами которого было бы изучение ЭД. Только координированная деятельность специалистов различных областей знаний должна позволить наиболее полно реконструировать картину расследуемого события.
Литература
1. Кукарникова Т.Э. Электронный документ в уголовном процессе и криминалистике: Монография / Кукарникова Т.Э.; Науч. ред. О.Я. Баев; Рец. Е.Р. Россинская. Воронеж: ВГУ, 2005.
2. Thomas R. Gruber, Sunil Vemuri, James Rice. Virtual documents that explain How Things Work: Dynamically generated question-answering documents. / Knowledge Systems Laboratory Stanford University, Aug. 95. (http://www-ksl. stanford.edu/ testfiles/gruber/ virtual-documents-htw).
3. Васильев А.А., Демин К.Е. Электронные носители данных как источники получения криминалистически значимой информации. Учебное пособие. М.: Изд-во МГОУ, 2009. С. 50—53.
4. Россинская Е.Р., Усов А.И. Судебная компьютерно-техническая экспертиза М.: 2001.
5. Беляев М.В., Демидова Т.В. Применение инновационных технологий при осмотре мест дорожно-транспортных происшествий / Вестник академии экономической безопасности МВД России. Московский университет МВД России имени В.Я. Кикотя, 2015 (2). C. 75—76.
6. Демин К.Е. К проблеме получения доказательственной информации в сфере высоких технологий // Новый юридический журнал № 2 (апрель-июнь) 2012 М.: МГОУ им. В.С. Черномырдина, 2012. С. 106—113.
References
1. Kukarnikova T.E. Electronic document in the criminal process and forensic science: Monograph / Kukarnikova T.E.; Scientific. edited by O.J. Baev; Retz. E.R. Rossinsky. Voronezh: VSU, 2005.
2. Thomas R. Gruber, Sunil Vemuri, James Rice. Virtual documents that explain How Things Work: Dynamically generated question-answering documents. / Knowledge Systems Laboratory Stanford University, Aug. 95. (http://www-ksl. stanford.edu/ testfiles/gruber/ virtual-documents-htw).
3. Vasiliev A.A., Diomin K.E. Electronic storage media as the sources of forensically important informanion. Textbook. M.: Publishing House of the Moscow State Open University, 2009. P. 50—53.
4. Rossinsky E.P., Usov A.I. Forensic computer forensics. M.: 2001.
5. Belyaev M.V., Demidova T. V. Use of innovative technologies for inspection of places of accidents / Bulletin of the Academy of economic security Ministry of internal Affairs of Russia. Moscow University of the Interior Ministry named of V.Y. Kikot, 2015. P. 75—76.
6. Diomin K.E. To the problem of obtaining evidentiary information in the field of high technology // New law journal No. 2 (April—June) 2012 M.: Publishing House of the Moscow State Open University named of Viktor Chernomyrdin, 2012. P. 106—113.