Читаем Расследование преступлений в сфере компьютерной информации в Российской Федерации и зарубежных странах полностью

Основой доказывания по делам о преступлениях в сфере компьютерной информации выступают цифровые следы, научная концепция которых разрабатывается в настоящее время группой ученых-исследователей под руководством Е. Р. Россинской¹¹⁹. Они «представляют собой криминалистически значимую компьютерную информацию о событиях или действиях, отраженную в материальной среде, в процессе ее возникновения, обработки, хранения и передачи»¹²⁰. Близкое по сути определение цифровых следов предлагают наши зарубежные коллеги: к цифровым доказательствам (digital evidence) относятся данные в любом виде представления, которые можно извлечь из компьютерных систем для использования в доказывании, подтверждения либо опровержения проверяемых фактов и обстоятельств¹²¹.

К потенциальным носителям цифровых следов относятся:

а) персональные устройства (смартфоны, банковские карты, стационарные и планшетные компьютеры, ноутбуки, переносные электронные носители информации, например, флеш-накопители, персональные страницы в социальных сетях, включая инфраструктуру и пр.);

б) информационные системы (корпоративные и государственные ИС, охранные, банковские, платежные системы и пр.);

в) сетевая инфраструктура (локальные, региональные, корпоративные, ведомственные компьютерные сети, Интернет, сетевая инфраструктура, облачные технологии, навигационные системы);

г) системы информационной безопасности (системы идентификации и аутентификации, антивирусное программное обеспечение и др.);

д) технологические устройства фиксации в правоохранительной деятельности (системы видеонаблюдения, устройства фиксации деятельности правоохранительных органов (worn camera), системы криминалистической регистрации, биометрические системы, устройства, применяемые в оперативно-розыскной деятельности и пр.)¹²².

Цифровые следы могут быть обнаружены:

– на рабочем месте преступника (стационарный компьютер, ноутбук, носители цифровой информации, средства связи, записи и пр.);

– на месте происшествия (например, в компьютерной системе, подвергшейся атаке);

– в сетевых ресурсах преступника (в рамках локальных или глобальной сети);

– в каналах связи преступника (сетевой трафик);

– в легальных сетевых ресурсах, используемых в преступной деятельности (почтовых серверах, вычислительных мощностях провайдеров хостинга, ресурсах провайдера по предоставлению доступа в Интернет и пр.).

Цифровые следы существуют в виде дамп оперативной памяти и дамп трафиков, файлы и их обрывки, создаваемая программными и аппаратным средствами их получения служебная информация об этих файлах, располагающиеся на материальных носителях информации в виде цифровых кодированных последовательностей¹²³. Наиболее распространенная их форма – лог-файлы. Лог – это журнал автоматической регистрации событий в рамках какой-либо программы или сети. Почти любое действие в рамках информационной системы может отражаться в лог-файле¹²⁴. Их источниками в сетевых ресурсах сети Интернет могут быть:

1) провайдеры хостинговых услуг: в частности, лог-файлы подключений к сетевому ресурсу и статистические данные учета сетевого трафика, свидетельствующие о сетевой активности пользователей;

2) цифровые копии содержимого серверов и облачных хранилищ данных¹²⁵.

Однако, как подчеркивает А. И. Семикаленова, такая информация доступна для восприятия человека только посредством использования специализированных программных и аппаратных средств, осуществляющих декодирование и визуализацию в привычной графической, текстовой или звуковой форме, и могут быть получены и интерпретированы в полном объеме и без изменения содержания только с использованием специальных знаний¹²⁶.

Изучение лог-файлов подключений к серверу позволяет выявить сетевые адреса пользователей ресурса, установить их личности в том случае, если пользователем не были применены техники, позволяющие анонимизировать его в Сети. В ходе исследований копий содержимого серверов и облачных хранилищ могут быть найдены экземпляры использовавшихся злоумышленником вредоносных программ, сетевые реквизиты пользователей (например, данные учетных записей, IP-адреса подключений, адреса других серверов сетевой структуры). Именно эта информация поможет установить, например, сетевые адреса серверов, с которых распространялись или управлялись вредоносные программы, форумов для общения компьютерных преступников, виртуальных обменных и платежных систем.

При исследовании цифровых следов в сети В. Б. Вехов предлагает введение термина «дорожка электронных следов», аналогично трасологическим, которая обозначает систему образования следов в информационно-телекоммуникационных сетях, состоящую из нескольких последовательно расположенных по времени и логически взаимосвязанных записей о прохождении компьютерной информации по линиям связи через коммутационное оборудование оператора(–ов) связи от компьютера преступника до компьютера потерпевшего¹²⁷. На наш взгляд, такая интерпретация вполне логична и оправданна.