УДК 004: 343.9

Криминалистика: сбор убедительных цифровых доказательств

Голубятников Артем Олегович – студент кафедры защищенных систем связи Санкт-Петербургского государственного университета телекоммуникаций имени профессора М. А. Бонч-Бруевича.

Аннотация: В данной статье будет обсуждаться концепция судебно-медицинской экспертизы и методы сбора доказательств. Особое внимание будет уделено методам, используемым для сбора криминалистически обоснованных цифровых доказательств с целью ознакомления с цифровой криминалистикой. Результатом этого обсуждения будут выявление и классификация различных типов цифровых криминалистических доказательств, а также четкая процедура сбора криминалистически обоснованных цифровых доказательств. В этом документе будет дополнительно обсуждаться повышение осведомленности и продвигаться идея о том, что компетентная практика сбора данных компьютерной криминалистики важна для приемлемости в суде.

Ключевые слова: эталонная модель, электронное обнаружение, Национальный институт стандартов и технологий, алгоритм дайджеста сообщений, алгоритм безопасного хеширования, криминалистически обоснованные цифровые доказательства.

1. Введение

Компьютерные технологии стали неотъемлемой частью жизни каждого человека и являются одной из наиболее быстро развивающихся областей. Следует отметить, что компьютерные системы хранят ценную информацию о компании и личную информацию (PII), тогда как компьютерная сетевая система предоставляет соответствующие средства доступа или поиска и обработки услуг. В результате они стали основной мишенью для злоумышленников, что приводит к увеличению компьютерных преступлений, о чем далее говорится в этой статье.

Чтобы обеспечить возможность проведения и завершения соответствующих расследований преступлений, используется судебно-медицинская экспертиза. Однако в этой статье мы будем придерживаться цифровой криминалистики, которая является частью криминалистики. Это применение науки для идентификации, сбора, изучения и анализа данных, сохраняя при этом их целостность и поддерживая цепочку хранения данных [1].

Цифровая криминалистика используется для выявления и сохранения цифровых доказательств в их наиболее чистой форме.

Цифровая криминалистика – это область криминалистики, которая занимается поиском, хранением и анализом электронных данных, которые могут быть полезны в уголовных расследованиях [2]. Сюда может входить информация с телефонов, планшетов, компьютеров, жестких дисков, дисков памяти, SD-карт и других устройств хранения данных. С помощью цифровой криминалистики следователь может узнать, кто, что и когда сделал в данной системе.

По словам Дютелла [3] «Цифровые доказательства – это информация и данные, имеющие значение для расследования, которые хранятся, получаются или передаются с помощью электронного устройства».

Для любого успешного и значимого криминалистического расследования или восстановления системы после повреждения жизненно важен сбор достаточных, значимых и криминалистически обоснованных данных. Криминалистическая обоснованность означает, что с момента получения цифровых доказательств и на протяжении всего расследования доказательства должны оставаться в своем первоначальном состоянии [4]. Игнорирование рекомендуемых методов цифровой криминалистики может привести к уничтожению доказательств. Если доказательства повреждены, вероятность того, что они будут отклонены в суде, возрастает.

2. Категории цифровой преступности

Цифровая преступность принимает множество различных форм, и они могут совершаться с использованием различных типов цифровых устройств, таких как сетевые журналы, ячейки памяти компьютера, электронная почта, веб-сайты, периферийные устройства, принтеры и т. д. Основные преступления описаны ниже. Существует три основные категории цифровых преступлений: преступления против людей, преступления против собственности и преступления против общества [5].

Преступления против людей в основном носят личный характер. Это преступления, которые происходят с использованием различных цифровых технологий и направлены против лиц, использующих Интернет и цифровые платформы. Некоторые из них включают в себя кражу личных данных, преступления на почве ненависти с использованием социальных сетей, клевету посредством электронной почты или сообщений, шантаж, эксплуатацию детей, киберпреследование с использованием поддельных личных данных и другие.

Преступления против собственности направлены против собственности отдельных лиц или групп. Преступники ищут интеллектуальную собственность, патенты, деньги и даже кражу имущества. Эти преступления не заботятся ни о каком разрешении авторов или владельцев. Некоторые из отмеченных нарушений связаны с пиратством цифровых носителей, таких как фильмы, песни, программное обеспечение и программы.

Некоторые киберпреступления совершаются против общественных интересов. Киберпреступления против общества включают торговлю от небольших до крупных партий, отмывание денег, преступления против правительства и терроризм, направленный против правительства и общественности.

Все эти преступления зависят от цифровых технологий, таких как мобильные телефоны, компьютеры и небольшие электронные устройства, включая Интернет вещей, которые ведут журналы, которые при необходимости можно проанализировать. Потому что именно эти устройства и сети используются для совершения преступлений.

Примеры подходящих источников данных для киберпреступлений включают файлы журналов, накопители, журналы брандмауэра и дисковые накопители.

3. Виды цифровой криминалистики

Существуют различные типы цифровой криминалистики, и они подробно обсуждаются ниже.

Криминалистика электронной почты – это один из видов цифровой криминалистики, который состоит из изучения и детального анализа электронных писем и их содержания с целью определения их легитимности приемлемым с криминалистической точки зрения способом.

Мобильная криминалистика включает в себя проверку и анализ мобильных устройств, в ходе которых можно исследовать контакты, журналы вызовов, SMS, видео и изображения.

Криминалистика дисков включает извлечение данных из медиахранилищ, что включает поиск активных, редактируемых или удаленных файлов.

Сетевая криминалистика занимается изучением и анализом сетевого трафика для сбора доказательств.

Криминалистика баз данных включает изучение и проверку базы данных и ее метаданных на предмет возможных доказательств.

Криминалистика беспроводной сети – это сбор и анализ трафика беспроводной сети, а также изучение полезной нагрузки на наличие любого вредоносного кода. Это называется криминалистией вредоносного ПО.

Криминалистика памяти занимается сбором данных из памяти систем. К ним могут относиться реестр и кэшированная память.

4. Пять правил достоверных цифровых доказательств

Цифровые доказательства могут использоваться для доказательства невиновности подозреваемого, и в этом случае они относятся к категории оправдательных доказательств, тогда как, если они приводят к обвинительному заключению по уголовным делам, они называются обвинительными доказательствами [4].

Существует 5 общих правил, которым необходимо следовать, чтобы цифровые доказательства были допустимыми, и они включают в себя:

  1. Цифровые доказательства должны быть допустимыми. Сбор и сохранение цифровых доказательств рекомендуемым способом жизненно важны для того, чтобы сделать их приемлемыми для жюри или где-либо еще.
  2. Цифровые доказательства являются подлинными. Оно должно соотноситься с инцидентом соответствующим образом, чтобы что-то доказать.
  3. Цифровые доказательства должны быть четкими и полными. Оно должно быть хорошо выстроено и связано со всей историей. Не следует предоставлять неполные доказательства, поскольку они могут направить решение в ином направлении.
  4. Оно должно быть надежным. Инструменты и методология, используемые для цифровых доказательств, не должны вызывать сомнений в их точности и подлинности.
  5. Цифровые доказательства должны быть полными, надежными, простыми для понимания, правдоподобными и приемлемыми [4]. Судебно-медицинский эксперт должен быть в состоянии объяснить использованную методологию и способы сохранения целостности.

5. Подходы к сбору данных

Следователь должен определить наилучший возможный метод получения доказательств без изменения исходных данных, запись всех действий, связанных с получением и обработкой исходных данных и копий, должна вестись, он не должен выполнять никаких действий, выходящих за рамки возможностей исследователя. следователь, должен учитывать все вопросы безопасности, законные права, а также организационную политику и процедуры [2]. Сбор цифровых данных для каждого устройства может осуществляться в режиме реального времени или в режиме ожидания.

При сборе данных в реальном времени цифровые данные копируются из работающей исследуемой системы в криминалистическую систему с использованием блокировщика записи и программного обеспечения, такого как FTK imager, для копирования операционных систем на криминалистические устройства вместе с проверкой хэш-функции.

При мертвом получении расследуемые цифровые данные копируются в судебно-медицинскую систему, которую также можно назвать доверенным сервером. Расследуемый/подозрительный диск перемещается и подключается к криминалистической системе в доверенной среде и загружается с доверенного загрузочного устройства, которым может быть USB-накопитель, компакт-диск и т. д.

Несмотря на то, что мертвые сборы предпочтительнее живых, существуют ситуации, когда живые сборы являются единственным вариантом в некоторых случаях, когда критически важные службы не могут быть отключены, поскольку отключение предупредит подозреваемого о том, что его действия были обнаружены, или создаст риск потери данных. при отключении питания системы.

6. Категории цифровых данных

В ходе цифровой криминалистики цифровые данные классифицируются в зависимости от порядка их изменчивости. И исследователь должен подходить к сбору данных, начиная с наиболее изменчивых данных, заканчивая наименее изменчивыми данными и, наконец, энергонезависимыми данными.

Любые данные, которые теряются при выключении системы, называются нестабильными данными. Например, регистры ЦП, кэш, ОЗУ, кэш ARP, таблицы процессов и т. д. – это некоторые из нестабильных данных, и их следует собирать в первую очередь для работающей системы.

Энергонезависимые данные – это данные, которые сохраняются при отключении питания, например, жесткий диск. Некоторые из энергонезависимых данных – это данные на жестком диске, данные, зарегистрированные на удаленном сервере, резервные копии. Успешный сбор данных должен начинаться с наиболее изменчивых данных и, наконец, осуществляться для данных, которые имеют меньшее снижение волатильности или вообще не имеют его.

7. Методы сбора данных

Для копирования данных из подозрительной системы в доверенную можно использовать три основных метода сбора данных:

  1. Сеть может использоваться для копирования данных из подозрительной компьютерной системы на назначенный сервер. Это можно использовать как для живых, так и для мертвых приобретений. Для выполнения упражнения можно использовать инструменты сетевой связи, такие как Netcat. В качестве альтернативы можно выполнить монтирование сетевого диска и скопировать данные на сервер. Подключение устройств хранения, таких как общие сетевые ресурсы, приводы компакт-дисков и жесткие диски, делает файлы доступными через файловую систему компьютера.
  2. Подозрительное запоминающее устройство, например жесткий диск, можно удалить из подозрительной системы и подключить к доверенному серверу для доступа к данным.
  3. В подозрительной системе может быть подключен или установлен новый жесткий диск. Подозрительная система может загрузиться с доверенного USB-накопителя или привода компакт-дисков и, наконец, создать образ подозрительного диска на новом диске.

Во время сбора доказательств с устройства целевая система может включать накопители SATA, SCSI или IDE. К цели также может быть подключено различное периферийное оборудование.

Хорошей практикой является завершение работы исследуемой системы и загрузка ее в доверенную компьютерную систему, которая используется для расследования. Альтернативно, жесткий диск можно снять и подключить к системе, где будет проводиться судебно-медицинская экспертиза.

Однако в некоторых случаях рекомендуется, чтобы исследуемая машина оставалась включенной для сбора всей информации, необходимой для расследования, из активной памяти, поскольку выключение системы может привести к потере всех данных из ячеек памяти.

Ниже приведены рекомендуемые семь шагов, которые необходимо выполнить при выполнении «мертвой» регистрации:

Шаг 1: Здесь подозрительная система отключается, чтобы позволить следователю отметить и записать, что они установили временную метку, после которой в системе не будет происходить никаких других изменений [5].

Шаг 2. Следующим шагом является удаление диска из подозрительной системы, чтобы убедиться, что форма цепочки поставок создана и заполнена. В цепочке хранения учитываются все люди, которые имели дело с доказательствами. Когда, кто, где были получены доказательства, где они хранились и кто контролировал или владел доказательствами в течение периода с момента их получения [3].

Шаг 3. Проверьте наличие других носителей и удалите все оставшиеся носители, например дисковод гибких дисков и дисковод zip. Для каждого устройства должна быть указана цепочка поставок [1].

Шаг 4. Запишите информацию об унифицированном расширяемом интерфейсе прошивки (UEFI) или базовой системе ввода-вывода (BIOS).

На этом этапе систему можно безопасно загрузить, чтобы проверить информацию BIOS или UEFI. Информация об UEFI или BIOS должна быть указана в форме цепочки поставок. Собираемая информация BIOS или UEFI состоит из системного времени и даты. Время BIOS или системы важно, поскольку оно может отличаться от фактического времени и часового пояса, установленного для географической области, в которой вы находитесь [8].

Шаг 5: включает в себя визуализацию драйвера. Это самая рискованная часть процесса сбора доказательств. Необходимо соблюдать осторожность, чтобы избежать записи на исходный носитель при каждом доступе к нему. Прежде чем использовать диск для хранения образа, вы всегда должны использовать какое-нибудь программное обеспечение для очистки диска от любых предыдущих доказательств [3].

Шаг 6. После создания изображений подозрительного носителя вам необходимо записать криптографические хэши, созданные программами создания изображений. Это может быть дайджест сообщения 5 (MD5), SHA256 и т. д. Криптографический хеш обеспечивает целостность данных [5].

Шаг 7: наконец, упакуйте и пометьте доказательства, четко промаркируйте диск, на который был записан судебно-медицинский образ, и храните его в безопасном месте, без доступа посторонних лиц [1].

8. Сбор и расследование удаленных доказательств

В некоторых случаях подозрительная машина может быть производственной машиной или находиться во враждебной среде, что затрудняет ее выключение. В таких случаях сбор данных должен осуществляться удаленно. В большинстве случаев рекомендуется осмотреть машину перед проведением удаленного сбора. Это позволит проверить наличие подозрительных артефактов на удаленном компьютере перед началом сбора данных [3].

Следователю доступны многочисленные инструменты для проведения криминалистического анализа на удаленном компьютере без физического доступа. Необходимо уметь выполнять ключевые задачи криминалистического анализа, включая создание изображений, углубленное изучение подписей файлов, хеширование файлов и копирование файлов на рабочую станцию, используемую в криминалистическом расследовании, а также составление отчетов о подозрительной информации.

В ситуациях, когда дело и целевая среда очень чувствительны, например, за границей, решающее значение имеет возможность сохранить расследование в тайне, чтобы субъект не знал, что он/она находится под следствием. Невыполнение этого требования может поставить под угрозу доказательства и иметь непредвиденные последствия.

Следующие действия могут помочь сохранить тайну расследования:

  • Минимизируйте количество одновременных операций, чтобы ограничить использование системных ресурсов.
  • Назовите программу удаленного расследования системным именем, например lmhosts.exe.
  • Брандмауэры должны быть настроены так, чтобы разрешать входящие соединения с компьютера исследователя.
  • Убедитесь, что программа, используемая для проведения удаленного расследования, не оставляет следов событий в журналах событий.
  • Ищите только те данные, которые имеют отношение к расследованию.
  • Расследование следует проводить, когда подозреваемый ожидает большого количества регулярных действий при антивирусном сканировании жесткого диска.

Одна из важнейших проблем при удаленном сборе данных по сети заключается в том, что машина должна быть включена и работать, а данные на ее жестком диске по большей части постоянно меняются [5]. Следовательно, будет сложно полагаться на хэш MD5 для аутентификации полученных данных. В этом случае достоверность данных будет зависеть от того, насколько надежным будет этот процесс. Необходимо следовать четко определенной процедуре.

В ожидании вредоносной деятельности компании должны быть подготовлены к судебно-медицинской экспертизе. Компании должны создать и внедрить адекватные и стандартные механизмы сбора данных с соответствующей политикой.

9. Проблемы

Со временем сбор судебно-медицинских доказательств столкнулся со многими проблемами. Например, сбор полезных доказательств из огромных наборов данных в терабайтах затрудняет поиск именно того, что необходимо.

Правоохранительные органы и суд отметили недостаток обширных знаний и понимания со стороны прокуроров элементов цифровых доказательств [10].

Недавние технологические обновления повлияли на судебно-медицинские решения, поскольку используемые инструменты могут потребовать либо обновления, либо изменения, что делает их дорогостоящими для судебных экспертов.

10. Вывод

Цифровая криминалистика может быть сложной задачей, и ее трудно начать. В статье представлено комплексное руководство, которое охватывает все этапы сбора криминалистически обоснованных цифровых доказательств с использованием различных подходов и методов сбора живых данных, мертвых данных и удаленного сбора данных. Проблемы обсуждаются кратко.

Список литературы

  1. Красов А. и соавт. Использование методов математического прогнозирования для оценки нагрузки на вычислительные мощности сети IoT // 4-я Международная конференция по будущим сетям и распределенным системам (ICFNDS). – 2020. – С. 1-6.
  2. Гельфанд А. М. и др. Интернет вещей (IoT): угрозы безопасности и конфиденциальности //Актуальные проблемы инфотелекоммуникаций в науке и образовании (АПИНО 2021). – 2021. – С. 215-220.
  3. Гельфанд А. М. и др. Исследование распределенного механизма безопасности для устройств интернета вещей с ограниченными ресурсами //Актуальные проблемы инфотелекоммуникаций в науке и образовании (АПИНО 2020). – 2020. – С. 321-326.
  4. Косов Н. А. и др. Анализ методов машинного обучения для детектирования аномалий в сетевом трафике //Цифровизация образования: теоретические и прикладные исследования современной науки. – 2021. – С. 33-37.
  5. Косов Н. А., Тимофеев Р. С. Сравнение методов обучения свёрточных нейронных сетей //Актуальные проблемы инфотелекоммуникаций в науке и образовании (АПИНО 2021). – 2021. – С. 526-530.

Интересная статья? Поделись ей с другими: