К вопросу об обнаружении, изъятии и использовании компьютерной информации, преобразованной методами криптографии, в ходе раскрытия и расследования преступлений: постановка проблемы

Размещено на http://www.allbest.ru/

К вопросу об обнаружении, изъятии и использовании компьютерной информации, преобразованной методами криптографии, в ходе раскрытия и расследования преступлений: постановка проблемы

Зиновьева Нина Сергеевна

преподаватель кафедры уголовного процесса Краснодарского университета МВД России.

Пахомов Сергей Валерьевич

заместитель начальника Ростовского юридического института МВД России (по научной работе) кандидат юридических наук, доцент.

В статье рассматриваются актуальные проблемы, связанные со стремительным распространением способов преобразования компьютерной информации методами криптографии с целью сокрытия преступлений, типичными местами концентрации таких данных и механизма следообразования. Высказываются суждения относительно необходимости разработки криминалистических рекомендаций, направленных на организацию эффективного взаимодействия субъектов расследования, а также тактики производства отдельных следственных действий, направленных на получение и анализ компьютерной информации исследуемого вида.

Ключевые слова: компьютерная информация, методы криптографии, криминалистически значимая информация, раскрытие и расследование преступлений, взаимодействие, тактика следственных действий.

преступление следообразование компьютерный

On the issue of detection, seizure and use of computer information transformed by cryptography methods in the course of crime detection and investigation: problem statement

Zinovieva Nina Sergeyevna

Lecturer, the Department of Criminal Procedure, Krasnodar University of the Ministry of Internal Affairs of Russia.

Pakhomov Sergey Valerievich

Deputy Head (for scientific work), Rostov Law Institute of the Ministry of Internal Affairs of Russia, PhD in Law, Associate Professor.

The article deals with the current problems associated with the rapid spread of methods of converting computer information by cryptographic methods in order to conceal crimes, typical places of concentration of such data and the mechanism of trace formation. Opinions are expressed on the need to develop forensic recommendations aimed at organizing effective interaction between the subjects of the investigation, as well as tactics for the production of individual investigative actions aimed at obtaining and analyzing computer information of the type under investigation.

Keywords: computer information, cryptography methods, criminally significant information, crime detection and investigation, interaction, investigative tactics.

Результаты проводимых научных исследований и правоприменительная практика свидетельствуют о стремительном росте преступлений, совершаемых с использованием методов криптографической защиты компьютерной информации, передаваемых по информационно-телекоммуникационным сетям либо хранящейся на электронных носителях и имеющих криминалистическое значение. Так, в Ш квартале 2020 года в сравнении со II кварталом этого же года количество компьютерных атак, в которых применялись методы криптографической защиты данных, выросло на 2,7 %. При этом по сравнению с аналогичным периодом 2019 года рост преступных деяний составил 54 % [1].

Использование методов криптографической защиты информации осуществляется для сокрытия сведений о подготавливаемых, совершаемых или уже совершенных преступлениях, таких как: незаконный оборот наркотических средств, оружия и боеприпасов, легализация преступных доходов, незаконные изготовление и оборот порнографических материалов или предметов и др.

Применение подобных методов становится возможным, в том числе, благодаря возможностям шифрования, которые предоставляются поставщиками услуг сотовой связи и интернета пользователям, а также разработчиками приложений, устанавливаемых в устройства сотовой связи и компьютеры. Кроме того, сами технические устройства имеют интегрированные в них функции защиты, ограничивающие доступ к ним.

Одной из объективных проблем, связанных с доступом правоохранительными органами к зашифрованным данным, имеющим криминалистическое значение, является отказ или уклонение отдельных поставщиков услуг связи и производителей устройств связи от доступа к ключам шифрования в целях восстановления зашифрованных данных.

В связи с этим, правоохранительным органам приходится прибегать к возможностям методов дешифрования, посредством применения аппаратно-программных комплексов, что влечет за собой временных затрат, столь важных для быстрого получения ориентирующей и криминалистически значимой информации. При этом, применение методов дешифрования не всегда приводит к положительному результату в силу постоянного совершенствования алгоритмов шифрования.

Указанная проблема наращивает степень актуальности и создает предпосылки для активного использования криптографических методов для сокрытия данных о готовящемся, совершаемом или совершенном преступлении. Сказанное подтверждается множеством преступных событий.

Так, например, в декабре 2019 года военнослужащий Королевских войск Саудовской Аравии совершил террористический акт на военно-морской авиабазе США, в результате чего три человека были убиты и восемь ранены. Подозреваемый, при изъятии у него смартфона «Apple», попытался его уничтожить, выстрелив в устройство из пистолета. Поскольку доступ к телефону был скрыт, а подозреваемый отказался предоставить код шифрования, правоохранительные органы обратились в компанию «Apple», которая так же ответила прямым отказом и ключи шифрования не предоставила. Для расшифровывания данных силами правоохранительных органов понадобилось более четырех месяцев [2].

Однако все чаще использование криптографических методов становится не только способом сокрытия преступлений, но и средством их совершения, нацеленным на получение незаконного дохода путем неправомерного завладения конфиденциальной информацией, блокирования работы компьютерных сетей физических лиц, коммерческих организаций и государственных структур.

Использование алгоритмов шифрования активно используется в работе вредоносных программ, которые внедряются в массивы данных, хранящихся у объекта посягательства, искажают или блокируют их, и только при вводе ключей шифрования позволяют возобновить корректную работу.

Поэтому преступники целенаправленно совершают компьютерные атаки на серверы определенных компаний, которые в состоянии заплатить по требованию значительные суммы в качестве выкупа, или организации, для которых приостановка деятельности влечет утрату крупной прибыли. Так, например, в Ш квартале 2020 г. атакам программ-вымогателей были подвергнуты крупные предприятия промышленности и медицинские учреждения [1].

К примеру, в августе 2020 года операторы программы-вымогателя REvil атаковали сеть больниц в США, похитив, а затем зашифровав всю информацию во внутренней сети. Информация касалась персональных данных пациентов, листов назначения и записей осмотров. В случае невыплаты требуемых сумм, лечебные учреждения понесли бы репутационные риски и, следовательно, финансовые потери.

Также, в начале сентября 2020 года от атаки шифровальщика Netwalker пострадала компания Equinix, которая предоставляет услуги обработки данных. Была похищена финансовая информация, данные аудитов и отчеты центра обработки данных, сведения о заработной плате и бухгалтерских документах компании. Прежде чем зашифровать данные, преступники проводили около двух недель в скомпрометированной сети, стараясь предварительно найти и удалить все доступные резервные копии, чтобы компания не могла восстановить зашифрованные файлы. Кроме того механизм преступления предполагал предварительное хищение критически важных данных - документов, отчетов, чтобы использовать их в качестве средства давления на потерпевшую компанию [2].

Преступления рассматриваемой категории характеризуются трансграничным характером. Для их эффективного расследования необходимо обобщение международного опыта борьбы с ними, изучение особенностей законодательного регулирования, выработки единых механизмов противодействия на государственном и межгосударственном уровнях. Указанные тенденции свидетельствуют об уязвимости основных секторов государственных органов и коммерческих организаций.

Вместе с тем существуют и примеры эффективного взаимодействия правоохранительных органов между государствами, в ходе которого были выявлены и привлечены к ответственности участники преступных групп, использующих методы криптографической защиты в целях получения преступного дохода.

Так, например, провайдер коммуникационных сетей и услуг, базировавшийся в Нидерландах и являвшийся разработчиком одноименного мессенджера для зашифровывания данных использовал протокол Signal. Данным сервисом на протяжении длительного времени успешно пользовались международные преступные организации. Поскольку разработчики сервиса не представляли ключи шифрования, межгосударственной следственной группой были использованы негласные средства для получения доступа к зашифрованной информации. На серверы EncroChat, находившиеся на территории Франции было внедрено техническое устройство негласного получения информации, что позволило осуществить доступ к большому массиву сообщений сервиса и начать автоматизированную идентификацию пользователей сервиса. Правоохранительным органам также удалось внедрить в устройства вредоносную программу, которая позволяла читать сообщения перед отправкой и записывать коды блокировки устройства. Операция совместной группы следователей под кодовым названием Емма 95 во Франции и Lemont в Нидерландах, позволила собирать в реальном времени несколько миллионов сообщений между подозреваемыми; также был организован обмен информацией с правоохранительными органами нескольких стран, которые не участвовали в следственной группе, в частности Великобритания, Швеция и Норвегия [3].

Возможности использования методов криптографической защиты компьютерной информации создают предпосылки для профессионализации преступности и стремительного роста криминальной активности лиц, которые вовлекаются в преступные схемы, и на этом фоне создаются новые виды криминальных профессий. Так, например, в совершение преступлений, связанных с незаконным оборотом наркотических средств, вовлекаются лица, выполняющие конкретные функции и с этим учетом именуются как: координаторы, эскроу, граверы, закладчики (кладмены), трафаретчики, перевозчики и др.

Вышеописанные аспекты указывают на динамично развивающееся общественно опасное явление, требующее принятия безотлагательных мер противодействия преступным проявлениям, в том числе криминалистическими средствами и методами.

К числу основных проблем, связанных с получением и анализом компьютерной информации, преобразованной методами криптографии, следует отнести отсутствие научно обоснованных криминалистических рекомендаций по раскрытию и расследованию преступлений, механизм совершения которых предполагает использование методов шифрования. Субъекты раскрытия и расследования преступлений не располагают теоретическими разработками и тактико-криминалистическими рекомендациями об особенностях отражения информации о данных, подвергшихся криптографической защите, средствах и методах, используемых для получения такой информации, особенностях взаимодействия субъектов криминалистической деятельности при получении и анализе криптографически защищенной компьютерной информации. В связи с этим следует признать наличие острой необходимости в разработке комплексной методики, которая будет содержать сведения об алгоритмах работы субъектов расследования по обнаружению, изъятию и использованию такой информации в ходе раскрытия и расследования преступлений.

По нашему мнению, указанная комплексная методика должна включать в себя совокупность тактических приемов и рекомендаций по обнаружению криминалистически значимой компьютерной информации, которая будет основываться на учете алгоритмов функционирования аппаратно-программных средств и принципах накопления, обработки и хранения такой информации.

Для формирования системных знаний субъектам раскрытия и расследования преступлений необходимо иметь представление о механизме возникновения и отражения компьютерной информации, преобразованной методами криптографии, в зависимости от того, какие средства хранения, обработки и учета информации применялись. По этой причине следует указать те компьютерные данные, которые выступают объектами сокрытия, посредством применения методов криптографии: данные в виде текстовых документов с любым видом форматирования, электронных таблиц, изображения, видео и аудиоданные, электронные сообщения, файлы, формирующие строение интернет-страницы; файлы, обеспечивающие аутентификацию и конфиденциальность пользователей (электронный сертификат, электронная ключевая информация, сетевые протоколы); приложения, установленные на устройство сотовой связи и компьютерную технику.

Важную роль играет знание о преступных целях преобразования компьютерной информации методами криптографии, к числу типичных из них следует отнести: ограничение доступа к данным, хранящимся непосредственно в компьютере или на внешнем накопителе информации; подмену данных об IP-адресе и MAC-адресе абонента при выходе в сеть Интернет и передаче сведений, содержащих признаки преступления; получение дохода от осуществления противоправной деятельности путем перевода на виртуальный счет криптовалюты.

Немаловажное значение имеет верное определение типичных мест концентрации криминалистически значимых данных, преобразованных методами криптографической защиты. Таковыми могут являться: а) текстовые, голосовые, фото- и видеосообщения, передаваемые через сервис мгновенного обмена данными; б) данные, передаваемые посредством электронных почтовых сервисов; в) данные, хранящиеся на компьютерах (на локальных или удаленных серверах) в виде пользовательских или системных файлов. В них концентрируется криминалистически значимая информация (сообщения, координирующие преступную деятельность; изображения с детской порнографией; теневая бухгалтерская отчетность и т. п.) и др.

Реализация криминалистических задач по обнаружению и изъятию компьютерной информации, преобразованной методами криптографии, требует организации эффективного взаимодействия субъектов расследования со специалистами и должностными лицами правоохранительных органов. Такое взаимодействие осуществляется как на ведомственном, так и на межведомственном уровнях, на которых решаются определенные задачи с учетом компетенций субъектов рассматриваемой деятельности.

При этом особое внимание следует уделить вопросам взаимодействия с разработчиками аппаратно-программных средств, специализирующихся на криптографической защите информации. Сегодня такое взаимодействие носит локальный характер, общераспространенной практики использования в криминалистических целях потенциала данных компаний нет. Факты привлечения таких специалистов единичные. В связи с этим, закономерно говорить о необходимости выработки путей повышения роли компаний-разработчиков в установлении криминалистически значимых обстоятельств, разработке правовых механизмов их привлечения, в том числе и на возмездной основе, определения организационно-тактических особенностей привлечения к участию в следственных действиях представителей ком- паний-разработчиков, круга совместно решаемых задач и условий обмена криминалистически значимой информацией.

Комплексная методика предполагает рассмотрение тактических особенностей проведения отдельных следственных действий, направленных на обнаружение, фиксацию и изъятие компьютерной информации, преобразованной методами криптографии.

Наиболее типичным и сложным с точки зрения поисково-познавательной сущности является следственный осмотр. Его объектами являются средства компьютерной техники и элементы сетевой структуры, служебные журналы программ, используемых в рассматриваемых целях, средства хранения информации.

Эффективность обнаружения, изъятия и криминалистического анализа компьютерной информации исследуемого вида напрямую зависима от правильного применения техникокриминалистических средств. В данном случае, основная цель технико-криминалистического обеспечения выражается в непосредственном использовании субъектами расследования мобильных аппаратно-программных комплексов и специализированных компьютерных программ, позволяющих обходить блокировки в виде паролей и пин-кодов, восстанавливать удаленные данные, расшифровывать криптографические контейнеры, а также извлекать данные из облачных сервисов при отсутствии сведений об учетных данных пользователя. Результатом применения технико- криминалистических средств является возможность дальнейшего преобразования компьютерной информации в доступную для восприятия форму, ее изъятия и анализа [4, с. 199].

Таким образом, одной из актуальных задач криминалистической науки является разработка комплексной методики обнаружения, фиксации, изъятия и использования субъектами раскрытия и расследования преступлений компьютерной информации, преобразованной методами криптографии. Данная методика с учетом типологических характеристик объектов хранения, учета и обработки, мест их концентрации и особенностей отображения позволит на основе налаженного взаимодействия реализовывать тактико-криминалистические средства и методы обнаружения, фиксации изъятия и анализа компьютерной информации, преобразованной методами криптографии.

Литература

Аналитический отчет «Актуальные киберугрозы Ш квартал 2020 года» компании Positive Technologies. URL: https://www.ptsecurity. com/ru-ru/research/analytics/cybersecurity- threatscape-2020-q3.

Грэм, Коттон, Блэкберн представляют комплексное решение для укрепления национальной безопасности, конечное использование надежного шифрования, защищающего от преступной деятельности. URL: https://www. judiciary.senate.gov/press/rep/releases/graham-cot- ton-blackburn-introduce-balanced-solution-to-bol- ster-national-security-end-use-of-warrant-proof- encryption-that-shields-criminal-activity.

Сверхзащищенный мессенджер Signal «тайно» сохраняет историю и ключи шифрования открытым текстом. URL: https://habr. com/ru/post/427637.

Зиновьева Н.С. Компьютерная информация, преобразованная методами криптографии, в раскрытии и расследовании преступлений: дис. ... канд. юрид. наук. Краснодар, 2021.

Bibliography

Analytical report «Current cyber threats in the third quarter of 2020» by Positive Technologies. URL: https://www.ptsecurity.com/ru-ru/research/ analytics/cybersecurity-threatscape-2020-q3.

Graham, Cotton, Blackburn present a comprehensive solution to strengthen national security, the end use of strong encryption that protects against criminal activity. URL: https://www. judiciary.senate.gov/press/rep/releases/graham-cot- ton-blackburn-introduce-balanced-solution-to-bol- ster-national-security-end-use-of-warrant-proof- encryption-that-shields-criminal-activity.

The ultra-secure Signal messenger «secret- ly» saves the history and encryption keys in clear text. URL: https://habr.com/ru/post/427637.

Zinovieva N.S. Computer information transformed by cryptographic methods in the disclosure and investigation of crimes: dis. ... PhD of Law. Krasnodar, 2021.

Размещено на Allbest.ru