Данный модуль является ресурсом для лекторов

 

Цифровая криминалистика

 

Процесс цифровой судебной экспертизы включает в себя: поиск, получение, сохранение и хранение цифровых доказательств; описание, объяснение цифровых доказательств и установление их происхождения и значимости; анализ доказательств и их убедительности, достоверности и относимости к делу; и представление доказательств, имеющих отношение к делу (Maras, 2014).

Были разработаны и приняты различные методологии цифровой криминалистики. В 2001 году «DigitalForensic Research Workshop», «некоммерческая добровольная организация,… [специализирующаяся] на финансировании деятельности технических рабочих групп, проведении ежегодных конференций и решении комплекса задач с целью оказания помощи в определении направления исследований и разработок», разработала модель, основанную на протоколе Федерального бюро расследований Соединенных Штатов Америки для производства обыска на физическом месте преступления, который включает в себя семь этапов: идентификация, сохранение, сбор, исследование, анализ, представление доказательств и принятие решения (Palmer, 2001, p. 14) (см. рисунок 1).

Рисунок 1. Palmer, Gary. (2001). Технический отчет DFRWS: План действий для цифровых криминалистических исследований. Семинар по цифровым криминалистическим исследованиям. Ютика, штат Нью-Йорк.

В 2002 году была предложена еще одна модель цифровой криминалистики, которая была основана на модели «Digital Forensic Research Workshop» 2001 года и протоколе Федерального бюро расследований Соединенных Штатов Америки для производства обыска на месте преступления (для физических мест преступления) (Reith, Carr and Gunsch, 2002). Эта модель («Абстрактная модель цифровой криминалистики») состояла из девяти этапов (Baryamureeba and Tushabe, 2004, 3):

  • Идентификация (т.е. «распознание инцидента по признакам и определение его типа»);
  • Подготовка (т.е. «подготовка средств, методов, ордеров на обыск и мониторинг процесса получения разрешений и поддержки руководства»);
  • Стратегия подхода (т.е. «разработка процедуры, которая будет использоваться с целью сбора максимального объема безупречных доказательств при минимизации воздействия на потерпевшего»);
  • Сохранение (т.е. «изолирование, защита и сохранение состояния вещественных и цифровых доказательств»);
  • Сбор (т.е. «составление протокола осмотра физического места преступления и дублирование цифровых доказательств с использованием стандартизированных и утвержденных процедур»);
  • Исследование (т.е. «углубленный систематический поиск доказательств, относящихся к предполагаемому преступлению»);
  • Анализ (т.е. «определение значимости, восстановление фрагментов данных и выведение заключения на основе обнаруженных доказательств»);
  • Представление (т.е. «краткое изложение и объяснение выводов»); и
  • Возвращение доказательств (т.е. возвращение физического и цифрового имущества законному владельцу»).

В 2003 году была предложена Интегрированная модель цифрового расследования (см. рисунок 2), которая представляет собой более целостный подход к расследованию, состоящий из пяти основных этапов, каждый из которых, в свою очередь, состоит из отдельных фаз (Carrier and Spafford, 2003): готовность (т.е. оценка способности оперативных служб и инфраструктуры оказывать поддержу проведению расследования); развертывание (т.е. инцидент выявлен, соответствующий персонал уведомлен, и получено разрешение на проведение расследования, например, судебный ордер на производство расследования правоохранительными органами, разрешение руководителя для проведения частных расследований); расследование на физическом месте преступления (т. е. ограждение места преступления, идентификация относящихся к делу вещественных доказательств, документирование места преступления, сбор вещественных доказательств на месте преступления, исследование этих доказательств, реконструкция событий на месте преступления и представление результатов в суде); цифровое расследование на месте преступления (т.е. сбор и идентификация имеющих отношение к делу цифровых доказательств, документирование доказательств, извлечение и анализ доказательств, реконструкция событий и представление результатов в суде); и рассмотрение (т. е. после завершения расследования проводится оценка с целью анализа извлеченных уроков).

Рисунок 2. Integrated Digital Investigation Process Phases: Carrier, Brian D. and Eugene H. Spafford. (2003). Getting physical with the digital investigation process. International Journal of Digital Evidence, Vol. 2(2), p. 6.

В 2006 году Национальный институт стандартов и технологий США в своем Руководстве по интеграции криминалистических методов в планы реагирования на инциденты (Guide to IntegratingForensic Techniques into Incident Response) (SP 800-86) (Kent et al., 2006, 3-1) предложил модель цифровой криминалистики, состоящую из четырех этапов (см. рисунок 3): этап сбора доказательств, который включает в себя идентификацию доказательств на месте преступления, маркировку, документирование и, наконец, собирание доказательств; этап исследования, на котором определяются соответствующие криминалистические средства и методы, которые будут использоваться для извлечения соответствующих цифровых доказательств и сохранения их целостности; этап анализа, на котором извлекаемые доказательства оцениваются для определения их практической пригодности и применимости к делу; и этап отчетности, который включает в себя описание действий, выполненных в процессе цифровой криминалистики, и представление результатов.

Рисунок 3. National Institute of Standards and Technology, four-phase digital investigation model proposed in SP 800-86: Kent, Karen et al. (2006). Guide to Integrating Forensic Techniques into Incident Response. National Institute of Standards and Technology. p. 25.

Еще одна модель расследования была предложена Национальным институтом правосудия (NIJ) Министерства юстиции США в 2001 году и пересмотрена в 2008 году. В частности, в пособии NIJ«Расследование на электронном месте совершения преступления: руководство для служб быстрого реагирования» (Electronic Crime Scene Investigation: A Guide for First Responders) основное внимание уделено действиям на физическом месте преступления, таким как ограждение и оценка места преступления (например, для определения имеющих отношение к делу устройств с потенциальными цифровыми доказательствами), документирование места преступления, выемка соответствующих устройств, упаковка, транспортировка и, наконец, обеспечение сохранности этих устройств.

Вышеупомянутые модели основаны на предположениях о том, что при расследовании каждого преступления и киберпреступления все этапы должны быть пройдены в полном объеме (Rogers et al., 2006). Однако на практике это происходит не всегда. Поскольку объемы данных и количество цифровых устройств, накапливающих, хранящих и передающих данные, растут в геометрической прогрессии, что ведет к увеличению числа уголовных дел, связанных с цифровыми устройствами того или иного типа, все чаще признается практически нецелесообразным проводить доскональные проверки каждого цифрового устройства. Как отметили Кейси, Ферраро и Нгуен (Casey, Ferraro, Nguyen) (2009), «немногие [лаборатории цифровой криминалистики] все еще могут позволить себе создавать дубликат каждого носителя информации и проводить углубленную судебную экспертизу всех данных на этих носителях… Не имеет особого смысла ждать завершения анализа каждого отдельного носителя информации, если лишь некоторые из них позволят получить данные, имеющие доказательную ценность» (стр. 1353).

В этой связи были разработаны модели процессов цифровой криминалистики, учитывающие эту проблему. Например, в публикации Rogers et. al (2006) была предложена модель процесса киберкриминалистической сортировки данных на местах (CFFTPM), основанная на проведении цифровой судебной экспертизы «на месте» с целью «обеспечения идентификации, анализа и интерпретации цифровых доказательств в короткие сроки без необходимости транспортировки систем(ы)/носителей информации в лабораторию для углубленного исследования или создания полного образа для судебно-экспертного анализа» (p.19). На основе этой модели Кейси, Ферраро и Нгуен (Casey, Ferraro, Nguyen) (2009) предложили «три уровня судебной экспертизы», которые можно использовать на местах или в лаборатории:

  • Судебно-экспертный осмотр на основе обследования/сортировки. Такой осмотр проводится с целью быстрого изучения потенциальных источников доказательств и определения приоритетных источников для дальнейшего исследования на основе значимости доказательств, которые они могут содержать, и изменчивости этих доказательств (Casey, Ferraro, andNguyen, 2009, p. 1353 and 1356).
  • Предварительная судебная экспертиза. Для ускорения процесса цифровой судебной экспертизы проводится предварительная судебная экспертиза источников, выбранных на этапе судебно-экспертного осмотра на основе обследования/сортировки, чтобы обнаружить информацию, которая может быть использована в расследовании для получения прямых, косвенных или других подкрепляющих доказательств предполагаемого преступления (Casey, Ferraro, and Nguyen, 2009, pp. 1353 and 1356-1359). Неспособность обнаружить артефакты для судебно-экспертного анализа (т.е. данных, которые могут иметь значение для цифровой судебной экспертизы) во время этого осмотра, что может произойти в результате упущения их из виду, не означает автоматически, что углубленная судебная экспертиза проводиться не будет (это зависит от конкретного дела и от политики и процедур лиц, проводящих экспертизу).
  • Углубленная судебная экспертиза. Исследуются все источники доказательств. Экспертиза такого типа зачастую проводится в случаях, «когда есть подозрение на уничтожение доказательств, когда возникают дополнительные вопросы, и когда дело близится к судебному разбирательству» (Casey,Ferraro, and Nguyen, 2009, p. 1359).

В настоящее время продолжаются дебаты относительно жизнеспособности и актуальности каждой модели и ее компонентов (ValjarevicandVenter, 2015; Du, Le-Khac, andScanlon, 2017). Реальность такова, что каждая страна следует своим собственным стандартам, протоколам и процедурам в области цифровой криминалистики. Однако различия в этих процессах служат препятствием для осуществления международного сотрудничества в проведении расследований правоохранительными органами (см. модуль 7 серии модулей по киберпреступности: «Международное сотрудничество в борьбе с киберпреступностью»).

 
Далее: Стандарты и передовые практические методы в области цифровой криминалистики
Наверх