Международная организация по стандартизации (ИСО), международная неправительственная организация, и Международная электротехническая комиссия (МЭК), международная некоммерческая организация, разрабатывают и публикуют международные стандарты для унификации практики, используемой в разных странах. В 2012 году Международная организация по стандартизации (ИСО) и Международная электротехническая комиссия (МЭК) опубликовали международные стандарты, касающиеся обращения с цифровыми доказательствами (ISO/IEC 27037 Руководство по идентификации, сбору, получению и сохранению свидетельств, представленных в цифровой форме). Это руководство охватывает только начальный процесс обращения с цифровыми доказательствами. Предлагаются следующие четыре этапа обращения с цифровыми доказательствами:
Идентификация. Этот этап включает в себя поиск и распознавание соответствующих доказательств, а также их документирование. На этом этапе приоритетные задачи сбора доказательств определяются на основе ценности и изменчивости доказательств (см. модуль 6 серии модулей по киберпреступности: «Практические аспекты расследования киберпреступлений и цифровой криминалистики» для получения дополнительной информации).
Сбор. Этот этап предполагает сбор всех цифровых устройств, которые могут содержать данные, имеющие доказательную ценность. Эти устройства затем транспортируются в лабораторию судебной экспертизы или другое учреждение для сбора и анализа цифровых доказательств. Этот процесс именуется сбором данных в статическом режиме. Однако бывают случаи, когда сбор данных в статическом режиме является практически неосуществимым. В таких ситуациях осуществляется сбор данных в реальном времени. Рассмотрим, к примеру, системы критически важных объектов инфраструктуры (например, системы управления производственными процессами). Эти системы не могут быть отключены от питания, поскольку они предоставляют критически важные услуги. Поэтому в этих случаях осуществляется сбор данных в реальном времени, когда изменчивые и неизменчивые данные извлекаются из систем, работающих в реальном времени. Однако такой сбор данных в реальном времени может мешать нормальному функционированию систем управления производственными процессами (например, замедлять их работу) (см. модуль 6 серии модулей по киберпреступности: «Практические аспекты расследования киберпреступлений и цифровой криминалистики» для получения дополнительной информации).
Прежде чем приступить к сбору данных в реальном времени, следует определить приоритеты сбора данных с точки зрения их доступности, а также их ценности и изменчивости.
Получение. Цифровые доказательства необходимо получать без ущерба для целостности данных. Национальный совет начальников полиции Соединенного Королевства (NPCC), ранее известный как Ассоциация руководителей полицейских служб Соединенного Королевства, придает этому требованию большое значение и выделяет его в качестве важного принципа в практике цифровой криминалистики (принцип №.1: «Никакие действия, предпринимаемые правоохранительными органами, лицами, работающими в этих органах, или их представителями, не должны приводить к изменению данных, которые впоследствии могут использоваться в суде») (UK Association of ChiefPolice Officers, 2012, p. 6). Такое получение данных без их изменения осуществляется путем создания копии содержимого цифрового устройства (процесс, известный как создание неискаженного образа) с использованием устройства (блокировщика записи), которое предназначено для предотвращения изменения данных в процессе копирования. Для того чтобы определить, является ли дубликат точной копией оригинала, значение хэш-функции рассчитывается с использованием математических вычислений; здесь для получения значения хэш-функции используется криптографическая хэш-функция. Если значения хэш-функции для оригинала и копии совпадают, то содержимое копии является точно таким же, что и в оригинале. Признавая возможность существования определенных «обстоятельств, при которых какое-либо лицо считает необходимым получить доступ к исходным данным [т.е. осуществить сбор данных в реальном времени]», Национальный совет начальников полиции Соединенного Королевства отмечает, что «лицо, [получающее доступ к этим данным], должно быть компетентным для таких действий и быть в состоянии представить доказательства, объясняющие целесообразность своих действий и их последствия» (Принцип №.2) (UK Association ofChief Police Officers, 2012, p. 6) (см. модуль 6 серии модулей по киберпреступности: «Практические аспекты расследования киберпреступлений и цифровой криминалистики» для получения дополнительной информации).
Некоторые криптографические хэш-функции имеют недостатки.
Сохранение. Целостность цифровых устройств и цифровых доказательств может быть обеспечена с использованием системы охраны доказательств (рассматривается в модуле 3 серии модулей по киберпреступности: «Правовая база и права человека»), которая определяется как «процесс, при помощи которого следователи обеспечивают охрану места преступления (или происшествия) и сохранность доказательств на протяжении всего периода производства по делу. В журнал регистрации записывают информацию о том, кто осуществлял сбор доказательств, где и каким образом они были собраны, какие лица получили эти доказательства, и когда они их получили» (Maras, 2014, p. 377). Тщательное документирование процесса цифровой судебной экспертизы на каждом этапе имеет важное значение для обеспечения допустимости доказательств в суде (см. модуль 6 серии модулей по киберпреступности: «Практические аспекты расследования киберпреступлений и цифровой криминалистики» для получения дополнительной информации).
Остальные этапы процесса цифровой судебной экспертизы (анализ и отчетность) не включены в руководство ISO/IEC 27037. Этап анализа (или исследования) требует использования надлежащих инструментов и методов цифровой криминалистики для обнаружения цифровых данных. На рынке доступно большое количество инструментов самого разного качества для проведения цифровой судебной экспертизы. Примеры инструментов для цифровой криминалистической экспертизы включают в себя программы EnCase, FTK, и X-Ways Forensics. Выбор типа инструмента зависит от типа проводимой цифровой судебной экспертизы (например, для криминалистической экспертизы мобильных устройств и облачных сервисов на мобильных устройствах можно использовать программу Oxygen Forensics Suite; для сетевой криминалистики, которая предполагает «использование научно-обоснованных методов расследования [преступлений, совершенных в отношении и с использованием] компьютерных сетей» (Maras, 2014, p. 305), в качестве инструмента можно использовать программу Wireshark). Существующие инструменты цифровой криминалистики (например, EnCase, FTK и NUIX) предназначены для работы с традиционными вычислительными устройствами. Специализированные инструменты цифровой криминалистики необходимы, например, для экспертизы сетей, интерфейсов и операционных систем критически важных объектов инфраструктуры (рассматривается в модуле 2 серии модулей по киберпреступности: «Основные виды киберпреступности»).
Национальный институт стандартов и технологий США имеет доступную для поиска базу данных инструментов цифровой криминалистики, которая содержит информацию об инструментах с различными функциями (например, инструменты для проведения криминалистической экспертизы баз данных, облачных хранилищ, беспилотных летательных аппаратов, транспортных средств и т.п.). Национальные правоохранительные органы разных стран имеют разные предпочтения в отношении использования инструментов для цифровой криминалистической экспертизы.
Криминалистическая экспертиза «умных» транспортных средств является малоизученной, но важной областью цифровой криминалистики (Parkinson and McKay, 2016). Массовое использование интеллектуальных транспортных средств с функциями выхода в Интернет (и разработка автономных транспортных средств) придали дополнительный импульс усилиям по созданию процедур, стандартов и инструментов проведения криминалистической экспертизы интеллектуальных транспортных средств, которые могли бы обеспечить возможность проведения надежной с точки зрения криминалистики цифровой экспертизы таких средств (Le-Khac et al., 2018). Эти транспортные средства могут обеспечить получение большого количества информации (например, о маршрутах поездок и часто посещаемых местах, домашних и рабочих адресах, набранных номерах телефонов, принятых звонках и т.д.), которая может использоваться при расследовании преступлений, совершенных в отношении интеллектуальных или автономных транспортных средств (например, взлома), или других преступлений, когда информация, полученная из этих транспортных средств, может быть использована в качестве доказательства совершения преступления (De La Torre, Rad, andChoo, 2018).
Используемые инструменты должны быть надежными с точки зрения криминалистики. При этом процесс «сбора и последующего анализа… [цифровых] данных» с помощью этих инструментов должен быть в состоянии сохранить «данные в том состоянии, в котором они были впервые обнаружены», и «никоим образом не уменьшать доказательную ценность электронных данных из-за технических или процедурных ошибок либо ошибок в интерпретации» (McKemmish, 2008, p. 6). Проще говоря, полученные данные не должны быть каким-либо образом изменены, то есть их целостность должна быть сохранена. В рамках Программы тестирования инструментов компьютерной криминалистики Национального института стандартов и технологий США
была принята методология тестирования программных средств компьютерно-технической экспертизы на основе разработки общих спецификаций инструментов, процедур испытаний, критериев испытаний, наборов тестов и оборудования для тестирования. Тестирование дает возможность получить информацию, которая необходима разработчикам для совершенствования разрабатываемых инструментов, позволяет пользователям делать осознанный выбор в отношении приобретения и использования инструментов компьютерно-технической экспертизы и способствует пониманию возможностей инструментов всеми заинтересованными сторонами.
Интернет вещей означает сеть взаимосвязанных и взаимодействующих друг с другом устройств с выходом в Интернет (например, камеры, телевизоры, холодильники, духовые шкафы, осветительные приборы, счетчики электрической энергии, одежда, игрушки, аксессуары и многое другое), которые позволяют отслеживать объекты, людей, животных и растения, а также осуществлять сбор, анализ, хранение и распространение данных о них (Maras, 2015). Поскольку сетевые устройства Интернета вещей могут содержать значительный объем информации о пользователях этих устройств (см. модуль 10 серии модулей по киберпреступности: «Конфиденциальность и защита данных» для ознакомления с типами информации, которые можно обнаружить с помощью этих устройств), данные, полученные из этих устройств, представлялись в качестве доказательств в судах (Maras andWandt, 2018). Например, в Соединенных Штатах данные из FitBit, сетевого устройства Интернета вещей, которое отслеживает состояние здоровья и физическую активность, были представлены в качестве доказательства убийства Конни Дабэйт (Altimari, 2018). Учитывая, что данные из сетевых устройств Интернета вещей представляются в качестве доказательств в судах, необходимо разрабатывать процедуры, стандарты и инструменты для проведения криминалистической экспертизы таких сетевых устройств (Maras and Wandt, 2018).
Целью этапа анализа является определение значимости и доказательственной силы свидетельств. Это делается, например, путем определения того, имеет ли рассматриваемое доказательство «тенденцию делать существование любого факта, имеющего значение для разрешения дела, более или менее вероятным, чем это было бы без этого доказательства» (Правило 401, Федеральные правила США о доказательствах) (см. модуль 6 серии модулей по киберпреступности: «Практические аспекты расследования киберпреступлений и цифровой криминалистики» для получения дополнительной информации).
Этап отчетности включает в себя подробное описание шагов, предпринятых на протяжении всего процесса цифровой судебной экспертизы, обнаруженных цифровых доказательств и выводов, сделанных на основе результатов цифровой судебной экспертизы и обнаруженных доказательств (см. модуль 6 серии модулей по киберпреступности: «Практические аспекты расследования киберпреступлений и цифровой криминалистики» для получения дополнительной информации). Искусственный интеллект (т.е. «вычислительные модели человеческого поведения и мыслительных процессов, предназначенные для рациональной и разумной работы»; Maras, 2017, p. 7) может использоваться для получения достоверных результатов. Однако использование искусственного интеллекта может создавать проблемы на этапах анализа и представления данных процесса цифровой судебной экспертизы, поскольку эксперты могут быть не в состоянии объяснить, как были получены эти результаты (Maras and Alexandrou, 2018).
ИСО/МЭК опубликовали дополнительные руководства по процессу цифровой криминалистики, которые охватывают: достоверность и надёжность инструментов и методов цифровой судебной экспертизы (ISO/IEC 27041:2015, Руководство по обеспечению пригодности и адекватности метода расследования инцидентов), а также этапы исследования (или анализа) и интерпретации процесса цифровой судебной экспертизы (ISO/IEC 27042:2015, Руководство по анализу и интерпретации цифровых свидетельств).
Эти стандарты не предназначены для нетрадиционных вычислительных систем, таких как облачные вычисления. Тем не менее, Cloud Security Alliance (Альянс безопасности в облаке) опубликовал документ под названием «Привязка криминалистического стандарта ISO/IEC 27037 к облачным вычислениям» с целью «нового истолкования руководства ISO 27037 для облачногоконтекста» (CSA, 2013, p. 130).
Для получения дополнительной информации см. здесь.
В настоящее время доступны руководства по передовой практике для определения и популяризации обоснованных и надежных процессов и результатов цифровой судебной экспертизы. В качестве примеров можно привести руководство по передовой практике, разработанное в США Научной рабочей группой по цифровым доказательствам, для компьютерно-технической судебной экспертизы, сбора цифровых доказательств и сбора данных для компьютерно-технической экспертизы, а также руководство по передовой практике Европейской Сети судебно-экспертных учреждений для судебной экспертизы цифровых технологий.
Эти стандарты и передовые практические методы используются с целью установления обоснованности и достоверности результатов цифровой судебной экспертизы. Во-первых, для того они были допустимыми, инструменты и методы, используемые в процессе цифровой судебной экспертизы, должны быть «научно обоснованными», то есть путем эмпирического тестирования должно быть доказано, что они дают точные результаты. Во-вторых, результаты цифровой судебной экспертизы должны быть достоверными, то есть одни и те же результаты должны быть получены в разных случаях с использованием одних и тех же данных, инструментов и методов (Maras, 2014; p. 48). В частности, результаты должны быть повторяемыми и воспроизводимыми. Результаты являются повторяемыми, когда одни и те же результаты цифровой судебной экспертизы получаются с использованием одних и тех же тестируемых предметов, оборудования, лаборатории и оператора (Maras, 2014, p. 48). Результаты являются воспроизводимыми, когда одни и те же результаты цифровой судебной экспертизы получаются с использованием одних и тех же тестируемых предметов, но с использованием разных видов оборудования, лабораторий и операторов (Maras, 2014, p. 49). Как отметил Национальный совет начальников полиции Соединенного Королевства, важным принципом практики цифровой криминалистики является способность «независимой третьей стороны… изучать эти процессы и достигать того же результата» (Принцип 3) (UK Associationof Police Chiefs, 2012, p. 6).
Антикриминалистика (или цифровая антикриминалистика) – это термин, используемый для описания «инструментов и методов, [используемых] для удаления, изменения, нарушения данных или иного влияния на доказательства преступной деятельности в цифровых системах, аналогично тому, как если бы преступники удалили доказательства с места преступления в физическом мире» (Conlan,Baggili, andBrietinger, 2016, p. 67). Методы антикриминалистики включают в себя сокрытие данных (например, шифрование, которое дополнительно рассматривается в модуле 10 серии модулей по киберпреступности: «Конфиденциальность и защита данных», и стеганография – практика сокрытия секретных данных, изображений, аудиозаписей, видеоматериалов и иного контента путем их встраивания в несекретные данные, изображения, аудиозаписи, видеоматериалы и иной контент), стирание артефактов и/или содержимого цифровых устройств (например, с помощью программного обеспечения, предназначенного для удаления отдельных или всех данных и/или содержимого устройств) и запутывание цифрового следа (например, тактика спуфинга (подмены), рассматриваемая в модуле 2 серии модулей по киберпреступности: «Основные виды киберпреступности»; ошибочная идентификация данных, дезинформация и/или фабрикация данных; и использование прокси-серверов, которые действуют как шлюз или посредник между запросами, направляемыми от цифровых устройств, подключенных к Интернету, в другие серверы) (Shanmugam, Powell, andOwens, 2011; Maras, 2014; BruntonandNissenbaum, 2016; Liskiewicz, Reischuk, andWolfel, 2017). Использование методов антикриминалистики затрудняет усилия по проведению цифровой судебной экспертизы (Caviglione, Wendzel, andMazurczyk, 2017).