Существуют ли эффективные методы противодействия форензике?
Сегодня невозможно себе представить современное общество без компьютера, сотового телефона, цифровой фото- и видеокамеры, пластиковой карты, современных информационных и телекоммуникационных систем и технологий. С другой стороны, по оценкам и российских, и зарубежных ученых, приходится наблюдать нарастающие темпы использования этих технологий в криминальной среде.
В общем, неудивительно, что «появление информационных цифровых технологий и их проникновение во все сферы жизнедеятельности современного общества и государства стали объектом пристального внимания ученых-криминалистов». В литературе появилось большое количество работ под названиями "компьютерная криминалистика", "цифровая криминалистика", "форензика", позиционирующиеся как науки о раскрытии преступлений, связанных с компьютерной информацией, изучающей вопросы исследования доказательств в виде компьютерной информации, методы поиска, получения и закрепления таких доказательств применительно к российскому законодательству.
Форензика — это, в общем-то, принципиально новый вид деятельности при работе с цифровыми следами преступлений. Специфический характер цифровых следов требует использования новых технико-криминалистических средств, выработки новых стандартов объективности, проверки, достоверности и оценки цифровых доказательств. Специфичность цифровых следов проявляется в том, что компьютерные данные мгновенно меняются, они невидимы для человеческого глаза — их можно рассматривать только с применением обычных компьютерных средств или специального экспертного оборудования и проведения соответствующих процедур.
Совершенно прав, говоря о том, что «наше общество постепенно превратилось в цифровое, и внедрение IT-технологий день за днем будет только нарастать в будущем. <...> необходимо разработать правовую и методическую основу обращения с цифровыми доказательствами в процессе доказывания в уголовном и других видах судопроизводств. Необходимо стандартизировать подготовку специалистов и выработать стандарты в области предварительного исследования цифровых следов, производства компьютерной экспертизы». Однако сегодня мы хотим поговорить о том, как обстоят дела на противоположном конце маятника, и существуют ли на сегодняшний день эффективные методы противодействия форензике.
Начнем с того, что такое вообще анти-форензика, или анти-цифровая криминалистика. Нам представляется, что лучше всего ее предмет определил Скотт Беринато в своей статье «Повышение анти-криминалистики»: «Анти-криминалистика - это больше, чем технология. Это подход к криминальному взлому, который можно резюмировать следующим образом: сделать так, чтобы им было трудно найти вас, и им было невозможно доказать, что они вас нашли».
Коротко говоря, есть три основных эффективных метода противодействия криминалистическому цифровому анализу: 1) криптография, то бишь шифрование ваших данных, 2) их сокрытие, или стеганография, и, разумеется, 3) уничтожение.
Одним из наиболее часто используемых методов противодействия компьютерной криминалистике является шифрование данных (криптография) . В своей презентации, посвященной шифрованию и методологиям защиты от криминалистики, вице-президент по безопасным вычислениям Пол Генри назвал шифрование «кошмаром для криминалистов».
Большинство общедоступных программ шифрования позволяют пользователю создавать виртуальные зашифрованные диски, которые можно открыть только с помощью указанного ключа. Благодаря использованию современных алгоритмов шифрования и различных методов шифрования эти программы делают данные практически невозможными для чтения без указанного ключа. Широкая доступность программного обеспечения, содержащего эти функции, ставит цифровую судебную экспертизу в очень невыгодное положение.
Стеганография — это метод, при котором информация или файлы скрываются в другом файле в попытке скрыть данные, оставив их на виду. «Стеганография производит темные данные, которые обычно скрыты внутри светлых данных (например, незаметный цифровой водяной знак, скрытый внутри цифровой фотографии)». В компьютерный мир стеганография изначально вошла как метод сокрытия определенного сообщения в другом (которое является заведомо бóльшим), таким образом, что невозможно увидеть присутствие или смысл скрытого сообщения. А в наши дни – это цифровая стратегия сокрытия файла в мультимедийном формате: картинке, звуковом файле (wav, mp3) или видеосообщении.
Так или иначе, большинство специалистов вполне сходятся во мнении, что при правильном использовании стеганографические методы вполне способны нарушить или вовсе испортить процесс форензик-анализа.
Удаление (стирание) данных представляет собой программный метод на основе из перезапись данных , который стремится полностью уничтожить все электронные данные , находящиеся на жестком диске или других цифровых носителях с помощью нулей и единиц для перезаписи данных во всех секторах устройства. При перезаписи данных на запоминающем устройстве данные становятся невосстановимыми.
Методы, используемые при удалении цифровых данных, предназначены для безвозвратного удаления отдельных файлов или целых файловых систем. Этого можно достичь с помощью в том числе утилит очистки диска, утилит очистки файлов и методов размагничивания / уничтожения диска.
Запутывание цифровых следов охватывает различные методы и инструменты анти-форензики, в том числе очистители журналов, спуфинг (т.е. подмену айпи), дезинформацию, межсетевое переключение, зомбированные учетные записи, троянские команды.
Другие формы сокрытия данных включают использование инструментов и методов для сокрытия данных в различных местах компьютерной системы. Некоторые из этих мест могут включать «память, свободное пространство , скрытые каталоги, плохие блоки, альтернативные потоки данных и скрытые разделы», объясняет д-р Марк Роджерс из Университета Пердью (Индиана).
В общем и целом, наверное, можно согласиться с выводами практикующих криминалистов о том, что «недостатки в применении информационных, цифровых технологий для раскрытия и расследования преступлений обусловлены, с одной стороны, общими - организационными, правовыми вопросами применения криминалистической техники в целом. А с другой стороны, частными - научно-техническими, тактическими и методическими вопросами, определяющими возможности использования средств и методов, основанных на информационно-цифровых технологиях». Но, как учит нас диалектика, каждый тезис должен иметь и свой антитезис. И если недостатки форензики во многом обусловлены недостаточными знаниями и квалификацией «цифровых следователей», то почему же по другую сторону баррикад главные минусы должны быть какими-то принципиально иными?..
Таким образом, эффективность применения методов “анти-форензики”, как мы видим, напрямую зависит от того, насколько люди, которые их применяют либо намерены применять, сами ознакомлены с тем, что такое цифровая криминалистика или IT-расследование, для чего они нужны и какими стадиями обладают. Без этих знаний никакая успешная борьба с юристами, идущими по “цифровому следу”, будет невозможна в принципе. И на этом, в общем-то, позитивном выводе мы и закончим наш материал.
Впрочем, мы всегда будем рады продолжить этот разговор, в том числе и со специалистами в области права и криминалистики. А сделать это можно в том числе и записавшись на участие в Школе киберправа. Это специально разработанный нашими спикерами и тренерами курс повышения квалификации по современным законам и практикам в сфере цифрового права. В его рамках существует в том числе и модуль "Forensic & Digital evidence", посвященный как раз вопросам компьютерной криминалистики, сбору и закреплению цифровых следов, а также особенностям работы по уголовным делам, связанным с интернетом и информационными технологиями.
Очередная Школа киберправа пройдет в Москве с 20 по 24 июня 2022 года включительно. Но если вы хотите стать ее участником и больше узнать про цифровое право вообще и форензику в частности, то поторопитесь записаться — количество мест для наших слушателей ограничено!