Полицейская и следственная деятельность
Правильная ссылка на статью:

Средства и методы осуществления оперативно-разыскного мероприятия получение компьютерной информации

Мамлеев Радик Римлянович

кандидат технических наук

доцент, кафедра вычислительной техники и защиты информации, Уфимский государственный авиационный технический университет

450092, Россия, Республика Башкортостан, г. Уфа, ул. С. Перовской, 23

Mamleev Radik Rimlyanovich

PhD in Technical Science

Associate Professor, Department of Computer Science and Information Security, Ufa State Aviation Technical University

450092, Russia, respublika Bashkortostan, g. Ufa, ul. S. Perovskoi, 23, kv. 79

mrradik@mail.ru

DOI:

10.7256/2409-7810.2016.4.20785

Дата направления статьи в редакцию:

19-10-2016


Дата публикации:

31-01-2017


Аннотация: Статья посвящена обоснованию приемов и способов проведения нового оперативно-разыскного мероприятия – получение компьютерной информации. На основании введения граничных условий для выделения типового объекта подлежащего исследованию в рамках проведения оперативно-разыскного мероприятия сформулированы частные подходы к организации проведению оперативно-разыскного мероприятия получение компьютерной информации. Сделан анализ перспектив развития оперативно-разыскной деятельности в сфере компьютерных технологий. Уточнена классификация программных и программно-технических средств, предназначенных для негласного получения компьютерной информации. Автором анализируются особенности объектов оперативно-разыскной деятельности в сфере компьютерной информации. Проводится сравнительный анализ типовых программно-аппаратных средств представляющих интерес для субъектов оперативно-разыскной деятельности органов внутренних дел. Сделана попытка обосновать общие принципы проведения оперативно-разыскных мероприятий связанных с получением компьютерной информации в зависимости от топологии исследуемых компьютерных систем. Обоснованы средства и методы требуемые при проведении оперативно-разыскного мероприятия "получение компьютерной информации". Определены граничные условия проведения рассматриваемого оперативно-разыскного мероприятия.


Ключевые слова:

оперативно-разыскная деятельность, компьютерные технологии, оперативно-разыскные мероприятия, получение компьютерной информации, специальная техника, компьютерная криминалистика, вычислительные устройства, оперативно-разыскная ситуация, компьютерная информация, доступ к информации

Abstract: The article is devoted to methods and means of conducting investigative activities aimed at obtaining computer information. Based on introduction of boundary conditions in order to define a typical object to be researched as part of conducting an investigative activity, the author describes specific approaches to the preparation of such investigative activity aimed at obtaining computer information. The author analyzes development prospects of investigative activity in the sphere of computer technologies and clarifies a classification of programmed and technical means designated for unofficial obtaining of computer information. The author analyzes particularities of objects of investigative activity in the sphere of computer information and conducts a comparative analysis of typical programmed devices that may be interesting for the actors of investigative activities conducted by internal affairs. The author also makes an attempt to substantiate general principles of conducting investigative activities aimed at obtaining computer information depending on the classification of computer systems under research. The author also substantiates means and methods required to conduct an investigative activity 'obtaining computer information' as well as outlines boundary conditions for conducting an investigative activity under research. 


Keywords:

operatively-search activity, computer techologies, operational-search events, obtaining computer information, special equipment, computer forensics, computing devices, operational-search situation, computer information, access to information

Средства и методы осуществления оперативно-розыскного мероприятия получение компьютерной информации

Анализ практики раскрытия преступлений в сфере компьютерной информации, позволяет утверждать, что единой схемы проведения мероприятий, связанных с получением компьютерной информации (ПКИ) или законченного набора программ для проведения этого оперативно-розыскного мероприятия (ОРМ) в настоящее время не существует. [1]

Это вполне закономерно, не только потому, что мероприятие было недавно добавлено в Федеральный закон «Об оперативно-розыскной деятельности» 20 июля 2016 года (ФЗ № 374 от 6 июля 2016 года), но и объясняется множеством неопределенных ситуаций возникающих как состоянием исследуемой КС, так и особенности архитектуры (топологии системы). Так, например, не существует единого мнения по алгоритму действий оперативных работников при ПКИ в КС включенной на момент осмотра в сетевой обмен.

Выключение КС из сети позволяет минимизировать потенциальный ущерб раскрытия, – если существует потенциальный нарушитель, он поймет, что его присутствие открыто, и, заметая следы, может уничтожить данные на доступных ему компонентах сети. С другой стороны анализ трафика сетевых соединений включенной КС – позволяет к примеру, определить список активных соединений и проанализировать генерируемый трафик, выявив цели и задачи, решаемые на объекте ПКИ.

Кроме того, учитывая «человеческий фактор» подчеркнем, что ОРМ ПКИ направлено на сбор информации ориентированной на выявление фактов взаимодействия «человек – машина – последствия», обладающих (по субъективным причинам) большой степенью неопределенности, мы поддерживаем мнение А. Л. Осипенко о том, что «подробное описание всех особенностей практического осуществления ОРМ ПКИ не представляется возможным» [2].

Как правило, в условиях неопределенности выбор средств и методов проведения любого ОРМ зависит от того, каков объем времени отводится на проведение операции и есть ли дополнительная информация об исследуемой системе, но в любом случае, основная задача при ПКИ всегда связана с получением копии КИ, находящейся на машинных носителях информации целевой КС.

Таким образом, можно констатировать, что исходя из задач оперативно-розыскной деятельности оперативно-розыскное мероприятие получение компьютерной информации это совокупность средств и способов исследования компьютерной системы с целью обнаружения и документирования материальных следов, сопутствующих подготовке или совершению преступлений, которые могут содержаться в КС в форме электрических сигналов, независимо от средств их хранения, обработки и передачи. Независимость электрических сигналов от средств хранения, обработки и передачи отмечена в примечаниях к статье 272 Уголовного кодекса Российской Федерации, что дает основания для проведения ПКИ в отношении любых компонентов исследуемой КС, например роутера, TV-бокса или смартфона при установлении их принадлежности к домашней сети Wi-Fi [3].

Для гласного и негласного выявления и документирования электрических сигналов в автоматизированных средствах хранения, обработки и передачи, как правило, разработаны следующие способы ПКИ:

- бесконтактный акустический, визуальный и электромагнитный контроль побочных излучений интерфейсов связи и управления (с документированием получаемой информации);

- полное (побитовое) копирование содержимого отчуждаемых и встроенных машинных носителей информации;

- выборочное (пофайловое) копирование КИ, исследование данных в буферных зонах в машинных носителях и оперативной памяти, выделенных для связи КС с пользовательскими интерфейсами (дисплей, клавиатура, мультимедийные устройства, принтер и т.п.);

- инициированный перехват сигналов в каналах межсистемных соединений (кабели подключения периферийных устройств);

- копирование информации в удаленных, функционально сопряженных материальных и виртуальных («облачных» хранилищ) внешних носителях информации.

К техническим средствам осуществления данных способов можно отнести специальные аппаратные (АС) и программные средства (ПС) и программно-аппаратные средства (ПАС), предназначенные для негласного получения информации. Эти средства позволяют фиксировать потоки данных, циркулирующие в интерфейсах связи, снимать копии данных обмена (дампы памяти) в оперативной памяти, документировать состояние пользовательских интерфейсов, включая копии экранных изображений, последовательности нажатий клавиатуры, аудио и видео - интерфейс.

При использовании указанных средств следует обратить внимание на «Перечень видов специальных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации в процессе осуществления оперативно-розыскной деятельности» утвержденный Постановлением Правительства Российской Федерации № 770 1 июля 1996 года. В терминах постановления, гаджеты с перечисленным функционалом, рассматриваются, как технические устройства, предназначенные для негласного получения информации, а именно, как технические средства, запрограммированные для негласного получения информации.

Выбор конкретных средств, форм и методов реализации любого ОРМ, в том числе и ПКИ, осуществляется инициатором ОРМ, с учетом соблюдения конституционных прав и процессуальных норм, затрагивающих интересы объекта разработки. Следует отметить, что указанные требования обоснованности и законности распространяются на ОРМ, осуществляемые посредством удаленного доступа к КС, который получил широкое распространение в связи с появлением многочисленных систем т. н. «родительского контроля». Законность применение подобных программ широким кругом пользователей многочисленных КС заслуживает отдельного рассмотрения, поэтому в данной работе рассматриваться не будет.

Тем не менее, функционал многочисленных программ «родительского контроля» (по результатам опросов оперативных работников подразделений МВД РФ, проходящих курсы повышения квалификации в Уфимском юридическом институте МВД России) включает в себя полный набор сервисов, наиболее востребованных в оперативно-розыскной деятельности. Так, к примеру, программа «родительского контроля» FlexiSPY с годовым обслуживанием 390 долларов, при установке на смартфон с любой операционной системой позволяет, как минимум, осуществить:

- контроль и запись сотовых вызовов;

- контроль биллинга;

- контроль и запись VOIP-телефонии;

- контроль и запись окружения;

- перехват, блокировку и подмену СМС сообщение;

- перехват E-mail;

- обход блокировки телефона, экрана, приложений;

- контроль и слежение за местоположением по GPS;

- наблюдение на содержанием чатов WhatsApp, Facebook, Viber, Skype, Telegram, Tinder, Instagram;

- копирование мультимедиа-файлов, включая видео-, фото- и аудио-файлы;

- получение снимков с фронтальной и тыловой камер;

- удаленное управление перезагрузкой и запуском приложений с помощью СМС-команд;

- контроль и запись (логирование) Интернет-активности.

Справедливо будет отметить, что для программы мониторинга персональных компьютеров появились гораздо раньше и их функционал практически не отличается от перечисленных возможностей с той разницей, что локация местоположения заменена отслеживанием по IP-адресу и по объективным причинам отсутствует контроль сотовых вызовов.

Для большей конкретизации ОРМ ПКИ важно уяснить, что действия по удаленному получению КИ из КС ни по форме, ни по содержанию, не затрагивает круг задач, решаемых при проведении иных видов ОРМ, таких как контроль … иных сообщений, технических каналов связи или прослушивание телефонных переговоров.

Данное утверждение основано на выделении специального объекта ОРМ – компьютерной системе, основанной на типовых решениях и устоявшейся схеме организации вычислительных процессов. Конечно, кроме типовой топологии в Российской Федерации используются и специализированные вычислительные машины:

- в особых условиях, например в войсковой эксплуатации применяются цифровые вычислительные машины (ЦВМ) семейства «Аргон»;

- в специализированных системах хранения и обработки массивов информации применяют технологические комплексы SAN-NAS объединяющие специализированные серверы, объединенные в сеть, обособленную от корпоративной ЛВС;

- в транспортной инфраструктуре присутствует большое множество встраиваемых од­ноплатных IIK, в том числе BOX PC и Panel PC (вариант с дисплеем), которые по функционалу являются ARM-системами [3].

Тем не менее, по нашему мнению, ОРМ ПКИ, проводимое субъектами оперативно-розыскной деятельности МВД России связано с исследованием типовых пользовательских КС, получивших массовое распространение [4].

Следовательно, сужая рамки объекта проведения рассматриваемого ОРМ, задача выявления, оценки и фиксации оперативно-значимой информации ограничена топологией типовой КС, и в каждом конкретном случае решается в функциональном пространстве отдельно взятой КС.

Таким образом, для уменьшения степени неопределенности оперативно-розыскной ситуации, и обоснования частных способов осуществления ПКИ, можно ввести ряд ограничений:

1. Исследуемая КС – функционально и топологически ограничена в пространстве, контролируемом пользователем.

2. Информация, подлежащая исследованию, расположена и циркулирует только в функционально-связанных компонентах КС.

3. Процесс получения информации из КС не изменяет её функциональное состояние и связан только с фиксацией данных о состоянии запоминающих устройств и интерфейсов ввода и вывода в процессе функционирования и/или выключенном состоянии.

Введенные ограничения предполагают, что при проведении ПКИ, задачи взаимодействия с провайдерами и операторами связи полностью исключаются, хотя в отдельных случаях могут иметь место при проведении ОРМ на их стационарном оборудовании, безусловно являющимися компьютерными системами.

Получение информации из КС операторов и провайдеров связи, заслуживает отдельного рассмотрения, но по нашему мнению успешно решена в рамках выполнения законодательных актов Российской Федерации по внедрению в эти КС специальной аппаратуры контроля, получивших общепризнанную аббревиатуру – СОРМ [5-7]. В литературе, по не вполне понятным причинам, существуют разные трактовки СОРМ, и как «система оперативно-розыскных мероприятий», и как «средства обеспечения розыскных мероприятий», тем не менее, функционирование и развитие системы СОРМ полностью снимает вопросы получения компьютерной информации с КС стационарных объектов связи [8,9]. Эта задача полностью решена и лежит преимущественно в плоскости компетенций субъектов оперативно-розыскной деятельности Федеральной службы безопасности России.

Сужение рамок объектов применения ПКИ не умаляет ни важность и сложность проведения рассматриваемого ОРМ. Важность определяется ростом преступлений связанных с применением компьютерных систем, причем в качестве объекта компьютерных атак все чаще становятся мобильные устройства. Так по сведениям международной компании по предотвращению и расследованию преступлений в компьютерной сфере Group-IB, в 2016 году объем хищений «по отношению к аналогичному периоду 2014-2015 годов вырос на 471%. В России ежедневно жертвами становятся 350 пользователей Android-устройств». При этом отмечается, что кражи у пользователей ПК «сократились на 83%, до 6,4 млн руб.» [12]. Сложность обусловлена большим разнообразием применяемых устройств и приспособлений, именуемых в быту «гаджетами» и «донглами», а на самом деле являющимися одноплатными компьютерами, с успехом применяемыми не только для связи с сетью интернет, но зачастую специально перепрограммированные для задач конфиденциального обмена информацией по технологиям TOR, I2P, F2F, I2P, P2P для организации незаконной сетевой деятельности.

Таким образом, кроме определенных ранее, в качестве объектов ПКИ – персональных компьютеров, в настоящее время рассматриваются смартфоны, планшетные устройства и прочие программно-0управляемые устройства. То есть к объектам проведения ПКИ относятся все устройства, работа которых основана на использовании программно-управляемых вычислительных систем, предназначенных для автоматизированного ввода, хранения, обработки и передачи данных.

Обобщая сказанное, в круг задач проведения ПКИ входит получение КИ от любого компонента КС отвечающего признаку принадлежности к типовой компьютерной системе. Для уточнения способов и выбора средств проведения ОРМ следует рассмотреть упрощенную топологию КС в связке с функциональным назначением компонентов представляющих оперативный интерес с точки зрения выяснения значимых (для выбора средств ПКИ) сигнальных цепей и интерфейсов. См. Рис. 1.

maml1

1 – данные загрузки BIOS; 2 – данные загрузки операционной системы; 3 – данные промежуточной обработки КИ – файлы «подкачки»; 4 – временные данные обмена с периферийными устройствами; 5 – видео- данные дисплея; 6 – данные клавиатурного ввода; 7 – данные управления курсором; 8 – сигналы аналогового аудио-интерфейса; 9 – данные видеокамеры; 10 – данные файловой структуры; 11 – файлы операционной системы; 12 – файлы данных и прикладных программ; 13 – данные внешних носителей КИ; 14 – данные проводной связи (LAN); 15 – данные проводной связи (USB) 16 – данные беспроводной связи (WAN).

Рис. 1 Сигнальные цепи и топология обобщенной компьютерной системы

Начало работы КС заключается в загрузке базовой системы инициирования, в ходе которой проводится диагностика исправности составных компонентов системы, включая программные элементы. В КС данный этап (1) включает в себя считывание содержимого постоянного запоминающего устройства, отвечающего за загрузку базовой системы ввода и вывода (BIOS) и выбор носителя информации, предназначенного для загрузки операционной системы. В мобильных устройствах эти функции объединены в микропрограмме называемой «прошивкой» (firmware).

В практическом плане это означает, что ПКИ может производиться с использованием сторонней операционной системы (чаще всего специализированной OS), с использованием загрузки КС с внешнего отчуждаемого носителя данных (2), что позволяет получить доступ к КИ, исключая изменения в его файловой структуре. Здесь следует отметить, что прошивка мобильных устройств, представляет собой симбиоз BIOS и операционной системы, поэтому на стадии загрузки выбор операционной системы в них, как правило, не возможен. Однако при применении специализированного донгла (dongl (англ.) – компактное периферийное устройство, разъем которого смонтирован непосредственно на корпусе), например 4SE Dongle, который поддерживает практически все модели смартфонов под управлением распространенных OS таких как Android, Ios, Windows CE и позволяет считывать всю доступную информацию с устройства (данные о чипсете, OTP, детали флэш-памяти, подробную информацию о зоне безопасности и показывает все доступные опции устройства), обеспечивает разблокировку, блокировку оператора, восстанавливает поврежденные телефоны и файловую структуру.

После загрузки операционной системы командный процессор выполняет заданную OS систему команд над данными, поступающими из интерфейса связи с программами и пользователем КС, выгружая полученные промежуточные и конечные результаты во временные или буферные области оперативной памяти или встроенного накопителя (3,4) для ввода их в дальнейшую обработку или выдачу «заказчику» результата. В качестве «заказчика» могут выступать прикладные программы, оконечные устройства интерфейса пользователя или устройства связи. Указанные данные, как правило, удаляются при повторном выполнении программного кода, однако из данного правила существует большое количество исключений, которые позволяют либо использовать, либо восстановить временные файлы и буферные зоны носителя для использования в качестве источника оперативно-значимой КИ.

Анализ содержания оперативной памяти достаточно сложная задача даже для специалистов в области реверс-инжиниринга, но может быть осуществлена при применении сторонней загрузки OS, например Kali Linux (на платформе Debian), так как она содержит специальную утилиту – RAM Forensics Tools позволяющую «вытащить» информацию из оперативной памяти в виде содержимого рабочей памяти процесса (дампа).

При поступлении данных обработки в пользовательский интерфейс появляется возможность фиксировать состояние устройств вывода путем снятия копий экрана (не исключаю видеосъемку), цифровой видео- и звукозаписи (включая видео- и аудио-контроль окружающей КС обстановки), фиксации последовательностей данных, формируемых знако- синтезирующим и управляющим курсором устройств (5,6,7,8,9). Контроль перечисленных сигнальных интерфейсов, как правило, может осуществляться как программным, так и аппаратным методом (с предварительной установкой программной или аппаратной закладки), однако наличие в их организации радио-интерфейса позволяет организовать сбор уязвимых данных по технологии MITM (человек посередине), например наличие беспроводной мыши с радиоканалом 2,4 ГГц, позволяет в радиусе 5-10 метров несанкционированно подключить к КС дополнительную клавиатуру [11].

Наконец, как видно из функциональных связей КС, основным источником КИ является встроенный носитель информации, который представляет собой либо магнитный носитель информации (т. н. жесткий диск – HDD), либо твердотельный носитель информации (флэш-память или SSD), на котором расположены как минимум четыре важных класса информации: загрузочная запись (MBR), таблица размещения файлов (FAT, NTFS, EXT и т.п.), файлы операционной системы и пользовательские программы и данные (10, 11, 12).

Важно отметить, что функционал любых КС включает в себя задачу защиты от изменения или уничтожения первых двух указанных разделов встроенных носителей КИ, файлы программ как правило «привязаны» и к операционной системе и к месту записи данных и лишь пользовательские данные доступны для прямого копирования средствами OS без утери целостности. В этой связи, при необходимости получения точной копии носителя пользуются либо способом сторонней загрузки с побитовым копированием встроенных носителей информации в т. н. файл-образ на отчуждаемом носителе, либо (по возможности) извлекают носители и используют специальные дубликаторы – устройства побитового клонирования носителей.

При любом варианте реализации ПКИ, для сохранения доказательности и полноты КИ нельзя допустить:

- нарушения целостности;

- утрата или модификация меток авторизации;

- нарушения доступности;

- нарушения подлинности;

- утрата или модификация логов;

- взлом или модификация системы разграничения доступа.

В результате проведения рассматриваемого ОРМ должен быть получен «документ на машинном носителе», т.е. документ, созданный с использованием носителей и способов записи, обеспечивающих обработку его информации электронно-вычислительной машиной (ГОСТ Р 51141-98 «Делопроизводство и архивное дело. Термины и определения»). Для придания юридической силы, согласно ГОСТ 6.10.4-84 «Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники. Основные положения», как оригинал, так и дубликат (при снятии побитовой копии – образа диска) должен обязательно снабжаться следующими реквизитами:

- наименование органа - создателя документа;

- почтовый адрес;

- наименование документа;

- дату изготовления документа;

- Ф. И. О. ответственного за документ на машинном носителе;

- указание на то, что документ является дубликатом.

Заметим, что отчуждаемые носители информации могут быть использованы не только как средства для документирования получаемой в ходе проведения ОРМ КИ, и устройствами для запуска в исследуемой КС операционных систем предназначенных для криминалистического анализа (Forensic Tools), но и сами, являясь компонентами исследуемой КС, часто являются источниками важной доказательной информации. К ним относятся оптические носители, внешние накопители на магнитных или твердотельных дисках, флэш-накопители, карты памяти и сим карты [13].

Наличие в КС устройств проводной и беспроводной связи добавляет в функционал отдельно взятой системы признак принадлежности к классу распределенных компьютерных систем (РКС). Не вдаваясь в различные трактовки данного понятия, для упрощения описания примем за РКС набор пространственно-распределенных независимых компонентов, выполняющих задачи конечного пользователя. В качестве каналов организации связи могут использоваться Wi-Fi, Bluetooth, TransferJet, IR-DA.

Примером может служить стандартный набор домашнего использования, включающий Wi-Fi роутер, ПК, смартфон и смарт-TV (TV-box) и «облачное хранилище» (Drop box), объединенных в КС посредством организации одноранговой Wi-Fi сети (14,15,16). Здесь объединяющим звеном РКС является наличие роутера, позволяющего объединить все КС пользователя в единое информационное пространство в беспроводной сети Wi-Fi, при этом наличие стандартного интерфейса USB позволяет добавить эту возможность в любую КС, даже без роутера и проводного соединения с провайдером интернет. В данном случае процесс получение КИ может быть связан не только с осуществлением физического доступа в место расположения «основных» компонентов КС, но и с организацией доступа в «облачное хранилище», то есть виртуальному дисковому пространству, которое расположено удаленно.

Рассматривая указанные способы доступа к КС, можно обнаружить, что при классификации средств и методов проведения ПКИ уместно применить аналогию с использующимися в ОРД средствами акустического контроля помещений. Данные средства как минимум предполагают различия средств «устанавливаемых заходовыми (требующими проникновения на объект) методами» и «средств устанавливаемых беззаходовыми методами» [14].

В заключении хотелось бы подвести итоги проведенного обоснования средств и методов, доступных при проведения оперативно-розыскного мероприятия «получение компьютерной информации».

1. Целью мероприятия является выявление и документирование следов взаимодействия «человек – машина - последствия» в виде электрических сигналов связывающих компоненты компьютерной системы в функционально законченное устройство.

2. Фиксация электрических сигналов в неотчуждаемых и отчуждаемых устройствах хранения должно производиться данных путем побитового копирования для создания условий внешнего независимого от КС специального исследования.

3. Для сохранения следовой картины исследуемой КС желательно применять метод загрузки сторонней операционной системы.

4. При проведении ПКИ в зависимости от тактических задач и сложившейся оперативно-розыскной ситуации могут применяться программные или аппаратные закладки.

5. При реализации задач ОРД, в зависимости от сложившихся условий, соблюдении норм уголовно-процессуального права и соблюдения конспирации в рамках, которые «не противоречит требованиям законодательства Российской Федерации … об оперативно-разыскной деятельности, … а также не нарушает прав граждан» возможно использование «заходовых» и «беззаходовых» приемов проведения ПКИ. [15].

6. Применение программно-аппаратных средств при проведении ПКИ не должно нарушать целостность, доступность и подлинность КИ в исследуемой компьютерной системы.

7. Для конкретизации документального оформления результатов проведения оперативно-розыскного мероприятия получения компьютерной информации требуется не только внесение изменений в ведомственные нормативно-правовые акты, но и по всей видимости разработка отдельного наставления по организации и проведения данного мероприятия.

Библиография
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
References
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.