Противодействие сокрытию информационных следов при совершении преступлений

Чубейко Сергей Валерьевич

преподаватель кафедры информационного обеспечения

ОВД Ростовского юридического института МВД России

кандидат технических наук, доцент.

Черкасов Роман Иванович

преподаватель кафедры информатики и математики

Московского университета МВД России

имени В.Я. Кикотя кандидат технических наук.

Дьяченко Павел Евгеньевич

магистрант Академия управления МВД России.

The paper discusses the main methods of hiding computer information by cybercriminals. The features of obtaining computer information in a prompt response are described, and algorithms for the actions of police officers in this situation are presented.

Keywords: information traces, information hiding, obtaining computer information, evidence base, information technology.

Задача сбора и формирования доказательной базы по результатам проведения следственных действий является одной из важных задач в работе сотрудника органов внутренних дел. Процедура поиска следов преступлений, несмотря на регламентированность, несомненно, относится к творческим задачам, требующим всесторонних знаний, нестандартного мышления и широкого кругозора.

Процесс поиска и обнаружения материальных следов преступления в целом достаточно изучен и детально описан в руководящих документах, научной и специальной литературе и в течение достаточно длительного времени принципиально изменений не претерпел.

Этого, к сожалению, нельзя сказать о поиске информационных следов, способы и методы сокрытия которых развиваются вместе с эволюцией информационных технологий.

Устойчивая тенденция взрывного распространения инновационных технологий стимулирует интерес к ним преступного сообщества как к инструментам реализации новых сценариев преступлений и возможного сокрытия их следов. В связи с этим рассмотрение вопроса поиска информационных следов преступлений позволит расширить возможности сотрудников полиции в этой области и увеличить раскрываемость правонарушений.

В связи с ограниченным количеством в органах внутренних дел специалистов в области информационных технологий, а также для принятия оперативных решений, сотрудникам полиции необходимо иметь основные понятия в области информационной безопасности, знать стандартные алгоритмы действий при получении информации в электронном виде, владеть методами сокрытия данных в компьютерных системах [1].

Сотрудниками полиции изымать информацию необходимо оперативно, чтобы злоумышленник не смог изменить или удалить log-файлы, то есть файлы с записями о событиях в хронологическом порядке, только после этого целесообразно приступать к исследованию самих файлов. Если анализировать сразу log- файлы, то необходимо достаточное количество времени, при этом злоумышленник может воспользоваться и уничтожить важную информацию [2].

Также необходимо отдельно рассмотреть журналирование линейки операционной системы Windows. Каждая версия операционной системы имеет свои особенности, но есть общие принципы.

При получении компьютерной информации важно знать месторасположение временных файлов, как самой операционной системы, так и отдельных программ.

Временные файлы операционной системы Windows располагаются в следующем каталоге: %SystemRoot%\Temp. В Unix-подобных операционных системах временные файлы могут находиться в специальной папке /tmp, которая находится в корневом каталоге.

Сотрудникам полиции необходимо обращать внимание на хранение данных в программе Microsoft Word, являющейся наиболее распространенной программой для создания текстовых документов. Данная программа имеет папку для автосохранения «C:\Users\User\ AppData\RoamingYMicrosoftYWord\» и папку для расположения локальных файлов по умолчанию «C:YUsersYUserYDocuments\». Данные каталоги можно изменить в параметрах программы, однако в данных директориях можно найти файлы, которые были в них сохранены до изменения настроек программы, что часто помогает сотрудникам органов внутренних дел получить необходимую информацию при расследовании преступлений.

Если рассматривать специализированные программы, то автоматическая фиксация всех действий на компьютере в виде журналирования и временные файлы будут находится в различных местах в зависимости от параметров настройки и установки программы, поэтому при поиске информационных следов, необходимо заранее изучить специфические возможности обнаружения и получения необходимых файлов.

Существует достаточно большое количество способов получения информации [3], и при этом сложность данного процесса напрямую зависит от того, какие данные необходимо получить, а также была ли необходимость сокрытия информации.

Зачастую, перед изъятием компьютерной техники правоохранительными органами для проверки, подозреваемый пытается уничтожить всю компрометирующую его информацию или, если это не представляется возможным, скрыть максимальное количество данных. Для эффективной борьбы с такими действиями, необходимо понимать принцип сокрытия информации [4].

Существуют большое количество различных методов для утаивания информации от простых до достаточно сложных, требующих высокой квалификации и специализированного программного обеспечения.

Для лучшего понимания того, каким образом строить тактику поиска информационных следов преступлений, совершенных с помощью компьютерной системы, рассмотрим некоторые особенности хранения информации в типовой компьютерной системе и методы сокрытия информации.

Один из наиболее простых способов - это перемещение файлов в другие директории. При этом файлы продолжают храниться на компьютере в том же виде. Данные файлы легко найти, указав соответствующий шаблон поиска, например, для поиска по расширению шаблон может выглядеть следующим образом: «*.doc», «*.xlsx», «*.jpg» [5]. Данный метод является наиболее примитивным, но для пользователя начального уровня он вполне доступен. Поиск можно осуществлять как стандартными средствами операционной системы, так и файловыми менеджерами, такими как FAR или Total Commander.

Второй метод - скрытие в архиве. Данный метод предполагает сжатие нескольких файлов в архив, при этом, скомбинировав данный метод с первым способом, эффективность увеличивается. Найти файлы можно, указав в поиске «искать в архивах».

Метод переименования файлов выглядит так же просто, как и первый. Однако в зависимости от уровня пользователя его можно разделить на простой способ (меняется только имя файла и не меняется расширение, при этом поиск может быть осуществлен, как и в первом случае), и способ более сложный (если пользователь меняет расширение, в данном случае поиск должен осуществляться не по имени самого файла, а по его содержимому). Для определения типа файла можно осуществлять поиск по начальным символам файла, например, все файлы с расширением «tiff» можно найти по шаблону «II*». При этом пользователь должен иметь расширенные знания в области файловой структуры и типов файлов в «255», удерживая клавишу «Alt». При этом имя файла становится пустым. Если иконку папки сменить на пустую, то визуально она отображаться не будет. На рисунке 1 представлена одна папка без иконки, другая - без имени. Если скомбинировать эти два свойства на одной папке, то она станет визуально недоступной, но продолжит фактически существовать. Если в папке будут находиться другие файлы, визуально это будет заметно, если же папка будет единственной, то заметить ее довольно сложно.

Более сложный способ с переименованием папок заключается в имитации системной папки, при этом каталог принимает вид «Font. {A4324A20-A2BA- 1843-A3DD- 08881230335}». Данный алгоритм несложно обнаружить, если пользователь достаточно хорошо знает структуру системных папок. Например, если в папке «Мои документы» находится ссылка, например, на папку «Панель управления».

сокрытие информационный след преступление

Рис. 1. Пример

При сокрытии информации также используются атрибуты файлов. Самый распространенный атрибут - «скрытый», в чем и есть его основной функционал. При этом поиск файлов является стандартным, достаточно настроить отображение скрытых файлов и папок, поэтому данный метод применяют начинающие пользователи.

Один из наиболее распространенных методов ввиду своей простоты является переименование папки. Рассмотрим нетривиальный случай при работе с папками. Необходимо одновременно убрать иконку папки и скрыть ее наименование. Для того чтобы скрыть наименование папки, необходимо ее переименовать скрытия папки

В статье рассматривается вопрос именно о получении информации, поэтому архивация с шифрованием также относится к методам сокрытия информации. Однако в рамках данного вопроса необходимо только найти файл, более детальное изучение полученных данных возлагается на экспертов-криминалистов в рамках компьютерной экспертизы. Поэтому мы не будем рассматривать вопрос, касающийся паролей и шифрования. В данном методе происходит обнаружение самого заархивированного файла, при шифровании ни сами файлы, ни их имена получить стандартными средствами невозможно. Поэтому констатируем факт сокрытия информации.

Существуют специальные программы для скрытия файлов, которые необходимо предварительно установить на компьютер. Они реализуют рассмотренные методы, однако, если на компьютере установлена такого рода программа, то можно говорить о факте сокрытия информации. И после ее деинсталляции все скрытые файлы будут доступны. Обычно данные программы работают с парольной защитой, поэтому, не зная пароля, удалить ее стандартными средствами не представляется возможным.

Установка данных программ не целесообразна и используется обычно начинающими пользователями, так как создается защищенная папка, где хранится информация. Сотрудникам правоохранительных органов, достаточно проработать содержимое данной папки. Примером такой программы является Symantec, создающая папку «NORTNON PROTECTED». Очевидно, что профессионалы не будут хранить важные документы в данной папке.

Довольно распространенным методом сокрытия информации является использование виртуальных дисков. Принцип заключается в создании шифрованного файла большого объема (100 Мб и больше) и монтирование его как диск, то есть создание нового логического диска на компьютере. Эффективность этого метода достаточно низкая, так как найти файл такого размера не составляет труда. Основной принцип заключается в том, что операционные системы линейки Windows дают возможность подключать и отключать диски. Если диск отключен, то он невиден, пока не запустится любой дисковый редактор. Данный метод является достаточно эффективным, средствами поиска информацию найти невозможно. Основной минус заключается в том, что после запуска логического диска все файлы появляются в открытом доступе.

Метод стеганографии позволяет изменять содержимое файлов [6], в основном графических или видеофайлов, оставляя при этом основную функциональность, так как человеческий глаз не в состоянии отличить визуально небольшие искажения в файлах такого рода [7].

Если неизвестно, при помощи какого инструмента была спрятана информация и в каком именно файле она спрятана, то сотруднику правоохранительных органов на этапе получения компьютерной информации достаточно предотвратить возможность уничтожения соответствующих данных и точного определения физического месторасположения файла (сервер, компьютер, жесткий диск, съемный носитель). Дальнейший анализ производится в рамках компьютерной экспертизы.

Сложным для обнаружения сотрудниками полиции является метод перехвата функций Windows. Смысл заключается в перехвате запросов операционной системы Windows к диску и выдаче значений с фильтром. При помощи данного фильтра, даже если файл существует, операционная система выдает его отсутствие. При этом, если удалить фильтры, операционная система Windows опять будет работать правильно. Так как этот метод рассчитан на специалистов, то обычно при удалении данных настроек может потребоваться достаточно большое время на восстановление.

Сокрытие информации также возможно средствами настройки главной файловой таблицы Windows (MFT). Главная файловая таблица - это база данных, в которой хранится информация о содержимом тома с файловой системой NTFS, представляющая собой таблицу, строки которой соответствуют файлам тома, а столбцы - атрибутам файлов. Хорошо владея принципами работы MFT, можно оперировать с подменой данных и индексами объектов, тем самым скрывать нужную информацию. Начиная с этого метода, инструментов для решения данных задач нет, необходимо опираться на квалификацию специалиста, поэтому эти способы считаются наиболее сложными в реализации и требуют дополнительного повышения квалификации сотрудников органов внутренних дел [8].

Существуют методы сокрытия информации, которые нельзя распознать без специализированной обработки данных. К ним относится данные, спрятанные в секторах файловой системы. Сектора имеют фиксированный размер, например, 64 Кб, когда реальный размер файла может быть меньше, например, 20 Кб. Такой метод работает с оставшейся частью сектора. При этом оригинальные файлы остаются без изменений и общий объем информации не увеличивается. Данный метод используется специалистами высшей квалификации.

Удаление файлов также можно отнести к укрытию информации, так как при стандартном удалении физического удаления с жесткого диска не происходит. Рассматриваемый метод - это большой блок, в рамках которого исследуется удаление файлов и средства их восстановления программным и аппаратным способом, причем из-за разнообразия подходов он является наиболее сложным.

Обобщая все известные методы сокрытия данных, можно сделать вывод, что никакие из них не могут предотвратить обнаружение информации. Если документы в электронном виде нуждаются в защите, то они должны быть зашифрованы. Сотрудникам органов внутренних дел необходимо комплексно подходить к существующей проблеме, чтобы комбинировать затраченные силы на поиск скрытых файлов, минимизируя затраты и используя наиболее эффективные алгоритмы.

Рассмотренные методы на первый взгляд кажутся узкоспециализированными и относящимися к специалистам в области информационной безопасности, однако, реалии современного мира показывают, что совершение преступлений с применением информационных технологий постоянно усложняется, видоизменяется и прогрессирует. При этом не всегда есть возможность выезда специалиста в области информационных технологий при изъятии электронных носителей информации, которые впоследствии будут использоваться как доказательная база [9]. Данные функции зачастую приходится выполнять сотрудникам полиции. При этом электронные документы имеют свои особенности. Достаточно легко можно удалить или скрыть нужную информацию без непосредственного доступа к физическому объекту, средствами удаленного управления, используя при этом минимальное количество ресурсов и времени. Поэтому крайне важно сотрудникам правоохранительных органов иметь соответствующие знания в области уничтожения и сокрытия информации, а также достаточно оперативно изымать компьютерную технику, а также при этом необходимо постоянно следить за лицами, у которых изымается техника [10]. Так как, обычно, доказательством служит не сама техника, а информация, находящаяся на накопителях. Особенно важный момент при работе сотрудников в организациях с «тонкими клиентами», когда все или большую часть задач по обработке информации переносится на сервер. При изъятии компьютеров с «тонкими клиентами» информации на данной техники нет по определению, и работа сотрудников органов внутренних дел может оказаться безуспешной. При этом времени для изъятия данной техники может оказаться достаточно, чтобы злоумышленник успел скрыть или удалить необходимую информацию на сервере.

Иногда, при не возможности изъятия серверов, на рабочем месте также можно найти необходимые доказательства, использую рассмотренные выше методы, например, проанализировав временные файлы.

Систематизация существующих методов сокрытия информации позволяет сотрудникам органов внутренних дел эффективно противодействовать злоумышленникам, владеющими современными информационными технологиями и предотвращать уничтожение доказательной базы на этапе получения компьютерной информации.

Литература

1. Евтеев С.П. Получение компьютерной информации: нерешенные вопросы и возможности использования результатов оперативнорозыскной деятельности в уголовном процессе // Вестник Всероссийского института повышения квалификации сотрудников Министерства внутренних дел Российской Федерации. 2017. № 1 (41).

2. Бахтеев Д.В. О некоторых способах сокрытия и обнаружения компьютерной информации // Сборник материалов криминалистических чтений. 2017. № 14.

1. Козлов В.Е. Отдельные аспекты получе- ния криминалистически значимой информации при осуществлении противодействия компьютерной преступности // Вестник Академии МВД Республики Беларусь. 2016. № 1 (31).

2. Головин М.В. Виды способов сокрытия информации в ходе расследования преступлений // Труды Кубанского государственного аграрного университета. 2012. № 35.

3. Зайцева А.В. Методы сокрытия информации в jpeg-файлах // Естественные и технические науки. 2007. № 4 (30).

4. Зубрицкий П.Ю., Лавлинский В.В. Анализ существующих стеганографических методов сокрытия информации в файлах компьютерных сетей // Инженерная физика. 2010. № 4.

5. Полищук А.А., Романчук Р.А. Сокрытие информации используя аудио стеганографию // Актуальные научные исследования в современном мире. 2018. № 2-1 (34).

6. Васюков В. Ф. Осмотр, выемка электронных сообщений и получение компьютерной информации // Уголовный процесс. 2016. № 10 (142).

7. Павлюков В.В. Правовые аспекты получения и защиты компьютерной информации в сети Интернет // Вестник дальневосточного юридического института МВД России. 2017. № 3 (40).

8. Исайчев С.А. Системный подход к анализу поведения человека в процессе умышленного сокрытия информации // Восьмая международная конференция по когнитивной науке. 2018.

9. Evteev S.P. Getting computer information: unresolved issues and opportunities for using the results of operational search activities in criminal proceedings. Bulletin of the all-Russian Institute for advanced training of employees of the Ministry of internal Affairs of the Russian Federation. 2017. № 1 (41).

10. Bakhteev D.V. on some methods of hiding and detecting computer information. Collection of materials of forensic readings. 2017. № 14.

11. Kozlov V.E. Certain aspects of obtaining criminalistically significant information in the implementation of counteraction to computer crime. Bulletin Of the Academy of the Ministry of internal Affairs of the Republic of Belarus. 2016. № 1 (31).

12. Golovin M.V. Types of ways to conceal information during the investigation of crimes. Proceedings of the Kuban state agrarian University. 2012. № 35.

13. Zaitseva A.V. Methods of hiding information in jpeg files. Natural and technical Sciences. 2007. № 4 (30).

14. Zubritsky Y.P., Lalinsky V.V. Analysis of existing methods of steganography hiding information in the files of computer networks. Engineering physics. 2010. № 4.

6. Polishchuk A.A., Romanchuk R.A. Hiding information using audio steganography. Current scientific research in the modern world. 2018. № 2-1 (34).

15. Vasyukov V.F. Inspection, seizure of electronic messages and obtaining computer information. Criminal proceedings. 2016. № 10 (142).

16. Isaichev S.A. System approach to the analysis of human behavior in the process of deliberate concealment of information. Eighth international conference on cognitive science. 2018.

Размещено на Allbest.ru