Компыютерная криминалистика

Преступность, терроризм и психология. Заместитель директора Института судебных экспертиз по Жамбылской области Александр Черняховский и старший эксперт Института судебных экспертиз по Павлодарской области Андрей Троян разъяснили, что такое кибербезопасность и компьютерная криминалистика.

Словом, нашим эксперты буквально полгода назад провели практические курсы для сотрудников КНБ, МВД и экспертных служб ряда стран СНГ. На мероприятии также приняли участие и эксперты из Великобритании. Взаимодействие служб является очень важным для сотрудничества и расследования киберпреступлений на международном уровне.

В современном мире киберпреступления не только создают угрозы национальной безопасности, но и наносят множество личных и финансовых проблем для общества. За последние несколько лет, с применением кибератак и различных уязвимостей, совершенны кражи данных десятков миллионов кредитных карт и сотен миллионов личных фотографий.

Киберпреступления – значительная угроза современного миропорядка. Не признавая границ стран и государств, и их законы, киберпреступления наносят колоссальный ущерб информационной безопасности. Несанкционированный доступ к различного рода объектам, возможен благодаря ошибкам и уязвимостям в аппаратном и программном обеспечении, однако чаще всего все происходит в результате ошибок человеческого фактора. В реальной жизни вирусы распространяются воздушно-капельным путем, вирусы заражают клетку внедряя в нее свой генетический материал и используют ее для размножения. Люди заболевают и являясь носителями, распространяют вирус на других людей. Компьютерные вирусы действуют схожим образом.

Компьютерный вирус – вид внедренного программного обеспечения, он способен создавать копии самого себя, внедряться в код других программ, в системные области памяти, в загрузочные секторы, а также способен распространять свои копии по различным каналам связи. Пока мы пользуемся своими ноутбуками и смартфонами, за нашу информацию разворачивается настоящая охота. Хакеры придумывают все более сложные вирусы, а те, кто с ними борются, ведут разработки и наращивают защиту.

Самыми массовыми угрозами, ежедневно с которыми сталкиваются люди, это черви, трояны, фишинговые письма и большинство атак в интернете. Чуть «выше» находятся целевые атаки, то есть нацеленные на конкретных людей или организации, а «верхушку» венчает новинка нашего столетия – кибероружие.

STUXNET является первым в мире настоящим кибероружием. Это редчайшие и очень сложные вирусы, STUXNET для обычных пользователей не представляет опасность, обычные пользователи являлись переносчиками вируса, вирус «спал» на их устройствах, но попадая на промышленные контроллеры вирус просыпался и начинал диверсию, так на заводе по обогащению урана в Иране вышли из строя больше тысячи центрифуг, они должны были вращаясь разделять изотопы урана, но после заражения разогнались до такой степени что просто разлетелись. Иранская ядерная программа была отброшена на несколько лет назад.

Каждый хакер решает сам какую нишу ему занять и начинает бесконечную войну со специалистами по кибербезопасности.

При помощи вирусов хакерами захватываются миллионы компьютеров и различных гаджетов по всему миру, создаются «цифровые армии» – BotNet. С помощью таких «армий» ведутся массированные атаки, нацеленные на блокирование и отключение веб-ресурсов, что называется распределенной атакой типа «отказ в обслуживании» (Distributed Denial Of Service) сокращенно DDOS. При данной атаке хакер перегружает сайт жертвы огромным количеством запросов с разных точек мира, с обработкой которых атакуемый ресурс не справляется. Распределённая атака означает, что запросы идут одновременно от большого количества устройств, одним из которых может быть и Ваш зараженный смартфон или персональный компьютер.

Одним из распространенных способов, которым пользуются хакеры это рассылка множества писем для получения от людей ценной личной информации. Такая атака называется фишинг. Человек, переходя по фишинговой ссылке переходит на дублирующий web-сайт, который внешне ничем не отличается, к примеру, от действующего банковского сайта. Введя логин и пароль, жертва добровольно передает их хакеру, что позволяет использовать их для корыстных целей.

Для того, чтобы защитить свою личную информацию, необходимо следовать ряду правил – использовать сложные пароли, проверять подлинность web-сайтов, обновлять систему безопасности устройств, не устанавливать программное обеспечение из недостоверных источников. Таким образом, несоблюдение определенных правил безопасности, лицо, или целая организация, может быть подвергнута риску сохранности как личных данных и повлиять на безопасность сторонних людей и организаций. При наступлении факта или подозрения в преступлении в сфере информационных технологий приходит время для цифрового расследования, в том числе и компьютерной криминалистики.

Компьютерная криминалистика, является отраслью цифровой криминалистики, относящейся к доказательствам, найденным в цифровых устройствах. Цифровые устройства включают в себя стационарные компьютеры, ноутбуки, смартфоны, планшеты, камеры, различные гаджеты и устройства хранения данных. Задача эксперта состоит в приобретении, изучении, анализе и интерпретации информации, содержащейся в цифровых устройствах. Причем, сбор осуществляется с использованием признанных процедур, для максимально возможного обеспечения сохранности таких доказательств.

Компьютерная криминалистика требует знаний в широком спектре областей, связанных с вычислительными системами, такими как: знание нескольких операционных систем, знание различных файловых систем, понимание сетей, понимание интернет-технологий, знание типов атак и угроз.

Практика выявления и раскрытия киберпреступлений, свидетельствует о том, что такую работу целесообразно поручить специалистам по борьбе с киберпреступностью. Причем специалистом должен быть не только эксперт, но, и следователь, и оперативный сотрудник. Судебные эксперты выполняют различные решения поставленных задач, но важным моментом является, то, какие вопросы поставит следователь на разрешение эксперта, а также какие объекты и в каком виде их предоставят. Не маловажным моментом в оперативно-следственных действиях является изъятие и сохранение объектов исследования от постороннего, а может быть и удаленного, вмешательства. Оперативными сотрудниками и следствием, перед назначением экспертизы должно быть установлено как можно больше информации: возможные участники преступления; какое программное обеспечение, в том числе вредоносное, могло быть использовано; на что была направлена и к каким последствиям привела та или иная атака и т.д. Данная информация может быть изложена в фабуле постановления о назначении экспертизы, что в значительной степени может способствовать решению поставленных на разрешение эксперта вопросов, с минимизацией сроков производства экспертизы.

Для успешного следования темпам развития технологий, специалисты в области кибербезопасности различных направлений должны делиться друг с другом лучшим опытом, уметь взаимодействовать. В конце 2021 года состоялся региональный практический курс по расследованию киберпреступлений, в котором приняли участие и сотрудники РГКП Центр судебных экспертиз Министерства юстиции Республики Казахстан – заместитель директора Института судебных экспертиз по Жамбылской области Черняховский А.А. и старший эксперт Института судебных экспертиз по Павлодарской области Троян А.С. Курс был проведен командой экспертов Platinum 3P из Великобритании, в составе директора по кибернетике, расследованиям и разведке Джона Блейка и управляющего директора – бакалавра психологии, магистра организационной психологии Кэрол Брукс. Участниками мероприятия являлись сотрудники органов национальной безопасности, внутренних дел и экспертных служб Республик Узбекистан, Казахстан и Кыргызстан.

Целью данного курса являлось расширение возможностей командных расследований в сфере киберпреступлений на Международном уровне с применением опыта в области преступности, терроризма и психологии.

Согласно программе, были проведены лекции по поддержке расследований в сфере киберпреступлений и мероприятий, принимаемых следователем совместно с оперативными и экспертными службами, а также лекция о влиянии человеческого фактора при расследовании киберпреступлений. В процессе данных лекций участники были ознакомлены с международным уровнем расследований в сфере киберпреступлений и комплексом мероприятий, которые должен принимать следователь, оперативный сотрудник и привлеченный эксперт к расследуемому инциденту. Кроме того, было отмечено о влиянии человеческих факторов на принимаемые решения при расследовании киберпреступлений, такие как – рациональное восприятие, обучение, вера, мышление, эмоции и физическая реакция, действия и стремления, затронута когнитивная психология и обработка информации человеком. В процессе лекций обсуждались рациональные методы (эвристика) и необъективность при принятии определенных решений при расследовании, которые включали предвзятость восприятия, «эффект обрамления», «ловушка невозвратных затрат». Особое внимание уделено типам принимаемых решений, их последовательности и объективности.

В последующем группа участников была разделена на 4 международных команды, в состав каждой команды входил эксперт, оперативный сотрудник и следователь. Группам было поручено проведение расследования по заранее спланированному инциденту. Внимание уделялось непосредственно на распределение ролей, выборе лидера и взаимодействие состава команды при расследовании данного инцидента. Каждой группой была выполнена презентация, с предоставлением доказательственной базы, полученной из представленных улик. Причем, для эффекта реального расследования, улики и доступ к ним постоянно изменялись на протяжении всего практического треннинга. Докладчиками от каждой группы были предоставлены презентации с подробными пояснениями, в том числе и интерпретацией полученных доказательств, а также предложением разработки определенных версий по расследованию инцидента.

По окончании курса, участникам, вручены сертификаты о признании их компетентными исследователями-практиками в области кибер-расследований.

Проведенные практические курсы показали значимость взаимодействия различных служб и органов не только одной конкретно взятой страны, а необходимость сотрудничества при расследовании киберпреступлений на международном уровне.