Перевести страницу на:  
Please select your language to translate the article


You can just close the window to don't translate
Библиотека
ваш профиль

Вернуться к содержанию

Полицейская деятельность
Правильная ссылка на статью:

Проблемы расследований преступлений, совершенных с использованием облачных хранилищ в сети Интернет

Кузьмин Михаил Дмитриевич

аспирант, кафедры криминалистики, Юридического факультета, Московского Государственного Университета им. М.В. Ломоносова

119234, Россия, г. Москва, ул. Ленинские Горы, 1

Kuzmin Mikhail

Postgraduate at the Department of Forensic Science of the Faculty of Law of Moscow State University

119234, Russia, g. Moscow, ul. Leninskie Gory, 1

mikhail.d.kuzmin@gmail.com

DOI:

10.7256/2454-0692.2020.1.32413

Дата направления статьи в редакцию:

12-03-2020


Дата публикации:

19-03-2020


Аннотация: В статье рассматриваются основные проблемы, возникающие в связи с исследованием электронно-цифровых следов в сети Интернет, на примере облачных хранилищ данных. Описаны такие проблемы как физическая распределённость данных, трансграничный характер и юрисдикционные сложности в процессе расследования. Также анализируются вопросы взаимодействия с поставщиками и администраторами облачных хранилищ данных, оказывающие существенное влияние на процесс расследования.В заключении приводятся примеры наиболее часто встречающихся средств для получения и исследования компьютерной информации из облачных хранилищ. Основным методом исследования являлся диалектический метод анализа процессов цифровой среды, которая связана с функционированием и внутренней организацией сети Интернет. Также использовались сравнительно-правовой и формально логический методы. Основными выводами проведенного исследования является установление степени разобщённости и сложности транснационального взаимодействия между правоохранительными органами различных стран, также автор приводит современные способы поиска и анализа информации в облачных хранилищах и связанной с расследуемым деянием, а также возможности автоматизации поисковой деятельности.


Ключевые слова:

расследования, форензик, Интернет, облачное хранилище, облачные расследования, компьютерной информации, электронно-цифровые следы, трансграничный характер, преступления, распределенность данных

Abstract: The article considers the main problems connected with searching for digital traces on the Internet, particularly in cloud storages. The author describes such problems as physical distribution of the data, its cross-border character, and legal competence during the investigation. The author also analyzes the issues of interaction with providers and administrators of cloud storages which have a significant impact on the investigation process. The article contains the list of predominant means of acquiring and studying the information from cloud storages. The key research method is the dialectical method of analyzing the processes of the digital environment which is connected with the operation and internal organization of the Internet. The author also uses the comparative-legal and the formal-logical methods. The author defines the disunity and complexity level of transnational interaction between law-enforcement authorities of different countries and describes the modern ways of searching for and analyzing the information in cloud storages related to the act under investigation, and the possibilities of automation of investigation activities.   


Keywords:

investigations, forensic, Internet, cloud storage, cloud investigations, computer information, digital traces, transboundary nature, crimes, distribution of data

На современном этапе развития общества финансовые и экономические преступления приобретают всё более высокотехнологичный характер. Эта тенденция связана с процессами автоматизации финансовых транзакций и актов коммуникации. Например, сейчас крайне редко встречаются акции компаний в документарной форме, в основном компании выпускают бездокументарные акции, которые записываются на специальном счёте депо соответствующего реестродержателя. Также сложно себе представить человека, который связан с финансовой сферой или управлением компанией и не имеет электронной почты или мессенджера. Эти и другие цифровые помощники могут использоваться злоумышленниками, а кроме этого, хранят в себе много криминалистически значимой информации, которую необходимо использовать для расследования преступлений.

Та информация, которая обращается в компьютерных сетях, персональных компьютерах, смартфонах и периферийных устройствах, является компьютерной информацией, то есть сведениями (сообщениями, данными), находящимися в электронно-цифровой форме, зафиксированными на материальном носителе либо передающиеся по каналам связи посредством электромагнитных сигналов. При расследовании преступлений и правонарушений в финансовой сфере такая информация, если она имеет отношение к расследуемому событию, является электронно-цифровыми следами.

Во время расследования электронно-цифровые следы могут быть обнаружены в информационных системах, являвшихся объектом посягательства, орудием совершения преступления, или системах, которые зафиксировали факт неправомерных действий с данными. Поиском и анализом таких следов занимается компьютерная криминалистика, которую ещё часто называют «форензик». Текущий уровень развития этого направления экспертной деятельности позволяет анализировать информацию, находящуюся на различных электронных устройствах. Однако бизнес, а следом за ним и злоумышленники, активно используют в своей работе новейшие средства автоматизации бизнес процессов, одно из которых это использование инфраструктуры облачных хранилищ вместо традиционных собственных серверов и оборудования организации.

Поскольку информация, относящаяся к преступлениям, может храниться в облачном хранилище, проведение исследований в облачной среде представляет проблемы, с которыми не сталкивались традиционные экспертные исследования. Основными проблемами облачных экспертиз являются:

l отсутствие специальных инструментов;

l отсутствие доступа к информации;

l юрисдикция места физического нахождения хранилищ данных;

l недостаток знаний и опыта.

В отличие от традиционных компьютерных экспертиз, в которых есть четкие, указания и специальные инструменты для сбора доказательств, подходящих для представления в суде, для сбора доказательств в облачном хранилище в достаточной степени ещё не разработаны такие структуры или инструменты. Фактически, современные средства цифровой криминалистики не предназначены для работы в облачной среде.

Облачные вычисления усложняют сбор данных, поскольку облачные системы хранения не являются локальными, и, следовательно, у экспертов отсутствует физический доступ к данным, хранящимся в облаке. У исследователей при изучении традиционных локально размещенных систем, наоборот всегда есть возможность физического доступа к объекту хранения данных. Этот факт существенно усложняет процесс расследования, например, файлы, имеющие отношение к расследуемому деянию, находятся в облачном хранилище, в таком случае следователи не могут просто конфисковать компьютер подозреваемого и получить доступ к соответствующим файлам.

Отсутствие доступа к информации также означает, что клиенты облачных сервисов мало или совсем не знают о физическом местоположении своих данных. Из-за распределённой природы облачных хранилищ эксперту может быть неясно, какие данные доступны. Более того, если предприятие использует более одного провайдера облачных вычислений, бывает затруднительно выяснить, особенно в ситуации активного противодействия следствию, какой поставщик осуществляет хранение релевантных данных.

Кроме того, доступность данных, хранящимся на облачных серверах, для клиента таких сервисов может зависеть от условий договоров между поставщиками и клиентом. Поэтому в некоторых случаях может потребоваться пересмотр таких контрактов для определения обязательств поставщиков предоставить клиенту доступ к данным, хранящимся на серверах поставщика услуг по облачному хранению, а также о содействии расследованию преступлений, если данные имеют существенное значение для расследуемого дела.

Аналогичным образом, поставщики облачных сервисов не готовы к сотрудничеству с экспертами и следователями при расследованиях в облачном хранилище. Многие поставщики инфраструктуры облачных вычислений не предоставляют услуг или инструментов для сбора и анализа цифровых следов даже для своих клиентов. Не редка ситуация, когда клиенты облачных сервисов имеют ограниченный доступ к журналам и метаданным, связанным с информацией, которая принадлежит им и хранится на серверах провайдера.

При использовании облачных вычислений клиенты поставщиков облачных услуг не имеют физического контроля над носителями или сетью, в которой находятся их данные, и отсутствие такого контроля может усложнить работу по сбору данных, хранящихся в облачном хранилище.

Кроме того, на рынке этих услуг существует множество поставщиков облачных сервисов, и каждый имеет собственные правила, которые могут влиять на количество доступных данных, процедуры их хранения и права доступа. Провайдеры облачных вычислений могут вообще не поддерживать ведение своими системами журналов операций, что может минимизировать количество полезной информации, доступной в ходе расследования.

Облачные провайдеры могут хранить данные на серверах в разных местах по всему миру, и это также может иметь несколько последствий. Во-первых, сервера с электронно-цифровыми следами и иной компьютерной информацией, имеющей отношение к расследованию, могут быть физически расположены в разных местах, что приведет к существенному усложнению расследования, поскольку, помимо всего прочего, местоположение может определять юрисдикцию и правовые средства следователей и экспертов по их истребованию и исследованию. Таким образом, возможно, что данные, относящиеся к лицам в рамках одной организации, могут находиться в разных местах и юрисдикциях. Во-вторых, может быть неясно, где расположены серверы и хранилища данных. Необходимо учитывать, что каждая юрисдикция предъявляет различные требования к доступу к данным и их поиску, и защита конфиденциальности данных может зависеть от местоположения сервера, на котором хранятся соответствующие данные.

Использование данных, находящихся в облачном хранилище, в качестве доказательств также затруднено, поскольку в таких данных обычно не хватает следующей информации:

l как данные обрабатывались и кем;

l кто имел доступ к данным и когда к ним обращались;

l были ли данные объединены с данными других клиентов провайдера;

l кто предоставил данные для анализа (например, эксперт или сотрудник поставщика облачных вычислений);

l как данные были сохранены и кем.

В рамках традиционной вычислительной модели данные обычно используются исключительно одним субъектом, но в облачной среде поставщики выделяют ресурсы для нескольких пользователей в одной и той же физической инфраструктуре. Это возможно, поскольку поставщики облачных вычислений используют виртуальные сервера на одном физическом компьютере. И в этом типе инфраструктуры данные одного клиента хранятся в одной и той же физической инфраструктуре, используемой для хранения данных, принадлежащих другим клиентам. То есть каждый сервер, использующийся в качестве облачного хранилища, содержит файлы нескольких клиентов. Поэтому следователи не могут изъять серверы из дата-центра провайдера, не нарушая конфиденциальности многих других пользователей данного облачного хранилища. Например, если данные пользователя хранятся в физической системе, которая также содержит данные другого пользователя, которые необходимы для расследования, данные пользователя, не связанного с расследованием, могут быть непреднамеренно сохранены и исследованы во время экспертизы. В некоторых юрисдикциях непреднамеренный доступ к данным, не относящимся к расследованию, может нарушать законодательство о конфиденциальности. Кроме того, если провайдер облачных сервисов хранит данные нескольких клиентов на одном и том же физическом носителе-сервере, провайдер, вероятно, запретит любые попытки создать образ своих физических носителей, поскольку такой образ будет содержать данные других клиентов.

Даже если следователь сможет получить полный образ материального носителя данных провайдера, ему будет трудно интерпретировать полученные данные. Как правило, для извлечения полезной информации из образа носителей информации следователю необходимо знать служебную информацию о системе, с которой был создан образ, включая информацию об операционной системе, используемых программах и операциях по регистрации пользователей.

Однако ситуация с исследованием данных в облачных хранилищах меняется, активно разрабатываются и внедряются в следственную работу специальные программные комплексы, которые позволяют извлекать данные из облачных хранилищ. Первым на рынке специальных программ был «Модуль извлечения данных из облачных сервисов» проекта «Мобильный криминалист», также специалисты используют UFED Cloud Analyzer, EnCase Forensic и другие системы.

Общий порядок работы с этими программными средствами включает несколько этапов. На первом этапе осуществляется поиск данных необходимых для входа в специальные программы доступа к облачному хранилищу (так называемых «логинов» и «токенов»). Часто пароли хранятся на исследуемых устройствах в виде специальных файлов, многие программы предоставляют возможность идентификации файлов указанного типа. На следующем этапе осуществляется само извлечение данных из облачного хранилища с возможностью сортировки данных по типу, времени создания и изменения. Важной особенностью является документирование всего процесса извлечения данных («логирование»). Эта процедура позволяет подтвердить получение компьютерной информации из облачного хранилища без изменений и посторонних вмешательств. На следующем этапе осуществляется просмотр и анализ полученных данных. Удобство и скорость этого этапа зависит от интерфейса конкретной программы. Завершающим этапом является формирование отчёта, в некоторых случаях используется форма графиков или, например, автоматического нанесения меток на географическую карту, что упрощает работу с полученной информацией на дельнейших этапах расследования.

Вместе с тем, даже при использовании указанных программных комплексов сохраняется проблема доступа к данным в случае, если пароли и «токены» хранятся на другом устройстве и не были обнаружены следователем или экспертом. Возможно, в будущем будут разработаны более эффективные средства международного сотрудничества и местного законодательства, которые позволят оперативно получать физический доступ к данным, как один из вариантов решения указанной проблемы.

Библиография
1. Вехов В.Б. Криминалистическое учение о компьютерной информации и средствах ее обработки: диссертация ... доктора юридических наук. – Волгоград: Волгогр. акад. МВД России. 2008-561 с.
2. Нестеров А.Д., Баркалов Ю.М. Получение информации из облачных хранилищ при расследовании инцидентов в сфере информационной безопасности // Advances in Law Studies. 2015. Т. 3. № 2. С. 59-62.
3. Федотов Н.Н. Форензика – компьютерная криминалистика. М.: Юридический Мир. 2007-418 с.
4. Царегородцев А.В., Савельев И.А., Мухин И.Н. Один из подходов анализа рисков безопасности данных в облачных средах // Современная Наука: Актуальные проблемы теории и практики. Серия: Естественные и Технические науки. 2014. № 1-2. С. 57-65.
5. Labudde D., Spranger M. (Hrsg.). Forensik in der digitalen Welt. Berlin: Springer Spektrum-2017-341 с.
6. Мобильный криминалист. Извлечение данных из облачных сервисов. Интернет ресурс: https://www.oxygensoftware.ru/ru/features/cloud-services/cloud-data-extraction - дата обращения 20.11.2108
7. UFED Cloud Analyzer. Интернет ресурс: https://www.cellebrite.com/de/products/ufed-cloud-analyzer-de/#featuresSection –дата обращения 20.11.2019
8. EnCase Forensic. Интернет ресурс: https://www.guidancesoftware.com/encase-forensic - дата обращения 20.11.2019
References
1. Vekhov V.B. Kriminalisticheskoe uchenie o komp'yuternoi informatsii i sredstvakh ee obrabotki: dissertatsiya ... doktora yuridicheskikh nauk. – Volgograd: Volgogr. akad. MVD Rossii. 2008-561 s.
2. Nesterov A.D., Barkalov Yu.M. Poluchenie informatsii iz oblachnykh khranilishch pri rassledovanii intsidentov v sfere informatsionnoi bezopasnosti // Advances in Law Studies. 2015. T. 3. № 2. S. 59-62.
3. Fedotov N.N. Forenzika – komp'yuternaya kriminalistika. M.: Yuridicheskii Mir. 2007-418 s.
4. Tsaregorodtsev A.V., Savel'ev I.A., Mukhin I.N. Odin iz podkhodov analiza riskov bezopasnosti dannykh v oblachnykh sredakh // Sovremennaya Nauka: Aktual'nye problemy teorii i praktiki. Seriya: Estestvennye i Tekhnicheskie nauki. 2014. № 1-2. S. 57-65.
5. Labudde D., Spranger M. (Hrsg.). Forensik in der digitalen Welt. Berlin: Springer Spektrum-2017-341 s.
6. Mobil'nyi kriminalist. Izvlechenie dannykh iz oblachnykh servisov. Internet resurs: https://www.oxygensoftware.ru/ru/features/cloud-services/cloud-data-extraction - data obrashcheniya 20.11.2108
7. UFED Cloud Analyzer. Internet resurs: https://www.cellebrite.com/de/products/ufed-cloud-analyzer-de/#featuresSection –data obrashcheniya 20.11.2019
8. EnCase Forensic. Internet resurs: https://www.guidancesoftware.com/encase-forensic - data obrashcheniya 20.11.2019

Результаты процедуры рецензирования статьи

В связи с политикой двойного слепого рецензирования личность рецензента не раскрывается.
Со списком рецензентов издательства можно ознакомиться здесь.

В представленной на рецензирование работе автор предпринял попытку осветить актуальную проблему, стоящую перед органами предварительного следствия, расследование преступлений, совершенных с использованием облачных хранилищ в сети Интернет.
С развитием современных информационных и телекоммуникационных технологий закономерным является тренд преступности в этой сфере.
По данным ООН с 2000 по 2019 год число пользователей Интернета увеличилось почти в семь раз: с 6,5% до 43% мирового населения. Активно растет число пользователей как широкополосного, так и мобильного Интернета. Российская Федерация занимает первое место среди европейских государств и четвертое в мире по численности пользователей фиксированного широкополосного Интернета. в Российской Федерации в 2013 году было зарегистрировано 10942 преступления в сфере информационных технологий, в 2014 году – 10968, в 2015 – 43816, в 2016 – 65949, в 2017 – 90587, в 2018 – 150756, в 2019 – 294 409 преступлений.
И как справедливо отмечает автор, ключевыми следами-носителями криминалистически значимой информации, при расследовании преступлений, совершенных с использованием облачных хранилищ в сети Интернет, являются электронно-цифровые следы. Для поиска установления.
Научная новизна исследования и ее актуальность автором обоснованы.
Автором проведен подробный анализ проблем, возникающих в практике правоохранительных органов, связанных с получением, фиксацией и использованием криминалистически значимой информации при расследовании подобного рода преступлений. На основе проведенного исследования предлагаются практические рекомендации направленные на совершенствование деятельности органов расследования в данной сфере.
Представленная автором статья соответствует требованиям, предъявляемым к научным публикациям. Обосновывая выводы, автор обращается к научным трудам отечественных и зарубежных ученых. Библиография содержит определенное количество современных научных исследований (2008-2017г.г.), к которым автор обращается, а также информационные Интернет-ресурсы разработчиков аппаратно-программных комплексов, используемых в криминалистической деятельности органов предварительного следствия. Это позволило автору правильно определить рассматриваемые проблемы. Исследовав их, был раскрыт предмет статьи. К замечаниям необходимо отнести отсутствие анализа нормативного правового регулирования данной сферы правовых отношений, а также не достаточного большого количества работ, как статей, так и монографий, комментариев, написанных в последние годы 2015-2019г.г. и на которые можно было бы сослаться при рассмотрении предмета статьи. Апелляция к оппонентам в связи с вышесказанным присутствует частично. Автором используется материал других исследователей. Выводы – работа заслуживает опубликования (с учетом замечаний), интерес читательской аудитории будет присутствовать.