"Форензика -компьютерная криминалистика. Часть 8"

Николай Федотов, компания INFOWATCHОперативно-розыскные мероприятияВзаимодействие

При раскрытии компьютерных преступлений на вероятность успеха сильно влияет взаимодействие с двумя видами субъектов: специалистами и операторами связи. Настолько сильной корреляции между содействием с их стороны и успехом раскрытия нет, пожалуй, ни для каких других типов преступлений.Специальные знания в области ИТ, телекоммуникаций, программирования и защиты информации требуются буквально на каждом этапе – от обнаружения признаков преступления до поддержания обвинения в суде. Источником специальных знаний является специалист. Со стороны следователя или оперуполномоченного было бы слишком самонадеянно рассчитывать на собственные знания в этих областях. Настоящим ИТ-профессионалом становятся после обучения в вузе и нескольких лет работы по соответствующей специальности. Получить эквивалентные знания, прочитав книги, побеседовав со специалистами и расследовав десяток-другой компьютерных преступлений, никак не возможно. Хотя иллюзия всезнания может возникнуть. Ею часто страдают начинающие. Для таких даже существует особый термин «ламер», то есть дилетант, «чайник», который считает себя знающим. Видимо, специфика нашей отрасли такова, что в процессе обучения довольно трудно увидеть свой «горизонт незнания», чтобы адекватно оценить собственный уровень.Как бы сами себя ни оценивали служащие правоохранительных органов, но, как говорится, со стороны виднее. Специалиста с должным уровнем квалификации в области ИТ и телекоммуникаций в штате МВД или ФСБ иметь невозможно. Зато получить помощь стороннего специалиста не слишком сложно.Было бы ошибкой привлекать специалиста только лишь тогда, когда дело дойдет до экспертизы или до изъятия компьютерной техники. Специальные знания нужны на самой ранней стадии расследования – при первичной проверке материала, а также при проведении оперативно-розыскных мероприятий.Содействие провайдера (оператора связи) также обязательный элемент расследования, если только в деле что-то связано с публичной компьютерной сетью.Роль провайдера в деле получения информации о сетях, клиентах и их активности трудно переоценить. Так сложилось исторически, что Интернет возник как чисто техническое устройство. В те начальные времена его можно было рассматривать как сеть, связывающую компьютеры. Соответственно с этим управлялся Интернет техническими специалистами при помощи доступных и понятных им технических методов. С течением времени, с приходом в Сеть массового пользователя, с развитием сетевых форм общения, с возникновением сетевого бизнеса Интернет превратился из технического устройства в среду, где взаимодействуют не устройства, а люди. На Интернет сейчас завязаны многочисленные финансовые, политические, личные интересы множества людей и организаций. Уже даже говорят о целом виртуальном мире. Но методы управления Интернетом пока остаются старыми. Им управляют в основном технические специалисты, не имеющие гуманитарного образования, зачастую не понимающие, что они взаимодействуют с людьми, а не с техникой. Автор даже предлагает рассматривать диалектическое противоречие – противоречие между новыми общественными отношениями в Сети и старыми методами управления Сетью.Возможно, что в скором времени «сетевая власть» от технарей перейдет в руки профессиональных управленцев. Такие тенденции уже отчетливо заметны на всех уровнях – от домовой сети до международных организаций. Но пока в лице провайдера мы имеем все четыре власти в одном лице. Ныне интернет-провайдер выступает в роли полновластного хозяина своего участка, всемогущего и всеведующего.Внедрение во всех странах комплексов, аналогичных российскому СОРМу, призвано, в частности, исключить взаимодействие с оператором связи, когда требуется получить информацию о работе пользователя в сети, его трафике и так далее. К сожалению, несмотря на отчеты о внедрении таких комплексов, полностью решить эту задачу не удалось. Ни в России, ни в других странах. Без содействия со стороны оператора связи пока невозможно проводить полноценные ОРМ или следственные действия. Именно поэтому взаимодействие с работниками операторов связи столь важно на всех этапах – от первичной проверки материала до показаний в суде.Перехват и исследование трафикаЗначениеВ перечне видов оперативно-розыскной деятельности присутствует «снятие информации с технических каналов связи». Эта универсальная формулировка включает, в частности, и перехват сетевого трафика.

В российской судебной практике трафик (результаты его экспертизы) почти не использовался в качестве доказательства. Для ведения ОРД трафик также используется крайне редко. Автор полагает, что его следует использовать шире. В криминальной деятельности перехват и анализ трафика (снифинг) является основой чуть ли не половины всех методов совершения преступлений.