К ВОПРОСУ О СБОРЕ И АНАЛИЗЕ ЭЛЕКТРОННЫХ ДОКАЗАТЕЛЬСТВ ИЗ ПАМЯТИ КОМПЬЮТЕРА ПРИ РАССЛЕДОВАНИИ КИБЕРПРЕСТУПЛЕНИЙ В СОЦИАЛИСТИЧЕСКОЙ РЕСПУБЛИКЕ ВЬЕТНАМ (СРВ)

АННОТАЦИЯ

В статье рассматривается состояние киберпреступлений в Социалистической Республике Вьетнам (далее - СРВ). Авторами ракрываются положения цифровой криминалистики, сбора и анализа электронных доказательств из памяти компьютера при расследовании киберпреступлений, также представляется процесс сбора и анализа информации из памяти компьютера, который состоит из следующих этапов: проверка верификации; описание системы; сбор доказательств; настройка сроков и аналитики; анализ средств передачи данных; восстановление данных; строка поиска; оформление отчета.

ABSTRACT

The article examines the state of cybercrime in the Socialist Republic of Vietnam (hereinafter referred to as SRV). The authors reveal the provisions of digital forensics, the collection and analysis of electronic evidence from computer memory in the investigation of cybercrimes, The process of collecting and analyzing information from computer memory is also presented; it consists of the following stages: verification check; description of the system; collection of evidence; setting up deadlines and analytics; analysis of data transmission media; data recovery; search line; report preparation.

Ключевые слова: цифровая криминалистика, расследование, киберпреступление, компьютер, компьютерные сети, электронные доказательства.

Keywords: digital forensics, investigation, cybercrime, computer, computer networks, electronic evidence.

В нынешнюю эпоху развития информационных и коммуникационных технологий ни один человек, организация или предприятие не могут разделить компьютеры и компьютерные сети. Поэтому преступная деятельность пользователей высоких технологий становится все более распространенной, а их способ преступления становится все более изощренным. В сфере национальной безопасности враждебные силы постоянно концентрируются на использовании информационных технологий и телекоммуникационных сетей для искажения информации и клеветы на государство. В области социального порядка и безопасности, состояние кибербезопасности во Вьетнаме сложное: множество атак, саботажа, вирусных заражений, шпионского ПО и вредоносных информационных кодов нацелены на сетевые системы государственных и частных учреждений, причем их уровень и характер становятся все более серьезными.

В СРВ активное участие в промышленной революции 4.0 и проведение национальной цифровой трансформации является непременным объективным требованием для создания возможностей для социально-экономического развития при эффективном решении проблем национальной безопасности и правового порядка страны. Правильное осознание рисков и проблем, связанных с киберпространством, поможет активно защищать свои законные права и интересы при участии в цифровом пространстве и цифровом обществе. При нынешних быстрых темпах развития и применения информационных технологий, состояние кибербезопасности во Вьетнаме будет продолжать иметь много сложных изменений, количество киберпреступлений будет расти, широко действуя во всех сферах жизни страны.

Согласно отчету, обобщающему состояние кибербезопасности СРВ в 2023 г., опубликованному недавно Вьетнамской национальной компанией по технологиям кибербезопасности (NCS), количество кибератак на учреждения и организации СРВ увеличилось на 9,5% по сравнению с 2022 г., в среднем 1160 кибератак в месяц [5]. По статистическим данным Министерства общественной безопасности СРВ в 2023 г., правоохранительными органами возбуждены 1 тыс. 600 уголовных дел, связанных с киперпреступлениями (увеличилось на 203,61% по сравнением с 2022 г.), задержаны 478 лиц (увеличивалось на 48,91% по сравнением с 2022 г.) [4]. В частности, правоохранительными органами СРВ были раскрыты и расследованы многие уголовные дела, связанные с киперпреступлениями, совершенными с применением новых методов и способов, а также они тесно связанны с мошенническим присвоением имущества, азартными играми, многоуровневым маркетингом, торговлей виртуальной валютой, золотом, иностранной валютой и ценными бумагами, торговлей людьми, брокерской проституцией, незаконным оборотом наркотиков и т.д. в киберпространстве.

В законодательстве СРВ, киберпреступления можно определить как любую преступную деятельность с участием сетевых устройств (компьютеров, смартфонов и др.) или самой сети. В концепции «киберпреступления» вычислительное устройство может быть как целью преступления, так и использоваться в качестве инструмента для совершения преступления. Согласно положениям Уголовного кодекса СРВ 2015 г., киберпреступление - это использование киберпространства, информационных технологий или электронных средств для совершения преступлений, в том числе можно перечислять следующие конкретные преступления: производство, покупка, продажа, обмен или дарение инструментов, оборудования и программного обеспечения для использования в незаконных целях (ст. 285 УК СРВ); распространение программ информационных технологий, наносящих вред работе компьютерных сетей, телекоммуникационных сетей и электронных носителей (ст. 286 УК СРВ); препятствование или нарушение работы компьютерных сетей, телекоммуникационных сетей и электронных средств массовой информации (ст. 287 УК СРВ); незаконная передача или использование информации в компьютерных сетях и сетях телекоммуникаций (ст. 288 УК СРВ); несанкционированный доступ в компьютерную сеть, телекоммуникационную сеть или электронные средства другого лица (ст. 289 УК СРВ); использование компьютерных сетей, сетей телекоммуникаций и электронных средств для совершения актов присвоения имущества (ст. 290 УК СРВ); незаконный сбор, хранение, обмен, торговля и разглашение информации о банковских счетах (ст. 291 УК СРВ); незаконное использование радиочастот исключительно в целях чрезвычайной ситуации, обеспечения безопасности, поиска, спасения, спасения, национальной обороны и безопасности (ст. 293 УК СРВ); умышленное создание вредных помех (ст. 294 УК СРВ) и другие преступление, связанные с киберпространством.

На основе вышеуказанных норм УК СРВ 2015 г. отмечается, что вьетнамское государство считает борьбу с киберпреступностью как срочную и важную задачу в настоящее время. Тем не менее, раскрытие и расследование киберпреступлений всегда сталкивается со многими трудностями, сложностями и ограничениями, особенно при сборе электронных доказательств.

Все это требует пристального изучения рассматриваемых преступлений на систематической основе, выявления ее закономерностей, разработки новейших и соответствующих реалиям криминалистических способов, приемов и методов противодействия ей, в том числе создание цифровой криминалистической модели для сбора электронных доказательств о киберпреступлениях, считается одной из первоочередных и современных задач [9].

Отметим, что криминалистические проблемы расследования киберпреступлений, и в частности: выделение данного рода преступлений в отдельную группу в системе криминалистической классификации противоправных деяний; описание характеристик отдельных элементов методики их расследования; выявление и раскрытие закономерностей совершения преступлений, обусловленных особенностями использования возможностей технологических процессов сети Интернет; обоснование информационно-следовой картины преступных деяний, связанных с виртуальными следами, и другие вопросы рассматривались В.Ю. Агибаловым, М.А. Бабаковой, А.А Бессоновым, В.Б. Веховым, А.С. Вражновым, А.А. Васильевым, Ю.В. Гаврилиным, В.В. Крыловым, А.А. Косынкиным, В.А. Мещеряковым, В.В. Поповой, Д.А. Илюшиным, В.В. Степановым, А.И. Семикаленовой, Т.В. Толстухиной, А.И. Усовым и другими учёными. Научные труды указанных авторов внесли значительный вклад в исследование уголовно-правовых и криминалистических аспектов проблем, связанных с киберпреступлениями, и имеют высокую теоретическую и научно-практическую значимость по борьбе с киберпреступностью в целом.

Авторы полагают, что именно криминалистика России внесла большой и значительный вклад в представление сущности киберпреступлений, механизма их подготовки, совершения и сокрытия, а также в разработку криминалистических основ расследования преступлений данной категории, так как киберпреступность в современном мире объявлена глобальной международной проблемой, о чём свидетельствуют принятые международные договорённости, предусматривающие совместные шаги по борьбе с этим высокотехнологичным злом. Опасность киберпреступности как для мирового сообщества в целом, так и для России признают и российские правоохранительные органы. Например, по данным Главного управления специальных технических мероприятий МВД России, киберпреступность (преступность в сфере высоких технологий) в настоящее время является одной из наиболее серьёзных угроз национальной безопасности Российской Федерации в информационной сфере [11]. Именно российские научные достижения по борьбе с киберпреступностью будут взяты авторами за основу развития цифровой криминалистической модели для сбора электронных доказательств о киберпреступлениях в СРВ.

Во Вьетнаме в сфере уголовного процесса и компьютерного устранения неполадок возрастает необходимость использования электронных доказательств, поскольку человеческое общение и деятельность осуществляются по-разному, электроникой и информационными технологиями. Сбор электронных доказательств является одним из этапов процесса цифровой криминалистики, потому что посредством процесса цифровой криминалистики сбора физических отражений электронных доказательств, то есть электронных устройств и электронных данных; процесс цифровой криминалистики отражает технологию формирования электронных доказательств в физической форме; процесс цифровой криминалистики отражает восприятие электронных доказательств, поскольку является связью между физическим отражением электронных доказательств и произошедшими юридическими событиями, связью, объясняющей то, что произошло логично. Важным требованием является создание цифровой криминалистической модели для управления процессом электронного сбора доказательств процессуальными органами и в то же время наличие соответствующих мер для каждого этапа сбора доказательств.

Цифровая криминалистика - это отрасль криминалистики, которая занимается использованием проверенных научных методов и технических инструментов для сбора, сохранения, анализа, составления отчетов и представления фактической информации из источников цифровых данных с целью облегчения или содействия реконструкции событий для обнаружения преступного поведения или помощь в прогнозировании незаконных действий, таких как намеренное вторжение, атака или нарушение рабочего процесса системы [10].

Важнейшая цель цифровой криминалистики - собрать, проанализировать и найти убедительные доказательства по вопросу, требующему разъяснения. Цифровая криминалистика имеет важные применения в расследовании конкретного уголовного дела.

Технически цифровая криминалистика помогает определить, что происходит, влияющее на систему, и одновременно выявить причины проникновения в систему, действия и источники нарушений, происходящих с системой.

Некоторые популярные виды цифровой криминалистики:

- криминалистика реестра (Registry Forensics) [3]: этот тип криминалистики включает в себя извлечение информации и контекста из неиспользованного источника данных, чтобы узнать об изменениях (редактировании, добавлении, удалении и т.д.) данных в реестре.

- дисковая криминалистика (Disk Forensics) [7]: представляет собой сбор и анализ данных, хранящихся на физических носителях, с целью извлечения скрытых данных, восстановления удаленных файлов, тем самым определяя, кто внес изменения в данные на анализируемом устройстве.

- мобильная криминалистика (Mobile forensics) [1]: тип криминалистики, проводимого на мобильных устройствах, КПК, устройствах GPS, планшетах с целью сбора данных и следственных доказательств.

- криминалистика приложений (Application Forensics) [6]: это тип криминалистика, при котором анализируются приложения, работающие в системе, такие как электронная почта, данные браузера, «Skype, Yahoo и др.», тем самым извлекая записи, хранящиеся в приложениях, для нужд следствия и поиска доказательств.

- сетевая криминалистика (Network Forensics) [8]: это отрасль цифровой криминалистики, связанная с отслеживанием, мониторингом и анализом трафика компьютерных сетей для сбора информации, связанных событий, а также поиска юридических доказательств и целей. Цель состоит в том, чтобы обнаружить аномалии и признаки вторжения в сетевое окружение.

- криминалистика памяти (Memory Forensics)[2]: метод исследования компьютеров путем записи энергозависимой памяти системы (ОЗУ) с последующим анализом и выяснением поведения, произошедшего в системе. Точнее, он пытается использовать архитектуру управления памятью на компьютере для сопоставления и извлечения файлов, которые выполняются и находятся в памяти.

Криминалистика памяти — это метод компьютерного расследования, заключающийся в записи оперативной памяти системы, когда она проявляет признаки подозрения или подвергается нападению, для проведения расследования, помогая определить причину, а также поведение, произошедшее в системе, предоставляя доказательства, которые помогут в раскрытии преступлений.

Этот метод расследования используется, когда в процессе статического анализа полученных пакетов, а также информации из записанных системных журналов не удалось определить источник, способ атаки или источник, а предоставленная информация является неполной и недостаточно убедительной.

Криминалистический анализ оперативной памяти, как и все другие усилия в области цифровой криминалистики, включают сбор информации, которая может предоставить доказательства, подобные тем, которые используются в уголовных расследованиях, но более конкретно, это метод, при котором следователь пытается использовать архитектуру управления памятью компьютера для сопоставления и извлечения файлов, которые выполняются и находятся в физической памяти компьютера. Эти исполняемые файлы можно использовать для доказательства совершения преступления или для отслеживания того, как оно произошло. Полезность этого типа расследования заключается в том, что на практике любая информация, найденная в оперативной памяти, будет интерпретироваться как недавно запущенная в системе жертвы.

Успех анализа часто зависит от начала этапа сбора данных расследования. На этом этапе следователь должен принять решение о том, какие данные собирать и какой лучший метод их сбора. По сути, приобретение памяти - это копирование содержимого физической памяти на другое устройство хранения для сохранения. Конкретные используемые методы и инструменты часто зависят от целей исследования и характеристик исследуемой системы.

Цифровой следователь стремится сохранить состояние цифровой среды таким образом, чтобы он мог делать точные выводы посредством анализа. Данные, хранящиеся на диске и в оперативной памяти, представляют собой два наиболее важных компонента этой среды. Традиционный взгляд на цифровую судебную экспертизу основан на предположении, что надежность выводов полностью зависит от сбора доказательств без изменения их состояния. Например, общепринятые процедуры обработки доказательств включают выключение системы и создание копии (образа) данных на дисковом устройстве хранения для автономного анализа. Эти процессы и процедуры преобразования направлены на минимизацию изменений в файлах системных данных.

По мере развития методов цифровой криминалистики стало очевидно, что при выборочном хранении одних доказательств, когда другие важные доказательства, затраты также могут повлиять на точность получаемых выводов. Это особенно важно, поскольку злоумышленники стремятся использовать ограничения традиционных методов сбора цифровых криминалистических доказательств. Сравнивая данные из нескольких источников (диск, сеть, память и т.д.) в цифровой среде, пользователи могут лучше понять, что происходит в системе, чем при ограниченной перспективе простого получения данных из дисковой памяти. При использовании этих альтернативных источников необходимо признать, что все методы преобразования, включая традиционные процедуры преобразования дисков, приведут к некоторым искажениям цифрового носителя. Следователи должны представлять, как такие изменения могут повлиять на аналитические результаты и порядок сбора данных, чтобы уменьшить это влияние. Приоритет реализации часто определяется в порядке убывания изменений (т.е. доказательства более быстрых изменений собираются раньше, чем более стабильные доказательства). На практике это означает, что сначала необходимо собрать данные из энергозависимой памяти.

Цифровая криминалистика доказала важную роль криминалистики памяти, исследования оперативной памяти, где данные всегда готовы к записи и анализу, предоставляя очень ценные доказательства и превосходя ограниченное количество традиционных методов расследования (анализ физического диска), решая проблемы, что новые технологии, такие как шифрование, могут вызвать трудности в процессе расследования. Традиционные методы анализа ограничены во многих отношениях, например, при проведении анализа часто бывает трудно получить доступ к зашифрованным данным, если пароль пользователя не может быть взломан, но ключи и пароли очень редко хранятся на диске. Однако он загружается и сохраняется в оперативной памяти, поэтому выполнение анализа памяти может позволить использовать методы и инструменты для легкого восстановления паролей и криптографических ключей. Еще одним ограничением традиционных методов криминалистики является то, что аналитик не сможет обнаружить информацию о процессах, запущенных в памяти, поэтому можно легко проигнорировать исследование приложений, используемых системой в момент атаки, а также данные, скрытые в памяти, но для криминалистики памяти это довольно простая задача.

Основное применение криминалистики памяти - анализ и расследование компьютерных атак с использованием высоких технологий и достаточно сложных методов, позволяющих не оставлять улик на жестком диске компьютера. Таким образом, анализ оперативной памяти дает наиболее глубокое и точное представление о том, что происходит в системе в момент атаки на систему. Процесс сбора и анализа информации из памяти компьютера представляется в таблице 1.

Таблица 1.

Процесс сбора и анализа информации из памяти компьютера

Таким образом, можно сделать следующий вывод, что в СРВ расследование киберпреступлений весьма слабо разработано на данный момент, однако обсуждения этой проблемы активно ведутся в науке, в связи с чем, полагаем, что в скором времени на законодательном уровне необходимо будет:

1) более подробно описать составы киберпреступлений, ужесточить санкции за их совершение;

2) следователи, которые будут заниматься данной категорией дел, будут проходить более тщательный отбор, связанный с навыками владения и знания компьютерных технологий, а также иметь образование в компьютерной сфере.

3) будет использован зарубежный опыт методов расследования таких преступлений (например, как криминалистика России), а также создание, развитие и дальнейшее совершенствование таких методов.

Список литературы:

1. А. Аль-Дакм, Разак С. А., Икуэсан Р. А., Кебанде В. Р. и Сиддик К. "Обзор моделей процесса мобильного судебно-медицинского расследования" (A. Al-Dhaqm, S. A. Razak, R. A. Ikuesan, V. R. Kebande and K. Siddique, "A Review of Mobile Forensic Investigation Process Models,") in IEEE Access, vol. 8, pp. 173359-173375, 2020. / [Электронный ресурс]. – Режим доступа: URL: https://ieeexplore.ieee.org/document/9160916/references#references (дата обращения: 15.02.24).
2. Кейс Эндрю, Голден Г. Ричард. Криминалистика памяти: путь вперед (Andrew Case, Golden G. Richard. Memory forensics: The path forward ) // Digital Investigation Volume 20, March 2017, Pages 23-33. / [Электронный ресурс]. – Режим доступа: URL: https://www.sciencedirect.com/science/article/abs/pii/S1742287616301529 (дата обращения: 15.03.24).
3. Chirath De Alwis. Анализ регистрации Windows 101. (Chirath De Alwis. Windows Registry Analysis 101.) / [Электронный ресурс]. – Режим доступа: URL: https://www.forensicfocus.com/articles/windows-registry-analysis-101/ (дата обращения: 17.02.24).
4. Хуонг Гианг. 2023: правонарушители, более 51%.Hương Giang. Năm 2023: Phạmtộithamnhũng, chứcvụnhiềuhơn 51%. https://thanhtra.com.vn/phong-chong-tham-nhung/ho-so-tu-lieu/nam-2023-pham-toi-tham-nhung-chuc-vu-nhieu-hon-51-216346.html (дата обращения: 25.12.2023).
5. Нгуен Тху Нам. В 2023 году количество целенаправленных и системных кибератак во Вьетнаме увеличилось на 9,5%. (Nguyễn Thu. Năm 2023: sốvụtấncôngmạngnhắmvàocáchệthốngtại ViệtNamtăng 9,5%.) URL: https://m.antoanthongtin.gov.vn/an-toan-thong-tin/nam-2023-so-vu-tan-cong-mang-nham-vao-cac-he-thong-tai-viet-nam-tang-95-109609 (дата обращения: 18.12.2023).
6. Ори Сигал. Криминалистика веб-приложений: Неизведанная территория (Ory Segal. Web Application Forensics: The Uncharted Territory.)/ [Электронный ресурс]. - Режим доступа: URL: https://www.cgisecurity.com/lib/WhitePaper_Forensics.pdf (дата обращения: 15.02.24).
7. Премчанд Амбхор, Арчанам Ванкхаде, Б.Б. Мешрам. Криминалистический анализ на основе дисков (Premchand Ambhore, Archanam Wankhade, B.B. Meshram. Disk based Forensics Analysis) // International Journal of Current Engineering and Technology 8(02), April 2018. / [Электронный ресурс]. - Режим доступа: URL: https://www.researchgate.net/publication/324954778_Disk_based_Forensics_Analysis  (дата обращения: 17.03.24).
8. Сулеман Хан, Абдулла Гани, Айнуддин Вахид Абдул Вахаб, Мухаммад Шираз, Ифтихар Ахмад. Сетевая криминалистика: обзор, таксономия и нерешенные проблемы (Suleman Khan, Abdullah Gani, Ainuddin Wahid Abdul Wahab, Muhammad Shiraz, Iftikhar Ahmad. Network forensics: Review, taxonomy, and open challenges) // Journal of Network and Computer Applications Volume 66, May 2016, Pages 214-235. / [Электронный ресурс]. – Режим доступа: URL: https://www.sciencedirect.com/science/article/abs/pii/S1084804516300121#preview-section-cited-by (дата обращения: 15.03.24).
9. Бессонов А.А. Частная теория криминалистической характеристики преступлений: автореф .дис .... д-ра юрид .наук . М ., 2017.
10. Сотников К.И., Парамонова Г.В.. Цифровая криминалистика: современные реалии и возможности // Журнал правовых и экономических исследований. Journalof Legaland Economic Studies, 2022, 4: 24–30. / [Электронный ресурс]. - Режим доступа: URL: https://giefjournal.ru/sites/default/files/004.%20K.I.%20Sotnikov,%20G.V.%20Paramonova.pdf (дата обращения: 17.01.24).
11. Шевченко Е.С. Тактика производства следственных действий при расследовании киберпреступлений : диссертация ... кандидата юридических наук : 12.00.12 / Шевченко Елизавета Сергеевна; [Моск. гос. юрид. акад. им. О.Е. Кутафина]. - Москва, 2016. - 249 с.