Проблемы расследований преступлений, совершенных с использованием облачных хранилищ в сети Интернет

Кузьмин Михаил Дмитриевич аспирант, кафедры криминалистики, Юридического факультета, Московского Государственного Университета им. М.В. Ломоносова 119234, Россия, г. Москва, ул. Ленинские Горы, 1 Kuzmin Mikhail Postgraduate at the Department of Forensic Science of the Faculty of Law of Moscow State University 119234, Russia, g. Moscow, ul. Leninskie Gory, 1 mikhail.d.kuzmin@gmail.com

На современном этапе развития общества финансовые и экономические преступления приобретают всё более высокотехнологичный характер. Эта тенденция связана с процессами автоматизации финансовых транзакций и актов коммуникации. Например, сейчас крайне редко встречаются акции компаний в документарной форме, в основном компании выпускают бездокументарные акции, которые записываются на специальном счёте депо соответствующего реестродержателя. Также сложно себе представить человека, который связан с финансовой сферой или управлением компанией и не имеет электронной почты или мессенджера. Эти и другие цифровые помощники могут использоваться злоумышленниками, а кроме этого, хранят в себе много криминалистически значимой информации, которую необходимо использовать для расследования преступлений.

Та информация, которая обращается в компьютерных сетях, персональных компьютерах, смартфонах и периферийных устройствах, является компьютерной информацией, то есть сведениями (сообщениями, данными), находящимися в электронно-цифровой форме, зафиксированными на материальном носителе либо передающиеся по каналам связи посредством электромагнитных сигналов. При расследовании преступлений и правонарушений в финансовой сфере такая информация, если она имеет отношение к расследуемому событию, является электронно-цифровыми следами.

Во время расследования электронно-цифровые следы могут быть обнаружены в информационных системах, являвшихся объектом посягательства, орудием совершения преступления, или системах, которые зафиксировали факт неправомерных действий с данными. Поиском и анализом таких следов занимается компьютерная криминалистика, которую ещё часто называют «форензик». Текущий уровень развития этого направления экспертной деятельности позволяет анализировать информацию, находящуюся на различных электронных устройствах. Однако бизнес, а следом за ним и злоумышленники, активно используют в своей работе новейшие средства автоматизации бизнес процессов, одно из которых это использование инфраструктуры облачных хранилищ вместо традиционных собственных серверов и оборудования организации.

Поскольку информация, относящаяся к преступлениям, может храниться в облачном хранилище, проведение исследований в облачной среде представляет проблемы, с которыми не сталкивались традиционные экспертные исследования. Основными проблемами облачных экспертиз являются:

l отсутствие специальных инструментов;

l отсутствие доступа к информации;

l юрисдикция места физического нахождения хранилищ данных;

l недостаток знаний и опыта.

В отличие от традиционных компьютерных экспертиз, в которых есть четкие, указания и специальные инструменты для сбора доказательств, подходящих для представления в суде, для сбора доказательств в облачном хранилище в достаточной степени ещё не разработаны такие структуры или инструменты. Фактически, современные средства цифровой криминалистики не предназначены для работы в облачной среде.

Облачные вычисления усложняют сбор данных, поскольку облачные системы хранения не являются локальными, и, следовательно, у экспертов отсутствует физический доступ к данным, хранящимся в облаке. У исследователей при изучении традиционных локально размещенных систем, наоборот всегда есть возможность физического доступа к объекту хранения данных. Этот факт существенно усложняет процесс расследования, например, файлы, имеющие отношение к расследуемому деянию, находятся в облачном хранилище, в таком случае следователи не могут просто конфисковать компьютер подозреваемого и получить доступ к соответствующим файлам.

Отсутствие доступа к информации также означает, что клиенты облачных сервисов мало или совсем не знают о физическом местоположении своих данных. Из-за распределённой природы облачных хранилищ эксперту может быть неясно, какие данные доступны. Более того, если предприятие использует более одного провайдера облачных вычислений, бывает затруднительно выяснить, особенно в ситуации активного противодействия следствию, какой поставщик осуществляет хранение релевантных данных.

Кроме того, доступность данных, хранящимся на облачных серверах, для клиента таких сервисов может зависеть от условий договоров между поставщиками и клиентом. Поэтому в некоторых случаях может потребоваться пересмотр таких контрактов для определения обязательств поставщиков предоставить клиенту доступ к данным, хранящимся на серверах поставщика услуг по облачному хранению, а также о содействии расследованию преступлений, если данные имеют существенное значение для расследуемого дела.

Аналогичным образом, поставщики облачных сервисов не готовы к сотрудничеству с экспертами и следователями при расследованиях в облачном хранилище. Многие поставщики инфраструктуры облачных вычислений не предоставляют услуг или инструментов для сбора и анализа цифровых следов даже для своих клиентов. Не редка ситуация, когда клиенты облачных сервисов имеют ограниченный доступ к журналам и метаданным, связанным с информацией, которая принадлежит им и хранится на серверах провайдера.

При использовании облачных вычислений клиенты поставщиков облачных услуг не имеют физического контроля над носителями или сетью, в которой находятся их данные, и отсутствие такого контроля может усложнить работу по сбору данных, хранящихся в облачном хранилище.

Кроме того, на рынке этих услуг существует множество поставщиков облачных сервисов, и каждый имеет собственные правила, которые могут влиять на количество доступных данных, процедуры их хранения и права доступа. Провайдеры облачных вычислений могут вообще не поддерживать ведение своими системами журналов операций, что может минимизировать количество полезной информации, доступной в ходе расследования.

Облачные провайдеры могут хранить данные на серверах в разных местах по всему миру, и это также может иметь несколько последствий. Во-первых, сервера с электронно-цифровыми следами и иной компьютерной информацией, имеющей отношение к расследованию, могут быть физически расположены в разных местах, что приведет к существенному усложнению расследования, поскольку, помимо всего прочего, местоположение может определять юрисдикцию и правовые средства следователей и экспертов по их истребованию и исследованию. Таким образом, возможно, что данные, относящиеся к лицам в рамках одной организации, могут находиться в разных местах и юрисдикциях. Во-вторых, может быть неясно, где расположены серверы и хранилища данных. Необходимо учитывать, что каждая юрисдикция предъявляет различные требования к доступу к данным и их поиску, и защита конфиденциальности данных может зависеть от местоположения сервера, на котором хранятся соответствующие данные.

Использование данных, находящихся в облачном хранилище, в качестве доказательств также затруднено, поскольку в таких данных обычно не хватает следующей информации:

l как данные обрабатывались и кем;

l кто имел доступ к данным и когда к ним обращались;

l были ли данные объединены с данными других клиентов провайдера;

l кто предоставил данные для анализа (например, эксперт или сотрудник поставщика облачных вычислений);

l как данные были сохранены и кем.

В рамках традиционной вычислительной модели данные обычно используются исключительно одним субъектом, но в облачной среде поставщики выделяют ресурсы для нескольких пользователей в одной и той же физической инфраструктуре. Это возможно, поскольку поставщики облачных вычислений используют виртуальные сервера на одном физическом компьютере. И в этом типе инфраструктуры данные одного клиента хранятся в одной и той же физической инфраструктуре, используемой для хранения данных, принадлежащих другим клиентам. То есть каждый сервер, использующийся в качестве облачного хранилища, содержит файлы нескольких клиентов. Поэтому следователи не могут изъять серверы из дата-центра провайдера, не нарушая конфиденциальности многих других пользователей данного облачного хранилища. Например, если данные пользователя хранятся в физической системе, которая также содержит данные другого пользователя, которые необходимы для расследования, данные пользователя, не связанного с расследованием, могут быть непреднамеренно сохранены и исследованы во время экспертизы. В некоторых юрисдикциях непреднамеренный доступ к данным, не относящимся к расследованию, может нарушать законодательство о конфиденциальности. Кроме того, если провайдер облачных сервисов хранит данные нескольких клиентов на одном и том же физическом носителе-сервере, провайдер, вероятно, запретит любые попытки создать образ своих физических носителей, поскольку такой образ будет содержать данные других клиентов.

Даже если следователь сможет получить полный образ материального носителя данных провайдера, ему будет трудно интерпретировать полученные данные. Как правило, для извлечения полезной информации из образа носителей информации следователю необходимо знать служебную информацию о системе, с которой был создан образ, включая информацию об операционной системе, используемых программах и операциях по регистрации пользователей.

Однако ситуация с исследованием данных в облачных хранилищах меняется, активно разрабатываются и внедряются в следственную работу специальные программные комплексы, которые позволяют извлекать данные из облачных хранилищ. Первым на рынке специальных программ был «Модуль извлечения данных из облачных сервисов» проекта «Мобильный криминалист», также специалисты используют UFED Cloud Analyzer, EnCase Forensic и другие системы.

Общий порядок работы с этими программными средствами включает несколько этапов. На первом этапе осуществляется поиск данных необходимых для входа в специальные программы доступа к облачному хранилищу (так называемых «логинов» и «токенов»). Часто пароли хранятся на исследуемых устройствах в виде специальных файлов, многие программы предоставляют возможность идентификации файлов указанного типа. На следующем этапе осуществляется само извлечение данных из облачного хранилища с возможностью сортировки данных по типу, времени создания и изменения. Важной особенностью является документирование всего процесса извлечения данных («логирование»). Эта процедура позволяет подтвердить получение компьютерной информации из облачного хранилища без изменений и посторонних вмешательств. На следующем этапе осуществляется просмотр и анализ полученных данных. Удобство и скорость этого этапа зависит от интерфейса конкретной программы. Завершающим этапом является формирование отчёта, в некоторых случаях используется форма графиков или, например, автоматического нанесения меток на географическую карту, что упрощает работу с полученной информацией на дельнейших этапах расследования.

Вместе с тем, даже при использовании указанных программных комплексов сохраняется проблема доступа к данным в случае, если пароли и «токены» хранятся на другом устройстве и не были обнаружены следователем или экспертом. Возможно, в будущем будут разработаны более эффективные средства международного сотрудничества и местного законодательства, которые позволят оперативно получать физический доступ к данным, как один из вариантов решения указанной проблемы.