О ДОКАЗАТЕЛЬНОЙ ЦЕННОСТИ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ НА РАЗЛИЧНЫХ УРОВНЯХ ЕЕ ПРЕДСТАВЛЕНИЯ В. В. Бакланов, к. т. н., доцент Экспертам-криминалистам, как никому другому, известно, о чем могут рассказать вещественные доказательства. Компьютер, как универсальное устройство, предназначенное для обработки информации, может рассказать чрезвычайно много, надо его просто правильно спросить. Оставим в стороне большую часть признаковой информации, которую можно получить при визуальном и инструментальном исследовании аппаратуры и оборудования – это, без сомнения, очень любопытная информация, но речь пойдет не о ней. Точно так же вне поля нашего внимания останется компьютерная информация, распечатанная на традиционных бумажных носителях. Не будем затрагивать и следов, которые могут быть запечатлены на внешних носителях при перехвате информации по техническим каналам ее утечки. Речь пойдет исключительно об «электронных» доказательствах, содержащихся в памяти компьютера. Как известно, компьютерная информация может быть представлена на нескольких уровнях: физическом, который, в свою очередь, «расщепляется» на уровень запечатления информации на материальном носителе и уровень взаимодействия с носителем; логическом; синтаксическом; семантическом; прагматическом. Уровень запечатления на материальных носителях Информация доступна человеческому познанию исключительно на вещественных и энергетических носителях. Можно поспорить относительно того, является ли инжектированный в униполярную полупроводниковую структуру Flash-памяти электрический заряд или намагниченный домен на поверхности магнитного слоя вещественным или энергетическим носителем. Энергетические носители в форме электрических сигналов, электромагнитных и акустических полей используются только для передачи, копирования, динамического отображения информации, поэтому интереса для следствия не представляют (если они не были перехвачены специальной аппаратурой с записью на вещественный носитель). Прежде всего, компьютерная система – это очень сложное радиоэлектронное устройство. По-видимому, даже однократное протекание электрического тока по проводнику способно оставить какой-то след в его структуре, однако мы не располагаем такой чувствительной техникой, чтобы зафиксировать подобные следы. Конечно, в отдельных случаях, когда явно нарушался режим работы радиоэлектронных схем и это отразилось на их исправности, «следы» воздействия могут сохраниться, например, в виде почерневшего от нагрева лакокрасочного покрытия печатной дорожки или элемента радиоэлектронной аппаратуры. Однако компьютер обладает памятью, точнее множеством видов памяти. Специалисты различают, в частности, память внешнюю и внутреннюю, оперативную и постоянную, магнитную, оптическую и твердотельную (полупроводниковую), фиксированную и сменную и др. Все это особого значения не имеет, и мы можем считать, что бывает два вида памяти: энергозависимая и энергонезависимая. Энергозависимая память стирается из компьютера сразу же после выключения его из сети (при отсутствии устройства бесперебойного питания), а энергонезависимая – сохраняется в выключенном виде на неопределенный период. Имеется и CMOS-память, которая зависит от состояния батарейки, установленной в системную плату. Энергонезависимая память – один из интереснейших разделов памяти, который традиционно остается вне поля зрения эксперта. Раньше эта память называлась постоянной и хранила только информацию, «зашитую» в микросхему ее производителями. Но сейчас расширенная область BIOS может хранить несколько мегабайт информации, и главное – Flash-BIOS перезаписывается на программном уровне. Благодаря этому здесь могут «скрываться» вредоносные программы (компьютер – объект преступления), а преступник может хранить в ней информацию, относящуюся к совершению преступления. Некоторые области энергонезависимой памяти отображаются в адресное пространство оперативной памяти и доступны операционной системе. Но считывать эту информацию не так просто – для этого нужны специальные программы. Перевод части компьютерной информации из оперативной памяти в дисковую, иначе – перевод информации из менее устойчивой в более устойчивую систему, может проводиться на этапе первичных следственных действий при строгом соблюдении уголовнопроцессуальных действий. Компьютерная информация на уровне физического запечатления на дисковом носителе выглядит весьма непритязательно – это всего лишь очень длинная последовательность намагниченных пятен на поверхности магнитного слоя или непрозрачных штрихов или углублений на отражающей поверхности оптического диска. Информация на физическом уровне, собственно, и образует основные, первичные «следы», как это трактуется положениями трасологии (материальное отображение внешних признаков предметов). Эксперта в значительной степени интересует, что содержится во внешней, иначе говоря, дисковой памяти. Именно на этом уровне компьютерная информация, в том числе имеющая отношения к расследуемому преступлению, запечатлевается достаточно прочно. Кстати, для разрушения логического уровня представления информации достаточно исказить хотя бы один бит на физическом уровне (если не поможет избыточный код с исправлением ошибок). Уровень взаимодействия с носителем Человеческие органы чувств могут непосредственно считывать информацию только с традиционных носителей, при условии использования знакомого языка, алфавита, символов, кодировки, отчетливого их отображения. Человеческий глаз или ухо бессильны, когда необходимо прочесть информацию с магнитного или оптического диска. Для того чтобы считать и преобразовать в энергетическую форму ранее записанный сигнал, необходимо сложное радиоэлектронное устройство, со сложным механизмом позиционирования читающей головки, привода и др. Однако на уровне взаимодействия на сменном машинном носителе запечатляется информация о свойствах и характеристиках накопителя, который, в свою очередь, более или менее постоянно связан с системным блоком компьютера. Во-первых, зависимость плотности физических «отпечатков» на поверхности дискового носителя от угла вращения связывает сменный носитель с дисководом. Как установлено, вследствие систематической погрешности угловой скорости вращения диска, вызванной уникальными электрическими характеристиками каждого накопителя (различие в моточных данных каждого из 15 полюсных магнитов привода вращения), существует возможность установления источника файла, скопированного на дискету (в случае, если следствие будет располагать дискетой с оперативно важной информацией и необходимо установить, как и откуда эта информация была записана). Однако если для считывания информации с дискеты мы используем тот же или такой же накопитель со стандартными драйверами устройств, то такая важная информация попросту остается невидимой для эксперта. Во-вторых, современные жесткие диски имеют определенный процент резервных секторов, и автоматика контроллера диска без участия операционной системы и пользователя осуществляет диагностику секторов и замену поврежденных исправными, причем информация на поврежденных секторах не стирается и становится полностью невидимой для пользователя и стандартных программных средств. Прочесть информацию из поврежденных секторов в принципе можно, но для ее чтения из аппаратных «глубин» контроллера требуется программное обеспечение от производителя. Таким образом, уже на уровне взаимодействия с носителем мы можем получить или потерять часть компьютерной информации, возможно, имеющей отношение к расследуемому делу. Логический уровень представления компьютерной информации На логическом уровне компьютерная информация представлена в виде условных единиц хранения информации различной величины и сложности. Эти единицы называются байтами, блоками, секторами, кластерами, пакетами, кадрами, файлами, папками, каталогами, логическими или сетевыми дисками. Большинство операций, проводимых компьютером над информацией, осуществляются над файлами как основными хранителями информации. Файл определяет не только содержание программ и данных, но и их форму и свойства. Некоторые из свойств файла чрезвычайно значимы для решения задач идентификационного характера. Значительная часть «электронных следов» скрывается именно на логическом уровне, а точнее, на уровне файлов. Операционные системы позволяют нам получить доступ только к той информации, которая правильно включена в файловую систему. Все что не входит в файл, для пользователя и недостаточно квалифицированного и программно оснащенного эксперта невидимо. За пределами видимого остаются: служебные секторы; резервные секторы; поврежденные секторы; «хвостовики» последних кластеров, отведенные каждому файлу; все свободное дисковое пространство; дополнительные дорожки на диске, которые могут быть размечены при участии вредоносных программ и др. Все эти области, а их на диске может быть от нескольких процентов общего пространства и более, могут быть заняты кодом вредоносных программ, «технологическим» мусором, данными, скрываемыми от следствия. Далеко не каждый файл доступен для просмотра. Так, большинство файлов-документов офисного пакета Microsoft Office имеют очень сложную динамическую блочную структуру и содержат наряду с текстом элементы форматирования, таблицы, рисунки, автотекст, интерпретируемый код (макросы) и многое другое. В режиме так называемого «быстрого» сохранения в документы записываются только текущие изменения, и электронный файл становится подобным айсбергу, большая часть которого невидима для надводного наблюдателя. В программной среде текстового или табличного процессора видима лишь часть документа, которая сохранена после последнего редактирования. При чтении или печати документа мы получим лишь часть файла – остальное останется за пределами видимости. Многие файлы документов содержат кроме собственно текста и рисунков элементы форматирования. Это размер, тип и выделение шрифта, межстрочный интервал, величина абзацного отступа, размеры полей страницы и многое другое. Файлы документов содержат в себе и иные служебные отметки, связывающие документ с конкретным пользователем и аппаратно-программной средой разработки: конкретным текстовым или табличным процессором, операционной системой и т. д. В совокупности набирается несколько десятков признаков, которые позволяют с большой вероятностью идентифицировать электронный документ с аппаратно-программной средой его разработки. Иначе говоря, появляется возможность ответить на вопрос: мог ли быть данный электронный документ разработан на конкретном компьютере, в том числе конкретным пользователем (в комплексе с автороведческой экспертизой). Несмотря на то что большая часть признаков форматирования представлена на экране монитора и в распечатанном документе, их выявление и отождествление «вручную» является очень непростой задачей. Таким образом, компьютерная система делает «видимой» компьютерную информацию только начиная с файлового уровня. При этом сложная структура файлов документов тоже скрывается от глаз пользователя. Синтаксический уровень представления информации На данном уровне компьютерная информация предстает перед нами в виде совокупности символов, составляющих определенный алфавит и образующих слова и предложения, построенные в соответствие с определенной грамматикой. Компьютерные системы используют многие десятки кодировок, и эксперту для добывания осмысленной информации необходимо умение работать с программами, позволяющими изменять кодировку в автоматическом или ручном режиме. Определенная часть компьютерной информации может быть зашифрована, причем с использованием стойких алгоритмов криптозащиты и надежных ключей. Если подозреваемый (обвиняемый) не предоставит следствию данных ключей, информация может считаться потерянной. Современные криптоалгоритмы путем обычного перебора вскрываются не менее, чем за несколько десятков лет, и лишь в наиболее ответственных случаях имеет смысл прибегать к помощи квалифицированных криптоаналитиков и ресурсам супер-производительных компьютеров. При перекодировании информации ее часть может бесследно теряться. Так, изменение формата некоторых графических и звуковых файлов приводит к разрушению так называемых «слабых» или «шумовых» разрядов, которые используются для скрытого переноса информации (стеганографии). О роли так называемой системной информации К ней относятся системный реестр, файлы инициализации, файлы «истории», журналы аудита и др. Операционная система «помнит» очень многое, в том числе: список недавно запускаемых программ; список документов, с которыми работал каждый из зарегистрированных пользователей; перечень ключевых слов для поиска файлов; адреса посещенных Интернет-сайтов и т. д. Каждый раз, когда пользователь (или преступник) устанавливает (инсталлирует) новую программу, подключает к компьютеру новое устройство (или отключает существующее) или просто перезагружает компьютер, операционная система вносит изменения в свой реестр, тем самым фиксируя состоявшееся событие. В любой момент времени информация реестра отражает последние изменения. Операционные системы Windows 98, Me, 2k, XP при наличии USB-портов до 1000 раз в секунду опрашивают шину на предмет изменения аппаратной конфигурации компьютера. Об использовании «технологического» мусора «Технологическим» информационным мусором называется остаточная информация, которая создается программным обеспечением для обеспечения режима виртуальной памяти, кэширования, «теневой» памяти, для резервирования документов с целью обеспечения удобства пользователя. Многие программы в ходе работы создают не просто мусор, а целые мусорные свалки. Существует правило: чем «приветливее» программа для пользователя, тем больше «следов» ее работы остается в энергонезависимой памяти. Сами по себе «электронные следы» в памяти компьютера не остаются. Для этого существует множество программ, специально предназначенных для фиксации событий. Запечатление информации производится с различной целью: резервирования информации на случай потери, порчи, модификации; предоставления пользователю дополнительных удобств в работе; возможности работы материнской платы с разнообразным периферийным оборудованием; обеспечения безопасности компьютерной информации (пароли, аудит); наследования свойств программ и данных на разных уровнях представления; наконец, информация может сохраниться случайно либо в силу недостаточной продуманности аппаратно-программных решений. Мы приходим к достаточно тривиальному выводу: все «электронные» следы преступной деятельности, как и положено следам, сосредоточиваются на физическом уровне, или уровне запечатления на машинных носителях. Чем выше уровень представления компьютерной информации, тем меньшим становится объем возможной доказательной базы. Компьютерная система заботливо изолирует пользователя от аппаратных особенностей и избыточной информации. И если эксперт-криминалист по своей квалификации и технологическому обеспечению не поднимается выше обычного пользователя, для него окажется невидимой значительная часть следов преступной деятельности. Что же делать? Можно отказаться от компьютера и его программного обеспечения и «качать» компьютерную информацию с дисковых накопителей напрямую в форме потока электрических импульсов с последующей их записью на внешний носитель. Будет ли это решением проблемы? Но не надо забывать, что компьютерная техника – не просто «интеллектуальное железо». Это, вероятно, самое сложное из того, что на данном этапе своего развития сумело создать человечество. И прочитанный из произвольной области дисковой памяти поток битов может означать все, что угодно: синхроимпульсы, введенные для обеспечения линейного кодирования, заголовки дорожек и секторов, сигналы межсекторного заполнения и т. п. Даже в том случае, если мы выделим только демодулированный поток данных, мы останемся в неведении, что это – машинные инструкции в двоичной кодировке, текст в одном из множества форматов, звук, графика или нечто еще. Для интерпретации считанной информации нам вновь потребуется компьютер со стандартным программным обеспечением. Избыточность добываемой информации Еще одна распространенная ошибка – пытаться извлечь из машинной памяти все, что там находится. В принципе, это не просто ошибка – это нарушение критерия относимости доказательств. Необходимо помнить, что управляемая и контролируемая человеческая память не идет ни в какое сравнение с машинной памятью. Современный компьютер помнит чрезвычайно много, даже если отбросить всю информацию за пределами файловой структуры дисковых носителей. И следователь, и эксперт в буквальном смысле «утонут» в избыточной информации, если на рассмотрение эксперта будут выноситься вопросы типа «Какая модель компьютера представлена на исследование, каковы его технические характеристики, параметры периферийных устройств, вычислительной сети»? Зачем следователю ответы, которые содержатся в громадных массивах технической документации, но которые не имеют никакого отношения к расследуемому делу? Какова будет стоимость таких экспертиз и готово ли государство платить за них? Экспертная техника и методика Эксперт-криминалист, работающий в сфере компьютерной информации, должен опираться на надежное аппаратно-программное обеспечение. Кто его должен разрабатывать? Прежде всего, головные экспертно-криминалистические подразделения различных ведомств, занятых расследованием преступлений, совершаемых с использованием современных компьютерных технологий. Следует помнить, что из-за невероятной скорости обновления компьютерных технологий многие методики криминалистических исследований становятся ненужными почти сразу после их создания. По-видимому, экспертам-криминалистам в компьютерной сфере еще не скоро придется пользоваться нормальными методиками, утвержденными соответствующими инстанциями. Многие задачи нуждаются в разработке не только специального программного обеспечения, но и в создании и отладке достаточно сложных специальных аппаратных устройств. Все это требует координации действий правоохранительных органов, а возможно, централизованной подготовки экспертов вне зависимости от их ведомственной принадлежности. Автор не ставил перед собой цели раскрыть все вопросы экспертной деятельности, тем более что это далеко не первая и не последняя публикация на эту тему в данном журнале. «Защита информации. Конфидент», №4, 2003, с.16-19