Услуги по цифровой форензике (компьютерной криминалистике)

Услуги цифровой криминалистики от экспертов RTM Group

Услуги компьютерной криминалистики, т.н. цифровой форензике (Digital Forensic), представляют собой комплекс действий по поиску, обнаружению, извлечению и исследованию важных для дела цифровых доказательств в виде компьютерной информации и формирование экспертного заключения на основе зафиксированных данных.

Данную услугу можно разделить на направления компьютерной криминалистики (Computer Forensics), сетевой криминалистики (Network Forensics), криминалистического анализа данных (Forensic Data Analysis), мобильной криминалистики (Mobile Device Forensics) и аппаратной криминалистике (Hardware Forensic).

Общий порядок проведения работ

• Для возможности установления пределов своей компетенции первоначально эксперту необходимо ознакомится с обстоятельствами дела.
• Предоставление эксперту объектов исследования.
• Сбор информации с представленных объектов с обеспечением сохранности важных цифровых следов, а также атрибутированием и указанием источников происхождения данных.
• Экспертное исследование собранной информации, которое может включать в себя поиск следов, восстановление данных, анализ и представление доказательственной информации.
• Синтез полученных данных, формирование выводов и оформление результатов исследования.

Важно!

1. При передаче объектов исследования инициатором также должна обеспечиваться целостность информации на данных объектах.
2. Конфиденциальность информации гарантируется на всех этапах проведения исследования.
3. При проведении судебных экспертиз по уголовным, гражданским и арбитражным делам эксперт дает подписку, где предупреждается об уголовной ответственности за дачу заведомо ложного заключения.
4. Высокий уровень компетенций исследований с применением специальных программных и аппаратных средств компьютерной криминалистики. С помощью имеющегося в распоряжении экспертов инструментария проводимые исследования могут быть автоматизированы в той или иной степени, однако необходимость эксперта работать руками все равно имеется.

Что требуется?

Для возможности реализации поставленных перед экспертом задач в первую очередь от инициатора требуются описание обстоятельств дела. Для проведения экспертизы необходимы сами объекты исследования. Ими могут быть носители информации персональных компьютеров или серверов или их образы, журналы работы сетевого оборудования, мобильные устройства и др.

Что получает заказчик?

По результатам проведения исследования инициатор получает оформленное в соответствии с Федеральным законом № 73-ФЗ экспертное заключение с выводами по поставленным вопросам, которое возможно использовать в суде.

Сроки

Сроки работ зависят от объема поставленных задач, а также количества поставленных вопросов. Более точные сроки устанавливаются после ознакомления с предстоящим фронтом работ.

Определение компьютерной криминалистики

Под цифровой (компьютерной) криминалистикой, или, как ее еще называют, форензикой, подразумевается целая отрасль судебной науки, которая изучает извлечение и последующее исследование данных, обнаруженных на цифровых устройствах, при расследовании компьютерных преступлений.

Основные задачи цифровой криминалистики

Обратимся к задачам, решаемым цифровой криминалистикой. Поскольку их существует огромное количество, отметим лишь наиболее значимые из них:

• Исследование трафика компьютерной сети с целью сбора информации о возможных вторжениях в сеть;
• Поиск, извлечение и фиксация криминалистически значимых доказательств из мобильных устройств;
• Установление причин изменения функциональных свойств аппаратных средств при нарушениях работы компьютерной сети компании;
• Сбор информации и последующий анализ на предмет правонарушений, связанных с компьютерной информацией;
• Разработка рекомендаций по защите информации в дальнейшем, после обращения, в связи с инцидентом;
• Восстановление удаленных и поврежденных данных.

Сферы применения компьютерной криминалистики (форензики)

Отметим наиболее распространенные сферы применения форензики:

• Исследование цифровых доказательств в рамках расследования уголовных преступлений;
• Расследование внутрикорпоративных инцидентов информационной безопасности (например, утечки конфиденциальной информации или кибератаки на компьютерную сеть организации);
• Поиск и исследование информации, содержащейся на различных электронных носителях.

Необходимо также отметить, что эксперты RTM Group обладают опытом применения компьютерной криминалистики во всех вышеперечисленных сферах.

Предметы компьютерной криминалистики

• Как и любая другая прикладная наука, форензика обладает своими методами, предметами и объектами исследования. Перечислим предметы цифровой криминалистики:
• способы и инструменты совершения компьютерных преступлений, их последствия, а также оставляемые цифровые следы и сведения, относящиеся к преступлению и полученные методами OSINT;
• оперативная, следственная и судебная практика по преступлениям в сфере информационных технологий;
• методы экспертного исследования компьютерной информации и программного обеспечения;
• возможность использования информационных технологий как для совершения преступлений, так и для их предотвращения и раскрытия;
• достижения отраслей связи и информационных технологий (ИТ), их влияние на общество, а также возможности их использования как для совершения преступлений, так и для их предотвращения и раскрытия.

Методы и инструменты цифровой криминалистики, применяемые при расследовании компьютерных преступлений

• Для предотвращения записи информации на исследуемые носители, подключаемые к ПК эксперта, используются как аппаратные средства (РС-3000, Tableau T35U, AgeStar 3FBCP), так и программные (USB WriteProtect);
• Для снятия криминалистических образов с физических жестких дисков с целью их дальнейшего исследования используется ПО AccessData FTK imager;
• Для восстановления информации, удаленной с носителей, используются PC-3000, R-Studio, X-Ways Forensics;
• Для комплексного анализа и изъятия данных с машинных носителей информации (дисков) применяется программный комплекс Мобильный Криминалист с модулем «Скаут»;
• Для исследования веток реестра систем под управлением ОС Windows используются утилиты Windows Registry Recovery и RegRipper;
• Для подтверждения подлинности или выявления следов модификации медиафайлов (видеозаписей, фотографий и аудиозаписей) применяется специализированное ПО для анализа данных файлов («GIMP», «Elecard Video Format Analyzer», «Audacity»), различные усилители звука и пр.;
• Для анализа сетевого трафика применяются различные утилиты, например, WireShark.
• При аппаратном исследовании устройств применяются такие инструменты, как микроскопы, лупы, прецизионные отвертки, паяльные станции, термофены и т. д.

Когда применяются методы и инструменты цифровой форензики

Рассмотрим несколько ситуаций из практики RTM Group:

• Были похищены деньги с банковского счета организации. В ходе исследования компьютера бухгалтера были выявлены серьезные нарушения требований информационной безопасности, что и стало причиной инцидента. Также, в свою очередь были обнаружены следы применения вредоносного ПО. Экспертами исследовалось поведение данного вируса в системе, пути его попадания в систему, механизм действия и т. д.;
• У клиента банка были списаны без его ведома денежные средства в крупном размере. Он обратился за помощью к RTM Group. Экспертам, в ходе анализа журналов входа в личный кабинет, удалось доказать, что совершенная операция по переводу денежных средств была совершена иными лицами, поскольку обладает рядом нехарактерных для данного клиента признаков (местоположение, устройство, сумма перевода и др.);
• В ходе проведения оперативно-розыскных мероприятий в рамках расследования организованной преступной деятельности ГСУ МВД России по Воронежской области изъяло у подозреваемого системный блок и ноутбук. Следователем перед экспертами были поставлены вопросы о наличии на изъятых устройствах вредоносного ПО, а также, доказательств его использования и распространения. Экспертами RTM Group при помощи специализированных инструментов были обнаружены вредоносные программы и следы их использования.

Услуги по цифровой форензике

Для того, чтобы специалисты RTM Group могли провести качественное исследование, очень важно сформулировать вопросы для экспертизы, чтобы были исследованы и зафиксированы конкретные данные, позволяющие судить о том или ином произошедшем событии. Эксперты RTM Group помогут правильно сформулировать все необходимые вопросы.

Также необходимо предоставить доступ к техническим средствам, которые являются объектами разбирательств. При обращении в RTM Group, эксперты помогут определить, какие именно источники информации могут быть полезны для подтверждения тех или иных данных. Например, могут пригодиться резервные копии журналов регистрации, дампы оперативной памяти или жёстких дисков, лог-файлы, журналы звонков мобильной сети, флеш-накопители и многое другое.

После того как были сформулированы вопросы для экспертизы и был предоставлен доступ к объектам, эксперты с помощью различных методик и инструментов проведут анализ представленных данных. При исследовании применяются специализированные стенды, а также программное обеспечение и аппаратно-программные комплексы.

По результатам исследования специалисты RTM Group подготавливают экспертные заключения, в которых отвечают на поставленные вопросы, отражая все полученные данные, для подтверждения той или иной информации в заключении могут быть представлены различные фотографии и иллюстрации. За дачу заведомо ложного заключения эксперты несут уголовную ответственность согласно ст. 307 УК РФ.

Преимущества цифровых расследований от RTM Group

По результатам проведенного исследования специалисты RTM Group направляют заказчику отчет о проделанной работе – экспертное исследование.

В заключение эксперта отражены (согласно ст. 25 N 73-ФЗ):

• время и место производства судебной экспертизы;
• основания производства судебной экспертизы;
• сведения об органе или о лице, назначивших судебную экспертизу;
• сведения о государственном судебно-экспертном учреждении, об эксперте (фамилия, имя, отчество, образование, специальность, стаж работы, ученая степень и ученое звание, занимаемая должность), которым поручено производство судебной экспертизы;
• предупреждение эксперта в соответствии с законодательством Российской Федерации об ответственности за дачу заведомо ложного заключения;
• вопросы, поставленные перед экспертом или комиссией экспертов;
• объекты исследований и материалы дела, представленные эксперту для производства судебной экспертизы;
• сведения об участниках процесса, присутствовавших при производстве судебной экспертизы;
• содержание и результаты исследований с указанием примененных методов;
• оценка результатов исследований, обоснование и формулировка выводов по поставленным вопросам.

Экспертные заключения, подготовленные сотрудниками RTM Group, всегда выполняются качественно, в срок и получают высокую оценку судов. Кроме того, наши эксперты обладают большим опытом проведения судебных экспертиз и регулярно повышают свои компетенции по следующим направлениям:

• Компьютерные сети и сетевая безопасность;
• Информационная безопасность;
• Системное администрирование;
• Прикладное программное обеспечение;
• Вредоносное ПО;
• Системы автоматизации бизнес-процессов (1С, SAP и пр.);
• Безопасность АСУ ТП;
• Отечественное регулирование в IT и др.