Краткая история развития цифровой криминалистики

Временем развития компьютерной криминалистики (Computer Forensics) принято считать 1970-е и 1980-е годы. В те времена форензикой занимались в основном компьютерные энтузиасты из правоохранительных органов. Тогда проводимые исследования были довольно простыми, так как объектами изучения становились несложные по нашим временам системы, а сети не были развиты так, как сейчас. Сфера распространения форензики также была довольно узкой. В США, например, одним из основных направлений были расследования преступлений, связанных с распространением порнографии. Кроме того, криминалисты занимались изучением электронных носителей, полученных в ходе войн.

Появлялся и специализированный инструментарий. Первое криминалистическое программное обеспечение Magnet Media было создано сотрудниками ФБР в 1984 году. В 1986-м была запущена первая ловушка (honeypot).

Что касается СССР, первым зарегистрированным компьютерным преступлением было хищение 78 584 рублей в Вильнюсе. В 1991 году во Внешэкономбанке СССР было похищено 125,5 тыс. долларов США. Примерно в то же время началось формирование законодательной базы по части компьютерной преступности.

В связи с большим распространением сети Интернет в 1990-х работы форензикам прибавилось. Специалисты исследовали вредоносное программное обеспечение, взломы сетей организаций. Тогда же появились первые конференции: например, International Law Enforcement Conference on Computer Evidence, проведённая в 1993 году. В 1998-м сотрудники Association of Chief Police Officers (ACPO) в Великобритании выпустили первые формализованные рекомендации по изучению цифровых доказательств (англ. Good Practice Guide for Digital Evidence). В 1999 году запущен журнал «Хакер», изначально имевший геймерскую тематику, однако впоследствии перешедший к вопросам взлома и защиты устройств.

Сейчас форензика существует и в правоохранительных органах, и в коммерческих компаниях. При этом объекты исследования, методы и процессы у специалистов указанных категорий совершенно разные. Взглянем поближе.

В правоохранительных органах компьютерные криминалисты сосредоточены в основном в системе МВД, но имеются также в ФСБ. Примерно такие же специалисты есть в Министерстве юстиции в Российском федеральном центре судебной экспертизы (РФЦСЭ).

Так, сотрудники экспертно-криминалистических центров (ЭКЦ) МВД России обычно занимаются исследованием отдельных устройств (персональных компьютеров, мобильных телефонов) в рамках экспертиз (исследований) чаще всего по некомпьютерным преступлениям. Это такая классическая форензика из методичек правоохранителей. Следователей интересует, к примеру, не искал ли подозреваемый в браузере информацию об оружии, каковы геолокационные координаты фотографий из галереи, содержимое сообщений в мессенджерах. При этом криминалисты чаще всего используют своеобразные «комбайны»: специализированные программно-аппаратные комплексы для извлечения данных (например, Cellebrite UFED), блокираторы записи для доступа к внешним дискам (к примеру, Tableau). Обычно такие форензики работают с образами дисков, а для анализа используют криминалистические программные комплексы («Мобильный криминалист», Belkasoft Evidence Center, Magnet AXIOM, X-Ray) вида «всё в одном». Такие программы умеют извлекать данные из огромного количества устройств на самых разнообразных платформах (компьютеры и ноутбуки на Windows/Linux/macOS, iOS-смартфоны, Android-смартфоны на всевозможных чипах, смарт-аксессуары, дроны и даже умные автомобили).