ситуации мы еще вернемся в разделе про электронную переписку – ведь это одна из самых «популярных» тем.
Сбор. Процесс сбора объектов, которые потенциально содержат цифровые следы. Поскольку надежнее и безопаснее все действия по «доставанию» информации проводить в экспертной лаборатории, речь идет именно о самих объектах, содержащих информацию. Однако в значительном количестве случаев это невозможно. Например, когда речь о каком-то IT-оборудовании, обеспечивающем непрерывный производственный или бизнес-процесс. Или когда интересующие нас цифровые следы находятся в облачном хранилище, которое физически не получится «изъять» и доставить в лабораторию.
Извлечение и сохранение. Для того, чтобы цифровые следы имели шансы стать доказательствами, важно соблюсти требования к их относимости и полноте. Получение доступа к цифровым следам ни в коем случае не должно привести к нарушению их целостности, искажению и утрате. Поэтому перед началом основной работы эксперт с использованием специального оборудования или софта10 – блокиратора записи создает криминалистическую копию – «образ» носителя информации (например, накопителя ноутбука). А далее работает только с этой копией. Это действие обеспечит сохранность и неизменность цифровых следов на оригинальном носителе. Если об этом этапе забыть, все дальнейшие действия приведут к изменению первоначального следа, а значит – к утрате доказательства.
На сегодняшний день создание криминалистического образа и работа с ним, а не с самой хранящей в себе цифровые следы системой – это «стандарт отрасли». Отступление от него допускается только в очень редких, исключительных случаях.
Когда копирование завершено, важно убедиться, что копия не отличается от оригинала. Для этого рассчитываются и сравниваются значения криптографической хэш-функции. Если значения хэш-функции оригинала и копии совпадают, то содержимое копии является полностью идентичным оригиналу.
Хэш-функция – специально созданный математический алгоритм, преобразующий по определенным правилам заданный массив входных данных произвольной длины в выходную битовую строку установленной длины. Преобразование, производимое хеш-функцией, называется хешированием, а полученные данный – хеш-суммой, контрольной суммой или ключом.
Существует большое количество видов и подвидов алгоритмов хэширования – MD5, SHA256, Стрибог и так далее. Главное, чтобы применялся только апробированный инструментарий, а процесс тщательно документировался исполнителем.
А теперь давайте поговорим про «источники цифровых следов»: что и где может быть найдено, а также в каких ситуациях это пригодится.
Источники цифровых следов
Электронные документы
В Законе «Об обязательном экземпляре документов»11 сказано, что документ –