Сегодняшние информационно-телекоммуникационные системы (ИТКС) представляют собой новейшие технологические достижения, предоставляющие возможность общения, получения текущей информации о событиях в мире, непосредственного доступа к информационным порталам частных лиц, общественных и государственных организаций (так называемый режим online). Объектами криминалистических исследований ИТКС наряду с персональными компьютерами пользователей, подключенных к информационным ресурсам, являются также ресурсы юридического лица, поставщика сетевых услуг — провайдера Интернет, предоставляющего большой объем сервиса: электронную почту, электронные объявления, телеконференции, WWW-сервис, FTP— базы данных и пр.

КОМПЬЮТЕРНАЯ СЕТЬ — это совокупность компьютеров и периферийных устройств, обеспечивающих информационный обмен между соединенными между собой компьютерами.

Кабели подсоединяются к персональному компьютеру (ПК) через устройство называемое сетевой картой (адаптером), вставленный в слот расширения материнской платы. Модем (модулятордемодулятор) обеспечивает соединение и связь удаленных ПК по- средствам цифровой передачи данных (ISDN), обеспечивающей высокую скорость и надежность передачи данных. Реализуется ISDN на оптических волоконных линиях или спутниковых каналах — перспективный путь развития беспроводных сетей Интернета. Программные средства, обеспечивающие подключение и связь с удаленным ПК в компьютерной сети, называют удаленным доступом, и в большинстве случаев обеспечивается операционной системой Windows. Существуют способы объединения нескольких сетей с помощью радиоканалов, например с помощью технологий soft Wi-Fi, разработанных фирмой Intel (США).

Криминалистические исследования информации, содержащейся в ИТКС, позволяют выделить целый ряд задач, направленных на диагностирование свойств и состояния настроек по подключению к сети; определение механизма и обстоятельств совершения криминального события по его отражению — информационным следам, в том числе и в регистрирующих файлах (так называемые ZOG-файлы); выявление связи между использованием конкретных аппаратных средств и результатами их применения при работе в сети. Алгоритм решения данных задач можно представить в следующем виде:

• выявление установок удаленного доступа к сети (настроек протокола TCP/IP1, конфигурации DNS[1] [2]), установление параметров набора номера провайдеров, определение имени (login) и пароля (password) подключения к Интернет, проверка на наличие и анализ соответствующих скрипт-файлов (сценариев подключения);

• выявление и анализ содержания имеющихся в компьютерной системе протоколов соединений удаленного доступа к сети, установления вида его организации (с помощью модема, proxi-сервера и т.п.);

• выявление следов использования WWW-браузеров для работы в сети Интернет;

• установление содержимого папок «Избранное» и «Журнал» WWW— браузеров (типичный браузер Internet Explorer[3]);

• установление содержимого и атрибутов учетных записей, установленных удостоверений почтовых Internet-приложений (выявление собственных адресов e-mail, используемых почтовых серверов, установленных паролей); выявление содержимого адресной книги и содержимого локальных папок (входящей, исходящей, отправленной и пр.), (типичные почтовые клиенты — MS Outlook, Thunderbird и The BAT);

• установление и анализ данных по использованию программ для персональной связи через Интернет; установление зарегистрированных номеров ICQ (UIN), пароля, выявление архива переговоров и анализ его содержания, выявление адресной книги.

Данный алгоритм решения задач расследования позволяет выделить две основных категории данных:

Во-первых, сведения о пользователе, включающие: имя, адрес, дату рождения, номер телефона, адрес поставщика услуг Интернет, адрес электронной почты, идентификационные признаки какого либо номера или счета используемого для производства транзакций, справочные данные, идентификационные данные юридического лица, перечень предоставляемых услуг или услуг, на которые подписался клиент, статический или динамический адрес, дополнительный адрес электронной почты и т.д.

Во-вторых, сведения о самом информационном потоке или сообщении, содержащие: первоначальный номер телефона, используемый для связи с LOG-файлом регистрации, данные интернет-сессии или сеанса связи, его время, продолжительность, скорость передачи сообщения, исходящие журналы интернет-связи включая тип используемых транспортных или телекоммуникационных протоколов и т.д.

Следует отметить, что в Конвенции о взаимной правовой помощи по уголовным делам между странами — участницами Европейского Союза, которая была принята Советом в соответствии со ст. 34 Договора об образовании Европейского Союза, в гл. 3 «Перехват телекоммуникаций» ст. 17—19 декларируется возможность доступа и перехвата телекоммуникаций странами — участницами в случае расследования ими уголовных дел.

В объектах исследования (системных блоках компьютеров) типичное телефонное Интернет подключение обусловлено установкой и настройкой следующих компонент:

— модем;

— протокол TCP/IP;

— служба доступа к удаленному серверу, которая позволяет подключаться к сети по телефонному каналу.

В операционной системе MS Windows подобное подключение обеспечивается с помощью средства, называемого «удаленный доступ к сети» (Dial-Up Networking). Этот способ подключения к большинству поставщиков услуг сети Интернет с криминалистических позиций следообразования характеризуется наличием следующей совокупности диагностических признаков:

— имя пользователя (username, login, account) (по нему пользователя узнает компьютер поставщика услуг Интернет);

— пароль (password, passwd) (подтверждает, что именно определенный пользователь ввел свое имя);

— домен (domain);

— адреса DNS1 сервера.

— адрес почтового сервера SMTP (SMTP-server);

— имя пользователя для почтового сервера (host);

— адрес электронной почты;

— пароль для доступа к почтовому ящику (пароль для почтового сервера);

— модем и номера телефонов модемных пулов (номера телефонов для дозвона с целью подключения к узлу Интернет с помощью модема).

Одним из важных параметров подключения к сети Интернет является адрес IP[4] [5] — цифровой адрес пользователя в сети Интернет, который может быть постоянным, т.е. неизменяемым при подключении к узлу поставщика услуг сети Интернет, или временным, выдаваемым пользователю из списка свободных адресов при каждом новом сеансе подключения к узлу. Правильная диагностика зафиксированных в протоколах работы модема IP-адресов позволяет установить конкретного поставщика услуг Интернет. Протокол TCP/IP[6] определяет собой пакетный способ передачи данных. В общем виде, протокол — это набор правил и стандартов, позволяющий осуществлять обмен информацией (данными) между компьютерами. Межсетевой протокол IP является универсальным сетевым стандартом в глобальных сетях. Однако он нередко применяется и в так называемых, составных сетях, использующих различные технологии передачи данных и соединяемые между собой посредством программ, называемых шлюзами[7]. Услуги по выделению новых IP-адресов бесплатны и осуществляются ^енфордским международным научно-исследовательским институтом (Stanford Research Institute International) США. Установив !Р'-адрес, вычисляют конкретный компьютер в локальной сети, а значит установить оперативными методами его содержимое, адрес его установки, владельца, сетевые реквизиты. Отметим, что сетевая карта или адаптер компьютера подключенного к сети имеет уникальный идентификатор, так называемый номер МАС, по которому сетевой администратор может идентифицировать компьютер, который работает в сети, что несомненно, имеет большую криминалистическую значимость, в случае расследования преступлений в сфере высоких технологий. Номер МАС можно определить и при использовании сетевым администратором программ-сканеров. Отметим, что арсенал средств, используемых администраторами сетевой безопасности, включает в себя использование программ-анализаторов протоколов (сниферов), позволяющих выявлять уязвимости сети, устанавливать номера IP, перехватывать сетевые сообщения и другие реквизиты, пароли и т.д.

[1] Transmission Control Protocol/Internet Protocol — пакет протоколов управления передачей, межсетевой протокол, используется для соединения компьютеров с интернетом.

[2] Domain Name System — технология, обеспечивающая присвоение имен доменов IP-адресам. Каждый узел в интернете имеет адрес доменного имени и IP-адрес

[3] Программа-браузер, которую разрабатывала корпорация Microsoft с 1995 по 2015 гг., входила в комплект операционных систем семейства Windows, вплоть до Windows 10 и обрела новое название Microsoft Edge.

[4] DNS — Domain Name System — система доменных имен. Для вызова ресурсов «Всемирной сети» в виде стандарта доменной системы имен следует использовать протокол HTTP.

[5] IP — Internet Protocol — маршрутизированный, межсетевой протокол, позволяющий отдельные компьютерные сети объединить в всемирную сеть Интернет.

[6] TCP — Транспортный телекоммуникационный протокол

[7] Шлюз — специальная программа, выполняющие преобразование данных из форматов, принятых в локальной сети, в формат, принятый в Интернете, и наоборот.