Форензика. Компьютерный след. Часть 4
Привлечение специалистов: необходимость, а не опция
Хотя компьютерные технологии сегодня распространены повсеместно, это не означает, что вместе с их доступностью возросло и общее понимание принципов их работы. Знания об устройстве и функционировании компьютеров, к сожалению, не следуют за их массовым использованием.
Современные информационные технологии стремятся упростить взаимодействие пользователя с устройством, скрывая от него технические детали. Текущая концепция IT-систем построена на идее дистанцирования человека от управления вычислительными процессами.
Развитие технологий движется в сторону всё более глубокой абстракции — пользовательский интерфейс становится максимально простым, в то время как внутренние механизмы работы компьютера остаются за рамками восприятия обычного человека.
- Пользователи 1960-х и 1970-х годов оперировали байтами и логическими операциями.
- В 1980-х пользователи привыкли к символам и файлам.
- В 1990-х мышление строилось вокруг окон, папок и событий.
- Сегодня пользователь взаимодействует с понятиями — документами, хранилищами, рабочими столами.
Для большинства людей не требуется глубоких знаний о процессах, происходящих внутри компьютера — достаточно уметь управлять интерфейсом. Но для специалистов в области компьютерной криминалистики этого недостаточно.
Криминалистика требует иного подхода
Проведение расследований, связанных с компьютерными преступлениями, требует от эксперта погружения в самую суть цифровых процессов. Чем больше специалист понимает о деталях функционирования информационных систем, тем больше он способен выявить цифровых следов действий пользователя.
При анализе посещения пользователем веб-сайта следователь без специальной подготовки может ошибочно считать, что все следы следует искать только на устройстве пользователя и на сервере сайта. Однако это не так.
Без углублённых знаний он не учтёт обращения к DNS-серверам, в частности, к локальному резолверу, и не заметит последующие запросы этого резолвера к другим DNS-узлам. Эти запросы могут сохраняться в логах и предоставлять ценную информацию о том, какие сайты были посещены. Причём эти данные не просто дополняют другие доказательства — они могут быть самостоятельными и достаточно весомыми.
Множество следов — при одном действии
Даже такое, казалось бы, простое действие, как открытие веб-страницы, оставляет множество цифровых следов в самых разных местах. В книге "Форензика — компьютерная криминалистика" описано более десятка видов таких следов, начиная от логов браузера и заканчивая сетевой активностью.
Почему специалист незаменим
Автор подчёркивает: во всех случаях оперативно-розыскных мероприятий или следственных действий, связанных с компьютерной информацией, участие IT-специалиста — не просто желательно, оно обязательно.
Только человек, обладающий специализированными знаниями, способен:
- обнаружить скрытую информацию;
- восстановить казалось бы утраченные данные;
- выявить обман, замаскированный под нормальную работу системы.
К тому же специалист способен критически оценить стандартные пользовательские инструкции и объяснения, поскольку понимает, что большинство пользователей работает с компьютером на уровне, который для них определён системой. Всё, что лежит за пределами этого уровня, находится вне их компетенции.
Заключение
В современном мире поверхностных знаний о компьютерах недостаточно для проведения серьёзного расследования. Специалист по компьютерной криминалистике — это проводник в невидимый мир цифровых следов, без которого невозможно понять, что действительно произошло в информационной системе. Именно его знания и навыки позволяют добраться до истины в цифровом пространстве.