Аналогичный подход применим также к программам и компьютерам. Изучение сетевого трафика может дать криминалисту почти столько же полезной информации, как изучение самогО компьютера со всем его содержимым. Трафик – он бывает доступнее, чем компьютер.
 Суди о дереве по плодам его, а о компьютере – по трафику его. |
Вот недавно был типичный случай. Следователь ставит эксперту вопросы: какая информация содержится на диске компьютера, изъятого у подозреваемого, в частности, информация о платежах, поставке товаров? Эксперт в одно касание отвечает: диск зашифрован, ничего не видно. На том сказочке конец. А если бы вместо изъятия заснифили бы трафик подозреваемого, то в нём так или иначе засветились бы бухгалтерские документы, если не все, то большинство.
Есть две тенденции. Во-первых, всё бОльшее число приложений с локальной работы переходят на сетевую и отправляют по Интернету то, что раньше хранили на местном диске. Даже когда в трафике нет пользовательских данных, по нему можно понять, что сейчас делается. Или кто это делает. Во-вторых, всё бОльший процент трафика шифруется. Даже когда это не очень надо. Трудно сказать, какая тенденция сильнее. Но оперативно-розыскное мероприятие "снятие информации с технических каналов связи" не теряет своего значения и может дать такие доказательства, которые иным путём не получишь.
То, что лежит на диске мёртвым грузом, не порождая никакого трафика – оно и никаких общественных отношений не порождает, поэтому для расследования не важно.
