Обнаружение и изъятие цифровых следов преступлений экстремистской направленности

Настоящее время характеризуется высоким уровнем погружения человечества в цифровой мир. Развитие высоких технологий, а вместе с тем и способов передачи, обмена и хранения информации послужило толчком к созданию беспроводных систем передачи данных, таких как ИК-порт, Bluetooth, Wi-Fi и, конечно же, информационнотелекоммуникационных сетей, самой распространенной из которых стала всемирно известная сеть Интернет. Согласно исследованиям одной из ведущих мировых компаний, занимающихся медиа-аналитикой «Melt-water», по состоянию на январь 2023 года из 8,01 млрд человек, проживающих на нашей планете, 5,16 млрд (64,4 %)    являются    интернет- пользователями1, и из года в год их количество только растет. Интернет повлиял практически на все сферы жизнедеятельности человека благодаря своим функциональным возможностям. В процессе развития он очень активно стал внедряться в профессиональную деятельность людей, многие его ресурсы связаны с коммерцией, маркетинговыми исследованиями, электронными платежами, а также управлением банковскими счетами и т. д. Помимо этого Интернет чаще стал применяться человечеством в быту для коммуникации, проведения досуга, а также получения информации от Интернет-СМИ.

К сожалению, и представители криминальной субкультуры смогли адаптироваться к новым реалиям, что позволило им открыть новые возможности реализации своих противоправных целей. Не исключением стали и экстремистские организации, а также отдельные представители экстремистской идеологии. Согласно статистическим данным МВД России о состоянии преступности, в 2019 г. было зарегистрировано 585 преступлений экстремистской направленности, в 2020 г. – 833 (+30 %), в 2021 г. – 1 057 (+22 %), в 2022 г. – 1 566 (+48 %), и в 2023 г. – 1 340 (-14,4 %)2, большая часть из которых совершается с использованием сети Интернет.

Генеральный прокурор Российской Федерации И. В. Краснов отмечает, что Интернет является основным источником распространения экстремистской идеологии3, в связи с чем перед специалистами стоит задача по выработке и совершенствова- нию методик обнаружения, фиксации и изъятии цифровых следов преступлений, или, как их еще называют, «виртуальных следов» [1, с. 173], или «электронно-цифровых» [2, с. 10].

Основная часть

Преобладающее большинство преступлений экстремистской направленности совершаемых с использованием сети «Интернет» осуществляются посредством размещения текста, фото-, аудиоматериалов, картинок либо рассылки сообщений в чатах мессенджеров, содержащих призывы к осуществлению экстремистской деятельности (ч. 2 ст. 280 УК РФ4, ч. 2 ст. 280.1 УК РФ) или направленных на возбуждение ненависти, вражды либо унижение чести и достоинства по экстремистскому мотиву (ст. 282 УК РФ). С учетом специфики исследуемой категории преступлений обнаружение цифровых следов и криминалистически значимой информации осуществляется преимущественно следующими способами:

• 1.    Поиск информации экстремистского толка путем мониторинга социальных страниц, мессенджеров или интернет-сайтов посредством использования персонального компьютера, ноутбука, сотового телефона и т. д. Однако такой поиск возможен, когда информация находится в открытом доступе либо получилось оперативным путем получить право посещения закрытой страницы, чата, канала или сайта.

• 2.    Обнаружение цифровых следов преступлений путем непо-

• средственного осмотра электронных устройств подозреваемых либо авторизации через их аккаунты в социальных сетях (мессенджерах) с добровольного согласия или разрешения суда [3, c. 108–109].

• 3.    При наличии достоверной информации и положительного решения суда можно обратиться к компаниям – владельцам серверов социальных сетей, мессенджеров и т. д. с просьбой предоставления криминалистически значимой информации о пользователях и их деятельности в цифровом пространстве, хранящейся на принадлежащих им электронновычислительных мощностях (например, в компанию VK, в активы которой входят такие социальные сети, как «Вконтакте» и «Одноклассники», почтовый сервис «Почта Mail.ru», мессенджер «ISQ» и др.).

• 4.    Получение информации о фактах размещения файлов экстремистского содержания в сети Интернет от физических и юридических лиц, а также от негласного аппарата (конфидентов) оперативными подразделениями [4, c. 143].

Стоит отметить, что с конца 2022 – начала 2023 года Роскомнадзор протестировал и запустил систему «Окулус», предназначенную для автоматического поиска запрещенного контента, в том числе экстремистского содержания. Данная система обрабатывает данные, отобранные единым модулем анализа (EMA), в том числе в расшифровке QR-кодов, переписке в чатах и каналах мессенджеров, URL-адресах, субтитрах и т. д., причем на достаточно высокой скорости: в сутки «Окулус» способен обработать свыше 200 000 фотографий, на один файл в среднем тратится около трех секунд5. Для обычных операторов, действующих в ручном режиме, такая скорость мониторинга, естественно, недостижима, либо будет требовать задействования большого количества человеческих ресурсов.

Компания «СЕУЛАБ» активно развивает поисковую систему «СЕУС», которая специализируется на анализе криминалистически значимой информации в социальных сетях. Применение поисковой системы «СЕУС» позволяет экспертам эффективно решать задачи противодействия терроризму и экстремизму в Интернете6. Это лишний раз показывает наличие стремления российских производителей к совершенствованию отечественных цифровых поисковых систем, предназначенных для выявления противоправной информации, размещаемой в сети Интернет.

Фиксацию факта размещения информации экстремистского содержания на интернет-странице следует производить незамедлительно, так как злоумышленникам не представляет труда частично или полностью изменить либо полностью удалить опубликованную ими противоправную информацию, находясь на любом расстоянии, только лишь имея доступ к сети. Для этого можно произвести фотофиксацию экрана служебного компьютера, где на фотоснимке будет отражена криминалистически важная информация и место ее размещения, однако рекомендуется делать «скриншот» (Print-screen), который позволяет получить более качественное изображение без бликов и ряби (так называемых «муаровых узоров») [3, c. 118–119].

Что касается обнаружения, фиксации, а также изъятия цифровых следов с электронных носителей информации, в том числе заблокированных или поврежденных, то для этого экспертнокриминалистические подразделения МВД России оснащаются специализированными программноаппаратными комплексами. Наиболее часто используемым и эффективным до недавнего времени считался комплекс UFED израильского производства фирмы Cellebrite. Изначально он предназначался для работы в полевых и лабораторных условиях с мобильными устройствами, но с течением времени усовершенствовался и стал применяться для работы с некоторыми КПК, ноутбуками и компьютерами. Однако в последние годы, с учетом происходящих геополитических событий и санкционного давления на Россию, программные обновления к данному комплексу перестали предоставляться фирмой Cellebrite. В связи с этим, как справедливо отмечает Я. Г. Варакин, со временем это сделает их бесполезными к использованию правоохранительными органами Российской Федерации [5, c. 85], а для работы со многими новейшими устройствами они уже непригодны.

К счастью, отечественные производители активно развивают собственные программно-аппаратные комплексы, которые показывают хорошие результаты в работе с различными видами электронных устройств и носителей. Так, «Мобильный криминалист» фирмы «МКО Системы» уже давно не только используется для работы с сотовыми телефонами, но и имеет программы для обнаружения, фиксации и изъятия данных с компьютеров («МК Десктоп») и даже облачных серверов и дронов («МК Эксперт Плюс»). PC-3000 фирмы Acelab специализируется на восстановлении и изъятии информации с жестких дисков компьютеров, а El-comesoft – на восстановлении доступа к заблокированным и зашифрованным данным.

Существуют и другие методы изъятия криминалистически важной информации с электронных устройств: например, метод «Chip-off», предусматривающий выпаивание чипа памяти и считывание с него данных специализированными устройствами или его перепайку в другое, не поврежденное аналогичное устройство; метод J-tag, предусматривающий получение доступа к данным с помощью отладочного интерфейса, и т. д. В зависимости от производителя и функционала, учитывая каждую конкретную ситуацию и исследуемый объект, эксперт сам определяет, какой метод будет более эффективен.

К сожалению, несмотря на то, что методологическое и техникокриминалистическое обеспечение ЭКП МВД России достаточно разнообразное и современное, ни один из аппаратно-программных комплексов как зарубежного, так и отечественного производства не дает гарантий постоянного полного извлечения всех интересующих данных с любого исследуемого устройства. Помимо того, что устройство может быть сильно повреждено либо интересующие цифровые следы были удалены без возможности восстановления, экспертам необходимо иметь в распоряжении только программные комплексы, совместимые аппаратно с версиями операционных систем устройств. К тому же существуют программные обеспечения, специализирующиеся на шифровании. Так, «VeraCrypt» используется представи- телями криминальной среды для создания шифрованных томов на жестких дисках, электронных носителях и даже облачных сервисах. Данное ПО работает со всеми популярными операционными системами: Windows, Linux, Mac OS. Если устройство подвергается осмотру с помощью аппаратно-программных комплексов, о которых мы говорили ранее, то зашифрованную с помощью VeraCrypt информацию не всегда удается обнаружить и, соответственно, изъять.

Одним из разделов сети «Интернет», который содержит огромное количество запрещенной информации, кинопродукции, товаров и сферы услуг криминального характера, является популяризированная в преступном мире так называемая «теневая, или темная, сеть» – DarkNet [6, c. 302]. Для использования подавляющего большинства теневых сетей требуется установка специализированного программного обеспечения (самым распространенным является «Tor», а также «I2P», «Freenet», «Retroshare» и т. д.). Несмотря на их различные индивидуальные качества, главной особенностью всех теневых сетей, привлекающей представителей криминальной субкультуры, является высокий уровень анонимизации пользователей. Для этого в DarkNetе используются собственные домены (т. н. псевдодомены, такие как «.onion»), информация о которых не хранится в корневых серверах DNS, сайты не индексируются поисковыми системами, информация покрывается несколькими слоями шифров, сами сети состоят из нод – огромного количества серверов, созданных анонимными пользователями. Для того чтобы провести осмотр ресурсов DarkNet и зафиксировать интересующую криминалистически важную информацию, необходимо в первую очередь добиться их деанонимиза- ции. Здесь особое значение имеет эффективность работы оперативных подразделений. Как справедливо отмечает А. Б. Смушкин, многие сайты даркнета требуют так называемых приглашений (инвайтов) от доверенных пользователей для доступа к сайту, и для получения подобного инвайта следует активно использовать работу с негласным аппаратом [7, c. 108]. Также в аудиторию пользователей DarkNet может быть внедрен и оперативный сотрудник.

Выводы и заключение

Аккумулируя вышеизложенное, стоит отметить, что, несмотря на вводимые санкции западных государств в отношении Российской Федерации, отечественные разработчики аппаратно-программных комплексов и программного обеспечения различного типа смогли адаптироваться и усовершенствовать собственные продукты, которые в настоящее время активно применяются сотрудниками правоохранительных органов в работе по собиранию цифровых следов преступлений. Конечно, не стоит останавливаться на достигнутом, необходимо и дальше развивать отечественную продукцию и устранять существующие недостатки. То же самое касается и оперативной работы, особенно в рамках борьбы с преступлениями экстремистской направленности, совершаемыми посредством использования теневых сетей Dark-Net. С учетом глобального технического развития необходимо повышать качество и вносить своевременные изменения в тактику и методику работы оперативных подразделений по борьбе с исследуемой категорией преступлений. А на уровне сотрудничества государств, несмотря на геополитические процессы, надо стремиться к разработке, принятию и соблюдению международных правовых норм, направленных на противодействие преступлениям в сфере информационнотелекоммуникационных технологий.