Тактические особенности работы с электронно-цифровыми следами на месте происшествия

В настоящее время почти любой человек имеет в личном пользовании современные технические устройства, такие как мобильный телефон, планшет, компьютер и т. п. При этом многие молодые люди являются активными пользователями смартфонов и иной компьютерной техники, имеющей доступ к информационнотелекоммуникационной сети Интернет (далее — сеть Интернет). Несомненно, данные технологии способствуют улучшению жизни человека, предоставляют возможность общаться друг с другом посредством мессенджеров, осуществлять покупки дистанционно в сети Интернет и т. п.

Стоит отметить, что информационно-телекоммуникационные технологии, как и любые другие технологии, улучшающие жизнь человека, имеют и негативную сторону. С каждым годом увеличивается количество преступлений, совершённых с использованием компьютерной техники и мобильных устройств. Согласно статистическим данным МВД России, негативное влияние на криминогенную обстановку в стране, оказывает рост IT-преступности. Так, за 2017 год зарегистрировано

90 тыс. 587 преступлений, совершенных с использованием компьютер- ных и телекоммуникационных технологий; за 2018 год — 174 тыс. 674 (+92,8 %); за 2019 год зарегистрировано 294 тыс. 409 (+68,5 %); за период с января по ноябрь 2020 года зарегистрировано 461 тыс. 222 (+76,6 %) преступления, в том числе с использованием сети Интернет — на 91,3%, а с использованием средств мобильной связи — на 88,3 %1.

Преступники с каждым годом стараются усовершенствовать способы осуществления незаконной деятельности в целях уменьшения вероятности их раскрытия и привлечения к уголовной ответственности. Так, в настоящее время активно используется скрытый сегмент Интернета — DarkNet, характеризующийся повышенной степенью анонимности. Для доступа используются специальные браузеры с возможностью «анонимного сёрфинга», наиболее распространёнными являются TorBrowser, Epic Privacy Browser,

PirateBrowser [1; с. 14]. Через обычный браузер (Google Chrome, Mozilla Firefox Opera и др.) попасть туда также возможно, но при помощи специального, дополнительно устанавливаемого расширения — «плагина».

Преступления совершаются и в обычной сети Интернет, на различных сайтах, а также через мессенджеры. Стоит отметить, что ещё совсем недавно для противоправных целей использовались мессенджеры WhatsApp, Viber, ICQ. В настоящее время преступники предпочитают программы для обмена мгновенными сообщения с более высокой степенью анонимности, такие как Telegram, Brosix, Pidgin, Xabber [2; с. 280].

Финансовые вопросы, связанные с преступлениями в сфере IT-технологий, также решаются в условиях, исключающих непосредственный контакт. Переводы денежных средств выполняются дистанционно, посредством платежных систем: QIWI-банк, Yandex Money, WebMoney. Помимо этого, в преступной деятельности активно используется криптовалюта (Bitcoin, Ethereum и др.), конвертируемая через специальные биржи (Binance.com, HitBTC.com, LocalBitcoins.com и др.).

Разумеется, как и при любом преступлении, противоправные действия в сфере IT-технологий оставляют после себя определенные, специфические следы преступления. По мнению В. Б. Вехова, их следует именовать «электронно-цифровыми следами» [3; с. 94], т. е. следами, которые образовались в результате человеческой деятельности в компьютерном пространстве, в том числе в информационнотелекоммуникационной сети Интернет. Электронно-цифровые следы могут находиться на различных техни- ческих устройствах (компьютере, мобильном телефоне, видеорегистраторе и т. п.), а также в глобальной сети Интернет (облачных хранилищах, страницах социальных сетей, мессенджерах и т. п.).

Правильное закрепление электронно-цифрового следа в качестве доказательства требует от следователя глубоких познаний и навыков по поиску, изъятию и дальнейшей работе с носителем такой информации. Более качественному и быстрому изъятию следов преступной деятельности могут способствовать аппаратно-программные комплексы («Мобильный криминалист», UFED, SecureView 3, Magnet, MicroSystemation, XRY и др.). В рамках проведения оперативно-розыскных мероприятий и следственных действий их применение позволяет извлечь необходимую информацию с технических устройств, имеющую значение для расследования уголовного дела. В правоохранительных органах наиболее популярными аппаратно-программными комплексами являются «Мобильный криминалист» и UFED [4; с. 33].

Криминалистическое программное обеспечение «Мобильный криминалист» (Оксиджин Софтвер) предоставляет возможность изъять информацию, хранящуюся в мобильном телефоне, компьютерном устройстве, а также в облачном хранилище (iCloud, Microsoft OneDrive, Amazon Drive и др.), даже если устройство является заблокированным.

Программа позволяет извлекать данные из мобильных устройств и их резервных копий. Построение работы осуществляется за счёт декодирования аппаратных ключей шифрования различных операционных систем, включая Android и iOS.

В результате чего программное обеспечение предоставляет полный образ исследуемого устройства, в том числе данные шифрованного приложения, которые              извлекаются и расшифровываются в максимальном объёме и являются полностью идентичными данным приложения на устройстве2.

Другая, не менее функциональная программа UFED, также позволяет извлекать криминалистически значимую информацию с различных        компьютерных устройств. Данное программное обеспечение способно работать практически со всеми видами мобильных устройств. Существенным достоинством данного аппаратнопрограммного комплекса является возможность исследования нерабочего телефона (например, в результате технической поломки или подверженного длительному нахождению в воде). Помимо устройств, работающих на IOS и Android, программа поддерживает менее популярные операционные системы, такие как Windows Phone, SIRIN OS и др. Несомненным достоинством является тот факт, что приложение обладает способностью в декодировании пароля любой сложности,          установленном на телефоне [5; с. 107].

Приоритетной функцией UFED является поиск и извлечение информации со скрытых источников (уда- лённые СМС-сообщения, переписка в мессенджерах, контакты с адресной книги, фотографии и видеозаписи). Данное программное обеспечение часто используют совместно с другим, не менее ценным аппаратнопрограммным средством — Physical Analyzer, которое также работает с большинством мобильных устройств. Его особенностью является возможность поиска по восстановленным координатам GPS, которые сохраняются спутником при пользовании современным телефоном, при этом генерируется маршрут перемещения исследуемого объекта [6; с. 409–410].

В следственной и экспертной деятельности при производстве осмотра места происшествия могут применяться и другие, менее распространённые программные комплексы. Например, Encase Forensic позволяет осуществлять поиск и анализ электронных данных, имеющихся на компьютерном устройстве, в том числе и расположенных удалённо. При работе с программным обеспечением Encase имеется возможность создавать собственные инструменты с помощью скриптов, что, безусловно, удобно в пользовании приложением. Также в Encase имеется возможность поиска на основе неограниченного числа ключевых слов по всем заданным носителям через встроенную функцию Keywords. В программе можно осуществить углубленный поиск при помощи GREP-запроса, т. е. поиск разных вариантов написания конкретного слова. Например, слово «перекати-поле» может быть написано раздельно, через дефис или слитно [7; с. 184].

Специальная программа для исследования компьютерной информации Belkasoft способствует поиску, анализу, изъятию и копированию электронно-цифровых следов, находящихся на техническом устройстве. Программа анализирует жёсткие диски, образы, облачные хранилища, резервные копии iOS, Android, Blackerry и chip-off-дампы.

Стоит отметить, что данные аппаратно-программные комплексы несовершенны и не способны работать с последними новинками техники и программным обеспечением. Тем не менее целесообразность их применения в ходе производства следственного осмотра не вызывает сомнений.

При производстве осмотра места происшествия по уголовным делам в сфере IT-преступности обязательному изъятию подлежат все технические устройства, посредством которых могло быть совершено преступление. Существуют следственные ситуации, при которых изъятие электронно-цифровых следов с технических устройств должно быть организовано безотлагательно, непосредственно на месте происшествия. Промедление в данной ситуации может стать причиной утраты криминалистически значимой информации.

Сложность в изъятии зависит не только от типа электронноцифровой информации, но и от носителя, на котором она находится. Так, условно носители можно подразделить на простые и сложные.

К простым, в свою очередь, можно отнести технические объекты, не обладающие каким-либо ограниченным доступом, паролем (например, flash-карта, видеорегистратор, фото- и видеокамера, оптический диск). Как правило, такие объекты просты в использовании и не требуют специальных познаний при работе. В ходе осмотра места происшествия данные объекты подлежат фактическому изъятию, дальнейшему осмотру и приобщению к материалам уголовного дела в качестве вещественных доказательств.

К сложным следует относить технические устройства, в работе с которыми требуются особые знания в области компьютерной техники и программирования (например, специализированные ЭВМ) либо технические устройства массового использования, но обладающие предустановленным паролем, предоставляющим доступ к информации (например, смартфон, планшет, «умные» часы и т. п.).

Особую сложность представляет изъятие электронно-цифровых следов из облачных хранилищ: Google Drive, «Яндекс.Диск», iCloud, Amazon Drive и т. п. Поскольку требуется определённый доступ к содержимому такого хранилища, не меньшей сложностью в изъятии обладает некоторая информация, содержащаяся в сети Интернет. Осмотр такой компьютерной информации иногда оформляется как осмотр места происшествия, несмотря на то, что происходит в служебном кабинете следователя с использованием служебной компьютерной техники [8; с. 153].

В рамках осмотра и изъятия электронно-цифровых следов с технически сложных объектов требуется применение специальных аппаратно-программных комплексов. Они с большой точностью позволяют обнаружить и изъять необходимую компьютерную информацию, имеющую значение для раскрытия и дальнейшего расследования уголовного дела. Несомненно, изъятие такой информации должно быть ор- ганизовано с обязательным участием специалиста [9; с. 139].

При производстве осмотра места происшествия по преступлениям в сфере информационных технологий следователь может столкнуться с рядом проблем, которые обусловлены спецификой расследования данных видов преступлений. До выезда на место преступления, ещё на стадии формирования следственно-оперативной группы, он (следователь) должен убедиться в компетентности специалиста в необходимой области знаний, поскольку данная сфера является весьма специфичной, и специалистов, обладающих глубокими познаниями в области компьютерной информации — немного.

Планирование следственного действия должно учитывать способ обработки и хранения изымаемой компьютерной информации. Следователь совместно со специалистом должен до выезда на место происшествия определиться с перечнем изымаемых объектов. Необходимо предусмотреть целесообразность применения какого-либо аппаратнопрограммного комплекса и выбрать наиболее эффективный для конкретной следственной ситуации.

Стоит отметить, что следователь в рамках производства следственного действия вправе осуществлять копирование информации, содержащейся на электронном носителе. При этом в протоколе должны быть отражены технические средства, применяемые при осуществлении копирования, а также порядок их применения. К протоколу прилагаются электронные носители информации, содержащие скопированные данные [10; с. 58].

Помимо этого, необходимо предусмотреть способ хранения компьютерной информации.

Основываясь на практическом опыте, можно выделить основополагающие принципы работы с компьютерной информацией при производстве осмотра места происшествия:

• —    обеспечивается сохранность обнаруженных следов на месте преступления (исключение посторонних лиц, контроль над бесперебойной работой компьютерного оборудования);

• —    не допускается поиск файлов и работы с ними на включённом компьютерном устройстве без участия соответствующего специалиста;

• —    в случае необходимости изъятия компьютерного оборудования осуществляется правильное завершение работы, отключается роутер или модем;

• —    если есть угроза несанкционированного уничтожения электронно-цифровых следов преступления вредоносным программным обеспечением, принимаются меры к экстренному отключению компьютера от сети электропитания;

• —    в случае осуществления работы с устройством, работающим от аккумуляторной батареи, например, ноутбук, принимаются меры к её отсоединению;

• —    осуществляется тщательный контроль за упаковкой и транспортировкой изъятого оборудования;

• —    производство осмотра компьютера сопровождается фотофиксацией его внешнего вида, отображения экрана монитора и подключенных к нему устройств;

• — производится фотофиксация и подробное описание обстановки около компьютерного устройства;

— запрещается приведение в рабочее состояние выключенного компьютера;

— каждый изымаемый объект (кабель, flash-накопитель и т. п.) подлежит индивидуальной маркировке;

— нет необходимости изымать комплектующие предметы (компьютерную мышь, клавиатуру, монитор и т. п.);

— упаковка должна исключать возможность повреждения изъятых предметов;

— обеспечивается транспортировка и дальнейшее хранение в условиях, исключающих контакт с магнитами другими потенциальноопасными устройствами;

— любая документация на изымаемое оборудование, например, записи с логинами (паролями) и иная криминалистически значимая информация, подлежит обязательному изъятию;

— при работе с включённым мобильным телефоном или планшетом недопустимо выключать или блокировать экран. Повторное включение может привести к запросу пароля, что осложнит работу с данными. При этом необходимо обеспечить заряд аккумуляторной батареи в оптимальном состоянии;

— если по каким-либо причинам устройство не может длительное время поддерживать автономную работу без дополнительного заряда батареи, а зарядное устройство отсутствует, то необходимо незамедлительно организовать работу с данным устройством с участием специалиста до того, как оно разрядится;

— осуществляется детальное документирование всех произведенных действий в соответствующем протоколе осмотра места происшествия.

Данные рекомендации способствуют качественному обнаружению, осмотру и изъятию компьютерной информации, а также эффективному раскрытию и расследованию преступления.

Другой, немаловажной проблемой является то, что уголовнопроцессуальное законодательство предписывает обязательное участие понятых при производстве осмотра места происшествия, сопряженного с изъятием компьютерной информации. Существует мнение В. Ф. Васюкова, А. В. Булыжкина о том, что понятые должны обладать соответствующими познаниями в области компьютерной техники. Авторы в качестве аргументов справедливо указывают на возможную проблему того, что в дальнейшем понятые, не обладающие специальными познаниями, могут заявить о непонимании происходящего при производстве осмотра места происшествия [11; с. 7].

Данное мнение хоть и имеет вполне конкретное обоснование, но в рамках правоприменительной деятельности зачастую не представляется возможным обеспечить участие понятых, обладающих познаниями в области компьютерной техники. Во-первых, могут возникнуть сложности с поиском лиц, обладающих определенными знаниями в данной области, в особенности, если следственное действие необходимо произвести в сельской местности. Во-вторых, возникает вопрос: кто и как должен проверить компетентность понятых? Компьютерная техника является широким понятием, включая в себя различные области знаний, поэтому, несмотря на то, что человек, приглашенный для уча- стия в качестве понятого, может на достаточно высоком уровне владеть знаниями в области строения технических устройств, в то же время может совершенно не разбираться в особенностях программирования. В-третьих, зачастую необходимость в изъятии электронно-цифровых следов может возникнуть в процессе производства осмотра места происшествия, а, как правило, в качестве понятых приглашаются соседи, прохожие и т. п. Нецелесообразно в данной ситуации приостанавливать следственное действие на неопределенное время в целях поиска «квалифицированных» лиц для участия в качестве понятых.

Таким образом, следует отметить, что указанные тактические рекомендации, а также активное содействие специалиста способствуют эффективному раскрытию и расследованию преступлений, совершенных с использованием информационнотелекоммуникационных технологий. Грамотные, согласованные действия следователя и специалиста обеспечивают достижение поставленных целей как отдельно взятого следственного действия, связанного с изъятием электронно-цифровых следов, так и в целом расследования преступления, совершенного с использованием средств компьютерной техники. Использование аппаратно-программных комплексов по изъятию электронно-цифровой информации с компьютерных устройств, мобильных телефонов, облачных хранилищ и т. п. значительно упрощают процесс раскрытия и расследования преступлений, совершаемых с помощью информационно-телекоммуникационных технологий. В связи с этим судебноследственная практика нуждается не только в функциональном усовершенствовании действующих аппаратно-программных комплексов по изъятию электронно-цифровых следов, но и в скорейшем их повсеместном внедрении в правоохранительную деятельность.