УДК 343.146
Кувычков Сергей Иванович Kuvychkov Sergey Ivanovich
преподаватель кафедры математики, информатики и информационныхтехнологий Нижегородская академия МВД России (603950, Нижний Новгород, Анкудиновское шоссе, 3)
lecturer of department of mathematics, informatics and information technologies Nizhny Novgorod academy of the Ministry of internal affairs of Russia (3 Ankudinovskoe shosse, Nizhny Novgorod, 603950)
E-mail: [email protected]
К вопросу об использовании электронной информации в уголовно-процессуальном доказывании: теоретико-прикладной аспект
On the use of electronic information in criminal procedure proving: theoretical and applied aspects
В статье рассмотрены возможности использования электронных доказательств в уголовном судопроизводстве. Указаны примеры недостатков в применении электронных доказательств в правоохранительной деятельности. Даются предложения по изменению законодательства с целью использования электронной информации в доказывании. В статье содержатся рекомендации по повышению эффективности представления электронных доказательств в суде.
Ключевые слова: электронное доказательство, уголовный процесс, доказывание.
The article criticized the views about the alleged inferiority of electronic evidence. The authors show the typical drawbacks in using electronic evidence. They make suggestions for changes in legislation in order to adapt to the use of electronic information in proving. In this article there are recommendations for improving the presentation of electronic evidence in a court.
Keywords: electronic evidence, criminal procedure, proving.
Информация в электронном виде повсеместно вытесняет бумажные документы, но при этом возникают различного рода проблемы. Одна и та же электронная информация, представленная в виде видео-, фото- и звуковых материалов, может трактоваться различными сторонами процесса в своихличных интересах. На этой почве возникают и ведутся информационные войны с применением теле- и радиоканалов. Поэтому для определения истинной природы возникновения и источника электронной информации необходимы дополнительные атрибуты, позволяющие определить принадлежность данной информации субъекту с привязкой к конкретному географическому месту и времени. Данные возможности предоставляют практически все современные электронные средства.
Ни для кого не секрет, что современный человек оснащен массой устройств, позволяющих определить его местонахождение в простран-
стве в определенное время и выявить возможность причастности к тому или иному событию. Большинство людей имеют сотовый телефон, планшет, ноутбук, автомашину, укомплектованную головным устройством, по своим возможностям не уступающим планшету, видеорегистратору, оснащенным устройствами GPS и Глоннасс, с возможностями фиксации времени, скорости и месторасположения различных объектов. По данной дополнительной информации как раз и можно определить относимость представленной в качестве доказательства информации к различным событиям, фигурирующим в уголовныхделах.
Видео-, фото- и звуковые файлы, созданные с помощью вышеуказанных гаджетов, имеют электронную форму и, используя существующие быстрые каналы связи, мгновенно передаются в сеть «Интернет» на различные общедоступные сайты и становятся известными всем
пользователям Всемирной сети. Масштаб данных электронных материалов неограничен. Они могут быть связаны с одним преступлением, с вооруженным конфликтом или проведением выборов. Уже сейчас данная информация рассматривается и служит поводом для проведения определенных процессуальных действий как органами предварительного расследования, так и другими участниками производства по делу.
Электронные документы как вещественные доказательства породили новые требования к содержанию осмотра, обыска, других следственных действий, проводимых в досудебном процессе по уголовному делу, равно как и оперативно-разыскных мероприятий. Данный вид информации требует использования современных методов выявления и фиксации специфичных следов модификации информации, которую можно считать «информационным следом» преступления. Так, при изъятии вещественных доказательств в электронной форме с различных накопителей внешней памяти необходимо обязательное использование специалиста. Данные действия выполняются в определенном порядке, начиная с осмотра места происшествия, компьютерной техники, накопителей внешней памяти и заканчивая выемкой предметов, документов, носителей информации, имеющих отношение к преступлению, и назначением компьютерно-технической экспертизы.
При выполнении данныхдействий необходимо учитывать ряд моментов.
1. Учитывая возможности современных беспроводных технологий передачи информации, при изъятии компьютерной техники необходимо убедиться в наличии накопителей внешней памяти внутри устройства осмотра. Зафиксированы случаи, когда при изъятии системного блока оперативные сотрудники не учитывали тот факт, что жесткий диск подключен удаленно с передачей данныхчерез радиоканал.
2. При фиксации преступного деяния, произведенного с использованием сети «Интернет», необходимо учитывать временные параметры преступления не только по адресу места совершения преступления, но и время, которое было в том населенном пункте, где был обнаружен !Р-адрес компьютера подозреваемого. Так как чаще всего динамический !Р-адрес компьютеру, подключаемому к сети, назначается провайдером автоматически, то при разнице во времени, определяемом временными поясами, под данным !Р- адресом с интервалом даже в один час могли работать разные пользователи. В судебной практике известны случаи, когда право-
охранительные органы, не учитывая данный момент, изымали компьютерную технику и пытались обвинить людей, не причастных к данному преступлению.
3. Накопители внешней памяти являются вещественными доказательствами и поэтому должны быть представлены суду неизмененными. Этот критерий предоставляет возможность назначения повторной и дополнительной экспертиз. Поэтому для исследования необходимо применять методы и средства, не изменяющие исходную информацию, что находится на накопителях внешней памяти.
Последний момент вызывал различные трактовки, так как некоторые авторы [1, с. 21] для быстрого поиска электронной информации, относящейся к возбужденному уголовному делу, предлагают проведение быстрого просмотра электронных документов, находящихся на накопителях внешней памяти включенной компьютерной техники по месту ее нахождения с использованием стандартных поисковых средств установленной пользователем операционной системы.
Однако при этом возникает ряд проблем, связанных со слабой подготовленностью оперативных сотрудников и следователей, которые зачастую не могут на месте оценить значение обнаруженной информации из-за большого количества электронныхдокументов, хранящихся на осматриваемых жестких дисках. Кроме того, данный вид информации может быть специфично представлен на исследуемом носителе. Электронные документы могут быть защищены паролем, криптографическими и стеганогра-фическими программными продуктами, могут находиться на зашифрованныхлогическихдис-ках, а также могут быть защищены с помощью дополнительных аппаратных и программно-аппаратных средств.
Кроме того, при расследовании преступлений, связанных с использованием компьютерной техники, неквалифицированные действия могут не только модифицировать разыскиваемую информацию на магнитном носителе, но и привести к ее безвозвратному удалению. К сожалению, нередки случаи, когда изъятый компьютер использовался сотрудниками правоохранительных органов, кроме поиска электронной информации, относящейся к возбужденному уголовному делу, для набора и распечатки служебных документов и игр. При этом известно, что даже открывание имеющегося документа, а тем более создание электронных документов и установка нового программного обеспечения
изменяют информацию на носителе и делают невозможным восстановление существовавшей, но удаленной позже информации. Поэтому для проведения следственных действий с необходимостью поиска электронных документов обязательно привлечение специалиста или эксперта. Это положение подтверждается существующей следственно-судебной практикой.
Наиболее эффективной формой исследования носителей внешней памяти с использованием специальных познаний является судебная экспертиза. Данная форма поиска электронных документов способствует получению результатов, имеющих наибольшее доказательственное значение при исследовании аппаратных, программно-аппаратных и программных средств.
Компьютерно-техническая экспертиза состоит из следующих этапов, направленных на сохранение исходной информации без модификации [2, с. 22—24].
1. Накопитель внешней памяти, содержащий исследуемые электронные документы, подключается к жесткому диску специалиста (эксперта), и вычисляется хеш-функция информации, содержащейся на исходном накопителе. Подключение осуществляется с атрибутом только для чтения, исключающим случайную модификацию исходной информации.
2. Создается точная электронная копия исследуемого накопителя посредством побитного копирования информации. Для этого можно использовать клонирование содержимого накопителя внешней памяти с помощью специальных программных продуктов (NortonGhost, Forensic, FTK Imager, EnCase, команды dd OS Linux) на жесткий диск специалиста (эксперта).
3. Вычисляется хеш-функция клонированного диска, которая должна совпадать с исходной хеш-функцией.
4. Применяются технологии поиска электронной информации на подключенном к стендовому компьютеру клонированном диске специалиста (эксперта).
Данная методика исключает модификацию исходной электронной информации, позволяет провести повторное исследование исходного накопителя и намного эффективнее загрузки исследуемого системного блока с внешнего накопителя (дискеты, флешки, CD или DVD диска), так как структура файловой системы исходного накопителя может отличаться от той, какая имеется на загрузочном внешнем накопителе (FAT16, FAT32, NTFS, EXT2, EXT3, MacOS Extended и др.). При отличии файловых систем данных накопителей разделы исследуемого на-
копителя не будут обнаружены и может возникнуть иллюзия отсутствия электронной информации на исследуемом накопителе.
Кроме этого, подключение любого внешнего устройства по интерфейсу USB вносит изменения в реестр операционной системы исследуемого накопителя, в котором фиксируется подключение нового внешнего устройства, а также может вызвать повреждение аппаратуры (микросхемы «южного моста» материнской платы).
Необходимо помнить, что при загрузке операционных систем создается специальный файл подкачки, расширяющий виртуальную память, создаются резервные копии файлов реестра и вносятся другие изменения на накопитель электронной информации. Запущенные программы создают специальные временные файлы для резервного копирования и фиксации модификаций редактируемого электронного документа. Открытие электронных документов, запуск программных продуктов и навигация по сайтам Интернета вызывает модификацию служебных файлов операционной системы, оставляет следы в истории работы, папках, содержащих временные и LOG-файлы, а также специальных папках, содержащих следы работы в Интернете. При создании или копировании на носитель внешней памяти новых файлов изменяется информация в кластерах, отмечен-ныхоперационной системой каксвободные или неиспользуемые, которые могут содержать удаленные файлы. Данные процессы записывают новую информацию поверх существовавших ранее удаленных электронных документов, которые возможно было восстановить и благодаря им воссоздать криминалистически важные следы, способствующие расследованию рассматриваемых преступлений.
Поэтому предполагается, что поиск электронных документов на дубликатах накопителей внешней памяти необходимо проводить на стендовом компьютере специалиста (эксперта), который содержит специализированное программное обеспечение, работающее с различными файловыми системами. При этом представленный на исследование компьютер не включается и не происходит модификация данных, уничтожение существующих, удаленных или поврежденных файлов на носителях электронной информации.
Что касается поиска полной и достоверной электронной информации о признаках совершения преступлений, нельзя ограничиваться только исследованием машинных носителей подозреваемых лиц. Электронная информация,
свидетельствующая о совершении преступлений, может быть известна ограниченному кругу лиц, заинтересованных в ее сокрытии. При этом применяется весь арсенал защиты информации и маскировки преступной деятельности. Электронные документы, содержащие следы преступлений, прячутся злоумышленниками в Интернете, используя облачные технологии внешних удаленных серверов, а также могут быть выложены в социальных сетях, замаскированные под фотографиями или звуковыми треками с помощью стеганографических программ и различных методов шифрования, как симметричного, так и шифрования с открытым ключом, свободно выложенным в сети «Интернет». Информационный трафик электронных документов можно отследить с помощью специальных программ. Это требует постоянного мониторинга открытых ресурсов информационных сетей.
Для использования поисковых технологий выявления признаков преступлений в среде Интернет сотрудники правоохранительных органов должны иметь представление о возможностях существующих программных продуктов, возможностях экспертных подразделений, обладать компетенцией в компьютерных технологиях поиска информации в Интернете для выявления лиц, фактов и следов преступных деяний.
Как уже отмечалось, в ходе проведения оперативно-разыскных мероприятий необходимо участие специалистов для поиска фото-, видео-, аудио- и других электронных документов, свидетельствующих о подготовке или совершении преступлений. При выявлении электронных документов в сети «Интернет» необходимо определить 1Р-адрес, местоположение и время доступа злоумышленника к глобальным ресурсам в преступных целях, таких как осуществление несанкционированного доступа к определенному ресурсу сети с целью копирования, модификации информации, различных видов мошенничества, распространения порнографии, торговли запрещенными товарами и услугами, пропаганды терроризма и информационной войны, перехвата идентификационных данных пользователя и их пластиковых карт, а также использование удаленного управления компьютером для организации распределенных □роб — атак на защищенные ресурсы.
Во всех указанных случаях несанкционированного доступа к электронной информации определение источника угроз сводится к определению местоположения и личных дан-
ных преступника по IP-адресу его средства компьютерной техники. Данный адрес можно определить как стандартными командами операционной системы ping и netstat — aon, так и по доменному имени с помощью специальных сервисов на сайтах Интернета или с помощью специальных программ, таких как онлайн-сниф-фер, который в лог-файле собирает данные о подключениях. Хотя существуют и более сложные методы определения IP-адреса компьютера злоумышленника. Один из методов состоит в анализе лог-файлов HTTP-сервера. Данный метод основан на том, что в лог-файлах сервера, предоставляющего хостинг WEB-сайту, всегда фиксируется IP-адрес средства вычислительной техники, с которой поступил запрос. Например, часть лог-файла программы Small HTTP Server [3].
Преступник, как правило, использует динамический IP-адрес, предоставленный провайдером или анонимными прокси-серверами, а также последовательностью нескольких анонимных прокси-серверов. Также злоумышленники применяют АнтиАОН и другие программные средства, маскирующие реальный IP-адрес. Используя сервисы, предоставляемые различными сайтами Интернета, можно определить местоположение злоумышленника или получить дополнительную информацию, такую как, пользуется ли искомый абонент прокси-сервером. Примером такого сервиса может служить 2ip.ru, позволяющий определить и свой IP-адрес и IP-адрес любого сайта, провайдера, а также использование прокси-сервера и др.
Все это возможно, исходя из правил обмена данными по HTTP и другим протоколам прикладного уровня. Согласно им при установлении соединения клиента с сервером WEB-серверу передается следующая электронная информация [4]:
— название и версия операционной системы;
— название и версия браузера;
— настройки браузера;
— IP-адрес клиента (если используется прокси, то заменяется прокси-сервером на IP-прокси);
— используется ли прокси-сервер (если используется, то IP-клиента — это IP прокси) — добавляется прокси-сервером;
— если используется прокси, то реальный IP-адрес абонента добавляется прокси-сервером;
— другая информация.
В случае использования анонимного прокси-сервера существует как минимум два спо-
соба определения реального IP-адреса [5, с. 164—168]:
— принуждение злоумышленника выполнить активный сценарий JavaScript или VBScript, ActiveX, plug-ins для программ-браузеров, программу Java на открываемом сайте, которые могут передавать реальный IP-адрес злоумышленника напрямую, минуя прокси-сервер;
— получение журналов в виде лог-файлов с прокси-сервера путем официальных запросов или с помощью методов интернет-разведки.
Необходимо понимать, что реальность определения IP-адреса за прокси-сервером основана на технологиях Интернета, структуре IP, TCP-пакетов и на том, что любой прокси-сервер ведет протокол своей работы, в котором подробно описано, какой IP-адрес, в какое время и куда обращается.
Сотрудники органов предварительного расследования и оперативных подразделений для получения информации вправе использовать все доступные автоматизированные информационно-поисковые системы, содержащие оперативные и криминалистические учеты, справочные и иные базы данных, технологии интернет и геоинформационные технологии. Кроме того, они могут использовать различные технические средства получения информации, такие как фотоаппараты, видеокамеры, диктофоны и другие для фото-, видеосъемки и аудиозаписи противоправной деятельности лиц. Данные электронные документы могут быть получены как самостоятельно, так и найдены в сети «Интернет».
Применение электронных документов в доказывании придает большую наглядность и объективность результатам проведенных оперативно-разыскных мероприятий и следственных действий, а также увеличивает их доказательственное значение в суде. Постоянное обновление и совершенствование программных и аппаратных средств вызывает необходимость повышения уровня квалификации работников оперативных и следственных органов для изучения новых технологий получения, переработки и передачи информации.
С другой стороны, электронные документы подвергаются критике в судебном делопроизводстве с точки зрения допустимости и достоверности как документы, которые легко модифицировать, подделать с помощью современных графических, видео- и аудиоре-дакторов. Есть мнения, что благодаря данным монтажным программным и аппаратным средствам, существуют возможности внесения в
цифровые фонограммы таких изменений, которые проще скрыть при копировании, а значит, они могут быть не обнаружены при проведении экспертизы [6, с. 29].
Такие суждения используются для создания мифа о ненадежности электронной информации при доказывании по уголовным делам [7, с. 24]. Однако все это может быть проверено при проведении повторной и дополнительной экспертиз. Для защиты электронных документов созданы такие средства, как электронная подпись и хеш-функция. Документ, подписанный электронной подписью, недопустимо признавать не имеющим юридической силы только на основании того, что такая электронная подпись создана не собственноручно, а с использованием средств электронной подписи для автоматического создания и (или) автоматической проверки электронных подписей в информационной системе [8].
Электронные документы, полученные в процессе уголовного делопроизводства, могут использоваться в качестве доказательств независимо от того, в результате чьих действий они появились в реальности. Наиболее важен вопрос относимости к расследуемому уголовному делу, помогающему установить обстоятельства совершения преступления, зафиксированные с помощью технических средств и доступных суду.
Из вышесказанного следуют выводы:
— электронные документы в качестве вещественных доказательств стирают грань между результатами оперативно-разыскной деятельности и уголовно-процессуальной;
— необходимо ввести в число источников доказательств новый источник — электронное доказательство;
— необходимо усиление возможностей специалистов (экспертов) при проверке такого рода доказательств на всех стадиях судебного процесса.
Мы считаем, что пришло время менять правила, определяющие доказательство и его свойства, а также использование доказательств в доказывании. В первую очередь суду необходимо ориентироваться на относимость электронной информации к делу и способность ее оказать влияние на объективное разрешение уголовного дела. В принципиальном плане необходима деформализация доказывания, заключающаяся в реформе досудебного производства по типу полицейского дознания. Органы полиции должны обладать правом получать электронную информацию об обстоятельствах происшествия, используя способы, предусмо-
тренные любыми законами (административным, уголовно-процессуальным, Федеральным законом от 12 августа 1995 года № 144-ФЗ «Об оперативно-розыскной деятельности» [9] и др.).
Примечания
1. Краснова Л.Б. Компьютерные объекты в уголовном процессе и криминалистике: атореф. дис. ... канд. юрид. наук. Воронеж, 2005.
2. Костин П.В. Исследование машинных носителей информации при расследовании преступлений в сфере экономики: учебное пособие. Н. Новгород, 2009.
3. URL: ttp://hpc.name/text/get/542/p1.html
4. URL: ttp://www.kakprosto.ru/kak-104031-kak-op redelit-mestonahozhdenie-po-ip-adresu#ixzz33kEBiu4y
5. Лабутин Н.Г. Некоторые способы поиска и определения местонахождения злоумышленников в сети Интернет // Математические методы и информационно-технические средства: сборник материалов XI Всероссийской научно-практической конференции. Краснодар, 2014.
6. Галяшина Е.И. Возможности использования цифровой фонограммы как доказательства // Эксперт-криминалист. 2008. № 4.
7. БелыхЮ.Л. Судебное исследование аудиодоку-ментов (процессуально-криминалистический аспект) // Эксперт-криминалист. 2006. № 4.
8. Об электронной подписи: федеральный закон от 6 апреля 2011 г. № 63-ФЭ (ред. от 05.04.2013)
// Собрание законодательства РФ. 2011. № 15, ст. 2036.
9. Собрание законодательства РФ. 1995. № 33, ст. 3349.
Notes
1. Krasnov L.B. Computer objects in criminal proceedings and criminology: dissertation of the candidate of legal sciences. Voronezh, 2005.
2. Kostin P. V. The study of computer media in the investigation of crimes in the sphere of economy: textbook. Nizhny Novgorod, 2009.
3. URL: https://hpc.name/text/get/542/p1.html
4. URL: http://www.kakprosto.ru/kak-104031-kak-opredelit-mestonahozhdenie-po-ip-adresu#ixzz33kE Biu4y
5. Labutin N.G. Some ways to search and locate the intruders on the Internet. // Mathematical methods and information technology tools: proceedings of the XI All-Russian scientific-practical conference. Krasnodar, 2014.
6. Galyashina E.I. The possibility of using digital soundtracks as evidence // Criminal expert. 2008. № 4.
7. Belyh Y.L. Judicial Studies audio materials (procedural forensic aspect) // Criminal expert. 2006. № 4.
8. On electronic signature: the federal law of 06.04.2011 № 63-FZ (ed. by 04.05.2013) // Collection of legislative acts of the RF. 2011. № 15, art. 2036.
9. Collection of legislative acts of the RF. 1995. № 33, art. 3349.